Migratiehandleiding: Instellen of verplaatsen naar Microsoft Intune

Nadat u de overstap naar Microsoft Intune hebt gepland, moet u in de volgende stap de migratiebenadering kiezen die geschikt is voor uw organisatie. Deze beslissingen zijn afhankelijk van uw huidige MDM-omgeving (Mobile Device Management), bedrijfsdoelen en technische vereisten.

In deze migratiehandleiding vindt u een overzicht en beschrijving van uw opties om over te stappen op Intune, zoals:

  • U gebruikt geen beheeroplossing voor mobiele apparaten
  • U gebruikt een MDM-oplossing van een externe partner
  • U gebruikt Configuration Manager
  • U gebruikt on-premises groepsbeleid
  • U gebruikt Microsoft 365 Basic Mobility and Security

Gebruik deze handleiding om de beste migratiebenadering te bepalen en enkele richtlijnen & aanbevelingen te krijgen.

Tip

Voordat u begint

  • Microsoft Intune is een cloudeigen oplossing waarmee u identiteiten, apparaten en apps kunt beheren. Als het uw doel is om cloudeigen te worden, kunt u meer informatie vinden in de volgende artikelen:

  • Uw Intune-implementatie kan afwijken van een eerdere MDM-implementatie. Intune maakt gebruik van identiteitsgestuurd toegangsbeheer. Er is geen netwerkproxy vereist voor toegang tot organisatiegegevens van apparaten buiten uw netwerk.

Momenteel niets gebruiken

Als u momenteel geen MDM- of MAM-provider (Mobile Application Management) gebruikt, hebt u enkele opties:

Momenteel een EXTERNE MDM-provider gebruiken

Apparaten mogen slechts één MDM-provider hebben. Als u een andere MDM-provider gebruikt, zoals Workspace ONE (voorheen AirWatch), MobileIron of MaaS360, kunt u overstappen op Intune.

Gebruikers moeten hun apparaten uitschrijven bij de huidige MDM-provider voordat ze zich inschrijven bij Intune.

  1. Intune instellen, inclusief het instellen van de MDM-instantie op Intune.

    Ga voor meer informatie naar:

  2. Apps implementeren en app-beveiligingsbeleid maken. Het idee is om organisatiegegevens in uw apps te beschermen tijdens de migratie en totdat apparaten zijn ingeschreven & beheerd door Intune.

    Ga voor meer informatie naar Stap 2- Apps toevoegen, configureren en beveiligen met Intune.

  3. De registratie van apparaten bij de huidige MDM-provider ongedaan maken.

    Wanneer apparaten worden uitgeschreven, ontvangen ze uw beleid niet, inclusief beleidsregels die bescherming bieden. De apparaten zijn kwetsbaar totdat ze worden ingeschreven bij Intune en uw nieuwe beleid ontvangen.

    Geef gebruikers specifieke stappen voor het ongedaan maken van de registratie. Neem richtlijnen op van uw bestaande MDM-provider voor het ongedaan maken van de registratie van apparaten. Duidelijke en nuttige communicatie minimaliseert downtime van eindgebruikers, ontevredenheid en helpdeskgesprekken.

  4. Optioneel, maar aanbevolen. Als u Microsoft Entra-id P1 of P2 hebt, gebruikt u ook voorwaardelijke toegang om apparaten te blokkeren totdat ze worden ingeschreven bij Intune.

    Ga voor meer informatie naar Stap 3: nalevingsbeleid plannen.

  5. Optioneel, maar aanbevolen. Maak een basislijn voor naleving en apparaatinstellingen die alle gebruikers en apparaten moeten hebben. Deze beleidsregels kunnen worden geïmplementeerd wanneer gebruikers zich inschrijven bij Intune.

    Ga voor meer informatie naar:

  6. Inschrijven bij Intune. Zorg ervoor dat u gebruikers specifieke inschrijvingsstappen geeft.

    Ga voor meer informatie naar:

Belangrijk

Configureer Intune en een bestaande MDM-oplossing van derden niet tegelijkertijd om toegangsbeheer toe te passen op resources, waaronder Exchange of SharePoint.

Aanbevelingen:

  • Als u overstapt van een PARTNER MDM/MAM-provider, noteer dan de taken die u uitvoert en de functies die u gebruikt. Deze informatie geeft een idee van welke taken u ook in Intune moet uitvoeren.

