Migrieren von Microsoft 365 Basic Mobility and Security zu Intune

Microsoft 365 enthält einen grundlegenden Satz von Richtlinien, die Geräte und Microsoft 365-Apps wie Outlook schützen. Diese Richtlinien werden im Microsoft Defender-Portal verwaltet und als Basismobilität und Sicherheit bezeichnet. Weitere Informationen dazu, was Basismobilität und Sicherheit bietet, finden Sie unter Funktionen von Basismobilität und Sicherheit.

Viele Organisationen wünschen sich mehr oder nächsthöhere Geräteverwaltungsfeatures. Insbesondere möchten sie die Features, die in Microsoft Intune enthalten sind. Einen Vergleich der Features finden Sie unter Auswählen zwischen Basismobilität und Sicherheit oder Intune.

Sie können von Basismobilität und Sicherheit zu Microsoft Intune migrieren. Die Migration zu Intune erfordert die folgenden wichtigen Schritte:

1. Vorbereiten:

   Überprüfen Sie Ihre Intune-Lizenzen, Basismobilität und Sicherheit Richtlinien, Gruppenmitgliedschaften und Geräte, um die Migration zu optimieren.

2. Bewerten und Migrieren Ihrer vorhandenen Richtlinien:

   Verwenden Sie die Migrationsauswertung im Microsoft Intune Admin Center. Die Ausgabe zeigt Intune-Richtlinien- und Gruppenempfehlungen, die die Basismobilität und Sicherheit Ersetzen.

3. Weisen Sie die Richtlinien zu, und schließen Sie die Migration ab:

   Weisen Sie Benutzern oder Gruppen Lizenzen zu, wodurch die Benutzer beim nächsten Aktualisierungszyklus automatisch zur Intune-Geräteverwaltung wechseln.

In diesem Artikel erfahren Sie, wie Sie Ihre Mobile Device Management (MDM) von Microsoft 365 Basic Mobility and Security zu Microsoft Intune migrieren.

Bevor Sie beginnen

• Wenn Sie sich beim Intune Admin Center anmelden, verwenden Sie ein Konto mit Microsoft Entra globalen Administrator- oder Lizenzadministratorrechten.

• Testen Sie die Schritte in diesem Artikel für eine Testbenutzergruppe, für die Geräte in Basismobilität und Sicherheit registriert sind. Vergewissern Sie sich, dass sich die Richtlinien wie erwartet verhalten.

• Nach der Migration zu Intune werden die vorhandenen Gerätesicherheitsrichtlinien, die mit Basismobilität und Sicherheit bereitgestellt werden, dauerhaft gesperrt.

• Das Zuweisen von Intune-Lizenzen wirkt sich auf den Migrationsprozess aus. Die Lizenzzuweisung steuert die Migration von Geräten von „Basic Mobility and Security“ zu Intune.

  Benutzer mit bereits zugewiesenen Intune-Lizenzen können sofort Richtlinien empfangen, möglicherweise früher als erwartet. Die Richtlinien können auch dann ausgeführt werden, wenn Basismobilität und Sicherheit die Benutzer oder Geräte zuvor nicht verwaltet hat.

  Wenn Sie dieses Verhalten verhindern möchten, können Sie die Zuweisung der Intune-Lizenzen vor der Migration aufheben. Sie können auch separate Gruppen erstellen, um die Bereitstellung der Richtlinien zu verwalten:

  • Gruppe 1: Benutzer mit bereits zugewiesenen Intune-Lizenzen
  • Gruppe 2: Benutzer ohne zugewiesene Intune-Lizenzen

  Anschließend können Sie die migrierten Basismobilität und Sicherheit Gerätesicherheitsrichtlinien Benutzern zuweisen, denen keine Intune-Lizenzen zugewiesen sind.

Schritt 1: Vorbereiten

Bevor Sie von Basismobilität und Sicherheit Geräteverwaltung zur Intune-Geräteverwaltung migrieren:

1. Stellen Sie sicher, dass Sie über genügend Intune-Lizenzen verfügen, um alle Von Basismobilität und Sicherheit verwalteten Benutzer abzudecken.

