移轉指南：設定或移至 Microsoft Intune

在您 規劃移至 Microsoft Intune 之後，下一個步驟是選擇適合您組織的移轉方法。 這些決策取決於您目前的行動裝置管理 (MDM) 環境、商務目標和技術需求。

本移轉指南會列出並說明採用或移至 Intune 的選項，包括：

• 您不使用行動裝置管理解決方案
• 您使用第三方合作夥伴 MDM 解決方案
• 您使用 Configuration Manager
• 您使用內部部署組策略
• 您使用 Microsoft 365 基本行動性與安全性

使用本指南來判斷最佳的移轉方法，並取得一些 & 建議的指引。

提示

• 本指南是一件即時的工作。 因此，請務必新增或更新您發現有用的現有秘訣和指引。

• 做為本文的隨附，Microsoft 365 系統管理中心也有一些設定指引。 本指南會根據您的環境自定義您的體驗。 若要存取此部署指南，請移至 Microsoft 365 系統管理中心的 Microsoft Intune 設定指南，並至少) 使用 全域讀取器 (登入。 如需這些部署指南和所需角色的詳細資訊，請移至 Microsoft 365 和 Office 365 產品的進階部署指南。

  若要檢閱最佳做法，而不登入並啟用自動化安裝功能，請移至 M365 安裝程式入口網站。

開始之前

• Microsoft Intune 是雲端原生解決方案，可協助管理身分識別、裝置和應用程式。 如果您的目標是要成為雲端原生，您可以在下列文章中深入瞭解：

  • 瞭解雲端原生端點
  • 什麼是 Intune？

• 您的 Intune 部署可能與先前的 MDM 部署不同。 Intune 會使用身分識別驅動的訪問控制。 它不需要網路 Proxy，即可從網路外部的裝置存取組織數據。

目前不使用任何專案

如果您目前未使用任何 MDM 或行動應用程式管理 (MAM) 提供者，則您有一些選項：

• Microsoft Intune：如果您想要雲端解決方案並準備好進行完整的裝置管理，請直接前往 Intune。 您可以使用 Intune 來檢查合規性、設定裝置功能、部署應用程式，以及安裝系統 & 應用程式更新。 您也可以獲得 Microsoft Intune 系統管理中心的好處，這是 Web 型控制台。

  • 應用程式防護原則概觀
  • 開始使用 Intune
  • 步驟 1 - 設定 Intune
  • 步驟 2 - 使用 Intune 新增、設定及保護應用程式
  • 步驟 3 – 規劃合規性政策
  • 步驟 4 - 建立裝置組態配置檔以保護裝置
  • 步驟 5 - 註冊裝置

• Configuration Manager：如果您想要將 Configuration Manager 的功能 (內部部署) 與 Intune (雲端) 結合，請考慮本文中的 租使用者附加 () 或本文中 的共同管理 () 。

  Configuration Manager 可以：

  • 管理 內部部署 Windows Server 和某些客戶端裝置。
  • 管理 合作夥伴或第三方軟體更新。
  • 部署 Windows 作業系統時建立 自定義工作順序 。
  • 部署和管理許多應用程式類型。

目前使用第三方 MDM 提供者

裝置應該只有一個 MDM 提供者。 如果您使用另一個 MDM 提供者，例如工作區 ONE (先前稱為 AirWatch) 、MobileIron 或 MaaS360，則可以移至 Intune。

用戶必須先從目前的 MDM 提供者取消註冊其裝置，才能在 Intune 中註冊。

1. 設定 Intune，包括將 MDM 授權單位設定為 Intune。

   如需詳細資訊，請移至:

