Průvodce migrací: Nastavení nebo přechod do Microsoft Intune

Po naplánování přechodu na Microsoft Intune je dalším krokem volba přístupu k migraci, který je pro vaši organizaci nejvhodnější. Tato rozhodnutí závisí na vašem aktuálním prostředí správy mobilních zařízení (MDM), obchodních cílech a technických požadavcích.

Tento průvodce migrací uvádí seznam a popisuje možnosti přechodu na Intune nebo na ně, mezi které patří:

  • Nepoužíváte řešení pro správu mobilních zařízení.
  • Používáte řešení MDM partnera třetí strany.
  • Používáte Configuration Manager.
  • Používáte místní zásady skupiny.
  • Používáte Microsoft 365 Basic Mobility and Security

V tomto průvodci můžete určit nejlepší přístup k migraci a získat pokyny & doporučení.

Tip

Než začnete

  • Microsoft Intune je nativní cloudové řešení, které pomáhá spravovat identity, zařízení a aplikace. Pokud je vaším cílem stát se nativní pro cloud, pak se můžete dozvědět více v následujících článcích:

  • Vaše nasazení Intune se může lišit od předchozího nasazení MDM. Intune používá řízení přístupu řízené identitou. Pro přístup k datům organizace ze zařízení mimo vaši síť nevyžaduje síťový proxy server.

Aktuálně nepoužívejte nic.

Pokud v současné době nepoužíváte žádného poskytovatele mdm nebo správy mobilních aplikací (MAM), máte několik možností:

V současné době používáte poskytovatele MDM třetí strany.

Zařízení by měla mít jenom jednoho poskytovatele MDM. Pokud používáte jiného poskytovatele MDM, například Workspace ONE (dříve označovaný jako AirWatch), MobileIron nebo MaaS360, můžete přejít do Intune.

Uživatelé musí zrušit registraci svých zařízení u aktuálního poskytovatele MDM, než se zaregistrují do Intune.

  1. Nastavte Intune, včetně nastavení autority MDM na Intune.

    Další informace najdete v článku:

  2. Nasaďte aplikace a vytvořte zásady ochrany aplikací. Cílem je pomoct chránit data organizace v aplikacích během migrace a dokud nebudou zařízení zaregistrovaná & spravována službou Intune.

    Další informace najdete v kroku 2 – Přidání, konfigurace a ochrana aplikací pomocí Intune.

  3. Zrušte registraci zařízení u aktuálního poskytovatele MDM.

    Když se zruší registrace zařízení, nedostávají vaše zásady, včetně zásad, které poskytují ochranu. Zařízení jsou zranitelná, dokud se nezaregistrují do Intune a nezačnou přijímat nové zásady.

    Udělte uživatelům konkrétní kroky zrušení registrace. Uveďte pokyny od stávajícího poskytovatele MDM, jak zrušit registraci zařízení. Jasná a užitečná komunikace minimalizuje výpadky koncových uživatelů, jejich neuspokojení a hovory na helpdesk.

  4. Volitelné, ale doporučené. Pokud máte Microsoft Entra ID P1 nebo P2, použijte také podmíněný přístup k blokování zařízení, dokud se neregistrují v Intune.

    Další informace najdete v části Krok 3 – Plánování zásad dodržování předpisů.

  5. Volitelné, ale doporučené. Vytvořte standardní hodnoty nastavení dodržování předpisů a zařízení, které musí mít všichni uživatelé a zařízení. Tyto zásady je možné nasadit, když se uživatelé zaregistrují do Intune.

    Další informace najdete v článku:

  6. Zaregistrujte se v Intune. Nezapomeňte uživatelům zadat konkrétní kroky registrace.

    Další informace najdete v článku:

Důležité

Nenakonfigurujte Současně Intune a žádné existující řešení MDM třetích stran tak, aby se u prostředků, včetně Exchange nebo SharePointu, použilo řízení přístupu.