2. Überprüfen Sie die Gerätesicherheitsrichtlinien im Microsoft Defender-Portal. Löschen Sie alle Richtlinien, die nicht mehr benötigt werden. Das Löschen nicht benötigter Richtlinien reduziert die Anzahl der Empfehlungen, die von der Intune-Migrationsauswertung erstellt werden. Die Idee besteht darin, nach der Migrationsevaluierung weniger Empfehlungen zu überprüfen.

3. Überprüfen Sie die Mitgliedschaft von Gruppen , denen derzeit Gerätesicherheitsrichtlinien zugewiesen sind.

   Wenn diese Gruppen Benutzer enthalten, die bereits für Intune lizenziert sind, können diese Richtlinien früher als erwartet zugewiesen werden. Weitere Informationen zu den Auswirkungen vorhandener Intune-Lizenzen findest du unter Vorab (in diesem Artikel).

4. Überprüfen Sie die Typen von Geräten, die derzeit in „Basic Mobility and Security“ registriert sind. Nicht unterstützte Betriebssystemversionen und -varianten funktionieren möglicherweise weiterhin, aber sie werden nicht unterstützt, wenn sie zu Intune migriert werden.

   Einstellungen, die auf nicht unterstützte Betriebssysteme angewendet werden, werden nicht in Intune verschoben. Und wenn der Benutzer bereits für Intune lizenziert ist, verlieren seine Geräte alle Konfigurationen, die von Den Gerätesicherheitsrichtlinien im Microsoft Defender-Portal festgelegt wurden.

5. Vor der Migration:

   • Weisen Sie Benutzern, deren Geräte von Basismobilität und Sicherheit verwaltet werden, keine Intune-Lizenzen zu.
   • Weisen Sie keine Intune-Lizenzen zu, um App-Schutzrichtlinien zu aktivieren, die auch als Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) bezeichnet werden.

   Weisen Sie Benutzern Nur nach Abschluss der Richtlinienmigration Intune-Lizenzen zu. Weitere Informationen zu den Auswirkungen von Intune-Lizenzen findest du unter Vorab (in diesem Artikel).

6. Möglicherweise müssen Sie neue Intune-Richtlinien erstellen, um Basismobilität und Sicherheit Richtlinien zu ersetzen. Weitere Informationen zu einem Mindestgrundsatz von Richtlinien finden Sie unter Erste Schritte mit Intune.

Nachdem der Migrationsauswertungsprozess aktiviert wurde, können Sie keine Änderungen an Den Gerätesicherheitsrichtlinien im Microsoft Defender-Portal vornehmen. Die vorhandenen Basismobilität und Sicherheit Richtlinien werden weiterhin erzwungen, aber Änderungen an diesen vorhandenen Richtlinien werden nicht gespeichert.

Wichtig

Wenn Sie über eines der folgenden Produkte oder Dienste verfügen, wenden Sie sich an das Supportteam, bevor Sie fortfahren:

• Enterprise Mobility + Security A3 für Lehrpersonal
• Enterprise Mobility + Security A3 für Schüler und Studenten
• Enterprise Mobility + Security A3 für Student Use Benefit
• Enterprise Mobility + Security A5 für Lehrpersonal
• Enterprise Mobility + Security A5 für Schüler und Studenten
• Enterprise Mobility + Security A5 für Student Use Benefit
• Intune for Education
• Intune for Education Add-On
• Microsoft Intune for Education für Lehrpersonal
• Microsoft Intune for Education für Schüler und Studenten
• Microsoft Intune for Education Prepaid-Gerät

Schritt 2: Auswerten und Migrieren Ihrer vorhandenen Richtlinien

Nachdem Sie Ihre Lizenzen vorbereitet und die Informationen in Schritt 1 – Vorbereiten überprüft haben, verwenden Sie die Microsoft Intune Admin Center-Migrationsauswertung, um Empfehlungen zu Intune-Richtlinien abzurufen.

