Migratiehandleiding: Microsoft Intune instellen of verplaatsen
Nadat u de overstap naar Microsoft Intune hebt gepland, moet u in de volgende stap de migratiebenadering kiezen die geschikt is voor uw organisatie. Deze beslissingen zijn afhankelijk van uw huidige MDM-omgeving (Mobile Device Management), bedrijfsdoelen en technische vereisten.
In deze migratiehandleiding vindt u een overzicht en beschrijving van uw opties om over te stappen op Intune, zoals:
- U gebruikt geen beheeroplossing voor mobiele apparaten
- U gebruikt een MDM-oplossing van een externe partner
- U gebruikt Configuration Manager
- U gebruikt on-premises groepsbeleid
- U gebruikt Microsoft 365 Basic Mobility and Security
Gebruik deze handleiding om de beste migratiebenadering te bepalen en enkele richtlijnen & aanbevelingen te krijgen.
Tip
-
Deze gids is een levend ding. Zorg er dus voor dat u bestaande tips en richtlijnen toevoegt of bijwerkt die u nuttig vindt.
Als aanvulling op dit artikel heeft het Microsoft 365-beheercentrum ook enkele richtlijnen voor het instellen. De handleiding past uw ervaring aan op basis van uw omgeving. Voor toegang tot deze implementatiehandleiding gaat u naar de Installatiehandleiding voor Microsoft Intune in het Microsoft 365-beheercentrum en meldt u zich (minimaal) aan met de globale lezer . Ga naar Geavanceerde implementatiehandleidingen voor Microsoft 365- en Office 365-producten voor meer informatie over deze implementatiehandleidingen en de benodigde rollen.
Als u de aanbevolen procedures wilt bekijken zonder u aan te melden en de functies voor geautomatiseerde installatie te activeren, gaat u naar de M365 Setup-portal.
Voordat u begint
Microsoft Intune is een cloudeigen oplossing waarmee u identiteiten, apparaten en apps kunt beheren. Als het uw doel is om cloudeigen te worden, kunt u meer informatie vinden in de volgende artikelen:
Uw Intune-implementatie kan afwijken van een eerdere MDM-implementatie. Intune maakt gebruik van identiteitsgestuurd toegangsbeheer. Er is geen netwerkproxy vereist voor toegang tot organisatiegegevens van apparaten buiten uw netwerk.
Momenteel niets gebruiken
Als u momenteel geen MDM- of MAM-provider (Mobile Application Management) gebruikt, hebt u enkele opties:
Microsoft Intune: als u een cloudoplossing wilt en klaar bent voor volledig apparaatbeheer, gaat u rechtstreeks naar Intune. U kunt Intune gebruiken om te controleren op naleving, apparaatfuncties te configureren, apps te implementeren en systeem-& app-updates te installeren. U profiteert ook van de voordelen van het Microsoft Intune-beheercentrum, een webconsole.
Configuration Manager: Als u de functies van Configuration Manager (on-premises) wilt combineren met Intune (cloud), kunt u overwegen tenantkoppeling (in dit artikel) of co-beheer (in dit artikel).
Configuration Manager kan het volgende doen:
- Beheer on-premises Windows Server en sommige clientapparaten.
- Software-updates van partners of derden beheren.
- Aangepaste takenreeksen maken bij het implementeren van het Windows-besturingssysteem.
- Veel app-typen implementeren en beheren.
Momenteel een EXTERNE MDM-provider gebruiken
Apparaten mogen slechts één MDM-provider hebben. Als u een andere MDM-provider gebruikt, zoals Workspace ONE (voorheen AirWatch), MobileIron of MaaS360, kunt u overstappen op Intune.
Gebruikers moeten hun apparaten uitschrijven bij de huidige MDM-provider voordat ze zich inschrijven bij Intune.
Intune instellen, inclusief het instellen van de MDM-instantie op Intune.
