从Microsoft 365 基础版移动性和安全性迁移到Intune

Microsoft 365 包括一组基本策略，用于保护设备和保护 Microsoft 365 应用（如 Outlook）。 这些策略在 Microsoft Defender 门户中进行管理，称为“基本移动性和安全性”。 有关基本移动性和安全性提供的功能的详细信息，请转到基本移动性和安全性的功能。

许多组织需要更多或更高级别的设备管理功能。 具体而言，他们需要Microsoft Intune中包含的功能。 有关功能的比较，请转到在基本移动性和安全性或Intune之间进行选择。

可以从基本移动性和安全性迁移到Microsoft Intune。 迁移到 Intune 需要执行以下主要步骤：

1. 准备：

   查看Intune许可证、基本移动性和安全性策略、组成员身份和设备，以简化迁移。

2. 评估和迁移现有策略：

   使用 Microsoft Intune 管理中心中的迁移评估。 输出显示替换基本移动性和安全性策略的Intune策略和组建议。

3. 分配策略并完成迁移：

   将许可证分配给用户或组，这会在下一个刷新周期自动将用户切换到Intune设备管理。

本文可帮助你将移动设备管理 (MDM) 从Microsoft 365 基础版移动性和安全性迁移到Microsoft Intune。

开始之前

• 登录到 Intune 管理中心时，请使用具有Microsoft Entra许可证管理员权限的帐户。 有关此角色的详细信息，请转到Microsoft Entra内置角色 - 许可证管理员。

• 对已在 基本移动性和安全性 中注册设备的测试用户组测试本文中的步骤。 确认策略的行为与预期一致。

• 迁移到Intune后，使用 基本移动性和安全性 部署的现有设备安全策略将永久冻结。

• 分配Intune许可证会影响迁移过程。 许可证分配控制设备从基本移动性和安全性到 Intune 的迁移。

  已分配Intune许可证的用户可以立即开始接收策略，可能比预期要快。 即使基本移动性和安全性以前未管理用户或设备，也会发生策略。

  如果要防止此行为，可以在迁移之前取消分配Intune许可证。 还可以创建单独的组来帮助管理策略的部署时间：

  • 组 1：已分配Intune许可证的用户
  • 组 2：未分配Intune许可证的用户

  然后，可以将迁移基本移动性和安全性设备安全策略分配给未分配Intune许可证的用户。

步骤 1 - 准备

在从基本移动性和安全性设备管理迁移到Intune设备管理之前：

1. 请确保拥有足够的Intune许可证，以涵盖由 基本移动性和安全性 管理的所有用户。

2. 在 Microsoft Defender 门户中查看设备安全策略。 删除不再需要的任何策略。 删除不需要的策略可以减少Intune迁移评估创建的建议数。 这样做的目的是在迁移评估后减少要审查的建议。

3. 查看当前分配的设备安全策略 的组的成员身份 。

   如果这些组包括已获得Intune许可的用户，则他们可以比预期更快地获得分配的策略。 有关现有Intune许可证的影响的详细信息，请转到本文) (之前。

4. 查看当前在基本移动性和安全性中注册的设备类型。 不受支持的 OS 版本和变体可能继续工作，但如果迁移到 Intune，则不支持它们。

   应用于不受支持的操作系统的设置不会移动到Intune。 如果用户已获得Intune许可，则其设备将丢失Microsoft Defender门户中设备安全策略设置的任何配置。

5. 迁移前：

   • 不要将Intune许可证分配给设备由基本移动性和安全性管理的用户。
   • 不要分配Intune许可证来启用应用保护策略，也称为移动应用程序管理 (MAM) 。

   仅在策略迁移完成后向用户分配Intune许可证。 有关Intune许可证的影响的详细信息，请转到本文) (之前。

6. 可能需要创建新的Intune策略来替换基本移动性和安全性策略。 有关最小基本策略集的详细信息，请转到Intune入门。

迁移评估过程激活后，无法在Microsoft Defender门户中更改设备安全策略。 现有基本移动性和安全性策略仍会强制执行，但不会保存对这些现有策略所做的更改。

