Konfigurowanie lokalnego programu Intune Exchange Connector
Ważna
Obsługa lokalnego programu Intune Exchange Connector kończy się 19 lutego 2024 r. Po tej dacie program Exchange Connector nie będzie już synchronizowany z Intune. Jeśli używasz łącznika programu Exchange, zalecamy wykonanie jednej z następujących akcji przed 19 lutego 2024 r.:
Aby ułatwić ochronę dostępu do programu Exchange, Intune opiera się na składniku lokalnym, który jest znany jako łącznik programu Microsoft Intune Exchange. Ten łącznik jest również nazywany łącznikiem lokalnym Exchange ActiveSync w niektórych lokalizacjach centrum administracyjnego Intune.
Ważna
Intune będzie usuwać obsługę funkcji łącznika lokalnego programu Exchange z usługi Intune począwszy od wersji 2007 (lipiec). Istniejący klienci z aktywnym łącznikiem będą mogli w tej chwili kontynuować bieżącą funkcjonalność. Nowi klienci i istniejący klienci, którzy nie mają aktywnego łącznika, nie będą już mogli tworzyć nowych łączników ani zarządzać urządzeniami Exchange ActiveSync (EAS) z Intune. W przypadku tych dzierżaw firma Microsoft zaleca korzystanie z nowoczesnego uwierzytelniania hybrydowego programu Exchange w celu ochrony dostępu do lokalnego programu Exchange. Usługa HMA umożliwia zarówno Intune zasad ochrony aplikacji (znanych również jako MAM), jak i dostęp warunkowy za pośrednictwem lokalnego programu Outlook Mobile for Exchange.
Informacje zawarte w tym artykule mogą pomóc w zainstalowaniu i monitorowaniu łącznika programu Intune Exchange. Łącznik z zasadami dostępu warunkowego umożliwia lub blokuje dostęp do lokalnych skrzynek pocztowych programu Exchange.
Łącznik jest zainstalowany i działa na sprzęcie lokalnym. Odnajduje urządzenia, które łączą się z programem Exchange, komunikując informacje o urządzeniu z usługą Intune. Łącznik umożliwia lub blokuje urządzenia w zależności od tego, czy urządzenia są zarejestrowane i zgodne. Ta komunikacja korzysta z protokołu HTTPS.
Gdy urządzenie próbuje uzyskać dostęp do lokalnego serwera Exchange, łącznik programu Exchange mapuje rekordy Exchange ActiveSync (EAS) w Exchange Server, aby Intune rekordy, aby upewnić się, że urządzenie jest zarejestrowane z Intune i jest zgodne z zasadami urządzenia. W zależności od zasad dostępu warunkowego urządzenie może być dozwolone lub zablokowane. Aby uzyskać więcej informacji, zobacz Typowe sposoby używania dostępu warunkowego z Intune?
Operacje odnajdywaniai zezwalania i blokowania są wykonywane przy użyciu standardowych poleceń cmdlet programu Exchange PowerShell. Te operacje korzystają z konta usługi podanego podczas początkowej instalacji programu Exchange Connector.
Intune obsługuje instalację wielu łączników programu Intune Exchange na subskrypcję. Jeśli masz więcej niż jedną lokalną organizację programu Exchange, możesz skonfigurować oddzielny łącznik dla każdej z nich. Jednak dla każdej organizacji programu Exchange można zainstalować tylko jeden łącznik.
Wykonaj następujące ogólne kroki, aby skonfigurować połączenie, które umożliwia Intune komunikowanie się z lokalnym serwerem Exchange:
- Pobierz łącznik lokalny z centrum administracyjnego Microsoft Intune.
- Zainstaluj i skonfiguruj program Exchange Connector na komputerze w lokalnej organizacji programu Exchange.
- Zweryfikuj połączenie z programem Exchange.
- Powtórz te kroki dla każdej dodatkowej organizacji programu Exchange, z którą chcesz nawiązać połączenie Intune.
