Share via


Guia de migração: configurar ou mover para Microsoft Intune

Depois que você planejou a mudança para Microsoft Intune, a próxima etapa é escolher a abordagem de migração correta para sua organização. Essas decisões dependem do ambiente de MDM (gerenciamento de dispositivo móvel) atual, metas de negócios e requisitos técnicos.

Este guia de migração lista e descreve suas opções para adotar ou mudar para o Intune, que incluem:

  • Você não usa uma solução de gerenciamento de dispositivo móvel
  • Você usa uma solução MDM de parceiro de terceiros
  • Você usa Configuration Manager
  • Você usa a política de grupo local
  • Você usa Microsoft 365 Básico Mobilidade e Segurança

Use este guia para determinar a melhor abordagem de migração e obter algumas diretrizes & recomendações.

Dica

Antes de começar

  • Microsoft Intune é uma solução nativa de nuvem que ajuda a gerenciar identidades, dispositivos e aplicativos. Se seu objetivo for tornar-se nativo da nuvem, saiba mais nos seguintes artigos:

  • Sua implantação do Intune pode ser diferente de uma implantação do MDM anterior. O Intune usa o controle de acesso controlado por identidade. Ele não exige que um proxy de rede acesse dados da organização de dispositivos fora da rede.

Não usar nenhum provedor atualmente

Se você atualmente não usar nenhum provedor MDM ou MAM (gerenciamento de aplicativos móveis), você terá algumas opções:

Usar um provedor de MDM de terceiros atualmente

Os dispositivos devem ter somente um provedor de MDM. Se você usar outro provedor de MDM, como o Workspace ONE (anteriormente chamado de AirWatch), MobileIron ou MaaS360, poderá mudar para o Intune.

Os usuários devem cancelar o registro de seus dispositivos do provedor MDM atual antes de se registrarem no Intune.

  1. Configure o Intune, incluindo a configuração da Autoridade de MDM como Intune.

    Para obter mais informações, confira:

  2. Implantar aplicativos e criar políticas de proteção de aplicativo. A ideia é ajudar a proteger os dados da organização em seus aplicativos durante a migração e até que os dispositivos sejam registrados & gerenciados pelo Intune.

    Para obter mais informações, acesse Etapa 2 – Adicionar, configurar e proteger aplicativos com o Intune.

  3. Cancelar o registro de dispositivos do provedor MDM atual.

    Quando o registro de dispositivos for cancelado, eles não receberão suas políticas, incluindo as que fornecem proteção. Os dispositivos ficam vulneráveis até se registrarem no Intune e começarem a receber suas novas políticas.

    Forneça aos usuários etapas de unenroll específicas. Inclua as diretrizes do seu provedor de MDM existente sobre como cancelar o registro de dispositivos. A comunicação clara e útil minimiza o tempo de inatividade do usuário final, a insatisfação e as chamadas auxiliares.

  4. Opcional, mas recomendado. Se você tiver Microsoft Entra ID P1 ou P2, use também o Acesso Condicional para bloquear dispositivos até que eles se registrem no Intune.

    Para obter mais informações, acesse Etapa 3 – Planejar políticas de conformidade.

  5. Opcional, mas recomendado. Crie uma linha de base de conformidade e configurações de dispositivo que todos os usuários e dispositivos devem ter. Essas políticas podem ser implantadas quando os usuários se registram no Intune.

    Para obter mais informações, confira:

  6. Registre-se no Intune. Certifique-se de fornecer aos usuários etapas de registro específicas.

    Para obter mais informações, confira:

Importante

Não configure o Intune e nenhuma solução MDM de terceiros existente simultaneamente para aplicar controles de acesso a recursos, incluindo Exchange ou SharePoint.

Recomendações:

  • Se você estiver se movendo de um provedor de MDM/MAM de parceiro, observe as tarefas que você está executando e os recursos que você usa. Essas informações dão uma ideia de quais tarefas também fazer no Intune.

  • Use uma abordagem em fases. Comece com um pequeno grupo de usuários piloto e adicione mais grupos até obter uma implantação em escala completa.

  • Monitore o êxito do carregamento e do registro da assistência técnica de cada fase. Reserve um horário na agenda para avaliar os critérios de êxito de cada grupo antes de migrar o próximo grupo.

    Sua implantação piloto deverá validar as seguintes tarefas:

    • Verificar se as tarifas de êxito e falha do registro estão dentro de suas expectativas.

    • Produtividade do usuário:

      • Verificar se os recursos corporativos estão funcionando, incluindo a VPN, o Wi-Fi, o email e os certificados.
      • Verificar se os aplicativos implantados são acessíveis.
    • Segurança de dados:

      • Examinar os relatórios de conformidade, além de procurar problemas e tendências comuns. Comunicar problemas, resoluções e tendências ao suporte técnico.
      • Verificar se as proteções de aplicativos móveis foram aplicadas.
  • Quando estiver satisfeito com a primeira fase das migrações, repita o ciclo de migração para a próxima fase.