   • 開始使用您的 Microsoft Intune 部署
   • 步驟 1 - 設定 Intune。

2. 部署應用程式並建立應用程式保護原則。 其概念是在移轉期間協助保護應用程式中的組織數據，直到裝置註冊 & 由 Intune 管理。

   如需詳細資訊，請移至 步驟 2 - 使用 Intune 新增、設定及保護應用程式。

3. 從目前的 MDM 提供者取消註冊裝置。

   當裝置取消註冊時，它們不會收到您的原則，包括提供保護的原則。 裝置會受到攻擊，直到它們在Intune中註冊並開始接收您的新原則為止。

   為使用者提供特定的取消註冊步驟。 包含您現有 MDM 提供者關於如何取消註冊裝置的指引。 清楚且實用的通訊可將使用者停機、情緒低落和技術服務人員通話降至最低。

4. 選擇性，但建議使用。 如果您已Microsoft Entra ID P1 或 P2，也 請使用 條件式存取 來封鎖裝置，直到裝置在 Intune 中註冊為止。

   如需詳細資訊，請移至 步驟 3 – 規劃合規性政策。

5. 選擇性，但建議使用。 建立所有使用者和裝置都必須具備的合規性和裝置設定基準。 當使用者在 Intune 中註冊時，可以部署這些原則。

   如需詳細資訊，請移至:

   • 步驟 3 – 規劃合規性政策
   • 步驟 4 - 設定裝置功能和設定，以保護裝置和存取資源
   • Microsoft Intune 中的保護和設定層級

6. 在 Intune 中註冊。 請務必為使用者提供特定的註冊步驟。

   如需詳細資訊，請移至:

   • 步驟 5 – 在 Microsoft Intune 中註冊裝置
   • Intune 註冊部署指南

重要事項

請勿同時設定 Intune 和任何現有的第三方 MDM 解決方案，以將訪問控制套用至資源，包括 Exchange 或 SharePoint。

建議：

• 如果您要從合作夥伴 MDM/MAM 提供者移動，請記下您正在執行的工作和您使用的功能。 此資訊可讓您瞭解在 Intune 中也要執行哪些工作。

• 使用階段式方法。 從一小組試驗用戶開始，並新增更多群組，直到您達到完整部署為止。

• 監視每個階段的技術服務人員載入和註冊成功。 移轉下一個群組之前，請保留排程中的時間來評估每個群組的成功準則。

  您的試驗部署應該驗證下列工作：

  • 註冊成功率和失敗率都符合您的預期。

  • 用戶生產力：

    • 公司資源正常運作，包括 VPN、Wi-Fi、電子郵件和憑證。
    • 已部署的應用程式可供存取。

  • 資料安全性：

    • 檢閱合規性報告，並尋找常見問題和趨勢。 與技術支持人員溝通問題、解決方式和趨勢。
    • 套用行動應用程式保護。

• 當您滿意移轉的第一個階段時，請針對下一個階段重複移轉週期。

  • 重複分階段迴圈，直到所有使用者都移轉至 Intune 為止。
  • 確認技術服務人員已準備好在整個移轉期間支援終端使用者。 執行自願性移轉，直到您可以估計支援通話工作負載為止。
  • 在您的技術服務人員可以處理所有剩餘的使用者之前，請勿設定註冊的期限。

實用資訊：

• 開始使用 Intune
• Intune 註冊部署指南
• 步驟 1 - 設定 Intune 和您的租使用者

目前使用 Configuration Manager

Configuration Manager 支援 Windows Server 和 Windows & macOS 用戶端裝置。 如果您的組織使用其他平臺，您可能需要重設裝置，然後在 Intune 中註冊它們。 註冊之後，他們會收到您建立的原則和配置檔。 如需詳細資訊，請參閱 Intune 註冊部署指南。

如果您目前使用 Configuration Manager，而且想要使用 Intune，則您有下列選項。

選項 1 - 新增租使用者附加

租使用者附加可讓您將 Configuration Manager 裝置上傳至 Intune 中的組織，也稱為「租使用者」。 鏈接裝置之後，您可以使用 Microsoft Intune 系統管理中心 來執行遠端動作，例如同步處理機器和用戶原則。 您也可以查看內部部署伺服器，並取得作業系統資訊。

租用戶附加隨附於您的 Configuration Manager 共同管理授權，而不需額外的費用。 這是將雲端 (Intune) 與內部部署 Configuration Manager 安裝程式整合的最簡單方式。

