Руководство по миграции. Настройка или перемещение в Microsoft Intune

После планирования перехода на Microsoft Intune на следующем шаге выберите подходящий для вашей организации подход к миграции. Эти решения зависят от текущей среды управления мобильными устройствами (MDM), бизнес-целей и технических требований.

В этом руководстве по миграции перечислены и описаны варианты внедрения или перехода в Intune, которые включают следующие:

• Вы не используете решение для управления мобильными устройствами
• Вы используете решение MDM стороннего партнера
• Вы используете Configuration Manager
• Вы используете локальную групповую политику
• Вы используете Microsoft 365 базовый мобильность и безопасность

Используйте это руководство, чтобы определить оптимальный подход к миграции и получить некоторые рекомендации & рекомендации.

Совет

• Это пошаговое руководство. Поэтому обязательно добавьте или обновите существующие советы и рекомендации, которые вы нашли полезными.

• В дополнение к этой статье Центр администрирования Microsoft 365 также содержит некоторые рекомендации по настройке. Это руководство настраивает интерфейс в зависимости от среды. Чтобы получить доступ к этому руководству по развертыванию, перейдите к руководству по настройке Microsoft Intune в Центр администрирования Microsoft 365 и выполните вход с помощью глобального средства чтения (как минимум). Дополнительные сведения об этих руководствах по развертыванию и необходимых ролях см. в статье Дополнительные руководства по развертыванию для продуктов Microsoft 365 и Office 365.

  Чтобы ознакомиться с рекомендациями без входа и активации функций автоматической установки, перейдите на портал установки M365.

Перед началом работы

• Microsoft Intune — это собственное облачное решение, которое помогает управлять удостоверениями, устройствами и приложениями. Если ваша цель состоит в том, чтобы стать собственным облаком, дополнительные сведения см. в следующих статьях:

  • Сведения об облачных конечных точках
  • Что такое Intune?

• Развертывание Intune может отличаться от предыдущего развертывания MDM. Intune использует управление доступом на основе удостоверений. Для доступа к данным организации с устройств, находящихся за пределами сети, не требуется сетевой прокси-сервер.

В настоящее время ничего не используется

Если в настоящее время вы не используете ни одного поставщика MDM или управления мобильными приложениями (MAM), у вас есть несколько вариантов:

• Microsoft Intune. Если вам нужно облачное решение, готовое к полному управлению устройствами, перейдите непосредственно в Intune. Intune можно использовать для проверка соответствия требованиям, настройки функций устройств, развертывания приложений и установки системных & обновлений приложений. Вы также получите преимущества центра администрирования Microsoft Intune, который является веб-консолью.

  • Обзор политик защиты приложений
  • Начало работы с Intune
  • Шаг 1. Настройка Intune
  • Шаг 2. Добавление, настройка и защита приложений с помощью Intune
  • Шаг 3. Планирование политик соответствия требованиям
  • Шаг 4. Создание профилей конфигурации устройств для защиты устройств
  • Шаг 5. Регистрация устройств

• Configuration Manager. Если вы хотите, чтобы функции Configuration Manager (локально) сочетались с Intune (облако), рассмотрите возможность присоединения клиента (в этой статье) или совместного управления (в этой статье).

  Configuration Manager может:

  • Управление локальной средой Windows Server и некоторыми клиентскими устройствами.
  • Управление обновлениями программного обеспечения партнеров или сторонних разработчиков.
  • Создание пользовательских последовательностей задач при развертывании операционной системы Windows.
  • Развертывание и управление многими типами приложений.

В настоящий момент используется сторонний поставщик MDM

На устройствах должен быть только один поставщик MDM. Если вы используете другой поставщик MDM, например Workspace ONE (ранее — AirWatch), MobileIron или MaaS360, вы можете перейти в Intune.

Перед регистрацией в Intune пользователи должны отменить регистрацию устройств у текущего поставщика MDM.

1. Настройте Intune, в том числе задайте для центра MDM значение Intune.

   Дополнительные сведения см. в статьях:

   • Начало работы с развертыванием Microsoft Intune
   • Шаг 1. Настройка Intune.

2. Развертывание приложений и создание политик защиты приложений. Идея заключается в том, чтобы защитить данные организации в приложениях во время миграции и до тех пор, пока устройства не будут зарегистрированы & под управлением Intune.

