Nastavení místního konektoru Intune Exchange

Důležité

Podpora místního konektoru Intune Exchange končí 19. února 2024. Po tomto datu se exchange connector přestane synchronizovat s Intune. Pokud používáte Exchange Connector, doporučujeme do 19. února 2024 provést jednu z následujících akcí:

• Migrace poštovních schránek Exchange do Exchange Online
• Nastavení hybridního moderního ověřování

K ochraně přístupu k Exchangi Intune spoléhá na místní komponentu, která se označuje jako Microsoft Intune Exchange Connector. Tento konektor se v některých umístěních centra pro správu Intune označuje také jako místní konektor protokol Exchange ActiveSync.

Důležité

Intune bude od verze 2007 (červenec) odebírat podporu funkce Exchange On-Premises Connector ze služby Intune. Stávající zákazníci s aktivním konektorem budou moct v tuto chvíli pokračovat v aktuálních funkcích. Noví zákazníci a stávající zákazníci, kteří nemají aktivní konektor, už nebudou moct vytvářet nové konektory ani spravovat zařízení protokol Exchange ActiveSync (EAS) z Intune. Pro tyto tenanty Microsoft doporučuje použít k ochraně přístupu k místnímu Exchangi hybridní moderní ověřování (HMA). HMA umožňuje Intune zásady ochrany aplikací (označované také jako MAM) i podmíněný přístup prostřednictvím Outlooku Mobile pro místní Exchange.

Informace v tomto článku vám můžou pomoct nainstalovat a monitorovat Intune Exchange Connector. Pomocí konektoru se zásadami podmíněného přístupu můžete povolit nebo zablokovat přístup k místním poštovním schránkám Exchange.

Konektor se nainstaluje a spustí na místním hardwaru. Zjistí zařízení, která se připojují k Exchangi a sdělují informace o zařízení službě Intune. Konektor povoluje nebo blokuje zařízení na základě toho, jestli jsou zařízení zaregistrovaná a dodržují předpisy. Tato komunikace používá protokol HTTPS.

Když se zařízení pokusí získat přístup k místnímu serveru Exchange, exchange connector mapuje záznamy protokol Exchange ActiveSync (EAS) v Exchange Server tak, aby Intune záznamy, aby se zajistilo, že se zařízení zaregistruje s Intune a splňuje zásady vašeho zařízení. V závislosti na zásadách podmíněného přístupu může být zařízení povolené nebo blokované. Další informace najdete v tématu Jaké jsou běžné způsoby použití podmíněného přístupu s Intune?

Operace zjišťování , povolení a blokování se provádějí pomocí standardních rutin Exchange PowerShellu. Tyto operace používají účet služby, který je k dispozici při počáteční instalaci exchange connectoru.

Intune podporuje instalaci více konektorů Intune Exchange na předplatné. Pokud máte víc než jednu místní organizaci Exchange, můžete pro každou z nich nastavit samostatný konektor. Pro každou organizaci Exchange se ale dá nainstalovat jenom jeden konektor.

Pomocí těchto obecných kroků nastavte připojení, které Intune umožní komunikaci s místním serverem Exchange:

1. Stáhněte si místní konektor z centra pro správu Microsoft Intune.
2. Nainstalujte a nakonfigurujte Exchange Connector na počítači v místní organizaci Exchange.
3. Ověřte připojení Exchange.
4. Tento postup opakujte pro každou další organizaci Exchange, ke které se chcete připojit k Intune.

Jak funguje podmíněný přístup pro místní Exchange

Podmíněný přístup pro místní Exchange funguje jinak než zásady založené na podmíněném přístupu Azure. Nainstalujete Intune Exchange On-Premises Connector pro přímou interakci se serverem Exchange. Konektor Intune Exchange načítá všechny záznamy Exchange Active Sync (EAS), které existují na serveru Exchange, aby Intune mohly tyto záznamy EAS převzít a namapovat na Intune záznamy zařízení. Tyto záznamy jsou zařízení zaregistrovaná a rozpoznaná Intune. Tento proces povolí nebo zablokuje přístup k e-mailu.

