Konfigurowanie dostępu lokalnego do programu Exchange dla Intune

Ważna

Obsługa lokalnego programu Intune Exchange Connector kończy się 19 lutego 2024 r. Po tej dacie program Exchange Connector nie będzie już synchronizowany z Intune. Jeśli używasz łącznika programu Exchange, zalecamy wykonanie jednej z następujących akcji przed 19 lutego 2024 r.:

• Migrowanie skrzynek pocztowych programu Exchange do usługi Exchange Online
• Konfigurowanie nowoczesnego uwierzytelniania hybrydowego

W tym artykule przedstawiono sposób konfigurowania dostępu warunkowego dla lokalnego programu Exchange na podstawie zgodności urządzeń.

Jeśli masz środowisko Exchange Online Dedykowane i musisz dowiedzieć się, czy jest ono w nowej, czy starszej konfiguracji, skontaktuj się z menedżerem konta. Aby kontrolować dostęp poczty e-mail do lokalnego programu Exchange lub do starszego środowiska Exchange Online Dedykowane, skonfiguruj dostęp warunkowy do lokalnego programu Exchange w Intune.

Przed rozpoczęciem

Przed skonfigurowaniem dostępu warunkowego sprawdź, czy istnieją następujące konfiguracje:

• Twoja wersja programu Exchange to Exchange 2010 SP3 lub nowszy. Obsługiwana jest tablica serwera dostępu klienta programu Exchange Server (CAS).

• Zainstalowano i użyto lokalnego łącznika programu Exchange Exchange ActiveSync, który łączy Intune z lokalnym programem Exchange.

  Ważna

  Intune obsługuje wiele lokalnych łączników programu Exchange na subskrypcję. Jednak każdy lokalny łącznik programu Exchange jest specyficzny dla jednej dzierżawy Intune i nie może być używany z żadną inną dzierżawą. Jeśli masz więcej niż jedną lokalną organizację programu Exchange, możesz skonfigurować oddzielny łącznik dla każdej organizacji programu Exchange.

• Łącznik dla lokalnej organizacji programu Exchange może być instalowany na dowolnej maszynie, o ile ta maszyna może komunikować się z serwerem Exchange.

• Łącznik obsługuje środowisko CAS programu Exchange. Intune obsługuje bezpośrednie instalowanie łącznika na serwerze CAS programu Exchange. Zalecamy zainstalowanie go na osobnym komputerze ze względu na dodatkowe obciążenie, które łącznik umieszcza na serwerze. Podczas konfigurowania łącznika należy skonfigurować go tak, aby komunikował się z jednym z serwerów CAS programu Exchange.

• Exchange ActiveSync należy skonfigurować przy użyciu uwierzytelniania opartego na certyfikatach lub wpisu poświadczeń użytkownika.

• Jeśli zasady dostępu warunkowego są konfigurowane i kierowane do użytkownika, zanim użytkownik będzie mógł nawiązać połączenie z pocztą e-mail, urządzenie , którego używa, musi być następujące:

  • Zarejestrowano w Intune lub jest komputerem przyłączonym do domeny.
  • Zarejestrowane w Tożsamość Microsoft Entra. Ponadto identyfikator Exchange ActiveSync klienta musi być zarejestrowany w Tożsamość Microsoft Entra.

• Microsoft Entra usługa rejestracji urządzeń (DRS) jest aktywowana automatycznie dla klientów Intune i Platformy Microsoft 365. Klienci, którzy wdrożyli już usługę rejestracji urządzeń usług AD FS, nie widzą zarejestrowanych urządzeń w swoich lokalna usługa Active Directory. Nie dotyczy to komputerów i urządzeń z systemem Windows.

• Zgodne z zasadami zgodności urządzeń wdrożonymi na tym urządzeniu.

• Jeśli urządzenie nie spełnia ustawień dostępu warunkowego, podczas logowania użytkownik otrzymuje jeden z następujących komunikatów:

  • Jeśli urządzenie nie zostało zarejestrowane w Intune lub nie zostało zarejestrowane w Tożsamość Microsoft Entra, zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalowania aplikacji Portal firmy, rejestrowania urządzenia i aktywowania poczty e-mail. Ten proces kojarzy również identyfikator Exchange ActiveSync urządzenia z rekordem urządzenia w Tożsamość Microsoft Entra.
  • Jeśli urządzenie nie jest zgodne, zostanie wyświetlony komunikat kierujący użytkownika do witryny internetowej Intune — Portal firmy lub aplikacji Portal firmy. W portalu firmy mogą znaleźć informacje o problemie i sposobie jego rozwiązania.