Doporučení:

  • Pokud přecházíte od partnerského poskytovatele MDM/MAM, poznamenejte si úlohy, které spouštíte, a funkce, které používáte. Tyto informace poskytují představu o tom, jaké úkoly se mají v Intune také provádět.

  • Použijte fázovaný přístup. Začněte s malou skupinou pilotních uživatelů a přidejte další skupiny, dokud nedosáhnete plně škálovatelného nasazení.

  • Monitorujte zatížení helpdesku a úspěšnost registrace každé fáze. Před migrací další skupiny ponechte v plánu čas na vyhodnocení kritérií úspěšnosti každé skupiny.

    Vaše pilotní nasazení by mělo ověřit následující úlohy:

    • Úspěšnost a míra selhání registrace jsou podle vašich očekávání.

    • Produktivita uživatelů:

      • Firemní prostředky, včetně sítě VPN, Wi-Fi, e-mailu a certifikátů, fungují.
      • Nasazené aplikace jsou přístupné.
    • Zabezpečení dat:

      • Zkontrolujte sestavy dodržování předpisů a hledejte běžné problémy a trendy. Komunikujte problémy, řešení a trendy s helpdeskem.
      • Používá se ochrana mobilních aplikací.
  • Až budete s první fází migrace spokojeni, opakujte cyklus migrace pro další fázi.

    • Opakujte postupně rozfázované cykly, dokud se do Intune nemigrují všichni uživatelé.
    • Ověřte, že je helpdesk připravený podporovat koncové uživatele během migrace. Spusťte dobrovolnou migraci, dokud nebudete moct odhadnout úlohu volání podpory.
    • Nenastavujte termíny registrace, dokud váš helpdesk nezpracuje všechny zbývající uživatele.

Užitečné informace:

Aktuálně používáte Configuration Manager.

Configuration Manager podporuje windows servery a klientská zařízení s Windows & macOS. Pokud vaše organizace používá jiné platformy, možná budete muset zařízení resetovat a pak je zaregistrovat v Intune. Po registraci obdrží zásady a profily, které vytvoříte. Další informace najdete v průvodci nasazením registrace Intune.

Pokud aktuálně používáte Configuration Manager a chcete používat Intune, máte následující možnosti.

Možnost 1 – Přidání připojení tenanta

Připojení tenanta umožňuje nahrát zařízení Configuration Manageru do vaší organizace v Intune, která se také označuje jako "tenant". Po připojení zařízení použijete Centrum pro správu Microsoft Intune ke spouštění vzdálených akcí, jako je synchronizace počítače a zásad uživatele. Můžete také zobrazit místní servery a získat informace o operačním systému.

Připojení tenanta je součástí vaší licence pro spolusprávu nástroje Configuration Manager bez dalších poplatků. Je to nejjednodušší způsob, jak integrovat cloud (Intune) s místním nastavením Configuration Manageru.

Další informace najdete v tématu povolení připojení tenanta.

Možnost 2 – Nastavení spolusprávy

Tato možnost používá Configuration Manager pro některé úlohy a pro jiné používá Intune.

  1. V Configuration Manageru nastavte spolusprávu.
  2. Nastavte Intune, včetně nastavení autority MDM na Intune.

Zařízení jsou připravená k registraci do Intune a obdrží vaše zásady.

Užitečné informace:

Možnost 3 – Přechod z Configuration Manageru na Intune

Většina stávajících zákazníků nástroje Configuration Manager chce dál používat Configuration Manager. Zahrnuje služby, které jsou výhodné pro místní zařízení.

Tyto kroky jsou přehledné a jsou zahrnuté jenom pro uživatele, kteří chtějí 100% cloudové řešení. S touto možností:

  • Zaregistrujte existující místní klientská zařízení Active Directory s Windows jako zařízení v Microsoft Entra ID.
  • Přesuňte stávající místní úlohy Configuration Manageru do Intune.

Tato možnost je pro správce více práce, ale může vytvořit plynulejší prostředí pro stávající klientská zařízení s Windows. U nových klientských zařízení s Windows doporučujeme začít s Microsoftem 365 a Intune úplně od začátku (v tomto článku).

