Configurer le connecteur Intune Exchange local
Importante
La prise en charge du connecteur Exchange Intune local prend fin le 19 février 2024. Après cette date, le connecteur Exchange ne se synchronise plus avec Intune. Si vous utilisez le connecteur Exchange, nous vous recommandons d’effectuer l’une des actions suivantes avant le 19 février 2024 :
Pour protéger l'accès à Exchange, Intune s'appuie sur un composant local connu sous le nom de connecteur Microsoft Intune Exchange. Ce connecteur est également appelé connecteur Exchange ActiveSync local dans certains emplacements du centre d’administration Intune.
Importante
Intune va supprimer de son service la prise en charge de la fonctionnalité de Connecteur Exchange local à compter de la version 2007 (juillet). Les clients existants disposant d’un connecteur actif pourront continuer d’utiliser les fonctionnalités actuelles. Les nouveaux clients et les clients existants dépourvus de connecteur actif ne seront plus en mesure de créer des connecteurs ni de gérer des appareils EAS (Exchange ActiveSync) sur Intune. Pour ces locataires, Microsoft recommande d’utiliser l’authentification hybride moderne (HMA) afin de protéger l’accès à Exchange en local. L’authentification HMA active à la fois les stratégies Intune App Protection (également appelées MAM) et l’accès conditionnel par le biais d’Outlook Mobile pour Exchange en local.
Les informations contenues dans cet article peuvent vous aider à installer et à surveiller le connecteur Intune Exchange. Vous pouvez utiliser le connecteur avec vos stratégies d’accès conditionnel pour autoriser ou bloquer l’accès à vos boîtes aux lettres Exchange locales.
Le connecteur est installé et s’exécute sur votre matériel local. Il découvre les appareils qui se connectent à Exchange, communiquant des informations sur ces appareils au service Intune. Le connecteur autorise ou bloque les appareils en fonction de leur inscription et de leur conformité. Ces communications utilisent le protocole HTTPS.
Quand un appareil tente d’accéder à votre serveur Exchange local, le connecteur Exchange mappe les enregistrements Exchange ActiveSync (EAS) dans le serveur Exchange aux enregistrements Intune pour vérifier l’inscription des appareils auprès d’Intune et la conformité aux stratégies de votre appareil. Selon vos stratégies d’accès conditionnel, l’appareil peut être autorisé ou bloqué. Pour plus d’informations, consultez Quelles sont les méthodes courantes d’utilisation de l’accès conditionnel avec Intune ?
Les opérations de découverte et d’autorisation et de blocage sont effectuées à l'aide d’applets PowerShell Exchange standard. Ces opérations utilisent le compte de service fourni lors de l'installation initiale du connecteur Exchange.
Intune prend en charge l’installation de plusieurs connecteurs Exchange locaux par abonnement. Si vous avez plusieurs organisations Exchange locales, vous pouvez configurer un connecteur distinct pour chacune d’elles. Toutefois, un seul connecteur peut être installé pour chaque organisation Exchange.
Voici les étapes générales à suivre pour configurer une connexion qui permet à Intune de communiquer avec le serveur Exchange Server local :
- Téléchargez le connecteur local à partir du centre d’administration Microsoft Intune.
- Installez et configurez le connecteur Exchange sur un ordinateur de l’organisation Exchange locale.
- Validez la connexion Exchange.
- Répétez ces étapes pour chaque organisation Exchange supplémentaire que vous voulez connecter à Intune.
Fonctionnement de l’accès conditionnel pour Exchange en local
L’accès conditionnel pour Exchange en local fonctionne différemment des stratégies basées sur l’accès conditionnel Azure. Vous installez le connecteur Intune Exchange sur site pour interagir directement avec le serveur Exchange. Le connecteur Intune Exchange extrait tous les enregistrements Exchange Active Sync (EAS) qui existent sur le serveur Exchange. Intune peut ainsi prendre ces enregistrements EAS et les mapper à des enregistrements d’appareils Intune. Ces enregistrements sont les appareils inscrits et reconnus par Intune. Ce processus autorise ou bloque l’accès à la messagerie.
