Configuration de l’accès à Exchange sur site pour Intune

  • Article

Importante

La prise en charge du connecteur Exchange Intune local prend fin le 19 février 2024. Après cette date, le connecteur Exchange ne se synchronise plus avec Intune. Si vous utilisez le connecteur Exchange, nous vous recommandons d’effectuer l’une des actions suivantes avant le 19 février 2024 :

Cet article montre comment configurer l’accès conditionnel pour Exchange sur site basé sur la conformité des appareils.

Si vous disposez d’un environnement Exchange Online Dedicated et que vous ne savez pas s’il s’agit de la nouvelle configuration ou d’une configuration héritée, contactez votre responsable de compte. Pour contrôler l’accès à la messagerie Exchange sur site ou Exchange Online Dedicated (environnement hérité), configurez l’accès conditionnel à Exchange sur site dans Intune.

Avant de commencer

Avant de configurer l’accès conditionnel, vérifiez que les configurations suivantes existent :

  • Votre version d’Exchange est Exchange 2010 SP3 ou une version ultérieure. Le groupe de serveurs d’accès au client (CAS) du serveur Exchange est pris en charge.

  • Vous avez installé et utilisez le connecteur Exchange ActiveSync sur site qui connecte Intune à Exchange sur site.

    Importante

    Intune prend en charge plusieurs connecteurs Exchange locaux par abonnement. Cependant, le connecteur Exchange local est propre à un seul client Intune et ne peut pas être utilisé avec un autre client. Si vous avez plusieurs organisations Exchange locales, vous pouvez configurer un connecteur distinct pour chacune d’elles.

  • Vous pouvez installer le connecteur d’une organisation Exchange locale sur n’importe quelle machine, tant que celle-ci peut communiquer avec le serveur Exchange.

  • Le connecteur prend en charge l’Environnement CAS Exchange. Intune prend en charge l’installation du connecteur directement sur le serveur CAS Exchange. Nous vous recommandons de l’installer sur un autre ordinateur distinct en raison de la charge supplémentaire que le connecteur met sur le serveur. Quand vous configurez le connecteur, vous devez faire en sorte qu’il communique avec l’un des serveurs CAS Exchange.

  • Vous devez configurer Exchange ActiveSync avec l’authentification par certificat ou via les informations d’identification entrées par l’utilisateur.

  • Une fois les stratégies d’accès conditionnel configurées et ciblées sur un utilisateur, l’appareil dont l’utilisateur se sert pour se connecter à sa messagerie doit :

    • Être inscrit auprès d’Intune ou avoir un PC joint à un domaine.
    • Inscrit dans Microsoft Entra ID. En outre, l’ID de Exchange ActiveSync client doit être inscrit auprès de Microsoft Entra ID.

  • Microsoft Entra service d’inscription d’appareil (DRS) est activé automatiquement pour les clients Intune et Microsoft 365. Les clients qui ont déjà déployé le service ADFS Device Registration Service ne voient pas les appareils inscrits dans leur annuaire Active Directory local. Cela ne s’applique pas aux PC Windows ni aux appareils Windows.

  • Conforme aux stratégies de conformité d’appareil déployées sur cet appareil.

  • Si l’appareil ne répond pas aux paramètres d’accès conditionnel, l’utilisateur reçoit un des messages suivants quand il tente de se connecter :

    • Si l’appareil n’est pas inscrit auprès d’Intune ou s’il n’est pas inscrit dans Microsoft Entra ID, un message s’affiche avec des instructions sur l’installation de l’application Portail d'entreprise, l’inscription de l’appareil et l’activation de la messagerie. Ce processus associe également l’ID de Exchange ActiveSync de l’appareil à l’enregistrement de l’appareil dans Microsoft Entra ID.
    • Si l’appareil n’est pas conforme, un message s’affiche et dirige l’utilisateur vers le site web de Portail d’entreprise Intune ou vers l’application Portail d’entreprise. À partir du portail d'entreprise, l’utilisateur trouver des informations sur le problème et la façon d’y remédier.

