Nastavení místního intune Exchange Connectoru

Důležité

19. února 2024 končí podpora místního konektoru Intune Exchange Connector. Po tomto datu se exchange connector přestane synchronizovat s Intune. Pokud používáte Exchange Connector, doporučujeme do 19. února 2024 provést jednu z následujících akcí:

• Migrace poštovních schránek Exchange do Exchange Online
• Nastavení hybridního moderního ověřování

Intune kvůli ochraně přístupu k Exchangi spoléhá na místní komponentu, která se označuje jako Microsoft Intune Exchange Connector. Tento konektor se v některých umístěních v Centru pro správu Intune označuje také jako místní konektor protokol Exchange ActiveSync.

Důležité

Intune bude od verze 2007 (červenec) odebírat podporu funkce Exchange On-Premises Connector ze služby Intune. Stávající zákazníci s aktivním konektorem budou moct v tuto chvíli pokračovat v aktuálních funkcích. Noví zákazníci a stávající zákazníci, kteří nemají aktivní konektor, už nebudou moct vytvářet nové konektory ani spravovat zařízení protokol Exchange ActiveSync (EAS) z Intune. Pro tyto tenanty Microsoft doporučuje použít k ochraně přístupu k místnímu Exchangi hybridní moderní ověřování (HMA). HMA umožňuje zásady ochrany aplikací Intune (označované také jako MAM) i podmíněný přístup prostřednictvím Outlooku Mobile pro místní Exchange.

Informace v tomto článku vám můžou pomoct s instalací a monitorováním konektoru Intune Exchange Connector. Pomocí konektoru se zásadami podmíněného přístupu můžete povolit nebo zablokovat přístup k místním poštovním schránkám Exchange.

Konektor se nainstaluje a spustí na místním hardwaru. Zjistí zařízení, která se připojují k Exchangi a komunikují informace o zařízení službě Intune. Konektor povoluje nebo blokuje zařízení na základě toho, jestli jsou zařízení zaregistrovaná a dodržují předpisy. Tato komunikace používá protokol HTTPS.

Když se zařízení pokusí o přístup k místnímu serveru Exchange, exchange Connector mapuje záznamy protokol Exchange ActiveSync (EAS) v Exchange Server na záznamy Intune, aby se zajistilo, že se zařízení zaregistruje v Intune a bude splňovat zásady vašeho zařízení. V závislosti na zásadách podmíněného přístupu může být zařízení povolené nebo blokované. Další informace najdete v tématu Jaké jsou běžné způsoby použití podmíněného přístupu v Intune?

Operace zjišťování , povolení a blokování se provádějí pomocí standardních rutin Exchange PowerShellu. Tyto operace používají účet služby, který je k dispozici při počáteční instalaci exchange connectoru.

Intune podporuje instalaci více konektorů Intune Exchange Na jedno předplatné. Pokud máte víc než jednu místní organizaci Exchange, můžete pro každou z nich nastavit samostatný konektor. Pro každou organizaci Exchange se ale dá nainstalovat jenom jeden konektor.

Pomocí těchto obecných kroků nastavte připojení, které umožní Službě Intune komunikovat s místním serverem Exchange:

1. Stáhněte si místní konektor z centra pro správu Microsoft Intune.
2. Nainstalujte a nakonfigurujte Exchange Connector na počítači v místní organizaci Exchange.
3. Ověřte připojení Exchange.
4. Tento postup opakujte pro každou další organizaci Exchange, kterou chcete připojit k Intune.

Jak funguje podmíněný přístup pro místní Exchange

Podmíněný přístup pro místní Exchange funguje jinak než zásady založené na podmíněném přístupu Azure. Nainstalujete místní konektor Intune Exchange pro přímou interakci se serverem Exchange. Intune Exchange Connector načítá všechny záznamy Exchange Active Sync (EAS), které existují na serveru Exchange, aby Intune mohl tyto záznamy EAS vzít a namapovat je na záznamy zařízení Intune. Tyto záznamy jsou zařízení zaregistrovaná a rozpoznaná službou Intune. Tento proces povolí nebo zablokuje přístup k e-mailu.

