Migrieren von Microsoft 365 Basic Mobility and Security zu Intune
Microsoft 365 enthält einen grundlegenden Satz von Richtlinien, die Geräte und Microsoft 365-Apps wie Outlook schützen. Diese Richtlinien werden im Microsoft Defender-Portal verwaltet und werden als Grundlegende Mobilität und Sicherheit bezeichnet. Weitere Informationen dazu, was Basic Mobility and Security bietet, finden Sie unter Funktionen von Basic Mobility and Security.
Viele Organisationen wünschen sich mehr oder nächsthöhere Geräteverwaltungsfeatures. Insbesondere möchten sie die Features, die in Microsoft Intune enthalten sind. Einen Vergleich der Features finden Sie unter Auswählen zwischen grundlegender Mobilität und Sicherheit oder Unter Intune.
Sie können von Basic Mobility and Security zu Microsoft Intune migrieren. Die Migration zu Intune erfordert die folgenden wichtigen Schritte:
Vorbereiten:
Überprüfen Sie Ihre Intune-Lizenzen, Basic Mobility and Security-Richtlinien, Gruppenmitgliedschaften und Geräte, um die Migration zu optimieren.
Bewerten und Migrieren Ihrer vorhandenen Richtlinien:
Verwenden Sie die Migrationsauswertung im Microsoft Intune Admin Center. Die Ausgabe zeigt Intune-Richtlinien- und Gruppenempfehlungen, die die Grundlegenden Mobilitäts- und Sicherheitsrichtlinien ersetzen.
Weisen Sie die Richtlinien zu, und schließen Sie die Migration ab:
Weisen Sie Benutzern oder Gruppen Lizenzen zu, wodurch die Benutzer beim nächsten Aktualisierungszyklus automatisch zur Intune-Geräteverwaltung wechseln.
In diesem Artikel erfahren Sie, wie Sie Ihre mobile Geräteverwaltung (Mobile Device Management, MDM) von Microsoft 365 Basic Mobility and Security zu Microsoft Intune migrieren.
Bevor Sie beginnen
Wenn Sie sich beim Intune Admin Center anmelden, verwenden Sie ein Konto, das über Microsoft Entra-Lizenzadministratorrechte verfügt. Weitere Informationen zu dieser Rolle findest du unter Integrierte Microsoft Entra-Rollen – Lizenzadministrator.
Testen Sie die Schritte in diesem Artikel für eine Testbenutzergruppe, für die Geräte in Basic Mobility and Security registriert sind. Vergewissern Sie sich, dass sich die Richtlinien wie erwartet verhalten.
Nach der Migration zu Intune werden die vorhandenen Gerätesicherheitsrichtlinien, die mit Basic Mobility and Security bereitgestellt wurden, dauerhaft gesperrt.
Das Zuweisen von Intune-Lizenzen wirkt sich auf den Migrationsprozess aus. Die Lizenzzuweisung steuert die Migration von Geräten von „Basic Mobility and Security“ zu Intune.
Benutzer mit bereits zugewiesenen Intune-Lizenzen können sofort Richtlinien empfangen, möglicherweise früher als erwartet. Die Richtlinien können auch dann auftreten, wenn die Benutzer oder Geräte zuvor nicht von Basic Mobility and Security verwaltet wurden.
Wenn Sie dieses Verhalten verhindern möchten, können Sie die Zuweisung der Intune-Lizenzen vor der Migration aufheben. Sie können auch separate Gruppen erstellen, um die Bereitstellung der Richtlinien zu verwalten:
- Gruppe 1: Benutzer mit bereits zugewiesenen Intune-Lizenzen
- Gruppe 2: Benutzer ohne zugewiesene Intune-Lizenzen
Anschließend können Sie die migrierten Sicherheitsrichtlinien für Basic Mobility and Security-Geräte Benutzern zuweisen, denen keine Intune-Lizenzen zugewiesen sind.
