从Microsoft 365 基础版移动性和安全性迁移到 Intune

Microsoft 365 包括一组基本的策略，用于保护设备和保护 Microsoft 365 应用（如 Outlook）。 这些策略在 Microsoft Defender 门户中进行管理，称为“基本移动性和安全性”。 有关基本移动性和安全性提供的功能的详细信息，请转到基本移动性和安全性的功能。

许多组织需要更多或更高级别的设备管理功能。 具体而言，他们需要Microsoft Intune中包含的功能。 有关功能的比较，请转到在基本移动性和安全性或 Intune 之间进行选择。

可以从基本移动性和安全性迁移到Microsoft Intune。 迁移到 Intune 需要执行以下主要步骤：

1. 准备：

   查看 Intune 许可证、基本移动性和安全性策略、组成员身份和设备以简化迁移。

2. 评估和迁移现有策略：

   使用 Microsoft Intune 管理中心中的迁移评估。 输出显示替换基本移动性和安全性策略的 Intune 策略和组建议。

3. 分配策略并完成迁移：

   将许可证分配给用户或组，这将在下一个刷新周期自动将用户切换到 Intune 设备管理。

本文可帮助你将移动设备管理 (MDM) 从Microsoft 365 基础版移动性和安全性迁移到Microsoft Intune。

开始之前

• 登录到 Intune 管理中心时，请使用具有Microsoft Entra全局管理员或许可证管理员权限的帐户。

• 对已在 基本移动性和安全性 中注册设备的测试用户组测试本文中的步骤。 确认策略的行为与预期一致。

• 迁移到 Intune 后，使用 基本移动性和安全性 部署的现有设备安全策略将被永久冻结。

• 分配 Intune 许可证会影响迁移过程。 许可证分配控制设备从基本移动性和安全性到 Intune 的迁移。

  已分配有 Intune 许可证的用户可以立即开始接收策略，可能比你预期的要快。 即使基本移动性和安全性以前未管理用户或设备，也会发生策略。

  若要防止此行为，可以在迁移之前取消分配 Intune 许可证。 还可以创建单独的组来帮助管理策略的部署时间：

  • 组 1：已分配有 Intune 许可证的用户
  • 组 2：未分配 Intune 许可证的用户

  然后，可以将迁移基本移动性和安全性设备安全策略分配给未分配 Intune 许可证的用户。

步骤 1 - 准备

在从基本移动性和安全性设备管理迁移到 Intune 设备管理之前：

1. 请确保有足够的 Intune 许可证来涵盖由 基本移动性和安全性 管理的所有用户。

2. 在 Microsoft Defender 门户中查看设备安全策略。 删除不再需要的任何策略。 删除不需要的策略可以减少 Intune 迁移评估创建的建议数。 这样做的目的是在迁移评估后减少要审查的建议。

3. 查看当前分配的设备安全策略 的组的成员身份 。

   如果这些组包括已获得 Intune 许可的用户，则可以比预期更快地获得策略分配。 有关现有 Intune 许可证的影响的详细信息，请转到本文) (之前 。

4. 查看当前在基本移动性和安全性中注册的设备类型。 不受支持的 OS 版本和变体 可能继续工作，但如果迁移到 Intune，则不支持它们。

   应用于不受支持的操作系统的设置不会移动到 Intune。 如果用户已获得 Intune 许可，则其设备将丢失Microsoft Defender门户中设备安全策略设置的任何配置。

5. 迁移前：

   • 不要将 Intune 许可证分配给设备由 基本移动性和安全性 管理的用户。
   • 不要分配 Intune 许可证来启用 应用保护策略，也称为移动应用程序管理 (MAM) 。

   仅在策略迁移完成后向用户分配 Intune 许可证。 有关 Intune 许可证的影响的详细信息，请转到本文) (之前 。

6. 可能需要创建新的 Intune 策略来替换基本移动性和安全性策略。 有关最小基本策略集的详细信息，请转到 Intune 入门。

迁移评估过程激活后，无法在Microsoft Defender门户中更改设备安全策略。 现有基本移动性和安全性策略仍会强制执行，但不会保存对这些现有策略所做的更改。