Pokud je záznam EAS nový a Intune o něm neví, Intune vydá rutinu (vyslovuje se "command-let"), která nasměruje server Exchange, aby zablokoval přístup k e-mailu. Tady jsou další podrobnosti o tom, jak tento proces funguje:

1. Uživatel se pokusí o přístup k podnikovému e-mailu, který je hostovaný v místním Exchange 2010 SP1 nebo novějším.

2. Pokud zařízení není spravované službou Intune, bude přístup k e-mailu zablokovaný. Intune pošle klientovi EAS oznámení o blokování.

3. EAS obdrží oznámení o blokování, přesune zařízení do karantény a odešle e-mail o karanténě s nápravnými kroky, které obsahují odkazy, aby uživatelé mohli zaregistrovat svá zařízení.

4. Provede se proces připojení k pracovišti, což je první krok pro správu zařízení službou Intune.

5. Zařízení se zaregistruje do Intune.

6. Intune namapuje záznam EAS na záznam zařízení a uloží stav dodržování předpisů zařízením.

7. ID klienta EAS se zaregistruje procesem registrace zařízení Microsoft Entra, který vytvoří vztah mezi záznamem zařízení Intune a ID klienta EAS.

8. Microsoft Entra Device Registration uloží informace o stavu zařízení.

9. Pokud uživatel splňuje zásady podmíněného přístupu, Intune prostřednictvím intune Exchange Connectoru vydá rutinu, která umožňuje synchronizaci poštovní schránky.

10. Server Exchange odešle oznámení klientovi EAS, aby uživatel mohl získat přístup k e-mailu.

Požadavky na Intune Exchange Connector

Pokud se chcete připojit k Exchangi, potřebujete účet s licencí Intune, kterou může konektor používat. Účet zadáte při instalaci konektoru.

Následující tabulka uvádí požadavky na počítač, na který instalujete Intune Exchange Connector.

Požadavek	Další informace
Operační systémy	Intune podporuje Intune Exchange Connector na počítači, na kterém běží libovolná edice 64bitových systémů Windows Server 2008 SP2, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 nebo Windows Server 2016. Konektor není podporován při žádné instalaci jádra serveru.
Microsoft Exchange	Místní konektory vyžadují Microsoft Exchange 2010 SP3 nebo novější nebo starší Exchange Online Dedicated. Pokud chcete zjistit, jestli je prostředí Exchange Online Dedicated v nové nebo starší konfiguraci, obraťte se na správce účtu.
Autorita pro správu mobilních zařízení	Nastavte autoritu pro správu mobilních zařízení na Intune.
Hardware	Počítač, na který nainstalujete konektor, vyžaduje procesor 1,6 GHz s 2 GB paměti RAM a 10 GB volného místa na disku.
Synchronizace služby Active Directory	Než pomocí konektoru připojíte Intune k serveru Exchange, nastavte synchronizaci služby Active Directory. Místní uživatelé a skupiny zabezpečení se musí synchronizovat s vaší instancí id Microsoft Entra.
Další software	Počítač, který je hostitelem konektoru, musí mít úplnou instalaci rozhraní Microsoft .NET Framework 4.5 a Windows PowerShell 2.0.
Síťové	Počítač, na který nainstalujete konektor, musí být v doméně, která má vztah důvěryhodnosti s doménou, která je hostitelem serveru Exchange. Nakonfigurujte počítač tak, aby umožňoval přístup ke službě Intune přes brány firewall a proxy servery přes porty 80 a 443. Intune používá tyto domény: - manage.microsoft.com - *manage.microsoft.com - *.manage.microsoft.com Intune Exchange Connector komunikuje s následujícími službami: – Služba Intune: port HTTPS 443 – Exchange Client Access Server (CAS): Port služby WinRM 443 – Exchange Autodiscover 443 – Exchange Web Services (EWS) 443

