Guía de migración: Configuración o traslado a Microsoft Intune

Después de planear el traslado a Microsoft Intune, el siguiente paso es elegir el enfoque de migración adecuado para su organización. Estas decisiones dependen del entorno actual de administración de dispositivos móviles (MDM), los objetivos empresariales y los requisitos técnicos.

En esta guía de migración se enumeran y describen las opciones para adoptar o migrar a Intune, entre las que se incluyen:

• No se usa una solución de administración de dispositivos móviles
• Usa una solución MDM de asociado de terceros
• Use Configuration Manager
• Se usa la directiva de grupo local
• Se usa Microsoft 365 Básico Movilidad y seguridad

Use esta guía para determinar el mejor enfoque de migración y obtener algunas instrucciones & recomendaciones.

Sugerencia

• Esta guía está en constante evolución. Así pues, no dude en agregar o actualizar las sugerencias e instrucciones existentes que le hayan parecido útiles.

• Como complemento a este artículo, el Centro de administración de Microsoft 365 también tiene algunas instrucciones de configuración. La guía personaliza la experiencia en función del entorno. Para acceder a esta guía de implementación, vaya a la guía de configuración de Microsoft Intune en el Centro de administración de Microsoft 365 e inicie sesión con el Lector global (como mínimo). Para obtener más información sobre estas guías de implementación y los roles necesarios, vaya a Guías de implementación avanzada para Microsoft 365 y Office 365 productos.

  Para revisar los procedimientos recomendados sin iniciar sesión y activar las características de instalación automatizadas, vaya al portal de instalación de M365.

Antes de empezar

• Microsoft Intune es una solución nativa en la nube que ayuda a administrar identidades, dispositivos y aplicaciones. Si su objetivo es convertirse en nativo de la nube, puede obtener más información en los artículos siguientes:

  • Más información sobre los puntos de conexión nativos de la nube
  • ¿Qué es Intune?

• La implementación de Intune puede ser diferente de la implementación de MDM anterior. Intune usa el control de acceso controlado por identidades. No requiere un proxy de red para acceder a los datos de la organización desde dispositivos fuera de la red.

Actualmente no se usa nada

Si actualmente no usa ningún proveedor de administración de aplicaciones móviles (MAM) o MDM, tiene algunas opciones:

• Microsoft Intune: si quiere una solución en la nube y está listo para la administración completa de dispositivos, vaya directamente a Intune. Puede usar Intune para comprobar el cumplimiento, configurar las características del dispositivo, implementar aplicaciones e instalar actualizaciones del sistema & aplicación. También obtiene las ventajas del centro de administración de Microsoft Intune, que es una consola basada en web.

  • Información general de las directivas de protección de aplicaciones
  • Introducción a Intune
  • Paso 1: Configuración de Intune
  • Paso 2: Agregar, configurar y proteger aplicaciones con Intune
  • Paso 3: Planear directivas de cumplimiento
  • Paso 4: Creación de perfiles de configuración de dispositivos para proteger dispositivos
  • Paso 5: Inscribir dispositivos

• Configuration Manager: si desea las características de Configuration Manager (local) combinadas con Intune (nube), considere la posibilidad de asociar inquilinos (en este artículo) o de administración conjunta (en este artículo).

  Configuration Manager puede:

  • Administre Windows Server local y algunos dispositivos cliente.
  • Administrar las actualizaciones de software de asociados o de terceros.
  • Cree secuencias de tareas personalizadas al implementar el sistema operativo Windows.
  • Implemente y administre muchos tipos de aplicaciones.

Actualmente se usa un proveedor de MDM ajeno

Los dispositivos solo deberían tener un proveedor de MDM. Si usa otro proveedor de MDM, como Workspace ONE (anteriormente denominado AirWatch), MobileIron o MaaS360, puede pasar a Intune.

Los usuarios deben anular la inscripción de sus dispositivos desde el proveedor de MDM actual antes de inscribirse en Intune.

1. Configure Intune, incluida la configuración de la entidad de MDM en Intune.

   Para obtener más información, vaya a:

   • Introducción a la implementación de Microsoft Intune
   • Paso 1: Configuración de Intune.

2. Implemente aplicaciones y cree directivas de protección de aplicaciones. La idea es ayudar a proteger los datos de la organización en las aplicaciones durante la migración y hasta que los dispositivos se inscriban & administrados por Intune.

   Para obtener más información, vaya al Paso 2: Agregar, configurar y proteger aplicaciones con Intune.

