Migreringsguide: Konfigurera eller flytta till Microsoft Intune
När du har planerat att flytta till Microsoft Intune ska du välja den migreringsmetod som passar din organisation i nästa steg. Dessa beslut beror på din aktuella MDM-miljö (hantering av mobila enheter), affärsmål och tekniska krav.
Den här migreringsguiden visar och beskriver dina alternativ för att införa eller flytta till Intune, bland annat:
- Du använder inte en lösning för hantering av mobila enheter
- Du använder en MDM-lösning från tredje part
- Du använder Configuration Manager
- Du använder en lokal grupprincip
- Du använder Microsoft 365 Basic Mobility and Security
Använd den här guiden för att fastställa den bästa migreringsmetoden och få vägledning & rekommendationer.
Tips
-
Den här guiden är en levande sak. Så se till att lägga till eller uppdatera befintliga tips och vägledning som du har funnit användbara.
Som ett komplement till den här artikeln har administrationscentret för Microsoft 365 även viss konfigurationsvägledning. Guiden anpassar din upplevelse baserat på din miljö. Om du vill komma åt den här distributionsguiden går du till installationsguiden för Microsoft Intune i administrationscentret för Microsoft 365 och loggar in med global läsare (minst). Mer information om dessa distributionsguider och de roller som behövs finns i Avancerade distributionsguider för Microsoft 365- och Office 365-produkter.
Om du vill granska metodtipsen utan att logga in och aktivera de automatiska installationsfunktionerna går du till M365-installationsportalen.
Innan du börjar
Microsoft Intune är en molnbaserad lösning som hjälper dig att hantera identiteter, enheter och appar. Om målet är att bli molnbaserad kan du läsa mer i följande artiklar:
Intune-distributionen kan skilja sig från en tidigare MDM-distribution. Intune använder identitetsdriven åtkomstkontroll. Det krävs ingen nätverksproxy för att komma åt organisationsdata från enheter utanför nätverket.
För närvarande använder inte något
Om du för närvarande inte använder någon MDM- eller MAM-provider (hantering av mobilprogram) har du några alternativ:
Microsoft Intune: Om du vill ha en molnlösning och är redo för fullständig enhetshantering går du direkt till Intune. Du kan använda Intune för att kontrollera efterlevnad, konfigurera enhetsfunktioner, distribuera appar och installera systemuppdateringar & app. Du får också fördelarna med administrationscentret för Microsoft Intune, som är en webbaserad konsol.
Configuration Manager: Om du vill att funktionerna i Configuration Manager (lokalt) ska kombineras med Intune (molnet) bör du överväga klientkoppling (i den här artikeln) eller samhantering (i den här artikeln).
Configuration Manager kan:
- Hantera lokal Windows Server och vissa klientenheter.
- Hantera programuppdateringar från partner eller tredje part.
- Skapa anpassade aktivitetssekvenser när du distribuerar Windows-operativsystemet.
- Distribuera och hantera många apptyper.
Använd för närvarande en MDM-provider från tredje part
Enheter bör bara ha en MDM-provider. Om du använder en annan MDM-provider, till exempel Workspace ONE (tidigare kallat AirWatch), MobileIron eller MaaS360, kan du flytta till Intune.
Användarna måste avregistrera sina enheter från den aktuella MDM-providern innan de registreras i Intune.
Konfigurera Intune, inklusive att ställa in MDM-utfärdare på Intune.
Mer information finns i:
Distribuera appar och skapa appskyddsprinciper. Tanken är att skydda organisationsdata i dina appar under migreringen och tills enheter registreras & hanteras av Intune.
Mer information finns i Steg 2 – Lägg till, konfigurera och skydda appar med Intune.
Avregistrera enheter från den aktuella MDM-providern.
När enheter avregistreras får de inte dina principer, inklusive principer som ger skydd. Enheterna är sårbara tills de registreras i Intune och börjar ta emot dina nya principer.
Ge användarna specifika avregistreringssteg. Ta med vägledning från din befintliga MDM-provider om hur du avregistrerar enheter. Tydlig och användbar kommunikation minimerar slutanvändarnas stilleståndstid, missnöje och supportsamtal.
