Guia de migração: Configurar ou mudar para o Microsoft Intune

Depois de planear a mudança para o Microsoft Intune, o passo seguinte é escolher a abordagem de migração mais adequada para a sua organização. Estas decisões dependem do seu ambiente de gestão de dispositivos móveis (MDM), objetivos empresariais e requisitos técnicos atuais.

Este guia de migração lista e descreve as suas opções para adotar ou mudar para o Intune, que incluem:

  • Não utiliza uma solução de gestão de dispositivos móveis
  • Utiliza uma solução de MDM de parceiro de terceiros
  • Utiliza o Configuration Manager
  • Utiliza a política de grupo no local
  • Utiliza o Microsoft 365 Basic Mobility and Security

Utilize este guia para determinar a melhor abordagem de migração e obter algumas orientações & recomendações.

Dica

Antes de começar

  • O Microsoft Intune é uma solução nativa da cloud que ajuda a gerir identidades, dispositivos e aplicações. Se o seu objetivo for tornar-se nativo da cloud, pode saber mais nos seguintes artigos:

  • Sua implantação do Intune pode ser diferente de uma implantação do MDM anterior. O Intune usa o controle de acesso controlado por identidade. Ele não exige que um proxy de rede acesse dados da organização de dispositivos fora da rede.

Não usar nenhum provedor atualmente

Se atualmente não utilizar nenhum fornecedor de MDM ou gestão de aplicações móveis (MAM), tem algumas opções:

Usar um provedor de MDM de terceiros atualmente

Os dispositivos devem ter somente um provedor de MDM. Se utilizar outro fornecedor de MDM, como a Área de Trabalho ONE (anteriormente denominada AirWatch), MobileIron ou MaaS360, pode mudar para o Intune.

Os utilizadores têm de anular a inscrição dos respetivos dispositivos no fornecedor de MDM atual antes de se inscreverem no Intune.

  1. Configure o Intune, incluindo a definição da Autoridade de MDM para o Intune.

    Para obter mais informações, confira:

  2. Implementar aplicações e criar políticas de proteção de aplicações. A ideia é ajudar a proteger os dados da organização nas suas aplicações durante a migração e até que os dispositivos sejam inscritos & geridos pelo Intune.

    Para obter mais informações, aceda ao Passo 2 – Adicionar, configurar e proteger aplicações com o Intune.

  3. Anular a inscrição de dispositivos do fornecedor de MDM atual.

    Quando o registro de dispositivos for cancelado, eles não receberão suas políticas, incluindo as que fornecem proteção. Os dispositivos ficam vulneráveis até se inscreverem no Intune e começarem a receber as suas novas políticas.

    Dê aos utilizadores passos de anulação da inscrição específicos. Inclua as diretrizes do seu provedor de MDM existente sobre como cancelar o registro de dispositivos. A comunicação clara e útil minimiza o tempo de inatividade, insatisfação e chamadas de suporte técnico do utilizador final.

  4. Opcional, mas recomendado. Se tiver o Microsoft Entra ID P1 ou P2, utilize também o Acesso Condicional para bloquear dispositivos até que se inscrevam no Intune.

    Para obter mais informações, aceda ao Passo 3 – Planear políticas de conformidade.

  5. Opcional, mas recomendado. Crie uma linha de base de conformidade e definições de dispositivos que todos os utilizadores e dispositivos têm de ter. Estas políticas podem ser implementadas quando os utilizadores se inscrevem no Intune.

    Para obter mais informações, confira:

  6. Inscreva-se no Intune. Certifique-se de que dá passos de inscrição específicos aos utilizadores.

    Para obter mais informações, confira:

Importante

Não configure o Intune e nenhuma solução de MDM de terceiros existente em simultâneo para aplicar controlos de acesso a recursos, incluindo o Exchange ou o SharePoint.

Recomendações:

  • Se estiver a mudar de um fornecedor de MDM/MAM parceiro, tenha em atenção as tarefas que está a executar e as funcionalidades que utiliza. Estas informações dão uma ideia das tarefas a realizar no Intune.

  • Use uma abordagem em fases. Comece com um pequeno grupo de usuários piloto e adicione mais grupos até obter uma implantação em escala completa.

  • Monitore o êxito do carregamento e do registro da assistência técnica de cada fase. Reserve um horário na agenda para avaliar os critérios de êxito de cada grupo antes de migrar o próximo grupo.

    Sua implantação piloto deverá validar as seguintes tarefas:

    • Verificar se as tarifas de êxito e falha do registro estão dentro de suas expectativas.