Pokud je záznam EAS nový a Intune o něm neví, Intune vydá rutinu (vyslovuje se "command-let"), která nasměruje server Exchange k blokování přístupu k e-mailu. Tady jsou další podrobnosti o tom, jak tento proces funguje:

1. Uživatel se pokusí o přístup k podnikovému e-mailu, který je hostovaný v místním Exchange 2010 SP1 nebo novějším.

2. Pokud zařízení nespravuje Intune, bude přístup k e-mailu zablokovaný. Intune pošle klientovi EAS oznámení o blokování.

3. EAS obdrží oznámení o blokování, přesune zařízení do karantény a odešle e-mail o karanténě s nápravnými kroky, které obsahují odkazy, aby uživatelé mohli zaregistrovat svá zařízení.

4. Provede se proces připojení k pracovišti, což je první krok, kdy má zařízení spravovat Intune.

5. Zařízení se zaregistruje do Intune.

6. Intune mapuje záznam EAS na záznam zařízení a uloží stav dodržování předpisů zařízením.

7. ID klienta EAS se zaregistruje procesem registrace zařízení Microsoft Entra, který vytvoří relaci mezi záznamem Intune zařízení a ID klienta EAS.

8. Microsoft Entra Device Registration uloží informace o stavu zařízení.

9. Pokud uživatel splňuje zásady podmíněného přístupu, Intune vydá rutinu prostřednictvím konektoru Intune Exchange, která umožňuje synchronizaci poštovní schránky.

10. Server Exchange odešle oznámení klientovi EAS, aby uživatel mohl získat přístup k e-mailu.

požadavky na Intune Exchange Connector

Pokud se chcete připojit k Exchangi, potřebujete účet s Intune licencí, kterou může konektor používat. Účet zadáte při instalaci konektoru.

Následující tabulka uvádí požadavky na počítač, na který nainstalujete Intune Exchange Connector.

Požadavek	Další informace
Operační systémy	Intune podporuje konektor Intune Exchange v počítači, na kterém běží libovolná edice 64bitové verze Windows Server 2008 SP2, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 nebo Windows Server 2016. Konektor není podporován při žádné instalaci jádra serveru.
Microsoft Exchange	Místní konektory vyžadují Microsoft Exchange 2010 SP3 nebo novější nebo starší Exchange Online Dedicated. Pokud chcete zjistit, jestli je prostředí Exchange Online Dedicated v nové nebo starší konfiguraci, obraťte se na správce účtu.
Autorita pro správu mobilních zařízení	Nastavte autoritu pro správu mobilních zařízení na Intune.
Hardware	Počítač, na který nainstalujete konektor, vyžaduje procesor 1,6 GHz s 2 GB paměti RAM a 10 GB volného místa na disku.
Synchronizace služby Active Directory	Před použitím konektoru pro připojení Intune k serveru Exchange nastavte synchronizaci služby Active Directory. Místní uživatelé a skupiny zabezpečení se musí synchronizovat s vaší instancí Microsoft Entra ID.
Další software	Počítač, který je hostitelem konektoru, musí mít úplnou instalaci rozhraní Microsoft .NET Framework 4.5 a Windows PowerShell 2.0.
Síť	Počítač, na který nainstalujete konektor, musí být v doméně, která má vztah důvěryhodnosti s doménou, která je hostitelem serveru Exchange. Nakonfigurujte počítač tak, aby umožňoval přístup ke službě Intune přes brány firewall a proxy servery přes porty 80 a 443. Intune používá tyto domény: - manage.microsoft.com - *manage.microsoft.com - *.manage.microsoft.com Konektor Intune Exchange komunikuje s následujícími službami: – služba Intune: port HTTPS 443 – Exchange Client Access Server (CAS): Port služby WinRM 443 – Exchange Autodiscover 443 – Exchange Web Services (EWS) 443