Si l’enregistrement EAS est nouveau et qu’Intune ne le sait pas, Intune émet une cmdlet (prononcer « command-let ») qui indique au serveur Exchange de bloquer l’accès à la messagerie. Voici plus de détails sur le fonctionnement de ce processus :
L’utilisateur essaie d’accéder à une messagerie d’entreprise hébergée sur une instance locale d’Exchange 2010 SP1 (ou une version ultérieure).
Si l’appareil n’est pas géré par Intune, son accès à la messagerie est bloqué. Intune envoie une notification de blocage au client EAS.
EAS reçoit une notification de blocage, met l’appareil en quarantaine et envoie l’e-mail de mise en quarantaine, qui contient des étapes de résolution et des liens permettant aux utilisateurs d’inscrire leurs appareils.
Le processus de jonction d’espace de travail se produit. Il s’agit de la première étape pour que les appareils soient gérés par Intune.
L’appareil obtient est inscrit dans Intune.
Intune mappe l’enregistrement EAS à un enregistrement d’appareil, puis enregistre l’état de conformité de l’appareil.
L’ID client EAS est inscrit par le processus d’inscription de l’appareil Microsoft Entra, ce qui crée une relation entre l’enregistrement d’appareil Intune et l’ID client EAS.
L’inscription de l’appareil Microsoft Entra enregistre les informations d’état de l’appareil.
Si l’utilisateur répond aux stratégies d’accès conditionnel, Intune émet une applet de commande via le connecteur Intune Exchange qui permet la synchronisation de la boîte aux lettres.
Exchange Server envoie la notification au client EAS afin que l’utilisateur puisse accéder à la messagerie.
Configuration requise pour le connecteur Intune Exchange
Pour vous connecter à Exchange, vous avez besoin d'un compte avec une licence Intune utilisable par le connecteur. Vous spécifiez le compte lorsque vous installez le connecteur.
Le tableau suivant indique la configuration requise pour l’ordinateur sur lequel vous installez le connecteur Intune Exchange.
Conditions requises | Plus d’informations |
---|---|
Systèmes d’exploitation | Intune prend en charge le connecteur Intune Exchange sur un ordinateur qui exécute une édition de Windows Server 2008 SP2 64 bits, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 ou Windows Server 2016. Le connecteur n’est pas pris en charge sur une installation Server Core. |
Microsoft Exchange | Pour utiliser les connecteurs locaux, vous devez avoir Microsoft Exchange 2010 SP3 ou ultérieur ou la version de Microsoft Exchange Online Dedicated existante. Pour déterminer si votre environnement Exchange Online Dedicated présente la nouvelle configuration ou une configuration héritée, contactez votre responsable de comptes. |
Autorité de gestion des appareils mobiles | Définit Intune comme autorité de gestion des appareils mobiles. |
Matériel | L’ordinateur sur lequel vous installez le connecteur nécessite un processeur 1,6 GHz avec 2 Go de mémoire RAM et 10 Go d’espace disque libre. |
Synchronisation Active Directory | Avant d'utiliser le connecteur pour connecter Intune à votre serveur Exchange, configurez la synchronisation Active Directory. Vos utilisateurs et groupes de sécurité locaux doivent être synchronisés avec votre instance de Microsoft Entra ID. |
Logiciels supplémentaires | L’ordinateur qui héberge le connecteur doit disposer d’une installation complète de Microsoft .NET Framework 4.5 et Windows PowerShell 2.0. |
Réseau | L’ordinateur sur lequel vous installez le connecteur doit être dans un domaine qui entretient une relation d’approbation avec le domaine qui héberge votre instance d’Exchange Server. Configurez l’ordinateur pour l’autoriser à accéder au service Intune à travers les pare-feu et les serveurs proxy sur les ports 80 et 443. Intune utilise ces domaines : - manage.microsoft.com - *manage.microsoft.com - *.manage.microsoft.com Le connecteur Intune Exchange communique avec les services suivants : - Service Intune : port HTTPS 443 - Serveur d'accès au client Exchange (CAS) : port de service WinRM 443 - Découverte automatique Exchange 443 - Exchange Web Services (EWS) 443 |
Spécifications des applets de commande Exchange
Créez un compte d’utilisateur Active Directory pour le connecteur Intune Exchange. Le compte doit être autorisé à exécuter les applets de commande Windows PowerShell Exchange suivantes :
-
Get-ActiveSyncOrganizationSettings
,Set-ActiveSyncOrganizationSettings
-
Get-CasMailbox
,Set-CasMailbox
-
Get-ActiveSyncMailboxPolicy
,Set-ActiveSyncMailboxPolicy
,New-ActiveSyncMailboxPolicy
,Remove-ActiveSyncMailboxPolicy
-
Get-ActiveSyncDeviceAccessRule
,Set-ActiveSyncDeviceAccessRule
,New-ActiveSyncDeviceAccessRule
,Remove-ActiveSyncDeviceAccessRule
Get-ActiveSyncDeviceStatistics
Get-ActiveSyncDevice
Get-ExchangeServer
Get-ActiveSyncDeviceClass
Get-Recipient
-
Clear-ActiveSyncDevice
,Remove-ActiveSyncDevice
Set-ADServerSettings
Get-Command
Télécharger le package d'installation
Le support des nouvelles installations du connecteur Exchange a été dépréciée en juillet 2020 et le package d’installation du connecteur n’est plus disponible au téléchargement. Au lieu de cela, utilisez l’authentification moderne hybride (HMA) d’Exchange.