Das Tool kann Ihre vorhandenen Basismobilität und Sicherheit Gerätesicherheitsrichtlinien als Konformitätsrichtlinien und Gerätekonfigurationsprofile zu Intune migrieren. Außerdem werden Empfehlungen für die Gruppen ausgegeben, denen die neuen Richtlinien zugewiesen werden sollen.

Diese Intune-Empfehlungen wurden entwickelt, um die „Basic Mobility and Security“-Richtlinien zu replizieren. Sie müssen diese Empfehlungen überprüfen , um sicherzustellen, dass sie die alten Richtlinien widerspiegeln.

So evaluieren und migrieren Sie Richtlinien von Basismobilität und Sicherheit zu Intune:

1. Führen Sie die Schritte im Abschnitt Schritt 1 – Vorbereiten (in diesem Artikel) aus.

2. Öffnen Sie die Migrationsauswertung> und wählen Sie Start aus. Es dauert einige Minuten, bis die Auswertung abgeschlossen ist.

   Hinweis

   • Wenn Sie von der Migrationsauswertung weg navigieren, können Sie nur zurückkehren, wenn Sie den Link Migrationsauswertung erneut öffnen.
   • Nachdem Sie die Migrationsauswertung gestartet haben, können Sie keine neuen Gerätesicherheitsrichtlinien im Microsoft Defender-Portal erstellen oder bearbeiten.

3. Wählen Sie Empfehlungen aus.

   Auf dieser Seite werden die Intune-Richtlinienempfehlungen auf Basis Ihrer „Basic Mobility and Security“-Richtlinien angezeigt. Die Empfehlungen sind schreibgeschützt und können nicht geändert werden.

   Der Name jeder Empfehlung hat ein Präfix, das auf dem „Basic Mobility and Security“-Richtliniennamen basiert. Sie müssen jedes Element in der Liste überprüfen, wie im folgenden Beispiel:

   

   • Nicht alle Geräteeinstellungen entsprechen genau den Intune-Einstellungen und -Werten. Daher können sie nicht mit einer präzisen 1:1-Zuordnung verschoben werden. Sie müssen diese Einstellungen überprüfen und möglicherweise anpassen.
   • Die Einstellungen für bedingten Zugriff ( CA), die die Office 365-Dienste steuern, sind die gleichen Zertifizierungsstellenrichtlinien in Microsoft Entra ID. Daher müssen Sie sie nicht überprüfen oder änderungen daran vornehmen, es sei denn, Sie möchten dies.

4. W?hlen Sie ein Element in der Liste aus. Die Seite Übersicht über Empfehlungen für Konformitätsrichtlinien wird geöffnet. Lesen Sie die Anweisungen.

5. Wählen Sie Details aus, um die empfohlenen Einstellungen und Gruppenzuweisungen zu überprüfen:

   

   Die Richtlinienempfehlungen auf dieser Seite sind ein schreibgeschützter Bericht, der die vorgeschlagenen Einstellungen und Zuweisungen dokumentiert. Es handelt sich noch nicht um Intune-Richtlinien.

   Beachten Sie beim Überprüfen der Empfehlungen die folgenden Punkte:

   • Wenn den in der Empfehlung aufgeführten Gruppen bereits Intune-Richtlinien zugewiesen sind, können diese Richtlinien mit den empfohlenen Einstellungen in Konflikt stehen. Informationen zum Umgang mit Konflikten in Intune finden Sie unter Allgemeine Fragen und Antworten zu Geräterichtlinien und -profilen in Microsoft Intune.

     Hinweis

     Wenn Sie Änderungen an migrierten E-Mail-Profilen vornehmen oder diese nicht empfohlenen Gruppen zuweisen können, werden Benutzer möglicherweise aufgefordert, ihren Benutzernamen und ihr Kennwort erneut einzugeben, um auf ihren Geräten auf E-Mails zuzugreifen, wenn das Gerät zu Intune migriert wird. Weitere Informationen finden Sie unter Richtlinienzuordnung für Konfiguration.

   • Wenn bereits Intune-lizenzierte Benutzer in den empfohlenen Gruppen vorhanden sind, überprüfen Sie, ob die empfohlenen Richtlinien für diese Benutzer geeignet sind. Nachdem Sie die Richtlinien diesen Gruppen zugewiesen haben, erhalten alle Intune-lizenzierten Benutzer in den Gruppen die Richtlinien, auch Benutzer, die zuvor nicht von Basismobilität und Sicherheit verwaltet wurden.

