Einrichten des lokalen Intune Exchange Connectors

  • Artikel

Wichtig

Der Support für den lokalen Intune Exchange-Connector endet am 19. Februar 2024. Nach diesem Datum wird der Exchange-Connector nicht mehr mit Intune synchronisiert. Wenn Sie den Exchange-Connector verwenden, empfiehlt es sich, vor dem 19. Februar 2024 eine der folgenden Aktionen auszuführen:

Um den Zugriff auf Exchange zu schützen, nutzt Intune eine lokale Komponente, die als Microsoft Intune Exchange Connector bezeichnet wird. Dieser Connector wird auch als Exchange ActiveSync lokalen Connector an einigen Standorten des Intune Admin Centers bezeichnet.

Wichtig

Ab Release Nr. 2007 (Juli) wird im Intune-Dienst die Unterstützung für das Feature „Connector für Exchange lokal“ eingestellt. Bestandskunden mit einem aktiven Connector können die aktuelle Funktionalität weiterhin nutzen. Neu- und Bestandskunden, die nicht über einen aktiven Connector verfügen, können keine neuen Connectors mehr erstellen oder Exchange ActiveSync-Geräte (EAS) über Intune verwalten. Für diese Mandanten empfiehlt Microsoft die hybride moderne Authentifizierung (HMA) für Exchange, um den Zugriff auf Exchange lokal zu schützen. Die hybride moderne Authentifizierung ermöglicht sowohl Intune-App-Schutz-Richtlinien (auch MAM) als auch den bedingten Zugriff über Outlook Mobile für Exchange lokal.

Die Informationen in diesem Artikel helfen Ihnen beim Installieren und Überwachen des Intune Exchange Connectors. Sie können den Connector mit Ihren Richtlinien für den bedingten Zugriff verwenden, um Zugriff auf Ihre lokalen Exchange-Postfächer zu gewähren oder zu verweigern.

Der Connector wird auf Ihrer lokalen Hardware installiert und ausgeführt. Er erkennt Geräte, die sich mit Exchange verbinden, und übermittelt Geräteinformationen an den Intune-Dienst. Je nachdem, ob Geräte registriert und konform sind, werden sie vom Connector zugelassen oder blockiert. Für diese Kommunikation wird das Protokoll HTTPS verwendet.

Wenn ein Gerät versucht, auf Ihre lokale Exchange Server-Instanz zuzugreifen, ordnet der Exchange-Connector Exchange ActiveSync-Datensätze (EAS) in Exchange Server Intune-Datensätzen zu, um sicherzustellen, dass das Gerät bei Intune registriert ist und Ihren Geräterichtlinien entspricht. Abhängig von Ihren Richtlinien für bedingten Zugriff kann dem Gerät der Zugriff gewährt oder verweigert werden. Weitere Informationen finden Sie im Artikel Gängige Möglichkeiten für die Nutzung des bedingten Zugriffs in Intune.

Die Vorgänge Ermittlung und Zulassen und blockieren erfolgen mithilfe standardmäßiger PowerShell-Cmdlets für Exchange. Diese Vorgänge verwenden das Dienstkonto, das bei der Erstinstallation des Exchange-Connectors angegeben wird.

Intune unterstützt pro Abonnement die Installation mehrerer Intune Exchange Connectors. Wenn Sie über mehrere lokale Exchange-Organisationen verfügen, können Sie für jede einen separaten einrichten. Allerdings kann für jede Exchange-Organisation nur ein Connector installiert werden.

Befolgen Sie diese allgemeinen Anweisungen zum Einrichten einer Verbindung, die es Intune ermöglicht, mit der lokalen Exchange Server-Instanz zu kommunizieren:

  1. Laden Sie den lokalen Connector aus dem Microsoft Intune Admin Center herunter.
  2. Installieren und konfigurieren Sie den Exchange Connector auf einem Computer in der lokalen Exchange-Organisation.
  3. Überprüfen Sie die Exchange-Verbindung.
  4. Wiederholen Sie diese Schritte für jede weitere Exchange-Organisation, die Sie mit Intune verbinden möchten.

