迁移指南:设置或移动到Microsoft Intune

  • 项目

在计划迁移到Microsoft Intune后,下一步是选择适合你的组织的迁移方法。 这些决策取决于当前的移动设备管理 (MDM) 环境、业务目标和技术要求。

此迁移指南列出了并介绍了采用或迁移到 Intune 的选项,其中包括:

  • 不使用移动设备管理解决方案
  • 使用第三方合作伙伴 MDM 解决方案
  • 使用 Configuration Manager
  • 使用本地组策略
  • 使用Microsoft 365 基础版移动性和安全性

使用本指南确定最佳迁移方法,并获取一些指导 & 建议。

提示

开始之前

  • Microsoft Intune是一种云原生解决方案,可帮助管理标识、设备和应用。 如果目标是成为云原生,可以在以下文章中了解详细信息:

  • Intune 部署可能不同于以前的 MDM 部署。 Intune 使用标识驱动的访问控制。 它不需要网络代理即可通过网络外部的设备访问组织数据。

当前未使用任何产品

如果当前未使用任何 MDM 或移动应用程序管理 (MAM) 提供程序,则可以选择以下选项:

当前使用第三方 MDM 提供商

设备应仅包含一个 MDM 提供商。 如果使用另一个 MDM 提供程序,例如 Workspace ONE (以前称为 AirWatch) 、MobileIron 或 MaaS360,则可以移动到 Intune。

用户必须先从当前 MDM 提供程序取消注册其设备,然后才能在 Intune 中注册。

  1. 设置 Intune,包括将 MDM 颁发机构设置为 Intune。

    有关详细信息,请转到:

  2. 部署应用并创建应用保护策略。 其思路是帮助在迁移期间保护应用中的组织数据,直到设备注册 & Intune 进行管理。

    有关详细信息,请转到 步骤 2 - 使用 Intune 添加、配置和保护应用

  3. 从当前 MDM 提供程序取消注册设备

    取消注册设备后,这些设备将不会收到策略,包括提供保护的策略。 在设备在 Intune 中注册并开始接收新策略之前,设备易受攻击。

    为用户提供特定的取消注册步骤。 包括现有 MDM 提供商提供的有关如何取消注册设备的指南。 清晰而有用的通信可最大程度地减少最终用户停机时间、不满和支持人员呼叫。

  4. 可选,但建议使用。 如果Microsoft Entra ID P1 或 P2,也请使用条件访问阻止设备,直到设备在 Intune 中注册。

    有关详细信息,请转到 步骤 3 - 规划合规性策略

  5. 可选,但建议使用。 创建所有用户和设备必须具有的合规性和设备设置的基线。 当用户在 Intune 中注册时,可以部署这些策略。

    有关详细信息,请转到:

  6. 在 Intune 中注册。 请确保为用户指定特定的注册步骤。

    有关详细信息,请转到:

重要

不要同时配置 Intune 和任何现有的第三方 MDM 解决方案,以对资源(包括 Exchange 或 SharePoint)应用访问控制。

建议:

  • 如果要从合作伙伴 MDM/MAM 提供程序迁移,请记下正在运行的任务和使用的功能。 此信息可了解在 Intune 中还要执行哪些任务。

  • 使用分阶段方法。 从一小批试验用户开始,然后添加更多组,直到完成全面部署。

  • 监视每个阶段的支持人员负载和注册是否成功。 在计划中预留时间来评估每个组的成功条件,然后再迁移下一组。

    试验部署应验证以下任务:

    • 注册成功率和失败率符合预期。

    • 用户工作效率:

      • 公司资源始终有效,包括 VPN、Wi-Fi、电子邮件和证书。
      • 可以访问已部署的应用。

    • 数据安全性:

      • 查看符合性报告,并查找常见问题和趋势。 与支持人员交流问题、解决方案和趋势。
      • 已应用移动应用保护。

  • 如果对迁移的第一阶段感到满意,请重复迁移周期以执行下一阶段。

    • 重复分阶段周期,直至将所有用户都迁移到 Intune。
    • 确认支持人员可在整个迁移过程中随时为最终用户提供支持。 在可以估计支持调用工作负载之前,请运行自愿迁移。
    • 在支持人员可以处理所有剩余用户之前,不要设置注册截止时间。

有用信息:

当前使用 Configuration Manager

Configuration Manager支持 Windows Server 和 Windows & macOS 客户端设备。 如果组织使用其他平台,则可能需要重置设备,然后在 Intune 中注册它们。 注册后,这些设备将收到你创建的策略和配置文件。 有关详细信息,请参阅 Intune 注册部署指南

如果当前使用 Configuration Manager,并且想要使用 Intune,则可以使用以下选项。

选项 1 - 添加租户附加

使用租户附加,可以将 Configuration Manager 设备上传到你在 Intune 中的组织(也称为“租户”)。 附加设备后,可以使用 Microsoft Intune 管理中心运行远程操作,例如同步计算机和用户策略。 还可以查看本地服务器,以及获取 OS 信息。

租户附加包含在 Configuration Manager 联合管理许可证中,无需额外付费。 这是将云 (Intune) 与本地Configuration Manager设置集成的最简单方法。

有关详细信息,请参阅启用租户附加

选项 2 - 设置共同管理

此选项将 Configuration Manager 用于某些工作负载,并将 Intune 用于其他工作负载。

  1. 在 Configuration Manager 中,设置共同管理
  2. 设置 Intune,包括将 MDM 颁发机构设置为 Intune。

设备已准备好在 Intune 中注册,并接收策略。

有用信息:

选项 3 - 从Configuration Manager移动到 Intune

大多数现有 Configuration Manager 客户都希望继续使用 Configuration Manager。 它包括对本地设备有利的服务。

这些步骤只是一个概述,仅为需要 100% 云解决方案的用户提供。 使用此选项,可以执行以下操作:

  • 将现有本地 Active Directory Windows 客户端设备注册为Microsoft Entra ID 中的设备。
  • 将现有的本地 Configuration Manager 工作负载迁移至 Intune。

此选项更适用于管理员,但可以为现有 Windows 客户端设备创造更无缝的体验。 对于新的 Windows 客户端设备,建议 从头开始使用 Microsoft 365 和 Intune (本文) 。

  1. 为设备设置混合 Active Directory 和Microsoft Entra ID。 Microsoft Entra混合联接设备已加入本地 Active Directory,并使用Microsoft Entra ID 注册。 当设备位于 Microsoft Entra ID 中时,它们也可用于 Intune。

    混合Microsoft Entra ID 支持 Windows 设备。 有关其他先决条件(包括登录要求),请参阅规划Microsoft Entra混合联接实现

  2. 在 Configuration Manager 中,设置共同管理

  3. 设置 Intune,包括将 MDM 颁发机构设置为 Intune。

  4. 在 Configuration Manager 中,将所有工作负载从 Configuration Manager 迁移到 Intune

  5. 在设备上,卸载 Configuration Manager 客户端。 有关详细信息,请参阅卸载客户端

    设置 Intune 之后,可以创建用于卸载 Configuration Manager 客户端的 Intune 应用配置策略。 例如,可以逆向执行使用 Intune 安装 Configuration Manager 客户端中的步骤。

设备已准备好在 Intune 中注册,并接收策略。

重要

混合Microsoft Entra ID 仅支持 Windows 设备。 Configuration Manager 支持 Windows 和 macOS 设备。 对于在 Configuration Manager 中管理的 macOS 设备,可以执行以下操作:

  1. 卸载 Configuration Manager 客户端。 卸载时,设备不会接收策略,包括提供保护的策略。 在他们注册 Intune 并开始接收新策略之前,他们很容易受到攻击。
  2. 在 Intune 中注册设备以接收策略。

