Configurare il connettore Di Exchange di Intune locale

  • Articolo

Importante

Il supporto per il connettore Exchange di Intune locale terminerà il 19 febbraio 2024. Dopo questa data, Exchange Connector non verrà più sincronizzato con Intune. Se si usa Exchange Connector, è consigliabile eseguire una delle azioni seguenti prima del 19 febbraio 2024:

Per proteggere l'accesso a Exchange, Intune si basa su un componente locale noto come connettore di Exchange Microsoft Intune. Questo connettore è anche denominato Exchange ActiveSync connettore locale in alcune posizioni dell'interfaccia di amministrazione di Intune.

Importante

Intune rimuoverà il supporto per la funzionalità Exchange On-Premises Connector dal servizio Intune a partire dalla versione 2007 (luglio). I clienti esistenti con un connettore attivo potranno continuare con la funzionalità corrente in questo momento. I nuovi clienti e i clienti esistenti che non hanno un connettore attivo non saranno più in grado di creare nuovi connettori o gestire dispositivi Exchange ActiveSync (EAS) da Intune. Per questi tenant, Microsoft consiglia l'uso dell'autenticazione moderna ibrida di Exchange (HMA) per proteggere l'accesso a Exchange locale. HMA abilita sia i criteri di protezione delle app di Intune (noto anche come MAM) che l'accesso condizionale tramite Outlook Mobile per Exchange in locale.

Le informazioni contenute in questo articolo consentono di installare e monitorare il connettore Exchange di Intune. È possibile usare il connettore con i criteri di accesso condizionale per consentire o bloccare l'accesso alle cassette postali locali di Exchange.

Il connettore viene installato ed eseguito nell'hardware locale. Individua i dispositivi che si connettono a Exchange, comunicando le informazioni sul dispositivo al servizio Intune. Il connettore consente o blocca i dispositivi in base alla registrazione e alla conformità dei dispositivi. Queste comunicazioni usano il protocollo HTTPS.

Quando un dispositivo tenta di accedere al server Exchange locale, Exchange Connector esegue il mapping dei record di Exchange ActiveSync (EAS) in Exchange Server ai record di Intune per assicurarsi che il dispositivo si registri con Intune e sia conforme ai criteri del dispositivo. A seconda dei criteri di accesso condizionale, il dispositivo può essere consentito o bloccato. Per altre informazioni, vedere Quali sono i modi comuni per usare l'accesso condizionale con Intune?

Sia le operazioni di individuazione che di autorizzazione e blocco vengono eseguite usando i cmdlet di Exchange PowerShell standard. Queste operazioni usano l'account del servizio fornito al momento dell'installazione iniziale del connettore Exchange.

Intune supporta l'installazione di più connettori di Intune Exchange per sottoscrizione. Se sono presenti più organizzazioni di Exchange locali, è possibile configurare un connettore separato per ogni organizzazione. È tuttavia possibile installare un solo connettore per ogni organizzazione di Exchange.

Seguire questa procedura generale per configurare una connessione che consenta a Intune di comunicare con il server Exchange locale:

  1. Scaricare il connettore locale dall'interfaccia di amministrazione Microsoft Intune.
  2. Installare e configurare Exchange Connector in un computer dell'organizzazione di Exchange locale.
  3. Convalidare la connessione di Exchange.
  4. Ripetere questi passaggi per ogni organizzazione di Exchange aggiuntiva che si vuole connettere a Intune.

Funzionamento dell'accesso condizionale per Exchange locale

L'accesso condizionale per Exchange locale funziona in modo diverso rispetto ai criteri basati sull'accesso condizionale di Azure. Installare il connettore locale di Exchange di Intune per interagire direttamente con exchange server. Il connettore Exchange di Intune esegue il pull di tutti i record di Exchange Active Sync (EAS) esistenti nel server Exchange, in modo che Intune possa accettare questi record EAS e eseguirne il mapping ai record del dispositivo di Intune. Questi record sono dispositivi registrati e riconosciuti da Intune. Questo processo consente o blocca l'accesso alla posta elettronica.