Požadavky na rutiny Exchange

Vytvořte uživatelský účet služby Active Directory pro Intune Exchange Connector. Účet musí mít oprávnění ke spouštění následujících rutin Windows PowerShell Exchange:

• Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings
• Get-CasMailbox, Set-CasMailbox
• Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy
• Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule
• Get-ActiveSyncDeviceStatistics
• Get-ActiveSyncDevice
• Get-ExchangeServer
• Get-ActiveSyncDeviceClass
• Get-Recipient
• Clear-ActiveSyncDevice, Remove-ActiveSyncDevice
• Set-ADServerSettings
• Get-Command

Stažení instalačního balíčku

Podpora nových instalací exchange connectoru byla vyřazena v červenci 2020 a instalační balíček konektoru už není k dispozici ke stažení. Místo toho použijte hybridní moderní ověřování Exchange (HMA).

Instalace a konfigurace Intune Exchange Connectoru

Podpora nových instalací exchange connectoru byla vyřazena v červenci 2020 a instalační balíček konektoru už není k dispozici ke stažení. Místo toho použijte hybridní moderní ověřování Exchange (HMA). Pro použití přeinstalace konektoru jsou zachovány následující pokyny.

Pokud chcete nainstalovat Intune Exchange Connector, postupujte podle těchto kroků. Pokud máte více organizací Exchange, opakujte kroky pro každý konektor Exchange, který chcete nastavit.

1. V podporovaném operačním systému pro Intune Exchange Connector extrahujte soubory v Exchange_Connector_Setup.zip do zabezpečeného umístění.

   Důležité

   Soubory, které jsou ve složce Exchange_Connector_Setup , nepřejmenovávejte ani nepřesouvejte. Tyto změny by způsobily selhání instalace konektoru.

2. Po extrahování souborů otevřete extrahované složky a poklikáním na Exchange_Connector_Setup.exe nainstalujte konektor.

   Důležité

   Pokud cílová složka není zabezpečené umístění, po dokončení instalace místních konektorů odstraňte soubor certifikátu MicrosoftIntune.accountcert .

3. V dialogovém okně Microsoft Intune Exchange Connector vyberte Místní Microsoft Exchange Server nebo Hostované Microsoft Exchange Server.

   

   V případě místního serveru Exchange zadejte buď název serveru, nebo plně kvalifikovaný název domény serveru Exchange, který je hostitelem role Server klientského přístupu .

   Pro hostovaný server Exchange zadejte adresu serveru Exchange. Vyhledání adresy URL hostovaného serveru Exchange:

   1. Otevřete Outlook pro Microsoft 365.

   2. Zvolte ikonu ? v levém horním rohu a pak vyberte O aplikaci.

   3. Vyhledejte hodnotu Externí server POP .

   4. Zvolte Proxy server a určete nastavení proxy serveru pro hostovaný server Exchange.

      1. Vyberte Použít proxy server při synchronizaci informací o mobilním zařízení.

      2. Zadejte název proxy serveru a číslo portu , který se má použít pro přístup k serveru.

      3. Pokud se pro přístup k proxy serveru vyžadují přihlašovací údaje uživatele, vyberte Použít přihlašovací údaje pro připojení k proxy serveru. Pak zadejte doména\uživatel a heslo.

      4. Zvolte OK.

4. Do polí Uživatel (doména\uživatel) a Heslo zadejte přihlašovací údaje pro připojení k serveru Exchange. Zadaný účet musí mít licenci pro použití Intune.

5. Zadejte přihlašovací údaje pro odesílání oznámení do Exchange Server poštovní schránky uživatele. Tento uživatel může být vyhrazený jenom pro oznámení. Uživatel oznámení potřebuje poštovní schránku Exchange, aby odesílal oznámení e-mailem. Tato oznámení můžete nakonfigurovat pomocí zásad podmíněného přístupu v Intune.