重要

如果你有以下任何产品或服务，请在继续操作之前联系支持团队：

• 企业移动性 + 安全性 A3（教职员工）
• 企业移动性 + 安全性 A3（学生）
• 企业移动性 + 安全性 A3（学生使用权益）
• 企业移动性 + 安全性 A5（教职员工）
• 企业移动性 + 安全性 A5（学生）
• 企业移动性 + 安全性 A5（学生使用权益）
• Intune 教育版
• Intune for Education 加载项
• Microsoft Intune for Education（教职员工）
• Microsoft Intune for Education（学生）
• Microsoft Intune for Education（预付设备）

步骤 2 - 评估和迁移现有策略

准备好许可证并查看步骤 1 - 准备中的信息后，请使用Microsoft Intune管理中心迁移评估获取Intune策略建议。

该工具可以将现有基本移动性和安全性设备安全策略迁移到Intune合规性策略和设备配置文件。 它还针对应为哪些组分配新策略提出建议。

这些 Intune 建议旨在复制基本移动性和安全性策略。 你需要查看这些建议 ，以确保它们反映旧策略。

评估策略并将其从基本移动性和安全性迁移到Intune：

1. 完成本文 (步骤 1 - 准备 部分中的步骤) 。

2. 打开 “迁移评估> ”，选择“ 开始”。 完成评估需要几分钟时间。

   注意

   • 如果离开迁移评估，则返回的唯一方法是再次打开 迁移评估 链接。
   • 开始迁移评估后，无法在Microsoft Defender门户中创建新的设备安全策略或编辑现有设备安全策略。

3. 选择“建议”。

   此页显示基于基本移动性和安全性策略的 Intune 策略建议。 建议是只读的，无法更改。

   每个建议的名称都有一个基于基本移动性和安全性策略名称的前缀。 你需要查看列表中的每个项，如以下示例所示：

   

   • 并非所有设备设置都与Intune设置和值完全对应。 因此，无法通过精确的一对一映射来移动它们。 你需要查看并可能调整这些设置。
   • 控制Office 365服务的条件访问 (CA) 设置与 Microsoft Entra ID 中的 CA 策略相同。 因此，除非你愿意，否则不需要查看或更改它们。

4. 选择列表项。 此时会打开 “符合性策略建议概述 ”页。 查看说明。

5. 选择 “详细信息 ”以查看建议的设置和组分配：

   

   此页上的策略建议是一个只读报表，记录要使用的建议设置和分配。 它们尚未Intune策略。

   查看建议时，请记住以下几点：

   • 如果建议中列出的组已向其分配了Intune策略，则这些策略可能与建议的设置冲突。 若要了解如何在Intune中处理冲突，请转到使用Microsoft Intune中的设备策略和配置文件的常见问题和解答。

     注意

     如果你对已迁移的电子邮件配置文件进行任何更改或无法将其分配到建议的组，则在设备迁移到Intune时，用户可能会被要求重新输入其用户名和密码以访问其设备上的电子邮件。 有关详细信息，请转到 配置的策略映射。

   • 如果建议的组中已有Intune许可的用户，请验证建议的策略是否适合这些用户。 将策略分配给这些组后，组中所有Intune许可的用户都会收到策略，即使是以前未由 基本移动性和安全性 管理的用户。

     注意

     对于 Windows 操作系统，只有 Windows 10/11 桌面设备会为其迁移策略。 其他版本的 Windows 不会迁移策略。 有关详细信息，请参阅访问要求策略映射和配置策略映射。