Požadavky na rutiny Exchange

Vytvořte uživatelský účet Active Directory pro Intune Exchange Connector. Účet musí mít oprávnění ke spouštění následujících rutin Windows PowerShell Exchange:

• Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings
• Get-CasMailbox, Set-CasMailbox
• Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy
• Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule
• Get-ActiveSyncDeviceStatistics
• Get-ActiveSyncDevice
• Get-ExchangeServer
• Get-ActiveSyncDeviceClass
• Get-Recipient
• Clear-ActiveSyncDevice, Remove-ActiveSyncDevice
• Set-ADServerSettings
• Get-Command

Stažení instalačního balíčku

Podpora nových instalací exchange connectoru byla vyřazena v červenci 2020 a instalační balíček konektoru už není k dispozici ke stažení. Místo toho použijte hybridní moderní ověřování Exchange (HMA).

Instalace a konfigurace Intune Exchange Connectoru

Podpora nových instalací exchange connectoru byla vyřazena v červenci 2020 a instalační balíček konektoru už není k dispozici ke stažení. Místo toho použijte hybridní moderní ověřování Exchange (HMA). Pro použití přeinstalace konektoru jsou zachovány následující pokyny.

Pokud chcete nainstalovat Intune Exchange Connector, postupujte podle těchto kroků. Pokud máte více organizací Exchange, opakujte kroky pro každý konektor Exchange, který chcete nastavit.

1. V podporovaném operačním systému pro Intune Exchange Connector extrahujte soubory v Exchange_Connector_Setup.zip do zabezpečeného umístění.

   Důležité

   Soubory, které jsou ve složce Exchange_Connector_Setup , nepřejmenovávejte ani nepřesouvejte. Tyto změny by způsobily selhání instalace konektoru.

2. Po extrahování souborů otevřete extrahované složky a poklikáním na Exchange_Connector_Setup.exe nainstalujte konektor.

   Důležité

   Pokud cílová složka není zabezpečené umístění, po dokončení instalace místních konektorů odstraňte soubor certifikátu MicrosoftIntune.accountcert .

3. V dialogovém okně Microsoft Intune Exchange Connector vyberte Místní Microsoft Exchange Server nebo Hostované Microsoft Exchange Server.

   

   V případě místního serveru Exchange zadejte buď název serveru, nebo plně kvalifikovaný název domény serveru Exchange, který je hostitelem role Server klientského přístupu .

   Pro hostovaný server Exchange zadejte adresu serveru Exchange. Vyhledání adresy URL hostovaného serveru Exchange:

   1. Otevřete Outlook pro Microsoft 365.

   2. Zvolte ikonu ? v levém horním rohu a pak vyberte O aplikaci.

   3. Vyhledejte hodnotu Externí server POP .

   4. Zvolte Proxy server a určete nastavení proxy serveru pro hostovaný server Exchange.

      1. Vyberte Použít proxy server při synchronizaci informací o mobilním zařízení.

      2. Zadejte název proxy serveru a číslo portu , který se má použít pro přístup k serveru.

      3. Pokud se pro přístup k proxy serveru vyžadují přihlašovací údaje uživatele, vyberte Použít přihlašovací údaje pro připojení k proxy serveru. Pak zadejte doména\uživatel a heslo.

      4. Zvolte OK.

4. Do polí Uživatel (doména\uživatel) a Heslo zadejte přihlašovací údaje pro připojení k serveru Exchange. Zadaný účet musí mít licenci k používání Intune.

5. Zadejte přihlašovací údaje pro odesílání oznámení do Exchange Server poštovní schránky uživatele. Tento uživatel může být vyhrazený jenom pro oznámení. Uživatel oznámení potřebuje poštovní schránku Exchange, aby odesílal oznámení e-mailem. Tato oznámení můžete nakonfigurovat pomocí zásad podmíněného přístupu v Intune.