   Ujistěte se, že služba Automatická konfigurace a webové služby Exchange jsou nakonfigurované na serveru Exchange CAS. Další informace najdete v tématu Server klientského přístupu.

6. Do pole Heslo zadejte heslo pro tento účet, abyste Intune umožnili přístup k serveru Exchange.

   Poznámka

   Účet, který používáte pro přihlášení k tenantovi, musí být alespoň správcem služby Intune. Bez tohoto účtu správce dojde k selhání připojení s chybou Vzdálený server vrátil chybu: (400) Chybný požadavek.

7. Zvolte Připojit.

   Poznámka

   Konfigurace připojení může trvat několik minut.

Exchange Connector během konfigurace ukládá nastavení proxy serveru, aby umožnil přístup k internetu. Pokud se nastavení proxy serveru změní, překonfigurujte Exchange Connector tak, aby se aktualizovaná nastavení proxy serveru použila na exchange connector.

Po nastavení připojení konektorem Exchange se mobilní zařízení přidružená k uživatelům spravovaným systémem Exchange automaticky synchronizují a přidají se do konektoru Exchange. Dokončení této synchronizace může nějakou dobu trvat.

Poznámka

Pokud nainstalujete Intune Exchange Connector a později budete potřebovat odstranit připojení Exchange, musíte konektor odinstalovat z počítače, na kterém byl nainstalován.

Instalace konektorů pro více organizací Exchange

Podpora nových instalací exchange connectoru byla vyřazena v červenci 2020. Místo toho použijte hybridní moderní ověřování Exchange (HMA). Informace v následujících částech jsou poskytovány pro podporu zákazníků, kteří můžou stále používat místní Intune Exchange Connector.

Podpora vysoké dostupnosti místního Intune Exchange Connectoru

U místního konektoru vysoká dostupnost znamená, že pokud se server CAS Exchange, který konektor používá, stane nedostupným, může konektor přepnout na jinou cas pro danou organizaci Exchange. Samotný konektor Exchange nepodporuje vysokou dostupnost. Pokud konektor selže, nedojde k automatickému převzetí služeb při selhání a musíte nainstalovat nový konektor , který nahradí konektor, který selhal.

Pokud chcete převzít služby při selhání, konektor pomocí zadaného cas vytvoří úspěšné připojení k Exchangi. Pak zjistí další certifikační autority pro danou organizaci Exchange. Toto zjišťování umožňuje konektoru převést služby při selhání na jinou službu CAS, pokud je k dispozici, dokud nebude k dispozici primární cas.

Ve výchozím nastavení je zjišťování dalších certifikačních autorit povolené. Pokud potřebujete vypnout převzetí služeb při selhání:

1. Na serveru, na kterém je nainstalovaný Exchange Connector, přejděte na %ProgramData%\Microsoft\Windows Intune Exchange Connector.

2. V textovém editoru otevřete OnPremisesExchangeConnectorServiceConfiguration.xml.

3. Změňte <IsCasFailoverEnabled>true</IsCasFailoverEnabled> na <IsCasFailoverEnabled>false</IsCasFailoverEnabled>.

Ladění výkonu konektoru Exchange (volitelné)

Pokud protokol Exchange ActiveSync podporuje 5 000 nebo více zařízení, můžete nakonfigurovat volitelné nastavení pro zvýšení výkonu konektoru. Výkon zvýšíte tím, že povolíte, aby Exchange používal více instancí prostoru spuštění příkazu PowerShellu.

Než provedete tuto změnu, ujistěte se, že se účet, který používáte ke spuštění Exchange Connectoru, nepoužívá pro jiné účely správy Exchange. Účet Exchange má omezený počet prostorů spuštění a konektor jich bude používat většinu.

Ladění výkonu není vhodné pro konektory, které běží na starším nebo pomalejším hardwaru.

Zvýšení výkonu exchange connectoru:

1. Na serveru, na kterém je konektor nainstalovaný, otevřete instalační adresář konektoru. Výchozí umístění je C:\ProgramData\Microsoft\Windows Intune Exchange Connector.