Valfritt, men rekommenderas. Om du har Microsoft Entra ID P1 eller P2 använder du även villkorsstyrd åtkomst för att blockera enheter tills de registreras i Intune.
Mer information finns i Steg 3 – Planera för efterlevnadsprinciper.
Valfritt, men rekommenderas. Skapa en baslinje för kompatibilitet och enhetsinställningar som alla användare och enheter måste ha. Dessa principer kan distribueras när användare registrerar sig i Intune.
Mer information finns i:
Registrera dig i Intune. Se till att du ger användarna specifika registreringssteg.
Mer information finns i:
Viktigt
Konfigurera inte Intune och någon befintlig MDM-lösning från tredje part samtidigt för att tillämpa åtkomstkontroller på resurser, inklusive Exchange eller SharePoint.
Rekommendationer:
Om du flyttar från en PARTNER MDM/MAM-provider bör du notera de uppgifter som du kör och de funktioner som du använder. Den här informationen ger en uppfattning om vilka uppgifter som också ska utföras i Intune.
Använd en stegvis metod. Börja med en liten grupp pilotanvändare och lägg till fler grupper tills du når fullskalig distribution.
Övervaka supportavdelningens belastning och lyckade registrering för varje fas. Lämna tid i schemat för att utvärdera framgångskriterierna för varje grupp innan du migrerar nästa grupp.
Pilotdistributionen bör verifiera följande uppgifter:
Antalet lyckade och misslyckade registreringar ligger inom dina förväntningar.
Användarproduktivitet:
- Företagsresurser fungerar, inklusive VPN, Wi-Fi, e-post och certifikat.
- Distribuerade appar är tillgängliga.
Datasäkerhet:
- Granska efterlevnadsrapporter och leta efter vanliga problem och trender. Kommunicera problem, lösningar och trender med supportavdelningen.
- Mobilappskydd tillämpas.
När du är nöjd med den första migreringsfasen upprepar du migreringscykeln för nästa fas.
- Upprepa de stegvisa cyklerna tills alla användare migreras till Intune.
- Bekräfta att supportavdelningen är redo att stödja slutanvändare under hela migreringen. Kör en frivillig migrering tills du kan uppskatta arbetsbelastningen för supportsamtal.
- Ange inte tidsgränser för registrering förrän supportavdelningen kan hantera alla återstående användare.
Användbar information:
- Kom igång med Intune
- Distributionsguide för Intune-registrering
- Steg 1 – Konfigurera Intune och din klientorganisation
För närvarande använder du Configuration Manager
Configuration Manager stöder Windows-servrar och Windows & macOS-klientenheter. Om din organisation använder andra plattformar kan du behöva återställa enheterna och sedan registrera dem i Intune. När de har registrerats får de de principer och profiler som du skapar. Mer information finns i distributionsguiden för Intune-registrering.
Om du för närvarande använder Configuration Manager och vill använda Intune har du följande alternativ.
Alternativ 1 – Lägg till klientkoppling
Med klientkoppling kan du ladda upp dina Configuration Manager-enheter till din organisation i Intune, även kallat en "klientorganisation". När du har bifogat dina enheter använder du administrationscentret för Microsoft Intune för att köra fjärråtgärder, till exempel synkroniseringsmaskin och användarprincip. Du kan också se dina lokala servrar och hämta os-information.
Klientkoppling ingår i din Configuration Manager-licens för samhantering utan extra kostnad. Det är det enklaste sättet att integrera molnet (Intune) med din lokala Configuration Manager-konfiguration.
Mer information finns i Aktivera klientkoppling.
Alternativ 2 – Konfigurera samhantering
Det här alternativet använder Configuration Manager för vissa arbetsbelastningar och använder Intune för andra arbetsbelastningar.
- Konfigurera samhantering i Configuration Manager.
- Konfigurera Intune, inklusive att ställa in MDM-utfärdare på Intune.
Enheterna är redo att registreras i Intune och ta emot dina principer.
Användbar information:
- Vad är samhantering?
