Guida alla migrazione: Configurare o passare a Microsoft Intune

Dopo aver pianificato il passaggio a Microsoft Intune, il passaggio successivo per scegliere l'approccio di migrazione appropriato per l'organizzazione. Queste decisioni dipendono dall'ambiente di gestione dei dispositivi mobili (MDM) corrente, dagli obiettivi aziendali e dai requisiti tecnici.

Questa guida alla migrazione elenca e descrive le opzioni da adottare o passare a Intune, tra cui:

  • Non si usa una soluzione di gestione dei dispositivi mobili
  • Si usa una soluzione MDM partner di terze parti
  • Si usa Configuration Manager
  • Usare criteri di gruppo locali
  • Si usa Microsoft 365 Basic Mobility and Security

Usare questa guida per determinare l'approccio di migrazione migliore e ottenere alcune indicazioni & raccomandazioni.

Consiglio

Prima di iniziare

  • Microsoft Intune è una soluzione nativa del cloud che consente di gestire identità, dispositivi e app. Se l'obiettivo è diventare nativo del cloud, è possibile ottenere altre informazioni negli articoli seguenti:

  • La distribuzione di Intune potrebbe essere diversa da una distribuzione MDM precedente. Intune usa il controllo degli accessi basato sull'identità. Non richiede un proxy di rete per accedere ai dati dell'organizzazione da dispositivi esterni alla rete.

Attualmente non usare nulla

Se attualmente non si usa alcun provider MDM o di gestione di applicazioni mobili (MAM), sono disponibili alcune opzioni:

Attualmente usare un provider MDM di terze parti

I dispositivi devono avere un solo provider MDM. Se si usa un altro provider MDM, ad esempio Workspace ONE (precedentemente denominato AirWatch), MobileIron o MaaS360, è possibile passare a Intune.

Gli utenti devono annullare la registrazione dei dispositivi dal provider MDM corrente prima di registrarsi in Intune.

  1. Configurare Intune, inclusa l'impostazione dell'autorità MDM su Intune.

    Per altre informazioni, vedere:

  2. Distribuire le app e creare criteri di protezione delle app. L'idea consiste nel proteggere i dati dell'organizzazione nelle app durante la migrazione e fino a quando i dispositivi non vengono registrati & gestiti da Intune.

    Per altre informazioni, vedere Passaggio 2 - Aggiungere, configurare e proteggere le app con Intune.

  3. Annullare la registrazione dei dispositivi dal provider MDM corrente.

    Quando i dispositivi vengono annullati, non ricevono i criteri, inclusi i criteri che forniscono protezione. I dispositivi sono vulnerabili fino a quando non si registrano in Intune e non iniziano a ricevere i nuovi criteri.

    Fornire agli utenti passaggi di annullamento della registrazione specifici. Includere indicazioni del provider MDM esistente su come annullare la registrazione dei dispositivi. La comunicazione chiara e utile riduce al minimo i tempi di inattività, l'insoddisfazione e le chiamate al supporto tecnico degli utenti finali.

  4. Facoltativo, ma consigliato. Se si dispone di Microsoft Entra ID P1 o P2, usare anche l'accesso condizionale per bloccare i dispositivi fino alla registrazione in Intune.

    Per altre informazioni, vedere Passaggio 3 - Pianificare i criteri di conformità.

  5. Facoltativo, ma consigliato. Creare una baseline di conformità e impostazioni del dispositivo che tutti gli utenti e i dispositivi devono avere. Questi criteri possono essere distribuiti quando gli utenti si registrano in Intune.

    Per altre informazioni, vedere:

  6. Eseguire la registrazione in Intune. Assicurarsi di fornire agli utenti passaggi di registrazione specifici.

    Per altre informazioni, vedere:

Importante

Non configurare contemporaneamente Intune e alcuna soluzione MDM di terze parti esistente per applicare controlli di accesso alle risorse, inclusi Exchange o SharePoint.