Obsługa urządzeń przenośnych

• Natywna aplikacja poczty e-mail w systemie iOS/iPadOS — aby utworzyć zasady dostępu warunkowego, zobacz Tworzenie zasad dostępu warunkowego

• Klienci poczty EAS, tacy jak Gmail w systemie Android 4 lub nowszym — aby utworzyć zasady dostępu warunkowego, zobacz Tworzenie zasad dostępu warunkowego

• Klienci poczty EAS na urządzeniach z profilem służbowym systemu Android Enterprise Personally-Owned — tylko Gmail i Nine Work dla systemu Android Enterprise są obsługiwane na urządzeniach z profilem służbowym należącym do użytkownika z systemem Android Enterprise . Aby dostęp warunkowy działał z profilami służbowymi należącymi do użytkownika systemu Android Enterprise, należy wdrożyć profil poczty e-mail dla aplikacji Gmail lub Nine Work for Android Enterprise , a także wdrożyć te aplikacje jako wymaganą instalację. Po wdrożeniu aplikacji można skonfigurować dostęp warunkowy oparty na urządzeniach.

• Klienci poczty EAS w administratorze urządzeń z systemem Android — aby utworzyć zasady dostępu warunkowego, zobacz Tworzenie zasad dostępu warunkowego

Ważna

Zarządzanie administratorem urządzeń z systemem Android jest przestarzałe i nie jest już dostępne dla urządzeń z dostępem do usług Google Mobile Services (GMS). Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przełączenie się na inną opcję zarządzania systemem Android. Dokumentacja pomocy i pomocy pozostaje dostępna dla niektórych urządzeń bez systemu GMS z systemem Android 15 lub starszym. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Aby skonfigurować dostęp warunkowy dla urządzeń z profilem służbowym należących do użytkownika systemu Android Enterprise

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wdróż aplikację Gmail lub Nine Work zgodnie z wymaganiami.

3. Przejdź do pozycji Urządzenia>Zarządzaj konfiguracją urządzeń> i wybierz pozycję *Utwórz.

4. Wprowadź nazwę i opis profilu.

5. Wybierz pozycję Android Enterprise w obszarze Platforma, wybierz pozycję Emailw polu Typ profilu.

6. Skonfiguruj ustawienia profilu poczty e-mail.

7. Po zakończeniu wybierz przycisk OK>Utwórz , aby zapisać zmiany.

8. Po utworzeniu profilu poczty e-mail przypisz go do grup.

9. Konfigurowanie dostępu warunkowego opartego na urządzeniach.

Uwaga

Program Microsoft Outlook dla systemów Android i iOS/iPadOS nie jest obsługiwany za pośrednictwem łącznika lokalnego programu Exchange. Jeśli chcesz korzystać z Microsoft Entra zasad dostępu warunkowego i zasad ochrony aplikacji Intune z programem Outlook dla systemów iOS/iPadOS i Android dla lokalnych skrzynek pocztowych, zobacz Korzystanie z nowoczesnego uwierzytelniania hybrydowego w programie Outlook dla systemów iOS/iPadOS i Android.

Obsługa komputerów

Obecnie obsługuje natywną aplikację poczty w Windows 8.1 i nowszych (po zarejestrowaniu w usłudze MDM przy użyciu Intune).

Ważna

22 października 2022 r. usługa Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje tych urządzeń nie są dostępne.

Jeśli obecnie używasz systemu Windows 8.1, przejdź na urządzenia z systemem Windows 10/11. Usługa Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi z systemem Windows 10/11.

Konfigurowanie dostępu lokalnego do programu Exchange

Obsługa nowych instalacji programu Exchange Connector została wycofana w lipcu 2020 r., a pakiet instalacyjny łącznika nie jest już dostępny do pobrania. Zamiast tego użyj nowoczesnego uwierzytelniania hybrydowego programu Exchange (HMA).

Aby można było użyć poniższej procedury do skonfigurowania lokalnej kontroli dostępu programu Exchange, należy zainstalować i skonfigurować co najmniej jedną Intune lokalnego łącznika programu Exchange dla lokalnego programu Exchange.

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Przejdź do obszaruDostęp do programu Exchange administracja >dzierżawą, a następnie wybierz pozycję Dostęp lokalny do programu Exchange.

3. W okienku dostępu lokalnego programu Exchange wybierz pozycję Tak , aby włączyć lokalną kontrolę dostępu programu Exchange.