Prise en charge des appareils mobiles

  • Application de messagerie native sur iOS/iPad : pour créer une stratégie d’accès conditionnel, consultez Créer des stratégies d’accès conditionnel.

  • Clients de messagerie EAS, comme Gmail sur Android 4 ou ultérieur : pour créer une stratégie d’accès conditionnel, consultez Créer des stratégies d’accès conditionnel.

  • Clients de messagerie EAS sur les appareils Android Enterprise Personally-Owned Profil professionnel : seuls Gmail et Nine Work pour Android Entreprise sont pris en charge sur les appareils avec profil professionnel Android Enterprise appartenant à l’utilisateur . Pour que l’accès conditionnel fonctionne avec les profils professionnels Android Enterprise appartenant à l’utilisateur, vous devez déployer un profil de messagerie pour l’application Gmail ou Nine Work pour Android Entreprise , et également déployer ces applications en tant qu’installation requise. Après avoir déployé l’application, vous pouvez configurer l’accès conditionnel basé sur l’appareil.

  • Clients de messagerie EAS sur Administrateur d’appareil Android : pour créer une stratégie d’accès conditionnel, consultez Créer des stratégies d’accès conditionnel.

Importante

Microsoft Intune prend fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 30 août 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

Pour configurer l’accès conditionnel pour les appareils avec profil professionnel Android Entreprise appartenant à l’utilisateur

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Déployez l’application Gmail ou Nine Work comme demandé.

  3. Accédez àConfigurationdes appareils> et choisissez *Créer.

  4. Entrez un nom et une description pour le profil.

  5. Sélectionnez Android Entreprise dans Plateforme, puis E-mail dans Type de profil.

  6. Configurez les paramètres du profil de messagerie.

  7. Lorsque vous avez terminé, sélectionnez OK>Créer pour enregistrer vos modifications.

  8. Après avoir créé le profil de messagerie, affectez-le à des groupes.

  9. Configurez l’accès conditionnel basé sur l’appareil.

Remarque

Microsoft Outlook pour Android et iOS/iPadOS n’est pas pris en charge via le connecteur local Exchange. Si vous souhaitez tirer parti des stratégies d’accès conditionnel Microsoft Entra et des stratégies de protection des applications Intune avec Outlook pour iOS/iPadOS et Android pour vos boîtes aux lettres locales, consultez Utilisation de l’authentification moderne hybride avec Outlook pour iOS/iPadOS et Android.

Prise en charge des PC

Il prend actuellement en charge l’application mail native sur Windows 8.1 et versions ultérieures (en cas d’inscription à GPM avec Intune).

Importante

Le 22 octobre 2022, Microsoft Intune a mis fin à la prise en charge des appareils exécutant Windows 8.1. L’assistance technique et les mises à jour automatiques sur ces appareils ne sont pas disponibles.

Si vous utilisez actuellement Windows 8.1, nous vous recommandons de passer aux appareils Windows 10/11. Microsoft Intune dispose de fonctionnalités intégrées de sécurité et d’appareil qui gèrent les appareils clients Windows 10/11.

Configuration de l'accès à Exchange sur site

Le support des nouvelles installations du connecteur Exchange a été dépréciée en juillet 2020 et le package d’installation du connecteur n’est plus disponible au téléchargement. Au lieu de cela, utilisez l’authentification moderne hybride (HMA) d’Exchange.

Avant de pouvoir utiliser la procédure suivante pour configurer le contrôle d’accès Exchange sur site, vous devez installer et configurer au moins un Connecteur Exchange local Intune pour Exchange sur site.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Accédez à Administration de locataire>Accès à Exchange, puis sélectionnez Accès à Exchange local.

  3. Dans le volet Accès à Exchange sur site, choisissez Oui pour Activer le contrôle d’accès à Exchange sur site.

    Exemple de capture d’écran de l’écran d’accès local Exchange

  4. Sous Affectation, choisissez Sélectionner les groupes à inclure, puis sélectionnez un ou plusieurs groupes pour configurer l’accès.