Consigli:

  • Se si passa da un provider MDM/MAM partner, prendere nota delle attività in esecuzione e delle funzionalità usate. Queste informazioni offrono un'idea delle attività da eseguire anche in Intune.

  • Usare un approccio in più fasi. Iniziare con un piccolo gruppo di utenti pilota e aggiungere altri gruppi fino a raggiungere la distribuzione su larga scala.

  • Monitorare l'esito positivo del caricamento e della registrazione del supporto tecnico di ogni fase. Lasciare il tempo nella pianificazione per valutare i criteri di esito positivo per ogni gruppo prima di eseguire la migrazione del gruppo successivo.

    La distribuzione pilota deve convalidare le attività seguenti:

    • I tassi di esito positivo e negativo della registrazione sono all'interno delle aspettative.

    • Produttività utente:

      • Le risorse aziendali funzionano, tra cui VPN, Wi-Fi, posta elettronica e certificati.
      • Le app distribuite sono accessibili.
    • Sicurezza dei dati

      • Esaminare i report di conformità e cercare i problemi e le tendenze comuni. Comunicare problemi, risoluzioni e tendenze con l'help desk.
      • Vengono applicate le protezioni delle app per dispositivi mobili.
  • Quando si è soddisfatti della prima fase delle migrazioni, ripetere il ciclo di migrazione per la fase successiva.

    • Ripetere i cicli in più fasi fino a quando non viene eseguita la migrazione di tutti gli utenti a Intune.
    • Verificare che l'helpdesk sia pronto per supportare gli utenti finali durante la migrazione. Eseguire una migrazione volontaria fino a quando non è possibile stimare il carico di lavoro delle chiamate di supporto.
    • Non impostare scadenze per la registrazione finché il supporto tecnico non è in grado di gestire tutti gli utenti rimanenti.

Informazioni utili:

Attualmente in uso Configuration Manager

Configuration Manager supporta i server Windows e i dispositivi client windows & macOS. Se l'organizzazione usa altre piattaforme, potrebbe essere necessario reimpostare i dispositivi e registrarli in Intune. Dopo la registrazione, ricevono i criteri e i profili creati. Per altre informazioni, vedere la guida alla distribuzione della registrazione di Intune.

Se attualmente si usa Configuration Manager e si vuole usare Intune, sono disponibili le opzioni seguenti.

Opzione 1 - Aggiungere il collegamento al tenant

Il collegamento al tenant consente di caricare i dispositivi Configuration Manager nell'organizzazione in Intune, noto anche come "tenant". Dopo aver connesso i dispositivi, si usa l'interfaccia di amministrazione Microsoft Intune per eseguire azioni remote, ad esempio i criteri utente e del computer di sincronizzazione. È anche possibile visualizzare i server locali e ottenere informazioni sul sistema operativo.

Il collegamento nel tenant è incluso nella licenza di cogestione di Configuration Manager senza costi aggiuntivi. È il modo più semplice per integrare il cloud (Intune) con la configurazione Configuration Manager locale.

Per altre informazioni, vedere abilitare il collegamento del tenant.

Opzione 2 - Configurare la co-gestione

Questa opzione usa Configuration Manager per alcuni carichi di lavoro e usa Intune per altri carichi di lavoro.

  1. In Configuration Manager configurare la co-gestione.
  2. Configurare Intune, inclusa l'impostazione dell'autorità MDM su Intune.

I dispositivi sono pronti per essere registrati in Intune e ricevere i criteri.

Informazioni utili:

Opzione 3- Passare da Configuration Manager a Intune

La maggior parte dei clienti Configuration Manager esistenti vuole continuare a usare Configuration Manager. Include servizi utili per i dispositivi locali.

Questi passaggi sono una panoramica e sono inclusi solo per gli utenti che vogliono una soluzione cloud al 100%. Con questa opzione, è possibile:

  • Registrare i dispositivi client Windows Active Directory locale esistenti come dispositivi nell Microsoft Entra ID.
  • Spostare i carichi di lavoro Configuration Manager locali esistenti in Intune.