    • Repita os ciclos em fases até que todos os usuários migrem para o Intune.
    • Confirme se a assistência técnica está preparada para dar suporte aos usuários finais durante a migração. Execute uma migração voluntária até que seja possível estimar a carga de trabalho de chamada de suporte.
    • Não defina prazos para o registro até que seu helpdesk possa lidar com todos os usuários restantes.

Informações úteis:

Usar o Configuration Manager atualmente

Configuration Manager dá suporte a dispositivos cliente macOS do Windows Servers e do Windows &. Se sua organização usar outras plataformas, talvez seja necessário redefinir os dispositivos e registrá-los no Intune. Após o registro, os dispositivos recebem as políticas e os perfis que você cria. Para obter mais informações, confira o Guia de implantação de registro do Intune.

Se você usa o Configuration Manager atualmente e quer usar o Intune, você terá as opções a seguir.

Opção 1 – Adicionar anexação de locatário

A anexação de locatário permite carregar dispositivos do Configuration Manager em sua organização no Intune, também conhecido como "locatário". Depois de anexar seus dispositivos, use o Microsoft Intune centro de administração para executar ações remotas, como computador de sincronização e política de usuário. Também é possível conferir os servidores locais e obter informações do sistema operacional.

O anexo do locatário está incluído com sua licença de cogerenciamento do Gerenciador de configurações, sem custo adicional. É a maneira mais fácil de integrar a nuvem (Intune) à configuração de Configuration Manager local.

Para obter mais informações, confira Habilitar anexação de locatário.

Opção 2 – Configurar o cogerenciamento

Essa opção usa o Configuration Manager para algumas cargas de trabalho e o Intune para outras.

  1. No Configuration Manager, configure o cogerenciamento.
  2. Configure o Intune, incluindo a configuração da Autoridade de MDM como Intune.

Os dispositivos estão prontos para serem registrados no Intune e receber suas políticas.

Informações úteis:

Opção 3 – passar do Configuration Manager para o Intune

A maioria dos clientes existentes do Configuration Manager desejam continuar usando essa opção. Ele inclui serviços que são benéficos para dispositivos locais.

Essas etapas são uma visão geral e estão incluídas somente para usuários que desejam uma solução 100% na nuvem. Com essa opção, você poderá:

  • Registre dispositivos cliente Active Directory local Windows existentes como dispositivos em Microsoft Entra ID.
  • Migrar cargas de trabalho locais e existentes do Configuration Manager para o Intune.

Essa opção é mais trabalhosa para administradores, mas pode criar uma experiência mais perfeita para dispositivos cliente Windows existentes. Para novos dispositivos cliente Windows, é recomendável começar do zero com o Microsoft 365 e o Intune (neste artigo).

  1. Configure o Active Directory híbrido e Microsoft Entra ID para seus dispositivos. Microsoft Entra dispositivos híbridos ingressados no Active Directory local e registrados com sua ID de Microsoft Entra. Quando os dispositivos estão em Microsoft Entra ID, eles também estão disponíveis para o Intune.

    A ID de Microsoft Entra híbrida dá suporte a dispositivos Windows. Para outros pré-requisitos, incluindo requisitos de entrada, consulte Planejar sua Microsoft Entra implementação de junção híbrida.

  2. No Configuration Manager, configure o cogerenciamento.

  3. Configure o Intune, incluindo a configuração da Autoridade de MDM como Intune.

  4. Em Configuration Manager, deslize todas as cargas de trabalho do Configuration Manager para o Intune.

  5. Nos dispositivos, desinstale o cliente do Configuration Manager. Para obter mais informações, confira como Desinstalar o cliente.

    Após a configuração do Intune, você poderá criar uma política de configuração de aplicativos do Intune para desinstalar o cliente do Configuration Manager. Por exemplo, será possível reverter as etapas em Instalar o cliente do Configuration Manager usando o Intune.

Os dispositivos estão prontos para serem registrados no Intune e receber suas políticas.

Importante

A ID de Microsoft Entra híbrida dá suporte apenas a dispositivos Windows. O Configuration Manager é compatível com dispositivos Windows e macOS. Para dispositivos macOS gerenciados no Configuration Manager, você poderá:

  1. Desinstalar o cliente do Configuration Manager. Após a desinstalação, os dispositivos não receberão suas políticas, incluindo as que fornecem proteção. Eles ficam vulneráveis até se registrarem no Intune e começarem a receber suas novas políticas.
  2. Registre os dispositivos no Intune para receber as políticas.