重要

如果你有以下任何产品或服务，请在继续操作之前联系支持团队：

• 企业移动性 + 安全性 A3（教职员工）
• 企业移动性 + 安全性 A3（学生）
• 企业移动性 + 安全性 A3（学生使用权益）
• 企业移动性 + 安全性 A5（教职员工）
• 企业移动性 + 安全性 A5（学生）
• 企业移动性 + 安全性 A5（学生使用权益）
• Intune 教育版
• Intune for Education 加载项
• Microsoft Intune for Education（教职员工）
• Microsoft Intune for Education（学生）
• Microsoft Intune for Education（预付设备）

步骤 2 - 评估和迁移现有策略

准备好许可证并查看步骤 1 - 准备中的信息后，请使用Microsoft Intune管理中心迁移评估获取 Intune 策略建议。

该工具可以将现有基本移动性和安全性设备安全策略作为合规性策略和设备配置文件迁移到 Intune。 它还针对应为哪些组分配新策略提出建议。

这些 Intune 建议旨在复制基本移动性和安全性策略。 你需要查看这些建议 ，以确保它们反映旧策略。

若要评估策略并将其从 基本移动性和安全性 迁移到 Intune，请执行以下操作：

1. 完成本文 (步骤 1 - 准备 部分中的步骤) 。

2. 打开 “迁移评估> ”，选择“ 开始”。 完成评估需要几分钟时间。

   注意

   • 如果离开迁移评估，则返回的唯一方法是再次打开 迁移评估 链接。
   • 开始迁移评估后，无法在Microsoft Defender门户中创建新的设备安全策略或编辑现有设备安全策略。

3. 选择“建议”。

   此页显示基于基本移动性和安全性策略的 Intune 策略建议。 建议是只读的，无法更改。

   每个建议的名称都有一个基于基本移动性和安全性策略名称的前缀。 你需要查看列表中的每个项，如以下示例所示：

   

   • 并非所有设备设置都与 Intune 设置和值完全对应。 因此，无法通过精确的一对一映射来移动它们。 你需要查看并可能调整这些设置。
   • 控制Office 365服务的条件访问 (CA) 设置与 Microsoft Entra ID 中的 CA 策略相同。 因此，除非你愿意，否则不需要查看或更改它们。

4. 选择列表项。 此时会打开 “符合性策略建议概述 ”页。 查看说明。

5. 选择 “详细信息 ”以查看建议的设置和组分配：

   

   此页上的策略建议是一个只读报表，记录要使用的建议设置和分配。 它们尚不是 Intune 策略。

   查看建议时，请记住以下几点：

   • 如果建议中列出的组已分配有 Intune 策略，则这些策略可能与建议的设置冲突。 若要了解如何在 Intune 中处理冲突，请转到使用 Microsoft Intune 中的设备策略和配置文件的常见问题和解答。

     注意

     如果你对已迁移的电子邮件配置文件进行任何更改或无法将它们分配到建议的组，则在设备迁移到 Intune 时，用户可能会被要求重新输入其用户名和密码以访问其设备上的电子邮件。 有关详细信息，请转到 配置的策略映射。

   • 如果建议的组中已有 Intune 许可的用户，请验证建议的策略是否适合这些用户。 将策略分配给这些组后，组中的所有 Intune 许可用户都会收到策略，即使是以前未由 基本移动性和安全性 管理的用户。

     注意

     对于 Windows 操作系统，只有 Windows 10/11 桌面设备会为其迁移策略。 其他版本的 Windows 不会迁移策略。 有关详细信息，请参阅访问要求策略映射和配置策略映射。