Funktionsweise des bedingten Zugriffs für Exchange lokal

Der bedingte Zugriff für Exchange lokal funktioniert anders als die Azure-Richtlinien für bedingten Zugriff. Sie installieren den Intune-Connector für Exchange lokal, um direkt mit dem Exchange-Server zu interagieren. Der Intune Exchange-Connector ruft alle EAS-Datensätze (Exchange Active Sync) ab, die auf dem Exchange-Server vorhanden sind, damit Intune diese Datensätze verwenden und den Intune-Gerätedatensätzen zuordnen kann. Bei diesen Datensätzen handelt es sich um Geräte, die bei Intune registriert sind und von Intune erkannt werden. Dieser Prozess erlaubt oder blockiert den E-Mail-Zugriff.

Wenn ein EAS-Datensatz neu und Intune noch nicht bekannt ist, gibt Intune ein Cmdlet („command-let“ ausgesprochen) aus, das den Exchange-Server anweist, den Zugriff auf E-Mails zu blockieren. Im Folgenden finden Sie weitere Details zur Funktionsweise dieses Prozesses:

Lokales Exchange-Diagramm mit ZS-Flussdiagramm

  1. Ein Benutzer versucht, auf Unternehmens-E-Mails zuzugreifen, die in Exchange lokal 2010 SP1 oder höher gehostet werden.

  2. Der E-Mail-Zugriff wird blockiert, wenn das Gerät nicht durch Intune verwaltet wird. Intune sendet eine Benachrichtigung zur Blockierung an den EAS-Client.

  3. EAS empfängt die Benachrichtigung zur Blockierung, verschiebt das Gerät in die Quarantäne und sendet eine Quarantäne-E-Mail mit Schritten zur Behebung und entsprechenden Links, sodass Benutzer ihre Geräte registrieren können.

  4. Der Workplace Join-Prozess wird ausgeführt. Dies ist der erste Schritt, um ein Gerät durch Intune verwalten zu lassen.

  5. Das Gerät wird in Intune registriert.

  6. Intune ordnet den EAS-Datensatz einem Gerätedatensatz zu und speichert den Konformitätszustand des Geräts.

  7. Die EAS-Client-ID wird durch den Microsoft Entra Geräteregistrierungsprozess registriert, der eine Beziehung zwischen dem Intune-Gerätedatensatz und der EAS-Client-ID erstellt.

  8. Die Microsoft Entra Geräteregistrierung speichert die Gerätestatusinformationen.

  9. Wenn der Benutzer die Richtlinien für den bedingten Zugriff erfüllt, gibt Intune ein Cmdlet über den Intune Exchange Connector aus, mit dem das Postfach synchronisiert werden kann.

  10. Der Exchange-Server sendet eine Benachrichtigung an den EAS-Client, damit der Benutzer auf die E-Mails zugreifen kann.

Intune Exchange Connector – Anforderungen

Um eine Verbindung mit Exchange herzustellen, benötigen Sie ein Konto mit einer Intune-Lizenz, die der Connector verwenden kann. Das Konto geben Sie bei der Installation des Connectors an.

In der folgenden Tabelle finden Sie die Anforderungen an den Computer, auf dem Sie den Intune Exchange Connector installieren.

Anforderung Weitere Informationen
Betriebssysteme Intune unterstützt den Intune Exchange Connector auf Computern, auf denen eine beliebige Edition von Windows Server 2008 SP2 (64 Bit), Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 oder Windows Server 2016 ausgeführt wird.

