Megosztás a következőn keresztül:


Migrálási útmutató: Beállítás vagy áthelyezés a Microsoft Intune-ba

Miután megtervezte az áthelyezést a Microsoft Intune-ba, a következő lépésben kiválaszthatja a szervezetének megfelelő migrálási módszert. Ezek a döntések a mobileszköz-kezelési (MDM-) környezettől, az üzleti céloktól és a műszaki követelményektől függenek.

Ez a migrálási útmutató felsorolja és ismerteti az Intune bevezetésének vagy áthelyezésének lehetőségeit, többek között a következőket:

  • Nem használ mobileszköz-kezelési megoldást
  • Harmadik féltől származó MDM-megoldást használ
  • A Configuration Managert használja
  • Helyszíni csoportházirendet használ
  • A Microsoft 365 Alapszintű mobilitási és biztonsági verziót használja

Ezzel az útmutatóval meghatározhatja a legjobb migrálási megközelítést, és útmutatást kaphat & javaslatokhoz.

Tipp

Az első lépések

  • A Microsoft Intune egy natív felhőalapú megoldás, amely segít az identitások, az eszközök és az alkalmazások kezelésében. Ha a cél a felhő natívvá válása, akkor az alábbi cikkekből tudhat meg többet:

  • Az Intune-beli üzembe helyezés eltérhet az előző MDM-környezettől. Az Intune identitásalapú hozzáférés-vezérlést használ. Nincs szükség hálózati proxyra a szervezet adatainak a hálózaton kívüli eszközökről való eléréséhez.

Jelenleg nem használ semmit

Ha jelenleg nem használ MDM- vagy mobilalkalmazás-felügyeleti (MAM) szolgáltatót, akkor a következő lehetőségek közül választhat:

Jelenleg külső MDM-szolgáltatót használ

Az eszközöknek csak egy MDM-szolgáltatóval kell rendelkezniük. Ha másik MDM-szolgáltatót használ, például az ELSŐ munkaterületet (korábbi nevén AirWatch), a MobileIront vagy a MaaS360-at, akkor átválthat az Intune-ra.

A felhasználóknak törölniük kell az eszközeik regisztrációját az aktuális MDM-szolgáltatótól, mielőtt regisztrálnának az Intune-ban.

  1. Állítsa be az Intune-t, beleértve az MDM-szolgáltató Intune-ra állítását is.

    További információ:

  2. Alkalmazások üzembe helyezése és alkalmazásvédelmi szabályzatok létrehozása. Az ötlet az alkalmazások szervezeti adatainak védelme a migrálás során és addig, amíg az eszközök regisztrálása & az Intune felügyeli.

    További információ: 2. lépés – Alkalmazások hozzáadása, konfigurálása és védelme az Intune-nal.

  3. Törölje az eszközök regisztrációját az aktuális MDM-szolgáltatótól.

    A regisztráció törlésekor az eszközök nem kapják meg a szabályzatokat, beleértve a védelmet biztosító szabályzatokat sem. Az eszközök sebezhetőek, amíg regisztrálnak az Intune-ban, és nem kapják meg az új szabályzatokat.

    Adjon meg a felhasználóknak konkrét regisztráció törlésének lépéseit. Adjon útmutatást a meglévő MDM-szolgáltatótól az eszközök regisztrációjának törléséhez. A világos és hasznos kommunikáció minimálisra csökkenti a végfelhasználói állásidőt, az elégedetlenséget és a segélyszolgálati hívásokat.

  4. Nem kötelező, de ajánlott. Ha p1 vagy P2 Microsoft Entra-azonosítóval rendelkezik, a feltételes hozzáféréssel is letilthatja az eszközöket, amíg regisztrálnak az Intune-ban.

    További információt a 3. lépés – Megfelelőségi szabályzatok tervezése című témakörben talál.

