A helyszíni Intune Exchange-összekötő beállítása
Fontos
A helyszíni Intune Exchange-összekötő támogatása 2024. február 19-én megszűnik. Ezt a dátumot követően az Exchange-összekötő már nem szinkronizálódik az Intune-nal. Ha az Exchange-összekötőt használja, javasoljuk, hogy 2024. február 19. előtt hajtsa végre az alábbi műveletek egyikét:
Az Exchange-hez való hozzáférés védelme érdekében az Intune a Microsoft Intune Exchange-összekötő néven ismert helyszíni összetevőre támaszkodik. Ezt az összekötőt exchange ActiveSync helyszíni összekötőnek is nevezik az Intune felügyeleti központjának egyes helyeiben.
Fontos
Az Intune a 2007-es (júliusi) kiadástól kezdve megszünteti az Exchange On-Premises Connector funkció támogatását az Intune szolgáltatásból. Az aktív összekötővel rendelkező meglévő ügyfelek jelenleg továbbra is használhatják a jelenlegi funkciókat. Az új ügyfelek és a meglévő ügyfelek, akik nem rendelkeznek aktív összekötőkkel, többé nem hozhatnak létre új összekötőket, és nem kezelhetik az Exchange ActiveSync- (EAS-) eszközöket az Intune-ból. Ezen bérlők esetében a Microsoft az Exchange hibrid modern hitelesítésének (HMA) használatát javasolja a helyszíni Exchange-hez való hozzáférés védelméhez. A HMA az Intune alkalmazásvédelmi szabályzatait (más néven MAM) és a feltételes hozzáférést is engedélyezi a helyszíni Exchange-hez készült Outlook Mobile-on keresztül.
A cikkben található információk segíthetnek az Intune Exchange-összekötő telepítésében és figyelésében. Az összekötő és a feltételes hozzáférési szabályzatok segítségével engedélyezheti vagy letilthatja a helyszíni Exchange-postaládákhoz való hozzáférést.
Az összekötő telepítve van, és a helyszíni hardveren fut. Felderíti az Exchange-hez csatlakozó eszközöket, és eszközadatokat közöl az Intune szolgáltatással. Az összekötő engedélyezi vagy letiltja az eszközöket attól függően, hogy az eszközök regisztrálva vannak-e és megfelelőek-e. Ezek a kommunikációk a HTTPS protokollt használják.
Amikor egy eszköz megpróbál hozzáférni a helyszíni Exchange-kiszolgálóhoz, az Exchange-összekötő leképezi az Exchange Server Exchange ActiveSync (EAS) rekordjait az Intune-rekordokra, hogy az eszköz regisztráljon az Intune-ban, és megfeleljen az eszköz házirendjeinek. A feltételes hozzáférési szabályzatoktól függően az eszköz engedélyezhető vagy letiltható. További információ: Mik a feltételes hozzáférés használatának gyakori módjai az Intune-nal?
A felderítési és engedélyezési és blokkolási műveletek standard Exchange PowerShell-parancsmagokkal végezhetők el. Ezek a műveletek az Exchange-összekötő kezdeti telepítésekor megadott szolgáltatásfiókot használják.
Az Intune előfizetésenként több Intune Exchange-összekötő telepítését is támogatja. Ha több helyszíni Exchange-szervezettel rendelkezik, mindegyikhez külön összekötőt állíthat be. Azonban minden Exchange-szervezethez csak egy összekötő telepíthető.
Kövesse az alábbi általános lépéseket egy olyan kapcsolat beállításához, amely lehetővé teszi, hogy az Intune kommunikáljon a helyszíni Exchange-kiszolgálóval:
- Töltse le a helyszíni összekötőt a Microsoft Intune Felügyeleti központból.
- Telepítse és konfigurálja az Exchange-összekötőt a helyszíni Exchange-szervezet egyik számítógépén.
- Ellenőrizze az Exchange-kapcsolatot.
- Ismételje meg ezeket a lépéseket minden olyan további Exchange-szervezet esetében, amelyet az Intune-hoz szeretne csatlakoztatni.