如需詳細資訊，請參閱 啟用租使用者附加。

選項 2 - 設定共同管理

此選項會針對某些工作負載使用 Configuration Manager，並針對其他工作負載使用 Intune。

1. 在 Configuration Manager 中，設定 共同管理。
2. 設定 Intune，包括將 MDM 授權單位設定為 Intune。

裝置已準備好在 Intune 中註冊，並接收您的原則。

實用資訊：

• 何謂共同管理？
• 共同管理工作負載
• 將 Configuration Manager 工作負載切換至 Intune
• Configuration Manager 產品和授權常見問題

選項 3 - 從 Configuration Manager 移至 Intune

大部分現有的 Configuration Manager 客戶都想要繼續使用 Configuration Manager。 它包含對內部部署裝置有幫助的服務。

這些步驟是概觀，而且只包含給想要 100% 雲端解決方案的使用者。 使用此選項，您可以：

• 將現有的內部部署 Active Directory Windows 用戶端裝置註冊為 Microsoft Entra ID 中的裝置。
• 將現有的內部部署 Configuration Manager 工作負載移至 Intune。

此選項更適用於系統管理員，但可以為現有的 Windows 用戶端裝置建立更順暢的體驗。 針對新的 Windows 用戶端裝置，建議您 從頭開始使用本文) 中的 Microsoft 365 和 Intune (。

1. 為您的裝置設定 混合式 Active Directory 和 Microsoft Entra ID 。 Microsoft已加入 Entra 混合式裝置會加入您的內部部署 Active Directory，並使用您的 Microsoft Entra ID 註冊。 當裝置位於 Microsoft Entra ID 時，Intune 也可使用它們。

   混合式Microsoft Entra ID 支援 Windows 裝置。 如需其他必要條件，包括登入需求，請參閱 規劃您的 Microsoft Entra 混合式聯結實作。

2. 在 Configuration Manager 中，設定 共同管理。

3. 設定 Intune，包括將 MDM 授權單位設定為 Intune。

4. 在 Configuration Manager 中，將 所有工作負載從 Configuration Manager 滑動至 Intune。

5. 在裝置上，卸載 Configuration Manager 用戶端。 如需詳細資訊，請 參閱卸載用戶端。

   設定 Intune 之後，您可以建立卸載 Configuration Manager 用戶端的 Intune 應用程式設定原則。 例如，您可以 使用 Intune 來反轉安裝 Configuration Manager 客戶端中的步驟。

裝置已準備好在 Intune 中註冊，並接收您的原則。

重要事項

混合式Microsoft Entra ID 僅支援 Windows 裝置。 Configuration Manager 支援 Windows 和 macOS 裝置。 針對在 Configuration Manager 中管理的 macOS 裝置，您可以：

1. 卸載 Configuration Manager 用戶端。 當您卸載時，裝置不會收到您的原則，包括提供保護的原則。 在 Intune 中註冊並開始接收您的新原則之前，他們很容易受到攻擊。
2. 在 Intune 中註冊裝置以接收原則。

若要協助將弱點降至最低，請在設定 Intune 之後，以及您的註冊原則準備好部署時移動macOS裝置。

選項 4 - 從頭開始使用 Microsoft 365 和 Intune

此選項適用於 Windows 用戶端裝置。 如果您使用 Windows Server，例如 Windows Server 2022，請勿使用此選項。 使用 Configuration Manager。

