Guida alla migrazione: Configurare o passare a Microsoft Intune
Dopo aver pianificato il passaggio a Microsoft Intune, il passaggio successivo per scegliere l'approccio di migrazione appropriato per l'organizzazione. Queste decisioni dipendono dall'ambiente di gestione dei dispositivi mobili (MDM) corrente, dagli obiettivi aziendali e dai requisiti tecnici.
Questa guida alla migrazione elenca e descrive le opzioni da adottare o passare a Intune, tra cui:
- Non si usa una soluzione di gestione dei dispositivi mobili
- Si usa una soluzione MDM partner di terze parti
- Si usa Configuration Manager
- Usare criteri di gruppo locali
- Si usa Microsoft 365 Basic Mobility and Security
Usare questa guida per determinare l'approccio di migrazione migliore e ottenere alcune indicazioni & raccomandazioni.
Consiglio
-
Questa guida è una cosa vivente. Assicurarsi quindi di aggiungere o aggiornare suggerimenti e indicazioni esistenti che sono stati trovati utili.
Come complementare a questo articolo, l'interfaccia di amministrazione di Microsoft 365 include anche alcune linee guida per la configurazione. La guida personalizza l'esperienza in base all'ambiente. Per accedere a questa guida alla distribuzione, passare alla guida alla configurazione di Microsoft Intune nell'interfaccia di amministrazione di Microsoft 365 e accedere con il lettore globale (almeno). Per altre informazioni su queste guide alla distribuzione e sui ruoli necessari, vedere Guide di distribuzione avanzate per i prodotti Microsoft 365 e Office 365.
Per esaminare le procedure consigliate senza accedere e attivare le funzionalità di installazione automatica, passare al portale di installazione di M365.
Prima di iniziare
Microsoft Intune è una soluzione nativa del cloud che consente di gestire identità, dispositivi e app. Se l'obiettivo è diventare nativo del cloud, è possibile ottenere altre informazioni negli articoli seguenti:
La distribuzione di Intune potrebbe essere diversa da una distribuzione MDM precedente. Intune usa il controllo degli accessi basato sull'identità. Non richiede un proxy di rete per accedere ai dati dell'organizzazione da dispositivi esterni alla rete.
Attualmente non usare nulla
Se attualmente non si usa alcun provider MDM o di gestione di applicazioni mobili (MAM), sono disponibili alcune opzioni:
Microsoft Intune: se si vuole una soluzione cloud e si è pronti per la gestione completa dei dispositivi, passare direttamente a Intune. È possibile usare Intune per verificare la conformità, configurare le funzionalità del dispositivo, distribuire le app e installare gli aggiornamenti delle app di sistema &. Si ottengono anche i vantaggi dell'interfaccia di amministrazione di Microsoft Intune, che è una console basata sul Web.
- Panoramica dei criteri di protezione delle app
- Introduzione a Intune
- Passaggio 1 - Configurare Intune
- Passaggio 2 - Aggiungere, configurare e proteggere le app con Intune
- Passaggio 3: Pianificare i criteri di conformità
- Passaggio 4: Creare profili di configurazione dei dispositivi per proteggere i dispositivi
- Passaggio 5 - Registrare i dispositivi
Configuration Manager: se si vogliono combinare le funzionalità di Configuration Manager (locale) con Intune (cloud), prendere in considerazione il collegamento tenant (in questo articolo) o la co-gestione (in questo articolo).
Configuration Manager può:
- Gestire Windows Server locale e alcuni dispositivi client.
- Gestire gli aggiornamenti software di partner o di terze parti.
- Creare sequenze di attività personalizzate durante la distribuzione del sistema operativo Windows.
- Distribuire e gestire molti tipi di app.
Attualmente usare un provider MDM di terze parti
I dispositivi devono avere un solo provider MDM. Se si usa un altro provider MDM, ad esempio Workspace ONE (precedentemente denominato AirWatch), MobileIron o MaaS360, è possibile passare a Intune.
Gli utenti devono annullare la registrazione dei dispositivi dal provider MDM corrente prima di registrarsi in Intune.
Configurare Intune, inclusa l'impostazione dell'autorità MDM su Intune.
Per altre informazioni, vedere:
Distribuire le app e creare criteri di protezione delle app. L'idea consiste nel proteggere i dati dell'organizzazione nelle app durante la migrazione e fino a quando i dispositivi non vengono registrati & gestiti da Intune.
Per altre informazioni, vedere Passaggio 2 - Aggiungere, configurare e proteggere le app con Intune.