Jak działa dostęp warunkowy dla lokalnego programu Exchange
Dostęp warunkowy dla lokalnego programu Exchange działa inaczej niż zasady oparte na dostępie warunkowym platformy Azure. Instalowanie łącznika lokalnego programu Intune Exchange w celu bezpośredniej interakcji z serwerem programu Exchange. Łącznik programu Intune Exchange pobiera wszystkie rekordy usługi Exchange Active Sync (EAS), które istnieją na serwerze exchange, aby Intune mogły pobierać te rekordy EAS i mapować je do Intune rekordów urządzeń. Te rekordy to urządzenia zarejestrowane i rozpoznawane przez Intune. Ten proces umożliwia lub blokuje dostęp do poczty e-mail.
Jeśli rekord EAS jest nowy i Intune go nie wie, Intune wydaje polecenie cmdlet (wymawiane jako "command-let"), które nakazuje serwerowi Exchange zablokowanie dostępu do poczty e-mail. Poniżej przedstawiono więcej szczegółów na temat działania tego procesu:
Użytkownik próbuje uzyskać dostęp do firmowej poczty e-mail hostowanej w lokalnym programie Exchange 2010 z dodatkiem SP1 lub nowszym.
Jeśli urządzenie nie jest zarządzane przez Intune, dostęp do poczty e-mail zostanie zablokowany. Intune wysyła powiadomienie o blokadzie do klienta EAS.
Usługa EAS odbiera powiadomienie o bloku, przenosi urządzenie do kwarantanny i wysyła wiadomość e-mail o kwarantannie z krokami korygowania zawierającymi linki, aby użytkownicy mogli rejestrować swoje urządzenia.
Proces dołączania do miejsca pracy jest pierwszym krokiem do zarządzania urządzeniem przez Intune.
Urządzenie zostanie zarejestrowane w Intune.
Intune mapuje rekord EAS na rekord urządzenia i zapisuje stan zgodności urządzenia.
Identyfikator klienta usługi EAS jest rejestrowany w procesie rejestracji urządzenia Microsoft Entra, który tworzy relację między rekordem urządzenia Intune a identyfikatorem klienta EAS.
Microsoft Entra Rejestracja urządzenia zapisuje informacje o stanie urządzenia.
Jeśli użytkownik spełnia zasady dostępu warunkowego, Intune wystawia polecenie cmdlet za pośrednictwem łącznika programu Intune Exchange, które umożliwia synchronizowanie skrzynki pocztowej.
Serwer Exchange wysyła powiadomienie do klienta eas, aby użytkownik mógł uzyskać dostęp do poczty e-mail.
wymagania dotyczące łącznika programu Intune Exchange
Aby nawiązać połączenie z programem Exchange, potrzebne jest konto z licencją Intune, z której może korzystać łącznik. Należy określić konto podczas instalowania łącznika.
W poniższej tabeli wymieniono wymagania dotyczące komputera, na którym jest instalowany łącznik programu Intune Exchange.