- Arbetsbelastningar för samhantering
- Växla Configuration Manager-arbetsbelastningar till Intune
- Vanliga frågor och svar om produkt och licensiering i Configuration Manager
Alternativ 3 – Flytta från Configuration Manager till Intune
De flesta befintliga Configuration Manager-kunder vill fortsätta använda Configuration Manager. Den innehåller tjänster som är till nytta för lokala enheter.
De här stegen är en översikt och ingår bara för de användare som vill ha en 100 % molnlösning. Med det här alternativet:
- Registrera befintliga lokala Active Directory Windows-klientenheter som enheter i Microsoft Entra-ID.
- Flytta dina befintliga lokala Configuration Manager-arbetsbelastningar till Intune.
Det här alternativet är mer arbete för administratörer, men kan skapa en smidigare upplevelse för befintliga Windows-klientenheter. För nya Windows-klientenheter rekommenderar vi att du börjar från början med Microsoft 365 och Intune (i den här artikeln).
Konfigurera Hybrid Active Directory och Microsoft Entra-ID för dina enheter. Microsoft Entra hybrid-anslutna enheter är anslutna till din lokala Active Directory och registreras med ditt Microsoft Entra-ID. När enheter finns i Microsoft Entra-ID är de också tillgängliga för Intune.
Microsoft Entra-hybrid-ID stöder Windows-enheter. Andra krav, inklusive inloggningskrav, finns i Planera implementeringen av Microsoft Entra-hybridanslutningen.
Konfigurera samhantering i Configuration Manager.
Konfigurera Intune, inklusive att ställa in MDM-utfärdare på Intune.
I Configuration Manager skjuter du alla arbetsbelastningar från Configuration Manager till Intune.
Avinstallera Configuration Manager-klienten på enheterna. Mer information finns i avinstallera klienten.
När Intune har konfigurerats kan du skapa en intune-appkonfigurationsprincip som avinstallerar Configuration Manager-klienten. Du kan till exempel ändra stegen i Installera Configuration Manager-klienten med hjälp av Intune.
Enheterna är redo att registreras i Intune och ta emot dina principer.
Viktigt
Hybrid Microsoft Entra ID stöder endast Windows-enheter. Configuration Manager stöder Windows- och macOS-enheter. För macOS-enheter som hanteras i Configuration Manager kan du:
- Avinstallera Configuration Manager-klienten. När du avinstallerar tar enheterna inte emot dina principer, inklusive principer som ger skydd. De är sårbara tills de registreras i Intune och börjar ta emot dina nya principer.
- Registrera enheterna i Intune för att ta emot principer.
För att minimera sårbarheter flyttar du macOS-enheter när Intune har konfigurerats och när dina registreringsprinciper är redo att distribueras.
Alternativ 4 – Börja från början med Microsoft 365 och Intune
Det här alternativet gäller för Windows-klientenheter. Om du använder Windows Server, till exempel Windows Server 2022, ska du inte använda det här alternativet. Använd Configuration Manager.
Så här hanterar du dina Windows-klientenheter:
Distribuera Microsoft 365, inklusive att skapa användare och grupper. Använd eller konfigurera inte Microsoft 365 Basic Mobility and Security.
Användbara länkar:
Konfigurera Intune, inklusive att ställa in MDM-utfärdare på Intune.
Avinstallera Configuration Manager-klienten på befintliga enheter. Mer information finns i avinstallera klienten.
Enheterna är redo att registreras i Intune och ta emot dina principer.
Använd för närvarande en lokal grupprincip
I molnet hanterar MDM-leverantörer, till exempel Intune, inställningar och funktioner på enheter. Grupprincipobjekt (GPO) används inte.
När du hanterar enheter ersätter Intunes enhetskonfigurationsprofiler det lokala grupprincipobjektet. Enhetskonfigurationsprofiler använder inställningar som exponeras av Apple, Google och Microsoft.
Exempel:
- På Android-enheter använder dessa profiler Android Management API och EMM API.
- På Apple-enheter använder dessa profiler nyttolaster för enhetshantering.
- På Windows-enheter använder dessa profiler Leverantörer av Windows-konfigurationstjänst (CSP:er).