Installer et configurer le connecteur Intune Exchange
Le support des nouvelles installations du connecteur Exchange a été dépréciée en juillet 2020 et le package d’installation du connecteur n’est plus disponible au téléchargement. Au lieu de cela, utilisez l’authentification moderne hybride (HMA) d’Exchange. Les instructions suivantes sont conservées pour l’utilisation de la réinstallation du connecteur.
Suivez ces étapes pour installer le connecteur Intune Exchange. Si vous avez plusieurs organisations Exchange, répétez les étapes pour chaque connecteur Exchange que vous voulez configurer.
Sur un système d’exploitation pris en charge pour le connecteur Intune Exchange, extrayez les fichiers de Exchange_Connector_Setup.zip dans un emplacement sécurisé.
Importante
Ne renommez pas et ne déplacez pas les fichiers du dossier Exchange_Connector_Setup. Ces modifications entraîneraient l'échec de l'installation du connecteur.
Une fois les fichiers extraits, ouvrez le dossier d’extraction et double-cliquez sur Exchange_Connector_Setup.exe pour installer le connecteur.
Importante
Si le dossier de destination n’est pas un emplacement sécurisé, supprimez le fichier de certificat MicrosoftIntune.accountcert quand vous avez terminé d’installer vos connecteurs locaux.
Dans la boîte de dialogue Microsoft Intune Exchange Connector, sélectionnez Serveur Microsoft Exchange local ou Serveur Microsoft Exchange hébergé.
Pour un serveur Exchange local, spécifiez le nom du serveur ou le nom de domaine complet du serveur Exchange qui héberge le rôle Serveur d’accès au client.
Pour un serveur Exchange hébergé, spécifiez l’adresse du serveur Exchange. Pour trouver l'URL du serveur Exchange hébergé :
Ouvrez Outlook pour Microsoft 365.
Choisissez l’icône ? dans le coin supérieur gauche, puis sélectionnez À propos de.
Recherchez la valeur Serveur externe POP.
Choisissez Serveur proxy pour spécifier les paramètres du serveur proxy pour votre serveur Exchange hébergé.
Sélectionnez Utiliser un serveur proxy lors de la synchronisation des informations de l'appareil mobile.
Entrez le nom du serveur proxy et le numéro de port à utiliser pour accéder au serveur.
S’il est nécessaire de fournir des informations d’identification d’utilisateur pour accéder au serveur proxy, sélectionnez Utiliser les informations d’identification pour la connexion au serveur proxy. Ensuite, entrez le domaine\utilisateur et le mot de passe.
Sélectionnez OK.
Dans les champs Utilisateur (domaine\utilisateur) et Mot de passe, entrez les informations d’identification pour la connexion à votre serveur Exchange. Le compte que vous spécifiez doit avoir une licence d’utilisation d’Intune.
Fournissez les informations d’identification pour envoyer des notifications à la boîte aux lettres Exchange Server d’un utilisateur. Cet utilisateur peut être dédié aux notifications seulement. Il a besoin d’une boîte aux lettres Exchange pour envoyer des notifications par e-mail. Vous pouvez configurer ces notifications à l’aide de stratégies d’accès conditionnel dans Intune.