Wymaganie | Więcej informacji |
---|---|
Systemy operacyjne | Intune obsługuje łącznik programu Intune Exchange na komputerze z dowolną wersją programu Windows Server 2008 z dodatkiem SP2 64-bitowym, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 lub Windows Server 2016. Łącznik nie jest obsługiwany w żadnej instalacji server core. |
Microsoft Exchange | Łączniki lokalne wymagają programu Microsoft Exchange 2010 z dodatkiem SP3 lub nowszego lub starszego Exchange Online Dedykowane. Aby ustalić, czy środowisko Exchange Online Dedykowane jest w nowej lub starszej konfiguracji, skontaktuj się z menedżerem konta. |
Urząd zarządzania urządzeniami przenośnymi | Ustaw urząd zarządzania urządzeniami przenośnymi na Intune. |
Sprzęt | Komputer, na którym jest instalowany łącznik, wymaga procesora 1,6 GHz z 2 GB pamięci RAM i 10 GB wolnego miejsca na dysku. |
Synchronizacja z usługą Active Directory | Przed użyciem łącznika w celu nawiązania połączenia Intune z serwerem Exchange skonfiguruj synchronizację usługi Active Directory. Użytkownicy lokalni i grupy zabezpieczeń muszą zostać zsynchronizowani z wystąpieniem Tożsamość Microsoft Entra. |
Dodatkowe oprogramowanie | Komputer hostujący łącznik musi mieć pełną instalację programu Microsoft .NET Framework 4.5 i Windows PowerShell 2.0. |
Sieć | Komputer, na którym jest instalowany łącznik, musi znajdować się w domenie, która ma relację zaufania z domeną hostującą serwer Exchange. Skonfiguruj komputer, aby umożliwić mu dostęp do usługi Intune za pośrednictwem zapór i serwerów proxy za pośrednictwem portów 80 i 443. Intune używa następujących domen: - manage.microsoft.com - *manage.microsoft.com - *.manage.microsoft.com Łącznik programu Intune Exchange komunikuje się z następującymi usługami: — usługa Intune: port HTTPS 443 - Serwer dostępu klienta programu Exchange (CAS): port usługi WinRM 443 — Wykrywanie automatyczne programu Exchange 443 — Exchange Web Services (EWS) 443 |
Wymagania dotyczące poleceń cmdlet programu Exchange
Utwórz konto użytkownika usługi Active Directory dla łącznika programu Intune Exchange. Konto musi mieć uprawnienia do uruchamiania następujących poleceń cmdlet programu Windows PowerShell Exchange:
-
Get-ActiveSyncOrganizationSettings
,Set-ActiveSyncOrganizationSettings
-
Get-CasMailbox
,Set-CasMailbox
-
Get-ActiveSyncMailboxPolicy
,Set-ActiveSyncMailboxPolicy
,New-ActiveSyncMailboxPolicy
,Remove-ActiveSyncMailboxPolicy
-
Get-ActiveSyncDeviceAccessRule
,Set-ActiveSyncDeviceAccessRule
,New-ActiveSyncDeviceAccessRule
,Remove-ActiveSyncDeviceAccessRule
Get-ActiveSyncDeviceStatistics
Get-ActiveSyncDevice
Get-ExchangeServer
Get-ActiveSyncDeviceClass
Get-Recipient
-
Clear-ActiveSyncDevice
,Remove-ActiveSyncDevice
Set-ADServerSettings
Get-Command
Pobieranie pakietu instalacyjnego
Obsługa nowych instalacji programu Exchange Connector została wycofana w lipcu 2020 r., a pakiet instalacyjny łącznika nie jest już dostępny do pobrania. Zamiast tego użyj nowoczesnego uwierzytelniania hybrydowego programu Exchange (HMA).
Instalowanie i konfigurowanie łącznika programu Intune Exchange
Obsługa nowych instalacji programu Exchange Connector została wycofana w lipcu 2020 r., a pakiet instalacyjny łącznika nie jest już dostępny do pobrania. Zamiast tego użyj nowoczesnego uwierzytelniania hybrydowego programu Exchange (HMA). Poniższe instrukcje są obsługiwane w celu użycia ponownej instalacji łącznika.
Wykonaj następujące kroki, aby zainstalować łącznik programu Intune Exchange. Jeśli masz wiele organizacji programu Exchange, powtórz kroki dla każdego łącznika programu Exchange, który chcesz skonfigurować.
W obsługiwanym systemie operacyjnym programu Intune Exchange Connector wyodrębnij pliki w Exchange_Connector_Setup.zip do bezpiecznej lokalizacji.
Ważna
Nie zmieniaj nazwy ani nie przenosij plików znajdujących się w folderze Exchange_Connector_Setup . Te zmiany spowodują niepowodzenie instalacji łącznika.
