分享方式:


從 Microsoft 365 基本行動和安全性移轉至 Intune

Microsoft 365 包含一組基本的原則,可保護裝置並保護 365 應用程式Microsoft,例如 Outlook。 這些原則是在 Microsoft Defender 入口網站中管理,稱為 基本行動性與安全性。 如需基本行動性與安全性所提供的詳細資訊,請移至 基本行動性與安全性的功能

許多組織都想要更多或下一層裝置管理功能。 具體而言,他們想要 intune Microsoft隨附的功能。 如需功能的比較,請移至 [基本行動性與安全性] 或 [Intune]

您可以從基本行動和安全性移轉至 Microsoft Intune。 移轉至 Intune 需要下列主要步驟:

  1. 準備

    檢閱您的 Intune 授權、基本行動和安全策略、群組成員資格和裝置,以簡化移轉。

  2. 評估和移轉現有的原則

    使用 Microsoft Intune 系統管理中心的移轉評估。 輸出會顯示取代基本行動和安全策略的 Intune 原則和群組建議。

  3. 指派原則並完成移轉

    將授權指派給使用者或群組,這會在下一個重新整理週期自動將使用者切換至 Intune 裝置管理。

本文可協助您將行動裝置管理 (MDM) 從 Microsoft 365 Basic Mobility and Security 移轉至 Microsoft Intune。

開始之前

  • 當您登入 Intune 系統管理中心時,請使用具有 Microsoft Entra License 系統管理員 許可權的帳戶。 如需此角色的詳細資訊,請移 至 Microsoft Entra 內建角色 - 授權管理員]

  • 在已在基本行動性與安全性中註冊裝置的測試使用者群組上,測試本文中的步驟。 確認原則的行為如您所預期。

  • 移轉至 Intune 之後,使用基本行動性與安全性部署的現有裝置安全策略會永久凍結。

  • 指派 Intune 授權會影響移轉程式。 授權指派可控制裝置從基本行動性與安全性移轉至 Intune。

    已指派 Intune 授權的使用者可以立即開始接收原則,可能比您預期的更快。 即使基本行動性與安全性先前未管理使用者或裝置,也可能會發生這些原則。

    如果您想要防止此行為,您可以在移轉之前取消指派 Intune 授權。 您也可以建立個別的群組,以協助管理部署原則的時機:

    • 群組 1:已指派 Intune 授權的使用者
    • 群組 2:未指派 Intune 授權的使用者

    然後,您可以將已移轉的基本行動和安全性裝置安全策略指派給未獲指派 Intune 授權的使用者。

步驟 1 - 準備

從基本行動和安全性裝置管理移轉至 Intune 裝置管理之前:

  1. 請確定您有足夠的 Intune 授權 來涵蓋由基本行動性與安全性管理的所有使用者。

  2. 在 Microsoft Defender 入口網站中檢閱 裝置安全 策略。 刪除不再需要的任何原則。 刪除不需要的原則可減少 Intune 移轉評估所建立的建議數目。 其概念是在移轉評估之後,要檢閱的建議較少。

  3. 檢閱目前已指派裝置安全 策略的群組成員資格

    如果這些群組包含已獲得 Intune 授權的使用者,則可以更快指派原則。 如需現有 Intune 授權影響的詳細資訊,請移至本文中開始 (之前) 。

  4. 檢閱目前已在基本行動性與安全性中註冊的裝置類型。 不支援的 OS版本和變體 可能會繼續運作,但如果移轉至Intune則不支援。

    套用至不支援作業系統的設定不會移至 Intune。 如果使用者已獲得 Intune 授權,則其裝置會遺失Microsoft Defender 入口網站中裝置安全策略所設定的任何組態。

  5. 移轉之前:

    • 請勿將 Intune 授權指派給裝置由基本行動性與安全性管理的使用者。
    • 請勿指派 Intune 授權來啟用 應用程式保護原則,也稱為行動應用程式管理 (MAM) 。