Annullare la registrazione dei dispositivi dal provider MDM corrente.
Quando i dispositivi vengono annullati, non ricevono i criteri, inclusi i criteri che forniscono protezione. I dispositivi sono vulnerabili fino a quando non si registrano in Intune e non iniziano a ricevere i nuovi criteri.
Fornire agli utenti passaggi di annullamento della registrazione specifici. Includere indicazioni del provider MDM esistente su come annullare la registrazione dei dispositivi. La comunicazione chiara e utile riduce al minimo i tempi di inattività, l'insoddisfazione e le chiamate al supporto tecnico degli utenti finali.
Facoltativo, ma consigliato. Se si dispone di Microsoft Entra ID P1 o P2, usare anche l'accesso condizionale per bloccare i dispositivi fino a quando non si registrano in Intune.
Per altre informazioni, vedere Passaggio 3 - Pianificare i criteri di conformità.
Facoltativo, ma consigliato. Creare una baseline di conformità e impostazioni del dispositivo che tutti gli utenti e i dispositivi devono avere. Questi criteri possono essere distribuiti quando gli utenti si registrano in Intune.
Per altre informazioni, vedere:
Eseguire la registrazione in Intune. Assicurarsi di fornire agli utenti passaggi di registrazione specifici.
Per altre informazioni, vedere:
Importante
Non configurare contemporaneamente Intune e alcuna soluzione MDM di terze parti esistente per applicare controlli di accesso alle risorse, inclusi Exchange o SharePoint.
Consigli:
Se si passa da un provider MDM/MAM partner, prendere nota delle attività in esecuzione e delle funzionalità usate. Queste informazioni offrono un'idea delle attività da eseguire anche in Intune.
Usare un approccio in più fasi. Iniziare con un piccolo gruppo di utenti pilota e aggiungere altri gruppi fino a raggiungere la distribuzione su larga scala.
Monitorare l'esito positivo del caricamento e della registrazione del supporto tecnico di ogni fase. Lasciare il tempo nella pianificazione per valutare i criteri di esito positivo per ogni gruppo prima di eseguire la migrazione del gruppo successivo.
La distribuzione pilota deve convalidare le attività seguenti:
I tassi di esito positivo e negativo della registrazione sono all'interno delle aspettative.
Produttività utente:
- Le risorse aziendali funzionano, tra cui VPN, Wi-Fi, posta elettronica e certificati.
- Le app distribuite sono accessibili.
Sicurezza dei dati
- Esaminare i report di conformità e cercare i problemi e le tendenze comuni. Comunicare problemi, risoluzioni e tendenze con l'help desk.
- Vengono applicate le protezioni delle app per dispositivi mobili.
Quando si è soddisfatti della prima fase delle migrazioni, ripetere il ciclo di migrazione per la fase successiva.
- Ripetere i cicli in più fasi fino a quando non viene eseguita la migrazione di tutti gli utenti a Intune.
- Verificare che l'helpdesk sia pronto per supportare gli utenti finali durante la migrazione. Eseguire una migrazione volontaria fino a quando non è possibile stimare il carico di lavoro delle chiamate di supporto.
- Non impostare scadenze per la registrazione finché il supporto tecnico non è in grado di gestire tutti gli utenti rimanenti.
Informazioni utili:
- Introduzione a Intune
- Guida alla distribuzione della registrazione di Intune
- Passaggio 1: Configurare Intune e il tenant
Attualmente si usa Configuration Manager
Configuration Manager supporta i server Windows e Windows & dispositivi client macOS. Se l'organizzazione usa altre piattaforme, potrebbe essere necessario reimpostare i dispositivi e registrarli in Intune. Dopo la registrazione, ricevono i criteri e i profili creati. Per altre informazioni, vedere la guida alla distribuzione della registrazione di Intune.
Se si usa Configuration Manager e si vuole usare Intune, sono disponibili le opzioni seguenti.
Opzione 1 - Aggiungere il collegamento al tenant
Il collegamento al tenant consente di caricare i dispositivi di Configuration Manager nell'organizzazione in Intune, noto anche come "tenant". Dopo aver connesso i dispositivi, si usa l'interfaccia di amministrazione di Microsoft Intune per eseguire azioni remote, ad esempio il computer di sincronizzazione e i criteri utente. È anche possibile visualizzare i server locali e ottenere informazioni sul sistema operativo.
Il collegamento nel tenant è incluso nella licenza di cogestione di Configuration Manager senza costi aggiuntivi. È il modo più semplice per integrare il cloud (Intune) con la configurazione di Configuration Manager locale.
