Configuración del acceso a Exchange local para Intune

Importante

La compatibilidad con el conector de Exchange de Intune local finaliza el 19 de febrero de 2024. Después de esta fecha, el conector de Exchange ya no se sincronizará con Intune. Si usa el conector de Exchange, se recomienda realizar una de las siguientes acciones antes del 19 de febrero de 2024:

• Migración de los buzones de Exchange a Exchange Online
• Configuración de la autenticación moderna híbrida

En este artículo se muestra cómo configurar el acceso condicional para Exchange local en función del cumplimiento del dispositivo.

Si tiene un entorno de Exchange Online dedicado y necesita averiguar si es la configuración nueva o heredada, póngase en contacto con su administrador de cuentas. Para controlar el acceso de correo electrónico a Exchange local o al entorno de Exchange Online dedicado heredado, configure el acceso condicional a Exchange local en Intune.

Antes de empezar

Antes de configurar el acceso condicional, compruebe que existen las siguientes configuraciones:

• Su versión de Exchange es Exchange 2010 SP3 o posterior. Se admite la matriz del servidor de acceso de cliente (CAS) del servidor de Exchange.

• Ha instalado y usa la instancia de On-Premises Exchange Connector de Exchange Active Sync, que conecta Intune con Exchange local.

  Importante

  Intune admite varias instancias locales de Exchange Connector por suscripción. Sin embargo, cada instancia de On-Premises Exchange Connector es específica de un solo inquilino de Intune y no puede usarse con otro inquilino. Si tiene más de una organización de Exchange local, puede configurar un conector independiente para cada organización de Exchange.

• El conector para una organización de Exchange local puede instalarse en cualquier máquina, siempre que esta pueda comunicarse con el servidor Exchange.

• El conector es compatible con el entorno de CAS de Exchange. Intune admite la instalación directa del conector en el servidor CAS de Exchange. Se recomienda instalarlo en un equipo independiente debido a la carga adicional que el conector supone para el servidor. Al configurar el conector, debe permitir que se comunique con uno de los servidores CAS de Exchange.

• Exchange ActiveSync se debe configurar con autenticación basada en certificados o con la entrada de credenciales de usuario.

• Cuando se configuran directivas de acceso condicional y se aplican a un usuario, el dispositivo debe cumplir las condiciones siguientes para que los usuarios puedan conectarse al correo electrónico:

  • Debe estar inscrito en Intune o estar en un equipo unido a un dominio.
  • Registrado en Microsoft Entra ID. Además, el identificador de Exchange ActiveSync cliente debe registrarse con Microsoft Entra ID.

• Microsoft Entra Servicio de registro de dispositivos (DRS) se activa automáticamente para los clientes de Intune y Microsoft 365. Los clientes que ya han implementado el servicio de registro de dispositivos de ADFS no ven los dispositivos registrados en Active Directory local. Esto no se aplica a los equipos y dispositivos Windows.

• Cumplir todas las directivas de cumplimiento de dispositivos implementadas en ese dispositivo.

• Si el dispositivo no cumple la configuración de acceso condicional, cuando el usuario inicie sesión verá uno de los siguientes mensajes:

  • Si el dispositivo no está inscrito con Intune o no está registrado en Microsoft Entra ID, se muestra un mensaje con instrucciones sobre cómo instalar la aplicación Portal de empresa, inscribir el dispositivo y activar el correo electrónico. Este proceso también asocia el identificador de Exchange ActiveSync del dispositivo con el registro del dispositivo en Microsoft Entra ID.
  • Si el dispositivo no es conforme, se muestra un mensaje que dirige al usuario al sitio web del Portal de empresa de Intune o a la aplicación Portal de empresa. En el portal de empresa pueden encontrar información sobre el problema y sobre cómo resolverlo.

Compatibilidad con dispositivos móviles

• Aplicación de correo electrónico nativo en iOS/iPadOS: para crear directivas de acceso condicional, vea Creación de directivas de acceso condicional

• Clientes de correo EAS como Gmail en Android 4 o versiones posteriores: para crear directivas de acceso condicional, vea Creación de directivas de acceso condicional

• Clientes de correo de EAS en dispositivos Android Enterprise Personally-Owned Perfil de trabajo : solo Gmail y Nine Work for Android Enterprise se admiten en dispositivos de perfil de trabajo de propiedad personal de Android Enterprise . Para que el acceso condicional funcione con perfiles de trabajo de propiedad personal de Android Enterprise, debe implementar un perfil de correo electrónico para la aplicación Gmail o Nine Work para Android Enterprise y también implementar esas aplicaciones como una instalación necesaria. Después de implementar la aplicación, puede configurar el acceso condicional basado en dispositivos.

• Clientes de correo EAS en administrador de dispositivo Android 4: para crear directivas de acceso condicional, vea Creación de directivas de acceso condicional

Importante

Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 30 de agosto de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

Para configurar el acceso condicional para dispositivos de perfil de trabajo de propiedad personal de Android Enterprise

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Implemente la aplicación Gmail o Nine Work como requerida.