Auf Server Core-Installationen wird der Connector nicht unterstützt.
Microsoft Exchange Für lokale Connectors sind Microsoft Exchange 2010 SP3 oder höher oder die veraltete Exchange Online Dedicated-Umgebung erforderlich. Wenn Sie herausfinden möchten, ob es sich bei Ihrer Exchange Online Dedicated-Umgebung um die neue oder die ältere Konfiguration handelt, wenden Sie sich an Ihren Kundenbetreuer.
Autorität für die Verwaltung mobiler Geräte Festlegen von Intune als Autorität für die Verwaltung mobiler Geräte.
Hardware Der Computer, auf dem Sie den Connector installieren, erfordert eine CPU mit 1,6 GHz und 2 GB RAM sowie mindestens 10 GB freien Speicherplatz.
Active Directory-Synchronisierung Bevor Sie den Connector verwenden, um Intune mit Ihrer Exchange Server-Instanz zu verbinden, richten Sie die Active Directory-Synchronisierung ein. Ihre lokalen Benutzer und Sicherheitsgruppen müssen mit Ihrer instance Microsoft Entra-ID synchronisiert werden.
Zusätzliche Software Auf dem Computer, auf dem der Connector gehostet wird, muss eine vollständige Installation von Microsoft.NET Framework 4.5 und Windows PowerShell 2.0 vorhanden sein.
Netzwerk Der Computer, auf dem Sie den Connector installieren, muss sich in einer Domäne befinden, die sich mit der Domäne, in der Ihre Exchange Server-Instanz gehostet wird, in einer Vertrauensstellung befindet.

Konfigurieren Sie den Computer so, dass er über Firewalls und Proxyserver an den Ports 80 und 443 auf den Intune-Dienst zugreifen kann. Intune verwendet diese Domänen:
manage.microsoft.com
- *manage.microsoft.com
- *.manage.microsoft.com

Der Intune Exchange Connector kommuniziert mit den folgenden Diensten:
- Intune-Dienst: HTTPS-Port 443
- Exchange-Clientzugriffsserver (Client Access Server, CAS): WinRM-Dienstport 443
- Exchange-AutoErmittlung 443
Exchange-Webdienste 443

Anforderungen für Exchange-Cmdlets

Erstellen Sie für den Intune Exchange Connector ein Active Directory-Benutzerkonto. Das Konto muss über die Berechtigung zum Ausführen der folgenden Windows PowerShell-Cmdlets für Exchange verfügen:

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings
  • Get-CasMailbox, Set-CasMailbox
  • Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy
  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule
  • Get-ActiveSyncDeviceStatistics
  • Get-ActiveSyncDevice
  • Get-ExchangeServer
  • Get-ActiveSyncDeviceClass
  • Get-Recipient
  • Clear-ActiveSyncDevice, Remove-ActiveSyncDevice
  • Set-ADServerSettings
  • Get-Command

Herunterladen des Installationspakets

Die Unterstützung für neue Installationen des Exchange-Connectors wurde im Juli 2020 als veraltet bezeichnet, und das Connector-Installationspaket steht nicht mehr zum Download zur Verfügung. Verwenden Sie stattdessen Exchange hybride moderne Authentifizierung (Hybrid Modern Authentication, HMA).

Installieren und Konfigurieren des Intune Exchange Connectors

Die Unterstützung für neue Installationen des Exchange-Connectors wurde im Juli 2020 als veraltet bezeichnet, und das Connector-Installationspaket steht nicht mehr zum Download zur Verfügung. Verwenden Sie stattdessen Exchange hybride moderne Authentifizierung (Hybrid Modern Authentication, HMA). Die folgenden Anweisungen werden für die Verwendung der Neuinstallation des Connectors beibehalten.

Führen Sie die folgenden Schritte aus, um den Intune Exchange Connector zu installieren. Wenn Sie über mehrere Exchange-Organisationen verfügen, wiederholen Sie die Schritte für jeden Exchange-Connector, den Sie einrichten möchten.

  1. Extrahieren Sie unter einem vom Intune Exchange Connector unterstützten Betriebssystem die Dateien in Exchange_Connector_Setup.zip an einen sicheren Speicherort.

    Wichtig

    Die Dateien im Ordner Exchange_Connector_Setup dürfen nicht umbenannt oder verschoben werden. Etwaige Änderungen führen dazu, dass die Installation des Connectors fehlschlägt.

  2. Nachdem die Dateien extrahiert wurden, öffnen Sie den extrahierten Ordner. Doppelklicken Sie auf Exchange_Connector_Setup.exe, um den Connector zu installieren.

    Wichtig

    Wenn der Zielordner kein sicherer Speicherort ist, löschen Sie nach Abschluss der Installation des lokalen Connectors die Zertifikatdatei MicrosoftIntune.accountcert.

