移轉指南：設定或移至 Microsoft Intune

規劃移至 Microsoft Intune 之後，下一個步驟是選擇適合您組織的移轉方法。 這些決定取決於您目前的行動裝置管理 (MDM) 環境、業務目標和技術需求。

此移轉指南列出並描述您採用或移至 Intune 的選項，其中包括：

• 您沒有使用行動裝置管理解決方案
• 你使用第三方合作夥伴 MDM 解決方案
• 您使用 Configuration Manager
• 您使用內部部署群組原則
• 您使用 Microsoft 365 基本版行動性和安全性

使用本指南來判斷最佳移轉方法，並取得一些指引 & 建議。

提示

• 本指南是一個活生生的東西。 因此，請務必添加或更新您認為有用的現有提示和指南。

• 作為本文的隨附，Microsoft 365 系統管理中心也有一些設定指引。 該指南會根據您的環境自訂您的體驗。 若要存取此部署指南，請移至Microsoft 365 系統管理中心中的 Microsoft Intune 設定指南，並以至少) 使用全域讀取器 (登入。 如需這些部署指南和所需角色的詳細資訊，請移至 Microsoft 365 和 Office 365 產品的進階部署指南。

  若要檢閱最佳做法，而不登入並啟用自動化安裝功能，請移至 Microsoft 365 安裝入口網站。

開始之前

• Microsoft Intune 是雲端原生解決方案，可協助管理身分識別、裝置和應用程式。 如果您的目標是成為雲端原生，則可以在下列文章中深入瞭解：

  • 瞭解雲端原生端點
  • 什麼是 Intune？

• 您的 Intune 部署可能與先前的 MDM 部署不同。 Intune 會使用身分識別驅動存取控制。 它不需要網路 Proxy 即可從網路外部的裝置存取組織資料。

目前不使用任何東西

如果您目前未 (MAM) 提供者使用任何 MDM 或行動應用程式管理，則您有一些選擇：

• Microsoft Intune：如果您想要雲端解決方案並準備好進行完整的裝置管理，請直接前往 Intune。 您可以使用 Intune 來檢查合規性、設定裝置功能、部署應用程式，以及安裝系統 & 應用程式更新。 您也可以獲得 Microsoft Intune 系統管理中心的優點，這是一個基於 Web 的控制台。

  • 開始使用 Intune
  • 步驟 1 - 設定 Intune
  • 步驟 2 - 使用 Intune 新增、設定和保護應用程式
  • 步驟 3 – 規劃合規性原則
  • 步驟 4 - 建立裝置組態配置檔以保護裝置
  • 步驟 5 - 註冊裝置

• Configuration Manager：如果您想要將Configuration Manager (內部部署) 的功能與 Intune (雲端) 結合，請考慮本文) 中的租用戶附加 (，或本文) 中的共同管理 (。

  Configuration Manager 可以：

  • 管理內部部署 Windows Server 和某些用戶端裝置。
  • 管理 合作夥伴或第三方軟體更新。
  • 部署 Windows 作業系統時建立 自訂工作順序 。
  • 部署和管理許多應用程式類型。

目前使用第三方 MDM 提供者

裝置應該只有一個 MDM 提供者。 如果您使用其他 MDM 提供者，例如 Workspace ONE (先前稱為 AirWatch) 、MobileIron 或 MaaS360，則可以移至 Intune。

使用者必須先從目前的 MDM 提供者取消註冊其裝置，才能註冊 Intune。

1. 設定 Intune，包括將 MDM 授權單位設定為 Intune。

   如需詳細資訊，請移至:

   • 開始使用 Microsoft Intune 部署
   • 步驟 1 - 設定 Intune。

2. 部署應用程式並建立應用程式保護原則。 這個想法是協助在移轉期間保護應用程式中的組織數據，直到 Intune 註冊 & 管理裝置為止。

   如需詳細資訊，請移至 步驟 2 - 使用 Intune 新增、設定及保護應用程式。

3. 從目前的 MDM 提供者取消註冊裝置。

   當裝置取消註冊時，它們不會收到您的原則，包括提供保護的原則。 裝置容易受到攻擊，直到它們註冊 Intune 並開始接收您的新原則為止。

   提供使用者特定的取消註冊步驟。 包含現有 MDM 提供者提供如何取消註冊裝置的指引。 清晰且有用的溝通可最大限度地減少最終用戶停機時間、不滿和服務台呼叫。

4. 可選，但建議使用。 如果您有 Microsoft Entra 識別碼 P1 或 P2，也請使用條件式存取來封鎖裝置，直到裝置在 Intune 中註冊為止。

   如需詳細資訊，請移至 步驟 3 – 規劃合規性原則。

5. 可選，但建議使用。 建立所有使用者和裝置都必須具備的合規性和裝置設定基準。 當使用者註冊 Intune 時，可以部署這些原則。

   如需詳細資訊，請移至:

   • 步驟 3 – 規劃合規性原則
   • 步驟 4 - 設定裝置功能和設定，以保護裝置和存取資源
   • Microsoft Intune 中的保護和設定層級

6. 註冊 Intune。 請務必提供使用者特定的註冊步驟。

   如需詳細資訊，請移至:

   • 步驟 5 – 在 Microsoft Intune 中註冊裝置
   • Intune 註冊部署指南

重要事項

請勿同時設定 Intune 和任何現有的第三方 MDM 解決方案，以將存取控制套用至資源，包括 Exchange 或 SharePoint。

建議：

• 如果您要從合作夥伴 MDM/MAM 提供者移轉，請記下您正在執行的工作和您使用的功能。 此資訊可讓您瞭解在 Intune 中也要執行哪些工作。

• 使用分階段的方法。 從一小群試驗使用者開始，然後新增更多群組，直到達到全面部署為止。

• 監控每個階段的技術支援人員負載和註冊成功。 在移轉下一個群組之前，在排程中留出時間來評估每個群組的成功準則。

  您的試驗部署應該驗證下列工作：

  • 註冊成功率和失敗率在您的預期範圍內。

  • 使用者生產力：

    • 公司資源正在運作，包括 VPN、Wi-Fi、電子郵件和憑證。
    • 已部署的應用程式可存取。

  • 資料安全性：

    • 檢閱合規性報告，並尋找常見問題和趨勢。 與您的服務台溝通問題、解決方案和趨勢。
    • 已套用行動應用程式保護。

• 當您對移轉的第一階段感到滿意時，請在下一個階段重複移轉週期。

  • 重複階段式週期，直到所有使用者都移轉至 Intune 為止。
  • 確認服務台已準備好在整個移轉過程中支援終端使用者。 執行自願移轉，直到您可以估計支援呼叫工作負載為止。
  • 在您的技術支援人員可以處理所有剩餘使用者之前，請勿設定註冊期限。

有用的信息：

• 開始使用 Intune
• Intune 註冊部署指南
• 步驟 1 - 設定 Intune 和您的租用戶

目前使用 Configuration Manager

Configuration Manager支援 Windows 伺服器，以及 Windows & macOS 用戶端裝置。 如果您的組織使用其他平臺，您可能需要重設裝置，然後在 Intune 中註冊它們。 註冊後，他們會收到您建立的原則和設定檔。 如需詳細資訊，請參閱 Intune 註冊部署指南。

如果您目前使用 Configuration Manager，而且想要使用 Intune，則有下列選項。

選項 1 - 新增租用戶附加

租用戶連結可讓您將 Configuration Manager 裝置上傳至 Intune 中的組織，也稱為租用戶。 連結裝置之後，您可以使用 Microsoft Intune 系統管理中心 來執行遠端動作，例如同步處理電腦和使用者原則。 您也可以查看內部部署伺服器，並取得作業系統資訊。

租用戶附加隨附於您的 Configuration Manager 共同管理授權，而不需額外的費用。 這是將雲端 (Intune) 與內部部署Configuration Manager設定整合的最簡單方式。