När du flyttar enheter från en grupprincip använder du Grupprincipanalys. Grupprincipanalys är ett verktyg och en funktion i Intune som analyserar dina grupprincipobjekt. I Intune importerar du dina grupprincipobjekt och ser vilka principer som är tillgängliga (och inte tillgängliga) i Intune. För de principer som är tillgängliga i Intune kan du skapa en princip för inställningskatalogen med de inställningar som du har importerat. Mer information om den här funktionen finns i Skapa en princip för inställningskatalog med dina importerade grupprincipobjekt i Microsoft Intune.
Nästa steg 1: Konfigurera Microsoft Intune.
För närvarande använder du Microsoft 365 Basic Mobility and Security
Om du har skapat och distribuerat Microsoft 365 Basic Mobility and Security-principer kan du migrera användare, grupper och principer till Microsoft Intune.
Mer information finns i Migrera från Microsoft 365 Basic Mobility and Security till Intune.
Migrering mellan klientorganisationer
En klientorganisation är din organisation i Microsoft Entra ID, till exempel Contoso. Den innehåller en dedikerad Microsoft Entra-tjänstinstans som Contoso tar emot när den hämtar en Microsoft-molntjänst, till exempel Microsoft Intune eller Microsoft 365. Microsoft Entra-ID används av Intune och Microsoft 365 för att identifiera användare och enheter, styra åtkomsten till de principer som du skapar med mera.
I Intune kan du exportera och importera några av dina principer med hjälp av Microsoft Graph och Windows PowerShell.
Du kan till exempel skapa en utvärderingsprenumeration för Microsoft Intune. I den här utvärderingsversionen av prenumerationen har du principer som konfigurerar appar och funktioner, kontrollerar efterlevnad med mera. Du vill flytta dessa principer till en annan klientorganisation.
Det här avsnittet visar hur du använder Microsoft Graph-skript för en klientorganisation till klientorganisationsmigrering. Den visar även vissa principtyper som kan eller inte kan exporteras.
Viktigt
- De här stegen använder Intune beta Graph-exempel på GitHub. Exempelskripten gör ändringar i din klientorganisation. De är tillgängliga i sinom tid och bör verifieras med ett icke-produktions- eller "test"-klientkonto. Se till att skripten uppfyller organisationens säkerhetsriktlinjer.
- Skripten exporterar inte och importerar inte alla principer, till exempel certifikatprofiler. Förvänta dig att utföra fler uppgifter än vad som är tillgängligt i dessa skript. Du måste återskapa vissa principer.
- Om du vill migrera en användares enhet måste användaren avregistrera enheten från den gamla klientorganisationen och sedan registrera den i den nya klientorganisationen igen.
Ladda ned exemplen och kör skriptet
Det här avsnittet innehåller en översikt över stegen. Använd de här stegen som vägledning och se till att dina specifika steg kan skilja sig åt.
Ladda ned exemplen och använd Windows PowerShell för att exportera dina principer:
Gå till microsoftgraph/powershell-intune-samples och välj Koda>ladda ned ZIP. Extrahera innehållet i
.zip
filen.Öppna Windows PowerShell-appen som administratör och ändra katalogen till din mapp. Ange till exempel följande kommando:
cd C:\psscripts\powershell-intune-samples-master
Installera AzureAD PowerShell-modulen:
Install-Module AzureAD
Välj Y för att installera modulen från en ej betrodd lagringsplats. Installationen kan ta några minuter.
Ändra katalogen till mappen med det skript som du vill köra. Ändra till exempel katalogen till
CompliancePolicy
mappen:cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy
Kör exportskriptet. Ange till exempel följande kommando:
.\CompliancePolicy_Export.ps1
Logga in med ditt konto. När du uppmanas till det anger du sökvägen för att placera principerna. Ange till exempel:
C:\psscripts\ExportedIntunePolicies\CompliancePolicies
I mappen exporteras principerna.