    只有在原則移轉完成之後,才將 Intune 授權指派給使用者。 如需 Intune 授權影響的詳細資訊,請移至本文中開始 (之前) 。

  6. 您可能必須建立新的 Intune 原則,以取代基本行動和安全性原則。 如需基本原則最小集合的詳細資訊,請移至 開始使用 Intune

移轉評估程式啟動之後,您就無法在 Microsoft Defender 入口網站中變更您的裝置安全策略。 現有的基本行動和安全性原則仍會強制執行,但不會儲存這些現有原則的變更。

重要事項

如果您有下列任何產品或服務,請先連絡支援小組,再繼續進行:

  • 適用於教職員的 Enterprise Mobility + Security A3
  • Enterprise Mobility + Security A3 for Students
  • 適用於學生的 Enterprise Mobility + Security A3 使用權益
  • 適用於教職員的 Enterprise Mobility + Security A5
  • Enterprise Mobility + Security A5 for Students
  • 適用於學生的 Enterprise Mobility + Security A5 使用權益
  • Intune 教育版
  • Intune 教育版 Add-On
  • Microsoft教職員用 Intune 教育版
  • Microsoft Intune 教育版學生版
  • Microsoft Intune 教育版預付裝置

步驟 2 - 評估和移轉現有的原則

準備授權並檢閱 步驟 1 - 準備中的資訊之後,請使用 Microsoft Intune 系統管理中心移轉評估 來取得 Intune 原則建議。

此工具可以將您現有的基本行動和安全性裝置安全策略移轉至 Intune,作為 合規性原則裝置組態配置檔。 它也會針對應指派新原則的群組提出建議。

這些 Intune 建議的設計目的是要復寫基本行動性和安全性原則。 您必須檢閱這些建議 ,以確定它們反映舊的原則。

若要評估原則,並將原則從基本行動性與安全性遷移至 Intune:

  1. Complete the steps in the Step 1 - Prepare section (in this article).

  2. 開啟 [移轉評估]> 選取 [開始]。 完成評估需要幾分鐘的時間。

    注意事項

    • 如果您離開移轉評估,傳回的唯一方法是再次開啟 移轉評估 連結。
    • 開始移轉評估之後,您無法在 Microsoft Defender 入口網站中建立新的或編輯現有的裝置安全策略。
  3. 選取 建議

    此頁面會根據您的基本行動和安全性原則顯示 Intune 原則建議。 建議是唯讀的,無法變更。

    每個建議的名稱都有以基本行動和安全性原則名稱為基礎的前置詞。 您需要檢閱清單中的每個專案,如下列範例所示:

    將 Microsoft 365 基本行動和安全策略移轉至 Intune 之後,Microsoft Intune 系統管理中心的移轉評估範例螢幕快照

    • 並非所有裝置設定都完全對應至 Intune 設定和值。 因此,您無法使用精確的一對一對應來移動它們。 您需要檢閱這些設定,並可能進行調整。
    • 控制 Office 365 服務的條件式存取 (CA) 設定,與 Microsoft Entra ID 中的 CA 原則相同。 因此,除非您想要,否則不需要檢閱或進行變更。
  4. 選取清單中的項目。 [ 合規性政策建議概觀 ] 頁面隨即開啟。 檢閱指示。

  5. 選取 [詳細資料 ] 以檢閱建議的設定和群組指派:

    將 Microsoft 365 基本行動和安全策略移轉至 Intune 之後,Microsoft Intune 系統管理中心的詳細數據頁面範例螢幕快照

    此頁面上的原則建議是只讀報表,其中記載要使用的建議設定和指派。 它們還不是 Intune 原則。

    檢閱建議時,請記住下列幾點:

    • 如果建議中列出的群組已指派 Intune 原則,則這些原則可能會與建議的設定衝突。 若要瞭解如何在 Intune 中處理衝突,請移至 Intune 中裝置原則和配置檔的常見問題和解答Microsoft