  1. Nastavte pro svá zařízení hybridní Active Directory a Microsoft Entra ID . Hybridní zařízení Microsoft Entra jsou připojená k místní službě Active Directory a zaregistrovaná pomocí vašeho Microsoft Entra ID. Pokud jsou zařízení v Microsoft Entra ID, jsou k dispozici také pro Intune.

    Hybridní Microsoft Entra ID podporuje zařízení s Windows. Další požadavky, včetně požadavků na přihlášení, najdete v tématu Plánování implementace hybridního připojení k Microsoft Entra.

  2. V Configuration Manageru nastavte spolusprávu.

  3. Nastavte Intune, včetně nastavení autority MDM na Intune.

  4. V Configuration Manageru posuňte všechny úlohy z Configuration Manageru do Intune.

  5. Na zařízeních odinstalujte klienta nástroje Configuration Manager. Další informace najdete v tématu odinstalace klienta.

    Po nastavení Intune můžete vytvořit zásadu konfigurace aplikace Intune, která odinstaluje klienta Configuration Manageru. Můžete například obrátit postup v tématu Instalace klienta Configuration Manageru pomocí Intune.

Zařízení jsou připravená k registraci do Intune a obdrží vaše zásady.

Důležité

Hybridní Microsoft Entra ID podporuje jenom zařízení s Windows. Configuration Manager podporuje zařízení s Windows a macOS. U zařízení s macOS spravovaných v nástroji Configuration Manager můžete:

  1. Odinstalujte klienta nástroje Configuration Manager. Když odinstalujete, zařízení nedostávají vaše zásady, včetně zásad, které poskytují ochranu. Jsou zranitelní, dokud se nezaregistrují do Intune a nezačnou přijímat nové zásady.
  2. Zaregistrujte zařízení v Intune, abyste mohli přijímat zásady.

Pokud chcete minimalizovat ohrožení zabezpečení, přesuňte zařízení s macOS po nastavení Intune a až budou zásady registrace připravené k nasazení.

Možnost 4 – Začněte od začátku s Microsoftem 365 a Intune

Tato možnost platí pro klientská zařízení s Windows. Pokud používáte Windows Server, například Windows Server 2022, nepoužívejte tuto možnost. Použijte Configuration Manager.

Správa klientských zařízení s Windows:

  1. Nasaďte Microsoft 365 včetně vytváření uživatelů a skupin. Nepoužívejte ani nekonfigurujte Microsoft 365 Basic Mobility and Security.

    Užitečné odkazy:

  2. Nastavte Intune, včetně nastavení autority MDM na Intune.

  3. Na existujících zařízeních odinstalujte klienta nástroje Configuration Manager. Další informace najdete v tématu odinstalace klienta.

Zařízení jsou připravená k registraci do Intune a obdrží vaše zásady.

Aktuálně používejte místní zásady skupiny.

V cloudu spravují nastavení a funkce na zařízeních poskytovatelé MDM, jako je Intune. Objekty zásad skupiny (GPO) se nepoužívají.

Když spravujete zařízení, profily konfigurace zařízení Intune nahradí místní objekt zásad zabezpečení. Profily konfigurace zařízení používají nastavení vystavená společností Apple, Google a Microsoft.

Konkrétně:

Při přesouvání zařízení ze zásad skupiny použijte analýzu zásad skupiny. Analýza zásad skupiny je nástroj a funkce v Intune, která analyzuje vaše objekty zásad skupiny. V Intune naimportujete objekty zásad skupiny a zjistíte, které zásady jsou (a nejsou dostupné) v Intune. Pro zásady, které jsou dostupné v Intune, můžete vytvořit zásady katalogu nastavení pomocí nastavení, která jste naimportovali. Další informace o této funkci najdete v tématu Vytvoření zásady katalogu nastavení pomocí importovaných objektů zásad skupiny v Microsoft Intune.

