Konfigurieren des lokalen Exchange-Zugriffs für Intune

Wichtig

Der Support für den lokalen Intune Exchange-Connector endet am 19. Februar 2024. Nach diesem Datum wird der Exchange-Connector nicht mehr mit Intune synchronisiert. Wenn Sie den Exchange-Connector verwenden, empfiehlt es sich, vor dem 19. Februar 2024 eine der folgenden Aktionen auszuführen:

• Migrieren Ihrer Exchange-Postfächer zu Exchange Online
• Einrichten der modernen Hybridauthentifizierung

In diesem Artikel wird erläutert, wie Sie den bedingten Zugriff für Exchange lokal basierend auf der Gerätekonformität konfigurieren.

Wenn Sie über eine Exchange Online Dedicated-Umgebung verfügen und herausfinden müssen, ob es sich um die neue oder die ältere Konfiguration handelt, wenden Sie sich an Ihren Kundenbetreuer. Um den E-Mail-Zugriff auf Exchange lokal oder Ihre ältere Exchange Online Dedicated-Umgebung zu steuern, konfigurieren Sie den bedingten Zugriff für Exchange lokal in Intune.

Bevor Sie beginnen

Bevor Sie den bedingten Zugriff konfigurieren, überprüfen Sie, ob folgende Konfigurationen vorhanden sind:

• Bei Ihrer Exchange-Version handelt es sich um Exchange 2010 SP3 oder höher. Exchange Server-Clientzugriffsserver-Arrays werden unterstützt.

• Der Exchange Active Sync-Connector für Exchange lokal, der Intune mit Exchange lokal verbindet, ist installiert und wird verwendet.

  Wichtig

  Intune unterstützt mehrere lokale Exchange Connectors pro Abonnement. Jeder Connector für Exchange lokal gilt spezifisch für einen bestimmten Intune-Mandanten und kann für keinen anderen Mandanten verwendet werden. Wenn Sie über mehr als eine lokale Exchange-Organisation verfügen, können Sie einen separaten Connector für jede Exchange-Organisation einrichten.

• Der Connector für eine Organisation mir Exchange lokal kann auf jedem Computer installiert werden, solange dieser Computer mit dem Exchange-Server kommunizieren kann.

• Der Connector unterstützt die Exchange-Clientzugriffsserver-Umgebung. Intune unterstützt die direkte Installation des Connector auf dem Exchange-Clientzugriffsserver. Es wird empfohlen, die Installation auf einem separaten Computer durchzuführen, da der Connector den Server zusätzlich belastet. Sie müssen den Connector so konfigurieren, dass er mit einem der Exchange-Clientzugriffsserver kommuniziert.

• Exchange ActiveSync muss für die zertifikatbasierte Authentifizierung oder die Eingabe von Anmeldeinformationen durch Benutzer konfiguriert werden.

• Wenn Richtlinien für bedingten Zugriff konfiguriert und auf einen Benutzer angewendet wurden, muss das Gerät, das der Benutzer zum Abrufen von E-Mails verwendet, folgende Voraussetzungen erfüllen:

  • Es muss bei Intune registriert sein oder sich um einen in die Domäne eingebundenen PC handeln.
  • Registriert in Microsoft Entra ID. Darüber hinaus muss die Exchange ActiveSync-ID des Clients bei Microsoft Entra ID registriert werden.

• Microsoft Entra Device Registration Service (DRS) wird für Intune- und Microsoft 365-Kunden automatisch aktiviert. Kunden, die den AD FS Device Registration Service bereitgestellt haben, sehen keine registrierten Geräte in ihrem lokalen Active Directory. Dies gilt nicht für Windows-PCs und -Geräte.

• Es besteht Konformität mit allen für das Gerät festgelegten Konformitätsrichtlinien.

• Wenn das Gerät die Einstellungen für den bedingten Zugriff nicht erfüllt, erhält der Benutzer bei der Anmeldung eine der folgenden Meldungen:

  • Wenn das Gerät nicht bei Intune registriert oder nicht in Microsoft Entra ID registriert ist, wird eine Meldung mit Anweisungen zum Installieren der Unternehmensportal-App, zum Registrieren des Geräts und zum Aktivieren der E-Mail angezeigt. Bei diesem Vorgang wird auch die Exchange ActiveSync-ID des Geräts dem Gerätedatensatz in Microsoft Entra ID zugeordnet.
  • Wenn das Gerät nicht konform ist, wird eine Meldung angezeigt, die den Benutzer zur Website des Intune-Unternehmensportals oder zur Unternehmensportal-App führt. Im Unternehmensportal finden die Benutzer Informationen über das Problem und dessen Behebung.

