Guia de implementação: Configurar ou mover-se para Microsoft Intune

Este guia de implementação inclui informações quando se desloca para Intune, ou adota Intune como a sua solução DEM (gestão de dispositivos móveis) e MAM (gestão de aplicações móveis).

Neste guia, inscreva-se no Intune, adicione o seu nome de domínio, configuure Intune como autoridade do MDM, e muito mais. Escolha uma abordagem de migração mais adequada às necessidades da sua organização. Pode ajustar as táticas de implementação com base nos requisitos da sua organização.

Dica

Este guia é um ser vivo. Por isso, certifique-se de adicionar ou atualizar as dicas e orientações existentes que considerou úteis.

Pré-requisitos

• Subscrição intune: A Intune é licenciada como um serviço autónomo Azure, uma parte da Enterprise Mobility + Security (EMS), e incluída com Microsoft 365. Para obter mais informações sobre como obter Intune, consulte o licenciamento intune.

  Na maioria dos cenários, Microsoft 365 pode ser a melhor opção, pois dá-lhe EMS, Microsoft Endpoint Managere Office 365.

  Também pode inscrever-se numa conta de teste gratuita.

• Inscreva-se como membro do grupo Azure AD administrador global. Para implementar o Intune, inscreva-se como administrador global ou administrador de serviços Intune Azure AD.

Atualmente não usa nada

Se atualmente não utilizar nenhum fornecedor de MDM ou MAM, então tem algumas opções:

• Intune + Endpoint Manager: Se quiser uma solução de nuvem, considere ir diretamente para o Intune. Obtém a conformidade, configuração, Windows atualização e funcionalidades de aplicações no Intune. Você também obtém os benefícios do centro de administração Endpoint Manager, que é uma consola baseada na web.

  Em seguida, implementar Intune (neste artigo).

• Gestor de configuração + Endpoint Manager: Se pretender que as funcionalidades de Gestor de Configuração (no local) combinadas com a nuvem, considere o encaixe do inquilino ou a cogestão. Com o Gestor de Configuração, pode:

  • Gerir dispositivos no local, incluindo Windows server ou dispositivos Windows 8.1.
  • Gerir atualizações de software de parceiros ou de terceiros.
  • Crie sequências de tarefas personalizadas ao implementar sistemas operativos.
  • Implementar e gerir muitos tipos de aplicativos.

Para ajudá-lo a decidir, consulte a escolha de uma solução de gestão de dispositivos.

Atualmente use um fornecedor de MDM de terceiros

Os dispositivos devem ter apenas um provedor de MDM. Se utilizar outro fornecedor de MDM, como o Workspace ONE (anteriormente chamado AirWatch), MobileIron ou MaaS360, então pode mudar-se para Intune. O maior desafio é que os utilizadores devem desativar os seus dispositivos a partir do atual provedor de MDM e, em seguida, inscrever-se no Intune.

Importante

Não configuure a Intune e a sua solução MDM de terceiros existentes para aplicar controlos de acesso a recursos, incluindo Exchange ou SharePoint Online.

Recomendações:

• Se estiver a mover-se de um fornecedor de MDM/MAM, tome nota das tarefas que executa e das funcionalidades que utiliza. Esta informação dá uma ideia do que fazer, ou onde começar em Intune.

• Quando os dispositivos não são desenrolados, não estão a receber as suas políticas, incluindo políticas que fornecem proteção. Estão vulneráveis até se matricularem em Intune. Quando os dispositivos se desenrolarem, recomendamos a utilização de acesso condicional a dispositivos de bloqueio até que se inscrevam no Intune.

  Certifique-se de que tem passos específicos de desenrolar e inscrever. Inclua orientações do seu fornecedor de MDM existente sobre como desinsusar dispositivos. A comunicação clara e útil minimiza o tempo de inatividade e insatisfação do utilizador final.

• Utilize uma abordagem faseada. Comece com um pequeno grupo de utilizadores piloto e adicione mais grupos até alcançar a implementação em escala completa.

• Monitorize o sucesso da inscrição e volume de assistência técnica de cada fase. Deixe tempo na programação para avaliar os critérios de sucesso de cada grupo antes de migrar o grupo seguinte. A sua implantação piloto deverá validar as seguintes tarefas:

  • O sucesso das matrículas e as taxas de insucesso estão dentro das suas expectativas.

  • Produtividade do utilizador:

    • Os recursos corporativos estão a funcionar, incluindo VPN, Wi-Fi, e-mail e certificados.
    • As aplicações implementadas estão acessíveis.