2. Upravte soubor OnPremisesExchangeConnectorServiceConfiguration.xml.

3. Vyhledejte EnableParallelCommandSupport a nastavte hodnotu na true:

   <EnableParallelCommandSupport>true</EnableParallelCommandSupport>

4. Uložte soubor a restartujte službu Microsoft Intune Exchange Connector.

Přeinstalace konektoru Intune Exchange

Podpora nových instalací exchange connectoru byla vyřazena v červenci 2020 a instalační balíček konektoru už není k dispozici ke stažení. Místo toho použijte hybridní moderní ověřování Exchange (HMA). Následující informace poskytují podporu zákazníkům, kteří můžou stále používat místní Intune Exchange Connector.

Možná budete muset přeinstalovat Intune Exchange Connector. Vzhledem k tomu, že se ke každé organizaci Exchange může připojit pouze jeden konektor, pokud pro organizaci nainstalujete druhý konektor, nahradí nový konektor, který nainstalujete, původní konektor.

1. Pokud chcete nový konektor přeinstalovat, postupujte podle kroků v části Instalace a konfigurace exchange connectoru .

2. Po zobrazení výzvy vyberte Nahradit a nainstalujte nový konektor.

3. Pokračujte kroky v části Instalace a konfigurace konektoru Intune Exchange a přihlaste se k Intune znovu.

4. V posledním okně vyberte Zavřít a dokončete instalaci.

Monitorování exchange connectoru

Po úspěšné konfiguraci exchange connectoru můžete zobrazit stav připojení a poslední úspěšný pokus o synchronizaci:

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Správa> tenantaPřístup k Exchangi.

3. Vyberte protokol Exchange ActiveSync místní konektor a pak vyberte konektor, který chcete zobrazit.

4. V konzole se zobrazí podrobnosti o konektoru, který vyberete, kde můžete zobrazit Stav a datum a čas poslední úspěšné synchronizace.

Kromě stavu v konzole můžete použít sadu Management Pack nástroje System Center Operations Manager pro konektor Exchange a Intune. Sada Management Pack nabízí různé způsoby monitorování exchange connectoru, když potřebujete řešit problémy.

Ruční vynucení rychlé nebo úplné synchronizace

Podpora nových instalací exchange connectoru byla vyřazena v červenci 2020. Místo toho použijte hybridní moderní ověřování Exchange (HMA). Informace v následujících částech jsou poskytovány pro podporu zákazníků, kteří můžou stále používat místní Intune Exchange Connector.

Konektor Intune Exchange automaticky synchronizuje záznamy EAS a Intune zařízení pravidelně. Pokud se stav dodržování předpisů zařízení změní, proces automatické synchronizace pravidelně aktualizuje záznamy, aby bylo možné zablokovat nebo povolit přístup zařízení.

• Rychlá synchronizace probíhá pravidelně, několikrát denně. Rychlá synchronizace načte informace o zařízení pro uživatele s licencí Intune a místní Exchange, kteří cílí na podmíněný přístup a kteří se od poslední synchronizace změnili.

• Úplná synchronizace probíhá ve výchozím nastavení jednou denně. Úplná synchronizace načte informace o zařízení pro všechny uživatele s licencí Intune a místní Exchange, kteří cílí na podmíněný přístup. Úplná synchronizace také načte Exchange Server informace a zajišťuje, aby se na serveru Exchange aktualizovala konfigurace, kterou Intune určuje.

Spuštění synchronizace konektoru můžete vynutit pomocí možností Rychlá synchronizace nebo Úplná synchronizace na řídicím panelu Intune:

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Správa> tenantaPřístup k>Exchangi protokol Exchange ActiveSync Místní konektor.

3. Vyberte konektor, který chcete synchronizovat, a pak zvolte Rychlá synchronizace nebo Úplná synchronizace.

Další kroky

Vytvořte zásady podmíněného přístupu pro místní servery Exchange.