Dela via


Migreringsguide: Konfigurera eller flytta till Microsoft Intune

När du har planerat att flytta till Microsoft Intune ska du välja den migreringsmetod som passar din organisation i nästa steg. Dessa beslut beror på din aktuella MDM-miljö (hantering av mobila enheter), affärsmål och tekniska krav.

Den här migreringsguiden visar och beskriver dina alternativ för att införa eller flytta till Intune, bland annat:

  • Du använder inte en lösning för hantering av mobila enheter
  • Du använder en MDM-lösning från tredje part
  • Du använder Configuration Manager
  • Du använder en lokal grupprincip
  • Du använder Microsoft 365 Basic Mobility and Security

Använd den här guiden för att fastställa den bästa migreringsmetoden och få vägledning & rekommendationer.

Tips

Innan du börjar

  • Microsoft Intune är en molnbaserad lösning som hjälper dig att hantera identiteter, enheter och appar. Om målet är att bli molnbaserad kan du läsa mer i följande artiklar:

  • Intune-distributionen kan skilja sig från en tidigare MDM-distribution. Intune använder identitetsdriven åtkomstkontroll. Det krävs ingen nätverksproxy för att komma åt organisationsdata från enheter utanför nätverket.

För närvarande använder inte något

Om du för närvarande inte använder någon MDM- eller MAM-provider (hantering av mobilprogram) har du några alternativ:

Använd för närvarande en MDM-provider från tredje part

Enheter bör bara ha en MDM-provider. Om du använder en annan MDM-provider, till exempel Workspace ONE (tidigare kallat AirWatch), MobileIron eller MaaS360, kan du flytta till Intune.

Användarna måste avregistrera sina enheter från den aktuella MDM-providern innan de registreras i Intune.

  1. Konfigurera Intune, inklusive att ställa in MDM-utfärdare på Intune.

    Mer information finns i:

  2. Distribuera appar och skapa appskyddsprinciper. Tanken är att skydda organisationsdata i dina appar under migreringen och tills enheter registreras & hanteras av Intune.

    Mer information finns i Steg 2 – Lägg till, konfigurera och skydda appar med Intune.

  3. Avregistrera enheter från den aktuella MDM-providern.

    När enheter avregistreras får de inte dina principer, inklusive principer som ger skydd. Enheterna är sårbara tills de registreras i Intune och börjar ta emot dina nya principer.

    Ge användarna specifika avregistreringssteg. Ta med vägledning från din befintliga MDM-provider om hur du avregistrerar enheter. Tydlig och användbar kommunikation minimerar slutanvändarnas stilleståndstid, missnöje och supportsamtal.

  4. Valfritt, men rekommenderas. Om du har Microsoft Entra ID P1 eller P2 använder du även villkorsstyrd åtkomst för att blockera enheter tills de registreras i Intune.

    Mer information finns i Steg 3 – Planera för efterlevnadsprinciper.

  5. Valfritt, men rekommenderas. Skapa en baslinje för kompatibilitet och enhetsinställningar som alla användare och enheter måste ha. Dessa principer kan distribueras när användare registrerar sig i Intune.

    Mer information finns i:

  6. Registrera dig i Intune. Se till att du ger användarna specifika registreringssteg.

    Mer information finns i:

Viktigt

Konfigurera inte Intune och någon befintlig MDM-lösning från tredje part samtidigt för att tillämpa åtkomstkontroller på resurser, inklusive Exchange eller SharePoint.

Rekommendationer:

  • Om du flyttar från en PARTNER MDM/MAM-provider bör du notera de uppgifter som du kör och de funktioner som du använder. Den här informationen ger en uppfattning om vilka uppgifter som också ska utföras i Intune.

  • Använd en stegvis metod. Börja med en liten grupp pilotanvändare och lägg till fler grupper tills du når fullskalig distribution.

  • Övervaka supportavdelningens belastning och lyckade registrering för varje fas. Lämna tid i schemat för att utvärdera framgångskriterierna för varje grupp innan du migrerar nästa grupp.

    Pilotdistributionen bör verifiera följande uppgifter:

    • Antalet lyckade och misslyckade registreringar ligger inom dina förväntningar.

    • Användarproduktivitet:

      • Företagsresurser fungerar, inklusive VPN, Wi-Fi, e-post och certifikat.
      • Distribuerade appar är tillgängliga.
    • Datasäkerhet:

      • Granska efterlevnadsrapporter och leta efter vanliga problem och trender. Kommunicera problem, lösningar och trender med supportavdelningen.
      • Mobilappskydd tillämpas.
  • När du är nöjd med den första migreringsfasen upprepar du migreringscykeln för nästa fas.