Se il record EAS è nuovo e Intune non ne è a conoscenza, Intune emette un cmdlet (pronunciato "command-let") che indica al server Exchange di bloccare l'accesso alla posta elettronica. Di seguito sono riportati altri dettagli sul funzionamento di questo processo:

Exchange locale con diagramma di flusso ca

  1. L'utente tenta di accedere alla posta elettronica aziendale, ospitata in Exchange 2010 SP1 o versione successiva.

  2. Se il dispositivo non è gestito da Intune, l'accesso alla posta elettronica verrà bloccato. Intune invia una notifica di blocco al client EAS.

  3. EAS riceve la notifica di blocco, sposta il dispositivo in quarantena e invia il messaggio di posta elettronica in quarantena con passaggi di correzione che contengono collegamenti in modo che gli utenti possano registrare i propri dispositivi.

  4. Si verifica il processo di aggiunta all'area di lavoro, che è il primo passaggio per la gestione del dispositivo da Parte di Intune.

  5. Il dispositivo viene registrato in Intune.

  6. Intune esegue il mapping del record EAS a un record del dispositivo e salva lo stato di conformità del dispositivo.

  7. L'ID client EAS viene registrato dal processo di registrazione del dispositivo Microsoft Entra, che crea una relazione tra il record del dispositivo di Intune e l'ID client EAS.

  8. Il Microsoft Entra Registrazione dispositivo salva le informazioni sullo stato del dispositivo.

  9. Se l'utente soddisfa i criteri di accesso condizionale, Intune invia un cmdlet tramite il connettore exchange di Intune che consente la sincronizzazione della cassetta postale.

  10. Exchange Server invia la notifica al client EAS in modo che l'utente possa accedere alla posta elettronica.

Requisiti del connettore Exchange di Intune

Per connettersi a Exchange, è necessario un account con una licenza di Intune utilizzabile dal connettore. Specificare l'account quando si installa il connettore.

Nella tabella seguente sono elencati i requisiti per il computer in cui si installa in Intune Exchange Connector.

Requisito Ulteriori informazioni
Sistemi operativi Intune supporta il connettore Exchange di Intune in un computer che esegue qualsiasi edizione di Windows Server 2008 SP2 a 64 bit, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 o Windows Server 2016.

Il connettore non è supportato in alcuna installazione di Server Core.
Microsoft Exchange I connettori locali richiedono Microsoft Exchange 2010 SP3 o versione successiva o legacy Exchange Online Dedicato. Per determinare se l'ambiente dedicato Exchange Online si trova nella configurazione nuova o legacy, contattare l'account manager.
Autorità di gestione dei dispositivi mobili Impostare l'autorità di gestione dei dispositivi mobili su Intune.
Hardware Il computer in cui si installa il connettore richiede una CPU da 1,6 GHz con 2 GB di RAM e 10 GB di spazio libero su disco.
Sincronizzazione con Active Directory Prima di usare il connettore per connettere Intune al server Exchange, configurare la sincronizzazione di Active Directory. Gli utenti locali e i gruppi di sicurezza devono essere sincronizzati con l'istanza di MICROSOFT ENTRA ID.
Software aggiuntivo Il computer che ospita il connettore deve avere un'installazione completa di Microsoft .NET Framework 4.5 e Windows PowerShell 2.0.
Rete Il computer in cui si installa il connettore deve trovarsi in un dominio con una relazione di trust con il dominio che ospita il server Exchange.