  5. Nem kötelező, de ajánlott. Hozzon létre egy alapkonfigurációt a megfelelőségi és eszközbeállításokhoz, amelyekkel az összes felhasználónak és eszköznek rendelkeznie kell. Ezek a szabályzatok akkor helyezhetők üzembe, amikor a felhasználók regisztrálnak az Intune-ban.

    További információ:

  6. Regisztrálás az Intune-ban. Győződjön meg arról, hogy konkrét regisztrációs lépéseket ad a felhasználóknak.

    További információ:

Fontos

Ne konfigurálja egyszerre az Intune-t és a meglévő, külső MDM-megoldásokat úgy, hogy hozzáférés-vezérlést alkalmazzanak az erőforrásokra, beleértve az Exchange-et vagy a SharePointot is.

Ajánlások:

  • Ha egy partner MDM-/MAM-szolgáltatóról szeretne áttérni, jegyezze fel a futtatott feladatokat és a használt funkciókat. Ezek az információk az Intune-ban is elvégezhető feladatokról adnak képet.

  • Használjon szakaszos megközelítést. Kezdje a próbafelhasználók egy kis csoportjával, és adjon hozzá további csoportokat, amíg el nem éri a teljes körű üzembe helyezést.

  • Monitorozza az egyes fázisok segélyszolgálati terhelését és regisztrációjának sikerességét. A következő csoport áttelepítése előtt hagyjon időt az ütemezésben az egyes csoportok sikerességi feltételeinek kiértékelésére.

    A próbaüzem üzembe helyezésének a következő feladatokat kell ellenőriznie:

    • A sikeres és sikertelen regisztrációk aránya az ön elvárásain belül van.

    • Felhasználói hatékonyság:

      • A vállalati erőforrások működnek, beleértve a VPN-t, a Wi-Fi-t, az e-maileket és a tanúsítványokat.
      • Az üzembe helyezett alkalmazások elérhetők.
    • Adatbiztonság:

      • Tekintse át a megfelelőségi jelentéseket, és keresse meg a gyakori problémákat és trendeket. A problémákat, a megoldásokat és a trendeket az ügyfélszolgálattal kommunikálhatja.
      • A rendszer mobilalkalmazás-védelmet alkalmaz.
  • Ha elégedett az áttelepítések első fázisával, ismételje meg az áttelepítési ciklust a következő fázisban.

    • Ismételje meg a szakaszos ciklusokat, amíg az összes felhasználót át nem telepíti az Intune-ba.
    • Ellenőrizze, hogy az ügyfélszolgálat készen áll-e a végfelhasználók támogatására a migrálás során. Futtasson önkéntes migrálást, amíg fel nem becsülheti a támogatási hívás számítási feladatát.
    • Ne állítson be határidőket a regisztrációhoz, amíg az ügyfélszolgálat nem tudja kezelni az összes többi felhasználót.

Hasznos információk:

Jelenleg a Configuration Managert használja

A Configuration Manager támogatja a Windows Servereket és a Windows & macOS-ügyféleszközöket. Ha a szervezete más platformokat használ, előfordulhat, hogy alaphelyzetbe kell állítania az eszközöket, majd regisztrálnia kell őket az Intune-ban. A regisztrációt követően megkapják a létrehozott szabályzatokat és profilokat. További információt az Intune-regisztráció üzembe helyezési útmutatójában talál.

Ha jelenleg a Configuration Managert használja, és az Intune-t szeretné használni, az alábbi lehetőségek közül választhat.

1. lehetőség – Bérlői csatolás hozzáadása

A bérlői csatolással feltöltheti Configuration Manager-eszközeit a szervezetbe az Intune-ban, más néven "bérlőként". Az eszközök csatlakoztatása után a Microsoft Intune Felügyeleti központban távoli műveleteket futtathat, például a gép szinkronizálását és a felhasználói házirendet. A helyszíni kiszolgálókat is megtekintheti, és lekérheti az operációs rendszer adatait.