A helyszíni Exchange feltételes hozzáférésének működése
A helyszíni Exchange feltételes hozzáférése másként működik, mint az Azure feltételes hozzáférés-alapú szabályzatai. Az Intune helyszíni Exchange-összekötőt úgy telepítheti, hogy közvetlenül kommunikáljon az Exchange-kiszolgálóval. Az Intune Exchange-összekötő lekéri az Exchange-kiszolgálón található összes Exchange Active Sync- (EAS-) rekordot, hogy az Intune átvehesse ezeket az EAS-rekordokat, és leképhesse őket az Intune-eszközrekordokra. Ezek a rekordok az Intune által regisztrált és felismert eszközök. Ez a folyamat engedélyezi vagy letiltja az e-mail-hozzáférést.
Ha az EAS-rekord új, és az Intune nem tud róla, az Intune kiad egy parancsmagot (más néven "command-let"), amely az Exchange-kiszolgálót az e-mail-hozzáférés letiltására utasítja. A folyamat működésével kapcsolatban az alábbiakban talál további részleteket:
A felhasználó megpróbál hozzáférni a helyszíni Exchange 2010 SP1 vagy újabb verziójában üzemeltetett vállalati e-mailekhez.
Ha az eszközt nem az Intune felügyeli, az e-mail-hozzáférés le lesz tiltva. Az Intune blokkértesítést küld az EAS-ügyfélnek.
Az EAS megkapja a blokkértesítést, karanténba helyezi az eszközt, és elküldi a karanténba helyezésről szóló e-mailt olyan javítási lépésekkel, amelyek hivatkozásokat tartalmaznak, hogy a felhasználók regisztrálhassák eszközeiket.
Megtörténik a munkahelyi csatlakoztatási folyamat, amely az első lépés, hogy az eszközt az Intune felügyelje.
Az eszköz regisztrálva lesz az Intune-ban.
Az Intune leképezi az EAS-rekordot egy eszközrekordra, és menti az eszközmegfelelési állapotot.
Az EAS-ügyfélazonosítót a Microsoft Entra eszközregisztrációs folyamata regisztrálja, amely kapcsolatot hoz létre az Intune-eszközrekord és az EAS-ügyfélazonosító között.
A Microsoft Entra-eszközregisztráció menti az eszközállapot-információkat.
Ha a felhasználó megfelel a feltételes hozzáférési szabályzatnak, az Intune kiad egy parancsmagot az Intune Exchange-összekötőn keresztül, amely lehetővé teszi a postaláda szinkronizálását.
Az Exchange-kiszolgáló elküldi az értesítést az EAS-ügyfélnek, hogy a felhasználó hozzáférhessen az e-mailekhez.
Az Intune Exchange-összekötő követelményei
Az Exchange-hez való csatlakozáshoz olyan fiókra van szükség, amely intune-licenccel rendelkezik, amelyet az összekötő használhat. Az összekötő telepítésekor adja meg a fiókot.
Az alábbi táblázat felsorolja annak a számítógépnek a követelményeit, amelyre az Intune Exchange-összekötőt telepíti.