  • Segurança de dados:

    • Reveja os relatórios de conformidade e procure questões e tendências comuns. Comunique questões, resoluções e tendências com o seu balcão de ajuda.
    • São aplicadas proteções de aplicativos móveis.

• Quando estiver satisfeito com a primeira fase de migrações, repita o ciclo de migração para a próxima fase.

  • Repita os ciclos faseados até que todos os utilizadores sejam migrados para Intune.
  • Confirme que o helpdesk está pronto para suportar utilizadores finais durante toda a migração. Faça uma migração voluntária até que possa estimar a carga de trabalho de chamada de apoio.
  • Não estabeleça prazos para a inscrição até que todos os utilizadores restantes possam ser tratados pelo seu helpdesk.

Para obter orientação de inscrição, consulte o guia de implantação de inscrições intune.

Em seguida, implementar Intune (neste artigo).

Atualmente use o Gestor de Configuração

O Gestor de Configuração suporta dispositivos Windows e macOS e Windows Servidores. Se estiver a utilizar outras plataformas, poderá ter de reiniciar os dispositivos e, em seguida, inscrevê-los no Intune. Uma vez matriculados, receberão as políticas e perfis que cria. Para obter mais informações, consulte o guia de implementação de inscrições intune e o post de blog anexar nuvem.

Se atualmente utilizar o Gestor de Configuração e quiser utilizar o Intune, então tem as seguintes opções.

Opção 1: Adicionar acopliar o inquilino

O anexo de inquilino permite-lhe fazer o upload dos seus dispositivos De Gestor de Configuração para a sua organização em Intune, também conhecido como "inquilino". Depois de prender os seus dispositivos, utiliza o centro de administração Microsoft Endpoint Manager para executar ações remotas, como a máquina de sincronização e a política do utilizador. Também pode ver os seus servidores no local e obter informações sobre os sossíduos.

O anexo do inquilino está incluído com a sua licença de cogestão do Gestor de Configuração sem custos adicionais. É a forma mais fácil de integrar a nuvem (Intune) com a configuração do Seu Gestor de Configuração no local.

Para obter mais informações, consulte a ativação do inquilino.

Opção 2: Configurar cogestão

Esta opção utiliza o Gestor de Configuração para algumas cargas de trabalho e utiliza o Intune para outras cargas de trabalho.

1. No Gestor de Configuração, crie cogestão.
2. Implementar Intune (neste artigo), incluindo a definição da Autoridade MDM para Intune.

Em seguida, os dispositivos estão prontos para serem matriculados, e receber as suas políticas.

Informações úteis:

• O que é a cogestão?
• Cargas de cogestão
• Mudar as cargas de trabalho do Configuration Manager para o Intune
• Produto do Gestor de Configuração e licenciamento de FAQ

Opção 3: Passar de Gestor de Configuração para Intune

Este cenário é raro. A maioria dos clientes existentes do Gestor de Configuração quer continuar a usar o Gestor de Configuração. A Microsoft quer que continue a usar o Gestor de Configuração. Inclui serviços que são benéficos para dispositivos no local, como o Desktop Analytics,e muito mais.

Estes passos são uma visão geral, e só estão incluídos para os utilizadores que querem uma solução 100% cloud. Com esta opção, você:

• Registar os dispositivos ative directy Windows 10 existentes no local como dispositivos em Azure Ative Directory (AD).
• Mova as cargas de trabalho do Gestor de Configuração existentes no local para o Intune.

Esta opção é mais trabalho para os administradores, mas pode criar uma experiência mais perfeita para dispositivos Windows 10 existentes. Para novos dispositivos Windows 10, recomenda-se que comece do zero com Microsoft 365 e Intune (neste artigo).

1. Confiem o Ative Directory híbrido e o AD Azure para os seus dispositivos. Os dispositivos híbridos Azure AD juntam-se ao seu Ative Directory no local e registados no seu AD Azure. Quando os dispositivos estão em Azure AD, estão disponíveis para receber as políticas e perfis que cria no Intune.

   Dispositivos híbridos de suporte Azure AD Windows. Para outros pré-requisitos, incluindo os requisitos de inscrição, consulte Planeie a sua AD híbrida Azure aderir à implementação.

2. No Gestor de Configuração, crie cogestão.

3. Implementar Intune (neste artigo), incluindo a definição da Autoridade MDM para Intune.

4. No Gestor de Configuração, deslize todas as cargas de trabalho do Gestor de Configuração para o Intune.

5. Nos dispositivos, desinstale o cliente Gestor de Configuração. Para mais informações, consulte desinstalar o cliente.

   Assim que o Intune estiver configurado, pode criar uma política de configuração de aplicações Intune que desinstale o cliente Gestor de Configuração. Por exemplo, pode inverter os passos na Instalação do cliente Gestor de Configuração utilizando o Intune.