Para ajudar a minimizar vulnerabilidades, mova dispositivos macOS após a configuração do Intune e quando suas políticas de registro estiverem prontas para serem implantadas.

Opção 4 – Iniciar do zero com o Microsoft 365 e o Intune

Essa opção se aplica a dispositivos cliente Windows. Se você usar o Windows Server, como o Windows Server 2022, não usará essa opção. Use o Configuration Manager.

Para gerenciar seus dispositivos cliente Windows:

  1. Implante o Microsoft 365, incluindo a criação de usuários e grupos. Não use ou configure Microsoft 365 Básico Mobilidade e Segurança.

    Links úteis:

  2. Configure o Intune, incluindo a configuração da Autoridade de MDM como Intune.

  3. Em dispositivos existentes, desinstale o cliente do Configuration Manager. Para obter mais informações, confira como Desinstalar o cliente.

Os dispositivos estão prontos para serem registrados no Intune e receber suas políticas.

Usar uma política de grupo local atualmente

Na nuvem, provedores de MDM, como o Intune, gerenciam configurações e recursos em dispositivos. Objetos de política de grupo (GPO) não são usados.

Quando você gerencia dispositivos, os perfis de configuração do dispositivo do Intune substituem o GPO local. Os perfis de configuração do dispositivo usam configurações expostas pela Apple, Google e Microsoft.

Especificamente:

Ao migrar dispositivos da política de grupo, use a Análise da política de grupo. Política de Grupo análise é uma ferramenta e um recurso no Intune que analisa seus GPOs. No Intune, você importa seus GPOs e vê quais políticas estão disponíveis (e não estão disponíveis) no Intune. Para as políticas disponíveis no Intune, você pode criar uma política de catálogo de configurações usando as configurações importadas. Para obter mais informações sobre esse recurso, acesse Criar uma política de Catálogo de Configurações usando seus GPOs importados no Microsoft Intune.

Em seguida, Etapa 1: configurar Microsoft Intune.

Atualmente, use Microsoft 365 Básico Mobilidade e Segurança

Se você criou e implantou Microsoft 365 Básico políticas de Mobilidade e Segurança, poderá migrar os usuários, grupos e políticas para Microsoft Intune.

Para obter mais informações, acesse Migrar de Microsoft 365 Básico Mobilidade e Segurança para o Intune.

Migração de locatário para locatário

Um locatário é sua organização no Microsoft Entra ID, como a Contoso. Ele inclui uma instância de serviço de Microsoft Entra dedicada que a Contoso recebe quando obtém um serviço de nuvem da Microsoft, como Microsoft Intune ou Microsoft 365. Microsoft Entra ID é usada pelo Intune e pelo Microsoft 365 para identificar usuários e dispositivos, controlar o acesso às políticas que você cria e muito mais.

No Intune, você pode exportar e importar algumas das suas políticas usando o Microsoft Graph e o Windows PowerShell.

Por exemplo, você cria uma assinatura de avaliação do Microsoft Intune. Neste locatário de avaliação de assinatura, você tem políticas que configuram aplicativos e recursos, verificam a conformidade e muito mais. Você gostaria de mover essas políticas para outro locatário.

Esta seção mostra como usar os scripts do Microsoft Graph para um locatário para migração de locatário. Ele também lista alguns tipos de política que podem ou não ser exportados.

Importante

  • Essas etapas usam os exemplos do Graph do Intune beta no GitHub. Os scripts de exemplo fazem alterações no seu locatário. Eles estão disponíveis no estado em que se encontram e devem ser validados usando uma conta de locatário de não produção ou "teste". Garanta que os scripts atendam às diretrizes de segurança da sua organização.
  • Os scripts não exportam e importam todas as políticas, como os perfis de certificado. Espere fazer mais tarefas do que as que estão disponíveis nesses scripts. Você precisará recriar algumas políticas.
  • Para migrar o dispositivo de um usuário, o usuário deve cancelar o registro do dispositivo do locatário antigo e, em seguida, registrar novamente no novo locatário.

Baixar os exemplos e executar o script

Esta seção inclui uma visão geral dessas etapas. Use essas etapas como diretrizes e saiba que suas etapas específicas podem ser diferentes.

  1. Baixe os exemplos e use o Windows PowerShell para exportar suas políticas:

    1. Acesse microsoftgraph/powershell-intune-samples, selecione Código>Baixar ZIP. Extraia o conteúdo do arquivo .zip.

    2. Abra o aplicativo do Windows PowerShell como administrador e altere o diretório para a pasta. Por exemplo, digite o seguinte comando:

      cd C:\psscripts\powershell-intune-samples-master

    3. Instale o módulo do AzureAD PowerShell:

      Install-Module AzureAD

      Selecione S para instalar o módulo de um repositório não confiável. Essa instalação pode levar alguns minutos.