Ga voor meer informatie naar:
Apps implementeren en app-beveiligingsbeleid maken. Het idee is om organisatiegegevens in uw apps te beschermen tijdens de migratie en totdat apparaten zijn ingeschreven & beheerd door Intune.
Ga voor meer informatie naar Stap 2- Apps toevoegen, configureren en beveiligen met Intune.
De registratie van apparaten bij de huidige MDM-provider ongedaan maken.
Wanneer apparaten worden uitgeschreven, ontvangen ze uw beleid niet, inclusief beleidsregels die bescherming bieden. De apparaten zijn kwetsbaar totdat ze worden ingeschreven bij Intune en uw nieuwe beleid ontvangen.
Geef gebruikers specifieke stappen voor het ongedaan maken van de registratie. Neem richtlijnen op van uw bestaande MDM-provider voor het ongedaan maken van de registratie van apparaten. Duidelijke en nuttige communicatie minimaliseert downtime van eindgebruikers, ontevredenheid en helpdeskgesprekken.
Optioneel, maar aanbevolen. Als u Microsoft Entra ID P1 of P2 hebt, gebruikt u ook voorwaardelijke toegang om apparaten te blokkeren totdat ze worden ingeschreven bij Intune.
Ga voor meer informatie naar Stap 3: nalevingsbeleid plannen.
Optioneel, maar aanbevolen. Maak een basislijn voor naleving en apparaatinstellingen die alle gebruikers en apparaten moeten hebben. Deze beleidsregels kunnen worden geïmplementeerd wanneer gebruikers zich inschrijven bij Intune.
Ga voor meer informatie naar:
Inschrijven bij Intune. Zorg ervoor dat u gebruikers specifieke inschrijvingsstappen geeft.
Ga voor meer informatie naar:
Belangrijk
Configureer Intune en een bestaande MDM-oplossing van derden niet tegelijkertijd om toegangsbeheer toe te passen op resources, waaronder Exchange of SharePoint.
Aanbevelingen:
Als u overstapt van een PARTNER MDM/MAM-provider, noteer dan de taken die u uitvoert en de functies die u gebruikt. Deze informatie geeft een idee van welke taken u ook in Intune moet uitvoeren.
Gebruik een gefaseerde benadering. Begin met een kleine groep testgebruikers en voeg meer groepen toe totdat u de implementatie op volledige schaal hebt bereikt.
Bewaak de helpdeskbelasting en het succes van de inschrijving van elke fase. Laat de tijd in de planning staan om de succescriteria voor elke groep te evalueren voordat u de volgende groep migreert.
De testimplementatie moet de volgende taken valideren:
Het aantal geslaagde en mislukte inschrijvingen valt binnen uw verwachtingen.
Gebruikersproductiviteit:
- Bedrijfsresources werken, waaronder VPN, Wi-Fi, e-mail en certificaten.
- Geïmplementeerde apps zijn toegankelijk.
Gegevensbeveiliging:
- Bekijk nalevingsrapporten en zoek naar veelvoorkomende problemen en trends. Communiceer problemen, oplossingen en trends met uw helpdesk.
- Beveiliging van mobiele apps wordt toegepast.
Wanneer u tevreden bent met de eerste fase van de migraties, herhaalt u de migratiecyclus voor de volgende fase.
- Herhaal de gefaseerde cycli totdat alle gebruikers zijn gemigreerd naar Intune.
- Controleer of de helpdesk klaar is om eindgebruikers tijdens de migratie te ondersteunen. Voer een vrijwillige migratie uit totdat u de workload van de ondersteuningsoproep kunt schatten.
- Stel geen deadlines voor inschrijving in totdat uw helpdesk alle resterende gebruikers kan verwerken.
Nuttige informatie:
- Aan de slag met Intune
- Implementatiehandleiding voor Intune-inschrijving
- Stap 1: Intune en uw tenant instellen
Momenteel Configuration Manager gebruiken
Configuration Manager ondersteunt Windows-servers en Windows & macOS-clientapparaten. Als uw organisatie andere platforms gebruikt, moet u de apparaten mogelijk opnieuw instellen en vervolgens registreren bij Intune. Zodra ze zijn ingeschreven, ontvangen ze het beleid en de profielen die u maakt. Zie de implementatiehandleiding voor Intune-inschrijving voor meer informatie.