Em seguida, os dispositivos estão prontos para serem matriculados, e receber as suas políticas.

Importante

A AD Híbrida Azure suporta apenas Windows dispositivos. O Configuration Manager suporta dispositivos Windows e macOS. Para dispositivos macOS geridos no Gestor de Configurações, pode:

1. Desinstale o cliente Gestor de Configuração. Quando desinstala, os dispositivos não estão a receber as suas políticas, incluindo políticas que fornecem proteção. Estão vulneráveis até se matricularem em Intune.
2. Inscreva os dispositivos no Intune para receber políticas.

Para ajudar a minimizar as vulnerabilidades, mova os dispositivos macOS após a configuração do Intune e as suas políticas de inscrição estão prontas para serem implementadas.

Opção 4: Comece do zero com Microsoft 365 e Intune

Esta opção aplica-se aos dispositivos Windows 10 e mais recentes. Se utilizar Windows OSs do Servidor, como Windows Server 2016, então não utilize esta opção. Use o Gestor de Configuração.

1. Implementar Microsoft 365, incluindo a criação de utilizadores e grupos.

   Links úteis:

   • Guia de implantação Microsoft 365 Enterprise
   • Criar Microsoft 365 Negócios

2. Implementar Intune (neste artigo), incluindo a definição da Autoridade MDM para Intune.

3. Nos dispositivos existentes, desinstale o cliente Gestor de Configuração. Para mais informações, consulte desinstalar o cliente.

Em seguida, os dispositivos estão prontos para serem matriculados, e receber as suas políticas.

Atualmente utiliza a política de grupo no local

Na nuvem, os fornecedores de MDM, como o Intune, gerem configurações e funcionalidades nos dispositivos. Os objetos de políticas de grupo (GPO) não são usados. Ao gerir dispositivos, os perfis de configuração do dispositivo Intune substituem o GPO no local. Estes perfis utilizam as definições expostas pela Apple, Google e Microsoft. Especificamente:

• Nos dispositivos Android, estes perfis utilizam a API de Gestão android e a API em EMM.
• Nos dispositivos da Apple, estes perfis utilizam as cargas de gestãodo dispositivo.
• Nos dispositivos Windows, estes perfis utilizam os prestadores de serviços de configuração Windows (CSPs).

Ao mover os dispositivos da política de grupo, utilize a análise da política do grupo. Em Endpoint Manager, importa os seus GPOs e vê quais as políticas disponíveis (e não disponíveis) no Intune.

Em seguida, implementar Intune (neste artigo).

Inquilino para a migração de inquilinos

Um inquilino é a sua organização em Azure Ative Directory (AD), como Contoso. Inclui uma instância dedicada do serviço Azure AD que o Contoso recebe quando recebe um serviço de cloud da Microsoft, como Microsoft Intune ou Microsoft 365. O Azure AD é utilizado pela Intune e Microsoft 365 identificar utilizadores e dispositivos, controlar o acesso às políticas que cria, e muito mais.

Em Intune, pode exportar e importar algumas das suas políticas usando Graph e Windows PowerShell microsoft.

Por exemplo, cria-se uma subscrição de Microsoft Intune de teste. Neste inquilino de teste de subscrição, você tem políticas que configuram apps e funcionalidades, verificam o cumprimento, e muito mais. Gostaria de mudar estas apólices para outro inquilino.

Importante

• Estes passos utilizam as amostras beta Graph intune em GitHub. Os scripts da amostra fazem alterações no seu inquilino. Estão disponíveis como está, e devem ser validados usando uma conta de inquilino não-produtivo ou "teste". Certifique-se de que os scripts cumprem as diretrizes de segurança da sua organização.
• Os scripts não exportam e importam todas as políticas, como perfis de certificados. Espere fazer mais tarefas do que o que está disponível nestes scripts. Terá que recriar algumas políticas.
• Para migrar o dispositivo de um utilizador, o utilizador deve desinsutar o dispositivo do antigo inquilino e, em seguida, reinscreva no novo inquilino.

O que não pode fazer

Há alguns tipos de política que não podem ser exportados. Há alguns tipos de política que podem ser exportados, mas não podem ser importados para um inquilino diferente. Utilize a seguinte lista como guia. Saiba que há outros tipos de política que não estão listados.

