移轉指南:設定或移至 Microsoft Intune

  • 發行項

規劃移至 Microsoft Intune 之後,下一個步驟是選擇適合您組織的移轉方法。 這些決策取決於您目前的行動裝置管理 (MDM) 環境、商務目標和技術需求。

本移轉指南會列出並說明採用或移至 Intune 的選項,包括:

  • 您不使用行動裝置管理解決方案
  • 您使用第三方合作夥伴 MDM 解決方案
  • 您使用 Configuration Manager
  • 您使用內部部署組策略
  • 您使用 Microsoft 365 基本版 行動性與安全性

使用本指南來判斷最佳的移轉方法,並取得一些 & 建議的指引。

提示

開始之前

  • Microsoft Intune 是雲端原生解決方案,可協助管理身分識別、裝置和應用程式。 如果您的目標是要成為雲端原生,您可以在下列文章中深入瞭解:

  • 您的 Intune 部署可能與先前的 MDM 部署不同。 Intune 會使用身分識別驅動的訪問控制。 它不需要網路 Proxy,即可從網路外部的裝置存取組織數據。

目前不使用任何專案

如果您目前未使用任何 MDM 或行動應用程式管理 (MAM) 提供者,則您有一些選項:

目前使用第三方 MDM 提供者

裝置應該只有一個 MDM 提供者。 如果您使用另一個 MDM 提供者,例如工作區 ONE (先前稱為 AirWatch) 、MobileIron 或 MaaS360,則可以移至 Intune。

用戶必須先從目前的 MDM 提供者取消註冊其裝置,才能在 Intune 中註冊。

  1. 設定 Intune,包括將 MDM 授權單位設定為 Intune。

    如需詳細資訊,請移至:

  2. 部署應用程式並建立應用程式保護原則。 其概念是在移轉期間協助保護應用程式中的組織數據,直到裝置註冊 & 由 Intune 管理。

    如需詳細資訊,請移至 步驟 2 - 使用 Intune 新增、設定及保護應用程式

  3. 從目前的 MDM 提供者取消註冊裝置

    當裝置取消註冊時,它們不會收到您的原則,包括提供保護的原則。 裝置會受到攻擊,直到它們在Intune中註冊並開始接收您的新原則為止。

    為使用者提供特定的取消註冊步驟。 包含您現有 MDM 提供者關於如何取消註冊裝置的指引。 清楚且實用的通訊可將使用者停機、情緒低落和技術服務人員通話降至最低。

  4. 選擇性,但建議使用。 如果您 Microsoft Entra標識碼 P1 或 P2,也請使用條件式存取來封鎖裝置,直到裝置在 Intune 中註冊為止。

    如需詳細資訊,請移至 步驟 3 – 規劃合規性政策

  5. 選擇性,但建議使用。 建立所有使用者和裝置都必須具備的合規性和裝置設定基準。 當使用者在 Intune 中註冊時,可以部署這些原則。

    如需詳細資訊,請移至:

  6. 在 Intune 中註冊。 請務必為使用者提供特定的註冊步驟。

    如需詳細資訊,請移至:

重要事項

請勿同時設定 Intune 和任何現有的第三方 MDM 解決方案,以將訪問控制套用至資源,包括 Exchange 或 SharePoint。

建議:

  • 如果您要從合作夥伴 MDM/MAM 提供者移動,請記下您正在執行的工作和您使用的功能。 此資訊可讓您瞭解在 Intune 中也要執行哪些工作。

  • 使用階段式方法。 從一小組試驗用戶開始,並新增更多群組,直到您達到完整部署為止。

  • 監視每個階段的技術服務人員載入和註冊成功。 移轉下一個群組之前,請保留排程中的時間來評估每個群組的成功準則。

    您的試驗部署應該驗證下列工作:

    • 註冊成功率和失敗率都符合您的預期。

    • 用戶生產力:

      • 公司資源正常運作,包括 VPN、Wi-Fi、電子郵件和憑證。
      • 已部署的應用程式可供存取。

    • 資料安全性:

      • 檢閱合規性報告,並尋找常見問題和趨勢。 與技術支持人員溝通問題、解決方式和趨勢。
      • 套用行動應用程式保護。

  • 當您滿意移轉的第一個階段時,請針對下一個階段重複移轉週期。

    • 重複分階段迴圈,直到所有使用者都移轉至 Intune 為止。
    • 確認技術服務人員已準備好在整個移轉期間支援終端使用者。 執行自願性移轉,直到您可以估計支援通話工作負載為止。
    • 在您的技術服務人員可以處理所有剩餘的使用者之前,請勿設定註冊的期限。

實用資訊:

目前使用 Configuration Manager

Configuration Manager 支援 Windows Server 和 Windows & macOS 用戶端裝置。 如果您的組織使用其他平臺,您可能需要重設裝置,然後在 Intune 中註冊它們。 註冊之後,他們會收到您建立的原則和配置檔。 如需詳細資訊,請參閱 Intune 註冊部署指南

如果您目前使用 Configuration Manager,而且想要使用 Intune,則您有下列選項。

選項 1 - 新增租使用者附加

租使用者附加可讓您將 Configuration Manager 裝置上傳至 Intune 中的組織,也稱為「租使用者」。 鏈接裝置之後,您可以使用 Microsoft Intune 系統管理中心來執行遠端動作,例如同步處理機器和用戶原則。 您也可以查看內部部署伺服器,並取得作業系統資訊。

租用戶附加隨附於您的 Configuration Manager 共同管理授權,而不需額外的費用。 這是整合雲端 (Intune) 與內部部署 Configuration Manager 設定的最簡單方式。

如需詳細資訊,請參閱 啟用租使用者附加

選項 2 - 設定共同管理

此選項會針對某些工作負載使用 Configuration Manager,並針對其他工作負載使用 Intune。

  1. 在 Configuration Manager 中,設定共同管理
  2. 設定 Intune,包括將 MDM 授權單位設定為 Intune。

裝置已準備好在 Intune 中註冊,並接收您的原則。

實用資訊:

選項 3 - 從 Configuration Manager 移至 Intune

大部分的現有 Configuration Manager 客戶都想要繼續使用 Configuration Manager。 它包含對內部部署裝置有幫助的服務。

這些步驟是概觀,而且只包含給想要 100% 雲端解決方案的使用者。 使用此選項,您可以:

  • 將現有的 內部部署的 Active Directory Windows 用戶端裝置註冊為 Microsoft Entra 識別碼中的裝置。
  • 將現有的內部部署 Configuration Manager 工作負載移至 Intune。

此選項更適用於系統管理員,但可以為現有的 Windows 用戶端裝置建立更順暢的體驗。 針對新的 Windows 用戶端裝置,建議您 從頭開始使用本文中的 Microsoft 365 和 Intune () 。

  1. 為您的裝置設定混合式 Active Directory 和 Microsoft Entra 識別碼。 Microsoft Entra 混合式加入裝置會加入您的 內部部署的 Active Directory,並使用您的 Microsoft Entra 標識符註冊。 當裝置位於 Microsoft Entra 標識符時,Intune 也可使用它們。

    混合式 Microsoft Entra標識碼支援 Windows 裝置。 如需其他必要條件,包括登入需求,請參閱規劃您的 Microsoft Entra 混合式聯結實作

  2. 在 Configuration Manager 中,設定共同管理

  3. 設定 Intune,包括將 MDM 授權單位設定為 Intune。

  4. 在 Configuration Manager 中,將所有工作負載從 Configuration Manager 滑到 Intune

  5. 在裝置上,卸載 Configuration Manager 用戶端。 如需詳細資訊,請 參閱卸載用戶端

    設定 Intune 之後,您可以建立 Intune 應用程式設定原則,以卸載 Configuration Manager 用戶端。 例如,您可以使用 Intune 來反轉安裝 Configuration Manager 用戶端中的步驟。

裝置已準備好在 Intune 中註冊,並接收您的原則。

重要事項

混合式 Microsoft Entra標識碼僅支援 Windows 裝置。 Configuration Manager 支援 Windows 和 macOS 裝置。 針對在 Configuration Manager 中管理的 macOS 裝置,您可以.