A bérlői csatolás további költségek nélkül része a Configuration Manager társfelügyeleti licencének . Ez a legegyszerűbb módja annak, hogy integrálja a felhőt (Intune) a helyszíni Configuration Manager beállításával.

További információ: Bérlői csatolás engedélyezése.

2. lehetőség – Együttes kezelés beállítása

Ez a beállítás egyes számítási feladatokhoz a Configuration Managert, más számítási feladatokhoz pedig az Intune-t használja.

  1. A Configuration Managerben állítsa be a társfelügyeletet.
  2. Állítsa be az Intune-t, beleértve az MDM-szolgáltató Intune-ra állítását is.

Az eszközök regisztrálhatók az Intune-ban, és megkaphatják a szabályzatokat.

Hasznos információk:

3. lehetőség – Áthelyezés a Configuration Managerből az Intune-ba

A legtöbb meglévő Configuration Manager-ügyfél továbbra is használni szeretné a Configuration Managert. Olyan szolgáltatásokat tartalmaz, amelyek előnyösek a helyszíni eszközök számára.

Ezek a lépések áttekintést adnak, és csak azok a felhasználók számára érhetők el, akik 100%-os felhőmegoldást szeretnének. Ezzel a beállítással a következő lehetőségek közül választhat:

  • Meglévő helyszíni Active Directory Windows-ügyféleszközök regisztrálása eszközként a Microsoft Entra ID-ban.
  • Helyezze át meglévő helyszíni Configuration Manager-számítási feladatait az Intune-ba.

Ez a beállítás több munkát jelent a rendszergazdák számára, de zökkenőmentesebb felhasználói élményt biztosít a meglévő Windows-ügyféleszközök számára. Új Windows-ügyféleszközök esetén azt javasoljuk, hogy kezdje az alapoktól a Microsoft 365-öt és az Intune-t (ebben a cikkben).

  1. Állítsa be a hibrid Active Directoryt és a Microsoft Entra-azonosítót az eszközeihez. A Microsoft Entra hibrid csatlakoztatott eszközök csatlakoznak a helyszíni Active Directoryhoz, és regisztrálva vannak a Microsoft Entra-azonosítójával. Ha az eszközök a Microsoft Entra ID-ban vannak, az Intune-ban is elérhetők.

    A hibrid Microsoft Entra ID támogatja a Windows-eszközöket. További előfeltételekért, beleértve a bejelentkezési követelményeket, tekintse meg a Microsoft Entra hibrid csatlakozás implementálásának megtervezését ismertető cikket.

  2. A Configuration Managerben állítsa be a társfelügyeletet.

  3. Állítsa be az Intune-t, beleértve az MDM-szolgáltató Intune-ra állítását is.

  4. A Configuration Managerben húzza az összes számítási feladatot a Configuration Managerből az Intune-ba.

  5. Távolítsa el a Configuration Manager-ügyfelet az eszközökön. További információ: Az ügyfél eltávolítása.

    Az Intune beállítása után létrehozhat egy Intune-alkalmazáskonfigurációs szabályzatot, amely eltávolítja a Configuration Manager-ügyfelet. Megfordíthatja például a Configuration Manager-ügyfél intune-beli telepítésével kapcsolatos szakasz lépéseit.

Az eszközök regisztrálhatók az Intune-ban, és megkaphatják a szabályzatokat.

Fontos

A hibrid Microsoft Entra ID csak a Windows-eszközöket támogatja. A Configuration Manager támogatja a Windows- és macOS-eszközöket. A Configuration Managerben felügyelt macOS-eszközök esetében a következőket teheti:

  1. Távolítsa el a Configuration Manager-ügyfelet. Az eltávolításkor az eszközök nem kapják meg a szabályzatokat, beleértve a védelmet biztosító szabályzatokat. Mindaddig sebezhetők, amíg nem regisztrálnak az Intune-ban, és nem kapják meg az új szabályzatokat.
  2. Regisztrálja az eszközöket az Intune-ban a szabályzatok fogadásához.