  3. Wählen Sie im Dialogfeld Microsoft Intune Exchange Connector entweder Lokaler Microsoft Exchange-Server oder Gehosteter Microsoft Exchange-Server aus.

    Abbildung, die darstellt, wo der Exchange Server-Typ ausgewählt wird

    Geben Sie bei einem lokalen Exchange-Server entweder den Servernamen oder den vollqualifizierten Domänennamen des Exchange-Servers an, auf dem die Rolle Clientzugriffsserver gehostet wird.

    Geben Sie bei einem gehosteten Exchange-Server die Adresse des Exchange-Servers an. So ermitteln Sie die URL des gehosteten Exchange-Servers:

    1. Öffnen Sie Outlook für Microsoft 365.

    2. Wählen Sie in der oberen linken Ecke das Symbol ? und dann Info aus.

    3. Suchen Sie den Wert Externer POP-Server.

    4. Wählen Sie Proxyserver aus, um die Proxyservereinstellungen für Ihren gehosteten Exchange-Server anzugeben.

      1. Wählen Sie Beim Synchronisieren von Informationen für mobile Geräte einen Proxyserver verwendenaus.

      2. Geben Sie den Proxyservernamen und die für den Zugriff auf den Server zu verwendende Portnummer ein.

      3. Wenn für den Zugriff auf den Proxyserver Benutzeranmeldeinformationen erforderlich sind, wählen Sie Mithilfe von Anmeldeinformationen eine Verbindung mit dem Proxyserver herstellen aus. Geben Sie dann Domäne\Benutzer und das Kennwort ein.

      4. Wählen Sie OK aus.

  4. Geben Sie in den Feldern Benutzer (Domäne\Benutzer) und Kennwort die Anmeldeinformationen für die Verbindung mit Ihrer Exchange Server-Instanz an. Das Konto, das Sie festlegen, muss über eine Lizenz für die Verwendung von Intune verfügen.

  5. Geben Sie die Anmeldeinformationen zum Senden von Benachrichtigungen an das Exchange Server-Postfach eines Benutzers ein. Dieser Benutzer kann für reine Benachrichtigungen reserviert werden. Der Benutzer für Benachrichtigungen benötigt ein Exchange-Postfach, um Benachrichtigungen per E-Mail zu senden. Sie können diese Benachrichtigungen in Intune über Richtlinien für den bedingten Zugriff konfigurieren.

    Stellen Sie sicher, dass der Dienst „AutoErmittlung“ und die Exchange-Webdienste auf dem Exchange-Clientzugriffsserver konfiguriert sind. Weitere Informationen finden Sie unter Clientzugriffsserver.

  6. Geben Sie im Feld Kennwort das Kennwort für dieses Konto an, damit Intune auf die Exchange Server-Instanz zugreifen kann.

    Hinweis

    Das Konto, mit dem Sie sich beim Mandanten anmelden, muss mindestens ein Intune-Dienstadministratorkonto sein. Ohne dieses Administratorkonto tritt ein Verbindungsfehler mit folgender Fehlermeldung auf: „Der Remoteserver hat einen Fehler zurückgegeben: (400) Ungültige Anforderung".

  7. Wählen Sie Verbinden aus.

    Hinweis

    Das Konfigurieren der Verbindung kann möglicherweise einige Minuten dauern.

Bei der Konfiguration werden vom Exchange-Connector Ihre Proxyeinstellungen gespeichert, um den Zugriff auf das Internet zu ermöglichen. Wenn sich Ihre Proxyeinstellungen ändern, müssen Sie den Exchange-Connector neu konfigurieren, damit er die aktualisierten Proxyeinstellungen übernimmt.

Nach Einrichtung der Verbindung durch den Exchange-Connector werden Mobilgeräte, die von Exchange verwalteten Benutzern zugeordnet sind, automatisch synchronisiert und dem Exchange-Connector hinzugefügt. Diese Synchronisation kann einige Zeit in Anspruch nehmen.

Hinweis

Wenn Sie den Intune Exchange Connector installieren und später die Exchange-Verbindung löschen müssen, müssen Sie den Connector vom Computer deinstallieren, auf dem er installiert wurde.