Als u momenteel Configuration Manager gebruikt en Intune wilt gebruiken, hebt u de volgende opties.
Optie 1: tenantkoppeling toevoegen
Met tenantkoppeling kunt u uw Configuration Manager-apparaten uploaden naar uw organisatie in Intune, ook wel een 'tenant' genoemd. Nadat u uw apparaten hebt gekoppeld, gebruikt u het Microsoft Intune-beheercentrum om externe acties uit te voeren, zoals het synchroniseren van computer- en gebruikersbeleid. U kunt ook uw on-premises servers bekijken en informatie over het besturingssysteem ophalen.
Tenantkoppeling is gratis opgenomen in uw Configuration Manager-licentie voor co-beheer . Dit is de eenvoudigste manier om de cloud (Intune) te integreren met uw on-premises configuratie van Configuration Manager.
Zie Tenantkoppeling inschakelen voor meer informatie.
Optie 2: co-beheer instellen
Deze optie maakt gebruik van Configuration Manager voor sommige workloads en gebruikt Intune voor andere workloads.
- Stel in Configuration Manager co-beheer in.
- Intune instellen, inclusief het instellen van de MDM-instantie op Intune.
Apparaten zijn klaar om te worden ingeschreven bij Intune en ontvangen uw beleid.
Nuttige informatie:
- Wat is co-beheer?
- Workloads voor co-beheer
- Configuration Manager-workloads overschakelen naar Intune
- Veelgestelde vragen over Configuration Manager-producten en -licenties
Optie 3: overstappen van Configuration Manager naar Intune
De meeste bestaande Configuration Manager-klanten willen Configuration Manager blijven gebruiken. Het omvat services die nuttig zijn voor on-premises apparaten.
Deze stappen zijn een overzicht en zijn alleen opgenomen voor gebruikers die een 100% cloudoplossing willen. Met deze optie kunt u het volgende doen:
- Registreer bestaande on-premises Active Directory Windows-clientapparaten als apparaten in Microsoft Entra ID.
- Verplaats uw bestaande on-premises Configuration Manager-workloads naar Intune.
Deze optie is meer werk voor beheerders, maar kan een meer naadloze ervaring creëren voor bestaande Windows-clientapparaten. Voor nieuwe Windows-clientapparaten raden we u aan helemaal opnieuw te beginnen met Microsoft 365 en Intune (in dit artikel).
Hybride Active Directory en Microsoft Entra ID instellen voor uw apparaten. Hybride gekoppelde Microsoft Entra-apparaten worden toegevoegd aan uw on-premises Active Directory en geregistreerd met uw Microsoft Entra-id. Wanneer apparaten zich in Microsoft Entra ID bevinden, zijn ze ook beschikbaar voor Intune.
Hybride Microsoft Entra ID ondersteunt Windows-apparaten. Zie De implementatie van uw Microsoft Entra Hybrid Join plannen voor andere vereisten, waaronder aanmeldingsvereisten.
Stel in Configuration Manager co-beheer in.
Intune instellen, inclusief het instellen van de MDM-instantie op Intune.
Schuif in Configuration Manager alle workloads van Configuration Manager naar Intune.
Verwijder op de apparaten de Configuration Manager-client. Zie De client verwijderen voor meer informatie.
Zodra Intune is ingesteld, kunt u een Intune-app-configuratiebeleid maken waarmee de Configuration Manager-client wordt verwijderd. U kunt bijvoorbeeld de stappen in De Configuration Manager-client installeren met behulp van Intune omkeren.
Apparaten zijn klaar om te worden ingeschreven bij Intune en ontvangen uw beleid.