3. Vaya aConfiguración dedispositivos> y elija *Crear.

4. Escriba un nombre y una descripción para el perfil.

5. Seleccione Android Enterprise en Plataforma y Correo electrónico en Tipo de perfil.

6. Configure las opciones del perfil de correo electrónico.

7. Cuando haya terminado, seleccione Aceptar>Crear para guardar los cambios.

8. Después de crear el perfil de correo electrónico, asígnelo a grupos.

9. Configure el acceso condicional basado en dispositivos.

Nota:

No se admite Microsoft Outlook para iOS/iPadOS y Android a través del conector local de Exchange. Si quiere aprovechar Microsoft Entra directivas de acceso condicional y las directivas de Intune App Protection con Outlook para iOS/iPadOS y Android para los buzones locales, consulte Uso de la autenticación moderna híbrida con Outlook para iOS/iPadOS y Android.

Compatibilidad para PC

Actualmente admite la aplicación de correo nativa en Windows 8.1 y versiones posteriores (cuando se inscribe en MDM con Intune).

Importante

El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.

Si actualmente usa Windows 8.1, se recomienda pasar a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos cliente Windows 10/11.

Configuración del acceso a Exchange local

La compatibilidad con las nuevas instalaciones de Exchange Connector quedó en desuso en julio de 2020, y el paquete de instalación del conector ya no se encuentra disponible para descarga. En su lugar, use la autenticación moderna híbrida (HMA) de Exchange.

Para poder usar el siguiente procedimiento para configurar el control de acceso local a Exchange, debe instalar y configurar al menos una instancia de Intune On-Premises Exchange Connector para Exchange local.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Vaya a Administración de inquilinos>Acceso de Exchange y seleccione Acceso local a Exchange.

3. En el panel Acceso local a Exchange, elija Sí para habilitar el control de acceso local a Exchange.

   

4. En Asignación, elija Seleccionar grupos para incluir y seleccione uno o varios grupos para configurar el acceso.

   Los miembros de los grupos que seleccione tendrán aplicada la directiva de acceso condicional para el acceso local a Exchange. Los usuarios que reciben esta directiva deben inscribir sus dispositivos en Intune y ser compatibles con los perfiles de cumplimiento para poder tener acceso a Exchange local.

   

5. Para excluir grupos, elija Seleccionar grupos para excluir y, a continuación, seleccione uno o varios grupos que estén exentos de los requisitos para inscribir dispositivos y sean compatibles con los perfiles de cumplimiento para tener acceso a Exchange local.

   Seleccione Guardar para guardar la configuración y vuelva al panel Acceso a Exchange.

6. A continuación, configure las opciones de Intune On-Premises Exchange Connector. En el Centro de administración, seleccione Administración > de inquilinosExchange Access>Exchange ActiveSync conector local y, a continuación, seleccione el conector de la organización de Exchange que desea configurar.

7. En el caso de las Notificaciones de usuario, seleccione Editar para abrir el flujo de trabajo Editar organización, donde puede modificar el mensaje de la Notificación del usuario.

   

   Modifique el mensaje de correo electrónico predeterminado que se envía a los usuarios si su dispositivo no es compatible y quieren tener acceso a Exchange local. La plantilla de mensaje usa lenguaje de marcado. También puede ver la vista previa del mensaje mientras escribe.

   Seleccione Revisar y guardar y, luego, Guardar para guardar sus ediciones a fin de completar la configuración del acceso local a Exchange.

   Sugerencia

   Para más información sobre el lenguaje de marcado, consulte este artículo en Wikipedia.

8. A continuación, seleccione Configuración avanzada de acceso a Exchange ActiveSync para abrir el flujo de trabajo Configuración avanzada de acceso a Exchange ActiveSync donde configura las reglas de acceso de dispositivo.

   

   • Para el acceso a dispositivos no administrados, establezca la regla predeterminada global para el acceso desde dispositivos que no se ven afectados por el acceso condicional u otras reglas:

     • Permitir acceso: todos los dispositivos pueden tener acceso a Exchange local inmediatamente. Los dispositivos que pertenecen a los usuarios de los grupos que configuró como incluidos en el procedimiento anterior se bloquean si se evalúan posteriormente como no conformes con las directivas de cumplimiento o no inscritos en Intune.

     • Bloquear acceso y Cuarentena: se bloquea inmediatamente a todos los dispositivos el acceso a Exchange local inicialmente. Los dispositivos que pertenecen a los usuarios de los grupos que configuró como incluidos en el procedimiento anterior obtienen acceso una vez que el dispositivo se inscribe en Intune y se evalúa como conforme.

       Esta configuración se admite en dispositivos Android que ejecutan samsung knox estándar. Otros dispositivos Android no admiten esta configuración y siempre están bloqueados.

   • En Excepciones de la plataforma de dispositivo, seleccione Agregar y, a continuación, especifique detalles según sea necesario para su entorno.

     Si el valor Acceso a dispositivos no administrados está establecido en Bloqueado, se permiten los dispositivos inscritos y conformes aunque haya una excepción de plataforma para bloquearlos.

9. Seleccione Aceptar para guardar las ediciones.

10. Seleccione Revisar y guardar y, después, Guardar para guardar la directiva de acceso condicional de Exchange.

Siguientes pasos

A continuación, cree una directiva de cumplimiento y asígnela a los usuarios para que Intune evalúe sus dispositivos móviles. Consulte Introducción al cumplimiento de dispositivos.

Solución de problemas de Intune Exchange Connector local en Microsoft Intune