   Дополнительные сведения см. в разделе Шаг 2. Добавление, настройка и защита приложений с помощью Intune.

3. Отмена регистрации устройств у текущего поставщика MDM.

   При отмене регистрации устройств они перестают получать ваши политики, включая политики, обеспечивающие защиту. Устройства уязвимы до тех пор, пока они не зарегистрируются в Intune и не начнут получать новые политики.

   Предоставьте пользователям определенные действия по отмене регистрации. Предоставьте рекомендации существующего поставщика MDM по отмене регистрации устройств. Понятное и полезное общение сводит к минимуму время простоя пользователей, неудовлетворенность и вызовы службы поддержки.

4. Необязательный, но рекомендуемый. Если у вас есть Microsoft Entra идентификатор P1 или P2, также используйте условный доступ для блокировки устройств, пока они не зарегистрируются в Intune.

   Дополнительные сведения см. в разделе Шаг 3. Планирование политик соответствия требованиям.

5. Необязательный, но рекомендуемый. Создайте базовый план соответствия требованиям и параметров устройства, которые должны быть у всех пользователей и устройств. Эти политики можно развернуть, когда пользователи регистрируются в Intune.

   Дополнительные сведения см. в статьях:

   • Шаг 3. Планирование политик соответствия требованиям
   • Шаг 4. Настройка функций и параметров устройства для защиты устройств и доступа к ресурсам
   • Уровни защиты и конфигурации в Microsoft Intune

6. Зарегистрируйтесь в Intune. Обязательно предоставьте пользователям определенные шаги регистрации.

   Дополнительные сведения см. в статьях:

   • Шаг 5. Регистрация устройств в Microsoft Intune
   • Руководство по развертыванию регистрации Intune

Важно!

Не настраивайте Intune и любое существующее стороннее решение MDM одновременно для применения элементов управления доступом к ресурсам, включая Exchange или SharePoint.

Рекомендации:

• Если вы переходите от партнерского поставщика MDM/MAM, обратите внимание на выполняемые задачи и используемые функции. Эти сведения дают представление о том, какие задачи также следует выполнять в Intune.

• Используйте поэтапный подход. Начните с небольшой пилотной группы пользователей и добавляйте новые группы пользователей, вплоть до полномасштабного развертывания.

• Контролируйте загрузку службы поддержки и успехи регистрации на каждом этапе. Выделите время в расписании на оценку критериев успеха каждой группы перед переходом к следующей группе.

  По пилотному развертыванию вы сможете убедиться в следующем:

  • Значения успешных и неудачных результатов находятся в пределах ожидаемых.

  • Производительность работы пользователей:

    • Корпоративные ресурсы, такие как VPN, Wi-Fi, сертификаты и электронная почта, работают.
    • Развернутые приложения доступны.

  • Безопасность данных:

    • Просмотрите отчеты о соответствии и найдите распространенные проблемы и тенденции. Сообщите о проблемах, их разрешении и тенденциях в службу технической поддержки.
    • Средства защиты мобильных приложений применяются.

• Если вы удовлетворены результатами первого этапа миграции, повторите цикл миграции для следующего этапа.

  • Повторяйте поэтапные циклы до переноса всех пользователей в Intune.
  • Убедитесь, что специалисты службы поддержки готовы предоставлять поддержку пользователям на протяжении всего процесса миграции. Выполните произвольную миграцию, чтобы оценить рабочую нагрузку при обращении в службу поддержки.
  • Не устанавливайте крайние сроки регистрации, пока служба поддержки не сможет обработать всех оставшихся пользователей.

Полезные сведения:

• Начало работы с Intune
• Руководство по развертыванию регистрации Intune
• Шаг 1. Настройка Intune и клиента

В настоящий момент используется Configuration Manager

Configuration Manager поддерживает серверы Windows и клиентские устройства windows & macOS. Если в вашей организации используются другие платформы, может потребоваться сбросить устройства, а затем зарегистрировать их в Intune. После регистрации устройства получают созданные вами политики и профили. Дополнительные сведения см. в разделе Руководство по развертыванию регистрации Intune.

Если сейчас вы используете Configuration Manager, а хотите использовать Intune, то у вас есть следующие варианты.

Вариант 1. Добавление подключения клиента

Присоединение арендатора позволяет загрузить устройства Configuration Manager в организацию в Intune, также называемую "арендатором". После подключения устройств вы используете Центр администрирования Microsoft Intune для выполнения удаленных действий, таких как синхронизация компьютера и политики пользователя. Вы также можете просматривать локальные серверы и получать сведения о ОС.