    4. Altere o diretório para a pasta com o script que você deseja executar. Por exemplo, altere o diretório para a pasta CompliancePolicy:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    5. Execute o script de exportação. Por exemplo, digite o seguinte comando:

      .\CompliancePolicy_Export.ps1

      Entrar com sua conta. Quando solicitado, insira o caminho para colocar as políticas. Por exemplo, digite:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

    Na sua pasta, as políticas são exportadas.

  2. Importe as políticas em seu novo locatário:

    1. Altere o diretório para a pasta do PowerShell com o script que você deseja executar. Por exemplo, altere o diretório para a pasta CompliancePolicy:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    2. Execute o script de importação. Por exemplo, digite o seguinte comando:

      .\CompliancePolicy_Import_FromJSON.ps1

      Entrar com sua conta. Quando solicitado, insira o caminho para o arquivo de política .json que você deseja importar. Por exemplo, digite:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

  3. Entre no centro de administração do Intune. As políticas importadas são exibidas.

O que você não pode fazer

Há alguns tipos de política que não podem ser exportados. Há alguns tipos de política que podem ser exportados, mas não podem ser importados para um locatário diferente. Use a lista a seguir como guia. Saiba que há outros tipos de política que não estão listados.

Tipo de perfil ou política Informações
Aplicativos  
Aplicativos Android de linha de negócios ❌ Exportar
❌ Importar

Para adicionar seu aplicativo de linha de negócios a um novo locatário, você também precisa dos arquivos de origem do aplicativo .apk inicial.
Apple – VPP (Volume Purchase Program) ❌ Exportar
❌ Importar

Esses aplicativos são sincronizados com o Apple VPP. No novo locatário, você adiciona o token VPP, que mostra os aplicativos disponíveis.
Aplicativos de linha de negócios iOS/iPadOS ❌ Exportar
❌ Importar

Para adicionar seu aplicativo de linha de negócios a um novo locatário, você também precisa dos arquivos de origem do aplicativo .ipa inicial.
Google Play Gerenciado ❌ Exportar
❌ Importar

Esses aplicativos e weblinks são sincronizados com o Google Play Gerenciado. No novo locatário, você adiciona sua conta Google Play Gerenciado, que mostra seus aplicativos disponíveis.
Microsoft Store para empresas ❌ Exportar
❌ Importar

Esses aplicativos são sincronizados com o Microsoft Store para Empresas. No novo locatário, adicione sua conta do Microsoft Store para Empresas, que mostra os aplicativos disponíveis.
Aplicativo do Windows (Win32) ❌ Exportar
❌ Importar

Para adicionar seu aplicativo de linha de negócios a um novo locatário, você também precisa dos arquivos de origem do aplicativo .intunewin inicial.
Políticas de conformidade  
Ações de Não Conformidade ❌ Exportar
❌ Importar

É possível que haja um link para um modelo de email. Quando você importa uma política que tem ações de não conformidade, as ações padrão para não conformidade são adicionadas.
Atribuições ✔️ Exportar
❌ Importar

As atribuições são direcionadas a uma ID de grupo. Em um novo locatário, a ID de grupo é diferente.
Perfis de configuração  
Email ✔️ Exportar

✔️ Se um perfil de email não usar certificados, a importação deverá funcionar.
❌ Se um perfil de email usar um certificado raiz, o perfil não poderá ser importado para um novo locatário. A ID do certificado raiz é diferente em um novo locatário.
Certificado SCEP ✔️ Exportar

❌ Importar

Os perfis de certificado SCEP usam um certificado raiz. A ID do certificado raiz é diferente em um novo locatário.
VPN ✔️ Exportar

✔️ Se um perfil VPN não usar certificados, a importação deverá funcionar.
❌ Se um perfil VPN usar um certificado raiz, o perfil não poderá ser importado para um novo locatário. A ID do certificado raiz é diferente em um novo locatário.
Wi-Fi ✔️ Exportar

✔️ Se um perfil Wi-Fi não usar certificados, a importação deverá funcionar.
❌ Se um perfil Wi-Fi usar um certificado raiz, o perfil não poderá ser importado para um novo locatário. A ID do certificado raiz é diferente em um novo locatário.
Atribuições ✔️ Exportar
❌ Importar

As atribuições são direcionadas a uma ID de grupo. Em um novo locatário, a ID de grupo é diferente.
Segurança do ponto de extremidade  
Detecção e resposta do ponto de extremidade ❌ Exportar
❌ Importar

Esta política está vinculada ao Microsoft Defender para Ponto de Extremidade. No novo locatário, você configura o Microsoft Defender para Ponto de Extremidade, que inclui automaticamente a política de Detecção e resposta de ponto de extremidade.

Próximas etapas