  • Gebruik een gefaseerde benadering. Begin met een kleine groep testgebruikers en voeg meer groepen toe totdat u de implementatie op volledige schaal hebt bereikt.

  • Bewaak de helpdeskbelasting en het succes van de inschrijving van elke fase. Laat de tijd in de planning staan om de succescriteria voor elke groep te evalueren voordat u de volgende groep migreert.

    De testimplementatie moet de volgende taken valideren:

    • Het aantal geslaagde en mislukte inschrijvingen valt binnen uw verwachtingen.

    • Gebruikersproductiviteit:

      • Bedrijfsresources werken, waaronder VPN, Wi-Fi, e-mail en certificaten.
      • Geïmplementeerde apps zijn toegankelijk.
    • Gegevensbeveiliging:

      • Bekijk nalevingsrapporten en zoek naar veelvoorkomende problemen en trends. Communiceer problemen, oplossingen en trends met uw helpdesk.
      • Beveiliging van mobiele apps wordt toegepast.
  • Wanneer u tevreden bent met de eerste fase van de migraties, herhaalt u de migratiecyclus voor de volgende fase.

    • Herhaal de gefaseerde cycli totdat alle gebruikers zijn gemigreerd naar Intune.
    • Controleer of de helpdesk klaar is om eindgebruikers tijdens de migratie te ondersteunen. Voer een vrijwillige migratie uit totdat u de workload van de ondersteuningsoproep kunt schatten.
    • Stel geen deadlines voor inschrijving in totdat uw helpdesk alle resterende gebruikers kan verwerken.

Nuttige informatie:

Gebruik momenteel Configuration Manager

Configuration Manager ondersteunt Windows-servers en Windows & macOS-clientapparaten. Als uw organisatie andere platforms gebruikt, moet u de apparaten mogelijk opnieuw instellen en vervolgens registreren bij Intune. Zodra ze zijn ingeschreven, ontvangen ze het beleid en de profielen die u maakt. Zie de implementatiehandleiding voor Intune-inschrijving voor meer informatie.

Als u momenteel Configuration Manager gebruikt en Intune wilt gebruiken, hebt u de volgende opties.

Optie 1: tenantkoppeling toevoegen

Met tenantkoppeling kunt u uw Configuration Manager apparaten uploaden naar uw organisatie in Intune, ook wel 'tenant' genoemd. Nadat u uw apparaten hebt gekoppeld, gebruikt u het Microsoft Intune-beheercentrum om externe acties uit te voeren, zoals synchronisatiecomputer en gebruikersbeleid. U kunt ook uw on-premises servers bekijken en informatie over het besturingssysteem ophalen.

Tenantkoppeling is gratis opgenomen in uw licentie voor Configuration Manager co-beheer. Dit is de eenvoudigste manier om de cloud (Intune) te integreren met uw on-premises Configuration Manager setup.

Zie Tenantkoppeling inschakelen voor meer informatie.

Optie 2: co-beheer instellen

Deze optie maakt gebruik van Configuration Manager voor sommige workloads en gebruikt Intune voor andere workloads.

  1. Stel in Configuration Manager co-beheer in.
  2. Intune instellen, inclusief het instellen van de MDM-instantie op Intune.

Apparaten zijn klaar om te worden ingeschreven bij Intune en ontvangen uw beleid.

Nuttige informatie:

Optie 3: overstappen van Configuration Manager naar Intune

De meeste bestaande Configuration Manager klanten willen Configuration Manager blijven gebruiken. Het omvat services die nuttig zijn voor on-premises apparaten.

Deze stappen zijn een overzicht en zijn alleen opgenomen voor gebruikers die een 100% cloudoplossing willen. Met deze optie kunt u het volgende doen:

  • Registreer bestaande on-premises Active Directory Windows-clientapparaten als apparaten in Microsoft Entra-id.
  • Verplaats uw bestaande on-premises Configuration Manager workloads naar Intune.

Deze optie is meer werk voor beheerders, maar kan een meer naadloze ervaring creëren voor bestaande Windows-clientapparaten. Voor nieuwe Windows-clientapparaten raden we u aan helemaal opnieuw te beginnen met Microsoft 365 en Intune (in dit artikel).