Unterstützung für mobile Geräte

• Native E-Mail-App unter iOS/iPadOS: Informationen zum Erstellen einer Richtlinie für bedingten Zugriff finden Sie unter Erstellen von Richtlinien für bedingten Zugriff.

• EAS-E-Mail-Clients wie Gmail unter Android 4 oder höher: Informationen zum Erstellen einer Richtlinie für bedingten Zugriff finden Sie unter Erstellen von Richtlinien für bedingten Zugriff.

• EAS-E-Mail-Clients auf Android Enterprise Personally-Owned-Arbeitsprofilgeräten : Nur Gmail und Nine Work für Android Enterprise werden auf persönlichen Android Enterprise-Arbeitsprofilgeräten unterstützt. Damit der bedingte Zugriff mit persönlichen Android Enterprise-Arbeitsprofilen funktioniert, müssen Sie ein E-Mail-Profil für die Gmail - oder Nine Work für Android Enterprise-App bereitstellen und diese Apps auch als erforderliche Installation bereitstellen. Nachdem Sie die App bereitgestellt haben, können Sie den gerätebasierten bedingten Zugriff einrichten.

• EAS-E-Mail-Clients unter Android-Geräteadministrator: Informationen zum Erstellen einer Richtlinie für bedingten Zugriff finden Sie unter Erstellen von Richtlinien für bedingten Zugriff.

Wichtig

Microsoft Intune endet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräteadministratoren auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind geräteregistrierung, technischer Support, Fehlerbehebungen und Sicherheitskorrekturen nicht mehr verfügbar. Wenn Sie derzeit die Geräteadministratorverwaltung verwenden, empfiehlt es sich, zu einer anderen Android-Verwaltungsoption in Intune zu wechseln, bevor der Support endet. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

So richten Sie den bedingten Zugriff für persönliche Android Enterprise-Arbeitsprofilgeräte ein

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Stellen Sie die Gmail- oder Nine Work-App als erforderlich bereit.

3. Wechseln Sie zu Gerätekonfiguration>, und wählen Sie *Erstellen aus.

4. Geben Sie einen Namen und eine Beschreibung für das Profil ein.

5. Wählen Sie Android Enterprise unter Plattform und E-Mail unter Profiltyp aus.

6. Konfigurieren Sie die E-Mail-Profileinstellungen.

7. Wenn Sie fertig sind, wählen Sie OK>Erstellen aus, um Ihre Änderungen zu speichern.

8. Nachdem Sie das E-Mail-Profil erstellt haben, können Sie es zu Gruppen zuweisen.

9. Richten Sie den gerätebasierten bedingten Zugriff ein.

Hinweis

Microsoft Outlook für Android und iOS/iPadOS wird nicht über den lokalen Exchange-Connector unterstützt. Wenn Sie Microsoft Entra Richtlinien für bedingten Zugriff und Intune-App-Schutzrichtlinien mit Outlook für iOS/iPadOS und Android für Ihre lokalen Postfächer nutzen möchten, lesen Sie Verwenden der modernen Hybridauthentifizierung mit Outlook für iOS/iPadOS und Android.

Unterstützung für PCs

Es unterstützt derzeit die native Mail-Anwendung auf Windows 8.1 und höher (wenn sie bei MDM mit Intune registriert ist).

Wichtig

Am 22. Oktober 2022 beendete Microsoft Intune den Support für Geräte, auf denen Windows 8.1 ausgeführt wird. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.

Wenn Sie derzeit Windows 8.1 verwenden, empfiehlt es sich, zu Windows 10/11-Geräten zu wechseln. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.

Konfigurieren des Zugriffs auf Exchange lokal

Die Unterstützung für neue Installationen des Exchange-Connectors wurde im Juli 2020 als veraltet bezeichnet, und das Connector-Installationspaket steht nicht mehr zum Download zur Verfügung. Verwenden Sie stattdessen Exchange hybride moderne Authentifizierung (Hybrid Modern Authentication, HMA).

Bevor Sie das folgende Verfahren zum Einrichten der Zugriffssteuerung für Exchange lokal ausführen können, müssen Sie mindestens einen Intune-Connector für Exchange lokal einrichten.

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wechseln Sie zu Mandantenverwaltung>Exchange-Zugriff, und wählen Sie dann Zugriff auf Exchange lokal aus.

3. Klicken Sie im Bereich Zugriff auf Exchange lokal auf die Option Ja, um die Zugriffssteuerung von Exchange lokal zu aktivieren.