6. 如果要实现建议的策略，请选择“ 打开策略”。 此时会打开策略页并创建Intune策略。 可以更改或更新迁移的策略。

   注意

   如果删除策略，则从建议页打开 策略 链接将不起作用。

此时，策略已创建，但尚未执行任何操作。 下一步是将策略分配给建议的组或所选的其他组。

步骤 3 - 分配策略并完成迁移

创建策略后，即可进行分配。 若要完成此迁移，必须完成这三个操作：分配组、启用共存以及分配Intune许可证。

1. 将建议的组分配给 策略。 选择“分配”旁边的“打开策略>属性>编辑 () > 使用分配工作流来分配组。

   分配组时，新迁移Intune策略将替换 基本移动性和安全性 中配置的设备设置。 如果不分配组，则当用户获得Intune许可时，由 基本移动性和安全性 管理的设备可能会丢失设置和电子邮件配置。 请记住，Intune许可证分配是设备从基本移动性和安全性迁移到Intune设备管理的关键步骤。

   有关现有Intune许可证的影响的详细信息，请转到本文) (之前。

2. 使用Microsoft Entra许可证管理员权限登录到 Microsoft Intune 管理中心。

3. 启用 共存。 启用时：

   • 具有现有Intune许可证的用户将立即移动到Intune并在下一Intune刷新周期应用新迁移的策略。
   • 对于没有Intune许可证的用户，共存是迁移过程中的第二步。 在下一步中，它们将移动到Intune。

4. 对于没有Intune许可证的用户，请将Intune许可证分配给要迁移的用户。 选项包括：

   • 向用户分配许可证。 有关详细信息，请转到 向用户分配许可证。
   • 向组分配许可证。 有关详细信息，请转到 将许可证分配给组。

   有关在 Intune 中分配许可证的详细信息，请转到向用户分配许可证，以便他们可以在 Intune 中注册设备。

此时，关键步骤已完成：

1. 策略将分配给组。
2. 在 Intune 中启用了共存。
3. 已分配 Intune 许可证。

在下一Intune设备刷新周期中，设备会自动切换到Intune管理，新策略开始影响用户设备。

我只是做什么？

本部分介绍从基本移动性和安全性迁移到Intune时在幕后发生的情况。

• 策略映射到Intune策略。 有关 迁移评估迁移的策略的映射参考，请转到：

  • 从基本移动性和安全性到 Intune 的访问要求策略映射
  • 从基本移动性和安全性到 Intune 的配置策略映射
  • 从基本移动性和安全性到 Intune 的其他策略映射

• 完成迁移后，迁移的策略将位于管理中心Microsoft Intune。 新策略包括合规性策略、设备配置文件和条件访问策略。 新策略位于以下位置：

  Intune 策略类型	Intune 位置
  合规性策略 将设备设置指定为访问要求。	Microsoft Intune Microsoft Intune管理中心>设备>合规性
  配置文件 指定不属于访问要求的其他设置，包括电子邮件配置文件。	Microsoft Intune管理中心>设备>管理设备>配置
  条件访问策略 Microsoft Entra条件访问阻止访问（如果设置不符合）。	Microsoft Intune管理中心>设备>条件访问>经典策略

已知问题

始终显示“启动”按钮

每次打开Microsoft Intune管理中心迁移评估时，都会显示“开始”按钮，即使评估已生成也是如此。 如果关闭 “开始” 提示，则不会加载以前生成的建议。

解决方法：再次启动评估。 它不会创建更多或重复的建议或策略。 重新运行迁移会检测到评估已成功，并加载前面的建议。

擦除设备之前登录失败次数设置未迁移

擦除设备之前的登录失败次数设置不会迁移到Intune。

解决方法：如果在基本移动性和安全性策略中启用了此设置，则必须手动将此设置添加到Intune设备配置文件。 有关可在 Intune 中配置的类似设置的详细信息，请转到：

• Android Enterprise 公司拥有的设备：允许或限制功能的设置列表
• Android Enterprise 个人拥有的设备：允许或限制功能的设置列表
• iOS/iPadOS 设备：允许或限制功能的设置列表
• Windows 10/11 设备：允许或限制功能的设置列表

后续步骤

• 什么是 Intune？
• Intune入门