      注意事項

      如果您對移轉的電子郵件設置檔進行任何變更,或無法將它們指派給建議的群組,則當裝置移轉至 Intune 時,系統可能會要求使用者重新輸入其使用者名稱和密碼,以存取其裝置上的電子郵件。 如需詳細資訊,請移至設定 的原則對應

    • 如果建議的群組中已經有Intune授權的使用者,請確認建議的原則適合這些使用者。 將原則指派給這些群組之後,群組中的所有Intune授權用戶都會收到原則,甚至是先前未受基本行動性和安全性管理的使用者。

      注意事項

      針對 Windows 作業系統,只有 Windows 10/11 桌面裝置會針對它們移轉原則。 其他版本的 Windows 將不會移轉原則。 如需詳細資訊,請參閱存 取需求的原則對 應和 設定的原則對應

  6. 如果您想要實作建議的原則,請選取 [開啟原則]。 原則頁面隨即開啟,並建立Intune原則。 您可以變更或更新移轉的原則。

    注意事項

    如果您刪除原則,建議頁面中的 [開 啟原則] 鏈接將無法運作。

此時會建立原則,但尚未執行任何動作。 下一個步驟是將原則指派給建議的群組或您選擇的其他群組。

步驟 3 - 指派原則並完成移轉

建立原則之後,即可指派原則。 若要完成此移轉,這三者都必須完成:指派群組、啟用共存,以及指派 Intune 授權。

  1. 將建議的群組指派 給原則。 選取 [指] 旁的 [>啟原則內容>編輯 () > 使用指派工作流程來指派群組。

    當您指派群組時,新移轉的 Intune 原則會取代基本行動性與安全性中設定的裝置設定。 如果您未指派群組,則由 Basic Mobility and Security 管理的裝置在用戶獲得 Intune 授權時,可能會遺失設定和電子郵件組態。 請記住,Intune 授權指派是將裝置從基本行動性與安全性移轉至 Intune 裝置管理的重要步驟。

    如需現有 Intune 授權影響的詳細資訊,請移至本文中開始 (之前) 。

  2. 使用 Microsoft Entra License 系統管理員許可權登入 Microsoft Intune 系統管理中心

  3. 啟用 共存。 啟用時:

    • 具有現有 Intune 授權的使用者會立即移至 Intune,並在下一個 Intune 重新整理週期套用新移轉的原則。
    • 對於沒有 Intune 授權的使用者,共存是移轉程式中的第二個步驟。 下一個步驟會將它們移至 Intune。
  4. 對於沒有 Intune 授權的使用者, 請將 Intune 授權指派給 您想要移轉的使用者。 選項包括:

    如需在 Intune 中指派授權的詳細資訊,請移至 將授權指派給使用者,讓他們可以在 Intune 中註冊裝置

此時,主要步驟已完成:

  1. 原則會指派給您的群組。
  2. Intune 中已啟用共存。
  3. 已指派 Intune 授權。

在下一個 Intune 裝置重新整理週期中,裝置會自動切換至 Intune 管理,而新的原則會開始影響用戶裝置。

我剛才做了什麼?

本節說明當您從基本行動性與安全性移轉至 Intune 時,幕後會發生什麼事。

已知問題

[開始] 按鈕一律會出現

每次開啟 Microsoft Intune 系統管理中心移轉評估時,即使已經產生評估,也會顯示 [ 開始 ] 按鈕。 如果您關閉 [開始 ] 提示,則不會載入先前產生的建議。

因應措施:再次開始評估。 它不會建立更多或重複的建議或原則。 重新執行移轉會偵測到評估已成功,並載入先前的建議。

抹除裝置之前登入失敗次數設定未移轉

[抹 除裝置之前登入失敗次數 ] 設定不會移轉至 Intune。

因應措施:如果已在基本行動和安全性原則中啟用此設定,則必須手動將此設定新增至 Intune 裝置組態配置檔。 如需您可以在 Intune 中設定之類似設定的詳細資訊,請移至:

後續步驟