Configurare il computer per consentire l'accesso al servizio Intune tramite firewall e server proxy sulle porte 80 e 443. Intune usa questi domini:
- manage.microsoft.com
- *manage.microsoft.com
- *.manage.microsoft.com

Intune Exchange Connector comunica con i servizi seguenti:
- Servizio Intune: porta HTTPS 443
- Server Accesso client di Exchange : porta del servizio WinRM 443
- Individuazione automatica di Exchange 443
- Exchange Web Services (EWS) 443

Requisiti dei cmdlet di Exchange

Creare un account utente di Active Directory per Intune Exchange Connector. L'account deve disporre dell'autorizzazione per eseguire i cmdlet di Exchange Windows PowerShell seguenti:

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings
  • Get-CasMailbox, Set-CasMailbox
  • Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy
  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule
  • Get-ActiveSyncDeviceStatistics
  • Get-ActiveSyncDevice
  • Get-ExchangeServer
  • Get-ActiveSyncDeviceClass
  • Get-Recipient
  • Clear-ActiveSyncDevice, Remove-ActiveSyncDevice
  • Set-ADServerSettings
  • Get-Command

Scaricare il pacchetto di installazione

Il supporto per le nuove installazioni del connettore exchange è stato deprecato a luglio 2020 e il pacchetto di installazione del connettore non è più disponibile per il download. Usare invece l'autenticazione moderna ibrida di Exchange (HMA).

Installare e configurare Intune Exchange Connector

Il supporto per le nuove installazioni del connettore exchange è stato deprecato a luglio 2020 e il pacchetto di installazione del connettore non è più disponibile per il download. Usare invece l'autenticazione moderna ibrida di Exchange (HMA). Le istruzioni seguenti vengono mantenute per l'uso della reinstallazione del connettore.

Seguire questa procedura per installare Intune Exchange Connector. Se sono presenti più organizzazioni di Exchange, ripetere i passaggi per ogni connettore exchange che si vuole configurare.

  1. In un sistema operativo supportato per il connettore exchange di Intune estrarre i file in Exchange_Connector_Setup.zip in un percorso sicuro.

    Importante

    Non rinominare o spostare i file presenti nella cartella Exchange_Connector_Setup . Queste modifiche causerebbero l'esito negativo dell'installazione del connettore.

  2. Dopo aver estratto i file, aprire la cartella estratta e fare doppio clic su Exchange_Connector_Setup.exe per installare il connettore.

    Importante

    Se la cartella di destinazione non è un percorso sicuro, eliminare il file di certificato MicrosoftIntune.accountcert al termine dell'installazione dei connettori locali.

  3. Nella finestra di dialogo Microsoft Intune Exchange Connector selezionare Microsoft Exchange Server locale o Hosted Microsoft Exchange Server.

    Immagine che mostra dove scegliere il tipo di Exchange Server

    Per un server Exchange locale, specificare il nome del server o il nome di dominio completo del server Exchange che ospita il ruolo Server accesso client .

    Per un server Exchange ospitato, specificare l'indirizzo del server Exchange. Per trovare l'URL del server Exchange ospitato:

    1. Aprire Outlook per Microsoft 365.

    2. Scegliere l'icona ? nell'angolo in alto a sinistra e quindi selezionare Informazioni su.

    3. Individuare il valore del server esterno POP .

    4. Scegliere Server proxy per specificare le impostazioni del server proxy per il server Exchange ospitato.

      1. Selezionare Use a proxy server when synchronizing mobile device information (Usa un server proxy durante la sincronizzazione delle informazioni sui dispositivi mobili).

      2. Immettere il nome del server proxy e il numero di porta da usare per accedere al server.

      3. Se sono necessarie credenziali utente per accedere al server proxy, selezionare Usa credenziali per connettersi al server proxy. Immettere quindi il dominio\utente e la password.

      4. Scegliere OK.

  4. Nei campi Utente (dominio\utente) e Password immettere le credenziali per connettersi al server Exchange. L'account specificato deve avere una licenza per usare Intune.

  5. Specificare le credenziali per inviare notifiche alla cassetta postale di Exchange Server di un utente. Questo utente può essere dedicato solo alle notifiche. L'utente delle notifiche ha bisogno di una cassetta postale di Exchange per inviare notifiche tramite posta elettronica. È possibile configurare queste notifiche usando i criteri di accesso condizionale in Intune.

    Assicurarsi che il servizio di individuazione automatica e i servizi Web Exchange siano configurati nel server di amministrazione centrale di Exchange. Per altre informazioni, vedere Server Accesso client.

