Ange utfärdare för hantering av mobila enheter

  • Artikel

Inställningen av hantering av mobil enhet bestämmer hur du ska hantera dina enheter. Som IT-administratör måste du ange en MDM-utfärdare innan användarna kan registrera enheter för hantering. Du bör också tilldelas en Intune-licens för att ange MDM-utfärdaren.

Möjliga konfigurationer är:

  • Fristående Intune – hantering endast för molnet, som du konfigurerar med hjälp av Azure Portal. Innehåller den fullständiga uppsättningen funktioner som Intune erbjuder. Ange MDM-utfärdare i Microsoft Intune administrationscenter.

  • Intune-samhantering – Integrering av Intune-molnlösningen med Configuration Manager för Windows 10 enheter. Du konfigurerar Intune med hjälp av Configuration Manager-konsolen. Konfigurera automatisk registrering av enheter till Intune.

  • Grundläggande mobilitet och säkerhet för Microsoft 365 – När den här konfigurationen har aktiverats är MDM-utfärdaren inställd på "Office 365". Om du vill börja använda Intune måste du köpa Intune-licenser.

  • Grundläggande mobilitet och säkerhet för Microsoft 365-samexistens – Du kan lägga till Intune i din klientorganisation om du redan använder Grundläggande mobilitet och säkerhet för Microsoft 365. Du kan ange hanteringsutfärdaren till antingen Intune eller Grundläggande mobilitet och säkerhet för Microsoft 365 så att varje användare kan bestämma vilken tjänst som används för att hantera deras MDM-registrerade enheter. Varje användares hanteringsutfärdare definieras baserat på den licens som tilldelats användaren:

    • Grundläggande mobilitet och säkerhet för Microsoft 365 hanterar enheter för användare som bara har en licens för Microsoft 365 Basic eller Standard.
    • Intune hanterar enheter för användare som har en licens som berättigar dem att använda den.
    • Om du lägger till en licens som berättigar Intune till en användare som tidigare hanterades av Grundläggande mobilitet och säkerhet för Microsoft 365, växlas deras enheter till Intune-hantering. För att undvika att förlora Grundläggande mobilitet och säkerhet för Microsoft 365-konfiguration på användarnas enheter måste du tilldela Intune-konfigurationer till användare innan du växlar dem till Intune.

Ange MDM-utfärdare till Intune

För klienter som använder 1911-tjänstversionen och senare anges MDM-utfärdaren automatiskt till Intune.

Om du har aktiverat Grundläggande mobilitet och säkerhet för klienter som använder 1911-tjänstversionen och senare följer du stegen i det här avsnittet.

Om du ännu inte har angett MDM-utfärdare för pre-1911-tjänstversionsklientorganisationer följer du stegen i det här avsnittet.

  1. I Microsoft Intune administrationscenter väljer du den orangefärgade banderollen för att öppna inställningen Mobile Enhetshantering Authority. Den orangefärgade banderollen visas bara om du inte har angett MDM-utfärdaren än.

  2. Under Mobile Enhetshantering Authority (Utfärdare för mobila Enhetshantering) väljer du din MDM-utfärdare bland följande alternativ:

    • Intune MDM-utfärdare
    • Ingen

    Skärmbild av skärmen ange utfärdare för hantering av mobila enheter i Intune.

Ett meddelande anger att du har angett din MDM-utfärdare till Intune.

Arbetsflöde för Användargränssnitt för Intune-administration

När Android- eller Apple-enhetshantering är aktiverat skickar Intune enhetsinformation och användarinformation för att integrera med dessa tjänster från tredje part för att hantera sina respektive enheter.

Scenarier som lägger till ett medgivande för att dela data ingår när:

  • Du aktiverar personligt ägda eller företagsägda Android Enterprise-arbetsprofiler.
  • Du aktiverar och laddar upp Apple MDM-pushcertifikat.
  • Du aktiverar någon av Apple-tjänsterna, till exempel programmet för enhetsregistrering, skolhanteraren eller volyminköpsprogrammet.

I varje fall är medgivandet strikt relaterat till att köra en hanteringstjänst för mobila enheter. Du kan till exempel bekräfta att en IT-Admin har gett Google- eller Apple-enheter behörighet att registrera sig. Dokumentation för att hantera vilken information som delas när de nya arbetsflödena publiceras är tillgänglig från följande platser:

Viktiga överväganden

När du har bytt till den nya MDM-utfärdaren finns det en viss övergångstid (upp till åtta timmar) innan enheten checkar in och synkroniserar med tjänsten. Du måste konfigurera inställningar i den nya MDM-utfärdaren för att se till att registrerade enheter fortsätter att hanteras och skyddas efter ändringen.