    Les membres des groupes que vous sélectionnez disposent d’une stratégie d’accès conditionnel pour l’accès à Exchange sur site. Les utilisateurs qui reçoivent cette stratégie doivent inscrire leurs appareils dans Intune et être conformes aux profils de conformité avant de pouvoir accéder à Exchange sur site.

    Sélectionner les groupes à inclure

  5. Pour exclure des groupes, choisissez Sélectionner les groupes à exclure, puis sélectionnez un ou plusieurs groupes exempts des conditions pour inscrire des appareils et être conformes aux profils de conformité avant d’accéder à Exchange sur site.

    Sélectionnez Enregistrer pour enregistrer votre configuration et revenir au volet Accès à Exchange.

  6. Ensuite, configurez les paramètres du connecteur Exchange local Intune. Dans le Centre d’administration, sélectionnez Administration >du locataireAccès> Exchange Exchange ActiveSync connecteur local, puis sélectionnez le connecteur pour le organization Exchange que vous souhaitez configurer.

  7. Pour Notifications à l’utilisateur, sélectionnez Modifier afin d’ouvrir le workflow Modifier l’organisation où vous pouvez modifier le message de notification à l’utilisateur.

    Exemple de capture d’écran du flux de travail Modifier l’organisation pour les notifications

    Modifiez l’e-mail par défaut envoyé aux utilisateurs si leur appareil n’est pas conforme et qu’ils veulent accéder à Exchange localement. Le modèle de message utilise le langage de balisage. Vous voyez également un aperçu du message en cours de frappe

    Sélectionnez Vérifier + enregistrer puis Enregistrer pour enregistrer vos modifications afin de terminer la configuration de l’accès local à Exchange.

    Conseil

    Pour en savoir plus sur le langage de balisage, consultez cet article Wikipedia.

  8. Ensuite, sélectionnez Paramètres d’accès avancés Exchange ActiveSync pour ouvrir le workflow Paramètres d’accès avancés Exchange ActiveSync dans lequel vous configurez les règles d’accès aux appareils.

    Exemple de capture d’écran du flux de travail Modifier l’organisation pour les paramètres avancés

    • Pour l’accès aux appareils non managés, définissez la règle globale par défaut pour l’accès à partir des appareils qui ne sont pas affectés par l’accès conditionnel ou d’autres règles :

      • Autoriser l’accès : tous les appareils peuvent accéder immédiatement à Exchange sur site. Les appareils qui appartiennent aux utilisateurs des groupes que vous avez configurés comme inclus dans la procédure précédente sont bloqués s’ils sont évalués ultérieurement comme non conformes aux stratégies conformes ou qu’ils ne sont pas inscrits dans Intune.

      • Bloquer l'accès et Quarantaine : l’accès initial pour tous les appareils à Exchange sur site est immédiatement bloqué. Les appareils qui appartiennent à des utilisateurs dans les groupes que vous avez configurés comme inclus dans la procédure précédente obtiennent un accès après inscription dans Intune et sont évalués comme étant conformes.

        Ce paramètre est pris en charge sur les appareils Android qui exécutent samsung Knox standard. Les autres appareils Android ne prennent pas en charge ce paramètre et sont toujours bloqués.

    • Pour Exceptions de la plateforme d’appareils, sélectionnez Ajouter, puis spécifiez les détails en fonction des besoins de votre environnement.

      Si le paramètre Accès aux appareils non gérés est défini sur Bloqué, les appareils qui sont inscrits et conformes sont autorisés, même s’il existe une exception de plateforme qui les bloque.

  9. Sélectionnez OK pour enregistrer vos modifications.

  10. Sélectionnez Vérifier + enregistrer puis Enregistrer pour enregistrer la stratégie d’accès conditionnel Exchange.

Prochaines étapes

Ensuite, créez une stratégie de conformité et affectez-la aux utilisateurs pour qu’Intune évalue leurs appareils mobiles. Voir Bien démarrer avec la conformité des appareils.

Résolution des problèmes du connecteur Exchange local Intune dans Microsoft Intune