Belangrijk
Hybride Microsoft Entra ID ondersteunt alleen Windows-apparaten. Configuration Manager ondersteunt Windows- en macOS-apparaten. Voor macOS-apparaten die worden beheerd in Configuration Manager, kunt u het volgende doen:
- Verwijder de Configuration Manager-client. Wanneer u verwijdert, ontvangen de apparaten uw beleid niet, inclusief beleidsregels die bescherming bieden. Ze zijn kwetsbaar totdat ze zich inschrijven bij Intune en uw nieuwe beleid gaan ontvangen.
- Registreer de apparaten in Intune om beleidsregels te ontvangen.
U kunt beveiligingsproblemen minimaliseren door macOS-apparaten te verplaatsen nadat Intune is ingesteld en wanneer uw inschrijvingsbeleid klaar is om te worden geïmplementeerd.
Optie 4: helemaal opnieuw beginnen met Microsoft 365 en Intune
Deze optie is van toepassing op Windows-clientapparaten. Als u Windows Server gebruikt, zoals Windows Server 2022, gebruikt u deze optie niet. Gebruik Configuration Manager.
Uw Windows-clientapparaten beheren:
Microsoft 365 implementeren, inclusief het maken van gebruikers en groepen. Gebruik of configureer Microsoft 365 Basic Mobility and Security niet.
Nuttige koppelingen:
Intune instellen, inclusief het instellen van de MDM-instantie op Intune.
Verwijder op bestaande apparaten de Configuration Manager-client. Zie De client verwijderen voor meer informatie.
Apparaten zijn klaar om te worden ingeschreven bij Intune en ontvangen uw beleid.
Momenteel on-premises groepsbeleid gebruiken
In de cloud beheren MDM-providers, zoals Intune, instellingen en functies op apparaten. Groepsbeleidsobjecten (GPO) worden niet gebruikt.
Wanneer u apparaten beheert, vervangen intune-apparaatconfiguratieprofielen het on-premises groepsbeleidsobject. Apparaatconfiguratieprofielen gebruiken instellingen die worden weergegeven door Apple, Google en Microsoft.
Meer specifiek:
- Op Android-apparaten maken deze profielen gebruik van de Android Management-API en de EMM-API.
- Op Apple-apparaten gebruiken deze profielen de nettoladingen voor apparaatbeheer.
- Op Windows-apparaten maken deze profielen gebruik van de Windows-configuratieserviceproviders (CSP's).
Wanneer u apparaten vanuit groepsbeleid verplaatst, gebruikt u Analyse van groepsbeleid. Analyse van groepsbeleid is een hulpprogramma en functie in Intune waarmee uw GPO's worden geanalyseerd. In Intune importeert u uw GPO's en ziet u welke beleidsregels beschikbaar (en niet beschikbaar) zijn in Intune. Voor de beleidsregels die beschikbaar zijn in Intune, kunt u een catalogusbeleid voor instellingen maken met behulp van de instellingen die u hebt geïmporteerd. Ga voor meer informatie over deze functie naar Een instellingencatalogusbeleid maken met behulp van uw geïmporteerde groepsbeleidsobjecten in Microsoft Intune.
Vervolgens stap 1: Microsoft Intune instellen.
Momenteel Microsoft 365 Basic Mobility and Security gebruiken
Als u Microsoft 365 Basic Mobility and Security-beleid hebt gemaakt en geïmplementeerd, kunt u de gebruikers, groepen en beleidsregels migreren naar Microsoft Intune.
Ga voor meer informatie naar Migreren van Microsoft 365 Basic Mobility and Security naar Intune.
Migratie van tenant naar tenant
Een tenant is uw organisatie in Microsoft Entra ID, zoals Contoso. Het bevat een toegewezen Microsoft Entra-service-exemplaar dat Contoso ontvangt wanneer het een Microsoft-cloudservice krijgt, zoals Microsoft Intune of Microsoft 365. Microsoft Entra ID wordt gebruikt door Intune en Microsoft 365 om gebruikers en apparaten te identificeren, de toegang tot het beleid dat u maakt te beheren en meer.
