從 Microsoft 365 基本版 行動性與安全性移轉至 Intune

Microsoft 365 包含一組基本的原則，可保護裝置並保護 365 應用程式Microsoft，例如 Outlook。 這些原則會在 Microsoft Defender 入口網站中管理，並稱為 基本行動性和安全性。 如需 基本行動性和安全性 提供的詳細資訊，請移至 基本行動性和安全性 的功能。

許多組織都想要更多或下一層裝置管理功能。 具體而言，他們想要 Microsoft Intune 隨附的功能。 如需功能的比較，請移至選擇 基本行動性和安全性 或 Intune。

您可以從 基本行動性和安全性 移轉至 Microsoft Intune。 移轉至 Intune 需要下列主要步驟：

1. 準備：

   檢閱您的 Intune 授權、基本行動性和安全性 原則、群組成員資格和裝置，以簡化移轉。

2. 評估和移轉現有的原則：

   使用 Microsoft Intune 系統管理中心的移轉評估。 輸出會顯示 Intune 取代 基本行動性和安全性 原則的原則和群組建議。

3. 指派原則並完成移轉：

   將授權指派給使用者或群組，這會在下一個重新整理週期自動將使用者切換至 Intune 裝置管理。

本文可協助您將行動裝置管理 (MDM) 從行動 Microsoft 365 基本版 安全性移轉至 Microsoft Intune。

開始之前

• 當您登入 Intune 系統管理中心時，請使用具有 Microsoft Entra 授權系統管理員許可權的帳戶。 如需此角色的詳細資訊，請移至 Microsoft Entra 內建角色 - 授權系統管理員。

• 在已在 基本行動性和安全性 中註冊裝置的測試使用者群組上，測試本文中的步驟。 確認原則的行為如您所預期。

• 移轉至 Intune 之後，使用 基本行動性和安全性 部署的現有裝置安全策略會永久凍結。

• 指派 Intune 授權會影響移轉程式。 授權指派可控制裝置從 基本行動性和安全性 移轉至 Intune。

  已指派 Intune 授權的使用者可以立即開始接收原則，可能比您預期的更快。 即使 基本行動性和安全性 先前未管理用戶或裝置，也可能會發生這些原則。

  如果您想要防止此行為，您可以在移轉之前取消指派 Intune 授權。 您也可以建立個別的群組，以協助管理部署原則的時機：

  • 群組 1：已指派 Intune 授權的使用者
  • 群組 2：未指派 Intune 授權的使用者

  然後，您可以將已移轉的 基本行動性和安全性 裝置安全策略指派給未指派 Intune 授權的使用者。

步驟 1 - 準備

從 基本行動性和安全性 裝置管理移轉至 Intune 裝置管理之前：

1. 請確定您有足夠的 Intune 授權，以涵蓋由 基本行動性和安全性 管理的所有使用者。

2. 在 Microsoft Defender入口網站中檢閱裝置安全策略。 刪除不再需要的任何原則。 刪除不需要的原則可減少 Intune 移轉評估所建立的建議數目。 其概念是在移轉評估之後，要檢閱的建議較少。

3. 檢閱目前已指派裝置安全 策略的群組成員資格 。

   如果這些群組包含已獲得 Intune 授權的使用者，則可以更快指派原則。 如需現有 Intune 授權影響的詳細資訊，請移至本文) 開始 (之前。

4. 檢閱目前在 基本行動性和安全性 中註冊的裝置類型。 不支援的OS版本和變體可能會繼續運作，但如果移轉至 Intune，則不支持它們。

   套用至不支援作業系統的設定不會移至 Intune。 如果使用者已獲得 Intune 授權，則其裝置會遺失 Microsoft Defender 入口網站中裝置安全策略所設定的任何組態。

5. 移轉之前：

   • 請勿將 Intune 授權指派給裝置由 基本行動性和安全性 管理的使用者。
   • 請勿指派 Intune 授權來啟用應用程式保護原則，也稱為行動應用程式管理 (MAM) 。

   只有在原則移轉完成之後，才將 Intune 授權指派給使用者。 如需 Intune 授權影響的詳細資訊，請移至本文中開始 (之前) 。

6. 您可能必須建立新的 Intune 原則來取代 基本行動性和安全性 原則。 如需最小基本原則集的詳細資訊，請移至開始使用 Intune。

移轉評估程式啟動之後，您就無法在 Microsoft Defender 入口網站中變更您的裝置安全策略。 仍會強制執行現有的 基本行動性和安全性 原則，但不會儲存這些現有原則的變更。