Vérifiez que le service de découverte automatique et les services web Exchange sont configurés sur le serveur d'accès au client (CAS) Exchange. Pour plus d’informations, consultez Serveur d’accès au client.
Dans le champ Mot de passe , entrez le mot de passe de ce compte pour permettre à Intune d’accéder au serveur Exchange Server.
Remarque
Le compte que vous utilisez pour vous connecter au locataire doit être au moins un administrateur de service Intune. Sans ce compte administrateur, la connexion échouera avec l'erreur « Le serveur distant a renvoyé une erreur : (400) Demande incorrecte ».
Choisissez Connexion.
Remarque
La configuration de la connexion peut prendre quelques minutes.
Lors de la configuration, le connecteur Exchange stocke vos paramètres de proxy pour permettre l’accès à Internet. Si vos paramètres de proxy changent, reconfigurez le connecteur Exchange pour lui appliquer les nouveaux paramètres de proxy.
Une fois la connexion configurée par le connecteur Exchange, les appareils mobiles qui sont associés à des utilisateurs gérés dans Exchange sont automatiquement synchronisés et ajoutés au connecteur Exchange. Cette synchronisation peut prendre un certain temps.
Remarque
Si vous installez le connecteur Intune Exchange et que vous devez ensuite supprimer la connexion Exchange, vous devez désinstaller le connecteur de l'ordinateur où il a été installé.
Installer des connecteurs pour plusieurs organisations Exchange
La prise en charge des nouvelles installations du connecteur Exchange a été déconseillée en juillet 2020. Au lieu de cela, utilisez l’authentification moderne hybride (HMA) d’Exchange. Les informations contenues dans les sections suivantes sont fournies pour prendre en charge les clients qui peuvent encore utiliser le connecteur Exchange Intune local.
Prise en charge d’un haut niveau de disponibilité pour le connecteur Intune Exchange local
Pour le connecteur local, la haute disponibilité signifie qu’en cas d’indisponibilité du serveur d’accès au client Exchange utilisé par le connecteur, ce dernier peut basculer vers un autre serveur d’accès au client pour cette organisation Exchange. Le connecteur Exchange lui-même ne prend pas en charge la haute disponibilité. Si le connecteur échoue, il n’y a pas de basculement automatique et vous devez alors remplacer ce connecteur en installant un nouveau connecteur.
Pour le basculement, le connecteur utilise le serveur d’accès au client spécifié afin d’établir une connexion réussie à Exchange. Il découvre ensuite d'autres serveurs d’accès au client pour cette organisation Exchange. Grâce à cette découverte, le connecteur peut basculer vers un d’entre eux, sous réserve qu’il soit disponible, jusqu’à ce que le serveur d’accès au client principal redevienne disponible.
Par défaut, la découverte de serveurs d’accès au client supplémentaires est activée. Si vous devez désactiver le basculement :
Sur le serveur où est installé le connecteur Exchange, accédez à %ProgramData%\Microsoft\Windows Intune Exchange Connector.
À l’aide d’un éditeur de texte, ouvrez OnPremisesExchangeConnectorServiceConfiguration.xml.
Remplacez <IsCasFailoverEnabled>true</IsCasFailoverEnabled> par <IsCasFailoverEnabled>false</IsCasFailoverEnabled>.
Optimisation des performances pour le connecteur Exchange (optionnel)
Si Exchange ActiveSync prend en charge 5 000 appareils ou plus , vous pouvez configurer un paramètre facultatif pour améliorer les performances du connecteur. Vous pouvez améliorer les performances en permettant à Exchange d’utiliser plusieurs instances d’un espace d’exécution de commandes PowerShell.
Avant de procéder à cette modification, vérifiez que le compte que vous utilisez pour exécuter le connecteur Exchange n’est pas utilisé à d’autres fins de gestion d’Exchange. Un compte Exchange comporte un nombre limité d'espaces d'exécution, et le connecteur utilisera la plupart d'entre eux.
L’amélioration des performances n’est pas adaptée aux connecteurs qui s’exécutent sur du matériel plus ancien ou plus lent.