     Hinweis

     Für das Windows-Betriebssystem wird nur für Windows 10/11-Desktopgeräte eine Richtlinie migriert. Für andere Versionen von Windows wurde keine Richtlinie migriert. Weitere Informationen finden Sie unter Richtlinienzuordnung für Zugriffsanforderungen von „Basic Mobility and Security“ zu Intune und Richtlinienzuordnung für Konfigurationen von „Basic Mobility and Security“ zu Intune.

6. Wenn Sie die empfohlene Richtlinie implementieren möchten, wählen Sie Richtlinie öffnen aus. Die Seite "Richtlinie" wird geöffnet, und die Intune-Richtlinie wird erstellt. Sie können die migrierten Richtlinien ändern oder aktualisieren.

   Hinweis

   Wenn Sie die Richtlinie löschen, funktioniert der Link Richtlinie öffnen auf der Empfehlungsseite nicht.

An diesem Punkt wird die Richtlinie erstellt, aber sie tut noch nichts. Der nächste Schritt besteht darin, die Richtlinie den empfohlenen Gruppen oder anderen Gruppen zuzuweisen, die Sie auswählen.

Schritt 3: Zuweisen der Richtlinien und Abschließen der Migration

Nachdem die Richtlinien erstellt wurden, können sie zugewiesen werden. Damit diese Migration abgeschlossen ist, müssen alle drei abgeschlossen sein: Zuweisen von Gruppen, Aktivieren der Koexistenz und Zuweisen von Intune-Lizenzen.

1. Weisen Sie der Richtlinie die empfohlenen Gruppen zu. Wählen Sie Richtlinie> öffnenEigenschaften>bearbeiten (neben Zuweisungen) > verwenden Sie den Zuweisungsworkflow, um die Gruppen zuzuweisen.

   Wenn Sie Gruppen zuweisen, ersetzen Die neu migrierten Intune-Richtlinien die in Basismobilität und Sicherheit konfigurierten Geräteeinstellungen. Wenn Sie die Gruppen nicht zuweisen, können geräte, die von Basismobilität und Sicherheit verwaltet werden, Einstellungen und E-Mail-Konfiguration verlieren, wenn ihre Benutzer für Intune lizenziert sind. Denken Sie daran, dass die Intune-Lizenzzuweisung ein wichtiger Schritt bei der Migration von Geräten von Basismobilität und Sicherheit zur Intune-Geräteverwaltung ist.

   Weitere Informationen zu den Auswirkungen vorhandener Intune-Lizenzen findest du unter Vorab (in diesem Artikel).

2. Melden Sie sich beim Microsoft Intune Admin Center mit Microsoft Entra globalen Administrator- oder Lizenzadministratorrechten an.

3. Koexistenz aktivieren. Wenn aktiviert:

   • Benutzer mit vorhandenen Intune-Lizenzen werden sofort nach Intune verschoben, und die neu migrierten Richtlinien werden beim nächsten Intune-Aktualisierungszyklus angewendet.
   • Für Benutzer ohne Intune-Lizenzen ist koexistenz der zweite Schritt im Migrationsprozess. Sie werden im nächsten Schritt zu Intune verschoben.

4. Für Benutzer ohne Intune-Lizenzen weisen Sie den Benutzern, die Sie migrieren möchten, Intune-Lizenzen zu. Folgende Optionen sind verfügbar:

   • Weisen Sie Benutzern Lizenzen zu. Weitere Informationen findest du unter Zuweisen von Lizenzen zu Benutzern.
   • Weisen Sie Gruppen Lizenzen zu. Weitere Informationen findest du unter Zuweisen von Lizenzen zu einer Gruppe.

   Weitere Informationen zum Zuweisen von Lizenzen in Intune finden Sie unter Zuweisen von Lizenzen zu Benutzern, damit sie Geräte bei Intune registrieren können.