  1. Hybride Active Directory en Microsoft Entra-id instellen voor uw apparaten. Microsoft Entra hybride gekoppelde apparaten worden gekoppeld aan uw on-premises Active Directory en geregistreerd met uw Microsoft Entra-id. Wanneer apparaten zich in Microsoft Entra-id bevinden, zijn ze ook beschikbaar voor Intune.

    Hybride Microsoft Entra-id ondersteunen Windows-apparaten. Zie Uw Microsoft Entra hybrid join-implementatie plannen voor andere vereisten, waaronder aanmeldingsvereisten.

  2. Stel in Configuration Manager co-beheer in.

  3. Intune instellen, inclusief het instellen van de MDM-instantie op Intune.

  4. Schuif in Configuration Manager alle workloads van Configuration Manager naar Intune.

  5. Verwijder op de apparaten de Configuration Manager-client. Zie De client verwijderen voor meer informatie.

    Zodra Intune is ingesteld, kunt u een Intune-app-configuratiebeleid maken waarmee de Configuration Manager-client wordt verwijderd. U kunt bijvoorbeeld de stappen in De Configuration Manager-client installeren met behulp van Intune omkeren.

Apparaten zijn klaar om te worden ingeschreven bij Intune en ontvangen uw beleid.

Belangrijk

Hybride Microsoft Entra-id ondersteunt alleen Windows-apparaten. Configuration Manager ondersteunt Windows- en macOS-apparaten. Voor macOS-apparaten die worden beheerd in Configuration Manager, kunt u het volgende doen:

  1. Verwijder de Configuration Manager-client. Wanneer u verwijdert, ontvangen de apparaten uw beleid niet, inclusief beleidsregels die bescherming bieden. Ze zijn kwetsbaar totdat ze zich inschrijven bij Intune en uw nieuwe beleid gaan ontvangen.
  2. Registreer de apparaten in Intune om beleidsregels te ontvangen.

U kunt beveiligingsproblemen minimaliseren door macOS-apparaten te verplaatsen nadat Intune is ingesteld en wanneer uw inschrijvingsbeleid klaar is om te worden geïmplementeerd.

Optie 4: helemaal opnieuw beginnen met Microsoft 365 en Intune

Deze optie is van toepassing op Windows-clientapparaten. Als u Windows Server gebruikt, zoals Windows Server 2022, gebruikt u deze optie niet. Gebruik Configuration Manager.

Uw Windows-clientapparaten beheren:

  1. Microsoft 365 implementeren, inclusief het maken van gebruikers en groepen. Gebruik of configureer Microsoft 365 Basic Mobility and Security niet.

    Nuttige koppelingen:

  2. Intune instellen, inclusief het instellen van de MDM-instantie op Intune.

  3. Verwijder op bestaande apparaten de Configuration Manager-client. Zie De client verwijderen voor meer informatie.

Apparaten zijn klaar om te worden ingeschreven bij Intune en ontvangen uw beleid.

Momenteel on-premises groepsbeleid gebruiken

In de cloud beheren MDM-providers, zoals Intune, instellingen en functies op apparaten. Groepsbeleidsobjecten (GPO) worden niet gebruikt.

Wanneer u apparaten beheert, vervangen intune-apparaatconfiguratieprofielen het on-premises groepsbeleidsobject. Apparaatconfiguratieprofielen gebruiken instellingen die worden weergegeven door Apple, Google en Microsoft.

Specifiek:

Wanneer u apparaten vanuit groepsbeleid verplaatst, gebruikt u Analyse van groepsbeleid. groepsbeleid analytics is een hulpprogramma en functie in Intune waarmee uw GPO's worden geanalyseerd. In Intune importeert u uw GPO's en ziet u welke beleidsregels beschikbaar (en niet beschikbaar) zijn in Intune. Voor de beleidsregels die beschikbaar zijn in Intune, kunt u een catalogusbeleid voor instellingen maken met behulp van de instellingen die u hebt geïmporteerd. Ga voor meer informatie over deze functie naar Een instellingencatalogusbeleid maken met behulp van uw geïmporteerde GPO's in Microsoft Intune.

Vervolgens stap 1: Microsoft Intune instellen.

Momenteel Microsoft 365 Basic Mobility and Security gebruiken

Als u Microsoft 365 Basic mobiliteits- en beveiligingsbeleid hebt gemaakt en geïmplementeerd, kunt u de gebruikers, groepen en beleidsregels migreren naar Microsoft Intune.