   Ujistěte se, že služba Automatická konfigurace a webové služby Exchange jsou nakonfigurované na serveru Exchange CAS. Další informace najdete v tématu Server klientského přístupu.

6. Do pole Heslo zadejte heslo pro tento účet, aby služba Intune mohla přistupovat k serveru Exchange.

   Poznámka

   Účet, který používáte pro přihlášení k tenantovi, musí být alespoň správcem služby Intune. Bez tohoto účtu správce dojde k selhání připojení s chybou Vzdálený server vrátil chybu: (400) Chybný požadavek.

7. Zvolte Připojit.

   Poznámka

   Konfigurace připojení může trvat několik minut.

Exchange Connector během konfigurace ukládá nastavení proxy serveru, aby umožnil přístup k internetu. Pokud se nastavení proxy serveru změní, překonfigurujte Exchange Connector tak, aby se aktualizovaná nastavení proxy serveru použila na exchange connector.

Po nastavení připojení konektorem Exchange se mobilní zařízení přidružená k uživatelům spravovaným systémem Exchange automaticky synchronizují a přidají se do konektoru Exchange. Dokončení této synchronizace může nějakou dobu trvat.

Poznámka

Pokud nainstalujete Intune Exchange Connector a později budete potřebovat odstranit připojení Exchange, musíte konektor odinstalovat z počítače, na kterém byl nainstalovaný.

Instalace konektorů pro více organizací Exchange

Podpora nových instalací exchange connectoru byla vyřazena v červenci 2020. Místo toho použijte hybridní moderní ověřování Exchange (HMA). Informace v následujících částech jsou k dispozici pro podporu zákazníků, kteří můžou stále používat místní Intune Exchange Connector.

Podpora vysoké dostupnosti místního intune Exchange Connectoru

U místního konektoru vysoká dostupnost znamená, že pokud se server CAS Exchange, který konektor používá, stane nedostupným, může konektor přepnout na jinou cas pro danou organizaci Exchange. Samotný konektor Exchange nepodporuje vysokou dostupnost. Pokud konektor selže, nedojde k automatickému převzetí služeb při selhání a musíte nainstalovat nový konektor , který nahradí konektor, který selhal.

Pokud chcete převzít služby při selhání, konektor pomocí zadaného cas vytvoří úspěšné připojení k Exchangi. Pak zjistí další certifikační autority pro danou organizaci Exchange. Toto zjišťování umožňuje konektoru převést služby při selhání na jinou službu CAS, pokud je k dispozici, dokud nebude k dispozici primární cas.

Ve výchozím nastavení je zjišťování dalších certifikačních autorit povolené. Pokud potřebujete vypnout převzetí služeb při selhání:

1. Na serveru, na kterém je nainstalovaný Exchange Connector, přejděte na %ProgramData%\Microsoft\Windows Intune Exchange Connector.

2. V textovém editoru otevřete OnPremisesExchangeConnectorServiceConfiguration.xml.

3. Změňte <IsCasFailoverEnabled>true</IsCasFailoverEnabled> na <IsCasFailoverEnabled>false</IsCasFailoverEnabled>.

Ladění výkonu konektoru Exchange (volitelné)

Pokud protokol Exchange ActiveSync podporuje 5 000 nebo více zařízení, můžete nakonfigurovat volitelné nastavení pro zvýšení výkonu konektoru. Výkon zvýšíte tím, že povolíte, aby Exchange používal více instancí prostoru spuštění příkazu PowerShellu.

Než provedete tuto změnu, ujistěte se, že se účet, který používáte ke spuštění Exchange Connectoru, nepoužívá pro jiné účely správy Exchange. Účet Exchange má omezený počet prostorů spuštění a konektor jich bude používat většinu.

Ladění výkonu není vhodné pro konektory, které běží na starším nebo pomalejším hardwaru.

Zvýšení výkonu exchange connectoru:

1. Na serveru, na kterém je konektor nainstalovaný, otevřete instalační adresář konektoru. Výchozí umístění je C:\ProgramData\Microsoft\Windows Intune Exchange Connector.