Installieren von Connectors für mehrere Exchange-Organisationen

Die Unterstützung für neue Installationen des Exchange-Connectors wurde im Juli 2020 eingestellt. Verwenden Sie stattdessen Exchange hybride moderne Authentifizierung (Hybrid Modern Authentication, HMA). Die Informationen in den folgenden Abschnitten werden zur Unterstützung von Kunden bereitgestellt, die möglicherweise weiterhin den lokalen Intune Exchange-Connector verwenden.

Unterstützung von Hochverfügbarkeit für Intune Exchange Connector

Hochverfügbarkeit bedeutet für den lokalen Connector Folgendes: Wenn der Exchange-Clientzugriffsserver, den der Connector verwendet, nicht mehr verfügbar ist, kann der Connector zu einem anderen Clientzugriffsserver der betreffenden Exchange-Organisation wechseln. Der Exchange-Connector selbst unterstützt Hochverfügbarkeit nicht. Wenn der Connector ausfällt, wird kein automatisches Failover ausgeführt, und Sie müssen einen neuen Connector installieren, um den ausgefallenen Connector zu ersetzen.

Zum Failover verwendet der Connector den angegebenen Clientzugriffsserver, um eine erfolgreiche Verbindung mit Exchange herzustellen. Anschließend ermittelt er zusätzliche Clientzugriffsserver für die betreffende Exchange-Organisation. Dank dieser Ermittlung kann der Connector ein Failover auf einen anderen verfügbaren Clientzugriffsserver durchführen, bis der primäre Clientzugriffsserver wieder verfügbar ist.

Die Ermittlung weiterer Clientzugriffsserver ist standardmäßig aktiviert. Wenn Sie das Failover deaktivieren müssen:

  1. Navigieren Sie auf dem Server, auf dem der Exchange-Connector installiert ist, zu %%ProgramData%\Microsoft\Microsoft Intune Exchange Connector.

  2. Öffnen Sie mit einem Text-Editor OnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Ändern Sie <IsCasFailoverEnabled>true</IsCasFailoverEnabled> in <IsCasFailoverEnabled>false</IsCasFailoverEnabled>.

Optimieren der Leistung des Exchange-Connectors (optional)

Wenn Exchange ActiveSync über 5.000 Geräte unterstützt, können Sie eine optionale Einstellung konfigurieren, um die Leistung des Connectors zu verbessern. Sie verbessern die Leistung, indem Sie für Exchange die Verwendung mehrerer Instanzen des Ausführungsbereichs eines PowerShell-Befehls ermöglichen.

Bevor Sie diese Änderung vornehmen, sollten Sie sich vergewissern, dass das Konto, das Sie zum Ausführen des Exchange Connectors verwenden, nicht für andere Verwaltungszwecke für Exchange verwendet wird. Ein Exchange-Konto verfügt über eine begrenzte Anzahl von Ausführungsbereichen, von denen die meisten vom Connector verwendet werden.

Diese Leistungsoptimierung eignet sich nicht für Connectors, die auf älterer oder langsamerer Hardware ausgeführt werden.

So verbessern Sie die Leistung des Exchange-Connectors

  1. Öffnen Sie auf dem Server, auf dem der Connector installiert ist, dessen Installationsverzeichnis. Der Standardpfad lautet C:\ProgramData\Microsoft\Windows Intune Exchange Connector.

  2. Bearbeiten Sie die Datei OnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Suchen Sie nach EnableParallelCommandSupport, und legen Sie den Wert auf TRUE fest:

    <EnableParallelCommandSupport>true</EnableParallelCommandSupport>

  4. Speichern Sie die Datei, und starten Sie dann den Microsoft Intune Exchange Connector neu.

Neuinstallieren des Intune Exchange Connector

Die Unterstützung für neue Installationen des Exchange-Connectors wurde im Juli 2020 als veraltet bezeichnet, und das Connector-Installationspaket steht nicht mehr zum Download zur Verfügung. Verwenden Sie stattdessen Exchange hybride moderne Authentifizierung (Hybrid Modern Authentication, HMA). Die folgenden Informationen werden bereitgestellt, um Kunden zu unterstützen, die möglicherweise weiterhin den lokalen Intune Exchange-Connector verwenden.