Questa opzione è più adatta agli amministratori, ma può creare un'esperienza più semplice per i dispositivi client Windows esistenti. Per i nuovi dispositivi client Windows, è consigliabile iniziare da zero con Microsoft 365 e Intune (in questo articolo).

  1. Configurare Active Directory ibrido e Microsoft Entra ID per i dispositivi. Microsoft Entra dispositivi aggiunti ibridi vengono aggiunti al Active Directory locale e registrati con l'ID Microsoft Entra. Quando i dispositivi sono in Microsoft Entra ID, sono disponibili anche per Intune.

    L'ID Microsoft Entra ibrido supporta i dispositivi Windows. Per altri prerequisiti, inclusi i requisiti di accesso, vedere Pianificare l'implementazione del join ibrido Microsoft Entra.

  2. In Configuration Manager configurare la co-gestione.

  3. Configurare Intune, inclusa l'impostazione dell'autorità MDM su Intune.

  4. In Configuration Manager scorrere tutti i carichi di lavoro da Configuration Manager a Intune.

  5. Nei dispositivi disinstallare il client Configuration Manager. Per altre informazioni, vedere Disinstallare il client.

    Dopo aver configurato Intune, è possibile creare un criterio di configurazione dell'app di Intune che disinstalla il client Configuration Manager. Ad esempio, è possibile invertire la procedura descritta in Installare il client Configuration Manager usando Intune.

I dispositivi sono pronti per essere registrati in Intune e ricevere i criteri.

Importante

L'ID Microsoft Entra ibrido supporta solo i dispositivi Windows. Configuration Manager supporta dispositivi Windows e macOS. Per i dispositivi macOS gestiti in Configuration Manager, è possibile:

  1. Disinstallare il client Configuration Manager. Quando si esegue la disinstallazione, i dispositivi non ricevono i criteri, inclusi i criteri che forniscono protezione. Sono vulnerabili fino a quando non si registrano in Intune e non iniziano a ricevere i nuovi criteri.
  2. Registrare i dispositivi in Intune per ricevere i criteri.

Per ridurre al minimo le vulnerabilità, spostare i dispositivi macOS dopo la configurazione di Intune e quando i criteri di registrazione sono pronti per la distribuzione.

Opzione 4 - Iniziare da zero con Microsoft 365 e Intune

Questa opzione si applica ai dispositivi client Windows. Se usi Windows Server, ad esempio Windows Server 2022, non usare questa opzione. Usare Configuration Manager.

Per gestire i dispositivi client Windows:

  1. Distribuire Microsoft 365, inclusa la creazione di utenti e gruppi. Non usare o configurare Microsoft 365 Basic Mobility and Security.

    Collegamenti utili:

  2. Configurare Intune, inclusa l'impostazione dell'autorità MDM su Intune.

  3. Nei dispositivi esistenti disinstallare il client Configuration Manager. Per altre informazioni, vedere Disinstallare il client.

I dispositivi sono pronti per essere registrati in Intune e ricevere i criteri.

Attualmente usare criteri di gruppo locali

Nel cloud i provider MDM, ad esempio Intune, gestiscono le impostazioni e le funzionalità nei dispositivi. Gli oggetti Criteri di gruppo non vengono usati.

Quando si gestiscono i dispositivi, i profili di configurazione dei dispositivi di Intune sostituiscono l'oggetto Criteri di gruppo locale. I profili di configurazione del dispositivo usano le impostazioni esposte da Apple, Google e Microsoft.

In particolare:

Quando si spostano i dispositivi da Criteri di gruppo, usare l'analisi di Criteri di gruppo. Criteri di gruppo analytics è uno strumento e una funzionalità in Intune che analizza gli oggetti Criteri di gruppo. In Intune si importano gli oggetti Criteri di gruppo e vengono visualizzati i criteri disponibili (e non disponibili) in Intune. Per i criteri disponibili in Intune, è possibile creare criteri del catalogo delle impostazioni usando le impostazioni importate. Per altre informazioni su questa funzionalità, vedere Creare criteri del catalogo delle impostazioni usando gli oggetti Criteri di gruppo importati in Microsoft Intune.