如需詳細資訊，請參閱 啟用租用戶連結。

選項 2 - 設定共同管理

此選項會針對某些工作負載使用 Configuration Manager，並針對其他工作負載使用 Intune。

1. 在 Configuration Manager 中，設定共同管理。
2. 在 Intune 中， 設定 Intune，包括將 MDM 授權單位設定為 Intune。

裝置已準備好在 Intune 中註冊，並接收您的原則。

有用的信息：

• 何謂共同管理？
• 共同管理工作負載
• 將 Configuration Manager 工作負載切換至 Intune
• Configuration Manager 產品和授權常見問題集

選項 3 - 從 Configuration Manager 移至 Intune

大部分現有的 Configuration Manager 客戶都想要繼續使用 Configuration Manager。 它包括對內部部署裝置有益的服務。

這些步驟是概觀，僅適用於想要 100% 雲端解決方案的使用者。 使用此選項，您可以：

• 將現有的內部部署的 Active Directory Windows 用戶端裝置註冊為 Microsoft Entra ID 中的裝置。
• 將現有的內部部署 Configuration Manager 工作負載移至 Intune。

此選項對系統管理員來說工作量較多，但可以為現有的 Windows 用戶端裝置建立更順暢的體驗。 針對新的 Windows 用戶端裝置，建議您從頭開始使用本文) 中的 Microsoft 365 和 Intune (。

1. 在 Microsoft Entra 中，為您的裝置設定混合式 Active Directory 和 Microsoft Entra ID。 Microsoft Entra 混合式聯結裝置會加入您的內部部署的 Active Directory，並使用您的 Microsoft Entra ID 註冊。 當裝置位於 Microsoft Entra ID 中時，Intune 也可以使用它們。

   混合式 Microsoft Entra ID 支援 Windows 裝置。 如需其他必要條件，包括登入需求，請參閱規劃您的 Microsoft Entra 混合式聯結實作。

2. 在 Configuration Manager 中，設定共同管理。

3. 在 Intune 中， 設定 Intune，包括將 MDM 授權單位設定為 Intune。

4. 在 Configuration Manager 中，將所有工作負載從 Configuration Manager 滑動至 Intune。

5. 在裝置上，解除安裝 Configuration Manager 用戶端。 如需詳細資訊，請參閱解除 安裝用戶端。

   設定 Intune 之後，您可以建立解除安裝 Configuration Manager 用戶端的 Intune 應用程式設定原則。 例如，您可以使用 Intune 安裝 Configuration Manager 用戶端中的步驟反轉。

裝置已準備好在 Intune 中註冊，並接收您的原則。

重要事項

混合式 Microsoft Entra ID 僅支援 Windows 裝置。 Configuration Manager 支援 Windows 和 macOS 裝置。 針對在 Configuration Manager 中管理的 macOS 裝置，您可以：

1. 解除安裝 Configuration Manager 用戶端。 當您解除安裝時，裝置不會收到您的原則，包括提供保護的原則。 在他們註冊 Intune 並開始接收您的新原則之前，它們很容易受到攻擊。
2. 在 Intune 中註冊裝置以接收原則。

若要協助將弱點降到最低，請在設定 Intune 之後，以及當您的註冊原則準備好部署時，移動 macOS 裝置。

選項 4 - 使用 Microsoft 365 和 Intune 從頭開始

此選項適用於 Windows 用戶端裝置。 如果您使用 Windows Server，例如 Windows Server 2022，請勿使用此選項。 使用 Configuration Manager。

若要管理 Windows 用戶端裝置：

1. 部署 Microsoft 365，包括建立使用者和群組。 請勿使用或設定 Microsoft 365 基本版行動性和安全性。

   有用的鏈接：

   • Microsoft 365 企業版的部署指南。
   • 設定 Microsoft 365 商務版

2. 設定 Intune，包括將 MDM 授權單位設定為 Intune。

3. 在現有裝置上解除安裝 Configuration Manager 用戶端。 如需詳細資訊，請參閱解除 安裝用戶端。

裝置已準備好在 Intune 中註冊，並接收您的原則。

目前使用內部部署群組原則

在雲端中，MDM 提供者 （例如 Intune） 會管理裝置上的設定和功能。 不會使用群組原則物件 (GPO) 。

當您管理裝置時，Intune 裝置組態配置檔會取代內部部署 GPO。 裝置組態配置檔會使用 Apple、Google 和 Microsoft 公開的設定。

特別是：

• 在 Android 裝置上，這些設定檔會使用 Android Management API 和 EMM API。
• 在 Apple 裝置上，這些設定檔會使用裝置管理承載。
• 在 Windows 裝置上，這些配置檔會使用 Windows 設定服務提供者 (CSP) 。