Po wyodrębnieniu plików otwórz wyodrębniony folder i kliknij dwukrotnie Exchange_Connector_Setup.exe , aby zainstalować łącznik.
Ważna
Jeśli folder docelowy nie jest bezpieczną lokalizacją, usuń plik certyfikatu MicrosoftIntune.accountcert po zakończeniu instalowania łączników lokalnych.
W oknie dialogowym Microsoft Intune Exchange Connector wybierz pozycję Lokalna Microsoft Exchange Server lub Hostowana Microsoft Exchange Server.
W przypadku lokalnego serwera Exchange podaj nazwę serwera lub w pełni kwalifikowaną nazwę domeny serwera Exchange hostującego rolę serwera dostępu klienta .
W przypadku hostowanego serwera Exchange podaj adres serwera Exchange. Aby znaleźć adres URL hostowanego serwera Exchange:
Otwórz Outlook dla Microsoft 365.
Wybierz ikonę ? w lewym górnym rogu, a następnie wybierz pozycję Informacje.
Znajdź wartość serwera zewnętrznego POP .
Wybierz pozycję Serwer proxy , aby określić ustawienia serwera proxy dla hostowanego serwera Exchange.
Wybierz pozycję Użyj serwera proxy podczas synchronizowania informacji o urządzeniu przenośnym.
Wprowadź nazwę serwera proxy i numer portu , który ma zostać użyty do uzyskania dostępu do serwera.
Jeśli do uzyskania dostępu do serwera proxy są wymagane poświadczenia użytkownika, wybierz pozycję Użyj poświadczeń, aby nawiązać połączenie z serwerem proxy. Następnie wprowadź domenę\użytkownika i hasło.
Wybierz pozycję OK.
W polach Użytkownik (domena\użytkownik) i Hasło wprowadź poświadczenia, aby nawiązać połączenie z serwerem Exchange. Określone konto musi mieć licencję na korzystanie z Intune.
Podaj poświadczenia do wysyłania powiadomień do Exchange Server skrzynki pocztowej użytkownika. Ten użytkownik może być dedykowany tylko do powiadomień. Użytkownik powiadomień potrzebuje skrzynki pocztowej programu Exchange do wysyłania powiadomień pocztą e-mail. Te powiadomienia można skonfigurować przy użyciu zasad dostępu warunkowego w Intune.
Upewnij się, że usługa wykrywania automatycznego i usługi Exchange Web Services są skonfigurowane na serwerze CAS programu Exchange. Aby uzyskać więcej informacji, zobacz Serwer dostępu klienta.
W polu Hasło podaj hasło dla tego konta, aby umożliwić Intune dostęp do serwera Exchange.
Uwaga
Konto używane do logowania się do dzierżawy musi być co najmniej administratorem usługi Intune. Bez tego konta administratora otrzymasz nieudane połączenie z błędem "Serwer zdalny zwrócił błąd: (400) Nieprawidłowe żądanie".
Wybierz pozycję Połącz.
Uwaga
Skonfigurowanie połączenia może potrwać kilka minut.
Podczas konfiguracji program Exchange Connector przechowuje ustawienia serwera proxy, aby umożliwić dostęp do Internetu. Jeśli ustawienia serwera proxy ulegnieją zmianie, skonfiguruj ponownie łącznik programu Exchange, aby zastosować zaktualizowane ustawienia serwera proxy do łącznika programu Exchange.
Po skonfigurowaniu połączenia przez program Exchange Connector urządzenia przenośne skojarzone z użytkownikami zarządzanymi przez program Exchange są automatycznie synchronizowane i dodawane do programu Exchange Connector. Wykonanie tej synchronizacji może zająć trochę czasu.
Uwaga
Jeśli zainstalujesz łącznik programu Intune Exchange, a później musisz usunąć połączenie programu Exchange, musisz odinstalować łącznik z komputera, na którym został zainstalowany.
