A helyszíni Intune Exchange-összekötő beállítása

  • Cikk

Fontos

A helyszíni Intune Exchange-összekötő támogatása 2024. február 19-én megszűnik. Ezt a dátumot követően az Exchange-összekötő már nem szinkronizálódik az Intune-nal. Ha az Exchange-összekötőt használja, javasoljuk, hogy 2024. február 19. előtt hajtsa végre az alábbi műveletek egyikét:

Az Exchange-hez való hozzáférés védelme érdekében az Intune egy helyszíni összetevőre támaszkodik, amely az Microsoft Intune Exchange-összekötő. Ezt az összekötőt Exchange ActiveSync protokoll helyszíni összekötőnek is nevezik az Intune Felügyeleti központ bizonyos helyeiben.

Fontos

Az Intune a 2007-es (júliusi) kiadástól kezdve megszünteti az Exchange On-Premises Connector funkció támogatását az Intune szolgáltatásból. Az aktív összekötővel rendelkező meglévő ügyfelek jelenleg továbbra is használhatják a jelenlegi funkciókat. Az új ügyfelek és az aktív összekötő nélküli meglévő ügyfelek nem fognak tudni új összekötőket létrehozni vagy Exchange ActiveSync protokoll (EAS) eszközöket kezelni az Intune-ból. Ezen bérlők esetében a Microsoft az Exchange hibrid modern hitelesítésének (HMA) használatát javasolja a helyszíni Exchange-hez való hozzáférés védelméhez. A HMA az Intune alkalmazásvédelmi szabályzatait (más néven MAM) és a feltételes hozzáférést is engedélyezi a helyszíni Exchange-hez készült Outlook Mobile-on keresztül.

A cikkben található információk segíthetnek az Intune Exchange-összekötő telepítésében és figyelésében. Az összekötő és a feltételes hozzáférési szabályzatok segítségével engedélyezheti vagy letilthatja a helyszíni Exchange-postaládákhoz való hozzáférést.

Az összekötő telepítve van, és a helyszíni hardveren fut. Felderíti az Exchange-hez csatlakozó eszközöket, és eszközadatokat közöl az Intune szolgáltatással. Az összekötő engedélyezi vagy letiltja az eszközöket attól függően, hogy az eszközök regisztrálva vannak-e és megfelelőek-e. Ezek a kommunikációk a HTTPS protokollt használják.

Amikor egy eszköz megpróbál hozzáférni a helyszíni Exchange-kiszolgálóhoz, az Exchange-összekötő a Exchange Server Exchange ActiveSync protokoll (EAS) rekordjait az Intune-rekordokra képezi le, hogy az eszköz regisztráljon az Intune-ban, és megfeleljen az eszköz szabályzatainak. A feltételes hozzáférési szabályzatoktól függően az eszköz engedélyezhető vagy letiltható. További információ: Mik a feltételes hozzáférés használatának gyakori módjai az Intune-nal?

A felderítési és engedélyezési és blokkolási műveletek standard Exchange PowerShell-parancsmagokkal végezhetők el. Ezek a műveletek az Exchange-összekötő kezdeti telepítésekor megadott szolgáltatásfiókot használják.

Az Intune előfizetésenként több Intune Exchange-összekötő telepítését is támogatja. Ha több helyszíni Exchange-szervezettel rendelkezik, mindegyikhez külön összekötőt állíthat be. Azonban minden Exchange-szervezethez csak egy összekötő telepíthető.

Kövesse az alábbi általános lépéseket egy olyan kapcsolat beállításához, amely lehetővé teszi, hogy az Intune kommunikáljon a helyszíni Exchange-kiszolgálóval:

  1. Töltse le a helyszíni összekötőt a Microsoft Intune Felügyeleti központból.
  2. Telepítse és konfigurálja az Exchange-összekötőt a helyszíni Exchange-szervezet egyik számítógépén.
  3. Ellenőrizze az Exchange-kapcsolatot.
  4. Ismételje meg ezeket a lépéseket minden olyan további Exchange-szervezet esetében, amelyet az Intune-hoz szeretne csatlakoztatni.