  1. 卸載 Configuration Manager用戶端。 當您卸載時,裝置不會收到您的原則,包括提供保護的原則。 在 Intune 中註冊並開始接收您的新原則之前,他們很容易受到攻擊。
  2. 在 Intune 中註冊裝置以接收原則。

若要協助將弱點降至最低,請在設定 Intune 之後,以及您的註冊原則準備好部署時移動macOS裝置。

選項 4 - 從頭開始使用 Microsoft 365 和 Intune

此選項適用於 Windows 用戶端裝置。 如果您使用 Windows Server,例如 Windows Server 2022,請勿使用此選項。 使用 Configuration Manager。

若要管理您的 Windows 用戶端裝置:

  1. 部署 Microsoft 365,包括建立使用者和群組。 請勿使用或設定 Microsoft 365 基本版 行動性與安全性。

    實用的連結:

  2. 設定 Intune,包括將 MDM 授權單位設定為 Intune。

  3. 在現有的裝置上,卸載 Configuration Manager 用戶端。 如需詳細資訊,請 參閱卸載用戶端

裝置已準備好在 Intune 中註冊,並接收您的原則。

目前使用內部部署組策略

在雲端中,MDM 提供者,例如 Intune,會管理裝置上的設定和功能。 不會使用 GPO) (組策略物件。

當您管理裝置時,Intune 裝置組態配置檔會取代內部部署 GPO。 裝置組態配置檔會使用Apple、Google和 Microsoft 公開的設定。

特別是:

從組策略行動裝置時,請使用 組策略分析。 群組原則 分析是 Intune 中分析 GPO 的工具和功能。 在 Intune 中,您會匯入 GPO,並查看哪些原則可在 Intune 中 (使用,) 無法使用。 針對 Intune 中可用的原則,您可以使用您匯入的設定來建立設定目錄原則。 如需此功能的詳細資訊,請移至在 Microsoft Intune 中使用匯入的 GPO 建立設定目錄原則

接下來,步驟 1:設定 Microsoft Intune

目前使用 Microsoft 365 基本版 行動性與安全性

如果您建立並部署 Microsoft 365 基本版 行動和安全策略,則可以將使用者、群組和原則移轉至 Microsoft Intune。

如需詳細資訊,請移至從行動 Microsoft 365 基本版 安全性移轉至 Intune

租用戶到租用戶的遷移

租使用者是您組織 Microsoft Entra 標識符,例如 Contoso。 它包含 Contoso 在取得 Microsoft 雲端服務時所收到的專用 Microsoft Entra 服務實例,例如 Microsoft Intune 或 Microsoft 365。 Microsoft Entra 標識碼是由 Intune 和 Microsoft 365 用來識別使用者和裝置、控制您所建立原則的存取權等等。

在 Intune 中,您可以使用 Microsoft Graph 和 Windows PowerShell 匯出和匯入部分原則。

例如,您會建立 Microsoft Intune 試用訂用帳戶。 在此訂用帳戶試用租使用者中,您有設定應用程式和功能、檢查合規性等原則。 您想要將這些原則移至另一個租使用者。

本節說明如何使用 Microsoft Graph 腳本將租使用者移轉至租使用者。 它也會列出一些可以或無法導出的原則類型。

重要事項

  • 這些步驟會使用 GitHub 上的 Intune beta Graph 範例 。 範例腳本會對您的租用戶進行變更。 它們可以原樣使用,而且應該使用非生產或「測試」租用戶帳戶進行驗證。 請確定腳本符合貴組織的安全性指導方針。
  • 腳本不會匯出和匯入每個原則,例如憑證配置檔。 預期會執行比這些腳本中可用更多的工作。 您必須重新建立一些原則。
  • 若要移轉使用者的裝置,用戶必須從舊租使用者取消註冊裝置,然後重新註冊新的租使用者。

下載範例並執行腳本

本節包含步驟的概觀。 請使用這些步驟作為指引,並知道您的特定步驟可能不同。

  1. 下載範例,並使用 Windows PowerShell 匯出您的原則:

    1. 移至 microsoftgraph/powershell-intune-samples,選取 [ 程式代碼>下載 ZIP]。 擷取檔案的內容 .zip

    2. 以系統管理員身分開啟 Windows PowerShell 應用程式,並將目錄變更為您的資料夾。 例如,輸入下列命令:

      cd C:\psscripts\powershell-intune-samples-master

    3. 安裝 AzureAD PowerShell 模組:

      Install-Module AzureAD

      選取 [Y ] 以從不受信任的存放庫安裝模組。 安裝可能需要幾分鐘的時間。

    4. 使用您想要執行的文稿,將目錄變更為資料夾。 例如,將目錄變更為 CompliancePolicy 資料夾:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    5. 執行匯出腳本。 例如,輸入下列命令:

      .\CompliancePolicy_Export.ps1

      使用您的帳戶登入。 出現提示時,請輸入放置原則的路徑。 例如,輸入:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

    在您的資料夾中,會匯出原則。

  2. 在新的租用戶中匯入原則:

    1. 使用您想要執行的腳本,將目錄變更為 PowerShell 資料夾。 例如,將目錄變更為 CompliancePolicy 資料夾:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    2. 執行匯入腳本。 例如,輸入下列命令:

      .\CompliancePolicy_Import_FromJSON.ps1

      使用您的帳戶登入。 出現提示時,輸入您要匯入的原則 .json 檔案路徑。 例如,輸入:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

  3. 登入 Intune 系統管理中心。 系統會顯示您匯入的原則。

您無法執行的動作

有些原則類型無法匯出。 有一些原則類型可以匯出,但無法匯入至不同的租使用者。 使用下列清單作為指南。 知道還有其他未列出的原則類型。

原則或配置檔類型 Information
應用程式  
Android 企業營運應用程式 ❌ 出口
❌ 進口

若要將 LOB 應用程式新增至新的租使用者,您也需要原始 .apk 應用程式來源檔案。
Apple – VPP (大量採購方案) ❌ 出口
❌ 進口

這些應用程式會與 Apple VPP 同步。 在新的租使用者中,您會新增 VPP 令牌,以顯示可用的應用程式。
iOS/iPadOS 企業營運應用程式 ❌ 出口
❌ 進口

若要將 LOB 應用程式新增至新的租使用者,您也需要原始 .ipa 應用程式來源檔案。
受控Google Play ❌ 出口
❌ 進口

這些應用程式和 Web 連結會與受控 Google Play 同步。 在新的租使用者中,您會新增受控 Google Play 帳戶,以顯示可用的應用程式。
商務用 Microsoft Store ❌ 出口
❌ 進口

這些應用程式會與 商務用 Microsoft Store 同步處理。 在新的租使用者中,您會新增 商務用 Microsoft Store 帳戶,以顯示可用的應用程式。
Windows 應用程式 (Win32) ❌ 出口
❌ 進口

若要將 LOB 應用程式新增至新的租使用者,您也需要原始 .intunewin 應用程式來源檔案。
合規性原則  
不符合規範的動作 ❌ 出口
❌ 進口

可能會有電子郵件範本的連結。 當您匯入具有不符合規範動作的原則時,會改為新增不符合規範的默認動作。
作業 ✔️ 出口
❌ 進口

指派的目標為群組標識碼。 在新租使用者中,群組標識符不同。
組態配置檔  
電子郵件 ✔️ 出口

✔️ 如果電子郵件設置檔未使用憑證,則匯入應該可以運作。
❌ 如果電子郵件設置檔使用跟證書,則無法將配置檔匯入至新的租使用者。 新租使用者中的跟證書標識碼不同。
SCEP 憑證 ✔️ 出口

❌ 進口

SCEP 憑證配置檔會使用跟證書。 新租使用者中的跟證書標識碼不同。
VPN ✔️ 出口

✔️ 如果 VPN 設定檔未使用憑證,則匯入應該可以運作。
❌ 如果 VPN 設定檔使用跟證書,則無法將設定檔匯入至新的租使用者。 新租使用者中的跟證書標識碼不同。
Wi-Fi ✔️ 出口

✔️ 如果 Wi-Fi 配置檔未使用憑證,則匯入應該可以運作。
❌ 如果 Wi-Fi 配置檔使用跟證書,則無法將配置檔匯入至新的租使用者。 新租使用者中的跟證書標識碼不同。
作業 ✔️ 出口
❌ 進口

指派的目標為群組標識碼。 在新租使用者中,群組標識符不同。
端點安全性  
端點偵測及回應 ❌ 出口
❌ 進口

此原則會連結至 適用於端點的 Microsoft Defender。 在新的租使用者中,您會設定 適用於端點的 Microsoft Defender,這會自動包含端點偵測和響應原則。

後續步驟