Dále krok 1: Nastavení Microsoft Intune.

Aktuálně používáte Microsoft 365 Basic Mobility and Security

Pokud jste vytvořili a nasadili zásady základní mobility a zabezpečení Microsoftu 365, můžete uživatele, skupiny a zásady migrovat do Microsoft Intune.

Další informace najdete v článku Migrace z Microsoftu 365 Basic Mobility and Security do Intune.

Migrace tenanta na tenanta

Tenantem je vaše organizace v Microsoft Entra ID, jako je Contoso. Zahrnuje vyhrazenou instanci služby Microsoft Entra, kterou contoso obdrží, když získá cloudovou službu Microsoftu, jako je Microsoft Intune nebo Microsoft 365. Microsoft Entra ID používají Intune a Microsoft 365 k identifikaci uživatelů a zařízení, řízení přístupu k vytvořeným zásadám a dalším akcím.

V Intune můžete některé zásady exportovat a importovat pomocí Microsoft Graphu a Windows PowerShellu.

Můžete například vytvořit zkušební předplatné Microsoft Intune. V tomto zkušebním tenantovi předplatného máte zásady, které konfigurují aplikace a funkce, kontrolují dodržování předpisů a další. Tyto zásady byste chtěli přesunout do jiného tenanta.

V této části se dozvíte, jak používat skripty Microsoft Graphu pro migraci tenanta na tenanta. Obsahuje také seznam některých typů zásad, které se dají nebo nedají exportovat.

Důležité

  • V těchto krocích se používají ukázky Intune beta graphu na GitHubu. Ukázkové skripty dělají změny ve vašem tenantovi. Jsou dostupné tak, jak jsou, a měly by se ověřit pomocí neprodukčního nebo "testovacího" účtu tenanta. Ujistěte se, že skripty splňují pokyny k zabezpečení vaší organizace.
  • Skripty neexportují a neimportují všechny zásady, například profily certifikátů. Očekávejte, že budete provádět více úloh, než je v těchto skriptech k dispozici. Budete muset znovu vytvořit některé zásady.
  • Pokud chce uživatel migrovat zařízení uživatele, musí zrušit registraci zařízení ve starém tenantovi a pak se znovu zaregistrovat v novém tenantovi.

Stáhněte si ukázky a spusťte skript.

Tato část obsahuje přehled kroků. Tyto kroky použijte jako vodítko a mějte na to, že konkrétní kroky se můžou lišit.

  1. Stáhněte si ukázky a pomocí Windows PowerShellu vyexportujte zásady:

    1. Přejděte na microsoftgraph/powershell-intune-samples a vyberte Kód>Stáhnout ZIP. Extrahujte obsah .zip souboru.

    2. Otevřete aplikaci Windows PowerShell jako správce a změňte adresář na složku. Zadejte například následující příkaz:

      cd C:\psscripts\powershell-intune-samples-master

    3. Nainstalujte modul AzureAD PowerShellu:

      Install-Module AzureAD

      Vyberte Y a nainstalujte modul z nedůvěryhodného úložiště. Instalace může trvat několik minut.

    4. Změňte adresář na složku se skriptem, který chcete spustit. Například změňte adresář na CompliancePolicy složku:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    5. Spusťte skript pro export. Zadejte například následující příkaz:

      .\CompliancePolicy_Export.ps1

      Přihlaste se pomocí svého účtu. Po zobrazení výzvy zadejte cestu k vložení zásad. Zadejte například:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

    Ve vaší složce se zásady vyexportují.

  2. Import zásad v novém tenantovi:

    1. Změňte adresář na složku PowerShellu pomocí skriptu, který chcete spustit. Například změňte adresář na CompliancePolicy složku:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    2. Spusťte skript importu. Zadejte například následující příkaz:

      .\CompliancePolicy_Import_FromJSON.ps1

      Přihlaste se pomocí svého účtu. Po zobrazení výzvy zadejte cestu k souboru zásad .json , který chcete importovat. Zadejte například:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

  3. Přihlaste se do Centra pro správu Intune. Zobrazí se zásady, které jste naimportovali.

Co nemůžete dělat

Existují některé typy zásad, které se nedají exportovat. Existují některé typy zásad, které se dají exportovat, ale nedají se importovat do jiného tenanta. Jako vodítko použijte následující seznam. Zjistěte, že existují jiné typy zásad, které tu nejsou uvedené.