從群組原則移動裝置時，請使用 群組原則分析。 群組原則分析是 Intune 中的工具和功能，可分析您的 GPO。 在 Intune 中，您可以匯入 GPO，並查看哪些原則 (可用，哪些原則無法) Intune 中使用。 針對 Intune 中可用的原則，您可以使用匯入的設定來建立設定目錄原則。 如需此功能的詳細資訊，請移至 使用 Microsoft Intune 中匯入的 GPO 建立設定目錄原則。

接下來， 步驟 1：設定 Microsoft Intune。

目前使用 Microsoft 365 基本版行動性和安全性

如果您建立並部署 Microsoft 365 基本版行動性和安全性原則，則可以將使用者、群組和原則移轉至 Microsoft Intune。

如需詳細資訊，請移至 從 Microsoft 365 基本版行動性和安全性移轉至 Intune。

租用戶到租用戶的遷移

租用戶是您在 Microsoft Entra ID 中的組織，例如 Contoso。 它包含 Contoso 在取得 Microsoft 雲端服務時收到的專用 Microsoft Entra 服務實例，例如 Microsoft Intune 或 Microsoft 365。 Intune 和 Microsoft 365 會使用 Microsoft Entra ID 來識別使用者和裝置、控制您建立之原則的存取權等等。

在 Intune 中，您可以使用 Microsoft Graph 和 Windows PowerShell 匯出和匯入某些原則。

例如，您建立 Microsoft Intune 試用版訂用帳戶。 在此訂用帳戶試用租用戶中，您有設定應用程式和功能、檢查合規性等的原則。 您想要將這些原則移至另一個租用戶。

本節說明如何使用 Microsoft Graph 腳本進行租用戶至租用戶移轉。 它也會列出一些可以或無法匯出的原則類型。

重要事項

• 這些步驟會使用 GitHub 上的 Intune Beta 圖形範例 。 範例指令碼會變更您的租用戶。 它們依原樣提供，而且應該使用非生產或「測試」租用戶帳戶進行驗證。 請確定指令碼符合您的組織安全性準則。
• 指令碼不會匯出和匯入每個原則，例如憑證設定檔。 預期會執行比這些指令碼中可用的更多工作。 您必須重新建立一些原則。
• 使用者必須從舊租用戶取消註冊裝置，然後在新租用戶中重新註冊。

下載範例，然後執行指令碼

本節包含步驟的概觀。 使用這些步驟作為指導，並知道您的具體步驟可能會有所不同。

重要事項

對 AzureAD PowerShell 的支援已於 2025 年 3 月結束，並由 Microsoft Graph PowerShell 取代。 如需詳細資訊，請參閱 所需的動作：MSOnline 和 AzureAD PowerShell 淘汰 - 2025 年資訊和資源。