   

4. Klicken Sie unter Zuweisung auf Wählen Sie die Gruppen aus, die eingeschlossen werden sollen, und wählen Sie mindestens eine Gruppe aus, um den Zugriff zu konfigurieren.

   Die Richtlinie für bedingten Zugriff für Exchange lokal wird auf die Mitglieder der von Ihnen ausgewählten Gruppen angewendet. Benutzer, die diese Richtlinie erhalten, müssen ihre Geräte bei Intune registrieren und die Anforderungen der Konformitätsprofile erfüllen, bevor sie auf Exchange lokal zugreifen können.

   

5. Um Gruppen auszuschließen, klicken Sie auf Wählen Sie die Gruppen aus, die ausgeschlossen werden sollen, und wählen Sie mindestens eine Gruppe aus, die für den Zugriff auf Exchange lokal von den Anforderungen zum Registrieren von Geräten und Einhalten der Konformitätsprofile ausgenommen werden sollen.

   Wählen Sie Speichern aus, um die Konfiguration zu speichern, und kehren Sie zum Bereich Exchange-Zugriff zurück.

6. Als Nächstes konfigurieren Sie Einstellungen für den Intune-Connector für Exchange lokal. Wählen Sie im Admin Center Mandantenverwaltung>Exchange-Zugriff> Exchange ActiveSync lokalen Connector und dann den Connector für die Exchange-organization aus, die Sie konfigurieren möchten.

7. Wählen Sie für Benutzerbenachrichtigungen die Option Bearbeiten aus, um den Workflow Organisation bearbeiten zu öffnen, in dem Sie die Benutzerbenachrichtigung-Meldung ändern können.

   

   Ändern Sie die Standard-E-Mail-Nachricht, die an Benutzer gesendet wird, wenn diese lokal auf Exchange zugreifen möchten, ihre Geräte aber nicht konform sind. Die Nachrichtenvorlage verwendet Markupsprache. Sie sehen während der Eingabe auch eine Vorschau der Nachricht.

   Wählen Sie Überprüfen und speichern und dann Speichern aus, um Ihre Änderungen zu speichern und die Konfiguration des lokalen Zugriffs auf Exchange abzuschließen.

   Tipp

   Weitere Informationen zur Markupsprache finden Sie in diesem Wikipedia-Artikel.

8. Wählen Sie als Nächstes Erweiterte Einstellungen für den Zugriff auf Exchange Active Sync aus, um den Workflow Erweiterte Einstellungen für den Zugriff auf Exchange Active Sync zu öffnen, in dem Sie Regeln für den Gerätezugriff konfigurieren.

   

   • Legen Sie für den Zugriff auf nicht verwaltete Geräte die globale Standardregel für den Zugriff von Geräten fest, die nicht von bedingtem Zugriff oder anderen Regeln betroffen sind:

     • Zugriff zulassen: Alle Geräte können sofort auf Exchange lokal zugreifen. Geräte von Benutzern in Gruppen, die Sie im vorherigen Verfahren als „eingeschlossen“ konfiguriert haben, werden blockiert, wenn sie später als „nicht konform mit den Konformitätsrichtlinien“ oder „nicht in Intune registriert“ ausgewertet werden.

     • Zugriff blockieren und Quarantäne: Der Zugriff auf Exchange lokal wird sofort für alle Geräte blockiert. Geräte von Benutzern in Gruppen, die Sie im vorherigen Verfahren als "eingeschlossen" konfiguriert haben, erhalten Zugriff, nachdem die Geräte in Intune registriert und als konform ausgewertet wurden.

       Diese Einstellung wird auf Android-Geräten unterstützt, auf denen Samsung Knox Standard ausgeführt wird. Andere Android-Geräte unterstützen diese Einstellung nicht und werden immer blockiert.

   • Wählen Sie bei Geräteplattformausnahmen die Option Hinzufügen aus, und geben Sie die für Ihre Umgebung erforderlichen Informationen an.

     Wenn die Einstellung Zugriff nicht verwalteter Geräte auf blockiert festgelegt ist, erhalten Geräte, die registriert und konform sind, auch dann Zugriff, wenn eine Plattformausnahme diesen blockieren würde.

9. Klicken Sie auf OK, um Ihre Änderungen zu speichern.

10. Wählen Sie Überprüfen und speichern und dann Speichern aus, um die Richtlinie für bedingten Zugriff auf Exchange zu speichern.

Nächste Schritte

Als Nächstes erstellen Sie eine Konformitätsrichtlinie und weisen diese den Benutzern in Intune zu, um ihre mobilen Geräte auszuwerten. Siehe Erste Schritte mit der Gerätekonformität.

Problembehandlung für den Intune-Connector für Exchange lokal in Microsoft Intune