6. 如果要实现建议的策略，请选择“ 打开策略”。 策略页随即打开，并创建 Intune 策略。 可以更改或更新迁移的策略。

   注意

   如果删除策略，则从建议页打开 策略 链接将不起作用。

此时，策略已创建，但尚未执行任何操作。 下一步是将策略分配给建议的组或所选的其他组。

步骤 3 - 分配策略并完成迁移

创建策略后，即可进行分配。 若要完成此迁移，必须完成这三个操作：分配组、启用共存和分配 Intune 许可证。

1. 将建议的组分配给 策略。 选择“分配”旁边的“打开策略>属性>编辑 () > 使用分配工作流来分配组。

   分配组时，新迁移的 Intune 策略会替换 基本移动性和安全性 中配置的设备设置。 如果不分配组，则当用户获得 Intune 许可时，由 基本移动性和安全性 管理的设备可能会丢失设置和电子邮件配置。 请记住，Intune 许可证分配是设备从 基本移动性和安全性 迁移到 Intune 设备管理的关键步骤。

   有关现有 Intune 许可证的影响的详细信息，请转到本文) (之前 。

2. 使用Microsoft Entra全局管理员或许可证管理员权限登录到 Microsoft Intune 管理中心。

3. 启用 共存。 启用时：

   • 具有现有 Intune 许可证的用户会立即移动到 Intune，并在下一个 Intune 刷新周期应用新迁移的策略。
   • 对于没有 Intune 许可证的用户，共存是迁移过程的第二步。 在下一步中，它们将移动到 Intune。

4. 对于没有 Intune 许可证的用户， 请将 Intune 许可证分配给 要迁移的用户。 选项包括：

   • 向用户分配许可证。 有关详细信息，请转到 向用户分配许可证。
   • 向组分配许可证。 有关详细信息，请转到 将许可证分配给组。

   有关在 Intune 中分配许可证的详细信息，请转到 向用户分配许可证，以便他们可以在 Intune 中注册设备。

此时，关键步骤已完成：

1. 策略将分配给组。
2. Intune 中启用了共存。
3. 已分配 Intune 许可证。

在下一个 Intune 设备刷新周期中，设备会自动切换到 Intune 管理，新策略开始影响用户设备。

我只是做什么？

本部分介绍从 基本移动性和安全性 迁移到 Intune 时在后台发生的情况。

• 策略映射到 Intune 策略。 有关 迁移评估迁移的策略的映射参考，请转到：

  • 从基本移动性和安全性到 Intune 的访问要求策略映射
  • 从基本移动性和安全性到 Intune 的配置策略映射
  • 从基本移动性和安全性到 Intune 的其他策略映射

• 完成迁移后，迁移的策略将位于管理中心Microsoft Intune。 新策略包括合规性策略、设备配置文件和条件访问策略。 新策略位于以下位置：

  Intune 策略类型	Intune 位置
  合规性策略 将设备设置指定为访问要求。	Microsoft Intune Microsoft Intune管理中心>设备>合规性
  配置文件 指定不属于访问要求的其他设置，包括电子邮件配置文件。	Microsoft Intune管理中心>设备>配置
  条件访问策略 Microsoft Entra条件访问阻止访问（如果设置不符合）。	Microsoft Intune管理中心>设备>条件访问>经典策略

已知问题

始终显示“启动”按钮

每次打开Microsoft Intune管理中心迁移评估时，都会显示“开始”按钮，即使评估已生成也是如此。 如果关闭 “开始” 提示，则不会加载以前生成的建议。

解决方法：再次启动评估。 它不会创建更多或重复的建议或策略。 重新运行迁移会检测到评估已成功，并加载前面的建议。

擦除设备之前登录失败次数设置未迁移

擦除设备之前的登录失败次数设置不会迁移到 Intune。

解决方法：如果在基本移动性和安全性策略中启用了此设置，则必须将此设置手动添加到 Intune 设备配置文件中。 有关可在 Intune 中配置的类似设置的详细信息，请转到：

• Android Enterprise 公司拥有的设备：允许或限制功能的设置列表
• Android Enterprise 个人拥有的设备：允许或限制功能的设置列表
• iOS/iPadOS 设备：允许或限制功能的设置列表
• Windows 10/11 设备：允许或限制功能的设置列表

后续步骤

• 什么是 Intune？
• Intune 入门