若要管理您的 Windows 用戶端裝置：

1. 部署 Microsoft 365，包括建立使用者和群組。 請勿使用或設定Microsoft 365 基本行動性與安全性。

   實用的連結：

   • Microsoft 365 企業版的部署指南。
   • 設定 Microsoft 365 商務版

2. 設定 Intune，包括將 MDM 授權單位設定為 Intune。

3. 在現有的裝置上，卸載 Configuration Manager 用戶端。 如需詳細資訊，請 參閱卸載用戶端。

裝置已準備好在 Intune 中註冊，並接收您的原則。

目前使用內部部署組策略

在雲端中，MDM 提供者，例如 Intune，會管理裝置上的設定和功能。 不會使用 GPO) (組策略物件。

當您管理裝置時，Intune 裝置組態配置檔會取代內部部署 GPO。 裝置組態配置檔會使用Apple、Google和 Microsoft 公開的設定。

特別是：

• 在 Android 裝置上，這些配置檔會使用 Android 管理 API 和 EMM API。
• 在 Apple 裝置上，這些配置檔會使用 裝置管理承載。
• 在 Windows 裝置上，這些設定檔會使用 Windows 設定服務提供者 (CSP) 。

從組策略行動裝置時，請使用 組策略分析。 組策略分析是 Intune 中分析 GPO 的工具和功能。 在 Intune 中，您會匯入 GPO，並查看哪些原則可在 Intune 中 (使用，) 無法使用。 針對 Intune 中可用的原則，您可以使用您匯入的設定來建立設定目錄原則。 如需這項功能的詳細資訊，請移至在 Microsoft Intune 中使用匯入的 GPO 建立設定目錄原則。

接下來， 步驟 1：設定 Microsoft Intune。

目前使用 Microsoft 365 基本行動性與安全性

如果您建立並部署Microsoft 365 基本行動和安全性原則，則可以將使用者、群組和原則移轉至 Microsoft Intune。

如需詳細資訊，請移至 從 Microsoft 365 Basic Mobility and Security 移轉至 Intune。

租用戶到租用戶的遷移

租使用者是您在 Microsoft Entra ID 中的組織，例如 Contoso。 它包含 Contoso 在取得Microsoft雲端服務時所收到的專用 Microsoft Entra 服務實例，例如 Microsoft Intune 或 Microsoft 365。 Microsoft Intune 和 Microsoft 365 會使用 Entra ID 來識別使用者和裝置、控制您所建立原則的存取權等等。

在 Intune 中，您可以使用 Microsoft Graph 和 Windows PowerShell 來匯出和匯入某些原則。

例如，您會建立 Microsoft Intune 試用訂閱。 在此訂用帳戶試用租使用者中，您有設定應用程式和功能、檢查合規性等原則。 您想要將這些原則移至另一個租使用者。

本節說明如何使用 Microsoft Graph 腳本將租使用者移轉至租使用者。 它也會列出一些可以或無法導出的原則類型。

重要事項

• 這些步驟會使用 GitHub 上的 Intune beta Graph 範例 。 範例腳本會對您的租用戶進行變更。 它們可以原樣使用，而且應該使用非生產或「測試」租用戶帳戶進行驗證。 請確定腳本符合貴組織的安全性指導方針。
• 腳本不會匯出和匯入每個原則，例如憑證配置檔。 預期會執行比這些腳本中可用更多的工作。 您必須重新建立一些原則。
• 若要移轉使用者的裝置，用戶必須從舊租使用者取消註冊裝置，然後重新註冊新的租使用者。