Követelmény | További információ |
---|---|
Operációs rendszerek | Az Intune támogatja az Intune Exchange-összekötőt olyan számítógépen, amely a Windows Server 2008 SP2 64 bites, a Windows Server 2008 R2, a Windows Server 2012, a Windows Server 2012 R2 vagy a Windows Server 2016 bármely kiadását futtatja. Az összekötő nem támogatott a Server Core telepítésekor. |
Microsoft Exchange | A helyszíni összekötőkhöz Microsoft Exchange 2010 SP3 vagy újabb, vagy régebbi dedikált Exchange Online szükséges. Ha meg szeretné állapítani, hogy a dedikált Exchange Online-környezet az új vagy örökölt konfigurációban van-e, forduljon a fiókkezelőhöz. |
Mobileszköz-kezelő szolgáltató | Állítsa a mobileszköz-kezelő szolgáltatót intune-ra. |
Hardver | Az összekötőt telepítő számítógép 1,6 GHz-es processzort igényel 2 GB RAM-mal és 10 GB szabad lemezterülettel. |
Active Directory-szinkronizálás | Mielőtt az összekötőt használva csatlakoztatja az Intune-t az Exchange-kiszolgálóhoz, állítsa be az Active Directory-szinkronizálást. A helyi felhasználókat és biztonsági csoportokat szinkronizálni kell a Microsoft Entra ID-példányával. |
További szoftverek | Az összekötőt futtató számítógépnek rendelkeznie kell a Microsoft .NET-keretrendszer 4.5 és a Windows PowerShell 2.0 teljes telepítésével. |
Hálózat | Az összekötőt telepítő számítógépnek olyan tartományban kell lennie, amely megbízhatósági kapcsolatban áll az Exchange-kiszolgálót üzemeltető tartománnyal. Konfigurálja úgy a számítógépet, hogy tűzfalakon és proxykiszolgálókon keresztül férhessen hozzá az Intune szolgáltatáshoz a 80-at és a 443-at használva. Az Intune a következő tartományokat használja: - manage.microsoft.com - *manage.microsoft.com - *.manage.microsoft.com Az Intune Exchange-összekötő a következő szolgáltatásokkal kommunikál: - Intune-szolgáltatás: HTTPS-port: 443- - Exchange-ügyfélelérési kiszolgáló (CAS): WinRM szolgáltatás 443-as portja - Exchange Automatikus észlelés 443 - Exchange Web Services (EWS) 443 |
Az Exchange-parancsmagok követelményei
Hozzon létre egy Active Directory-felhasználói fiókot az Intune Exchange-összekötőhöz. A fióknak engedéllyel kell rendelkeznie a következő Windows PowerShell Exchange-parancsmagok futtatásához:
-
Get-ActiveSyncOrganizationSettings
,Set-ActiveSyncOrganizationSettings
-
Get-CasMailbox
,Set-CasMailbox
-
Get-ActiveSyncMailboxPolicy
,Set-ActiveSyncMailboxPolicy
,New-ActiveSyncMailboxPolicy
,Remove-ActiveSyncMailboxPolicy
-
Get-ActiveSyncDeviceAccessRule
,Set-ActiveSyncDeviceAccessRule
,New-ActiveSyncDeviceAccessRule
,Remove-ActiveSyncDeviceAccessRule
Get-ActiveSyncDeviceStatistics
Get-ActiveSyncDevice
Get-ExchangeServer
Get-ActiveSyncDeviceClass
Get-Recipient
-
Clear-ActiveSyncDevice
,Remove-ActiveSyncDevice
Set-ADServerSettings
Get-Command
A telepítőcsomag letöltése
Az Exchange-összekötő új telepítéseinek támogatása 2020 júliusában elavult, és az összekötő telepítőcsomagja már nem tölthető le. Ehelyett használja az Exchange hibrid modern hitelesítést (HMA).
Az Intune Exchange-összekötő telepítése és konfigurálása
Az Exchange-összekötő új telepítéseinek támogatása 2020 júliusában elavult, és az összekötő telepítőcsomagja már nem tölthető le. Ehelyett használja az Exchange hibrid modern hitelesítést (HMA). Az összekötő újratelepítéséhez kövesse az alábbi utasításokat.
Az Intune Exchange-összekötő telepítéséhez kövesse az alábbi lépéseket. Ha több Exchange-szervezettel rendelkezik, ismételje meg a lépéseket minden beállítani kívánt Exchange-összekötő esetében.
Az Intune Exchange-összekötő támogatott operációs rendszerén csomagolja ki a fájlokat Exchange_Connector_Setup.zipbiztonságos helyre.
Fontos
Ne nevezze át és ne helyezze át a Exchange_Connector_Setup mappában lévő fájlokat. Ezek a módosítások az összekötő telepítésének sikertelenségéhez vezethetnek.