  6. Nel campo Password specificare la password per questo account per consentire a Intune di accedere al server Exchange.

    Nota

    L'account usato per accedere al tenant deve essere almeno un amministratore del servizio Intune. Senza questo account amministratore, si otterrà una connessione non riuscita con l'errore "Il server remoto ha restituito un errore: (400) Richiesta non valida".

  7. Scegliere Connetti.

    Nota

    La configurazione della connessione potrebbe richiedere alcuni minuti.

Durante la configurazione, il connettore exchange archivia le impostazioni proxy per abilitare l'accesso a Internet. Se le impostazioni del proxy cambiano, riconfigurare il connettore exchange per applicare le impostazioni proxy aggiornate al connettore exchange.

Dopo che Exchange Connector ha configurato la connessione, i dispositivi mobili associati agli utenti gestiti da Exchange vengono automaticamente sincronizzati e aggiunti al connettore Exchange. Il completamento di questa sincronizzazione potrebbe richiedere del tempo.

Nota

Se si installa Intune Exchange Connector e in seguito è necessario eliminare la connessione di Exchange, è necessario disinstallare il connettore dal computer in cui è stato installato.

Installare connettori per più organizzazioni di Exchange

Il supporto per le nuove installazioni del connettore exchange è stato deprecato a luglio 2020. Usare invece l'autenticazione moderna ibrida di Exchange (HMA). Le informazioni contenute nelle sezioni seguenti vengono fornite per supportare i clienti che potrebbero comunque usare il connettore Exchange di Intune locale.

Supporto per la disponibilità elevata del connettore Exchange di Intune locale

Per il connettore locale, la disponibilità elevata significa che se il contratto di accesso centrale di Exchange usato dal connettore non è più disponibile, il connettore può passare a un server di amministrazione centrale diverso per l'organizzazione di Exchange. Il connettore exchange stesso non supporta la disponibilità elevata. Se il connettore ha esito negativo, non viene eseguito alcun failover automatico ed è necessario installare un nuovo connettore per sostituire il connettore non riuscito.

Per eseguire il failover, il connettore usa il server di amministrazione centrale specificato per creare una connessione corretta a Exchange. Vengono quindi individuate altre CAS per l'organizzazione di Exchange. Questa individuazione consente al connettore di eseguire il failover in un altro server di amministrazione centrale, se disponibile, fino a quando il server di accesso primario non diventa disponibile.

Per impostazione predefinita, l'individuazione di CAS aggiuntivi è abilitata. Se è necessario disattivare il failover:

  1. Nel server in cui è installato exchange connector passare a %ProgramData%\Microsoft\Windows Intune Exchange Connector.

  2. Usando un editor di testo, aprire OnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Modificare <IsCasFailoverEnabled>true</IsCasFailoverEnabled> in <IsCasFailoverEnabled>false</IsCasFailoverEnabled>.

Ottimizzazione delle prestazioni del connettore Exchange (facoltativo)

Quando Exchange ActiveSync supporta 5.000 o più dispositivi, è possibile configurare un'impostazione facoltativa per migliorare le prestazioni del connettore. È possibile migliorare le prestazioni abilitando Exchange all'uso di più istanze di uno spazio di esecuzione dei comandi di PowerShell.

Prima di apportare questa modifica, assicurarsi che l'account usato per eseguire exchange connector non venga usato per altri scopi di gestione di Exchange. Un account di Exchange ha un numero limitato di spazi di esecuzione e il connettore ne userà la maggior parte.

L'ottimizzazione delle prestazioni non è adatta per i connettori eseguiti su hardware meno recente o più lento.

Per migliorare le prestazioni del connettore Exchange:

  1. Nel server in cui è installato il connettore aprire la directory di installazione del connettore. Il percorso predefinito è C:\ProgramData\Microsoft\Windows Intune Exchange Connector.