为了帮助最大程度地减少漏洞,请在设置 Intune 后以及准备好部署注册策略时移动 macOS 设备。

选项 4 - 从头开始使用 Microsoft 365 和 Intune

此选项适用于 Windows 客户端设备。 如果使用 Windows Server(如 Windows Server 2022),请不要使用此选项。 使用 Configuration Manager。

若要管理 Windows 客户端设备,请执行以下操作:

  1. 部署 Microsoft 365,包括创建用户和组。 请勿使用或配置Microsoft 365 基础版移动性和安全性。

    有用的链接:

  2. 设置 Intune,包括将 MDM 颁发机构设置为 Intune。

  3. 在现有设备上,卸载 Configuration Manager 客户端。 有关详细信息,请参阅卸载客户端

设备已准备好在 Intune 中注册,并接收策略。

当前使用本地组策略

在云中,MDM 提供程序(如 Intune)管理设备上的设置和功能。 不使用组策略对象 (GPO) 。

管理设备时,Intune 设备配置文件将替换本地 GPO。 设备配置文件使用 Apple、Google 和 Microsoft 公开的设置。

具体来说:

从组策略迁移设备时,请使用组策略分析。 组策略分析是 Intune 中用于分析 GPO 的工具和功能。 在 Intune 中,导入 GPO,并查看哪些策略 (可用,哪些策略在 Intune 中不可用) 。 对于 Intune 中可用的策略,可以使用导入的设置创建设置目录策略。 有关此功能的详细信息,请转到在 Microsoft Intune 中使用导入的 GPO 创建设置目录策略

接下来,步骤 1:设置Microsoft Intune

当前使用 Microsoft 365 基础版 移动性和安全性

如果创建并部署了Microsoft 365 基础版移动性和安全性策略,则可以将用户、组和策略迁移到Microsoft Intune。

有关详细信息,请转到从Microsoft 365 基础版移动性和安全性迁移到 Intune

租户到租户迁移

租户是组织Microsoft Entra ID,如 Contoso。 它包括 Contoso 在获取 Microsoft 云服务(如 Microsoft Intune 或 Microsoft 365)时接收的专用Microsoft Entra服务实例。 Microsoft Entra ID 由 Intune 和 Microsoft 365 用于标识用户和设备,控制对所创建策略的访问等。

在 Intune 中,可以使用 Microsoft Graph 和 Windows PowerShell 导出和导入一些策略。

例如,你创建了 Microsoft Intune 试用订阅。 在此订阅试用租户中,你有用于配置应用和功能、检查合规性等的策略。 你要将这些策略迁移到另一个租户中。

本部分演示如何使用 Microsoft Graph 脚本进行租户到租户的迁移。 它还列出了一些可以或不能导出的策略类型。

重要

  • 这些步骤使用了 GitHub 上的 Intune Beta Graph 示例。 示例脚本对你的租户进行了更改。 它们按原样提供,应使用非生产或“测试”租户帐户进行验证。 请确保脚本符合组织的安全准则。
  • 脚本不会导出和导入每个策略,如证书配置文件。 应执行超过这些脚本能力范围的更多任务。 你将不得不重新创建一些策略。
  • 若要迁移用户的设备,用户必须从旧租户中取消注册设备,然后在新租户中重新注册。

下载示例并运行脚本

此部分对这些步骤进行了概述。 使用这些步骤作为指导,并知道你的特定步骤可能有所不同。

  1. 下载示例,并使用 Windows PowerShell 来导出策略:

    1. 转到 microsoftgraph/powershell-intune-samples,然后依次选择“代码”>“下载 ZIP”。 提取 .zip 文件的内容。

    2. 以管理员身份打开 Windows PowerShell 应用,并将目录更改为你的文件夹。 例如,输入以下命令:

      cd C:\psscripts\powershell-intune-samples-master

    3. 安装 AzureAD PowerShell 模块:

      Install-Module AzureAD

      选择“Y”,以从不受信任的存储库中安装模块。 安装可能需要几分钟的时间。

    4. 将目录更改为包含要运行的脚本的文件夹。 例如,将目录更改为 CompliancePolicy 文件夹:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    5. 运行导出脚本。 例如,输入以下命令:

      .\CompliancePolicy_Export.ps1

      使用你的帐户登录。 当出现提示时,输入放置策略的路径。 例如,输入:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

    此时,策略在你的文件夹中导出。

  2. 将策略导入新租户中:

    1. 将目录更改为包含要运行的脚本的 PowerShell 文件夹。 例如,将目录更改为 CompliancePolicy 文件夹:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    2. 运行导入脚本。 例如,输入以下命令:

      .\CompliancePolicy_Import_FromJSON.ps1

      使用你的帐户登录。 当出现提示时,输入要导入的策略 .json 文件的路径。 例如,输入:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

  3. 登录到 Intune 管理中心。 此时,你导入的策略显示。

不能执行的操作

有一些策略类型不能导出。 有一些策略类型可以导出,但不能导入到不同的租户中。 请使用下面的列表作为指导。 要知道还有其他没有列出的策略类型。

策略或配置文件类型 信息
应用  
Android 业务线应用 ❌ 导出
❌ 导入

若要将 LOB 应用添加到新租户中,还需要原始的 .apk 应用程序源文件。
Apple – Volume Purchase Program (VPP) ❌ 导出
❌ 导入

这些应用与 Apple VPP 同步。 在新租户中,添加 VPP 令牌,它显示可用的应用。
iOS/iPadOS 业务线应用 ❌ 导出
❌ 导入

若要将 LOB 应用添加到新租户中,还需要原始的 .ipa 应用程序源文件。
托管 Google Play ❌ 导出
❌ 导入

这些应用和 Web 链接与托管 Google Play 同步。 在新租户中,添加托管 Google Play 帐户,它显示可用的应用。
适用于企业的 Microsoft Store ❌ 导出
❌ 导入

这些应用与适用于企业的 Microsoft Store 同步。 在新租户中,添加适用于企业的 Microsoft Store 帐户,它显示可用的应用。
Windows 应用 (Win32) ❌ 导出
❌ 导入

若要将 LOB 应用添加到新租户中,还需要原始的 .intunewin 应用程序源文件。
合规性策略  
纠正不合规性的操作 ❌ 导出
❌ 导入

可能会有指向电子邮件模板的链接。 如果你导入包含不合规性操作的策略,则改为添加纠正不合规性的默认操作。
作业 ✔️ 导出
❌ 导入

分配以组 ID 为目标。 在新租户中,组 ID 是不同的。
配置文件  
电子邮件 ✔️ 导出

✔️ 如果电子邮件配置文件不使用证书,则应能正常导入。
❌ 如果电子邮件配置文件使用根证书,则无法将配置文件导入到新租户中。 在新租户中,根证书 ID 是不同的。
SCEP 证书 ✔️ 导出

❌ 导入

SCEP 证书配置文件使用根证书。 在新租户中,根证书 ID 是不同的。
VPN ✔️ 导出

✔️ 如果 VPN 配置文件不使用证书,则应能正常导入。
❌ 如果 VPN 配置文件使用根证书,则无法将配置文件导入到新租户中。 在新租户中,根证书 ID 是不同的。
Wi-Fi ✔️ 导出

✔️ 如果 Wi-Fi 配置文件不使用证书,则应能正常导入。
❌ 如果 Wi-Fi 配置文件使用根证书,则无法将配置文件导入到新租户中。 在新租户中,根证书 ID 是不同的。
作业 ✔️ 导出
❌ 导入

分配以组 ID 为目标。 在新租户中,组 ID 是不同的。
终结点安全  
终结点检测和响应 ❌ 导出
❌ 导入

此策略已链接到 Microsoft Defender for Endpoint。 在新租户中,配置 Microsoft Defender for Endpoint,它自动包含“终结点检测和响应”策略。

后续步骤