Schritt 1: Vorbereiten
Bevor Sie von der Geräteverwaltung für Grundlegende Mobilität und Sicherheit zur Intune-Geräteverwaltung migrieren:
Stellen Sie sicher, dass Sie über genügend Intune-Lizenzen verfügen, um alle Benutzer abzudecken, die von Basic Mobility and Security verwaltet werden.
Überprüfen Sie die Gerätesicherheitsrichtlinien im Microsoft Defender-Portal. Löschen Sie alle Richtlinien, die nicht mehr benötigt werden. Das Löschen nicht benötigter Richtlinien reduziert die Anzahl der Empfehlungen, die von der Intune-Migrationsauswertung erstellt werden. Die Idee besteht darin, nach der Migrationsevaluierung weniger Empfehlungen zu überprüfen.
Überprüfen Sie die Mitgliedschaft von Gruppen , denen derzeit Gerätesicherheitsrichtlinien zugewiesen sind.
Wenn diese Gruppen Benutzer enthalten, die bereits für Intune lizenziert sind, können diese Richtlinien früher als erwartet zugewiesen werden. Weitere Informationen zu den Auswirkungen vorhandener Intune-Lizenzen findest du unter Vorab (in diesem Artikel).
Überprüfen Sie die Typen von Geräten, die derzeit in „Basic Mobility and Security“ registriert sind. Nicht unterstützte Betriebssystemversionen und -varianten funktionieren möglicherweise weiterhin, aber sie werden nicht unterstützt, wenn sie zu Intune migriert werden.
Einstellungen, die auf nicht unterstützte Betriebssysteme angewendet werden, werden nicht in Intune verschoben. Und wenn der Benutzer bereits für Intune lizenziert ist, verlieren seine Geräte alle Konfigurationen, die von Den Gerätesicherheitsrichtlinien im Microsoft Defender-Portal festgelegt wurden.
Vor der Migration:
- Weisen Sie Intune-Lizenzen nicht Benutzern zu, deren Geräte von Basic Mobility and Security verwaltet werden.
- Weisen Sie keine Intune-Lizenzen zu, um App-Schutzrichtlinien zu aktivieren, die auch als Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) bezeichnet werden.
Weisen Sie Benutzern Nur nach Abschluss der Richtlinienmigration Intune-Lizenzen zu. Weitere Informationen zu den Auswirkungen von Intune-Lizenzen findest du unter Vorab (in diesem Artikel).
Möglicherweise müssen Sie neue Intune-Richtlinien erstellen, um grundlegende Mobilitäts- und Sicherheitsrichtlinien zu ersetzen. Weitere Informationen zu einem Mindestgrundsatz von Richtlinien finden Sie unter Erste Schritte mit Intune.
Nachdem der Migrationsauswertungsprozess aktiviert wurde, können Sie keine Änderungen an Ihren Gerätesicherheitsrichtlinien im Microsoft Defender-Portal vornehmen. Die vorhandenen Grundlegenden Mobilitäts- und Sicherheitsrichtlinien werden weiterhin erzwungen, aber Änderungen an diesen vorhandenen Richtlinien werden nicht gespeichert.
Wichtig
Wenn Sie über eines der folgenden Produkte oder Dienste verfügen, wenden Sie sich an das Supportteam, bevor Sie fortfahren:
- Enterprise Mobility + Security A3 für Lehrpersonal
- Enterprise Mobility + Security A3 für Schüler und Studenten
- Enterprise Mobility + Security A3 für Student Use Benefit
- Enterprise Mobility + Security A5 für Lehrpersonal
- Enterprise Mobility + Security A5 für Schüler und Studenten
- Enterprise Mobility + Security A5 für Student Use Benefit
- Intune for Education
- Intune for Education Add-On
- Microsoft Intune for Education für Lehrpersonal
- Microsoft Intune for Education für Schüler und Studenten
- Microsoft Intune for Education Prepaid-Gerät
Schritt 2: Auswerten und Migrieren Ihrer vorhandenen Richtlinien
Nachdem Sie Ihre Lizenzen vorbereitet und die Informationen in Schritt 1 – Vorbereitung überprüft haben, verwenden Sie die Microsoft Intune Admin Center-Migrationsauswertung , um Intune-Richtlinienempfehlungen abzurufen.