An diesem Punkt sind die wichtigsten Schritte abgeschlossen:

1. Die Richtlinien werden Ihren Gruppen zugewiesen.
2. Koexistenz ist in Intune aktiviert.
3. Die Intune-Lizenzen sind zugewiesen.

Beim nächsten Intune-Geräteaktualisierungszyklus wechseln die Geräte automatisch zur Intune-Verwaltung, und die neuen Richtlinien wirken sich auf Benutzergeräte aus.

Was habe ich gerade getan?

In diesem Abschnitt wird beschrieben, was im Hintergrund geschieht, wenn Sie von Basismobilität und Sicherheit zu Intune migrieren.

• Die Richtlinien sind Intune-Richtlinien zugeordnet. Eine Zuordnungsreferenz der Richtlinien, die von der Migrationsauswertung migriert wurden, finden Sie unter:

  • Richtlinienzuordnung für Zugriffsanforderungen von Basic Mobility and Security zu Intune
  • Zuordnung von Konfigurationsrichtlinien zwischen Basic Mobility and Security und Intune
  • Zuordnung verschiedener Richtlinien zwischen Basic Mobility and Security und Intune

• Wenn Sie die Migration abgeschlossen haben, befinden sich Ihre migrierten Richtlinien in Microsoft Intune Admin Center. Die neuen Richtlinien umfassen Konformitätsrichtlinien, Gerätekonfigurationsprofile und Richtlinien für bedingten Zugriff. Die neuen Richtlinien befinden sich an den folgenden Speicherorten:

  Intune-Richtlinientyp	Intune-Speicherort
  Konformitätsrichtlinien Geben Sie die Geräteeinstellungen als Zugriffsanforderungen an.	Microsoft Intune Microsoft Intune Admin Center>–Gerätekonformität>
  Konfigurationsprofile Geben Sie andere Einstellungen an, die nicht Teil der Zugriffsanforderungen sind, einschließlich E-Mail-Profilen.	Microsoft Intune Admin Center>Gerätekonfiguration>
  Richtlinien für bedingten Zugriff Microsoft Entra Bedingter Zugriff blockiert den Zugriff, wenn die Einstellungen nicht kompatibel sind.	Microsoft Intune Admin Center>Geräte>Bedingter Zugriff>Klassische Richtlinien

Bekannte Probleme

Startschaltfläche wird immer angezeigt

Jedes Mal, wenn Sie die Microsoft Intune Admin Center-Migrationsauswertung öffnen, wird die Schaltfläche Start angezeigt, auch wenn die Auswertung bereits generiert wurde. Wenn Sie die Startaufforderung schließen, werden die zuvor generierten Empfehlungen nicht geladen.

Problemumgehung: Starten Sie die Auswertung erneut. Es werden keine weiteren oder doppelten Empfehlungen oder Richtlinien erstellt. Beim erneuten Ausführen der Migration wird erkannt, dass die Auswertung bereits erfolgreich war, und die vorherigen Empfehlungen werden geladen.

Anzahl von Anmeldefehlern, bevor die Einstellung "Gerät zurückgesetzt" nicht migriert wurde

Die Einstellung Anzahl von Anmeldefehlern vor dem Zurücksetzen des Geräts wird nicht zu Intune migriert.

Problemumgehung: Wenn diese Einstellung in der Basismobilität und Sicherheit-Richtlinie aktiviert wurde, muss diese Einstellung manuell den Intune-Gerätekonfigurationsprofilen hinzugefügt werden. Weitere Informationen zu den ähnlichen Einstellungen, die Sie in Intune konfigurieren können, finden Sie unter:

• Unternehmenseigene Android Enterprise-Geräte: Einstellungsliste zum Zulassen oder Einschränken von Features
• Persönliche Android Enterprise-Geräte: Einstellungsliste zum Zulassen oder Einschränken von Features
• iOS-/iPadOS-Geräte: Einstellungsliste zum Zulassen oder Einschränken von Features
• Windows 10/11-Gerät: Einstellungsliste zum Zulassen oder Einschränken von Features

Nächste Schritte

• Was ist Intune?
• Erste Schritte mit Intune