    • Produtividade do usuário:

      • Verificar se os recursos corporativos estão funcionando, incluindo a VPN, o Wi-Fi, o email e os certificados.
      • Verificar se os aplicativos implantados são acessíveis.
    • Segurança de dados:

      • Examinar os relatórios de conformidade, além de procurar problemas e tendências comuns. Comunicar problemas, resoluções e tendências ao suporte técnico.
      • Verificar se as proteções de aplicativos móveis foram aplicadas.
  • Quando estiver satisfeito com a primeira fase das migrações, repita o ciclo de migração para a próxima fase.

    • Repita os ciclos em fases até que todos os usuários migrem para o Intune.
    • Confirme se a assistência técnica está preparada para dar suporte aos usuários finais durante a migração. Execute uma migração voluntária até que seja possível estimar a carga de trabalho de chamada de suporte.
    • Não defina prazos para inscrição até que o suporte técnico possa processar todos os restantes utilizadores.

Informações úteis:

Usar o Configuration Manager atualmente

O Configuration Manager suporta Windows Servers e Windows & dispositivos cliente macOS. Se a sua organização utilizar outras plataformas, poderá ter de repor os dispositivos e, em seguida, inscrevê-los no Intune. Após o registro, os dispositivos recebem as políticas e os perfis que você cria. Para obter mais informações, confira o Guia de implantação de registro do Intune.

Se você usa o Configuration Manager atualmente e quer usar o Intune, você terá as opções a seguir.

Opção 1 - Adicionar anexação de inquilino

A anexação de locatário permite carregar dispositivos do Configuration Manager em sua organização no Intune, também conhecido como "locatário". Depois de anexar os seus dispositivos, utilize o centro de administração do Microsoft Intune para executar ações remotas, como o computador de sincronização e a política de utilizador. Também é possível conferir os servidores locais e obter informações do sistema operacional.

O anexo do locatário está incluído com sua licença de cogerenciamento do Gerenciador de configurações, sem custo adicional. É a forma mais fácil de integrar a cloud (Intune) com a configuração do Configuration Manager no local.

Para obter mais informações, confira Habilitar anexação de locatário.

Opção 2 - Configurar a cogestão

Essa opção usa o Configuration Manager para algumas cargas de trabalho e o Intune para outras.

  1. No Configuration Manager, configure o cogerenciamento.
  2. Configure o Intune, incluindo a definição da Autoridade de MDM para o Intune.

Os dispositivos estão prontos para serem inscritos no Intune e receber as suas políticas.

Informações úteis:

Opção 3 – Mover do Configuration Manager para o Intune

A maioria dos clientes existentes do Configuration Manager desejam continuar usando essa opção. Inclui serviços benéficos para dispositivos no local.

Essas etapas são uma visão geral e estão incluídas somente para usuários que desejam uma solução 100% na nuvem. Com essa opção, você poderá:

  • Registe dispositivos cliente Windows do Active Directory no local existentes como dispositivos no Microsoft Entra ID.
  • Migrar cargas de trabalho locais e existentes do Configuration Manager para o Intune.

Essa opção é mais trabalhosa para administradores, mas pode criar uma experiência mais perfeita para dispositivos cliente Windows existentes. Para novos dispositivos cliente Windows, recomendamos que comece do zero com o Microsoft 365 e o Intune (neste artigo).

  1. Configure o Active Directory híbrido e o Microsoft Entra ID para os seus dispositivos. Os dispositivos associados híbridos do Microsoft Entra estão associados ao Seu Active Directory no local e registados com o seu ID do Microsoft Entra. Quando os dispositivos estão no Microsoft Entra ID, também estão disponíveis para o Intune.

    O Microsoft Entra ID híbrido suporta dispositivos Windows. Para outros pré-requisitos, incluindo requisitos de início de sessão, consulte Planear a implementação da associação híbrida do Microsoft Entra.

  2. No Configuration Manager, configure o cogerenciamento.

  3. Configure o Intune, incluindo a definição da Autoridade de MDM para o Intune.

  4. Em Configuration Manager, deslize todas as cargas de trabalho do Configuration Manager para o Intune.

  5. Nos dispositivos, desinstale o cliente do Configuration Manager. Para obter mais informações, confira como Desinstalar o cliente.

    Após a configuração do Intune, você poderá criar uma política de configuração de aplicativos do Intune para desinstalar o cliente do Configuration Manager. Por exemplo, será possível reverter as etapas em Instalar o cliente do Configuration Manager usando o Intune.

Os dispositivos estão prontos para serem inscritos no Intune e receber as suas políticas.

Importante

O ID híbrido do Microsoft Entra suporta apenas dispositivos Windows. O Configuration Manager é compatível com dispositivos Windows e macOS. Para dispositivos macOS gerenciados no Configuration Manager, você poderá:

  1. Desinstalar o cliente do Configuration Manager. Após a desinstalação, os dispositivos não receberão suas políticas, incluindo as que fornecem proteção. Ficam vulneráveis até se inscreverem no Intune e começarem a receber as suas novas políticas.
  2. Registre os dispositivos no Intune para receber as políticas.