Importera dina principer i din nya klientorganisation:
Ändra katalogen till PowerShell-mappen med det skript som du vill köra. Ändra till exempel katalogen till
CompliancePolicy
mappen:cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy
Kör importskriptet. Ange till exempel följande kommando:
.\CompliancePolicy_Import_FromJSON.ps1
Logga in med ditt konto. När du uppmanas till det anger du sökvägen till den principfil
.json
som du vill importera. Ange till exempel:C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json
Logga in på Intune administrationscenter. De principer som du har importerat visas.
Vad du inte kan göra
Det finns vissa principtyper som inte kan exporteras. Det finns vissa principtyper som kan exporteras, men som inte kan importeras till en annan klientorganisation. Använd följande lista som guide. Vet att det finns andra principtyper som inte visas.
Princip- eller profiltyp | Information |
---|---|
Program | |
Verksamhetsspecifika Android-appar |
❌ Export ❌ Import Om du vill lägga till din LOB-app i en ny klientorganisation behöver du även de ursprungliga .apk programkällfilerna. |
Apple – Volyminköpsprogram (VPP) |
❌ Export ❌ Import Dessa appar synkroniseras med Apple VPP. I den nya klientorganisationen lägger du till din VPP-token, som visar dina tillgängliga appar. |
Verksamhetsspecifika appar för iOS/iPadOS |
❌ Export ❌ Import Om du vill lägga till din LOB-app i en ny klientorganisation behöver du även de ursprungliga .ipa programkällfilerna. |
Hanterat Google Play-konto |
❌ Export ❌ Import Dessa appar och webblänkar synkroniseras med Hanterat Google Play-konto. I den nya klientorganisationen lägger du till ditt hanterade Google Play-konto, som visar dina tillgängliga appar. |
Microsoft Store för företag |
❌ Export ❌ Import Dessa appar synkroniseras med Microsoft Store för företag. I den nya klientorganisationen lägger du till ditt Microsoft Store för företag-konto, som visar dina tillgängliga appar. |
Windows-app (Win32) |
❌ Export ❌ Import Om du vill lägga till din LOB-app i en ny klientorganisation behöver du även de ursprungliga .intunewin programkällfilerna. |
Kompatibilitetsprinciper | |
Åtgärder för inkompatibilitet |
❌ Export ❌ Import Det är möjligt att det finns en länk till en e-postmall. När du importerar en princip som har inkompatibilitetsåtgärder läggs standardåtgärderna för inkompatibilitet till i stället. |
Uppgifter |
✅ Export ❌ Import Tilldelningar är riktade till ett grupp-ID. I en ny klientorganisation är grupp-ID:t annorlunda. |
Konfigurationsprofiler | |
E-post |
✅ Export ✅ Om en e-postprofil inte använder certifikat bör importen fungera. ❌ Om en e-postprofil använder ett rotcertifikat kan profilen inte importeras till en ny klientorganisation. Rotcertifikatets ID skiljer sig i en ny klientorganisation. |
SCEP-certifikat |
✅ Export ❌ Import SCEP-certifikatprofiler använder ett rotcertifikat. Rotcertifikatets ID skiljer sig i en ny klientorganisation. |
VPN |
✅ Export ✅ Om en VPN-profil inte använder certifikat bör importen fungera. ❌ Om en VPN-profil använder ett rotcertifikat kan profilen inte importeras till en ny klientorganisation. Rotcertifikatets ID skiljer sig i en ny klientorganisation. |
Wi-Fi |
✅ Export ✅ Om en Wi-Fi profil inte använder certifikat bör importen fungera. ❌ Om en Wi-Fi profil använder ett rotcertifikat kan profilen inte importeras till en ny klientorganisation. Rotcertifikatets ID skiljer sig i en ny klientorganisation. |
Uppgifter |
✅ Export ❌ Import Tilldelningar är riktade till ett grupp-ID. I en ny klientorganisation är grupp-ID:t annorlunda. |
Slutpunktssäkerhet | |
Identifiering och svar av slutpunkt |
❌ Export ❌ Import Den här principen är länkad till Microsoft Defender för Endpoint. I den nya klientorganisationen konfigurerar du Microsoft Defender för Endpoint, som automatiskt innehåller principen för slutpunktsidentifiering och svar . |