A biztonsági rések minimalizálása érdekében helyezze át a macOS-eszközöket az Intune beállítása után, és amikor a regisztrációs szabályzatok készen állnak az üzembe helyezésre.

4. lehetőség – Az alapoktól kezdve a Microsoft 365-ben és az Intune-ban

Ez a beállítás a Windows-ügyféleszközökre vonatkozik. Ha Windows Servert használ, például Windows Server 2022-t, akkor ne használja ezt a lehetőséget. Használja a Configuration Managert.

A Windows-ügyféleszközök kezelése:

  1. Telepítse a Microsoft 365-öt, beleértve a felhasználók és csoportok létrehozását is. Ne használja vagy konfigurálja a Microsoft 365 Basic Mobility and Security szolgáltatást.

    Hasznos hivatkozások:

  2. Állítsa be az Intune-t, beleértve az MDM-szolgáltató Intune-ra állítását is.

  3. A meglévő eszközökön távolítsa el a Configuration Manager-ügyfelet. További információ: Az ügyfél eltávolítása.

Az eszközök regisztrálhatók az Intune-ban, és megkaphatják a szabályzatokat.

Jelenleg helyszíni csoportházirendet használ

A felhőben az MDM-szolgáltatók, például az Intune kezelik az eszközök beállításait és funkcióit. A csoportházirend-objektumok (GPO) nem használatosak.

Az eszközök kezelésekor az Intune eszközkonfigurációs profiljai lecserélik a helyszíni csoportházirend-objektumot. Az eszközkonfigurációs profilok az Apple, a Google és a Microsoft által közzétett beállításokat használják.

Konkrétan:

Amikor eszközöket helyez át a csoportházirendből, használja a csoportházirend-elemzést. A csoportházirend-elemzés az Intune egy olyan eszköze és funkciója, amely elemzi a csoportházirend-objektumokat. Az Intune-ban importálhatja a csoportházirend-objektumokat, és megtekintheti, hogy mely szabályzatok érhetők el (és melyek nem érhetők el) az Intune-ban. Az Intune-ban elérhető szabályzatok esetében létrehozhat egy beállításkatalógus-szabályzatot az importált beállításokkal. A funkcióról további információt a Beállításokkatalógus-szabályzat létrehozása az importált csoportházirend-objektumok használatával a Microsoft Intune-ban című témakörben talál.

Következő lépés: 1. lépés: A Microsoft Intune beállítása.

Jelenleg a Microsoft 365 Alapszintű mobilitás és biztonság használata

Ha Microsoft 365 Alapszintű mobilitási és biztonsági szabályzatokat hozott létre és helyezett üzembe, akkor migrálhatja a felhasználókat, csoportokat és házirendeket a Microsoft Intune-ba.

További információt a Migrálás a Microsoft 365 Alapszintű mobilitási és biztonsági verzióról az Intune-ra című témakörben talál.

Bérlőről bérlőre történő áttelepítés

A bérlő az Ön szervezete a Microsoft Entra-azonosítóban, például a Contoso-ban. Tartalmaz egy dedikált Microsoft Entra-szolgáltatáspéldányt, amelyet a Contoso kap, amikor microsoftos felhőszolgáltatást kap, például a Microsoft Intune-t vagy a Microsoft 365-öt. A Microsoft Entra-azonosítót az Intune és a Microsoft 365 használja a felhasználók és eszközök azonosítására, a létrehozott szabályzatokhoz való hozzáférés szabályozására és egyebekre.

Az Intune-ban exportálhat és importálhat néhány szabályzatot a Microsoft Graph és a Windows PowerShell használatával.

Létrehozhat például egy Microsoft Intune próbaverziós előfizetést. Ebben az előfizetési próbaverziós bérlőben olyan szabályzatokkal rendelkezik, amelyek alkalmazásokat és funkciókat konfigurálnak, ellenőrzik a megfelelőséget és egyebeket. Ezeket a szabályzatokat egy másik bérlőre szeretné áthelyezni.