Ga naar Migreren van Microsoft 365 Basic Mobility and Security naar Intune voor meer informatie.

Migratie van tenant naar tenant

Een tenant is uw organisatie in Microsoft Entra-id, zoals Contoso. Het bevat een toegewezen Microsoft Entra service-exemplaar dat Contoso ontvangt wanneer het een Microsoft-cloudservice krijgt, zoals Microsoft Intune of Microsoft 365. Microsoft Entra-id wordt gebruikt door Intune en Microsoft 365 om gebruikers en apparaten te identificeren, de toegang tot het beleid dat u maakt te beheren en meer.

In Intune kunt u bepaalde beleidsregels exporteren en importeren met behulp van Microsoft Graph en Windows PowerShell.

U maakt bijvoorbeeld een Microsoft Intune proefabonnement. In deze proeftenant van het abonnement hebt u beleidsregels waarmee apps en functies worden geconfigureerd, naleving wordt gecontroleerd en meer. U wilt dit beleid verplaatsen naar een andere tenant.

In deze sectie wordt beschreven hoe u de Microsoft Graph-scripts gebruikt voor een migratie van tenant naar tenant. Er worden ook enkele beleidstypen vermeld die al dan niet kunnen worden geëxporteerd.

Belangrijk

  • In deze stappen worden de voorbeelden van Intune beta Graph op GitHub gebruikt. De voorbeeldscripts brengen wijzigingen aan in uw tenant. Ze zijn als zodanig beschikbaar en moeten worden gevalideerd met een niet-productie- of testtenantaccount. Zorg ervoor dat de scripts voldoen aan de beveiligingsrichtlijnen van uw organisatie.
  • De scripts exporteren en importeren niet elk beleid, zoals certificaatprofielen. Verwacht meer taken uit te voeren dan wat beschikbaar is in deze scripts. U moet een aantal beleidsregels opnieuw maken.
  • Als u het apparaat van een gebruiker wilt migreren, moet de gebruiker de registratie van het apparaat bij de oude tenant ongedaan maken en zich vervolgens opnieuw inschrijven bij de nieuwe tenant.

Download de voorbeelden en voer het script uit

Deze sectie bevat een overzicht van de stappen. Gebruik deze stappen als richtlijn en weet dat uw specifieke stappen anders kunnen zijn.

  1. Download de voorbeelden en gebruik Windows PowerShell om uw beleid te exporteren:

    1. Ga naar microsoftgraph/powershell-intune-samples en selecteer Code>downloaden ZIP. Pak de inhoud van het bestand uit .zip .

    2. Open de Windows PowerShell-app als beheerder en wijzig de map in uw map. Voer bijvoorbeeld de volgende opdracht in:

      cd C:\psscripts\powershell-intune-samples-master

    3. Installeer de AzureAD PowerShell-module:

      Install-Module AzureAD

      Selecteer Y om de module te installeren vanuit een niet-vertrouwde opslagplaats. De installatie kan enkele minuten duren.

    4. Wijzig de map in de map met het script dat u wilt uitvoeren. Wijzig bijvoorbeeld de map in de CompliancePolicy map:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    5. Voer het exportscript uit. Voer bijvoorbeeld de volgende opdracht in:

      .\CompliancePolicy_Export.ps1

      Meld u aan met uw account. Wanneer u hierom wordt gevraagd, voert u het pad in om het beleid te plaatsen. Voer bijvoorbeeld het volgende in:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

    In uw map worden de beleidsregels geëxporteerd.

  2. Importeer uw beleid in uw nieuwe tenant:

    1. Wijzig de map in de PowerShell-map met het script dat u wilt uitvoeren. Wijzig bijvoorbeeld de map in de CompliancePolicy map:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    2. Voer het importscript uit. Voer bijvoorbeeld de volgende opdracht in:

      .\CompliancePolicy_Import_FromJSON.ps1

      Meld u aan met uw account. Wanneer u hierom wordt gevraagd, voert u het pad in naar het beleidsbestand .json dat u wilt importeren. Voer bijvoorbeeld het volgende in:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

  3. Meld u aan bij het Intune-beheercentrum. De beleidsregels die u hebt geïmporteerd, worden weergegeven.

Wat u niet kunt doen

Er zijn enkele beleidstypen die niet kunnen worden geëxporteerd. Er zijn enkele beleidstypen die kunnen worden geëxporteerd, maar niet kunnen worden geïmporteerd in een andere tenant. Gebruik de volgende lijst als richtlijn. Weet dat er andere beleidstypen zijn die niet worden vermeld.

