設定內部部署 Intune Exchange 連接器
重要事項
內部部署 Intune Exchange 連接器的支援會在 2024 年 2 月 19 日結束。 在此日期之後,Exchange 連接器將不再與 Intune 同步。 如果您使用 Exchange 連接器,建議您在 2024 年 2 月 19 日之前採取下列其中一個動作:
為了協助保護對 Exchange 的存取,Intune 依賴稱為 Microsoft Intune Exchange 連接器的內部部署元件。 在 Intune 系統管理中心的某些位置,此連接器也稱為 Exchange ActiveSync 內部部署連接器。
重要事項
Intune 將從 2007 (7 月) 版開始,從 Intune 服務移除 Exchange 內部部署連接器功能的支援。 具有作用中連接器的現有客戶目前將能夠繼續使用目前的功能。 沒有作用中連接器的新客戶和現有客戶將無法再從 Intune 建立新的連接器或管理 (EAS) 裝置的 Exchange ActiveSync。 針對這些租使用者,Microsoft建議使用 Exchange 混合式新式驗證 (HMA) 來保護 Exchange 內部部署的存取。 HMA 可讓 Intune 應用程式防護原則 (也稱為 MAM) ,以及透過 Exchange 內部部署 Outlook Mobile 的條件式存取。
本文中的資訊可協助您安裝及監視 Intune Exchange 連接器。 您可以使用連接器搭配 條件式存取 原則,以允許或封鎖對 Exchange 內部部署信箱的存取。
連接器會在您的內部部署硬體上安裝並執行。 它會探索連線到 Exchange 的裝置,將裝置資訊傳達給 Intune 服務。 連接器會根據裝置是否已註冊且符合規範,來允許或封鎖裝置。 這些通訊會使用 HTTPS 通訊協定。
當裝置嘗試存取您的內部部署 Exchange 伺服器時,Exchange 連接器會將 Exchange Server 中 Exchange ActiveSync (EAS) 記錄對應至 Intune 記錄,以確保裝置會向 Intune 註冊,並符合您裝置的原則。 根據您的條件式存取原則,可以允許或封鎖裝置。 如需詳細資訊,請參閱搭配使用條件式存取與 Intune 的常見方式有哪些?
探索和允許和封鎖作業都是使用標準 Exchange PowerShell Cmdlet 來完成。 這些作業會使用最初安裝 Exchange 連接器時所提供的服務帳戶。
Intune 支援每個訂用帳戶安裝多個 Intune Exchange 連接器。 如果您有多個內部部署 Exchange 組織,您可以為每個組織設定個別的連接器。 不過,每個 Exchange 組織只能安裝一個連接器。
請遵循下列一般步驟來設定可讓 Intune 與內部部署 Exchange Server 通訊的連線:
- 從 Microsoft Intune 系統管理中心下載內部部署連接器。
- 在內部部署 Exchange 組織中的電腦上安裝及設定 Exchange 連接器。
- 驗證 Exchange 連線。
- 針對您想要連線到 Intune 的每個額外 Exchange 組織重複這些步驟。
Exchange 內部部署的條件式存取如何運作
Exchange 內部部署的條件式存取運作方式與以 Azure 條件式存取為基礎的原則不同。 您會安裝 Intune Exchange 內部部署連接器,以直接與 Exchange Server 互動。 Intune Exchange 連接器會提取所有 Exchange Active Sync (EAS) 記錄,以便 Intune 取得這些 EAS 記錄,並將它們對應至 Intune 裝置記錄。 這些記錄是由 Intune 註冊並辨識的裝置。 此程序允許或封鎖電子郵件存取。
如果 EAS 記錄是新的,Intune 並不知道,Intune 會發出 Cmdlet (發音為 “command-let”) ,以指示 Exchange 伺服器封鎖電子郵件的存取。 以下是此程式運作方式的詳細資料:
用戶嘗試存取裝載於 Exchange 內部部署 2010 SP1 或更新版本的公司電子郵件。
如果裝置不是由 Intune 管理,則會封鎖對電子郵件的存取。 Intune 傳送封鎖通知給EAS用戶端。
EAS 會收到封鎖通知、將裝置移至隔離區,並傳送包含連結的補救步驟的隔離電子郵件,讓使用者可以註冊其裝置。
工作場所加入程式會發生,這是由 Intune 管理裝置的第一個步驟。
裝置會註冊到 Intune。
Intune 將 EAS 記錄對應至裝置記錄,並儲存裝置合規性狀態。
EAS 用戶端識別碼會由 Microsoft Entra 裝置註冊程序註冊,這會建立 Intune 裝置記錄與 EAS 用戶端標識符之間的關聯性。
Microsoft Entra 裝置註冊會儲存裝置狀態資訊。