3. Anula la inscripción de dispositivos del proveedor de MDM actual.

   Cuando se anula la inscripción de los dispositivos, estos ya no reciben las directivas, incluidas las que proporcionan protección. Los dispositivos son vulnerables hasta que se inscriben en Intune y comienzan a recibir las nuevas directivas.

   Dar a los usuarios pasos específicos de anulación de inscripción. Incluya instrucciones del proveedor de MDM existente sobre cómo anular la inscripción de los dispositivos. La comunicación clara y útil minimiza el tiempo de inactividad del usuario final, la insatisfacción y las llamadas del departamento de soporte técnico.

4. Opcional, pero recomendado. Si tiene Microsoft Entra id. P1 o P2, use también el acceso condicional para bloquear los dispositivos hasta que se inscriban en Intune.

   Para obtener más información, vaya al Paso 3: Planear directivas de cumplimiento.

5. Opcional, pero recomendado. Cree una línea base de cumplimiento y la configuración del dispositivo que todos los usuarios y dispositivos deben tener. Estas directivas se pueden implementar cuando los usuarios se inscriben en Intune.

   Para obtener más información, vaya a:

   • Paso 3: Planear directivas de cumplimiento
   • Paso 4: Configuración de características y opciones de dispositivo para proteger dispositivos y acceder a recursos
   • Niveles de protección y configuración en Microsoft Intune

6. Inscríbase en Intune. Asegúrese de proporcionar a los usuarios pasos de inscripción específicos.

   Para obtener más información, vaya a:

   • Paso 5: Inscribir dispositivos en Microsoft Intune
   • Guía de implementación de inscripción de Intune

Importante

No configure Intune y ninguna solución MDM de terceros existente simultáneamente para aplicar controles de acceso a los recursos, incluidos Exchange o SharePoint.

Recomendaciones:

• Si va a pasar de un proveedor de MDM/MAM asociado, anote las tareas que ejecuta y las características que usa. Esta información proporciona una idea de qué tareas hacer también en Intune.

• Use un método por fases. Comience con un pequeño grupo de usuarios piloto y agregue más grupos hasta llegar a la implementación completa.

• Supervise la carga del departamento de soporte técnico y el éxito de la inscripción en cada fase. Deje un tiempo en la programación para evaluar los criterios de éxito de cada grupo antes de migrar el siguiente.

  La implementación piloto debe validar las siguientes tareas:

  • Que las tasas de éxito y error de inscripción se encuentren dentro de lo esperado.

  • Productividad del usuario:

    • Que los recursos corporativos funcionan, lo que incluye VPN, Wi-Fi, correo electrónico y certificados.
    • Que se puede obtener acceso a las aplicaciones implementadas.

  • Seguridad de datos:

    • Revise los informes de cumplimiento y busque tendencias y problemas comunes. Comunique problemas, resoluciones y tendencias al departamento de soporte técnico.
    • Que se han aplicado protecciones de aplicaciones móviles.

• Cuando esté satisfecho con la primera fase de las migraciones, repita el ciclo de migración en la siguiente fase.

  • Repita los ciclos por fases hasta que todos los usuarios se hayan migrado a Intune.
  • Confirme que el departamento de soporte técnico está preparado para asistir a los usuarios finales durante la migración. Ejecute una migración voluntaria hasta que pueda calcular la carga de trabajo de llamadas de soporte técnico.
  • No establezca fechas límite para la inscripción hasta que el departamento de soporte técnico pueda controlar todos los usuarios restantes.

Información de utilidad:

• Introducción a Intune
• Guía de implementación de inscripción de Intune
• Paso 1: Configuración de Intune y su inquilino

Actualmente se usa Configuration Manager

Configuration Manager admite servidores Windows y dispositivos cliente windows & macOS. Si su organización usa otras plataformas, es posible que tenga que restablecer los dispositivos y, a continuación, inscribirlos en Intune. Una vez inscritos, reciben las directivas y los perfiles que se crean. Para obtener más información, vea la guía de implementación de la inscripción en Intune.

Si actualmente usa Configuration Manager y quiere usar Intune, tiene las siguientes opciones.

Opción 1: Agregar asociación de inquilinos

La asociación de inquilinos le permite cargar los dispositivos de Configuration Manager en la organización en Intune, lo que también se conoce como "inquilino". Después de adjuntar los dispositivos, use el centro de administración de Microsoft Intune para ejecutar acciones remotas, como la máquina de sincronización y la directiva de usuario. También puede ver los servidores locales y obtener información del sistema operativo.