Ez a szakasz bemutatja, hogyan használhatja a Microsoft Graph-szkripteket a bérlői migráláshoz. Felsorol néhány olyan házirendtípust is, amelyek exportálhatók vagy nem exportálhatók.

Fontos

  • Ezek a lépések az Intune béta graph-mintáit használják a GitHubon. A mintaszkriptek módosításokat hajtanak végre a bérlőn. Jelenleg is elérhetők, és nem éles vagy "tesztelési" bérlői fiókkal kell ellenőrizni őket. Győződjön meg arról, hogy a szkriptek megfelelnek a szervezet biztonsági irányelveinek.
  • A szkriptek nem exportálnak és importálnak minden szabályzatot, például tanúsítványprofilokat. Várhatóan több feladatot hajt végre, mint ami ezekben a szkriptekben elérhető. Újra létre kell hoznia néhány szabályzatot.
  • A felhasználó eszközének áttelepítéséhez a felhasználónak törölnie kell az eszköz regisztrációját a régi bérlőből, majd újra regisztrálnia kell az új bérlőben.

Töltse le a mintákat, és futtassa a szkriptet

Ez a szakasz a lépések áttekintését tartalmazza. Használja ezeket a lépéseket útmutatóként, és tudja, hogy az egyes lépések eltérhetnek.

  1. Töltse le a mintákat, és a Windows PowerShell használatával exportálja a szabályzatokat:

    1. Lépjen a microsoftgraph/powershell-intune-samples webhelyre, és válassza a Kód>letöltése ZIP lehetőséget. Bontsa ki a .zip fájl tartalmát.

    2. Nyissa meg a Windows PowerShell alkalmazást rendszergazdaként, és módosítsa a könyvtárat a mappájára. Írja be például a következő parancsot:

      cd C:\psscripts\powershell-intune-samples-master

    3. Telepítse az AzureAD PowerShell-modult:

      Install-Module AzureAD

      Válassza az Y lehetőséget a modul nem megbízható adattárból való telepítéséhez. A telepítés eltarthat néhány percig.

    4. Módosítsa a könyvtárat a futtatni kívánt szkriptet tartalmazó mappára. Módosítsa például a könyvtárat a CompliancePolicy mappára:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    5. Futtassa az exportálási szkriptet. Írja be például a következő parancsot:

      .\CompliancePolicy_Export.ps1

      Jelentkezzen be a fiókjával. Amikor a rendszer kéri, adja meg a szabályzatok elhelyezésének elérési útját. Írja be például a következőt:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

    A rendszer exportálja a házirendeket a mappába.

  2. Importálja a szabályzatokat az új bérlőbe:

    1. Módosítsa a könyvtárat a futtatni kívánt szkripttel rendelkező PowerShell-mappára. Módosítsa például a könyvtárat a CompliancePolicy mappára:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    2. Futtassa az importálási szkriptet. Írja be például a következő parancsot:

      .\CompliancePolicy_Import_FromJSON.ps1

      Jelentkezzen be a fiókjával. Amikor a rendszer kéri, adja meg az importálni kívánt házirendfájl .json elérési útját. Írja be például a következőt:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

  3. Jelentkezzen be az Intune Felügyeleti központba. Megjelennek az importált szabályzatok.

Mit nem tehet?

Vannak olyan szabályzattípusok, amelyeket nem lehet exportálni. Vannak olyan házirendtípusok, amelyek exportálhatók, de nem importálhatók egy másik bérlőbe. Útmutatóként használja az alábbi listát. Tudd meg, hogy vannak más szabályzattípusok, amelyek nem szerepelnek a listában.