A fájlok kibontása után nyissa meg a kibontott mappát, és kattintson duplán Exchange_Connector_Setup.exe az összekötő telepítéséhez.
Fontos
Ha a célmappa nem biztonságos hely, törölje a MicrosoftIntune.accountcert tanúsítványfájlt , amikor befejezte a helyszíni összekötők telepítését.
A Microsoft Intune Exchange Connector párbeszédpanelen válassza a Helyszíni Microsoft Exchange Server vagy az Üzemeltetett Microsoft Exchange Server lehetőséget.
Helyszíni Exchange-kiszolgáló esetén adja meg az Ügyfélelérési kiszolgáló szerepkört futtató Exchange-kiszolgáló kiszolgálónevét vagy teljes tartománynevét.
Üzemeltetett Exchange-kiszolgáló esetén adja meg az Exchange-kiszolgáló címét. Az üzemeltetett Exchange-kiszolgáló URL-címének megkeresése:
Nyissa meg a Microsoft 365 Outlookot.
Válassza a ? ikont a bal felső sarokban, majd válassza a Névjegy lehetőséget.
Keresse meg a POP külső kiszolgáló értékét.
Válassza a Proxykiszolgáló lehetőséget a proxykiszolgáló beállításainak megadásához az üzemeltetett Exchange-kiszolgálóhoz.
Válassza a Mobileszközök adatainak szinkronizálása proxykiszolgáló használata lehetőséget.
Adja meg a proxykiszolgáló nevét és a kiszolgáló eléréséhez használandó portszámot .
Ha a proxykiszolgáló eléréséhez felhasználói hitelesítő adatokra van szükség, válassza a Hitelesítő adatok használata a proxykiszolgálóhoz való csatlakozáshoz lehetőséget. Ezután adja meg a tartományt\felhasználót és a jelszót.
Kattintson az OK gombra.
A Felhasználó (tartomány\felhasználó) és a Jelszó mezőben adja meg az Exchange-kiszolgálóhoz való csatlakozáshoz szükséges hitelesítő adatokat. A megadott fióknak rendelkeznie kell az Intune használatához szükséges licenccel.
Adja meg a hitelesítő adatokat, hogy értesítéseket küldjön egy felhasználó Exchange Server-postaládájába. Ez a felhasználó dedikáltan csak értesítéseket használhat. Az értesítési felhasználóknak exchange-postaládára van szükségük az értesítések e-mailben történő küldéséhez. Ezeket az értesítéseket feltételes hozzáférési szabályzatokkal konfigurálhatja az Intune-ban.
Győződjön meg arról, hogy az Automatikus észlelés szolgáltatás és az Exchange Web Services konfigurálva van az Exchange CAS-ben. További információ: Ügyfélelérési kiszolgáló.
A Jelszó mezőben adja meg a fiók jelszavát, hogy az Intune hozzáférhessen az Exchange-kiszolgálóhoz.
Megjegyzés:
A bérlőbe való bejelentkezéshez használt fióknak legalább Intune-szolgáltatásadminisztrátornak kell lennie. E rendszergazdai fiók nélkül a "A távoli kiszolgáló hibát adott vissza: (400) Hibás kérés" hibával meghiúsult kapcsolatot fog kapni.
Válassza a Csatlakozás lehetőséget.
Megjegyzés:
A kapcsolat konfigurálása eltarthat néhány percig.
A konfigurálás során az Exchange-összekötő tárolja a proxybeállításokat az internet-hozzáférés engedélyezéséhez. Ha a proxybeállítások megváltoznak, konfigurálja újra az Exchange-összekötőt, hogy a frissített proxybeállításokat alkalmazza az Exchange-összekötőre.
Miután az Exchange-összekötő beállította a kapcsolatot, a rendszer automatikusan szinkronizálja és hozzáadja az Exchange-összekötőhöz az Exchange által felügyelt felhasználókhoz társított mobileszközöket. Ez a szinkronizálás eltarthat egy ideig.