A helyszíni Exchange feltételes hozzáférésének működése

A helyszíni Exchange feltételes hozzáférése másként működik, mint az Azure feltételes hozzáférés-alapú szabályzatai. Az Intune helyszíni Exchange-összekötőt úgy telepítheti, hogy közvetlenül kommunikáljon az Exchange-kiszolgálóval. Az Intune Exchange-összekötő lekéri az Exchange-kiszolgálón található összes Exchange Active Sync- (EAS-) rekordot, hogy az Intune átvehesse ezeket az EAS-rekordokat, és leképhesse őket az Intune-eszközrekordokra. Ezek a rekordok az Intune által regisztrált és felismert eszközök. Ez a folyamat engedélyezi vagy letiltja az e-mail-hozzáférést.

Ha az EAS-rekord új, és az Intune nem tud róla, az Intune kiad egy parancsmagot (más néven "command-let"), amely az Exchange-kiszolgálót az e-mail-hozzáférés letiltására utasítja. A folyamat működésével kapcsolatban az alábbiakban talál további részleteket:

Helyszíni Exchange ca-folyamatábra használatával

  1. A felhasználó megpróbál hozzáférni a helyszíni Exchange 2010 SP1 vagy újabb verziójában üzemeltetett vállalati e-mailekhez.

  2. Ha az eszközt nem az Intune felügyeli, az e-mail-hozzáférés le lesz tiltva. Az Intune blokkértesítést küld az EAS-ügyfélnek.

  3. Az EAS megkapja a blokkértesítést, karanténba helyezi az eszközt, és elküldi a karanténba helyezésről szóló e-mailt olyan javítási lépésekkel, amelyek hivatkozásokat tartalmaznak, hogy a felhasználók regisztrálhassák eszközeiket.

  4. Megtörténik a munkahelyi csatlakoztatási folyamat, amely az első lépés, hogy az eszközt az Intune felügyelje.

  5. Az eszköz regisztrálva lesz az Intune-ban.

  6. Az Intune leképezi az EAS-rekordot egy eszközrekordra, és menti az eszközmegfelelési állapotot.

  7. Az EAS-ügyfélazonosítót a Microsoft Entra eszközregisztrációs folyamat regisztrálja, amely kapcsolatot hoz létre az Intune-eszközrekord és az EAS-ügyfélazonosító között.

  8. Az eszközregisztráció Microsoft Entra menti az eszközállapot adatait.

  9. Ha a felhasználó megfelel a feltételes hozzáférési szabályzatnak, az Intune kiad egy parancsmagot az Intune Exchange-összekötőn keresztül, amely lehetővé teszi a postaláda szinkronizálását.

  10. Az Exchange-kiszolgáló elküldi az értesítést az EAS-ügyfélnek, hogy a felhasználó hozzáférhessen az e-mailekhez.

Az Intune Exchange-összekötő követelményei

Az Exchange-hez való csatlakozáshoz olyan fiókra van szükség, amely intune-licenccel rendelkezik, amelyet az összekötő használhat. Az összekötő telepítésekor adja meg a fiókot.

Az alábbi táblázat felsorolja annak a számítógépnek a követelményeit, amelyre az Intune Exchange-összekötőt telepíti.

Követelmény További információ
Operációs rendszerek Az Intune támogatja az Intune Exchange-összekötőt olyan számítógépen, amely a Windows Server 2008 SP2 64 bites, a Windows Server 2008 R2, a Windows Server 2012, az Windows Server 2012 R2 vagy a Windows Server 2016 bármely kiadását futtatja.

