Konfigurace místního přístupu k Exchangi pro Intune

  • Článek

Důležité

19. února 2024 končí podpora místního konektoru Intune Exchange Connector. Po tomto datu se exchange connector přestane synchronizovat s Intune. Pokud používáte Exchange Connector, doporučujeme do 19. února 2024 provést jednu z následujících akcí:

V tomto článku se dozvíte, jak nakonfigurovat podmíněný přístup pro místní Exchange na základě dodržování předpisů zařízením.

Pokud máte prostředí Exchange Online Dedicated a potřebujete zjistit, jestli je v nové nebo starší konfiguraci, obraťte se na svého account manažera. Pokud chcete řídit přístup k e-mailu k místnímu Exchangi nebo ke staršímu prostředí Exchange Online Dedicated, nakonfigurujte podmíněný přístup k místnímu Exchangi v Intune.

Než začnete

Před konfigurací podmíněného přístupu ověřte, že existují následující konfigurace:

  • Vaše verze Exchange je Exchange 2010 SP3 nebo novější. Podporuje se pole serveru CAS (Client Access Server).

  • Nainstalovali jste a používali protokol Exchange ActiveSync místní Exchange Connector, který připojuje Intune k místnímu Exchangi.

    Důležité

    Intune podporuje několik místních exchange konektorů na jedno předplatné. Každý místní Exchange Connector je ale specifický pro jednoho tenanta Intune a nedá se použít s žádným jiným tenantem. Pokud máte více než jednu místní organizaci Exchange, můžete pro každou organizaci Exchange nastavit samostatný konektor.

  • Konektor pro místní organizaci Exchange se může nainstalovat na libovolný počítač, pokud tento počítač může komunikovat se serverem Exchange.

  • Konektor podporuje prostředí Exchange CAS. Intune podporuje přímou instalaci konektoru na server Exchange CAS. Doporučujeme ho nainstalovat na samostatný počítač kvůli dodatečnému zatížení, které konektor na server přináší. Při konfiguraci konektoru musíte nastavit komunikaci s jedním ze serverů Exchange CAS.

  • protokol Exchange ActiveSync musí být nakonfigurované s ověřováním na základě certifikátu nebo zadáním přihlašovacích údajů uživatele.

  • Když jsou zásady podmíněného přístupu nakonfigurované a cílené na uživatele, musí být zařízení , které používá, před tím, než se uživatel může připojit ke svému e-mailu:

    • Buď je zaregistrovaný v Intune, nebo je počítač připojený k doméně.
    • Registrováno v Microsoft Entra ID. ID protokol Exchange ActiveSync klienta musí být zaregistrované v Microsoft Entra ID.

  • Microsoft Entra služba DRS (Device Registration Service) se pro zákazníky Intune a Microsoftu 365 aktivuje automaticky. Zákazníci, kteří už nasadili službu ADFS Device Registration Service, nevidí registrovaná zařízení ve svých místní Active Directory. To neplatí pro počítače a zařízení s Windows.

  • Vyhovuje zásadám dodržování předpisů zařízením nasazeným na toto zařízení.

  • Pokud zařízení nesplňuje nastavení podmíněného přístupu, zobrazí se uživateli při přihlášení jedna z následujících zpráv:

    • Pokud zařízení není zaregistrované v Intune nebo není zaregistrované v Microsoft Entra ID, zobrazí se zpráva s pokyny k instalaci aplikace Portál společnosti, registraci zařízení a aktivaci e-mailu. Tento proces také přidruží ID protokol Exchange ActiveSync zařízení k záznamu zařízení v Microsoft Entra ID.
    • Pokud zařízení nedodržuje předpisy, zobrazí se zpráva, která uživatele nasměruje na web Portál společnosti Intune nebo na Portál společnosti aplikaci. Na portálu společnosti můžou najít informace o problému a o tom, jak ho napravit.

Podpora mobilních zařízení

  • Nativní e-mailová aplikace v iOS/iPadOS – Pokud chcete vytvořit zásady podmíněného přístupu, přečtěte si téma Vytvoření zásad podmíněného přístupu.