下載範例並執行腳本

本節包含步驟的概觀。 請使用這些步驟作為指引，並知道您的特定步驟可能不同。

1. 下載範例，並使用 Windows PowerShell 匯出您的原則：

   1. 移至 microsoftgraph/powershell-intune-samples，選取 [ 程式代碼>下載 ZIP]。 擷取檔案的內容 .zip 。

   2. 以系統管理員身分開啟 Windows PowerShell 應用程式，並將目錄變更為您的資料夾。 例如，輸入下列命令：

      cd C:\psscripts\powershell-intune-samples-master

   3. 安裝 AzureAD PowerShell 模組：

      Install-Module AzureAD

      選取 [Y ] 以從不受信任的存放庫安裝模組。 安裝可能需要幾分鐘的時間。

   4. 使用您想要執行的文稿，將目錄變更為資料夾。 例如，將目錄變更為 CompliancePolicy 資料夾：

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   5. 執行匯出腳本。 例如，輸入下列命令：

      .\CompliancePolicy_Export.ps1

      使用您的帳戶登入。 出現提示時，請輸入放置原則的路徑。 例如，輸入：

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

   在您的資料夾中，會匯出原則。

2. 在新的租用戶中匯入原則：

   1. 使用您想要執行的腳本，將目錄變更為 PowerShell 資料夾。 例如，將目錄變更為 CompliancePolicy 資料夾：

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   2. 執行匯入腳本。 例如，輸入下列命令：

      .\CompliancePolicy_Import_FromJSON.ps1

      使用您的帳戶登入。 出現提示時，輸入您要匯入的原則 .json 檔案路徑。 例如，輸入：

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

3. 登入 Intune 系統管理中心。 系統會顯示您匯入的原則。

您無法執行的動作

有些原則類型無法匯出。 有一些原則類型可以匯出，但無法匯入至不同的租使用者。 使用下列清單作為指南。 知道還有其他未列出的原則類型。

原則或配置檔類型	Information
應用程式
Android 企業營運應用程式	❌ 出口 ❌ 進口 若要將 LOB 應用程式新增至新的租使用者，您也需要原始 .apk 應用程式來源檔案。
Apple – VPP (大量採購方案)	❌ 出口 ❌ 進口 這些應用程式會與 Apple VPP 同步。 在新的租使用者中，您會新增 VPP 令牌，以顯示可用的應用程式。
iOS/iPadOS 企業營運應用程式	❌ 出口 ❌ 進口 若要將 LOB 應用程式新增至新的租使用者，您也需要原始 .ipa 應用程式來源檔案。
受控Google Play	❌ 出口 ❌ 進口 這些應用程式和 Web 連結會與受控 Google Play 同步。 在新的租使用者中，您會新增受控 Google Play 帳戶，以顯示可用的應用程式。
商務用 Microsoft Store	❌ 出口 ❌ 進口 這些應用程式會與商務用 Microsoft 市集同步處理。 在新的租使用者中，您會新增商務用Microsoft市集帳戶，以顯示可用的應用程式。
Windows 應用程式 (Win32)	❌ 出口 ❌ 進口 若要將 LOB 應用程式新增至新的租使用者，您也需要原始 .intunewin 應用程式來源檔案。
合規性原則
不符合規範的動作	❌ 出口 ❌ 進口 可能會有電子郵件範本的連結。 當您匯入具有不符合規範動作的原則時，會改為新增不符合規範的默認動作。
作業	✅ 出口 ❌ 進口 指派的目標為群組標識碼。 在新租使用者中，群組標識符不同。
組態配置檔
電子郵件	✅ 出口 ✅ 如果電子郵件設置檔未使用憑證，則匯入應該可以運作。 ❌ 如果電子郵件設置檔使用跟證書，則無法將配置檔匯入至新的租使用者。 新租使用者中的跟證書標識碼不同。
SCEP 憑證	✅ 出口 ❌ 進口 SCEP 憑證配置檔會使用跟證書。 新租使用者中的跟證書標識碼不同。
VPN	✅ 出口 ✅ 如果 VPN 設定檔未使用憑證，則匯入應該可以運作。 ❌ 如果 VPN 設定檔使用跟證書，則無法將設定檔匯入至新的租使用者。 新租使用者中的跟證書標識碼不同。
Wi-Fi	✅ 出口 ✅ 如果 Wi-Fi 配置檔未使用憑證，則匯入應該可以運作。 ❌ 如果 Wi-Fi 配置檔使用跟證書，則無法將配置檔匯入至新的租使用者。 新租使用者中的跟證書標識碼不同。
作業	✅ 出口 ❌ 進口 指派的目標為群組標識碼。 在新租使用者中，群組標識符不同。
端點安全性
端點偵測及回應	❌ 出口 ❌ 進口 此原則會連結至適用於端點Microsoft Defender。 在新的租使用者中，您會設定 Microsoft Defender for Endpoint，這會自動包含 端點偵測和響應 原則。

後續步驟

• 開始使用 Intune
• 註冊部署指南