Az összekötő nem támogatott a Server Core telepítésekor.
Microsoft Exchange A helyszíni összekötőkhöz Microsoft Exchange 2010 SP3 vagy újabb verzió vagy örökölt Exchange Online Dedikált verzió szükséges. Annak megállapításához, hogy a Exchange Online dedikált környezet az új vagy örökölt konfigurációban van-e, forduljon a fiókkezelőhöz.
Mobileszköz-kezelő szolgáltató Állítsa a mobileszköz-kezelő szolgáltatót intune-ra.
Hardver Az összekötőt telepítő számítógép 1,6 GHz-es processzort igényel 2 GB RAM-mal és 10 GB szabad lemezterülettel.
Active Directory-szinkronizálás Mielőtt az összekötőt használva csatlakoztatja az Intune-t az Exchange-kiszolgálóhoz, állítsa be az Active Directory-szinkronizálást. A helyi felhasználókat és biztonsági csoportokat szinkronizálni kell a Microsoft Entra-azonosító példányával.
További szoftverek Az összekötőt futtató számítógépnek a Microsoft .NET-keretrendszer 4.5-ös és Windows PowerShell 2.0-s verziójának teljes telepítésével kell rendelkeznie.
Hálózati Az összekötőt telepítő számítógépnek olyan tartományban kell lennie, amely megbízhatósági kapcsolatban áll az Exchange-kiszolgálót üzemeltető tartománnyal.

Konfigurálja úgy a számítógépet, hogy tűzfalakon és proxykiszolgálókon keresztül férhessen hozzá az Intune szolgáltatáshoz a 80-at és a 443-at használva. Az Intune a következő tartományokat használja:
- manage.microsoft.com
- *manage.microsoft.com
- *.manage.microsoft.com

Az Intune Exchange-összekötő a következő szolgáltatásokkal kommunikál:
- Intune-szolgáltatás: HTTPS-port: 443-
- Exchange-ügyfélelérési kiszolgáló (CAS): WinRM szolgáltatás 443-as portja
- Exchange Automatikus észlelés 443
- Exchange Web Services (EWS) 443

Az Exchange-parancsmagok követelményei

Hozzon létre egy Active Directory-felhasználói fiókot az Intune Exchange-összekötőhöz. A fióknak engedéllyel kell rendelkeznie a következő Windows PowerShell Exchange-parancsmagok futtatásához:

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings
  • Get-CasMailbox, Set-CasMailbox
  • Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy
  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule
  • Get-ActiveSyncDeviceStatistics
  • Get-ActiveSyncDevice
  • Get-ExchangeServer
  • Get-ActiveSyncDeviceClass
  • Get-Recipient
  • Clear-ActiveSyncDevice, Remove-ActiveSyncDevice
  • Set-ADServerSettings
  • Get-Command

A telepítőcsomag letöltése

Az Exchange-összekötő új telepítéseinek támogatása 2020 júliusában elavult, és az összekötő telepítőcsomagja már nem tölthető le. Ehelyett használja az Exchange hibrid modern hitelesítést (HMA).

Az Intune Exchange-összekötő telepítése és konfigurálása

Az Exchange-összekötő új telepítéseinek támogatása 2020 júliusában elavult, és az összekötő telepítőcsomagja már nem tölthető le. Ehelyett használja az Exchange hibrid modern hitelesítést (HMA). Az összekötő újratelepítéséhez kövesse az alábbi utasításokat.

Az Intune Exchange-összekötő telepítéséhez kövesse az alábbi lépéseket. Ha több Exchange-szervezettel rendelkezik, ismételje meg a lépéseket minden beállítani kívánt Exchange-összekötő esetében.

  1. Az Intune Exchange-összekötő támogatott operációs rendszerén csomagolja ki a fájlokat Exchange_Connector_Setup.zipbiztonságos helyre.

    Fontos

    Ne nevezze át és ne helyezze át a Exchange_Connector_Setup mappában lévő fájlokat. Ezek a módosítások az összekötő telepítésének sikertelenségéhez vezethetnek.

  2. A fájlok kibontása után nyissa meg a kibontott mappát, és kattintson duplán Exchange_Connector_Setup.exe az összekötő telepítéséhez.