Подключение клиента доступно вместе с лицензией на совместное управление Configuration Manager без дополнительной стоимости. Это самый простой способ интегрировать облако (Intune) с локальной настройкой Configuration Manager.

Дополнительные сведения см. в статье, посвященной подключению с помощью клиента.

Вариант 2. Настройка совместного управления

Этот вариант использует Configuration Manager для некоторых рабочих нагрузок, а Intune для других рабочих нагрузок.

1. Включите совместное управление в Configuration Manager.
2. Настройте Intune, в том числе задайте для центра MDM значение Intune.

Устройства готовы к регистрации в Intune и получают ваши политики.

Полезные сведения:

• Что такое совместное управление?
• Рабочие нагрузки совместного управления
• Переключение рабочих нагрузок Configuration Manager на Intune
• Часто задаваемые вопросы о продукте Configuration Manager и его лицензировании

Вариант 3. Переход с Configuration Manager на Intune

Большинство существующих клиентов Configuration Manager хотят продолжать использовать Configuration Manager. Она включает в себя службы, полезные для локальных устройств.

Эти действия являются общим обзором и включены только для тех пользователей, которым требуется полностью облачное решение. Этот вариант позволяет:

• Регистрация существующих локальная служба Active Directory клиентских устройств Windows в качестве устройств в Microsoft Entra id.
• Перенести существующие локальные рабочие нагрузки Configuration Manager в Intune.

Этот параметр больше подходит для администраторов, но может обеспечивать более удобную работу для существующих клиентских устройств с Windows. Для новых клиентских устройств Windows рекомендуется начать с нуля с Microsoft 365 и Intune (в этой статье).

1. Настройте гибридную службу Active Directory и идентификатор Microsoft Entra для устройств. Microsoft Entra устройства с гибридным присоединением присоединяются к локальная служба Active Directory и регистрируются с помощью идентификатора Microsoft Entra. Если устройства находятся в Microsoft Entra идентификаторе, они также доступны в Intune.

   Гибридный идентификатор Microsoft Entra поддерживает устройства Windows. Другие предварительные требования, включая требования к входу, см. в статье Планирование реализации гибридного присоединения Microsoft Entra.

2. Включите совместное управление в Configuration Manager.

3. Настройте Intune, в том числе задайте для центра MDM значение Intune.

4. В Configuration Manager передвиньте все рабочие нагрузки с Configuration Manager в Intune.

5. Удалите клиент Configuration Manager на устройствах. Дополнительные сведения см. в разделе об удалении клиента.

   После настройки Intune можно создать политику конфигурации приложений Intune, которая удаляет клиент Configuration Manager. Например, можно отменить действия, описанные в разделе Установка клиента Configuration Manager с помощью Intune.

Устройства готовы к регистрации в Intune и получают ваши политики.

Важно!

Идентификатор гибридного Microsoft Entra поддерживает только устройства Windows. Configuration Manager поддерживает устройства Windows и macOS. Для устройств macOS, управляемых в Configuration Manager, можно:

1. Удалить клиент Configuration Manager. При удалении устройства перестают получать ваши политики, включая политики, обеспечивающие защиту. Они уязвимы, пока не зарегистрируются в Intune и не начнут получать новые политики.
2. Зарегистрировать устройства в Intune для получения политик.

Чтобы свести к минимуму уязвимости, перемещайте устройства macOS после настройки Intune и когда политики регистрации будут готовы к развертыванию.

Вариант 4. Начало работы с microsoft 365 и Intune

Этот параметр применяется к клиентским устройствам с Windows. Если вы используете Windows Server, например Windows Server 2022, то не используйте этот параметр. Использование Configuration Manager.

Чтобы управлять клиентскими устройствами Windows, выполните следующие действия.

1. Разверните Microsoft 365, включая создание пользователей и групп. Не используйте и не настраивайте Microsoft 365 базовый мобильность и безопасность.

   Полезные ссылки:

   • Руководство по развертыванию Microsoft 365 корпоративный
   • Установка Microsoft 365 бизнес

2. Настройте Intune, в том числе задайте для центра MDM значение Intune.

3. Удалите клиент Configuration Manager на существующих устройствах. Дополнительные сведения см. в разделе об удалении клиента.