Instalowanie łączników dla wielu organizacji programu Exchange
Obsługa nowych instalacji programu Exchange Connector została wycofana w lipcu 2020 r. Zamiast tego użyj nowoczesnego uwierzytelniania hybrydowego programu Exchange (HMA). Informacje przedstawione w poniższych sekcjach są udostępniane w celu obsługi klientów, którzy nadal mogą korzystać z lokalnego programu Intune Exchange Connector.
Lokalna obsługa wysokiej dostępności łącznika programu Intune Exchange
W przypadku łącznika lokalnego wysoka dostępność oznacza, że jeśli serwer CAS programu Exchange używany przez łącznik stanie się niedostępny, łącznik może przełączyć się na inny cas dla tej organizacji programu Exchange. Sam łącznik programu Exchange nie obsługuje wysokiej dostępności. Jeśli łącznik nie powiedzie się, nie ma automatycznego trybu failover i musisz zainstalować nowy łącznik , aby zastąpić łącznik zakończony niepowodzeniem.
Aby przełączyć się w tryb failover, łącznik używa określonego cas do utworzenia pomyślnego połączenia z programem Exchange. Następnie odnajduje dodatkowe urzędy certyfikacji dla tej organizacji programu Exchange. To odnajdywanie umożliwia łącznikowi przejście w tryb failover do innego cas, jeśli jest dostępny, dopóki podstawowy cas nie stanie się dostępny.
Domyślnie jest włączone odnajdywanie dodatkowych urzędów certyfikacji. Jeśli musisz wyłączyć tryb failover:
Na serwerze, na którym jest zainstalowany łącznik programu Exchange, przejdź do pozycji %ProgramData%\Microsoft\Windows Intune Exchange Connector.
Za pomocą edytora tekstów otwórz OnPremisesExchangeConnectorServiceConfiguration.xml.
Zmień <wartość IsCasFailoverEnabled>true</IsCasFailoverEnabled> na <IsCasFailoverEnabled>false</IsCasFailoverEnabled>.
Dostosuj wydajność łącznika programu Exchange (opcjonalnie)
Jeśli Exchange ActiveSync obsługuje co najmniej 5000 urządzeń, można skonfigurować opcjonalne ustawienie w celu zwiększenia wydajności łącznika. Poprawiasz wydajność, włączając program Exchange do korzystania z wielu wystąpień obszaru uruchamiania poleceń programu PowerShell.
Przed wniesieniem tej zmiany upewnij się, że konto używane do uruchamiania łącznika programu Exchange nie jest używane do innych celów zarządzania programem Exchange. Konto programu Exchange ma ograniczoną liczbę miejsc do uruchamiania, a łącznik będzie używał większości z nich.
Dostrajanie wydajności nie jest odpowiednie dla łączników, które działają na starszym lub wolniejszym sprzęcie.
Aby zwiększyć wydajność łącznika programu Exchange:
Na serwerze, na którym zainstalowano łącznik, otwórz katalog instalacyjny łącznika. Lokalizacja domyślna to C:\ProgramData\Microsoft\Windows Intune Exchange Connector.
Edytuj plikOnPremisesExchangeConnectorServiceConfiguration.xml.
Znajdź pozycję EnableParallelCommandSupport i ustaw wartość true:
<EnableParallelCommandSupport>true</EnableParallelCommandSupport>
Zapisz plik, a następnie uruchom ponownie usługę Microsoft Intune Programu Exchange Connector.
Ponowne instalowanie łącznika programu Intune Exchange
Obsługa nowych instalacji programu Exchange Connector została wycofana w lipcu 2020 r., a pakiet instalacyjny łącznika nie jest już dostępny do pobrania. Zamiast tego użyj nowoczesnego uwierzytelniania hybrydowego programu Exchange (HMA). Poniższe informacje są dostarczane w celu obsługi klientów, którzy nadal mogą korzystać z lokalnego Intune programu Exchange Connector.