    Fontos

    Ha a célmappa nem biztonságos hely, törölje a MicrosoftIntune.accountcert tanúsítványfájlt , amikor befejezte a helyszíni összekötők telepítését.

  3. A Microsoft Intune Exchange Connector párbeszédpanelen válassza a Helyszíni Microsoft Exchange Server vagy a Üzemeltetett Microsoft Exchange Server lehetőséget.

    A Exchange Server típusának kiválasztását bemutató kép

    Helyszíni Exchange-kiszolgáló esetén adja meg az Ügyfélelérési kiszolgáló szerepkört futtató Exchange-kiszolgáló kiszolgálónevét vagy teljes tartománynevét.

    Üzemeltetett Exchange-kiszolgáló esetén adja meg az Exchange-kiszolgáló címét. Az üzemeltetett Exchange-kiszolgáló URL-címének megkeresése:

    1. Nyissa meg Microsoft 365-höz készült Outlook.

    2. Válassza a ? ikont a bal felső sarokban, majd válassza a Névjegy lehetőséget.

    3. Keresse meg a POP külső kiszolgáló értékét.

    4. Válassza a Proxykiszolgáló lehetőséget a proxykiszolgáló beállításainak megadásához az üzemeltetett Exchange-kiszolgálóhoz.

      1. Válassza a Mobileszközök adatainak szinkronizálása proxykiszolgáló használata lehetőséget.

      2. Adja meg a proxykiszolgáló nevét és a kiszolgáló eléréséhez használandó portszámot .

      3. Ha a proxykiszolgáló eléréséhez felhasználói hitelesítő adatokra van szükség, válassza a Hitelesítő adatok használata a proxykiszolgálóhoz való csatlakozáshoz lehetőséget. Ezután adja meg a tartományt\felhasználót és a jelszót.

      4. Kattintson az OK gombra.

  4. A Felhasználó (tartomány\felhasználó) és a Jelszó mezőben adja meg az Exchange-kiszolgálóhoz való csatlakozáshoz szükséges hitelesítő adatokat. A megadott fióknak rendelkeznie kell az Intune használatához szükséges licenccel.

  5. Adja meg a hitelesítő adatokat, hogy értesítéseket küldjön egy felhasználó Exchange Server postaládájába. Ez a felhasználó dedikáltan csak értesítéseket használhat. Az értesítési felhasználóknak exchange-postaládára van szükségük az értesítések e-mailben történő küldéséhez. Ezeket az értesítéseket feltételes hozzáférési szabályzatokkal konfigurálhatja az Intune-ban.

    Győződjön meg arról, hogy az Automatikus észlelés szolgáltatás és az Exchange Web Services konfigurálva van az Exchange CAS-ben. További információ: Ügyfélelérési kiszolgáló.

  6. A Jelszó mezőben adja meg a fiók jelszavát, hogy az Intune hozzáférhessen az Exchange-kiszolgálóhoz.

    Megjegyzés:

    A bérlőbe való bejelentkezéshez használt fióknak legalább Intune-szolgáltatásadminisztrátornak kell lennie. E rendszergazdai fiók nélkül a "A távoli kiszolgáló hibát adott vissza: (400) Hibás kérés" hibával meghiúsult kapcsolatot fog kapni.

  7. Válassza a Csatlakozás lehetőséget.

    Megjegyzés:

    A kapcsolat konfigurálása eltarthat néhány percig.

A konfigurálás során az Exchange-összekötő tárolja a proxybeállításokat az internet-hozzáférés engedélyezéséhez. Ha a proxybeállítások megváltoznak, konfigurálja újra az Exchange-összekötőt, hogy a frissített proxybeállításokat alkalmazza az Exchange-összekötőre.

Miután az Exchange-összekötő beállította a kapcsolatot, a rendszer automatikusan szinkronizálja és hozzáadja az Exchange-összekötőhöz az Exchange által felügyelt felhasználókhoz társított mobileszközöket. Ez a szinkronizálás eltarthat egy ideig.