  2. Modificare il file OnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Individuare EnableParallelCommandSupport e impostare il valore su true:

    <EnableParallelCommandSupport>true</EnableParallelCommandSupport>

  4. Salvare il file e quindi riavviare il servizio Microsoft Intune Exchange Connector.

Reinstallare in Intune Exchange Connector

Il supporto per le nuove installazioni del connettore exchange è stato deprecato a luglio 2020 e il pacchetto di installazione del connettore non è più disponibile per il download. Usare invece l'autenticazione moderna ibrida di Exchange (HMA). Le informazioni seguenti vengono fornite per supportare i clienti che potrebbero comunque usare il connettore Di Exchange di Intune locale.

Potrebbe essere necessario reinstallare un connettore exchange di Intune. Poiché un solo connettore può connettersi a ogni organizzazione di Exchange, se si installa un secondo connettore per l'organizzazione, il nuovo connettore installato sostituisce il connettore originale.

  1. Per reinstallare il nuovo connettore, seguire la procedura descritta nella sezione Installare e configurare exchange connector .

  2. Quando richiesto, selezionare Sostituisci per installare il nuovo connettore. Avviso di configurazione per sostituire un connettore

  3. Continuare la procedura descritta nella sezione Installare e configurare il connettore Exchange di Intune e accedere di nuovo a Intune.

  4. Nella finestra finale selezionare Chiudi per completare l'installazione. Completare l'installazione

Monitorare un connettore exchange

Dopo aver configurato correttamente il connettore Exchange, è possibile visualizzare lo stato delle connessioni e l'ultimo tentativo di sincronizzazione riuscito:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Amministrazione> tenantAccesso a Exchange.

  3. Selezionare Exchange ActiveSync connettore locale e quindi selezionare il connettore da visualizzare.

  4. La console visualizza i dettagli per il connettore selezionato, in cui è possibile visualizzare lo stato e la data e l'ora dell'ultima sincronizzazione riuscita.

Oltre allo stato nella console, è possibile usare il Management Pack di System Center Operations Manager per Exchange Connector e Intune. Il Management Pack offre diversi modi per monitorare exchange connector quando è necessario risolvere i problemi.

Forzare manualmente una sincronizzazione rapida o completa

Il supporto per le nuove installazioni del connettore exchange è stato deprecato a luglio 2020. Usare invece l'autenticazione moderna ibrida di Exchange (HMA). Le informazioni contenute nelle sezioni seguenti vengono fornite per supportare i clienti che potrebbero comunque usare il connettore Exchange di Intune locale.

Un connettore Exchange di Intune sincronizza automaticamente i record dei dispositivi EAS e Intune regolarmente. Se lo stato di conformità di un dispositivo cambia, il processo di sincronizzazione automatica aggiorna regolarmente i record in modo che l'accesso al dispositivo possa essere bloccato o consentito.

  • Una sincronizzazione rapida si verifica regolarmente, più volte al giorno. Una sincronizzazione rapida recupera le informazioni sul dispositivo per gli utenti di Exchange con licenza di Intune e locali destinati all'accesso condizionale e che sono stati modificati dopo l'ultima sincronizzazione.

  • Per impostazione predefinita, una sincronizzazione completa viene eseguita una volta al giorno. Una sincronizzazione completa recupera le informazioni sul dispositivo per tutti gli utenti di Exchange con licenza di Intune e locali destinati all'accesso condizionale. Una sincronizzazione completa recupera anche Exchange Server informazioni e garantisce che la configurazione specificata da Intune venga aggiornata nel server Exchange.

È possibile forzare un connettore a eseguire una sincronizzazione usando le opzioni Sincronizzazione rapida o Sincronizzazione completa nel dashboard di Intune:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Amministrazione> tenantAccesso a> Exchange Exchange ActiveSync connettore locale.

  3. Selezionare il connettore da sincronizzare e quindi scegliere Sincronizzazione rapida o Sincronizzazione completa.

Screenshot di esempio dei dettagli del connettore

Passaggi successivi

Creare criteri di accesso condizionale per i server Exchange locali.