1. 下載範例，並使用 Windows PowerShell 匯出原則：

   1. 移至 microsoftgraph/powershell-intune-samples，選取 [程式碼>下載 ZIP]。 解壓縮檔案的內容 .zip 。

   2. 以系統管理員身分開啟 Windows PowerShell 應用程式，並將目錄變更為您的資料夾。 例如，輸入下列命令：

      cd C:\psscripts\powershell-intune-samples-master

   3. 下載並安裝Microsoft.Graph 模組。

      如果出現提示，請選取 Y 以 從不受信任的儲存庫安裝模組。 安裝可能需要幾分鐘的時間。

   4. 將目錄變更為包含您要執行的指令碼的資料夾。 例如，將目錄變更為資料夾 CompliancePolicy ：

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   5. 執行匯出指令碼。 例如，輸入下列命令：

      .\CompliancePolicy_Export.ps1

      使用您的帳戶登入。 出現提示時，請輸入放置原則的路徑。 例如，輸入：

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

   在您的資料夾中，會匯出原則。

2. 在新租用戶中匯入原則：

   1. 將目錄變更為包含您要執行的腳本的 PowerShell 資料夾。 例如，將目錄變更為資料夾 CompliancePolicy ：

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   2. 執行匯入指令碼。 例如，輸入下列命令：

      .\CompliancePolicy_Import_FromJSON.ps1

      使用您的帳戶登入。 出現提示時，請輸入您要匯入之原則 .json 檔案的路徑。 例如，輸入：

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

3. 登入 Intune 系統管理中心。 會顯示您匯入的原則。

你不能做什麼

有些原則類型無法匯出。 有些原則類型可以匯出，但無法匯入至不同的租使用者。 使用下列清單作為指南。 知道還有其他未列出的原則類型。

原則或設定檔類型	Information
應用程式
Android 企業營運應用程式	❌ 出口 ❌ 進口 若要將 LOB 應用程式新增至新的租用戶，您也需要原始 .apk 應用程式來源檔案。
Apple – VPP) (批量購買計劃	❌ 出口 ❌ 進口 這些應用程式會與 Apple VPP 同步。 在新的租用戶中，您可以新增 VPP 權杖，以顯示您可用的應用程式。
iOS/iPadOS 企業營運應用程式	❌ 出口 ❌ 進口 若要將 LOB 應用程式新增至新的租用戶，您也需要原始 .ipa 應用程式來源檔案。
受管理的 Google Play	❌ 出口 ❌ 進口 這些應用程式和網路連結會與 Google Play 管理版同步處理。 在新的租用戶中，您可以新增受控 Google Play 帳戶，其中會顯示您可用的應用程式。
商務用 Microsoft Store	❌ 出口 ❌ 進口 這些應用程式會與商務商務用 Microsoft Store 同步處理。 在新的租用戶中，您可以新增商務用 Microsoft Store 帳戶，其中會顯示您可用的應用程式。
Windows 應用程式 (Win32)	❌ 出口 ❌ 進口 若要將 LOB 應用程式新增至新的租用戶，您也需要原始 .intunewin 應用程式來源檔案。
合規性原則
違規行為	❌ 出口 ❌ 進口 可能有一個指向電子郵件模板的鏈接。 當您匯入具有不合規動作的原則時，會改為新增不合規的預設動作。
作業	✅ 出口 ❌ 進口 指派以群組識別碼為目標。 在新租用戶中，群組識別碼不同。
配置描述檔
電子郵件	✅ 出口 ✅ 如果電子郵件設定檔不使用憑證，則匯入應該可以運作。 ❌ 如果電子郵件配置檔使用根憑證，則無法將配置檔匯入至新的租用戶。 新租用戶中的根憑證識別碼不同。
SCEP 憑證	✅ 出口 ❌ 進口 SCEP 憑證設定檔使用根憑證。 新租用戶中的根憑證識別碼不同。
VPN	✅ 出口 ✅ 如果 VPN 設定檔未使用憑證，則匯入應該可以運作。 ❌ 如果 VPN 配置檔使用根憑證，則無法將配置檔匯入至新的租用戶。 新租用戶中的根憑證識別碼不同。
Wi-Fi	✅ 出口 ✅ 如果 Wi-Fi 設定檔未使用憑證，則匯入應該可以運作。 ❌ 如果 Wi-Fi 設定檔使用根憑證，則無法將設定檔匯入至新的租用戶。 新租用戶中的根憑證識別碼不同。
作業	✅ 出口 ❌ 進口 指派以群組識別碼為目標。 在新租用戶中，群組識別碼不同。
端點安全
端點偵測及回應	❌ 出口 ❌ 進口 此原則會連結至適用於端點的 Microsoft Defender。 在新的租用戶中，您可以設定適用於端點的 Microsoft Defender，這會自動包含端點偵測和回應原則。

相關文章

• 開始使用 Intune
• 註冊部署指南