La conexión de inquilinos está incluida sin costo adicional con la licencia de administración conjunta de Configuration Manager. Es la forma más sencilla de integrar la nube (Intune) con la configuración de Configuration Manager local.

Para obtener más información, vea habilitación de la asociación de inquilinos.

Opción 2: Configurar la administración conjunta

Esta opción usa Configuration Manager para algunas cargas de trabajo e Intune para otras.

1. En Configuration Manager, configure la administración conjunta.
2. Configure Intune, incluida la configuración de la entidad de MDM en Intune.

Los dispositivos están listos para inscribirse en Intune y recibir las directivas.

Información de utilidad:

• ¿Qué es la administración conjunta?
• Administración conjunta de cargas de trabajo
• Cambiar cargas de trabajo de Configuration Manager a Intune
• Preguntas más frecuentes sobre productos y licencias de Configuration Manager

Opción 3: pasar de Configuration Manager a Intune

La mayoría de los clientes existentes de Configuration Manager quieren seguir usándolo. Incluye servicios que son beneficiosos para los dispositivos locales.

Estos pasos son una introducción que solo se incluye para aquellos usuarios que quieren una solución cien por cien en la nube. Con esta opción puede:

• Registre los dispositivos cliente de Windows Active Directory local existentes como dispositivos en Microsoft Entra id.
• Migrar las cargas de trabajo locales existentes de Configuration Manager a Intune.

Esta opción es más laboriosa para los administradores, pero puede crear una experiencia más fluida en los dispositivos cliente de Windows existentes. Para los nuevos dispositivos cliente de Windows, se recomienda empezar desde cero con Microsoft 365 e Intune (en este artículo).

1. Configure Active Directory híbrido y el identificador de Microsoft Entra para los dispositivos. Microsoft Entra dispositivos unidos a híbridos se unen a la Active Directory local y se registran con el identificador de Microsoft Entra. Cuando los dispositivos están en Microsoft Entra identificador, también están disponibles para Intune.

   El identificador de Microsoft Entra híbrido admite dispositivos Windows. Para conocer otros requisitos previos, incluidos los requisitos de inicio de sesión, consulte Planeamiento de la implementación de la unión híbrida Microsoft Entra.

2. En Configuration Manager, configure la administración conjunta.

3. Configure Intune, incluida la configuración de la entidad de MDM en Intune.

4. En Configuration Manager, realice el Cambio de las cargas de trabajo de Configuration Manager a Intune.

5. En los dispositivos, desinstale el cliente de Configuration Manager. Para obtener más información, vea Desinstalación del cliente.

   Una vez configurado Intune, puede crear una directiva de configuración de aplicaciones de Intune que desinstale el cliente de Configuration Manager. Por ejemplo, puede invertir los pasos de Instalación del cliente de Configuration Manager mediante Intune.

Los dispositivos están listos para inscribirse en Intune y recibir las directivas.

Importante

El identificador de Microsoft Entra híbrido solo admite dispositivos Windows. Configuration Manager admite dispositivos Windows y macOS. En el caso de los dispositivos macOS administrados en Configuration Manager, puede:

1. Desinstalar el cliente de Configuration Manager. Cuando se anula la inscripción, los dispositivos ya no reciben las directivas, incluidas las que proporcionan protección. Son vulnerables hasta que se inscriben en Intune y comienzan a recibir las nuevas directivas.
2. Inscribir los dispositivos en Intune para recibir directivas.

Para ayudar a minimizar las vulnerabilidades, mueva los dispositivos macOS después de configurar Intune y cuando las directivas de inscripción estén listas para implementarse.

Opción 4: Empezar desde cero con Microsoft 365 e Intune

Esta opción se aplica a los dispositivos cliente Windows. Si usa Windows Server, como Windows Server 2022, no use esta opción. Use Configuration Manager.

Para administrar los dispositivos cliente de Windows:

1. Implemente Microsoft 365, lo que incluye la creación de usuarios y grupos. No use ni configure Microsoft 365 Básico Mobility and Security.

   Vínculos útiles:

   • Guía de implementación de Microsoft 365 Enterprise
   • Configure Microsoft 365 Enterprise

2. Configure Intune, incluida la configuración de la entidad de MDM en Intune.

3. En los dispositivos existentes, desinstale el cliente de Configuration Manager. Para obtener más información, vea Desinstalación del cliente.

Los dispositivos están listos para inscribirse en Intune y recibir las directivas.

Actualmente se usa la directiva de grupo local

En la nube, los proveedores de MDM, como Intune, administran la configuración y las características en los dispositivos. No se usan objetos de directiva de grupo (GPO).