Para ajudar a minimizar as vulnerabilidades, mova dispositivos macOS após a configuração do Intune e quando as políticas de inscrição estiverem prontas para serem implementadas.

Opção 4 – Começar do zero com o Microsoft 365 e o Intune

Essa opção se aplica a dispositivos cliente Windows. Se utilizar o Windows Server, como o Windows Server 2022, não utilize esta opção. Use o Configuration Manager.

Para gerir os seus dispositivos cliente Windows:

  1. Implante o Microsoft 365, incluindo a criação de usuários e grupos. Não utilize nem configure o Microsoft 365 Basic Mobility and Security.

    Links úteis:

  2. Configure o Intune, incluindo a definição da Autoridade de MDM para o Intune.

  3. Em dispositivos existentes, desinstale o cliente do Configuration Manager. Para obter mais informações, confira como Desinstalar o cliente.

Os dispositivos estão prontos para serem inscritos no Intune e receber as suas políticas.

Usar uma política de grupo local atualmente

Na cloud, os fornecedores de MDM, como o Intune, gerem definições e funcionalidades em dispositivos. Os objetos de política de grupo (GPO) não são utilizados.

Quando gere dispositivos, os perfis de configuração de dispositivos do Intune substituem o GPO no local. Os perfis de configuração de dispositivos utilizam definições expostas pela Apple, Google e Microsoft.

Especificamente:

Ao migrar dispositivos da política de grupo, use a Análise da política de grupo. A análise da Política de Grupo é uma ferramenta e funcionalidade no Intune que analisa os gpOs. No Intune, importa os GPOs e vê que políticas estão disponíveis (e não estão disponíveis) no Intune. Para as políticas disponíveis no Intune, pode criar uma política de catálogo de definições com as definições que importou. Para obter mais informações sobre esta funcionalidade, aceda a Criar uma política de Catálogo de Definições com os GPOs importados no Microsoft Intune.

Em seguida, Passo 1: Configurar o Microsoft Intune.

Atualmente, utilize o Microsoft 365 Basic Mobility and Security

Se criou e implementou políticas de Mobilidade e Segurança Básicas do Microsoft 365, pode migrar os utilizadores, grupos e políticas para o Microsoft Intune.

Para obter mais informações, aceda a Migrar do Microsoft 365 Basic Mobility and Security para o Intune.

Migração de locatário para locatário

Um inquilino é a sua organização no Microsoft Entra ID, como a Contoso. Inclui uma instância dedicada do serviço Microsoft Entra que a Contoso recebe quando recebe um serviço cloud da Microsoft, como o Microsoft Intune ou o Microsoft 365. O Microsoft Entra ID é utilizado pelo Intune e pelo Microsoft 365 para identificar utilizadores e dispositivos, controlar o acesso às políticas que cria e muito mais.

No Intune, você pode exportar e importar algumas das suas políticas usando o Microsoft Graph e o Windows PowerShell.

Por exemplo, você cria uma assinatura de avaliação do Microsoft Intune. Neste locatário de avaliação de assinatura, você tem políticas que configuram aplicativos e recursos, verificam a conformidade e muito mais. Você gostaria de mover essas políticas para outro locatário.

Esta secção mostra como utilizar os scripts do Microsoft Graph para uma migração de inquilino para inquilino. Também lista alguns tipos de política que podem ou não ser exportados.

Importante

  • Essas etapas usam os exemplos do Graph do Intune beta no GitHub. Os scripts de exemplo fazem alterações no seu locatário. Eles estão disponíveis no estado em que se encontram e devem ser validados usando uma conta de locatário de não produção ou "teste". Garanta que os scripts atendam às diretrizes de segurança da sua organização.
  • Os scripts não exportam e importam todas as políticas, como os perfis de certificado. Espere fazer mais tarefas do que as que estão disponíveis nesses scripts. Você precisará recriar algumas políticas.
  • Para migrar o dispositivo de um utilizador, o utilizador tem de anular a inscrição do dispositivo do inquilino antigo e, em seguida, voltar a inscrever-se no novo inquilino.

Baixar os exemplos e executar o script

Esta seção inclui uma visão geral dessas etapas. Utilize estes passos como orientação e saiba que os seus passos específicos podem ser diferentes.

  1. Baixe os exemplos e use o Windows PowerShell para exportar suas políticas:

    1. Acesse microsoftgraph/powershell-intune-samples, selecione Código>Baixar ZIP. Extraia o conteúdo do arquivo .zip.

    2. Abra o aplicativo do Windows PowerShell como administrador e altere o diretório para a pasta. Por exemplo, digite o seguinte comando:

      cd C:\psscripts\powershell-intune-samples-master

    3. Instale o módulo do AzureAD PowerShell:

      Install-Module AzureAD

      Selecione S para instalar o módulo de um repositório não confiável. Essa instalação pode levar alguns minutos.