Beleid of profieltype Informatie
Toepassingen  
Android Line-Of-Business-apps ❌ Exporteren
❌ Importeren

Als u uw LOB-app wilt toevoegen aan een nieuwe tenant, hebt u ook de oorspronkelijke .apk bronbestanden van de toepassing nodig.
Apple – Volume Purchase Program (VPP) ❌ Exporteren
❌ Importeren

Deze apps worden gesynchroniseerd met de Apple VPP. In de nieuwe tenant voegt u uw VPP-token toe, waarin uw beschikbare apps worden weergegeven.
Line-Of-Business-apps voor iOS/iPadOS ❌ Exporteren
❌ Importeren

Als u uw LOB-app wilt toevoegen aan een nieuwe tenant, hebt u ook de oorspronkelijke .ipa bronbestanden van de toepassing nodig.
Beheerde Google Play ❌ Exporteren
❌ Importeren

Deze apps en weblinks worden gesynchroniseerd met Beheerde Google Play. In de nieuwe tenant voegt u uw beheerde Google Play-account toe, waarin uw beschikbare apps worden weergegeven.
Microsoft Store voor Bedrijven ❌ Exporteren
❌ Importeren

Deze apps worden gesynchroniseerd met de Microsoft Store voor Bedrijven. In de nieuwe tenant voegt u uw Microsoft Store voor Bedrijven-account toe, waarin uw beschikbare apps worden weergegeven.
Windows-app (Win32) ❌ Exporteren
❌ Importeren

Als u uw LOB-app wilt toevoegen aan een nieuwe tenant, hebt u ook de oorspronkelijke .intunewin bronbestanden van de toepassing nodig.
Nalevingsbeleid  
Acties voor niet-naleving ❌ Exporteren
❌ Importeren

Het is mogelijk dat er een koppeling naar een e-mailsjabloon is. Wanneer u een beleid importeert dat niet-nalevingsacties bevat, worden in plaats daarvan de standaardacties voor niet-naleving toegevoegd.
Toewijzingen ✔️ Exporteren
❌ Importeren

Toewijzingen zijn gericht op een groeps-id. In een nieuwe tenant is de groeps-id anders.
Configuratieprofielen  
E-mail ✔️ Exporteren

✔️ Als een e-mailprofiel geen certificaten gebruikt, zou het importeren moeten werken.
❌ Als een e-mailprofiel gebruikmaakt van een basiscertificaat, kan het profiel niet worden geïmporteerd in een nieuwe tenant. De basiscertificaat-id is anders in een nieuwe tenant.
SCEP-certificaat ✔️ Exporteren

❌ Importeren

SCEP-certificaatprofielen gebruiken een basiscertificaat. De basiscertificaat-id is anders in een nieuwe tenant.
VPN ✔️ Exporteren

✔️ Als een VPN-profiel geen certificaten gebruikt, zou het importeren moeten werken.
❌ Als een VPN-profiel gebruikmaakt van een basiscertificaat, kan het profiel niet worden geïmporteerd in een nieuwe tenant. De basiscertificaat-id is anders in een nieuwe tenant.
Wi-Fi ✔️ Exporteren

✔️ Als een Wi-Fi-profiel geen certificaten gebruikt, zou het importeren moeten werken.
❌ Als een Wi-Fi-profiel een basiscertificaat gebruikt, kan het profiel niet worden geïmporteerd in een nieuwe tenant. De basiscertificaat-id is anders in een nieuwe tenant.
Toewijzingen ✔️ Exporteren
❌ Importeren

Toewijzingen zijn gericht op een groeps-id. In een nieuwe tenant is de groeps-id anders.
Eindpuntbeveiliging  
Detectie van en reactie op eindpunt ❌ Exporteren
❌ Importeren

Dit beleid is gekoppeld aan Microsoft Defender voor Eindpunt. In de nieuwe tenant configureert u Microsoft Defender voor Eindpunt, dat automatisch het beleid voor eindpuntdetectie en -respons bevat.

Volgende stappen