Passaggio 1: Configurare Microsoft Intune.

Attualmente usare Microsoft 365 Basic Mobility and Security

Se sono stati creati e distribuiti Microsoft 365 Basic criteri di mobilità e sicurezza, è possibile eseguire la migrazione di utenti, gruppi e criteri a Microsoft Intune.

Per altre informazioni, vedere Eseguire la migrazione da Microsoft 365 Basic Mobility and Security a Intune.

Migrazione da tenant a tenant

Un tenant è l'organizzazione in Microsoft Entra ID, ad esempio Contoso. Include un'istanza del servizio Microsoft Entra dedicata che Contoso riceve quando ottiene un servizio cloud Microsoft, ad esempio Microsoft Intune o Microsoft 365. Microsoft Entra ID viene usato da Intune e Microsoft 365 per identificare utenti e dispositivi, controllare l'accesso ai criteri creati e altro ancora.

In Intune è possibile esportare e importare alcuni criteri usando Microsoft Graph e Windows PowerShell.

Ad esempio, si crea una sottoscrizione di valutazione Microsoft Intune. In questo tenant di valutazione della sottoscrizione sono disponibili criteri che configurano app e funzionalità, verificano la conformità e altro ancora. Si vuole spostare questi criteri in un altro tenant.

Questa sezione illustra come usare gli script di Microsoft Graph per la migrazione da tenant a tenant. Elenca anche alcuni tipi di criteri che possono o non possono essere esportati.

Importante

  • Questi passaggi usano gli esempi di grafo beta di Intune in GitHub. Gli script di esempio apportano modifiche al tenant. Sono disponibili così come sono e devono essere convalidati usando un account tenant non di produzione o di "test". Assicurarsi che gli script soddisfino le linee guida per la sicurezza dell'organizzazione.
  • Gli script non esportano e importano tutti i criteri, ad esempio i profili certificato. Si prevede di eseguire più attività rispetto a quelle disponibili in questi script. Sarà necessario ricreare alcuni criteri.
  • Per eseguire la migrazione del dispositivo di un utente, l'utente deve annullare la registrazione del dispositivo dal tenant precedente e quindi eseguire di nuovo la registrazione nel nuovo tenant.

Scaricare gli esempi ed eseguire lo script

Questa sezione include una panoramica dei passaggi. Usare questi passaggi come linee guida e sapere che i passaggi specifici potrebbero essere diversi.

  1. Scaricare gli esempi e usare Windows PowerShell per esportare i criteri:

    1. Passare a microsoftgraph/powershell-intune-samples e selezionare CodeDownload ZIP (Scarica codice> ZIP). Estrarre il contenuto del .zip file.

    2. Aprire l'app Windows PowerShell come amministratore e impostare la directory sulla cartella. Ad esempio, immettere il comando seguente:

      cd C:\psscripts\powershell-intune-samples-master

    3. Installare il modulo PowerShell di AzureAD:

      Install-Module AzureAD

      Selezionare Y per installare il modulo da un repository non attendibile. L'installazione può richiedere alcuni minuti.

    4. Modificare la directory nella cartella con lo script che si vuole eseguire. Ad esempio, modificare la directory nella CompliancePolicy cartella :

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    5. Eseguire lo script di esportazione. Ad esempio, immettere il comando seguente:

      .\CompliancePolicy_Export.ps1

      Accedere con il proprio account. Quando richiesto, immettere il percorso per inserire i criteri. Ad esempio, immettere:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

    Nella cartella vengono esportati i criteri.