  • Enheter måste ansluta till tjänsten efter ändringen så att inställningarna från den nya MDM-utfärdaren (fristående Intune) ersätter de befintliga inställningarna på enheten.
  • När du har ändrat MDM-utfärdaren finns vissa av de grundläggande inställningarna (till exempel profiler) från den tidigare MDM-utfärdaren kvar på enheten i upp till sju dagar eller tills enheten ansluter till tjänsten för första gången. Du bör konfigurera appar och inställningar (till exempel principer, profiler och appar) i den nya MDM-utfärdaren så snart som möjligt och distribuera inställningen till de användargrupper som innehåller användare som har befintliga registrerade enheter. Så snart en enhet ansluter till tjänsten efter ändringen av MDM-utfärdaren får den de nya inställningarna från den nya MDM-utfärdaren och förhindrar luckor i hantering och skydd.
  • Enheter som inte har associerade användare (vanligtvis när du har iOS/iPadOS-enhetsregistreringsprogram eller massregistreringsscenarier) migreras inte till den nya MDM-utfärdaren. För dessa enheter måste du ringa supporten för att få hjälp med att flytta dem till den nya MDM-utfärdaren.

Samexistens

Genom att aktivera samexistens kan du använda Intune för en ny uppsättning användare samtidigt som du fortsätter att använda Grundläggande mobilitet och säkerhet för befintliga användare. Du kan styra vilka enheter som hanteras av Intune via användaren. Intune hanterar alla enheter som registrerats av en användare, om användaren har en Intune-licens eller använder Intune-samhantering med Configuration Manager. Annars hanteras användaren av Grundläggande mobilitet och säkerhet.

Det finns tre viktiga steg för att aktivera samexistens:

  1. Förberedelse
  2. Lägg till Intune MDM-utfärdare
  3. Migrering av användare och enhet (valfritt).

Förberedelse

Tänk på följande innan du aktiverar samexistens med Grundläggande mobilitet och säkerhet:

  • Kontrollera att du har tillräckligt med Intune-licenser för de användare som du tänker hantera via Intune.
  • Granska vilka användare som har tilldelats Intune-licenser. När du har aktiverat samexistens får alla användare som redan har tilldelats en Intune-licens sina enheter att växla till Intune. För att undvika oväntade enhetsväxlar rekommenderar vi att du inte tilldelar några Intune-licenser förrän du har aktiverat samexistens.
  • Skapa och distribuera Intune-principer för att ersätta enhetssäkerhetsprinciper som ursprungligen distribuerades via Office 365 Security & Compliance-portalen. Den här ersättningen bör göras för alla användare som du förväntar dig att flytta från Grundläggande mobilitet och säkerhet till Intune. Om inga Intune-principer har tilldelats dessa användare kan aktivering av samexistens göra att de förlorar Grundläggande mobilitet och säkerhet inställningar. De här inställningarna går förlorade utan ersättning, till exempel hanterade e-postprofiler. Även när du ersätter enhetssäkerhetsprinciper med Intune-principer kan användarna uppmanas att autentisera sina e-postprofiler igen när enheten har flyttats till Intune-hanteringen.
  • Du kan inte avetablera Grundläggande mobilitet och säkerhet när du har konfigurerat den. Det finns dock steg du kan vidta för att inaktivera principerna. Mer information finns i Inaktivera Grundläggande mobilitet och säkerhet.

Lägg till Intune MDM-utfärdare

Om du vill aktivera samexistens måste du lägga till Intune som MDM-utfärdare för din miljö:

  1. Logga in på Microsoft Intune administrationscenter med Microsoft Entra globala administratörsrättigheter eller administratörsrättigheter för Intune-tjänsten.

  2. Gå till Enheter.

  3. Bladet Lägg till MDM-utfärdare visas.

  4. Om du vill byta MDM-utfärdare från Office 365 till Intune och aktivera samexistens väljer du Intune MDM-utfärdare>Lägg till.

    Skärmbild av skärmen Lägg till MDM-utfärdare.

Migrera användare och enheter (valfritt)

När du har aktiverat Intune MDM-utfärdare aktiveras samexistens och du kan börja hantera användare via Intune. Du kan också flytta enheter som tidigare hanterades av Grundläggande mobilitet och säkerhet som ska hanteras av Intune genom att tilldela dessa användare en Intune-licens. Användarnas enheter växlar till Intune vid nästa MDM-incheckning. Inställningar som har tillämpats på dessa enheter via Grundläggande mobilitet och säkerhet tillämpas inte längre och tas bort från enheterna.

Rensning av mobila enheter efter mdm-certifikatets upphörande

MDM-certifikatet förnyas automatiskt när mobila enheter kommunicerar med Intune-tjänsten. Om mobila enheter rensas eller om de inte kan kommunicera med Intune-tjänsten under en viss tidsperiod förnyas inte MDM-certifikatet. Enheten tas bort från Azure Portal 180 dagar efter att MDM-certifikatet upphör att gälla.