Al administrar dispositivos, los perfiles de configuración de dispositivos de Intune reemplazan al GPO local. Los perfiles de configuración de dispositivos usan la configuración expuesta por Apple, Google y Microsoft.

En concreto:

• En los dispositivos Android, estos perfiles usan Management API y EMM API de Android.
• En los dispositivos Apple, estos perfiles usan las cargas de administración de dispositivos.
• En los dispositivos Windows, estos perfiles usan los proveedores de servicios de configuración (CSP) de Windows.

Al migrar dispositivos desde la directiva de grupo, use Análisis de directiva de grupo. directiva de grupo analytics es una herramienta y una característica de Intune que analiza los GPO. En Intune, importe los GPO y vea qué directivas están disponibles (y no disponibles) en Intune. Para las directivas que están disponibles en Intune, puede crear una directiva de catálogo de configuración mediante la configuración que importó. Para obtener más información sobre esta característica, vaya a Crear una directiva de catálogo de configuración con los GPO importados en Microsoft Intune.

A continuación, paso 1: Configurar Microsoft Intune.

Uso actualmente de Microsoft 365 Básico Mobility and Security

Si ha creado e implementado directivas de movilidad y seguridad de Microsoft 365 Básico, puede migrar los usuarios, grupos y directivas a Microsoft Intune.

Para obtener más información, vaya a Migración de Microsoft 365 Básico Mobility and Security a Intune.

Migración de inquilino a inquilino

Un inquilino es su organización en Microsoft Entra identificador, como Contoso. Incluye una instancia de servicio de Microsoft Entra dedicada que Contoso recibe cuando obtiene un servicio en la nube de Microsoft, como Microsoft Intune o Microsoft 365. Microsoft Entra identificador lo usan Intune y Microsoft 365 para identificar usuarios y dispositivos, controlar el acceso a las directivas que cree y mucho más.

En Intune, puede exportar e importar algunas de las directivas mediante Microsoft Graph y Windows PowerShell.

Por ejemplo, cree una suscripción de Microsoft Intune de prueba. En este inquilino de prueba de suscripción, tiene directivas que configuran aplicaciones y características, comprueban el cumplimiento y mucho más. Le gustaría mover estas directivas a otro inquilino.

En esta sección se muestra cómo usar los scripts de Microsoft Graph para una migración de inquilino a inquilino. También muestra algunos tipos de directiva que se pueden exportar o no.

Importante

• En estos pasos se usan los ejemplos de Graph beta de Intune en GitHub. Los scripts de ejemplo hacen cambios en el inquilino. Están disponibles tal y como están y deben validarse con una cuenta de inquilino que no sea de producción o de "prueba". Asegúrese de que los scripts cumplen las directrices de seguridad de la organización.
• Los scripts no exportan ni importan todas las directivas, como los perfiles de certificado. Prepárese para realizar más tareas de las que están disponibles en estos scripts. Tendrá que volver a crear algunas directivas.
• Para migrar el dispositivo de un usuario, el usuario debe anular la inscripción del dispositivo del inquilino anterior y, a continuación, volver a inscribirlo en el nuevo inquilino.

Descargue los ejemplos y ejecute el script.

En esta sección se incluye información general sobre estos pasos. Use estos pasos como guía y sepa que los pasos específicos pueden ser diferentes.

1. Descargue los ejemplos y utilice Windows PowerShell para exportar las directivas:

   1. Vaya a microsoftgraph/powershell-intune-samples y seleccione Código>Descargar archivo Zip. Extraiga el contenido del archivo .zip.

   2. Abra la aplicación de Windows PowerShell como administrador y cambie el directorio a su carpeta. Por ejemplo, escriba el siguiente comando:

      cd C:\psscripts\powershell-intune-samples-master

   3. Instale el módulo de PowerShell de Azure AD:

      Install-Module AzureAD

      Seleccione Y para instalar el módulo desde un repositorio que no es de confianza. Esta comprobación puede tardar unos minutos.

   4. Cambie el directorio a la carpeta con el script que desea ejecutar. Por ejemplo, cambie el directorio a la carpeta CompliancePolicy:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   5. Ejecute el script de exportación. Por ejemplo, escriba el siguiente comando:

      .\CompliancePolicy_Export.ps1

      Inicie sesión con su cuenta. Cuando se le solicite, escriba la ruta de acceso para colocar las directivas. Por ejemplo, escriba:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

   En la carpeta, se exportan las directivas.