   

4. W obszarze Przypisanie wybierz pozycję Wybierz grupy do uwzględnienia, a następnie wybierz co najmniej jedną grupę, aby skonfigurować dostęp.

   Członkowie wybranych grup mają zastosowane zasady dostępu warunkowego dla dostępu lokalnego programu Exchange. Użytkownicy, którzy otrzymają te zasady, muszą zarejestrować swoje urządzenia w Intune i być zgodni z profilami zgodności, zanim będą mogli uzyskać dostęp do lokalnego programu Exchange.

   

5. Aby wykluczyć grupy, wybierz pozycję Wybierz grupy do wykluczenia, a następnie wybierz co najmniej jedną grupę wykluczoną z wymagań dotyczących rejestrowania urządzeń i zgodności z profilami zgodności przed uzyskaniem dostępu do lokalnego programu Exchange.

   Wybierz pozycję Zapisz , aby zapisać konfigurację, i wróć do okienka dostępu programu Exchange .

6. Następnie skonfiguruj ustawienia Intune lokalnego łącznika programu Exchange. W centrum administracyjnym wybierz pozycję Administracja >dzierżawąProgramu Exchange Access>Exchange ActiveSync łącznik lokalny, a następnie wybierz łącznik dla organizacji programu Exchange, którą chcesz skonfigurować.

7. W obszarze Powiadomienia użytkownika wybierz pozycję Edytuj , aby otworzyć przepływ pracy Edytuj organizację , w którym można zmodyfikować komunikat powiadomienia użytkownika .

   

   Zmodyfikuj domyślną wiadomość e-mail wysyłaną do użytkowników, jeśli ich urządzenie nie jest zgodne i chcą uzyskać dostęp do lokalnego programu Exchange. Szablon wiadomości używa języka znaczników. Możesz również zobaczyć podgląd wyglądu komunikatu podczas wpisywania

   Wybierz pozycję Przejrzyj i zapisz, a następnie zapisz , aby zapisać zmiany, aby ukończyć konfigurację dostępu lokalnego programu Exchange.

   Porada

   Aby dowiedzieć się więcej o języku znaczników, zobacz ten artykuł w Wikipedii.

8. Następnie wybierz pozycję Zaawansowane ustawienia dostępu Exchange ActiveSync, aby otworzyć przepływ pracy Zaawansowane ustawienia dostępu Exchange ActiveSync, w którym skonfigurujesz reguły dostępu urządzeń.

   

   • W przypadku dostępu do urządzeń niezarządzanych ustaw globalną regułę domyślną dostępu z urządzeń, na które nie ma wpływu dostęp warunkowy lub inne reguły:

     • Zezwalaj na dostęp — wszystkie urządzenia mogą natychmiast uzyskiwać dostęp do lokalnego programu Exchange. Urządzenia należące do użytkowników w grupach skonfigurowanych zgodnie z poprzednią procedurą są blokowane, jeśli zostaną później ocenione jako niezgodne ze zgodnymi zasadami lub nie są zarejestrowane w Intune.

     • Blokuj dostęp i kwarantannę — początkowo dostęp do lokalnego programu Exchange jest natychmiast blokowany na wszystkich urządzeniach. Urządzenia należące do użytkowników w grupach skonfigurowanych zgodnie z poprzednią procedurą uzyskują dostęp po zarejestrowaniu urządzenia w Intune i ocenieniu ich jako zgodnych.

       To ustawienie jest obsługiwane na urządzeniach z systemem Android z systemem Samsung Knox Standard. Inne urządzenia z systemem Android nie obsługują tego ustawienia i są zawsze blokowane.

   • W obszarze Wyjątki platformy urządzeń wybierz pozycję Dodaj, a następnie określ szczegóły zgodnie z potrzebami środowiska.

     Jeśli ustawienie Dostęp do urządzeń niezarządzanych jest ustawione na Wartość Zablokowane, urządzenia, które są zarejestrowane i zgodne, są dozwolone, nawet jeśli istnieje wyjątek platformy w celu ich zablokowania.

9. Wybierz przycisk OK , aby zapisać zmiany.

10. Wybierz pozycję Przejrzyj i zapisz, a następnie pozycję Zapisz , aby zapisać zasady dostępu warunkowego programu Exchange.

Następne kroki

Następnie utwórz zasady zgodności i przypisz je do użytkowników, aby Intune ocenić swoje urządzenia przenośne, zobacz Wprowadzenie do zgodności urządzeń.

Rozwiązywanie problemów Intune lokalnego łącznika programu Exchange w Microsoft Intune