On-premises exchange-toegang configureren voor Intune

  • Artikel

Belangrijk

Ondersteuning voor de on-premises Intune Exchange-connector eindigt op 19 februari 2024. Na deze datum wordt de Exchange-connector niet meer gesynchroniseerd met Intune. Als u de Exchange-connector gebruikt, raden we u aan vóór 19 februari 2024 een van de volgende acties uit te voeren:

In dit artikel wordt beschreven hoe u voorwaardelijke toegang configureert voor Exchange on-premises op basis van apparaatcompatibiliteit.

Als u een Exchange Online Dedicated-omgeving hebt en wilt weten of deze zich in de nieuwe of verouderde configuratie bevindt, neemt u contact op met uw accountmanager. Als u e-mailtoegang tot Exchange On-premises of uw verouderde Exchange Online Toegewezen omgeving wilt beheren, configureert u Voorwaardelijke toegang tot Exchange On-premises in Intune.

Voordat u begint

Voordat u voorwaardelijke toegang kunt configureren, controleert u of de volgende configuraties bestaan:

  • Uw Exchange-versie is Exchange 2010 SP3 of hoger. Exchange Server Client Access Server (CAS)-matrix wordt ondersteund.

  • U hebt de Exchange ActiveSync on-premises Exchange-connector geïnstalleerd en gebruikt, die Intune verbindt met on-premises Exchange.

    Belangrijk

    Intune ondersteunt meerdere on-premises Exchange-connectors per abonnement. Elke on-premises Exchange-connector is echter specifiek voor één Intune-tenant en kan niet worden gebruikt met een andere tenant. Als u meer dan één on-premises Exchange-organisatie hebt, kunt u een afzonderlijke connector instellen voor elke Exchange-organisatie.

  • De connector voor een on-premises Exchange-organisatie kan op elke computer worden geïnstalleerd zolang die machine kan communiceren met de Exchange-server.

  • De connector ondersteunt een Exchange CAS-omgeving. Intune ondersteunt het rechtstreeks installeren van de connector op de Exchange CAS-server. U wordt aangeraden deze op een afzonderlijke computer te installeren vanwege de extra belasting die de connector op de server brengt. Wanneer u de connector configureert, moet u deze instellen om te communiceren met een van de Exchange CAS-servers.

  • Exchange ActiveSync moet worden geconfigureerd met verificatie op basis van certificaten of vermelding van gebruikersreferenties.

  • Wanneer beleid voor voorwaardelijke toegang is geconfigureerd en gericht is op een gebruiker, moet het apparaat dat ze gebruiken het volgende zijn voordat een gebruiker verbinding kan maken met zijn e-mail:

    • Geregistreerd bij Intune of is een pc die lid is van een domein.
    • Geregistreerd in Microsoft Entra ID. Daarnaast moet de client-Exchange ActiveSync-id worden geregistreerd bij Microsoft Entra ID.

  • Microsoft Entra Device Registration Service (DRS) wordt automatisch geactiveerd voor Intune- en Microsoft 365-klanten. Klanten die de ADFS Device Registration Service al hebben geïmplementeerd, zien geen geregistreerde apparaten in hun on-premises Active Directory. Dit geldt niet voor Windows-pc's en -apparaten.

  • Voldoet aan het nalevingsbeleid voor apparaten dat op dat apparaat is geïmplementeerd.

  • Als het apparaat niet voldoet aan de instellingen voor voorwaardelijke toegang, krijgt de gebruiker een van de volgende berichten te zien wanneer deze zich aanmeldt:

    • Als het apparaat niet is ingeschreven bij Intune of niet is geregistreerd bij Microsoft Entra ID, wordt er een bericht weergegeven met instructies over het installeren van de Bedrijfsportal-app, het registreren van het apparaat en het activeren van e-mail. Met dit proces wordt ook de Exchange ActiveSync-id van het apparaat gekoppeld aan de apparaatrecord in Microsoft Entra ID.
    • Als het apparaat niet compatibel is, wordt er een bericht weergegeven dat de gebruiker naar de Intune-bedrijfsportal website of de Bedrijfsportal-app leidt. In de bedrijfsportal kunnen ze informatie vinden over het probleem en hoe ze het kunnen oplossen.