Per altre informazioni, vedere abilitare il collegamento del tenant.
Opzione 2 - Configurare la co-gestione
Questa opzione usa Configuration Manager per alcuni carichi di lavoro e usa Intune per altri carichi di lavoro.
- In Configuration Manager configurare la co-gestione.
- Configurare Intune, inclusa l'impostazione dell'autorità MDM su Intune.
I dispositivi sono pronti per essere registrati in Intune e ricevere i criteri.
Informazioni utili:
- Che cos'è la cogestione?
- Carichi di lavoro di co-gestione
- Passare a carichi di lavoro di Configuration Manager a Intune
- Domande frequenti sul prodotto e sulle licenze di Configuration Manager
Opzione 3- Passare da Configuration Manager a Intune
La maggior parte dei clienti di Configuration Manager esistenti vuole continuare a usare Configuration Manager. Include servizi utili per i dispositivi locali.
Questi passaggi sono una panoramica e sono inclusi solo per gli utenti che vogliono una soluzione cloud al 100%. Con questa opzione, è possibile:
- Registrare i dispositivi client Windows locali esistenti come dispositivi in Microsoft Entra ID.
- Spostare i carichi di lavoro di Configuration Manager locali esistenti in Intune.
Questa opzione è più adatta agli amministratori, ma può creare un'esperienza più semplice per i dispositivi client Windows esistenti. Per i nuovi dispositivi client Windows, è consigliabile iniziare da zero con Microsoft 365 e Intune (in questo articolo).
Configurare Active Directory ibrido e l'ID Microsoft Entra per i dispositivi. I dispositivi aggiunti a Microsoft Entra ibrido vengono aggiunti ad Active Directory locale e registrati con l'ID Microsoft Entra. Quando i dispositivi sono in Microsoft Entra ID, sono disponibili anche per Intune.
Microsoft Entra ID ibrido supporta i dispositivi Windows. Per altri prerequisiti, inclusi i requisiti di accesso, vedere Pianificare l'implementazione dell'aggiunta ibrida di Microsoft Entra.
In Configuration Manager configurare la co-gestione.
Configurare Intune, inclusa l'impostazione dell'autorità MDM su Intune.
In Configuration Manager scorrere tutti i carichi di lavoro da Configuration Manager a Intune.
Nei dispositivi disinstallare il client di Configuration Manager. Per altre informazioni, vedere Disinstallare il client.
Dopo aver configurato Intune, è possibile creare un criterio di configurazione dell'app di Intune che disinstalla il client di Configuration Manager. Ad esempio, è possibile invertire la procedura descritta in Installare il client di Configuration Manager usando Intune.
I dispositivi sono pronti per essere registrati in Intune e ricevere i criteri.
Importante
Microsoft Entra ID ibrido supporta solo i dispositivi Windows. Configuration Manager supporta i dispositivi Windows e macOS. Per i dispositivi macOS gestiti in Configuration Manager, è possibile:
- Disinstallare il client di Configuration Manager. Quando si esegue la disinstallazione, i dispositivi non ricevono i criteri, inclusi i criteri che forniscono protezione. Sono vulnerabili fino a quando non si registrano in Intune e non iniziano a ricevere i nuovi criteri.
- Registrare i dispositivi in Intune per ricevere i criteri.
Per ridurre al minimo le vulnerabilità, spostare i dispositivi macOS dopo la configurazione di Intune e quando i criteri di registrazione sono pronti per la distribuzione.
Opzione 4 - Iniziare da zero con Microsoft 365 e Intune
Questa opzione si applica ai dispositivi client Windows. Se usi Windows Server, ad esempio Windows Server 2022, non usare questa opzione. Usare Configuration Manager.
Per gestire i dispositivi client Windows:
Distribuire Microsoft 365, inclusa la creazione di utenti e gruppi. Non usare o configurare Microsoft 365 Basic Mobility and Security.
Collegamenti utili:
Configurare Intune, inclusa l'impostazione dell'autorità MDM su Intune.
Nei dispositivi esistenti disinstallare il client di Configuration Manager. Per altre informazioni, vedere Disinstallare il client.
I dispositivi sono pronti per essere registrati in Intune e ricevere i criteri.
Attualmente usare criteri di gruppo locali
Nel cloud i provider MDM, ad esempio Intune, gestiscono le impostazioni e le funzionalità nei dispositivi. Gli oggetti Criteri di gruppo non vengono usati.