Szabályzat vagy profil típusa Információ
Alkalmazások  
Üzletági Android-alkalmazások ❌ Kivitel
❌ Importál

Az üzletági alkalmazás új bérlőhöz való hozzáadásához az eredeti .apk alkalmazás forrásfájljaira is szüksége lesz.
Apple – Mennyiségi vásárlási program (VPP) ❌ Kivitel
❌ Importál

Ezek az alkalmazások szinkronizálva vannak az Apple VPP-vel. Az új bérlőben adja hozzá a VPP-jogkivonatot, amely megjeleníti az elérhető alkalmazásokat.
iOS/iPadOS üzletági alkalmazások ❌ Kivitel
❌ Importál

Az üzletági alkalmazás új bérlőhöz való hozzáadásához az eredeti .ipa alkalmazás forrásfájljaira is szüksége lesz.
Felügyelt Google Play ❌ Kivitel
❌ Importál

Ezek az alkalmazások és weblinkek szinkronizálva vannak a felügyelt Google Play áruházzal. Az új bérlőben hozzáadja a felügyelt Google Play-fiókját, amely megjeleníti az elérhető alkalmazásokat.
Microsoft Store Vállalatoknak ❌ Kivitel
❌ Importál

Ezek az alkalmazások szinkronizálva vannak a Vállalati Microsoft Áruházzal. Az új bérlőben fel kell vennie a Vállalati Microsoft Store-fiókját, amely megjeleníti az elérhető alkalmazásokat.
Windows-alkalmazás (Win32) ❌ Kivitel
❌ Importál

Az üzletági alkalmazás új bérlőhöz való hozzáadásához az eredeti .intunewin alkalmazás forrásfájljaira is szüksége lesz.
Megfelelőségi házirendek  
Meg nem felelés esetén végrehajtandó műveletek ❌ Kivitel
❌ Importál

Lehetséges, hogy egy e-mail sablonra mutató hivatkozás található. Ha nem megfelelőségi műveletekkel rendelkező szabályzatot importál, a rendszer a meg nem felelés alapértelmezett műveleteit ad hozzá.
Hozzárendelések ✅ Kivitel
❌ Importál

A hozzárendelések egy csoportazonosítóra vannak megcélzva. Egy új bérlőben a csoportazonosító eltérő.
Konfigurációs profilok  
E-mail ✅ Kivitel

✅ Ha egy e-mail-profil nem használ tanúsítványokat, akkor az importálásnak működnie kell.
❌ Ha egy e-mail-profil főtanúsítványt használ, akkor a profil nem importálható új bérlőbe. A főtanúsítvány-azonosító eltérő egy új bérlőben.
SCEP-tanúsítvány ✅ Kivitel

❌ Importál

Az SCEP-tanúsítványprofilok főtanúsítványt használnak. A főtanúsítvány-azonosító eltérő egy új bérlőben.
VPN ✅ Kivitel

✅ Ha egy VPN-profil nem használ tanúsítványokat, az importálásnak működnie kell.
❌ Ha egy VPN-profil főtanúsítványt használ, akkor a profil nem importálható új bérlőbe. A főtanúsítvány-azonosító eltérő egy új bérlőben.
Wi-Fi ✅ Kivitel

✅ Ha egy Wi-Fi profil nem használ tanúsítványokat, akkor az importálásnak működnie kell.
❌ Ha egy Wi-Fi profil főtanúsítványt használ, akkor a profil nem importálható új bérlőbe. A főtanúsítvány-azonosító eltérő egy új bérlőben.
Hozzárendelések ✅ Kivitel
❌ Importál

A hozzárendelések egy csoportazonosítóra vannak megcélzva. Egy új bérlőben a csoportazonosító eltérő.
Végpontbiztonság  
Végponti észlelés és reagálás ❌ Kivitel
❌ Importál

Ez a szabályzat a Végponthoz készült Microsoft Defenderhez van kapcsolva. Az új bérlőben konfigurálja a Végponthoz készült Microsoft Defendert, amely automatikusan tartalmazza a végpontészlelési és -válaszszabályzatot .

Következő lépések