Das Tool kann Ihre vorhandenen Sicherheitsrichtlinien für Basic Mobility and Security-Geräte als Konformitätsrichtlinien und Gerätekonfigurationsprofile zu Intune migrieren. Außerdem werden Empfehlungen für die Gruppen ausgegeben, denen die neuen Richtlinien zugewiesen werden sollen.
Diese Intune-Empfehlungen wurden entwickelt, um die „Basic Mobility and Security“-Richtlinien zu replizieren. Sie müssen diese Empfehlungen überprüfen , um sicherzustellen, dass sie die alten Richtlinien widerspiegeln.
So evaluieren und migrieren Sie Richtlinien von "Basic Mobility and Security" zu Intune:
Führen Sie die Schritte im Abschnitt Schritt 1 – Vorbereiten (in diesem Artikel) aus.
Öffnen Sie die Migrationsauswertung> und wählen Sie Start aus. Es dauert einige Minuten, bis die Auswertung abgeschlossen ist.
Hinweis
- Wenn Sie von der Migrationsauswertung weg navigieren, können Sie nur zurückkehren, wenn Sie den Link Migrationsauswertung erneut öffnen.
- Nachdem Sie die Migrationsauswertung gestartet haben, können Sie keine neuen Gerätesicherheitsrichtlinien im Microsoft Defender-Portal erstellen oder bearbeiten.
Wählen Sie Empfehlungen aus.
Auf dieser Seite werden die Intune-Richtlinienempfehlungen auf Basis Ihrer „Basic Mobility and Security“-Richtlinien angezeigt. Die Empfehlungen sind schreibgeschützt und können nicht geändert werden.
Der Name jeder Empfehlung hat ein Präfix, das auf dem „Basic Mobility and Security“-Richtliniennamen basiert. Sie müssen jedes Element in der Liste überprüfen, wie im folgenden Beispiel:
- Nicht alle Geräteeinstellungen entsprechen genau den Intune-Einstellungen und -Werten. Daher können sie nicht mit einer präzisen 1:1-Zuordnung verschoben werden. Sie müssen diese Einstellungen überprüfen und möglicherweise anpassen.
- Die Einstellungen für bedingten Zugriff ( CA), die die Office 365-Dienste steuern, sind die gleichen Zertifizierungsstellenrichtlinien in Microsoft Entra ID. Daher müssen Sie sie nicht überprüfen oder änderungen daran vornehmen, es sei denn, Sie möchten dies.
W?hlen Sie ein Element in der Liste aus. Die Seite Übersicht über Empfehlungen für Konformitätsrichtlinien wird geöffnet. Lesen Sie die Anweisungen.
Wählen Sie Details aus, um die empfohlenen Einstellungen und Gruppenzuweisungen zu überprüfen:
Die Richtlinienempfehlungen auf dieser Seite sind ein schreibgeschützter Bericht, der die vorgeschlagenen Einstellungen und Zuweisungen dokumentiert. Es handelt sich noch nicht um Intune-Richtlinien.
Beachten Sie beim Überprüfen der Empfehlungen die folgenden Punkte:
Wenn den in der Empfehlung aufgeführten Gruppen bereits Intune-Richtlinien zugewiesen sind, können diese Richtlinien mit den empfohlenen Einstellungen in Konflikt stehen. Informationen zum Umgang mit Konflikten in Intune finden Sie unter Allgemeine Fragen und Antworten zu Geräterichtlinien und -profilen in Microsoft Intune.
Hinweis
Wenn Sie Änderungen an migrierten E-Mail-Profilen vornehmen oder diese nicht empfohlenen Gruppen zuweisen können, werden Benutzer möglicherweise aufgefordert, ihren Benutzernamen und ihr Kennwort erneut einzugeben, um auf ihren Geräten auf E-Mails zuzugreifen, wenn das Gerät zu Intune migriert wird. Weitere Informationen finden Sie unter Richtlinienzuordnung für Konfiguration.