重要事項

如果您有下列任何產品或服務，請先連絡支援小組，再繼續進行：

• Enterprise Mobility + Security A3 for Faculty
• Enterprise Mobility + Security A3 學生版
• Enterprise Mobility + Security A3 學生使用權益
• Enterprise Mobility + Security A5 for Faculty
• Enterprise Mobility + Security A5 學生版
• Enterprise Mobility + Security A5 學生使用權益
• Intune 教育版
• Intune 教育版 Add-On
• Microsoft Intune 教育版教職員版
• Microsoft Intune 教育版學生版
• Microsoft Intune 教育預付裝置

步驟 2 - 評估和移轉現有的原則

在您備妥授權並檢閱步驟 1 - 準備中的資訊之後，請使用 Microsoft Intune 系統管理中心移轉評估來取得 Intune 原則建議。

此工具可以將您現有的 基本行動性和安全性 裝置安全策略移轉至 Intune 為合規性原則和裝置組態配置檔。 它也會針對應指派新原則的群組提出建議。

這些 Intune 建議是設計來復寫 基本行動性和安全性 原則。 您必須檢閱這些建議 ，以確定它們反映舊的原則。

若要評估原則並將其從 基本行動性和安全性 移轉至 Intune：

1. Complete the steps in the Step 1 - Prepare section (in this article).

2. 開啟 [移轉評估]> 選取 [開始]。 完成評估需要幾分鐘的時間。

   注意事項

   • 如果您離開移轉評估，傳回的唯一方法是再次開啟 移轉評估 連結。
   • 開始移轉評估之後，您無法在 Microsoft Defender 入口網站中建立新的或編輯現有的裝置安全策略。

3. 選取 建議。

   此頁面會根據您 基本行動性和安全性 原則顯示 Intune 原則建議。 建議是唯讀的，無法變更。

   每個建議的名稱都有以 基本行動性和安全性 原則名稱為基礎的前置詞。 您需要檢閱清單中的每個專案，如下列範例所示：

   

   • 並非所有裝置設定都完全對應至 Intune 設定和值。 因此，您無法使用精確的一對一對應來移動它們。 您需要檢閱這些設定，並可能進行調整。
   • 控制 Office 365 服務的條件式存取 (CA) 設定，與 Microsoft Entra ID 中的 CA 原則相同。 因此，除非您想要，否則不需要檢閱或進行變更。

4. 選取清單中的項目。 [ 合規性政策建議概觀 ] 頁面隨即開啟。 檢閱指示。

5. 選取 [詳細資料 ] 以檢閱建議的設定和群組指派：

   

   此頁面上的原則建議是只讀報表，其中記載要使用的建議設定和指派。 它們還不是 Intune 原則。

   檢閱建議時，請記住下列幾點：

   • 如果建議中列出的群組已指派 Intune 原則，則這些原則可能會與建議的設定衝突。 若要瞭解如何在 Intune 中處理衝突，請移至 Microsoft Intune 中裝置原則和配置檔的常見問題和解答。

     注意事項

     如果您對移轉的電子郵件設置檔進行任何變更，或無法將它們指派給建議的群組，則當裝置移轉至 Intune 時，系統可能會要求使用者重新輸入其使用者名稱和密碼，以存取其裝置上的電子郵件。 如需詳細資訊，請移至設定 的原則對應。

   • 如果建議的群組中已有 Intune 授權的使用者，請確認建議的原則適合這些使用者。 將原則指派給這些群組之後，群組中所有 Intune 授權的用戶都會收到原則，甚至是先前未由 基本行動性和安全性 管理的使用者。

     注意事項

     針對 Windows 作業系統，只有 Windows 10/11 傳統型裝置會針對它們移轉原則。 其他版本的 Windows 將不會移轉原則。 如需詳細資訊，請參閱存 取需求的原則對 應和 設定的原則對應。