Typ zásady nebo profilu Informace
Aplikace  
Obchodní aplikace pro Android ❌ Vývoz
❌ Dovoz

Pokud chcete přidat obchodní aplikaci do nového tenanta, potřebujete také původní .apk zdrojové soubory aplikace.
Apple – Volume Purchase Program (VPP) ❌ Vývoz
❌ Dovoz

Tyto aplikace se synchronizují s Apple VPP. V novém tenantovi přidáte token VPP, který zobrazuje dostupné aplikace.
Obchodní aplikace pro iOS/iPadOS ❌ Vývoz
❌ Dovoz

Pokud chcete přidat obchodní aplikaci do nového tenanta, potřebujete také původní .ipa zdrojové soubory aplikace.
Spravovaný Google Play ❌ Vývoz
❌ Dovoz

Tyto aplikace a webové odkazy se synchronizují se spravovaným Google Play. V novém tenantovi přidáte svůj spravovaný účet Google Play, který zobrazuje dostupné aplikace.
Microsoft Store pro firmy ❌ Vývoz
❌ Dovoz

Tyto aplikace se synchronizují s Microsoft Storem pro firmy. V novém tenantovi přidáte účet Microsoft Storu pro firmy, který zobrazuje dostupné aplikace.
Aplikace pro Windows (Win32) ❌ Vývoz
❌ Dovoz

Pokud chcete přidat obchodní aplikaci do nového tenanta, potřebujete také původní .intunewin zdrojové soubory aplikace.
Zásady dodržování předpisů  
Akce pro nedodržování předpisů ❌ Vývoz
❌ Dovoz

Je možné, že existuje odkaz na šablonu e-mailu. Při importu zásad, které mají akce nedodržování předpisů, se místo toho přidají výchozí akce pro nedodržování předpisů.
Přiřazení ✅ Vývoz
❌ Dovoz

Přiřazení jsou cílená na ID skupiny. V novém tenantovi se ID skupiny liší.
Konfigurační profily  
E-mail ✅ Vývoz

✅ Pokud e-mailový profil nepoužívá certifikáty, import by měl fungovat.
❌ Pokud e-mailový profil používá kořenový certifikát, není možné ho importovat do nového tenanta. ID kořenového certifikátu se v novém tenantovi liší.
Certifikát SCEP ✅ Vývoz

❌ Dovoz

Profily certifikátů SCEP používají kořenový certifikát. ID kořenového certifikátu se v novém tenantovi liší.
Integrace VPN ✅ Vývoz

✅ Pokud profil VPN nepoužívá certifikáty, import by měl fungovat.
❌ Pokud profil VPN používá kořenový certifikát, není možné ho importovat do nového tenanta. ID kořenového certifikátu se v novém tenantovi liší.
Wi-Fi ✅ Vývoz

✅ Pokud Wi-Fi profil nepoužívá certifikáty, import by měl fungovat.
❌ Pokud profil Wi-Fi používá kořenový certifikát, není možné ho importovat do nového tenanta. ID kořenového certifikátu se v novém tenantovi liší.
Přiřazení ✅ Vývoz
❌ Dovoz

Přiřazení jsou cílená na ID skupiny. V novém tenantovi se ID skupiny liší.
Zabezpečení koncového bodu  
Detekce a reakce koncového bodu ❌ Vývoz
❌ Dovoz

Tato zásada je propojená s Microsoft Defenderem for Endpoint. V novém tenantovi nakonfigurujete Microsoft Defender for Endpoint, který automaticky zahrnuje zásady detekce koncových bodů a odpovědí .

Další kroky