Wenn bereits Intune-lizenzierte Benutzer in den empfohlenen Gruppen vorhanden sind, überprüfen Sie, ob die empfohlenen Richtlinien für diese Benutzer geeignet sind. Nachdem Sie die Richtlinien diesen Gruppen zugewiesen haben, erhalten alle Intune-lizenzierten Benutzer in den Gruppen die Richtlinien, auch Benutzer, die zuvor nicht von Basic Mobility and Security verwaltet wurden.
Hinweis
Für das Windows-Betriebssystem wird nur für Windows 10/11-Desktopgeräte eine Richtlinie migriert. Für andere Versionen von Windows wurde keine Richtlinie migriert. Weitere Informationen finden Sie unter Richtlinienzuordnung für Zugriffsanforderungen von „Basic Mobility and Security“ zu Intune und Richtlinienzuordnung für Konfigurationen von „Basic Mobility and Security“ zu Intune.
Wenn Sie die empfohlene Richtlinie implementieren möchten, wählen Sie Richtlinie öffnen aus. Die Seite "Richtlinie" wird geöffnet, und die Intune-Richtlinie wird erstellt. Sie können die migrierten Richtlinien ändern oder aktualisieren.
Hinweis
Wenn Sie die Richtlinie löschen, funktioniert der Link Richtlinie öffnen auf der Empfehlungsseite nicht.
An diesem Punkt wird die Richtlinie erstellt, aber sie tut noch nichts. Der nächste Schritt besteht darin, die Richtlinie den empfohlenen Gruppen oder anderen Gruppen zuzuweisen, die Sie auswählen.
Schritt 3: Zuweisen der Richtlinien und Abschließen der Migration
Nachdem die Richtlinien erstellt wurden, können sie zugewiesen werden. Damit diese Migration abgeschlossen ist, müssen alle drei abgeschlossen sein: Zuweisen von Gruppen, Aktivieren der Koexistenz und Zuweisen von Intune-Lizenzen.
Weisen Sie der Richtlinie die empfohlenen Gruppen zu. Wählen Sie Richtlinie> öffnenEigenschaften>bearbeiten (neben Zuweisungen) > verwenden Sie den Zuweisungsworkflow, um die Gruppen zuzuweisen.
Wenn Sie Gruppen zuweisen, ersetzen Die neu migrierten Intune-Richtlinien die geräteeinstellungen, die unter Grundlegende Mobilität und Sicherheit konfiguriert sind. Wenn Sie die Gruppen nicht zuweisen, können Geräte, die von Basic Mobility and Security verwaltet werden, Einstellungen und E-Mail-Konfiguration verlieren, wenn ihre Benutzer für Intune lizenziert sind. Denken Sie daran, dass die Intune-Lizenzzuweisung ein wichtiger Schritt bei der Migration von Geräten von "Basic Mobility and Security" zur Intune-Geräteverwaltung ist.
Weitere Informationen zu den Auswirkungen vorhandener Intune-Lizenzen findest du unter Vorab (in diesem Artikel).
Melden Sie sich beim Microsoft Intune Admin Center mit Microsoft Entra License-Administratorrechten an.
Koexistenz aktivieren. Wenn aktiviert:
- Benutzer mit vorhandenen Intune-Lizenzen werden sofort nach Intune verschoben, und die neu migrierten Richtlinien werden beim nächsten Intune-Aktualisierungszyklus angewendet.
- Für Benutzer ohne Intune-Lizenzen ist koexistenz der zweite Schritt im Migrationsprozess. Sie werden im nächsten Schritt zu Intune verschoben.
Für Benutzer ohne Intune-Lizenzen weisen Sie den Benutzern, die Sie migrieren möchten, Intune-Lizenzen zu. Ihre Optionen:
- Weisen Sie Benutzern Lizenzen zu. Weitere Informationen findest du unter Zuweisen von Lizenzen zu Benutzern.