Tipo de política ou perfil	Informações
Aplicações
Aplicações de linha de negócios Android	❌ Exportação ❌ Importação Para adicionar a sua app LOB a um novo inquilino, também precisa dos .apk ficheiros originais de origem da aplicação.
Apple – Programa de Compra de Volume (VPP)	❌ Exportação ❌ Importação Estas aplicações estão sincronizadas com o Apple VPP. No novo inquilino, você adiciona o seu token VPP, que mostra suas aplicações disponíveis.
aplicativos iOS/iPadOS linha de negócios	❌ Exportação ❌ Importação Para adicionar a sua app LOB a um novo inquilino, também precisa dos .ipa ficheiros originais de origem da aplicação.
Gerido Google Play	❌ Exportação ❌ Importação Estas aplicações e weblinks estão sincronizados com o Managed Google Play. No novo inquilino, você adiciona a sua conta Gerida Google Play, que mostra as suas aplicações disponíveis.
Loja Microsoft para Empresas	❌ Exportação ❌ Importação Estas aplicações estão sincronizadas com o Microsoft Store para Empresas. No novo inquilino, adicione a sua conta Microsoft Store para Empresas, que mostra as suas aplicações disponíveis.
Aplicação do Windows (Win32)	❌ Exportação ❌ Importação Para adicionar a sua app LOB a um novo inquilino, também precisa dos .intunewin ficheiros originais de origem da aplicação.
Políticas de conformidade
Ações de Incumprimento	❌ Exportação ❌ Importação É possível que haja um link para um modelo de e-mail. Quando importa uma política que tenha ações de incumprimento, as ações padrão para incumprimento são adicionadas.
Atribuições	Exportação ✔️ ❌ Importação As atribuições são direcionadas para uma identificação de grupo. Num novo inquilino, a identificação do grupo é diferente.
Perfis de configuração
E-mail	Exportação ✔️ ✔️ Se um perfil de e-mail não usar certificados, então a importação deve funcionar. ❌ Se um perfil de e-mail usa um certificado de raiz, então o perfil não pode ser importado para um novo inquilino. A identificação do certificado de raiz é diferente num novo inquilino.
Certificado SCEP	Exportação ✔️ ❌ Importação Os perfis de certificado SCEP usam um certificado de raiz. A identificação do certificado de raiz é diferente num novo inquilino.
VPN	Exportação ✔️ ✔️ Se um perfil VPN não usar certificados, então a importação deve funcionar. ❌ Se um perfil VPN usa um certificado de raiz, então o perfil não pode ser importado para um novo inquilino. A identificação do certificado de raiz é diferente num novo inquilino.
Wi-Fi	Exportação ✔️ ✔️ Se um perfil Wi-Fi não usar certificados, então a importação deve funcionar. ❌ Se um perfil Wi-Fi usa um certificado de raiz, então o perfil não pode ser importado para um novo inquilino. A identificação do certificado de raiz é diferente num novo inquilino.
Atribuições	Exportação ✔️ ❌ Importação As atribuições são direcionadas para uma identificação de grupo. Num novo inquilino, a identificação do grupo é diferente.
Segurança de ponto final
Endpoint detection and response (Deteção e resposta de pontos finais)	❌ Exportação ❌ Importação Esta política está ligada ao Microsoft Defender para Endpoint. No novo inquilino, configura o Microsoft Defender para Endpoint, que inclui automaticamente a política de deteção e resposta do Ponto Final.

Descarregue as amostras e execute o script

Esta secção inclui uma visão geral dos passos. Use estes passos como orientação, e saiba que os seus passos específicos podem ser diferentes.

1. Faça o download das amostras e use Windows PowerShell para exportar as suas políticas:

   1. Aceda a amostras de microsoftgraph/powershell-intune,selecione Code > Download ZIP. Extrair o conteúdo do .zip ficheiro.

   2. Abra a aplicação Windows PowerShell como administrador e altere o diretório para a sua pasta. Por exemplo, insira o seguinte comando:

      cd C:\psscripts\powershell-intune-samples-master

   3. Instale o módulo AzureAD PowerShell:

      Install-Module AzureAD

      Selecione Y para instalar o módulo a partir de um repositório não fidedvo. A instalação pode demorar alguns minutos.

   4. Mude o diretório para a pasta com o script que pretende executar. Por exemplo, altere o diretório para a CompliancePolicy pasta:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   5. Executar o roteiro de exportação. Por exemplo, insira o seguinte comando:

      .\CompliancePolicy_Export.ps1

      Inscreva-se na sua conta. Quando solicitado, entre no caminho para colocar as políticas. Por exemplo, introduza:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

   Na sua pasta, as apólices são exportadas.