    • Upprepa de stegvisa cyklerna tills alla användare migreras till Intune.
    • Bekräfta att supportavdelningen är redo att stödja slutanvändare under hela migreringen. Kör en frivillig migrering tills du kan uppskatta arbetsbelastningen för supportsamtal.
    • Ange inte tidsgränser för registrering förrän supportavdelningen kan hantera alla återstående användare.

Användbar information:

För närvarande använder du Configuration Manager

Configuration Manager stöder Windows-servrar och Windows & macOS-klientenheter. Om din organisation använder andra plattformar kan du behöva återställa enheterna och sedan registrera dem i Intune. När de har registrerats får de de principer och profiler som du skapar. Mer information finns i distributionsguiden för Intune-registrering.

Om du för närvarande använder Configuration Manager och vill använda Intune har du följande alternativ.

Alternativ 1 – Lägg till klientkoppling

Med klientkoppling kan du ladda upp dina Configuration Manager-enheter till din organisation i Intune, även kallat en "klientorganisation". När du har bifogat dina enheter använder du administrationscentret för Microsoft Intune för att köra fjärråtgärder, till exempel synkroniseringsmaskin och användarprincip. Du kan också se dina lokala servrar och hämta os-information.

Klientkoppling ingår i din Configuration Manager-licens för samhantering utan extra kostnad. Det är det enklaste sättet att integrera molnet (Intune) med din lokala Configuration Manager-konfiguration.

Mer information finns i Aktivera klientkoppling.

Alternativ 2 – Konfigurera samhantering

Det här alternativet använder Configuration Manager för vissa arbetsbelastningar och använder Intune för andra arbetsbelastningar.

  1. Konfigurera samhantering i Configuration Manager.
  2. Konfigurera Intune, inklusive att ställa in MDM-utfärdare på Intune.

Enheterna är redo att registreras i Intune och ta emot dina principer.

Användbar information:

Alternativ 3 – Flytta från Configuration Manager till Intune

De flesta befintliga Configuration Manager-kunder vill fortsätta använda Configuration Manager. Den innehåller tjänster som är till nytta för lokala enheter.

De här stegen är en översikt och ingår bara för de användare som vill ha en 100 % molnlösning. Med det här alternativet:

  • Registrera befintliga lokala Active Directory Windows-klientenheter som enheter i Microsoft Entra-ID.
  • Flytta dina befintliga lokala Configuration Manager-arbetsbelastningar till Intune.

Det här alternativet är mer arbete för administratörer, men kan skapa en smidigare upplevelse för befintliga Windows-klientenheter. För nya Windows-klientenheter rekommenderar vi att du börjar från början med Microsoft 365 och Intune (i den här artikeln).

  1. Konfigurera Hybrid Active Directory och Microsoft Entra-ID för dina enheter. Microsoft Entra hybrid-anslutna enheter är anslutna till din lokala Active Directory och registreras med ditt Microsoft Entra-ID. När enheter finns i Microsoft Entra-ID är de också tillgängliga för Intune.

    Microsoft Entra-hybrid-ID stöder Windows-enheter. Andra krav, inklusive inloggningskrav, finns i Planera implementeringen av Microsoft Entra-hybridanslutningen.

  2. Konfigurera samhantering i Configuration Manager.

  3. Konfigurera Intune, inklusive att ställa in MDM-utfärdare på Intune.

  4. I Configuration Manager skjuter du alla arbetsbelastningar från Configuration Manager till Intune.

  5. Avinstallera Configuration Manager-klienten på enheterna. Mer information finns i avinstallera klienten.

    När Intune har konfigurerats kan du skapa en intune-appkonfigurationsprincip som avinstallerar Configuration Manager-klienten. Du kan till exempel ändra stegen i Installera Configuration Manager-klienten med hjälp av Intune.

Enheterna är redo att registreras i Intune och ta emot dina principer.

Viktigt

Hybrid Microsoft Entra ID stöder endast Windows-enheter. Configuration Manager stöder Windows- och macOS-enheter. För macOS-enheter som hanteras i Configuration Manager kan du:

  1. Avinstallera Configuration Manager-klienten. När du avinstallerar tar enheterna inte emot dina principer, inklusive principer som ger skydd. De är sårbara tills de registreras i Intune och börjar ta emot dina nya principer.
  2. Registrera enheterna i Intune för att ta emot principer.

För att minimera sårbarheter flyttar du macOS-enheter när Intune har konfigurerats och när dina registreringsprinciper är redo att distribueras.