In Intune kunt u bepaalde beleidsregels exporteren en importeren met behulp van Microsoft Graph en Windows PowerShell.
U maakt bijvoorbeeld een Microsoft Intune-proefabonnement. In deze proeftenant van het abonnement hebt u beleidsregels waarmee apps en functies worden geconfigureerd, naleving wordt gecontroleerd en meer. U wilt dit beleid verplaatsen naar een andere tenant.
In deze sectie wordt beschreven hoe u de Microsoft Graph-scripts gebruikt voor een migratie van tenant naar tenant. Er worden ook enkele beleidstypen vermeld die al dan niet kunnen worden geëxporteerd.
Belangrijk
- In deze stappen worden de voorbeelden van Intune beta Graph op GitHub gebruikt. De voorbeeldscripts brengen wijzigingen aan in uw tenant. Ze zijn als zodanig beschikbaar en moeten worden gevalideerd met een niet-productie- of testtenantaccount. Zorg ervoor dat de scripts voldoen aan de beveiligingsrichtlijnen van uw organisatie.
- De scripts exporteren en importeren niet elk beleid, zoals certificaatprofielen. Verwacht meer taken uit te voeren dan wat beschikbaar is in deze scripts. U moet een aantal beleidsregels opnieuw maken.
- Als u het apparaat van een gebruiker wilt migreren, moet de gebruiker de registratie van het apparaat bij de oude tenant ongedaan maken en zich vervolgens opnieuw inschrijven bij de nieuwe tenant.
Download de voorbeelden en voer het script uit
Deze sectie bevat een overzicht van de stappen. Gebruik deze stappen als richtlijn en weet dat uw specifieke stappen anders kunnen zijn.
Download de voorbeelden en gebruik Windows PowerShell om uw beleid te exporteren:
Ga naar microsoftgraph/powershell-intune-samples en selecteer Code>downloaden ZIP. Pak de inhoud van het bestand uit
.zip
.Open de Windows PowerShell-app als beheerder en wijzig de map in uw map. Voer bijvoorbeeld de volgende opdracht in:
cd C:\psscripts\powershell-intune-samples-master
Installeer de AzureAD PowerShell-module:
Install-Module AzureAD
Selecteer Y om de module te installeren vanuit een niet-vertrouwde opslagplaats. De installatie kan enkele minuten duren.
Wijzig de map in de map met het script dat u wilt uitvoeren. Wijzig bijvoorbeeld de map in de
CompliancePolicy
map:cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy
Voer het exportscript uit. Voer bijvoorbeeld de volgende opdracht in:
.\CompliancePolicy_Export.ps1
Meld u aan met uw account. Wanneer u hierom wordt gevraagd, voert u het pad in om het beleid te plaatsen. Voer bijvoorbeeld het volgende in:
C:\psscripts\ExportedIntunePolicies\CompliancePolicies
In uw map worden de beleidsregels geëxporteerd.
Importeer uw beleid in uw nieuwe tenant:
Wijzig de map in de PowerShell-map met het script dat u wilt uitvoeren. Wijzig bijvoorbeeld de map in de
CompliancePolicy
map:cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy
Voer het importscript uit. Voer bijvoorbeeld de volgende opdracht in:
.\CompliancePolicy_Import_FromJSON.ps1
Meld u aan met uw account. Wanneer u hierom wordt gevraagd, voert u het pad in naar het beleidsbestand
.json
dat u wilt importeren. Voer bijvoorbeeld het volgende in:C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json
Meld u aan bij het Microsoft Intune-beheercentrum. De beleidsregels die u hebt geïmporteerd, worden weergegeven.
Wat u niet kunt doen
Er zijn enkele beleidstypen die niet kunnen worden geëxporteerd. Er zijn enkele beleidstypen die kunnen worden geëxporteerd, maar niet kunnen worden geïmporteerd in een andere tenant. Gebruik de volgende lijst als richtlijn. Weet dat er andere beleidstypen zijn die niet worden vermeld.