Megjegyzés:
Ha telepíti az Intune Exchange-összekötőt, és később törölnie kell az Exchange-kapcsolatot, el kell távolítania az összekötőt arról a számítógépről, amelyen telepítve volt.
Összekötők telepítése több Exchange-szervezet számára
Az Exchange-összekötő új telepítéseinek támogatása 2020 júliusában elavulttá vált. Ehelyett használja az Exchange hibrid modern hitelesítést (HMA). Az alábbi szakaszokban található információk azoknak az ügyfeleknek nyújtanak segítséget, akik továbbra is használhatják a helyszíni Intune Exchange-összekötőt.
Helyszíni Intune Exchange-összekötő magas rendelkezésre állásának támogatása
A helyszíni összekötő esetében a magas rendelkezésre állás azt jelenti, hogy ha az összekötő által használt Exchange CAS elérhetetlenné válik, az összekötő átválthat egy másik CAS-ra az adott Exchange-szervezet esetében. Maga az Exchange-összekötő nem támogatja a magas rendelkezésre állást. Ha az összekötő meghibásodik, nem történik automatikus feladatátvétel, és telepítenie kell egy új összekötőt a sikertelen összekötő lecseréléséhez.
A feladatátvételhez az összekötő a megadott CAS használatával hoz létre egy sikeres exchange-kapcsolatot. Ezután felderíti az adott Exchange-szervezet további CAS-eit. Ez a felderítés lehetővé teszi, hogy az összekötő feladatátvételt biztosít egy másik CAS-nak, ha van ilyen, amíg az elsődleges CAS elérhetővé nem válik.
Alapértelmezés szerint a további CAS-ek felderítése engedélyezve van. Ha ki kell kapcsolnia a feladatátvételt:
Azon a kiszolgálón, amelyen az Exchange-összekötő telepítve van, lépjen a ProgramData%\Microsoft\Windows Intune Exchange Connector webhelyre%.
Egy szövegszerkesztővel nyissa meg aOnPremisesExchangeConnectorServiceConfiguration.xml.
Módosítsa <az IsCasFailoverEnabled>true</IsCasFailoverEnabled><értéket IsCasFailoverEnabled>false</IsCasFailoverEnabled> értékre.
Az Exchange-összekötő teljesítményhangolása (nem kötelező)
Ha az Exchange ActiveSync legalább 5000 eszközt támogat, konfigurálhat egy opcionális beállítást az összekötő teljesítményének javítására. A teljesítmény javításához engedélyezze az Exchange-nek, hogy több PowerShell-parancsfuttatási helyet használjon.
A módosítás végrehajtása előtt győződjön meg arról, hogy az Exchange-összekötő futtatásához használt fiók nincs más Exchange-kezelési célokra használva. Egy Exchange-fiók korlátozott számú futtatási szóközzel rendelkezik, és az összekötő a legtöbbet használni fogja.
A teljesítmény finomhangolása nem alkalmas régebbi vagy lassabb hardveren futó összekötőkhöz.
Az Exchange-összekötő teljesítményének javítása:
Azon a kiszolgálón, amelyen az összekötő telepítve van, nyissa meg az összekötő telepítési könyvtárát. Az alapértelmezett hely a C:\ProgramData\Microsoft\Windows Intune Exchange Connector.
Szerkessze a fájlt OnPremisesExchangeConnectorServiceConfiguration.xml.
Keresse meg az EnableParallelCommandSupport értéket, és állítsa true ( igaz) értékre:
<EnableParallelCommandSupport>true</EnableParallelCommandSupport>
Mentse a fájlt, majd indítsa újra a Microsoft Intune Exchange Connector szolgáltatást.
Az Intune Exchange-összekötő újratelepítése
Az Exchange-összekötő új telepítéseinek támogatása 2020 júliusában elavult, és az összekötő telepítőcsomagja már nem tölthető le. Ehelyett használja az Exchange hibrid modern hitelesítést (HMA). Az alábbi információk azokat az ügyfeleket támogatják, akik továbbra is használhatják a helyszíni Intune Exchange-összekötőt.