Устройства готовы к регистрации в Intune и получают ваши политики.

Сейчас используется локальная групповая политика

В облаке поставщики MDM, такие как Intune, управляют параметрами и функциями на устройствах. Объекты групповой политики (GPO) не используются.

При управлении устройствами профили конфигурации устройств Intune заменяют локальный объект групповой политики. Профили конфигурации устройств используют параметры, предоставляемые Apple, Google и Майкрософт.

Это означает следующее:

• На устройствах Android эти профили используют API управления Android и EMM API.
• На устройствах Apple эти профили используют Полезные данные управления устройствами.
• На устройствах Windows эти профили используют поставщики службы настройки Windows (CSP).

Когда перемещаемые устройства образуют групповую политику, используйте Аналитику групповой политики. групповая политика аналитика — это средство и функция Intune, которая анализирует объекты групповой политики. В Intune импортируйте объекты групповой политики и посмотрите, какие политики доступны (и недоступны) в Intune. Для политик, доступных в Intune, можно создать политику каталога параметров с помощью импортированных параметров. Дополнительные сведения об этой функции см. в статье Создание политики каталога параметров с помощью импортированных объектов групповой политики в Microsoft Intune.

Далее, шаг 1. Настройка Microsoft Intune.

В настоящее время используется Microsoft 365 базовый Mobility and Security

Если вы создали и развернули политики мобильности и безопасности Microsoft 365 базовый, вы можете перенести пользователей, группы и политики в Microsoft Intune.

Дополнительные сведения см. в статье Миграция с Microsoft 365 базовый Mobility and Security на Intune.

Миграция из арендатора в арендатор

Клиент — это ваша организация в Microsoft Entra идентификаторе, например Contoso. Он включает в себя выделенный экземпляр службы Microsoft Entra, который компания Contoso получает при получении облачной службы Майкрософт, например Microsoft Intune или Microsoft 365. Microsoft Entra идентификатор используется Intune и Microsoft 365 для идентификации пользователей и устройств, управления доступом к создаваемым политикам и многого другого.

В Intune можно экспортировать и импортировать некоторые политики с помощью Microsoft Graph и Windows PowerShell.

Например, вы можете создать пробную подписку Microsoft Intune. В этом арендаторе, связанном с пробной подпиской, есть политики, которые управляют приложениями и компонентами, проверяют соответствие и многое другое. Вы хотите переместить эти политики в другой арендатор.

В этом разделе показано, как использовать скрипты Microsoft Graph для миграции клиента в клиент. В нем также перечислены некоторые типы политик, которые можно экспортировать или не удается экспортировать.

Важно!

• В этих шагах используются примеры графа бета-версии Intune на сайте GitHub. Примеры скриптов вносят изменения в арендаторе. Они доступны как есть и должны проверяться с помощью нерабочей или тестовой учетной записи арендатора. Убедитесь, что скрипты соответствуют правилам безопасности вашей организации.
• Скрипты не экспортируют и не импортируют все политики, например профили сертификатов. Рассчитывайте выполнять больше задач, чем доступно с помощью этих скриптов. Вам потребуется повторно создать некоторые политики.
• Чтобы перенести устройство пользователя, пользователь должен отменить регистрацию устройства из старого клиента, а затем повторно зарегистрироваться в новом клиенте.

Скачивание примеров и выполнение скрипта

В этом разделе описаны необходимые действия. Используйте эти действия в качестве руководства и знайте, что конкретные шаги могут отличаться.

1. Скачайте примеры и экспортируйте политики с помощью Windows PowerShell:

   1. Перейдите в папку microsoftgraph/powershell-intune-samples и выберите Код>Скачать ZIP-файл. Извлеките содержимое файла .zip.

   2. Откройте приложение Windows PowerShell от имени администратора и перейдите в свою папку. Например, введите следующую команду:

      cd C:\psscripts\powershell-intune-samples-master

   3. Установите модуль Azure PowerShell:

      Install-Module AzureAD

      Выберите Y, чтобы установить модуль из ненадежного репозитория. Установка может занять несколько минут.

   4. Перейдите в папку со скриптом, который требуется выполнить. Например, перейдите в папку CompliancePolicy:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   5. Выполните скрипт экспорта. Например, введите следующую команду:

      .\CompliancePolicy_Export.ps1

      Выполните вход с помощью своей учетной записи. При появлении запроса укажите путь для размещения политик. Например, введите:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

   В папке будут экспортированы политики.