- Weisen Sie Gruppen Lizenzen zu. Weitere Informationen findest du unter Zuweisen von Lizenzen zu einer Gruppe.
Weitere Informationen zum Zuweisen von Lizenzen in Intune finden Sie unter Zuweisen von Lizenzen zu Benutzern, damit sie Geräte bei Intune registrieren können.
An diesem Punkt sind die wichtigsten Schritte abgeschlossen:
- Die Richtlinien werden Ihren Gruppen zugewiesen.
- Koexistenz ist in Intune aktiviert.
- Die Intune-Lizenzen sind zugewiesen.
Beim nächsten Intune-Geräteaktualisierungszyklus wechseln die Geräte automatisch zur Intune-Verwaltung, und die neuen Richtlinien wirken sich auf Benutzergeräte aus.
Was habe ich gerade getan?
In diesem Abschnitt wird beschrieben, was hinter den Kulissen geschieht, wenn Sie von Basic Mobility and Security zu Intune migrieren.
Die Richtlinien sind Intune-Richtlinien zugeordnet. Eine Zuordnungsreferenz der Richtlinien, die von der Migrationsauswertung migriert wurden, finden Sie unter:
Wenn Sie die Migration abgeschlossen haben, befinden sich Ihre migrierten Richtlinien im Microsoft Intune Admin Center. Die neuen Richtlinien umfassen Konformitätsrichtlinien, Gerätekonfigurationsprofile und Richtlinien für bedingten Zugriff. Die neuen Richtlinien befinden sich an den folgenden Speicherorten:
Intune-Richtlinientyp Intune-Speicherort Konformitätsrichtlinien
Geben Sie die Geräteeinstellungen als Zugriffsanforderungen an.Microsoft Intune Microsoft Intune Admin Center>Geräte>Beachtung Konfigurationsprofile
Geben Sie andere Einstellungen an, die nicht Teil der Zugriffsanforderungen sind, einschließlich E-Mail-Profilen.Microsoft Intune Admin Center>Geräte>Verwalten von Geräten>Konfiguration Richtlinien
für bedingten Zugriff Microsoft Entra Conditional Access blockiert den Zugriff, wenn die Einstellungen nicht konform sind.Microsoft Intune Admin Center>Geräte>Bedingter Zugriff>Klassische Richtlinien
Bekannte Probleme
Startschaltfläche wird immer angezeigt
Jedes Mal, wenn Sie die Microsoft Intune Admin Center-Migrationsauswertung öffnen, wird die Schaltfläche Start angezeigt, auch wenn die Auswertung bereits generiert wurde. Wenn Sie die Startaufforderung schließen, werden die zuvor generierten Empfehlungen nicht geladen.
Problemumgehung: Starten Sie die Auswertung erneut. Es werden keine weiteren oder doppelten Empfehlungen oder Richtlinien erstellt. Beim erneuten Ausführen der Migration wird erkannt, dass die Auswertung bereits erfolgreich war, und die vorherigen Empfehlungen werden geladen.
Anzahl von Anmeldefehlern, bevor die Einstellung "Gerät zurückgesetzt" nicht migriert wurde
Die Einstellung Anzahl von Anmeldefehlern vor dem Zurücksetzen des Geräts wird nicht zu Intune migriert.
Problemumgehung: Wenn diese Einstellung in der Basic Mobility and Security-Richtlinie aktiviert wurde, muss diese Einstellung manuell den Intune-Gerätekonfigurationsprofilen hinzugefügt werden. Weitere Informationen zu den ähnlichen Einstellungen, die Sie in Intune konfigurieren können, finden Sie unter:
- Unternehmenseigene Android Enterprise-Geräte: Einstellungsliste zum Zulassen oder Einschränken von Features
- Persönliche Android Enterprise-Geräte: Einstellungsliste zum Zulassen oder Einschränken von Features
- iOS-/iPadOS-Geräte: Einstellungsliste zum Zulassen oder Einschränken von Features
- Windows 10/11-Gerät: Einstellungsliste zum Zulassen oder Einschränken von Features