如果使用者符合條件式存取原則,Intune 會透過允許信箱同步處理的 Intune Exchange 連接器發出 Cmdlet。
Exchange Server 會將通知傳送至 EAS 用戶端,讓使用者可以存取電子郵件。
Intune Exchange 連接器需求
若要連線到 Exchange,您需要具有連接器可使用之 Intune 授權的帳戶。 您會在安裝連接器時指定帳戶。
下表列出安裝 Intune Exchange 連接器之電腦的需求。
需求 | 其他相關資訊 |
---|---|
作業系統 | Intune 支援執行任何 Windows Server 2008 SP2 64 位、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 或 Windows Server 2016 版本之電腦上的 Intune Exchange 連接器。 任何 Server Core 安裝都不支援連接器。 |
Microsoft Exchange | 內部部署連接器需要 Microsoft Exchange 2010 SP3 或更新版本或舊版 Exchange Online Dedicated。 若要判斷您的 Exchange Online 專用環境是否處於新的或舊版設定中,請連絡您的帳戶管理員。 |
行動裝置管理授權單位 | 將行動裝置管理授權單位設定為 Intune。 |
硬體 | 您安裝連接器的電腦需要具有 2 GB RAM 和 10 GB 可用磁碟空間的 1.6 GHz CPU。 |
Active Directory 同步處理 | 使用連接器將 Intune 連線到 Exchange 伺服器之前,請先設定 Active Directory 同步處理。 您的本機使用者和安全組必須與您的 Microsoft Entra ID 實例同步。 |
其他軟體 | 裝載連接器的計算機必須已完整安裝 Microsoft .NET Framework 4.5 和 Windows PowerShell 2.0。 |
網路 | 您安裝連接器的電腦必須位於與裝載 Exchange 伺服器之網域具有信任關係的網域中。 將計算機設定為允許其透過埠 80 和 443 透過防火牆和 Proxy 伺服器存取 Intune 服務。 Intune 使用下列網域: - manage.microsoft.com - *manage.microsoft.com - *.manage.microsoft.com Intune Exchange 連接器會與下列服務通訊: - Intune 服務:HTTPS 埠 443 - EXCHANGE 用戶端存取伺服器 (CAS) :WinRM 服務埠 443 - Exchange 自動探索 443 - Exchange Web Services (EWS) 443 |
Exchange Cmdlet 需求
為 Intune Exchange 連接器建立 Active Directory 用戶帳戶。 帳戶必須具有許可權,才能執行下列 Windows PowerShell Exchange Cmdlet:
-
Get-ActiveSyncOrganizationSettings
,Set-ActiveSyncOrganizationSettings
-
Get-CasMailbox
,Set-CasMailbox
-
Get-ActiveSyncMailboxPolicy
,Set-ActiveSyncMailboxPolicy
,New-ActiveSyncMailboxPolicy
,Remove-ActiveSyncMailboxPolicy
-
Get-ActiveSyncDeviceAccessRule
,Set-ActiveSyncDeviceAccessRule
,New-ActiveSyncDeviceAccessRule
,Remove-ActiveSyncDeviceAccessRule
Get-ActiveSyncDeviceStatistics
Get-ActiveSyncDevice
Get-ExchangeServer
Get-ActiveSyncDeviceClass
Get-Recipient
-
Clear-ActiveSyncDevice
,Remove-ActiveSyncDevice
Set-ADServerSettings
Get-Command
下載安裝套件
Exchange 連接器的新安裝支援已於 2020 年 7 月淘汰,且連接器安裝套件不再可供下載。 請改用 Exchange 混合式新式驗證 (HMA) 。
安裝和設定 Intune Exchange 連接器
Exchange 連接器的新安裝支援已於 2020 年 7 月淘汰,且連接器安裝套件不再可供下載。 請改用 Exchange 混合式新式驗證 (HMA) 。 系統會維護下列指示,以使用 重新安裝連接器。