Möglicherweise müssen Sie den Intune Exchange Connector neu installieren. Da sich nur ein einzelner Connector mit einer Exchange-Organisation verbinden kann, ersetzt der neu installierte Connector den ursprünglichen, sobald Sie einen zweiten Connector für die Organisation installieren.

  1. Um den neuen Connector zu installieren, führen Sie die Schritte im Abschnitt Installieren und Konfigurieren des Exchange-Connectors aus.

  2. Klicken Sie auf Ersetzen, wenn Sie bei der Installation des neuen Connectors dazu aufgefordert werden. Konfigurationswarnung zum Ersetzen eines Connectors

  3. Setzen Sie die Schritte im Abschnitt Installieren und Konfigurieren des Intune Exchange Connectors fort, und melden Sie sich erneut bei Intune an.

  4. Klicken Sie im letzten Fenster auf Schließen, um die Installation abzuschließen. Setup abschließen

Überwachen eines Exchange-Connectors

Nachdem Sie den Exchange-Connector erfolgreich konfiguriert haben, können Sie den Status der Verbindungen und den letzten erfolgreichen Synchronisierungsversuch anzeigen:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Mandantenverwaltung>Exchange-Zugriff aus.

  3. Wählen Sie Lokaler Connector für Exchange ActiveSync aus, und dann den Connector, den Sie anzeigen möchten.

  4. In der Konsole werden Details für den von Ihnen ausgewählten Connector angezeigt, denen Sie den Status sowie Datum und Uhrzeit der letzten erfolgreichen Synchronisierung entnehmen können.

Außer dem Konsolenstatus können Sie das System Center Operations Manager Management Pack für Exchange-Connector und Intune verwenden. Das Management Pack bietet Ihnen für die Problembehandlung verschiedene Möglichkeiten zur Überwachung des Exchange-Connectors.

Manuelle Erzwingung einer schnellen oder vollständigen Synchronisierung

Die Unterstützung für neue Installationen des Exchange-Connectors wurde im Juli 2020 eingestellt. Verwenden Sie stattdessen Exchange hybride moderne Authentifizierung (Hybrid Modern Authentication, HMA). Die Informationen in den folgenden Abschnitten werden zur Unterstützung von Kunden bereitgestellt, die möglicherweise weiterhin den lokalen Intune Exchange-Connector verwenden.

Ein Intune Exchange Connector synchronisiert EAS- und Intune-Gerätedatensätze automatisch regelmäßig. Wenn sich der Konformitätsstatus eines Geräts verändert, aktualisiert der automatische Synchronisierungsprozess regelmäßig Datensätze, damit der Gerätezugriff entsprechend blockiert oder erlaubt werden kann.

  • Die Schnellsynchronisierung erfolgt regelmäßig mehrmals täglich. Eine Schnellsynchronisierung ruft Geräteinformationen für von Intune lizenzierte und lokale Exchange-Benutzer ab, die bedingtem Zugriff unterliegen und sich seit der letzten Synchronisierung geändert haben.

  • Die vollständige Synchronisierung erfolgt standardmäßig einmal pro Tag. Eine vollständige Synchronisierung ruft Geräteinformationen für alle für Intune lizenzierten und lokalen Exchange-Benutzer ab, die bedingtem Zugriff unterliegen. Eine vollständige Synchronisierung ruft auch Exchange Server-Informationen ab und stellt sicher, dass die von Intune angegebene Konfiguration auf dem Exchange-Server aktualisiert wird.

Sie können erzwingen, dass ein Connector eine Synchronisierung durchführt, indem Sie im Intune-Dashboard die Optionen Schnellsynchronisierung oder Vollständige Synchronisierung verwenden:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Mandantenverwaltung>Exchange-Zugriff>Lokaler Connector für Exchange ActiveSync aus.

  3. Wählen Sie den Connector, den Sie synchronisieren möchten, und dann „Schnellsynchronisierung“ oder „Vollständige Synchronisierung“ aus.

Beispielscreenshot mit Connectordetails

Nächste Schritte

Erstellen einer Richtlinie für bedingten Zugriff für lokale Exchange Server-Instanzen