2. Importe las directivas en el nuevo inquilino:

   1. Cambie el directorio a la carpeta de PowerShell con el script que desea ejecutar. Por ejemplo, cambie el directorio a la carpeta CompliancePolicy:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   2. Ejecute el script de importación. Por ejemplo, escriba el siguiente comando:

      .\CompliancePolicy_Import_FromJSON.ps1

      Inicie sesión con su cuenta. Cuando se le solicite, escriba la ruta de acceso al archivo .json de la directiva que desea importar. Por ejemplo, escriba:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

3. Inicie sesión en el Centro de administración de Intune. Se muestran las directivas que ha importado.

Lo que no se puede hacer

Hay algunos tipos de directiva que no se pueden exportar. Hay algunos tipos de directiva que se pueden exportar, pero no se pueden importar a un inquilino diferente. Use la siguiente tabla como guía. Sepa que hay otros tipos de directivas que no aparecen en la lista.

Tipo de perfil o directiva	Información
Aplicaciones
Aplicaciones Android de línea de negocios	❌ Exportar ❌ Importar Para agregar la aplicación de LOB a un nuevo inquilino, también necesita los archivos de origen de la aplicación .apk originales.
Apple: Programa de Compras por Volumen de Apple (VPP)	❌ Exportar ❌ Importar Estas aplicaciones se sincronizan con el VPP de Apple. En el nuevo inquilino, agregue el token de VPP, que muestra las aplicaciones disponibles.
Aplicaciones de línea de negocio de iOS/iPadOS	❌ Exportar ❌ Importar Para agregar la aplicación de LOB a un nuevo inquilino, también necesita los archivos de origen de la aplicación .ipa originales.
Google Play administrado	❌ Exportar ❌ Importar Estas aplicaciones y vínculos web se sincronizan con Google Play administrado. En el nuevo inquilino, agregue la cuenta de Google Play administrado, que muestra las aplicaciones disponibles.
Microsoft Store para Empresas	❌ Exportar ❌ Importar Estas aplicaciones se sincronizan con Microsoft Store para Empresas. En el nuevo inquilino, agregue la cuenta de Microsoft Store para Empresas, que muestra las aplicaciones disponibles.
Aplicación Windows (Win32)	❌ Exportar ❌ Importar Para agregar la aplicación de LOB a un nuevo inquilino, también necesita los archivos de origen de la aplicación .intunewin originales.
Directivas de cumplimiento
Las acciones de no cumplimiento	❌ Exportar ❌ Importar Es posible que haya un vínculo a una plantilla de correo electrónico. Al importar una directiva que tiene acciones de no cumplimiento, en su lugar se agregan las acciones predeterminadas de no cumplimiento.
Tareas	✔️ Exportar ❌ Importar Las asignaciones se dirigen a un identificador de grupo. En un nuevo inquilino, el identificador de grupo es diferente.
Perfiles de configuración
Correo electrónico	✔️ Exportar ✔️ Si un perfil de correo electrónico no usa certificados, la importación debería funcionar. ❌ Si un perfil de correo electrónico usa un certificado raíz, el perfil no se puede importar a un nuevo inquilino. El identificador del certificado raíz es diferente en un nuevo inquilino.
Certificado SCEP	✔️ Exportar ❌ Importar Los perfiles de certificado SCEP usan un certificado raíz. El identificador del certificado raíz es diferente en un nuevo inquilino.
VPN	✔️ Exportar ✔️ Si un perfil de VPN no usa certificados, la importación debería funcionar. ❌ Si un perfil de VPN usa un certificado raíz, el perfil no se puede importar a un nuevo inquilino. El identificador del certificado raíz es diferente en un nuevo inquilino.
Wi-Fi	✔️ Exportar ✔️ Si un perfil Wi-Fi no usa certificados, la importación debería funcionar. ❌ Si un Wi-Fi utiliza un certificado raíz, el perfil no se puede importar a un nuevo inquilino. El identificador del certificado raíz es diferente en un nuevo inquilino.
Tareas	✔️ Exportar ❌ Importar Las asignaciones se dirigen a un identificador de grupo. En un nuevo inquilino, el identificador de grupo es diferente.
Seguridad de puntos de conexión
Detección y respuesta de puntos de conexión	❌ Exportar ❌ Importar Esta directiva está vinculada a Microsoft Defender para punto de conexión. En el nuevo inquilino, configurará Microsoft Defender para punto de conexión, que incluye automáticamente la directiva de detección y respuesta de puntos de conexión.

Pasos siguientes

• Introducción a Intune
• Guías de implementación de inscripción