6. 如果您想要實作建議的原則，請選取 [開啟原則]。 原則頁面隨即開啟，並建立 Intune 原則。 您可以變更或更新移轉的原則。

   注意事項

   如果您刪除原則，建議頁面中的 [開 啟原則] 鏈接將無法運作。

此時會建立原則，但尚未執行任何動作。 下一個步驟是將原則指派給建議的群組或您選擇的其他群組。

步驟 3 - 指派原則並完成移轉

建立原則之後，即可指派原則。 若要完成此移轉，這三者都必須完成：指派群組、啟用共存，以及指派 Intune 授權。

1. 將建議的群組指派 給原則。 選取 [指派] 旁的 [開>啟原則內容>編輯 () > 使用指派工作流程來指派群組。

   當您指派群組時，新移轉的 Intune 原則會取代在 基本行動性和安全性 中設定的裝置設定。 如果您未指派群組，則由 基本行動性和安全性 管理的裝置可能會在用戶獲得 Intune 授權時遺失設定和電子郵件設定。 請記住，Intune 授權指派是將裝置從 基本行動性和安全性 移轉至 Intune 裝置管理的關鍵步驟。

   如需現有 Intune 授權影響的詳細資訊，請移至本文) 開始 (之前。

2. 使用 Microsoft Entra授權系統管理員許可權登入 Microsoft Intune 系統管理中心。

3. 啟用 共存。 啟用時：

   • 具有現有 Intune 授權的使用者會立即移至 Intune，而新移轉的原則會在下一個 Intune 重新整理週期套用。
   • 對於沒有 Intune 授權的使用者，共存是移轉程式的第二個步驟。 在下一個步驟中，系統會將它們移至 Intune。

4. 對於沒有 Intune 授權的使用者，請將 Intune 授權指派給您要移轉的使用者。 選項包括：

   • 將授權指派給 使用者。 如需詳細資訊，請移至 將授權指派給使用者。
   • 將授權指派給 群組。 如需詳細資訊，請移至 將授權指派給群組。

   如需在 Intune 中指派授權的詳細資訊，請移至將授權指派給使用者，讓他們可以在 Intune 中註冊裝置。

此時，主要步驟已完成：

1. 原則會指派給您的群組。
2. 共存會在 Intune 中啟用。
3. Intune 指派授權。

在下 Intune 裝置重新整理週期中，裝置會自動切換至 Intune 管理，而新的原則會開始影響用戶裝置。

我剛才做了什麼？

本節說明當您從 基本行動性和安全性 移轉至 Intune 時，在幕後會發生什麼事。

• 這些原則會對應至 Intune 原則。 如需 移轉評估所移轉原則的對應參考，請移至：

  • 從 基本行動性和安全性 到 Intune 的存取需求原則對應
  • 從 基本行動性和安全性 到 Intune 的設定原則對應
  • 從 基本行動性和安全性 到 Intune的任何其他原則對應

• 當您完成移轉時，已移轉的原則會位於系統管理中心 Microsoft Intune。 新的原則包括合規性原則、裝置組態配置檔和條件式存取原則。 新的原則位於下列位置：

  Intune 原則類型	Intune 位置
  合規性原則 將裝置設定指定為存取需求。	Microsoft Intune Microsoft Intune 系統管理中心>裝置>合規性
  組態 配置檔指定不屬於存取需求的其他設定，包括電子郵件設置檔。	Microsoft Intune 系統管理中心>裝置>管理裝置>設定
  條件式存取原則 Microsoft Entra 條件式存取會在設定不符合規範時封鎖存取。	Microsoft Intune 系統管理中心>裝置>條件式存取>傳統原則

已知問題

[開始] 按鈕一律會出現

每次開啟 Microsoft Intune 系統管理中心移轉評估時，即使已經產生評估，也會顯示 [開始] 按鈕。 如果您關閉 [開始 ] 提示，則不會載入先前產生的建議。

因應措施：再次開始評估。 它不會建立更多或重複的建議或原則。 重新執行移轉會偵測到評估已成功，並載入先前的建議。

抹除裝置之前登入失敗次數設定未移轉

[抹除裝置之前登入失敗次數] 設定不會移轉至 Intune。

因應措施：如果此設定已在 基本行動性和安全性 原則中啟用，則必須手動將此設定新增至 Intune 裝置組態配置檔。 如需您可以在 Intune 中設定之類似設定的詳細資訊，請移至：

• Android Enterprise 公司擁有的裝置：允許或限制功能的設定清單
• Android Enterprise 個人擁有的裝置：允許或限制功能的設定清單
• iOS/iPadOS 裝置：允許或限制功能的設定清單
• Windows 10/11 裝置：允許或限制功能的設定清單

後續步驟

• 什麼是 Intune？
• 開始使用 Intune