Quando si gestiscono i dispositivi, i profili di configurazione dei dispositivi di Intune sostituiscono l'oggetto Criteri di gruppo locale. I profili di configurazione del dispositivo usano le impostazioni esposte da Apple, Google e Microsoft.
In particolare:
- Nei dispositivi Android questi profili usano l'API di gestione Android e l'API EMM.
- Nei dispositivi Apple questi profili usano i payload di gestione dei dispositivi.
- Nei dispositivi Windows questi profili usano i provider di servizi di configurazione di Windows.On Windows devices, these profiles use the Windows configuration service providers (CSP).
Quando si spostano i dispositivi da Criteri di gruppo, usare Criteri di gruppo analitica. Criteri di gruppo analitica è uno strumento e una funzionalità di Intune che analizza gli oggetti Criteri di gruppo. In Intune si importano gli oggetti Criteri di gruppo e vengono visualizzati i criteri disponibili (e non disponibili) in Intune. Per i criteri disponibili in Intune, è possibile creare criteri del catalogo delle impostazioni usando le impostazioni importate. Per altre informazioni su questa funzionalità, vedere Creare criteri del catalogo delle impostazioni usando gli oggetti Criteri di gruppo importati in Microsoft Intune.
Passaggio 1: Configurare Microsoft Intune.
Attualmente usare Microsoft 365 Basic Mobility and Security
Se sono stati creati e distribuiti criteri di Microsoft 365 Basic Mobility and Security, è possibile eseguire la migrazione di utenti, gruppi e criteri a Microsoft Intune.
Per altre informazioni, vedere Eseguire la migrazione da Microsoft 365 Basic Mobility and Security a Intune.
Migrazione da tenant a tenant
Un tenant è l'organizzazione nell'ID Microsoft Entra, ad esempio Contoso. Include un'istanza del servizio Microsoft Entra dedicata ricevuta da Contoso quando ottiene un servizio cloud Microsoft, ad esempio Microsoft Intune o Microsoft 365. Microsoft Entra ID viene usato da Intune e Microsoft 365 per identificare utenti e dispositivi, controllare l'accesso ai criteri creati e altro ancora.
In Intune è possibile esportare e importare alcuni criteri usando Microsoft Graph e Windows PowerShell.
Ad esempio, si crea una sottoscrizione di valutazione di Microsoft Intune. In questo tenant di valutazione della sottoscrizione sono disponibili criteri che configurano app e funzionalità, verificano la conformità e altro ancora. Si vuole spostare questi criteri in un altro tenant.
Questa sezione illustra come usare gli script di Microsoft Graph per la migrazione da tenant a tenant. Elenca anche alcuni tipi di criteri che possono o non possono essere esportati.
Importante
- Questi passaggi usano gli esempi di grafo beta di Intune in GitHub. Gli script di esempio apportano modifiche al tenant. Sono disponibili così come sono e devono essere convalidati usando un account tenant non di produzione o di "test". Assicurarsi che gli script soddisfino le linee guida per la sicurezza dell'organizzazione.
- Gli script non esportano e importano tutti i criteri, ad esempio i profili certificato. Si prevede di eseguire più attività rispetto a quelle disponibili in questi script. Sarà necessario ricreare alcuni criteri.
- Per eseguire la migrazione del dispositivo di un utente, l'utente deve annullare la registrazione del dispositivo dal tenant precedente e quindi eseguire di nuovo la registrazione nel nuovo tenant.
Scaricare gli esempi ed eseguire lo script
Questa sezione include una panoramica dei passaggi. Usare questi passaggi come linee guida e sapere che i passaggi specifici potrebbero essere diversi.
Scaricare gli esempi e usare Windows PowerShell per esportare i criteri:
Passare a microsoftgraph/powershell-intune-samples e selezionare CodeDownload ZIP (Scarica codice> ZIP). Estrarre il contenuto del
.zipfile.Aprire l'app Windows PowerShell come amministratore e impostare la directory sulla cartella. Ad esempio, immettere il comando seguente:
cd C:\psscripts\powershell-intune-samples-masterInstallare il modulo PowerShell di AzureAD:
Install-Module AzureADSelezionare Y per installare il modulo da un repository non attendibile. L'installazione può richiedere alcuni minuti.
Modificare la directory nella cartella con lo script che si vuole eseguire. Ad esempio, modificare la directory nella
CompliancePolicycartella :cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicyEseguire lo script di esportazione. Ad esempio, immettere il comando seguente:
.\CompliancePolicy_Export.ps1Accedere con il proprio account. Quando richiesto, immettere il percorso per inserire i criteri. Ad esempio, immettere:
C:\psscripts\ExportedIntunePolicies\CompliancePolicies
Nella cartella vengono esportati i criteri.
