迁移指南:设置或移动到 Microsoft Intune
在计划迁移到 Microsoft Intune 后,下一步是选择适合你的组织的迁移方法。 这些决策取决于当前的移动设备管理 (MDM) 环境、业务目标和技术要求。
此迁移指南列出了并介绍了采用或迁移到 Intune 的选项,其中包括:
- 不使用移动设备管理解决方案
- 使用第三方合作伙伴 MDM 解决方案
- 使用 Configuration Manager
- 使用本地组策略
- 使用 Microsoft 365 基本移动性和安全性
使用本指南确定最佳迁移方法,并获取一些指导 & 建议。
提示
-
本指南将持续更新。 因此,请务必添加或更新你发现的有用的现有提示和指南。
作为本文的配套内容,Microsoft 365 管理中心还提供了一些设置指南。 本指南根据你的环境自定义你的体验。 若要访问此部署指南,请转到 Microsoft 365 管理中心的 Microsoft Intune 设置指南,并在最低) 使用 全局阅读器 (登录。 有关这些部署指南和所需角色的详细信息,请转到 Microsoft 365 和 Office 365 产品的高级部署指南。
若要在不登录和激活自动安装功能的情况下查看最佳做法,请转到 M365 安装程序门户。
开始之前
Microsoft Intune 是一种云原生解决方案,可帮助管理标识、设备和应用。 如果目标是成为云原生,可以在以下文章中了解详细信息:
Intune 部署可能不同于以前的 MDM 部署。 Intune 使用标识驱动的访问控制。 它不需要网络代理即可通过网络外部的设备访问组织数据。
当前未使用任何产品
如果当前未使用任何 MDM 或移动应用程序管理 (MAM) 提供程序,则可以选择以下选项:
Microsoft Intune:如果需要云解决方案并准备好进行完整的设备管理,请直接转到 Intune。 可以使用 Intune 检查合规性、配置设备功能、部署应用以及安装系统 & 应用更新。 还可以获得 Microsoft Intune 管理中心的优势,该管理中心是一个基于 Web 的控制台。
Configuration Manager:如果希望将 Configuration Manager (本地) 功能与 Intune (云) 相结合,请考虑本文) 中的 租户附加 () 或 共同管理 (。
Configuration Manager 可以:
- 管理 本地 Windows Server 和某些客户端设备。
- 管理 合作伙伴或第三方软件更新。
- 部署 Windows 操作系统时 创建自定义任务序列 。
- 部署和管理许多应用类型。
当前使用第三方 MDM 提供商
设备应仅包含一个 MDM 提供商。 如果使用另一个 MDM 提供程序,例如 Workspace ONE (以前称为 AirWatch) 、MobileIron 或 MaaS360,则可以移动到 Intune。
用户必须先从当前 MDM 提供程序取消注册其设备,然后才能在 Intune 中注册。
设置 Intune,包括将 MDM 颁发机构设置为 Intune。
有关详细信息,请转到:
部署应用并创建应用保护策略。 其思路是帮助在迁移期间保护应用中的组织数据,直到设备注册 & Intune 进行管理。
有关详细信息,请转到 步骤 2 - 使用 Intune 添加、配置和保护应用。
从当前 MDM 提供程序取消注册设备。
取消注册设备后,这些设备将不会收到策略,包括提供保护的策略。 在设备在 Intune 中注册并开始接收新策略之前,设备易受攻击。
为用户提供特定的取消注册步骤。 包括现有 MDM 提供商提供的有关如何取消注册设备的指南。 清晰而有用的通信可最大程度地减少最终用户停机时间、不满和支持人员呼叫。
可选,但建议使用。 如果已Microsoft Entra ID P1 或 P2,也 请使用 条件访问 阻止设备,直到设备在 Intune 中注册。
有关详细信息,请转到 步骤 3 - 规划合规性策略。
可选,但建议使用。 创建所有用户和设备必须具有的合规性和设备设置的基线。 当用户在 Intune 中注册时,可以部署这些策略。
有关详细信息,请转到:
在 Intune 中注册。 请确保为用户指定特定的注册步骤。
有关详细信息,请转到:
重要
不要同时配置 Intune 和任何现有的第三方 MDM 解决方案,以对资源(包括 Exchange 或 SharePoint)应用访问控制。
建议:
如果要从合作伙伴 MDM/MAM 提供程序迁移,请记下正在运行的任务和使用的功能。 此信息可了解在 Intune 中还要执行哪些任务。
使用分阶段方法。 从一小批试验用户开始,然后添加更多组,直到完成全面部署。