Pour améliorer les performances du connecteur Exchange :
Sur le serveur où le connecteur est installé, ouvrez le répertoire d’installation du connecteur. L’emplacement par défaut est C:\ProgramData\Microsoft\Windows Intune Exchange Connector.
Éditez le fichier OnPremisesExchangeConnectorServiceConfiguration.xml.
Recherchez EnableParallelCommandSupport et définissez sa valeur sur true :
<EnableParallelCommandSupport>true</EnableParallelCommandSupport>
Enregistrez le fichier, puis redémarrez le service Microsoft Intune Exchange Connector.
Réinstaller le connecteur Intune Exchange
Le support des nouvelles installations du connecteur Exchange a été dépréciée en juillet 2020 et le package d’installation du connecteur n’est plus disponible au téléchargement. Au lieu de cela, utilisez l’authentification moderne hybride (HMA) d’Exchange. Les informations suivantes sont fournies pour prendre en charge les clients qui peuvent encore utiliser le connecteur Exchange Intune local.
Vous pouvez être amené à réinstaller un connecteur Intune Exchange. Un seul connecteur pouvant être connecté à chaque organisation Exchange, si vous installez un deuxième connecteur pour l’organisation, ce nouveau connecteur remplace le connecteur d’origine.
Pour réinstaller le nouveau connecteur, suivez les étapes de la section Installer et configurer le connecteur Exchange.
Quand vous y êtes invité, sélectionnez Remplacer pour installer le nouveau connecteur.
Continuez les étapes à partir de la section Installer et configurer le connecteur Intune Exchange, puis reconnectez-vous à Intune.
Dans la dernière fenêtre, sélectionnez Fermer pour terminer l'installation.
Superviser un connecteur Exchange
Une fois que vous avez correctement configuré le connecteur Exchange, vous pouvez afficher l’état de la connexion et la dernière tentative de synchronisation réussie :
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Administration de locataire>Accès à Exchange.
Sélectionnez Connecteur local Exchange ActiveSync, puis choisissez le connecteur que vous souhaitez visualiser.
La console affiche les détails du connecteur que vous sélectionnez, où vous pouvez voir l'état et la date et l'heure de la dernière synchronisation réussie.
Outre l’état dans la console, vous pouvez utiliser le pack d’administration System Center Operations Manager pour le connecteur Exchange et Intune. Le pack d’administration offre différents moyens de superviser le connecteur Exchange quand vous devez résoudre des problèmes.
Forcer manuellement une synchronisation rapide ou une synchronisation complète
La prise en charge des nouvelles installations du connecteur Exchange a été déconseillée en juillet 2020. Au lieu de cela, utilisez l’authentification moderne hybride (HMA) d’Exchange. Les informations contenues dans les sections suivantes sont fournies pour prendre en charge les clients qui peuvent encore utiliser le connecteur Exchange Intune local.
Un connecteur Intune Exchange synchronise automatiquement et régulièrement Intune et les enregistrements d’appareils EAS. Si l’état de conformité d’un appareil change, le processus de synchronisation automatique met régulièrement à jour les enregistrements afin que l’accès à l’appareil puisse être bloqué ou autorisé.
Une synchronisation rapide est exécutée régulièrement, plusieurs fois par jour. Une synchronisation rapide récupère les informations d’appareil pour les utilisateurs Exchange locaux et sous licence Intune qui sont ciblés pour l’accès conditionnel et qui ont changé depuis la dernière synchronisation.
Une synchronisation complète est exécutée par défaut une fois par jour. Une synchronisation complète récupère les informations d’appareil pour tous les utilisateurs Exchange locaux et sous licence Intune qui sont ciblés pour l’accès conditionnel. Une synchronisation complète récupère également les informations du serveur Exchange et garantit que la configuration spécifiée par Intune est mise à jour sur le serveur Exchange.
Vous pouvez forcer un connecteur à exécuter une synchronisation à l’aide des options Synchronisation rapide ou Synchronisation complète du tableau de bord Intune :
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Administration de locataire>Accès à Exchange>Connecteur local Exchange ActiveSync.
Sélectionnez le connecteur à synchroniser, puis choisissez Synchronisation rapide ou Synchronisation complète.
Étapes suivantes
Créez une stratégie d’accès conditionnel pour les serveurs Exchange locaux.