Może być konieczne ponowne zainstalowanie łącznika programu Intune Exchange. Ponieważ tylko jeden łącznik może nawiązać połączenie z każdą organizacją programu Exchange, zainstalowanie drugiego łącznika dla organizacji spowoduje zastąpienie oryginalnego łącznika.
Aby ponownie zainstalować nowy łącznik, wykonaj kroki opisane w sekcji Instalowanie i konfigurowanie łącznika programu Exchange .
Po wyświetleniu monitu wybierz pozycję Zastąp , aby zainstalować nowy łącznik.
Kontynuuj kroki opisane w sekcji Instalowanie i konfigurowanie łącznika programu Intune Exchange, a następnie zaloguj się ponownie, aby Intune.
W ostatnim oknie wybierz pozycję Zamknij , aby zakończyć instalację.
Monitorowanie łącznika programu Exchange
Po pomyślnym skonfigurowaniu łącznika programu Exchange można wyświetlić stan połączeń i ostatnią udaną próbę synchronizacji:
Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
Wybierz pozycję Administracja >dzierżawąDostęp do programu Exchange.
Wybierz pozycję Exchange ActiveSync łącznika lokalnego, a następnie wybierz łącznik, który chcesz wyświetlić.
Konsola wyświetla szczegóły wybranego łącznika, w którym można wyświetlić stan oraz datę i godzinę ostatniej pomyślnej synchronizacji.
Oprócz stanu w konsoli można użyć pakietu administracyjnego programu System Center Operations Manager dla programu Exchange Connector i Intune. Pakiet administracyjny oferuje różne sposoby monitorowania łącznika programu Exchange w przypadku konieczności rozwiązywania problemów.
Ręczne wymuszanie szybkiej synchronizacji lub pełnej synchronizacji
Obsługa nowych instalacji programu Exchange Connector została wycofana w lipcu 2020 r. Zamiast tego użyj nowoczesnego uwierzytelniania hybrydowego programu Exchange (HMA). Informacje przedstawione w poniższych sekcjach są udostępniane w celu obsługi klientów, którzy nadal mogą korzystać z lokalnego programu Intune Exchange Connector.
Łącznik programu Intune Exchange automatycznie synchronizuje regularnie rekordy eas i Intune urządzenia. Jeśli stan zgodności urządzenia zmieni się, proces synchronizacji automatycznej regularnie aktualizuje rekordy, aby dostęp do urządzenia mógł być blokowany lub dozwolony.
Szybka synchronizacja odbywa się regularnie, kilka razy dziennie. Szybka synchronizacja pobiera informacje o urządzeniu dla użytkowników programu Exchange licencjonowanych Intune i lokalnych, którzy są objęci dostępem warunkowym i które uległy zmianie od czasu ostatniej synchronizacji.
Pełna synchronizacja odbywa się domyślnie raz dziennie. Pełna synchronizacja pobiera informacje o urządzeniu dla wszystkich użytkowników programu Exchange licencjonowanych Intune i lokalnych, którzy są objęci dostępem warunkowym. Pełna synchronizacja pobiera również informacje Exchange Server i zapewnia, że konfiguracja określona przez Intune jest aktualizowana na serwerze Exchange.
Możesz wymusić uruchomienie synchronizacji przez łącznik przy użyciu opcji Szybkiej synchronizacji lub Pełna synchronizacja na pulpicie nawigacyjnym Intune:
Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
Wybierz pozycję Administracja >dzierżawąDostęp do> programu Exchange Exchange ActiveSync łącznik lokalny.
Wybierz łącznik, który chcesz zsynchronizować, a następnie wybierz pozycję Szybka synchronizacja lub Pełna synchronizacja.
Następne kroki
Utwórz zasady dostępu warunkowego dla lokalnych serwerów programu Exchange.