Ta bort MDM-utfärdare

MDM-utfärdaren kan inte ändras tillbaka till Okänd. MDM-utfärdaren används av tjänsten för att avgöra vilka portalregistrerade enheter som rapporterar till (Microsoft Intune eller Grundläggande mobilitet och säkerhet för Microsoft 365).

Vad du kan förvänta dig när du har ändrat MDM-utfärdaren

  • När Intune-tjänsten identifierar en ändring i en klientorganisations MDM-utfärdare skickar den ett meddelande till alla registrerade enheter. Meddelandemeddelandet uppmanar enheterna att checka in och synkronisera med tjänsten, utanför det vanliga schemat. Därför ansluter alla på- och onlineenheter till tjänsten och tar emot den nya MDM-utfärdaren. Den nya utfärdaren hanterar och skyddar enheterna utan avbrott. När MDM-utfärdaren för klientorganisationen har ändrats från fristående Intune fortsätter därför enheterna att fungera normalt under den nya MDM-utfärdaren.

  • Enheter som är påslagna och online under eller strax efter ändringen av MDM-utfärdare upplever en fördröjning. Fördröjningen kan vara upp till åtta timmar, beroende på tidpunkten för nästa schemalagda regelbundna incheckning. Under fördröjningen registreras inte enheterna med tjänsten under den nya MDM-utfärdaren. Efter fördröjningen är enheterna helt registrerade och i drift under den nya MDM-utfärdaren.

    Viktigt

    Mellan den tidpunkt då du ändrar MDM-utfärdaren och när det förnyade APN-certifikatet laddas upp till den nya utfärdaren misslyckas nya enhetsregistreringar och enhetskontroll för iOS/iPadOS-enheter. Därför är det viktigt att du granskar och laddar upp APN-certifikatet till den nya utfärdaren så snart som möjligt efter ändringen av MDM-utfärdaren.

  • Användare kan snabbt byta till den nya MDM-utfärdaren genom att manuellt starta en incheckning från enheten till tjänsten. Användarna kan enkelt göra den här ändringen med hjälp av Företagsportal-appen och starta en kontroll av enhetsefterlevnad.

  • Om du vill kontrollera att det fungerar korrekt när enheterna har checkat in och synkroniserat med tjänsten efter ändringen av MDM-utfärdaren letar du efter enheterna i den nya MDM-utfärdaren.

  • Det finns en övergångsperiod när en enhet är offline under ändringen av MDM-utfärdare och när enheten checkar in på tjänsten. Under övergångsperioden är det viktigt att skydda och underhålla enhetens funktioner. För att skydda och underhålla enhetens funktioner finns följande profiler kvar på enheten. Profilerna finns kvar på enheten i upp till sju dagar eller tills enheten ansluter till den nya MDM-utfärdaren. När enheten ansluter och tar emot nya inställningar skrivs de befintliga profilerna över:

    • E-postprofil
    • VPN-profil
    • Certifikatprofil
    • Wi-Fi profil
    • Konfigurationsprofiler

  • När du har ändrat till den nya MDM-utfärdaren kan det ta upp till en vecka innan kompatibilitetsdata i Microsoft Intune administrationscenter rapporteras korrekt. Kompatibilitetstillstånden i Microsoft Entra-ID och på enheten är dock korrekta så att enheten fortfarande är skyddad.

  • Kontrollera att de nya inställningarna som är avsedda att skriva över befintliga inställningar har samma namn som de tidigare för att säkerställa att de gamla inställningarna skrivs över. Annars kan enheterna få redundanta profiler och principer.

    Tips

    Som bästa praxis bör du skapa alla hanteringsinställningar och konfigurationer, samt distributioner, kort efter att ändringen av MDM-utfärdaren har slutförts. Detta säkerställer att enheterna skyddas och hanteras aktivt under övergångsperioden.

  • När du har ändrat MDM-utfärdaren utför du följande steg för att verifiera att nya enheter har registrerats till den nya utfärdaren:

    • Registrera en ny enhet
    • Kontrollera att den nyligen registrerade enheten visas i den nya MDM-utfärdaren.
    • Utför en åtgärd, till exempel Fjärrlås, från Microsoft Intune administrationscenter till enheten. Om det lyckas hanterar den nya MDM-utfärdaren enheten.

  • Om du har problem med specifika enheter kan du avregistrera och omregistrera enheterna för att få dem anslutna till den nya utfärdaren och hanteras så snabbt som möjligt.

Bekräfta din klientorganisations MDM-utfärdare

Använd följande steg för att bekräfta att MDM-utfärdaren är inställd på Intune:

  1. I Microsoft Intune administrationscenter väljer du Klientadministration>Klientorganisationsstatus.
  2. Under fliken Klientorganisationsinformation letar du upp MDM-utfärdare.

Nästa steg

När MDM-utfärdaren har angetts kan du börja registrera enheter.