Beleid of profieltype | Informatie |
---|---|
Toepassingen | |
Android Line-Of-Business-apps |
❌ Exporteren ❌ Importeren Als u uw LOB-app wilt toevoegen aan een nieuwe tenant, hebt u ook de oorspronkelijke .apk bronbestanden van de toepassing nodig. |
Apple – Volume Purchase Program (VPP) |
❌ Exporteren ❌ Importeren Deze apps worden gesynchroniseerd met de Apple VPP. In de nieuwe tenant voegt u uw VPP-token toe, waarin uw beschikbare apps worden weergegeven. |
Line-Of-Business-apps voor iOS/iPadOS |
❌ Exporteren ❌ Importeren Als u uw LOB-app wilt toevoegen aan een nieuwe tenant, hebt u ook de oorspronkelijke .ipa bronbestanden van de toepassing nodig. |
Beheerde Google Play |
❌ Exporteren ❌ Importeren Deze apps en weblinks worden gesynchroniseerd met Beheerde Google Play. In de nieuwe tenant voegt u uw beheerde Google Play-account toe, waarin uw beschikbare apps worden weergegeven. |
Microsoft Store voor Bedrijven |
❌ Exporteren ❌ Importeren Deze apps worden gesynchroniseerd met de Microsoft Store voor Bedrijven. In de nieuwe tenant voegt u uw Microsoft Store voor Bedrijven-account toe, waarin uw beschikbare apps worden weergegeven. |
Windows-app (Win32) |
❌ Exporteren ❌ Importeren Als u uw LOB-app wilt toevoegen aan een nieuwe tenant, hebt u ook de oorspronkelijke .intunewin bronbestanden van de toepassing nodig. |
Nalevingsbeleidsregels | |
Acties voor niet-naleving |
❌ Exporteren ❌ Importeren Het is mogelijk dat er een koppeling naar een e-mailsjabloon is. Wanneer u een beleid importeert dat niet-nalevingsacties bevat, worden in plaats daarvan de standaardacties voor niet-naleving toegevoegd. |
Toewijzingen |
✅ Exporteren ❌ Importeren Toewijzingen zijn gericht op een groeps-id. In een nieuwe tenant is de groeps-id anders. |
Configuratieprofielen | |
✅ Exporteren ✅ Als een e-mailprofiel geen certificaten gebruikt, zou het importeren moeten werken. ❌ Als een e-mailprofiel gebruikmaakt van een basiscertificaat, kan het profiel niet worden geïmporteerd in een nieuwe tenant. De basiscertificaat-id is anders in een nieuwe tenant. |
|
SCEP-certificaat |
✅ Exporteren ❌ Importeren SCEP-certificaatprofielen gebruiken een basiscertificaat. De basiscertificaat-id is anders in een nieuwe tenant. |
VPN |
✅ Exporteren ✅ Als een VPN-profiel geen certificaten gebruikt, zou het importeren moeten werken. ❌ Als een VPN-profiel gebruikmaakt van een basiscertificaat, kan het profiel niet worden geïmporteerd in een nieuwe tenant. De basiscertificaat-id is anders in een nieuwe tenant. |
Wi-Fi |
✅ Exporteren ✅ Als een Wi-Fi-profiel geen certificaten gebruikt, zou het importeren moeten werken. ❌ Als een Wi-Fi-profiel een basiscertificaat gebruikt, kan het profiel niet worden geïmporteerd in een nieuwe tenant. De basiscertificaat-id is anders in een nieuwe tenant. |
Toewijzingen |
✅ Exporteren ❌ Importeren Toewijzingen zijn gericht op een groeps-id. In een nieuwe tenant is de groeps-id anders. |
Eindpuntbeveiliging | |
Detectie van en reactie op eindpunt |
❌ Exporteren ❌ Importeren Dit beleid is gekoppeld aan Microsoft Defender voor Eindpunt. In de nieuwe tenant configureert u Microsoft Defender voor Eindpunt, dat automatisch het beleid voor eindpuntdetectie en -respons bevat. |