  2. Importare i criteri nel nuovo tenant:

    1. Modificare la directory nella cartella di PowerShell con lo script che si vuole eseguire. Ad esempio, modificare la directory nella CompliancePolicy cartella :

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    2. Eseguire lo script di importazione. Ad esempio, immettere il comando seguente:

      .\CompliancePolicy_Import_FromJSON.ps1

      Accedere con il proprio account. Quando richiesto, immettere il percorso del file di criteri .json da importare. Ad esempio, immettere:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

  3. Accedere all'interfaccia di amministrazione di Intune. Vengono visualizzati i criteri importati.

Operazioni che non è possibile eseguire

Alcuni tipi di criteri non possono essere esportati. Esistono alcuni tipi di criteri che possono essere esportati, ma non possono essere importati in un tenant diverso. Usare l'elenco seguente come guida. Si noti che esistono altri tipi di criteri che non sono elencati.

Tipo di criterio o profilo Informazioni
Applicazioni  
App line-of-business Android ❌ Esportazione
❌ Importazione

Per aggiungere l'app LOB a un nuovo tenant, sono necessari anche i file di origine dell'applicazione originale .apk .
Apple - Volume Purchase Program (VPP) ❌ Esportazione
❌ Importazione

Queste app vengono sincronizzate con Apple VPP. Nel nuovo tenant si aggiunge il token VPP, che mostra le app disponibili.
App line-of-business iOS/iPadOS ❌ Esportazione
❌ Importazione

Per aggiungere l'app LOB a un nuovo tenant, sono necessari anche i file di origine dell'applicazione originale .ipa .
Google Play gestito ❌ Esportazione
❌ Importazione

Queste app e weblink vengono sincronizzati con Google Play gestito. Nel nuovo tenant si aggiunge l'account Google Play gestito, che mostra le app disponibili.
Microsoft Store per le aziende ❌ Esportazione
❌ Importazione

Queste app vengono sincronizzate con il Microsoft Store per le aziende. Nel nuovo tenant si aggiunge l'account Microsoft Store per le aziende, che mostra le app disponibili.
App di Windows (Win32) ❌ Esportazione
❌ Importazione

Per aggiungere l'app LOB a un nuovo tenant, sono necessari anche i file di origine dell'applicazione originale .intunewin .
Criteri di conformità  
Azioni per la non conformità ❌ Esportazione
❌ Importazione

È possibile che sia presente un collegamento a un modello di posta elettronica. Quando si importano criteri con azioni di non conformità, vengono invece aggiunte le azioni predefinite per la non conformità.
Attività ✔️ Esportazione
❌ Importazione

Le assegnazioni sono destinate a un ID gruppo. In un nuovo tenant l'ID gruppo è diverso.
Profili di configurazione  
Posta elettronica ✔️ Esportazione

✔️ Se un profilo di posta elettronica non usa i certificati, l'importazione dovrebbe funzionare.
❌ Se un profilo di posta elettronica usa un certificato radice, il profilo non può essere importato in un nuovo tenant. L'ID certificato radice è diverso in un nuovo tenant.
Certificato SCEP ✔️ Esportazione

❌ Importazione

I profili certificato SCEP usano un certificato radice. L'ID certificato radice è diverso in un nuovo tenant.
VPN ✔️ Esportazione

✔️ Se un profilo VPN non usa i certificati, l'importazione dovrebbe funzionare.
❌ Se un profilo VPN usa un certificato radice, il profilo non può essere importato in un nuovo tenant. L'ID certificato radice è diverso in un nuovo tenant.
Wi-Fi ✔️ Esportazione

✔️ Se un profilo Wi-Fi non usa i certificati, l'importazione dovrebbe funzionare.
❌ Se un profilo Wi-Fi usa un certificato radice, il profilo non può essere importato in un nuovo tenant. L'ID certificato radice è diverso in un nuovo tenant.
Attività ✔️ Esportazione
❌ Importazione

Le assegnazioni sono destinate a un ID gruppo. In un nuovo tenant l'ID gruppo è diverso.
Endpoint Security  
Rilevamento endpoint e risposta ❌ Esportazione
❌ Importazione

Questo criterio è collegato a Microsoft Defender per endpoint. Nel nuovo tenant viene configurato Microsoft Defender per endpoint, che include automaticamente i criteri di rilevamento e risposta degli endpoint.

Passaggi successivi