    4. Altere o diretório para a pasta com o script que você deseja executar. Por exemplo, altere o diretório para a pasta CompliancePolicy:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    5. Execute o script de exportação. Por exemplo, digite o seguinte comando:

      .\CompliancePolicy_Export.ps1

      Entrar com sua conta. Quando solicitado, insira o caminho para colocar as políticas. Por exemplo, digite:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies

    Na sua pasta, as políticas são exportadas.

  2. Importe as políticas em seu novo locatário:

    1. Altere o diretório para a pasta do PowerShell com o script que você deseja executar. Por exemplo, altere o diretório para a pasta CompliancePolicy:

      cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy

    2. Execute o script de importação. Por exemplo, digite o seguinte comando:

      .\CompliancePolicy_Import_FromJSON.ps1

      Entrar com sua conta. Quando solicitado, insira o caminho para o arquivo de política .json que você deseja importar. Por exemplo, digite:

      C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json

  3. Entre no Centro de administração do Intune. As políticas importadas são exibidas.

O que você não pode fazer

Há alguns tipos de política que não podem ser exportados. Há alguns tipos de política que podem ser exportados, mas não podem ser importados para um locatário diferente. Use a lista a seguir como guia. Saiba que há outros tipos de política que não estão listados.

Tipo de perfil ou política Informações
Aplicativos  
Aplicativos Android de linha de negócios ❌ Exportar
❌ Importar

Para adicionar seu aplicativo de linha de negócios a um novo locatário, você também precisa dos arquivos de origem do aplicativo .apk inicial.
Apple – VPP (Volume Purchase Program) ❌ Exportar
❌ Importar

Esses aplicativos são sincronizados com o Apple VPP. No novo locatário, você adiciona o token VPP, que mostra os aplicativos disponíveis.
Aplicativos de linha de negócios iOS/iPadOS ❌ Exportar
❌ Importar

Para adicionar seu aplicativo de linha de negócios a um novo locatário, você também precisa dos arquivos de origem do aplicativo .ipa inicial.
Google Play Gerenciado ❌ Exportar
❌ Importar

Esses aplicativos e weblinks são sincronizados com o Google Play Gerenciado. No novo locatário, você adiciona sua conta Google Play Gerenciado, que mostra seus aplicativos disponíveis.
Microsoft Store para empresas ❌ Exportar
❌ Importar

Esses aplicativos são sincronizados com o Microsoft Store para Empresas. No novo locatário, adicione sua conta do Microsoft Store para Empresas, que mostra os aplicativos disponíveis.
Aplicativo do Windows (Win32) ❌ Exportar
❌ Importar

Para adicionar seu aplicativo de linha de negócios a um novo locatário, você também precisa dos arquivos de origem do aplicativo .intunewin inicial.
Políticas de conformidade  
Ações de Não Conformidade ❌ Exportar
❌ Importar

É possível que haja um link para um modelo de email. Quando você importa uma política que tem ações de não conformidade, as ações padrão para não conformidade são adicionadas.
Atribuições ✅ Exportar
❌ Importar

As atribuições são direcionadas a uma ID de grupo. Em um novo locatário, a ID de grupo é diferente.
Perfis de configuração  
Email ✅ Exportar

✅ Se um perfil de e-mail não utilizar certificados, a importação deverá funcionar.
❌ Se um perfil de email usar um certificado raiz, o perfil não poderá ser importado para um novo locatário. A ID do certificado raiz é diferente em um novo locatário.
Certificado SCEP ✅ Exportar

❌ Importar

Os perfis de certificado SCEP usam um certificado raiz. A ID do certificado raiz é diferente em um novo locatário.
VPN ✅ Exportar

✅ Se um perfil VPN não utilizar certificados, a importação deverá funcionar.
❌ Se um perfil VPN usar um certificado raiz, o perfil não poderá ser importado para um novo locatário. A ID do certificado raiz é diferente em um novo locatário.
Wi-Fi ✅ Exportar

✅ Se um perfil de Wi-Fi não utilizar certificados, a importação deverá funcionar.
❌ Se um perfil Wi-Fi usar um certificado raiz, o perfil não poderá ser importado para um novo locatário. A ID do certificado raiz é diferente em um novo locatário.
Atribuições ✅ Exportar
❌ Importar

As atribuições são direcionadas a uma ID de grupo. Em um novo locatário, a ID de grupo é diferente.
Segurança do ponto de extremidade  
Detecção e resposta do ponto de extremidade ❌ Exportar
❌ Importar

Esta política está vinculada ao Microsoft Defender para Ponto de Extremidade. No novo locatário, você configura o Microsoft Defender para Ponto de Extremidade, que inclui automaticamente a política de Detecção e resposta de ponto de extremidade.

Próximas etapas