Alternativ 4 – Börja från början med Microsoft 365 och Intune

Det här alternativet gäller för Windows-klientenheter. Om du använder Windows Server, till exempel Windows Server 2022, ska du inte använda det här alternativet. Använd Configuration Manager.

Så här hanterar du dina Windows-klientenheter:

  1. Distribuera Microsoft 365, inklusive att skapa användare och grupper. Använd eller konfigurera inte Microsoft 365 Basic Mobility and Security.

    Användbara länkar:

  2. Konfigurera Intune, inklusive att ställa in MDM-utfärdare på Intune.

  3. Avinstallera Configuration Manager-klienten på befintliga enheter. Mer information finns i avinstallera klienten.

Enheterna är redo att registreras i Intune och ta emot dina principer.

Använd för närvarande en lokal grupprincip

I molnet hanterar MDM-leverantörer, till exempel Intune, inställningar och funktioner på enheter. Grupprincipobjekt (GPO) används inte.

När du hanterar enheter ersätter Intunes enhetskonfigurationsprofiler det lokala grupprincipobjektet. Enhetskonfigurationsprofiler använder inställningar som exponeras av Apple, Google och Microsoft.

Exempel:

När du flyttar enheter från en grupprincip använder du Grupprincipanalys. Grupprincipanalys är ett verktyg och en funktion i Intune som analyserar dina grupprincipobjekt. I Intune importerar du dina grupprincipobjekt och ser vilka principer som är tillgängliga (och inte tillgängliga) i Intune. För de principer som är tillgängliga i Intune kan du skapa en princip för inställningskatalogen med de inställningar som du har importerat. Mer information om den här funktionen finns i Skapa en princip för inställningskatalog med dina importerade grupprincipobjekt i Microsoft Intune.

Nästa steg 1: Konfigurera Microsoft Intune.

För närvarande använder du Microsoft 365 Basic Mobility and Security

Om du har skapat och distribuerat Microsoft 365 Basic Mobility and Security-principer kan du migrera användare, grupper och principer till Microsoft Intune.

Mer information finns i Migrera från Microsoft 365 Basic Mobility and Security till Intune.

Migrering mellan klientorganisationer

En klientorganisation är din organisation i Microsoft Entra ID, till exempel Contoso. Den innehåller en dedikerad Microsoft Entra-tjänstinstans som Contoso tar emot när den hämtar en Microsoft-molntjänst, till exempel Microsoft Intune eller Microsoft 365. Microsoft Entra-ID används av Intune och Microsoft 365 för att identifiera användare och enheter, styra åtkomsten till de principer som du skapar med mera.

I Intune kan du exportera och importera några av dina principer med hjälp av Microsoft Graph och Windows PowerShell.

Du kan till exempel skapa en utvärderingsprenumeration för Microsoft Intune. I den här utvärderingsversionen av prenumerationen har du principer som konfigurerar appar och funktioner, kontrollerar efterlevnad med mera. Du vill flytta dessa principer till en annan klientorganisation.

Det här avsnittet visar hur du använder Microsoft Graph-skript för en klientorganisation till klientorganisationsmigrering. Den visar även vissa principtyper som kan eller inte kan exporteras.

Viktigt

  • De här stegen använder Intune beta Graph-exempel på GitHub. Exempelskripten gör ändringar i din klientorganisation. De är tillgängliga i sinom tid och bör verifieras med ett icke-produktions- eller "test"-klientkonto. Se till att skripten uppfyller organisationens säkerhetsriktlinjer.
  • Skripten exporterar inte och importerar inte alla principer, till exempel certifikatprofiler. Förvänta dig att utföra fler uppgifter än vad som är tillgängligt i dessa skript. Du måste återskapa vissa principer.
  • Om du vill migrera en användares enhet måste användaren avregistrera enheten från den gamla klientorganisationen och sedan registrera den i den nya klientorganisationen igen.

Ladda ned exemplen och kör skriptet

Det här avsnittet innehåller en översikt över stegen. Använd de här stegen som vägledning och se till att dina specifika steg kan skilja sig åt.

  1. Ladda ned exemplen och använd Windows PowerShell för att exportera dina principer:

    1. Gå till microsoftgraph/powershell-intune-samples och välj Koda>ladda ned ZIP. Extrahera innehållet i .zip filen.

    2. Öppna Windows PowerShell-appen som administratör och ändra katalogen till din mapp. Ange till exempel följande kommando:

      cd C:\psscripts\powershell-intune-samples-master

    3. Installera AzureAD PowerShell-modulen:

      Install-Module AzureAD

      Välj Y för att installera modulen från en ej betrodd lagringsplats. Installationen kan ta några minuter.