請遵循下列步驟來安裝 Intune Exchange 連接器。 如果您有多個 Exchange 組織,請針對您想要設定的每個 Exchange 連接器重複步驟。
在 Intune Exchange 連接器支援的作業系統上,將 Exchange_Connector_Setup.zip 中的檔案解壓縮到安全的位置。
重要事項
請勿重新命名或移動 Exchange_Connector_Setup 資料夾中的檔案。 這些變更會導致連接器安裝失敗。
擷取檔案之後,請開啟解壓縮的資料夾,然後按兩下 Exchange_Connector_Setup.exe 以安裝連接器。
重要事項
如果目的地資料夾不是安全的位置,請在您完成安裝內部部署連接器時刪除憑證檔案 MicrosoftIntune.accountcert 。
在 [Microsoft Intune Exchange Connector] 對話框中,選取 [內部部署 Microsoft Exchange Server] 或 [託管 Microsoft Exchange Server]。
針對內部部署 Exchange 伺服器,請提供裝載 Client Access Server 角色之 Exchange 伺服器的伺服器名稱或完整功能變數名稱。
針對託管的 Exchange 伺服器,提供 Exchange 伺服器位址。 若要尋找裝載的 Exchange 伺服器 URL:
開啟 Microsoft 365 Outlook。
選擇左上角的 ? 圖示,然後選取 [ 關於]。
找出 POP 外部伺服器 值。
選擇 [Proxy 伺服器 ] 以指定託管 Exchange 伺服器的 Proxy 伺服器設定。
選取 [同步 處理行動裝置資訊時使用 Proxy 伺服器]。
輸入要用來存取 伺服器的 Proxy 伺服器名稱 和 埠號碼 。
如果需要使用者認證才能存取 Proxy 伺服器,請選取 [使用認證連線到 Proxy 伺服器]。 然後輸入 domain\user 和 密碼。
選擇 [確定]。
在 [ 使用者 (網域\使用者) 和 密碼] 字段中,輸入認證以連線到您的 Exchange 伺服器。 您指定的帳戶必須具有使用 Intune 的授權。
提供認證以將通知傳送至使用者的 Exchange Server 信箱。 此使用者可以專用於通知。 通知使用者需要 Exchange 信箱以電子郵件傳送通知。 您可以在 Intune 中使用條件式存取原則來設定這些通知。
請確定已在 Exchange CAS 上設定自動探索服務和 Exchange Web 服務。 如需詳細資訊,請 參閱用戶端存取伺服器。
在 [密碼] 欄位中,提供此帳戶的密碼,讓 Intune 存取 Exchange Server。
注意事項
您用來登入租用戶的帳戶至少必須是 Intune 服務管理員。 如果沒有此系統管理員帳戶,您將會收到連線失敗,並出現錯誤「遠端伺服器傳回錯誤: (400) 錯誤要求」。
選擇 [連線]。
注意事項
設定連線可能需要幾分鐘的時間。
在設定期間,Exchange 連接器會儲存您的 Proxy 設定,以啟用因特網的存取權。 如果您的 Proxy 設定變更,請重新設定 Exchange 連接器,將更新的 Proxy 設定套用至 Exchange 連接器。
在 Exchange 連接器設定連線之後,與 Exchange 管理的使用者相關聯的行動裝置會自動同步處理並新增至 Exchange 連接器。 此同步處理可能需要一些時間才能完成。
注意事項
如果您安裝 Intune Exchange 連接器,且稍後需要刪除 Exchange 連線,則必須從安裝該連接器的電腦卸載連接器。
安裝多個 Exchange 組織的連接器
2020 年 7 月已淘汰對 Exchange 連接器新安裝的支援。 請改用 Exchange 混合式新式驗證 (HMA) 。 下列各節中的資訊是提供給支援可能仍使用內部部署 Intune Exchange 連接器的客戶。
內部部署 Intune Exchange 連接器高可用性支援
針對內部部署連接器,高可用性表示如果連接器使用的 Exchange CAS 變成無法使用,連接器可以切換至該 Exchange 組織的不同 CAS。 Exchange 連接器本身不支援高可用性。 如果連接器失敗,則不會自動故障轉移,而且您必須 安裝新的連接器 來取代失敗的連接器。
若要故障轉移,連接器會使用指定的 CAS 來建立成功的 Exchange 連線。 然後,它會探索該 Exchange 組織的其他 CAS。 如果有可用的 CAS,此探索可讓連接器故障轉移至另一個 CAS,直到主要 CAS 可供使用為止。
根據預設,會啟用探索其他 CAS。 如果您需要關閉故障轉移:
在安裝 Exchange 連接器的伺服器上,移至 %ProgramData%\Microsoft\Windows Intune Exchange Connector。
使用文本編輯器,開 啟OnPremisesExchangeConnectorServiceConfiguration.xml。
將 IsCasFailoverEnabled>true</IsCasFailoverEnabled 變更<>為 <IsCasFailoverEnabled>false</IsCasFailoverEnabled>。
效能微調 Exchange 連接器 (選用)
當 Exchange ActiveSync 支援 5,000 部以上的裝置時,您可以設定選擇性設定來改善連接器的效能。 您可以讓 Exchange 使用 PowerShell 命令執行空間的多個實例,以改善效能。
進行這項變更之前,請確定您用來執行 Exchange 連接器的帳戶不會用於其他 Exchange 管理用途。 Exchange 帳戶的運行空間數目有限,而連接器會使用大部分的空格。
效能微調不適用於在較舊或較慢硬體上執行的連接器。
若要改善 Exchange 連接器效能:
在安裝連接器的伺服器上,開啟連接器的安裝目錄。 默認位置為 C:\ProgramData\Microsoft\Windows Intune Exchange Connector。
編輯檔案 OnPremisesExchangeConnectorServiceConfiguration.xml。
找出 EnableParallelCommandSupport 並將值設定為 true:
<EnableParallelCommandSupport>true</EnableParallelCommandSupport>
儲存盤案,然後重新啟動 Microsoft Intune Exchange 連接器服務。
重新安裝 Intune Exchange 連接器
Exchange 連接器的新安裝支援已於 2020 年 7 月淘汰,且連接器安裝套件不再可供下載。 請改用 Exchange 混合式新式驗證 (HMA) 。 提供下列資訊以支援可能仍使用內部部署 Intune Exchange 連接器的客戶。
您可能需要重新安裝 Intune Exchange 連接器。 因為只有單一連接器可以連線到每個 Exchange 組織,所以如果您為組織安裝第二個連接器,您安裝的新連接器會取代原始連接器。
若要重新安裝新的連接器,請遵循 安裝和設定 Exchange 連接器一 節中的步驟。
出現提示時,選取 [取代 ] 以安裝新的連接器。
繼續執行安裝和設定 Intune Exchange 連接器一節中的步驟,然後再次登入 Intune。
在最後一個視窗中,選取 [關閉 ] 以完成安裝。
監視 Exchange 連接器
成功設定 Exchange 連接器之後,您可以檢視連線的狀態和上次成功的同步處理嘗試:
選取 [租用戶系統管理>Exchange 存取]。
選 Exchange ActiveSync 內部部署連接器,然後選取您要檢視的連接器。
主控台會顯示您選取之連接器的詳細資料,您可以在其中檢視 [狀態 ] 和上次成功同步處理的日期和時間。
除了主控台內狀態之外,您還可以使用 System Center Operations Manager 管理元件來取得 Exchange 連接器和 Intune。 當您需要針對問題進行疑難解答時,管理元件會提供不同的方式來監視 Exchange 連接器。
手動強制執行快速同步處理或完整同步處理
2020 年 7 月已淘汰對 Exchange 連接器新安裝的支援。 請改用 Exchange 混合式新式驗證 (HMA) 。 下列各節中的資訊是提供給支援可能仍使用內部部署 Intune Exchange 連接器的客戶。
Intune Exchange 連接器會定期自動同步處理 EAS 和 Intune 裝置記錄。 如果裝置的合規性狀態變更,自動同步處理程式會定期更新記錄,以便封鎖或允許裝置存取。
快速同步處理會定期發生,一天數次。 快速同步會擷取 Intune 授權和內部部署 Exchange 使用者的裝置資訊,這些使用者是條件式存取的目標,且自上次同步處理之後已變更。
根據預設,每天會發生 一次完整同步 處理。 完整同步會擷取所有以條件式存取為目標之 Intune 授權和內部部署 Exchange 使用者的裝置資訊。 完整同步處理也會擷取 Exchange Server 資訊,並確保 exchange Server 上 Intune 指定的組態已更新。
您可以使用 Intune 儀表板上的 [快速同步] 或 [完整同步處理] 選項,強制連接器執行同步處理:
選取 [租用戶系統管理>Exchange 存取> Exchange ActiveSync 內部部署連接器。
選取您要同步處理的連接器,然後選擇 [快速同步] 或 [完整同步]。