2. Upravte soubor OnPremisesExchangeConnectorServiceConfiguration.xml.

3. Vyhledejte EnableParallelCommandSupport a nastavte hodnotu na true:

   <EnableParallelCommandSupport>true</EnableParallelCommandSupport>

4. Uložte soubor a restartujte službu Microsoft Intune Exchange Connector.

Přeinstalace Intune Exchange Connectoru

Podpora nových instalací exchange connectoru byla vyřazena v červenci 2020 a instalační balíček konektoru už není k dispozici ke stažení. Místo toho použijte hybridní moderní ověřování Exchange (HMA). Následující informace jsou k dispozici pro podporu zákazníků, kteří můžou stále používat místní Intune Exchange Connector.

Možná budete muset přeinstalovat Intune Exchange Connector. Vzhledem k tomu, že se ke každé organizaci Exchange může připojit pouze jeden konektor, pokud pro organizaci nainstalujete druhý konektor, nahradí nový konektor, který nainstalujete, původní konektor.

1. Pokud chcete nový konektor přeinstalovat, postupujte podle kroků v části Instalace a konfigurace exchange connectoru .

2. Po zobrazení výzvy vyberte Nahradit a nainstalujte nový konektor.

3. Pokračujte kroky v části Instalace a konfigurace Intune Exchange Connectoru a znovu se přihlaste k Intune.

4. V posledním okně vyberte Zavřít a dokončete instalaci.

Monitorování exchange connectoru

Po úspěšné konfiguraci exchange connectoru můžete zobrazit stav připojení a poslední úspěšný pokus o synchronizaci:

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Správa> tenantaPřístup k Exchangi.

3. Vyberte protokol Exchange ActiveSync místní konektor a pak vyberte konektor, který chcete zobrazit.

4. V konzole se zobrazí podrobnosti o konektoru, který vyberete, kde můžete zobrazit Stav a datum a čas poslední úspěšné synchronizace.

Kromě stavu v konzole můžete použít sadu Management Pack nástroje System Center Operations Manager pro Exchange Connector a Intune. Sada Management Pack nabízí různé způsoby monitorování exchange connectoru, když potřebujete řešit problémy.

Ruční vynucení rychlé nebo úplné synchronizace

Podpora nových instalací exchange connectoru byla vyřazena v červenci 2020. Místo toho použijte hybridní moderní ověřování Exchange (HMA). Informace v následujících částech jsou k dispozici pro podporu zákazníků, kteří můžou stále používat místní Intune Exchange Connector.

Intune Exchange Connector automaticky pravidelně synchronizuje záznamy zařízení EAS a Intune. Pokud se stav dodržování předpisů zařízení změní, proces automatické synchronizace pravidelně aktualizuje záznamy, aby bylo možné zablokovat nebo povolit přístup zařízení.

• Rychlá synchronizace probíhá pravidelně, několikrát denně. Rychlá synchronizace načte informace o zařízeních pro uživatele s licencí Intune a místní Exchange, kteří cílí na podmíněný přístup a kteří se od poslední synchronizace změnili.

• Úplná synchronizace probíhá ve výchozím nastavení jednou denně. Úplná synchronizace načte informace o zařízení pro všechny uživatele s licencí Intune a místní exchange, kteří cílí na podmíněný přístup. Úplná synchronizace také načte Exchange Server informace a zajistí, aby se na serveru Exchange aktualizovala konfigurace, kterou intune určuje.

Spuštění synchronizace konektoru můžete vynutit pomocí možností Rychlá synchronizace nebo Úplná synchronizace na řídicím panelu Intune:

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Správa> tenantaPřístup k>Exchangi protokol Exchange ActiveSync Místní konektor.

3. Vyberte konektor, který chcete synchronizovat, a pak zvolte Rychlá synchronizace nebo Úplná synchronizace.

Další kroky

Vytvořte zásady podmíněného přístupu pro místní servery Exchange.