  • Poštovní klienti EAS, jako je Gmail na Androidu 4 nebo novějším – Pokud chcete vytvořit zásady podmíněného přístupu, přečtěte si téma Vytvoření zásad podmíněného přístupu.

  • Poštovní klienti EAS na zařízeních s androidem Enterprise Personally-Owned pracovním profilem – Na zařízeních s pracovním profilem Android Enterprise v osobním vlastnictví se podporují jenom Gmail a Nine Work pro Android Enterprise. Aby podmíněný přístup fungoval s pracovními profily Androidu Enterprise v osobním vlastnictví, musíte nasadit e-mailový profil pro aplikaci Gmail nebo Nine Work pro Android Enterprise a také tyto aplikace nasadit jako požadovanou instalaci. Po nasazení aplikace můžete nastavit podmíněný přístup na základě zařízení.

  • Poštovní klienti EAS na správci zařízení s Androidem – Pokud chcete vytvořit zásady podmíněného přístupu, přečtěte si téma Vytvoření zásad podmíněného přístupu.

Důležité

Microsoft Intune končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS) 30. srpna 2024. Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme před ukončením podpory přepnout na jinou možnost správy Androidu v Intune. Další informace najdete v článku Ukončení podpory pro správce zařízení s Androidem na zařízeních GMS.

Nastavení podmíněného přístupu pro zařízení s pracovním profilem Androidu Enterprise v osobním vlastnictví

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Nasaďte aplikaci Gmail nebo Nine Work podle potřeby.

  3. Přejděte naKonfiguracezařízení> a zvolte *Vytvořit.

  4. Zadejte Název a Popis profilu.

  5. V části Platforma vyberte Android Enterprise a v části Typ profilu vyberte Email.

  6. Nakonfigurujte nastavení e-mailového profilu.

  7. Až budete hotovi, vyberte OK>Vytvořit a uložte změny.

  8. Po vytvoření e-mailového profilu ho přiřaďte ke skupinám.

  9. Nastavení podmíněného přístupu na základě zařízení

Poznámka

Microsoft Outlook pro Android a iOS/iPadOS není podporován prostřednictvím místního konektoru Exchange. Pokud chcete pro místní poštovní schránky využívat Microsoft Entra zásady podmíněného přístupu a zásady intune App Protection s Outlookem pro iOS/iPadOS a Android, přečtěte si téma Používání hybridního moderního ověřování v Outlooku pro iOS/iPadOS a Android.

Podpora pro počítače

V současné době podporuje nativní aplikaci Mail v Windows 8.1 a novějších verzích (při registraci do MDM pomocí Intune).

Důležité

22. října 2022 Microsoft Intune ukončila podporu zařízení s Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.

Pokud aktuálně používáte Windows 8.1, doporučujeme přejít na zařízení Windows 10/11. Microsoft Intune má integrované funkce zabezpečení a zařízení, které spravují Windows 10/11 klientských zařízení.

Konfigurace místního přístupu k Exchangi

Podpora nových instalací exchange connectoru byla vyřazena v červenci 2020 a instalační balíček konektoru už není k dispozici ke stažení. Místo toho použijte hybridní moderní ověřování Exchange (HMA).

Než budete moct pomocí následujícího postupu nastavit řízení přístupu k místnímu Exchangi, musíte nainstalovat a nakonfigurovat aspoň jeden konektor Intune on-premises Exchange Connector pro místní Exchange.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Přejděte do části Správa> klientaPřístup k Exchangi a pak vyberte Přístup k místnímu Exchangi.

  3. V podokně Místní přístup k Exchangi zvolte Ano , pokud chcete povolit řízení přístupu v místním Exchangi.

    Ukázkový snímek obrazovky s přístupem k místnímu Exchangi

  4. V části Přiřazení zvolte Vybrat skupiny, které chcete zahrnout, a pak vyberte jednu nebo více skupin pro konfiguraci přístupu.