Megjegyzés:

Ha telepíti az Intune Exchange-összekötőt, és később törölnie kell az Exchange-kapcsolatot, el kell távolítania az összekötőt arról a számítógépről, amelyen telepítve volt.

Összekötők telepítése több Exchange-szervezet számára

Az Exchange-összekötő új telepítéseinek támogatása 2020 júliusában elavulttá vált. Ehelyett használja az Exchange hibrid modern hitelesítést (HMA). Az alábbi szakaszokban található információk azoknak az ügyfeleknek nyújtanak segítséget, akik továbbra is használhatják a helyszíni Intune Exchange-összekötőt.

Helyszíni Intune Exchange-összekötő magas rendelkezésre állásának támogatása

A helyszíni összekötő esetében a magas rendelkezésre állás azt jelenti, hogy ha az összekötő által használt Exchange CAS elérhetetlenné válik, az összekötő átválthat egy másik CAS-ra az adott Exchange-szervezet esetében. Maga az Exchange-összekötő nem támogatja a magas rendelkezésre állást. Ha az összekötő meghibásodik, nem történik automatikus feladatátvétel, és telepítenie kell egy új összekötőt a sikertelen összekötő lecseréléséhez.

A feladatátvételhez az összekötő a megadott CAS használatával hoz létre egy sikeres exchange-kapcsolatot. Ezután felderíti az adott Exchange-szervezet további CAS-eit. Ez a felderítés lehetővé teszi, hogy az összekötő feladatátvételt biztosít egy másik CAS-nak, ha van ilyen, amíg az elsődleges CAS elérhetővé nem válik.

Alapértelmezés szerint a további CAS-ek felderítése engedélyezve van. Ha ki kell kapcsolnia a feladatátvételt:

  1. Azon a kiszolgálón, amelyen az Exchange-összekötő telepítve van, lépjen a ProgramData%\Microsoft\Windows Intune Exchange Connector webhelyre%.

  2. Egy szövegszerkesztővel nyissa meg aOnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Módosítsa <az IsCasFailoverEnabled>true</IsCasFailoverEnabled><értéket IsCasFailoverEnabled>false</IsCasFailoverEnabled> értékre.

Az Exchange-összekötő teljesítményhangolása (nem kötelező)

Ha Exchange ActiveSync protokoll legalább 5000 eszközt támogat, konfigurálhat egy opcionális beállítást az összekötő teljesítményének javítására. A teljesítmény javításához engedélyezze az Exchange-nek, hogy több PowerShell-parancsfuttatási helyet használjon.

A módosítás végrehajtása előtt győződjön meg arról, hogy az Exchange-összekötő futtatásához használt fiók nincs más Exchange-kezelési célokra használva. Egy Exchange-fiók korlátozott számú futtatási szóközzel rendelkezik, és az összekötő a legtöbbet használni fogja.

A teljesítmény finomhangolása nem alkalmas régebbi vagy lassabb hardveren futó összekötőkhöz.

Az Exchange-összekötő teljesítményének javítása:

  1. Azon a kiszolgálón, amelyen az összekötő telepítve van, nyissa meg az összekötő telepítési könyvtárát. Az alapértelmezett hely a C:\ProgramData\Microsoft\Windows Intune Exchange Connector.

  2. Szerkessze a fájlt OnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Keresse meg az EnableParallelCommandSupport értéket, és állítsa true ( igaz) értékre:

    <EnableParallelCommandSupport>true</EnableParallelCommandSupport>

  4. Mentse a fájlt, majd indítsa újra a Microsoft Intune Exchange Connector szolgáltatást.

Az Intune Exchange-összekötő újratelepítése

Az Exchange-összekötő új telepítéseinek támogatása 2020 júliusában elavult, és az összekötő telepítőcsomagja már nem tölthető le. Ehelyett használja az Exchange hibrid modern hitelesítést (HMA). Az alábbi információk azokat az ügyfeleket támogatják, akik továbbra is használhatják a helyszíni Intune Exchange-összekötőt.