2. Импортируйте политики в новый арендатор:

   1. В PowerShell перейдите в папку с скриптом, который требуется выполнить. Например, перейдите в папку CompliancePolicy:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

   2. Выполните скрипт импорта. Например, введите следующую команду:

      .\CompliancePolicy_Import_FromJSON.ps1

      Выполните вход с помощью своей учетной записи. При появлении запроса укажите путь к файлу политики .json, которую требуется импортировать. Например, введите:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

3. Войдите в Центр администрирования Intune. Отобразятся импортированные политики.

Что нельзя делать

Есть некоторые типы политик, которые нельзя экспортировать. Есть некоторые типы политик, которые можно экспортировать, но их нельзя импортировать в другой арендатор. Руководствуйтесь следующим списком. Помните, что есть и другие типы политик, которых нет в списке.

Тип политики или профиля	Информация
Приложения
Бизнес-приложения Android	❌ Экспорт ❌ Импорт Чтобы добавить бизнес-приложение в новый арендатор, вам также понадобятся оригинальные исходные файлы приложения .apk.
Apple — Volume Purchase Program (VPP)	❌ Экспорт ❌ Импорт Эти приложения синхронизируются с Apple VPP. В новом арендаторе добавьте токен VPP, который отображает доступные приложения.
Бизнес-приложение iOS/iPadOS	❌ Экспорт ❌ Импорт Чтобы добавить бизнес-приложение в новый арендатор, вам также понадобятся оригинальные исходные файлы приложения .ipa.
Управляемый Google Play	❌ Экспорт ❌ Импорт Эти приложения и веб-ссылки синхронизируются с Управляемым Google Play. В новом арендаторе добавьте учетную запись Управляемого Google Play, которая отображает доступные приложения.
Microsoft Store для бизнеса	❌ Экспорт ❌ Импорт Эти приложения синхронизируются с Microsoft Store для бизнеса. В новом арендаторе добавьте учетную запись Microsoft Store для бизнеса, которая отображает доступные приложения.
Приложение Windows (Win32)	❌ Экспорт ❌ Импорт Чтобы добавить бизнес-приложение в новый арендатор, вам также понадобятся оригинальные исходные файлы приложения .intunewin.
Политики соответствия
Действия при несоответствии	❌ Экспорт ❌ Импорт Возможно, есть ссылка на шаблон сообщения электронной почты. При импорте политики, которая содержит действия, не соответствующие требованиям, вместо нее добавляются стандартные действия, выполняемые при несоответствии.
Задания	✔️ Экспорт ❌ Импорт Назначения предназначены для идентификатора группы. В новом арендаторе идентификатор группы отличается.
Профили конфигурации
Электронная почта	✔️ Экспорт ✔️ Если профиль электронной почты не использует сертификаты, импорт должен работать. ❌ Если профиль электронной почты использует корневой сертификат, этот профиль нельзя импортировать в новый арендатор. Идентификатор корневого сертификата отличается в новом арендаторе.
Сертификат SCEP	✔️ Экспорт ❌ Импорт Профили сертификатов SCEP используют корневой сертификат. Идентификатор корневого сертификата отличается в новом арендаторе.
VPN	✔️ Экспорт ✔️ Если профиль VPN не использует сертификаты, импорт должен работать. ❌ Если профиль VPN использует корневой сертификат, этот профиль нельзя импортировать в новый арендатор. Идентификатор корневого сертификата отличается в новом арендаторе.
Wi-Fi	✔️ Экспорт ✔️ Если профиль Wi-Fi не использует сертификаты, импорт должен работать. ❌ Если профиль Wi-Fi использует корневой сертификат, этот профиль нельзя импортировать в новый арендатор. Идентификатор корневого сертификата отличается в новом арендаторе.
Задания	✔️ Экспорт ❌ Импорт Назначения предназначены для идентификатора группы. В новом арендаторе идентификатор группы отличается.
Безопасность конечных точек
Обнаружение и нейтрализация атак на конечные точки	❌ Экспорт ❌ Импорт Эта политика связана с Microsoft Defender для конечной точки. В новом арендаторе вы настраиваете Microsoft Defender для конечной точки, который автоматически включает политику обнаружения и отклика конечной точки.

Дальнейшие действия

• Начало работы с Intune
• Руководства по развертыванию регистрации