    U členů skupin, které vyberete, se na ně vztahují zásady podmíněného přístupu pro místní přístup k Exchangi. Uživatelé, kteří obdrží tuto zásadu, musí před přístupem k místnímu Exchangi zaregistrovat svá zařízení v Intune a být kompatibilní s profily dodržování předpisů.

    Vyberte skupiny, které chcete zahrnout.

  5. Pokud chcete vyloučit skupiny, zvolte Vybrat skupiny, které chcete vyloučit, a pak vyberte jednu nebo více skupin, které jsou vyloučené z požadavků na registraci zařízení a dodržování předpisů před přístupem k místnímu Exchangi.

    Výběrem možnosti Uložit uložte konfiguraci a vraťte se do podokna Přístup k Exchangi .

  6. Dále nakonfigurujte nastavení pro místní exchange konektor Intune. V Centru pro správu vyberte Správa> klientaExchange Access>protokol Exchange ActiveSync on-premises Connector a pak vyberte konektor pro organizaci Exchange, který chcete nakonfigurovat.

  7. V části Oznámení uživatelů vyberte Upravit a otevřete pracovní postup Upravit organizaci , ve kterém můžete upravit zprávu oznámení uživatele .

    Ukázkový snímek obrazovky s pracovním postupem upravit organizaci pro oznámení

    Upravte výchozí e-mailovou zprávu odesílanou uživatelům, pokud jejich zařízení nevyhovuje předpisům a chtějí mít přístup k místnímu Exchangi. Šablona zprávy používá jazyk revize. Při psaní se také můžete podívat na náhled toho, jak zpráva vypadá.

    Vyberte Zkontrolovat a uložit a pak Uložit a uložte úpravy a dokončete konfiguraci místního přístupu k Exchangi.

    Tip

    Další informace o značkovacím jazyce najdete v tomto článku na Wikipedii.

  8. Pak vyberte Upřesnit nastavení protokol Exchange ActiveSync přístupu a otevřete pracovní postup Upřesnit nastavení protokol Exchange ActiveSync přístupu, ve kterém nakonfigurujete pravidla přístupu zařízení.

    Ukázkový snímek obrazovky s pracovním postupem Upravit organizaci pro upřesňující nastavení

    • V případě nespravovaného přístupu k zařízením nastavte globální výchozí pravidlo pro přístup ze zařízení, na která podmíněný přístup nebo jiná pravidla nemají vliv:

      • Povolit přístup – Všechna zařízení mají okamžitě přístup k místnímu Exchangi. Zařízení, která patří uživatelům ve skupinách, které jste nakonfigurovali jako zařízení zahrnutá v předchozím postupu, se zablokují, pokud se později vyhodnotí jako nevyhovující zásadám dodržování předpisů nebo pokud nejsou zaregistrovaná v Intune.

      • Blokovat přístup a umístit do karantény – Všechna zařízení mají okamžitě zablokovaný přístup k místnímu Exchangi. Zařízení, která patří uživatelům ve skupinách, které jste nakonfigurovali jako zahrnuté v předchozím postupu, získají přístup poté, co se zařízení zaregistruje v Intune a vyhodnotí se jako vyhovující.

        Toto nastavení je podporováno na zařízeních s Androidem, na kterých běží Samsung Knox Standard. Jiná zařízení s Androidem toto nastavení nepodporují a jsou vždy blokovaná.

    • V části Výjimky platformy zařízení vyberte Přidat a pak zadejte podrobnosti podle potřeby pro vaše prostředí.

      Pokud je nastavení Přístupu k nespravovanému zařízení nastavené na Blokované, zaregistrovaná zařízení, která jsou kompatibilní, budou povolená i v případě, že existuje výjimka platformy, která je blokuje.

  9. Kliknutím na OK úpravy uložte.

  10. Vyberte Zkontrolovat a uložit a pak Uložit a uložte zásady podmíněného přístupu Exchange.

Další kroky

Dále vytvořte zásadu dodržování předpisů a přiřaďte ji uživatelům, aby mohli Intune vyhodnotit jejich mobilní zařízení. Viz Začínáme s dodržováním předpisů zařízením.

Řešení potíží s místním konektorem Exchange v Intune v Microsoft Intune