Előfordulhat, hogy újra kell telepítenie egy Intune Exchange-összekötőt. Mivel minden Exchange-szervezethez csak egyetlen összekötő csatlakozhat, ha a szervezethez egy második összekötőt telepít, a telepített új összekötő lecseréli az eredeti összekötőt.

  1. Az új összekötő újratelepítéséhez kövesse az Exchange-összekötő telepítése és konfigurálása című szakasz lépéseit.

  2. Amikor a rendszer kéri, válassza a Csere lehetőséget az új összekötő telepítéséhez. Konfigurálási figyelmeztetés összekötő cseréjéhez

  3. Folytassa az Intune Exchange-összekötő telepítése és konfigurálása című szakasz lépéseit, majd jelentkezzen be újra az Intune-ba.

  4. Az utolsó ablakban válassza a Bezárás lehetőséget a telepítés befejezéséhez. A telepítés befejezése

Exchange-összekötő monitorozása

Az Exchange-összekötő sikeres konfigurálása után megtekintheti a kapcsolatok állapotát és az utolsó sikeres szinkronizálási kísérletet:

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza a Bérlői felügyelet>Exchange-hozzáférés lehetőséget.

  3. Válassza Exchange ActiveSync protokoll helyszíni összekötőt, majd válassza ki a megtekinteni kívánt összekötőt.

  4. A konzol megjeleníti a kiválasztott összekötő részleteit, ahol megtekintheti az állapotot , valamint a legutóbbi sikeres szinkronizálás dátumát és időpontját.

A konzolon belüli állapot mellett használhatja az Exchange Connectorhoz és az Intune-hoz készült System Center Operations Manager felügyeleti csomagot is. A felügyeleti csomag különböző módszereket kínál az Exchange-összekötő monitorozására, ha hibaelhárításra van szükség.

Gyors szinkronizálás vagy teljes szinkronizálás manuális kényszerítása

Az Exchange-összekötő új telepítéseinek támogatása 2020 júliusában elavulttá vált. Ehelyett használja az Exchange hibrid modern hitelesítést (HMA). Az alábbi szakaszokban található információk azoknak az ügyfeleknek nyújtanak segítséget, akik továbbra is használhatják a helyszíni Intune Exchange-összekötőt.

Az Intune Exchange-összekötők rendszeresen automatikusan szinkronizálják az EAS- és az Intune-eszközrekordokat. Ha egy eszköz megfelelőségi állapota megváltozik, az automatikus szinkronizálási folyamat rendszeresen frissíti a rekordokat, hogy az eszköz hozzáférése blokkolható vagy engedélyezhető legyen.

  • A gyors szinkronizálás rendszeresen, naponta többször történik. A gyors szinkronizálás lekéri az intune-licenccel rendelkező és a helyszíni Exchange azon felhasználóinak eszközadatait, akiknek feltételes hozzáférése van, és amelyek a legutóbbi szinkronizálás óta megváltoztak.

  • A teljes szinkronizálás alapértelmezés szerint naponta egyszer történik. A teljes szinkronizálás lekéri a feltételes hozzáférésre szánt összes Intune-licenccel rendelkező és helyszíni Exchange-felhasználó eszközadatait. A teljes szinkronizálás Exchange Server adatokat is lekér, és biztosítja, hogy az Intune által megadott konfiguráció frissül az Exchange-kiszolgálón.

Az összekötők szinkronizálásának kényszerítéséhez használja a Gyors szinkronizálás vagy a Teljes szinkronizálás lehetőséget az Intune irányítópultján:

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza a Bérlői felügyelet>Exchange-hozzáférés>Exchange ActiveSync protokoll helyszíni összekötő lehetőséget.

  3. Válassza ki a szinkronizálni kívánt összekötőt, majd válassza a Gyors szinkronizálás vagy a Teljes szinkronizálás lehetőséget.

Példa képernyőkép az összekötő részleteiről

Következő lépések

Feltételes hozzáférési szabályzat létrehozása helyszíni Exchange-kiszolgálókhoz.