2. Importe as suas políticas no seu novo inquilino:

   1. Mude o diretório para a pasta PowerShell com o script que pretende executar. Por exemplo, altere o diretório para a CompliancePolicy pasta:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   2. Executar o roteiro de importação. Por exemplo, insira o seguinte comando:

      .\CompliancePolicy_Import_FromJSON.ps1

      Inscreva-se na sua conta. Quando solicitado, insira o caminho para o ficheiro de política .json que pretende importar. Por exemplo, introduza:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

3. Inscreva-se no centro de administração Endpoint Manager. As políticas que importou são mostradas.

Implementar Intune

1. Inscreva-se no centro de administração Endpoint Managere inscreva-se no Intune. Se tiver uma subscrição existente, também pode iniciar sôms.

   Para mais informações, consulte inscrever-se ou inscrever-se no Intune.

2. Coloque Intune Standalone como a autoridade do MDM. Para obter mais informações, consulte definir a autoridade DOM.

3. Adicione a sua conta de domínio, tal como contoso.com . Caso contrário, your-domain.onmicrosoft.com é automaticamente utilizado para o domínio. Por exemplo, se não adicionar a sua conta de domínio, poderá contoso.onmicrosoft.com ser utilizada.

   Se estiver a mudar-se para Microsoft 365 a partir de uma subscrição Office 365, o seu domínio pode já estar no Azure AD. Intune usa o mesmo AD Azure, e pode usar o seu domínio existente.

   Para obter mais informações, veja Adicionar um nome de domínio personalizado.

4. Adicione utilizadores e grupos. Estes utilizadores e grupos recebem as políticas que cria em Endpoint Manager.

   Os utilizadores e grupos são armazenados em Azure AD, que está incluído com Microsoft 365. Podes não ver a marca AZure AD, mas é isso que estás a usar. Azure AD é o sistema de backend que armazena utilizadores, grupos e dispositivos. Também controla o acesso aos recursos e autentica os utilizadores e dispositivos. Certifique-se de que os seus administradores AD têm acesso à sua subscrição AD Azure e são treinados para completar tarefas comuns de AD.

   Se está a mudar-se para Microsoft 365 de uma subscrição Office 365, os seus utilizadores e grupos já estão no Azure AD. Intune usa o mesmo AD Azure, e pode usar os utilizadores e grupos existentes.

   Se pretender transferir os utilizadores existentes do Ative Directory para a Azure AD, então pode configurar a identidade híbrida. Existem identidades híbridas em ambos os serviços - AD no local e Azure AD. Também pode exportar utilizadores do Ative Directory utilizando a UI ou através do script. Faça uma pesquisa na Internet para as suas opções.

   Pode criar grupos de dispositivos quando necessitar de executar tarefas administrativas com base na identidade do dispositivo, não na identidade do utilizador. São úteis para gerir dispositivos que não têm utilizadores dedicados, como dispositivos de quiosque, dispositivos partilhados por trabalhadores por turnos ou dispositivos atribuídos a um local específico. Por exemplo, Charlotte, NC distribution center - Android Enterprise inventory scanning devices criar, ou All Windows 10 Surface devices . .

   Ao configurar grupos de dispositivos antes da inscrição do dispositivo, pode utilizar categorias de dispositivos para ligar automaticamente dispositivos a grupos quando se matricularem. Depois, recebem automaticamente as políticas de dispositivos do seu grupo. Para mais informações, consulte o guia de implantação de inscrições intune.

5. Atribua licenças Intune aos seus utilizadores. Quando a licença é atribuída, os dispositivos do utilizador podem inscrever-se no Intune.

   Para mais informações, consulte a atribuição de licenças.

6. Por padrão, todas as plataformas de dispositivos podem inscrever-se no Intune. Se quiser evitar plataformas específicas, então crie uma restrição.

   Para obter mais informações, consulte Criar uma restrição do tipo de dispositivo.

7. Personalize a aplicação Portal da Empresa para que inclua os detalhes da sua organização. Os utilizadores utilizarão esta aplicação para inscrever os seus dispositivos, instalar aplicações e obter suporte de ajuda de TI.

   Para mais informações, consulte Configurar a aplicação Portal da Empresa.

8. Crie a sua equipa administrativa. A Intune usa o controlo de acesso baseado em funções para controlar o que os utilizadores podem ver e alterar. Como administrador global, pode atribuir funções aos utilizadores, tais como operador de Help Desk, Application Manager, Administrador de Função Intune, entre outros.

   Para obter mais informações, consulte o controlo de acesso baseado em funções (RBAC) com Microsoft Intune.

Passos seguintes

Consulte os guias de implementação de inscrições, gestão de dispositivos e aplicações,e proteção de aplicações.