Importare i criteri nel nuovo tenant:
Modificare la directory nella cartella di PowerShell con lo script che si vuole eseguire. Ad esempio, modificare la directory nella
CompliancePolicycartella :cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicyEseguire lo script di importazione. Ad esempio, immettere il comando seguente:
.\CompliancePolicy_Import_FromJSON.ps1Accedere con il proprio account. Quando richiesto, immettere il percorso del file di criteri
.jsonda importare. Ad esempio, immettere:C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json
Accedi all'interfaccia di amministrazione di Intune. Vengono visualizzati i criteri importati.
Operazioni che non è possibile eseguire
Alcuni tipi di criteri non possono essere esportati. Esistono alcuni tipi di criteri che possono essere esportati, ma non possono essere importati in un tenant diverso. Usare l'elenco seguente come guida. Si noti che esistono altri tipi di criteri che non sono elencati.
| Tipo di criterio o profilo | Informazioni |
|---|---|
| Applicazioni | |
| App line-of-business Android |
❌ Esportazione ❌ Importazione Per aggiungere l'app LOB a un nuovo tenant, sono necessari anche i file di origine dell'applicazione originale .apk . |
| Apple - Volume Purchase Program (VPP) |
❌ Esportazione ❌ Importazione Queste app vengono sincronizzate con Apple VPP. Nel nuovo tenant si aggiunge il token VPP, che mostra le app disponibili. |
| App line-of-business iOS/iPadOS |
❌ Esportazione ❌ Importazione Per aggiungere l'app LOB a un nuovo tenant, sono necessari anche i file di origine dell'applicazione originale .ipa . |
| Google Play gestito |
❌ Esportazione ❌ Importazione Queste app e weblink vengono sincronizzati con Google Play gestito. Nel nuovo tenant si aggiunge l'account Google Play gestito, che mostra le app disponibili. |
| Microsoft Store per le aziende |
❌ Esportazione ❌ Importazione Queste app vengono sincronizzate con Microsoft Store per le aziende. Nel nuovo tenant si aggiunge l'account di Microsoft Store per le aziende, che mostra le app disponibili. |
| App di Windows (Win32) |
❌ Esportazione ❌ Importazione Per aggiungere l'app LOB a un nuovo tenant, sono necessari anche i file di origine dell'applicazione originale .intunewin . |
| Criteri di conformità | |
| Azioni per la non conformità |
❌ Esportazione ❌ Importazione È possibile che sia presente un collegamento a un modello di posta elettronica. Quando si importano criteri con azioni di non conformità, vengono invece aggiunte le azioni predefinite per la non conformità. |
| Attività |
✅ Esportazione ❌ Importazione Le assegnazioni sono destinate a un ID gruppo. In un nuovo tenant l'ID gruppo è diverso. |
| Profili di configurazione | |
| Posta elettronica |
✅ Esportazione ✅ Se un profilo di posta elettronica non usa i certificati, l'importazione dovrebbe funzionare. ❌ Se un profilo di posta elettronica usa un certificato radice, il profilo non può essere importato in un nuovo tenant. L'ID certificato radice è diverso in un nuovo tenant. |
| Certificato SCEP |
✅ Esportazione ❌ Importazione I profili certificato SCEP usano un certificato radice. L'ID certificato radice è diverso in un nuovo tenant. |
| VPN |
✅ Esportazione ✅ Se un profilo VPN non usa i certificati, l'importazione dovrebbe funzionare. ❌ Se un profilo VPN usa un certificato radice, il profilo non può essere importato in un nuovo tenant. L'ID certificato radice è diverso in un nuovo tenant. |
| Wi-Fi |
✅ Esportazione ✅ Se un profilo Wi-Fi non usa i certificati, l'importazione dovrebbe funzionare. ❌ Se un profilo Wi-Fi usa un certificato radice, il profilo non può essere importato in un nuovo tenant. L'ID certificato radice è diverso in un nuovo tenant. |
| Attività |
✅ Esportazione ❌ Importazione Le assegnazioni sono destinate a un ID gruppo. In un nuovo tenant l'ID gruppo è diverso. |
| Endpoint Security | |
| Rilevamento endpoint e risposta |
❌ Esportazione ❌ Importazione Questo criterio è collegato a Microsoft Defender per endpoint. Nel nuovo tenant viene configurato Microsoft Defender per endpoint, che include automaticamente i criteri di rilevamento e risposta degli endpoint . |