监视每个阶段的支持人员负载和注册是否成功。 在计划中预留时间来评估每个组的成功条件,然后再迁移下一组。
试验部署应验证以下任务:
注册成功率和失败率符合预期。
用户工作效率:
- 公司资源始终有效,包括 VPN、Wi-Fi、电子邮件和证书。
- 可以访问已部署的应用。
数据安全性:
- 查看符合性报告,并查找常见问题和趋势。 与支持人员交流问题、解决方案和趋势。
- 已应用移动应用保护。
如果对迁移的第一阶段感到满意,请重复迁移周期以执行下一阶段。
- 重复分阶段周期,直至将所有用户都迁移到 Intune。
- 确认支持人员可在整个迁移过程中随时为最终用户提供支持。 在可以估计支持调用工作负载之前,请运行自愿迁移。
- 在支持人员可以处理所有剩余用户之前,不要设置注册截止时间。
有用信息:
当前使用 Configuration Manager
Configuration Manager 支持 Windows Server,Windows & macOS 客户端设备。 如果组织使用其他平台,则可能需要重置设备,然后在 Intune 中注册它们。 注册后,这些设备将收到你创建的策略和配置文件。 有关详细信息,请参阅 Intune 注册部署指南。
如果当前使用 Configuration Manager,并且想要使用 Intune,则可以使用以下选项。
选项 1 - 添加租户附加
使用租户附加,可以将 Configuration Manager 设备上传到你在 Intune 中的组织(也称为“租户”)。 附加设备后,可以使用 Microsoft Intune 管理中心 运行远程操作,例如同步计算机和用户策略。 还可以查看本地服务器,以及获取 OS 信息。
租户附加包含在 Configuration Manager 联合管理许可证中,无需额外付费。 这是将云 (Intune) 与本地 Configuration Manager 设置集成的最简单方法。
有关详细信息,请参阅启用租户附加。
选项 2 - 设置共同管理
此选项将 Configuration Manager 用于某些工作负载,并将 Intune 用于其他工作负载。
设备已准备好在 Intune 中注册,并接收策略。
有用信息:
选项 3 - 从 Configuration Manager 移动到 Intune
大多数现有 Configuration Manager 客户都希望继续使用 Configuration Manager。 它包括对本地设备有利的服务。
这些步骤只是一个概述,仅为需要 100% 云解决方案的用户提供。 使用此选项,可以执行以下操作:
- 将现有本地 Active Directory Windows 客户端设备注册为 entra ID Microsoft 设备。
- 将现有的本地 Configuration Manager 工作负载迁移至 Intune。
此选项更适用于管理员,但可以为现有 Windows 客户端设备创造更无缝的体验。 对于新的 Windows 客户端设备,建议 从头开始使用 Microsoft 365 和 Intune (本文) 。
为设备设置 混合 Active Directory 和Microsoft Entra ID 。 Microsoft Entra 混合联接设备已加入本地 Active Directory,并使用 Microsoft Entra ID 注册。 当设备位于 Microsoft Entra ID 中时,它们也可用于 Intune。
混合Microsoft Entra ID 支持 Windows 设备。 有关其他先决条件(包括登录要求),请参阅 规划Microsoft Entra 混合联接实现。
在 Configuration Manager 中,设置共同管理。
设置 Intune,包括将 MDM 颁发机构设置为 Intune。
在 Configuration Manager 中,将所有工作负载从 Configuration Manager 迁移到 Intune。
在设备上,卸载 Configuration Manager 客户端。 有关详细信息,请参阅卸载客户端。
设置 Intune 之后,可以创建用于卸载 Configuration Manager 客户端的 Intune 应用配置策略。 例如,可以逆向执行使用 Intune 安装 Configuration Manager 客户端中的步骤。
设备已准备好在 Intune 中注册,并接收策略。
重要
混合Microsoft Entra ID 仅支持 Windows 设备。 Configuration Manager 支持 Windows 和 macOS 设备。 对于在 Configuration Manager 中管理的 macOS 设备,可以执行以下操作:
- 卸载 Configuration Manager 客户端。 卸载时,设备不会接收策略,包括提供保护的策略。 在他们注册 Intune 并开始接收新策略之前,他们很容易受到攻击。
- 在 Intune 中注册设备以接收策略。
为了帮助最大程度地减少漏洞,请在设置 Intune 后以及准备好部署注册策略时移动 macOS 设备。
选项 4 - 使用 Microsoft 365 和 Intune 从头开始
此选项适用于 Windows 客户端设备。 如果使用 Windows Server(如 Windows Server 2022),请不要使用此选项。 使用 Configuration Manager。
若要管理 Windows 客户端设备,请执行以下操作:
部署 Microsoft 365,包括创建用户和组。 请勿使用或配置 Microsoft 365 基本移动性和安全性。
有用的链接:
设置 Intune,包括将 MDM 颁发机构设置为 Intune。
在现有设备上,卸载 Configuration Manager 客户端。 有关详细信息,请参阅卸载客户端。
设备已准备好在 Intune 中注册,并接收策略。
当前使用本地组策略
在云中,MDM 提供程序(如 Intune)管理设备上的设置和功能。 不使用组策略对象 (GPO) 。
管理设备时,Intune 设备配置文件将替换本地 GPO。 设备配置文件使用 Apple、Google 和 Microsoft 公开的设置。
具体来说:
- 在 Android 设备上,这些配置文件使用 Android 管理 API 和 EMM API。
- 在 Apple 设备上,这些配置文件使用设备管理有效负载。
- 在 Windows 设备上,这些配置文件使用 Windows 配置服务提供商 (CSP)。
从组策略迁移设备时,请使用组策略分析。 组策略分析是 Intune 中用于分析 GPO 的工具和功能。 在 Intune 中,导入 GPO,并查看哪些策略 (可用,哪些策略在 Intune 中不可用) 。 对于 Intune 中可用的策略,可以使用导入的设置创建设置目录策略。 有关此功能的详细信息,请转到 使用 Microsoft Intune 中导入的 GPO 创建设置目录策略。
接下来, 步骤 1:设置 Microsoft Intune。
当前使用 Microsoft 365 基本移动性和安全性
如果创建并部署了 Microsoft 365 基本移动性和安全性策略,则可以将用户、组和策略迁移到 Microsoft Intune。
有关详细信息,请转到 从 Microsoft 365 基本移动性和安全性迁移到 Intune。
租户到租户迁移
租户是组织Microsoft Entra ID,如 Contoso。 它包括 Contoso 在获取Microsoft云服务(如 Microsoft Intune 或 Microsoft 365)时接收的专用Microsoft Entra 服务实例。 Microsoft Intune 和 Microsoft 365 使用 Entra ID 来标识用户和设备,控制对所创建策略的访问等。
在 Intune 中,可以使用 Microsoft Graph 和 Windows PowerShell 导出和导入一些策略。
例如,你创建了 Microsoft Intune 试用订阅。 在此订阅试用租户中,你有用于配置应用和功能、检查合规性等的策略。 你要将这些策略迁移到另一个租户中。
本部分介绍如何使用 Microsoft Graph 脚本进行租户到租户的迁移。 它还列出了一些可以或不能导出的策略类型。
重要
- 这些步骤使用了 GitHub 上的 Intune Beta Graph 示例。 示例脚本对你的租户进行了更改。 它们按原样提供,应使用非生产或“测试”租户帐户进行验证。 请确保脚本符合组织的安全准则。
- 脚本不会导出和导入每个策略,如证书配置文件。 应执行超过这些脚本能力范围的更多任务。 你将不得不重新创建一些策略。
- 若要迁移用户的设备,用户必须从旧租户中取消注册设备,然后在新租户中重新注册。
下载示例并运行脚本
此部分对这些步骤进行了概述。 使用这些步骤作为指导,并知道你的特定步骤可能有所不同。
下载示例,并使用 Windows PowerShell 来导出策略:
转到 microsoftgraph/powershell-intune-samples,然后依次选择“代码”>“下载 ZIP”。 提取
.zip
文件的内容。以管理员身份打开 Windows PowerShell 应用,并将目录更改为你的文件夹。 例如,输入以下命令:
cd C:\psscripts\powershell-intune-samples-master
安装 AzureAD PowerShell 模块:
Install-Module AzureAD
选择“Y”,以从不受信任的存储库中安装模块。 安装可能需要几分钟的时间。
将目录更改为包含要运行的脚本的文件夹。 例如,将目录更改为
CompliancePolicy
文件夹:cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy
运行导出脚本。 例如,输入以下命令:
.\CompliancePolicy_Export.ps1
使用你的帐户登录。 当出现提示时,输入放置策略的路径。 例如,输入:
C:\psscripts\ExportedIntunePolicies\CompliancePolicies
此时,策略在你的文件夹中导出。
将策略导入新租户中:
将目录更改为包含要运行的脚本的 PowerShell 文件夹。 例如,将目录更改为
CompliancePolicy
文件夹:cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy
运行导入脚本。 例如,输入以下命令:
.\CompliancePolicy_Import_FromJSON.ps1
使用你的帐户登录。 当出现提示时,输入要导入的策略
.json
文件的路径。 例如,输入:C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json
登录到Intune 管理中心。 此时,你导入的策略显示。
不能执行的操作
有一些策略类型不能导出。 有一些策略类型可以导出,但不能导入到不同的租户中。 请使用下面的列表作为指导。 要知道还有其他没有列出的策略类型。
策略或配置文件类型 | 信息 |
---|---|
应用 | |
Android 业务线应用 |
❌ 导出 ❌ 导入 若要将 LOB 应用添加到新租户中,还需要原始的 .apk 应用程序源文件。 |
Apple – Volume Purchase Program (VPP) |
❌ 导出 ❌ 导入 这些应用与 Apple VPP 同步。 在新租户中,添加 VPP 令牌,它显示可用的应用。 |
iOS/iPadOS 业务线应用 |
❌ 导出 ❌ 导入 若要将 LOB 应用添加到新租户中,还需要原始的 .ipa 应用程序源文件。 |
托管 Google Play |
❌ 导出 ❌ 导入 这些应用和 Web 链接与托管 Google Play 同步。 在新租户中,添加托管 Google Play 帐户,它显示可用的应用。 |
适用于企业的 Microsoft Store |
❌ 导出 ❌ 导入 这些应用与适用于企业的 Microsoft Store 同步。 在新租户中,添加适用于企业的 Microsoft Store 帐户,它显示可用的应用。 |
Windows 应用 (Win32) |
❌ 导出 ❌ 导入 若要将 LOB 应用添加到新租户中,还需要原始的 .intunewin 应用程序源文件。 |
合规性策略 | |
纠正不合规性的操作 |
❌ 导出 ❌ 导入 可能会有指向电子邮件模板的链接。 如果你导入包含不合规性操作的策略,则改为添加纠正不合规性的默认操作。 |
作业 |
✅ 导出 ❌ 导入 分配以组 ID 为目标。 在新租户中,组 ID 是不同的。 |
配置文件 | |
电子邮件 |
✅ 导出 ✅ 如果电子邮件配置文件不使用证书,则导入应正常工作。 ❌ 如果电子邮件配置文件使用根证书,则无法将配置文件导入到新租户中。 在新租户中,根证书 ID 是不同的。 |
SCEP 证书 |
✅ 导出 ❌ 导入 SCEP 证书配置文件使用根证书。 在新租户中,根证书 ID 是不同的。 |
VPN |
✅ 导出 ✅ 如果 VPN 配置文件不使用证书,则导入应正常工作。 ❌ 如果 VPN 配置文件使用根证书,则无法将配置文件导入到新租户中。 在新租户中,根证书 ID 是不同的。 |
Wi-Fi |
✅ 导出 ✅ 如果 Wi-Fi 配置文件不使用证书,则导入应正常工作。 ❌ 如果 Wi-Fi 配置文件使用根证书,则无法将配置文件导入到新租户中。 在新租户中,根证书 ID 是不同的。 |
作业 |
✅ 导出 ❌ 导入 分配以组 ID 为目标。 在新租户中,组 ID 是不同的。 |
终结点安全 | |
终结点检测和响应 |
❌ 导出 ❌ 导入 此策略已链接到 Microsoft Defender for Endpoint。 在新租户中,配置 Microsoft Defender for Endpoint,它自动包含“终结点检测和响应”策略。 |