    4. Ändra katalogen till mappen med det skript som du vill köra. Ändra till exempel katalogen till CompliancePolicy mappen:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    5. Kör exportskriptet. Ange till exempel följande kommando:

      .\CompliancePolicy_Export.ps1

      Logga in med ditt konto. När du uppmanas till det anger du sökvägen för att placera principerna. Ange till exempel:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

    I mappen exporteras principerna.

  2. Importera dina principer i din nya klientorganisation:

    1. Ändra katalogen till PowerShell-mappen med det skript som du vill köra. Ändra till exempel katalogen till CompliancePolicy mappen:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    2. Kör importskriptet. Ange till exempel följande kommando:

      .\CompliancePolicy_Import_FromJSON.ps1

      Logga in med ditt konto. När du uppmanas till det anger du sökvägen till den principfil .json som du vill importera. Ange till exempel:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

  3. Logga in på Intune administrationscenter. De principer som du har importerat visas.

Vad du inte kan göra

Det finns vissa principtyper som inte kan exporteras. Det finns vissa principtyper som kan exporteras, men som inte kan importeras till en annan klientorganisation. Använd följande lista som guide. Vet att det finns andra principtyper som inte visas.

Princip- eller profiltyp Information
Program  
Verksamhetsspecifika Android-appar ❌ Export
❌ Import

Om du vill lägga till din LOB-app i en ny klientorganisation behöver du även de ursprungliga .apk programkällfilerna.
Apple – Volyminköpsprogram (VPP) ❌ Export
❌ Import

Dessa appar synkroniseras med Apple VPP. I den nya klientorganisationen lägger du till din VPP-token, som visar dina tillgängliga appar.
Verksamhetsspecifika appar för iOS/iPadOS ❌ Export
❌ Import

Om du vill lägga till din LOB-app i en ny klientorganisation behöver du även de ursprungliga .ipa programkällfilerna.
Hanterat Google Play-konto ❌ Export
❌ Import

Dessa appar och webblänkar synkroniseras med Hanterat Google Play-konto. I den nya klientorganisationen lägger du till ditt hanterade Google Play-konto, som visar dina tillgängliga appar.
Microsoft Store för företag ❌ Export
❌ Import

Dessa appar synkroniseras med Microsoft Store för företag. I den nya klientorganisationen lägger du till ditt Microsoft Store för företag-konto, som visar dina tillgängliga appar.
Windows-app (Win32) ❌ Export
❌ Import

Om du vill lägga till din LOB-app i en ny klientorganisation behöver du även de ursprungliga .intunewin programkällfilerna.
Kompatibilitetsprinciper  
Åtgärder för inkompatibilitet ❌ Export
❌ Import

Det är möjligt att det finns en länk till en e-postmall. När du importerar en princip som har inkompatibilitetsåtgärder läggs standardåtgärderna för inkompatibilitet till i stället.
Uppgifter ✅ Export
❌ Import

Tilldelningar är riktade till ett grupp-ID. I en ny klientorganisation är grupp-ID:t annorlunda.
Konfigurationsprofiler  
E-post ✅ Export

✅ Om en e-postprofil inte använder certifikat bör importen fungera.
❌ Om en e-postprofil använder ett rotcertifikat kan profilen inte importeras till en ny klientorganisation. Rotcertifikatets ID skiljer sig i en ny klientorganisation.
SCEP-certifikat ✅ Export

❌ Import

SCEP-certifikatprofiler använder ett rotcertifikat. Rotcertifikatets ID skiljer sig i en ny klientorganisation.
VPN ✅ Export

✅ Om en VPN-profil inte använder certifikat bör importen fungera.
❌ Om en VPN-profil använder ett rotcertifikat kan profilen inte importeras till en ny klientorganisation. Rotcertifikatets ID skiljer sig i en ny klientorganisation.
Wi-Fi ✅ Export

✅ Om en Wi-Fi profil inte använder certifikat bör importen fungera.
❌ Om en Wi-Fi profil använder ett rotcertifikat kan profilen inte importeras till en ny klientorganisation. Rotcertifikatets ID skiljer sig i en ny klientorganisation.
Uppgifter ✅ Export
❌ Import

Tilldelningar är riktade till ett grupp-ID. I en ny klientorganisation är grupp-ID:t annorlunda.
Slutpunktssäkerhet  
Identifiering och svar av slutpunkt ❌ Export
❌ Import

Den här principen är länkad till Microsoft Defender för Endpoint. I den nya klientorganisationen konfigurerar du Microsoft Defender för Endpoint, som automatiskt innehåller principen för slutpunktsidentifiering och svar .

Nästa steg