Előfordulhat, hogy újra kell telepítenie egy Intune Exchange-összekötőt. Mivel minden Exchange-szervezethez csak egyetlen összekötő csatlakozhat, ha a szervezethez egy második összekötőt telepít, a telepített új összekötő lecseréli az eredeti összekötőt.
Az új összekötő újratelepítéséhez kövesse az Exchange-összekötő telepítése és konfigurálása című szakasz lépéseit.
Amikor a rendszer kéri, válassza a Csere lehetőséget az új összekötő telepítéséhez.
Folytassa az Intune Exchange-összekötő telepítése és konfigurálása című szakasz lépéseit, majd jelentkezzen be újra az Intune-ba.
Az utolsó ablakban válassza a Bezárás lehetőséget a telepítés befejezéséhez.
Exchange-összekötő monitorozása
Az Exchange-összekötő sikeres konfigurálása után megtekintheti a kapcsolatok állapotát és az utolsó sikeres szinkronizálási kísérletet:
Jelentkezzen be a Microsoft Intune felügyeleti központba.
Válassza a Bérlői felügyelet>Exchange-hozzáférés lehetőséget.
Válassza az Exchange ActiveSync helyszíni összekötő lehetőséget, majd válassza ki a megtekinteni kívánt összekötőt.
A konzol megjeleníti a kiválasztott összekötő részleteit, ahol megtekintheti az állapotot , valamint a legutóbbi sikeres szinkronizálás dátumát és időpontját.
A konzolon belüli állapot mellett használhatja az Exchange Connectorhoz és az Intune-hoz készült System Center Operations Manager felügyeleti csomagot is. A felügyeleti csomag különböző módszereket kínál az Exchange-összekötő monitorozására, ha hibaelhárításra van szükség.
Gyors szinkronizálás vagy teljes szinkronizálás manuális kényszerítása
Az Exchange-összekötő új telepítéseinek támogatása 2020 júliusában elavulttá vált. Ehelyett használja az Exchange hibrid modern hitelesítést (HMA). Az alábbi szakaszokban található információk azoknak az ügyfeleknek nyújtanak segítséget, akik továbbra is használhatják a helyszíni Intune Exchange-összekötőt.
Az Intune Exchange-összekötők rendszeresen automatikusan szinkronizálják az EAS- és az Intune-eszközrekordokat. Ha egy eszköz megfelelőségi állapota megváltozik, az automatikus szinkronizálási folyamat rendszeresen frissíti a rekordokat, hogy az eszköz hozzáférése blokkolható vagy engedélyezhető legyen.
A gyors szinkronizálás rendszeresen, naponta többször történik. A gyors szinkronizálás lekéri az intune-licenccel rendelkező és a helyszíni Exchange azon felhasználóinak eszközadatait, akiknek feltételes hozzáférése van, és amelyek a legutóbbi szinkronizálás óta megváltoztak.
A teljes szinkronizálás alapértelmezés szerint naponta egyszer történik. A teljes szinkronizálás lekéri a feltételes hozzáférésre szánt összes Intune-licenccel rendelkező és helyszíni Exchange-felhasználó eszközadatait. A teljes szinkronizálás az Exchange Server adatait is lekéri, és biztosítja, hogy az Intune által megadott konfiguráció frissül az Exchange-kiszolgálón.
Az összekötők szinkronizálásának kényszerítéséhez használja a Gyors szinkronizálás vagy a Teljes szinkronizálás lehetőséget az Intune irányítópultján:
Jelentkezzen be a Microsoft Intune felügyeleti központba.
Válassza a Bérlői felügyelet>Exchange-hozzáférés>helyszíni Exchange ActiveSync-összekötő lehetőséget.
Válassza ki a szinkronizálni kívánt összekötőt, majd válassza a Gyors szinkronizálás vagy a Teljes szinkronizálás lehetőséget.
Következő lépések
Feltételes hozzáférési szabályzat létrehozása helyszíni Exchange-kiszolgálókhoz.