Ondersteuning voor mobiele apparaten

  • Systeemeigen e-mail-app op iOS/iPadOS: zie Beleid voor voorwaardelijke toegang maken voor het maken van beleid voor voorwaardelijke toegang

  • EAS-e-mailclients, zoals Gmail op Android 4 of hoger: zie Beleid voor voorwaardelijke toegang maken voor het maken van beleid voor voorwaardelijke toegang

  • EAS-e-mailclients op Android Enterprise Personally-Owned werkprofielapparaten : alleen Gmail en Nine Work voor Android Enterprise worden ondersteund op android enterprise-apparaten met een werkprofiel in persoonlijk eigendom . Voorwaardelijke toegang werkt alleen met Android Enterprise-werkprofielen in persoonlijk eigendom als u een e-mailprofiel voor de Gmail - of Nine Work for Android Enterprise-app implementeert en deze apps ook implementeren als een vereiste installatie. Nadat u de app hebt geïmplementeerd, kunt u voorwaardelijke toegang op basis van een apparaat instellen.

  • EAS-e-mailclients op Android-apparaatbeheerder : zie Beleid voor voorwaardelijke toegang maken voor het maken van beleid voor voorwaardelijke toegang

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor Beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 30 augustus 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheerdersbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning afloopt. Lees Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Voorwaardelijke toegang instellen voor Android Enterprise-apparaten met een werkprofiel in persoonlijk eigendom

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Implementeer de Gmail- of Nine Work-app als Vereist.

  3. Ga naar Apparaatconfiguratie> en kies *Maken.

  4. Voer een naam en beschrijving in voor het profiel.

  5. Selecteer Android Enterprise in Platform en selecteer Email in Profieltype.

  6. Configureer de e-mailprofielinstellingen.

  7. Wanneer u klaar bent, selecteert u OK>Maken om uw wijzigingen op te slaan.

  8. Nadat u het e-mailprofiel hebt gemaakt, wijst u het toe aan groepen.

  9. Voorwaardelijke toegang op basis van apparaten instellen.

Opmerking

Microsoft Outlook voor Android en iOS/iPadOS wordt niet ondersteund via de on-premises Exchange-connector. Als u Microsoft Entra beleid voor voorwaardelijke toegang en Intune App-beveiligingsbeleid met Outlook voor iOS/iPadOS en Android wilt gebruiken voor uw on-premises postvakken, raadpleegt u Hybride moderne verificatie gebruiken met Outlook voor iOS/iPadOS en Android.

Ondersteuning voor pc's

Het ondersteunt momenteel de systeemeigen Mail-toepassing op Windows 8.1 en hoger (bij registratie bij MDM met Intune).

Belangrijk

Op 22 oktober 2022 heeft Microsoft Intune de ondersteuning voor apparaten met Windows 8.1 beëindigd. Technische ondersteuning en automatische updates op deze apparaten zijn niet beschikbaar.

Als u momenteel Windows 8.1 gebruikt, raden we u aan over te stappen op Windows 10/11-apparaten. Microsoft Intune beschikt over ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd.

On-premises toegang voor Exchange configureren

Ondersteuning voor nieuwe installaties van de Exchange-connector is in juli 2020 afgeschaft en het connectorinstallatiepakket kan niet meer worden gedownload. Gebruik in plaats daarvan Exchange Hybrid Modern Authentication (HMA).

Voordat u de volgende procedure kunt gebruiken om exchange on-premises toegangsbeheer in te stellen, moet u ten minste één Intune on-premises Exchange-connector voor Exchange on-premises installeren en configureren.

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Ga naar Tenantbeheer>Exchange-toegang en selecteer vervolgens On-premises toegang voor Exchange.

  3. Kies in het deelvenster Exchange on-premises toegang de optie Ja om On-premises toegangsbeheer voor Exchange in te schakelen.

    Voorbeeldschermopname van het scherm voor on-premises toegang tot Exchange

  4. Kies onder Toewijzingde optie Groepen selecteren om op te nemen en selecteer vervolgens een of meer groepen om toegang te configureren.

    Leden van de groepen die u selecteert, hebben het beleid voor voorwaardelijke toegang voor exchange on-premises toegang op hen toegepast. Gebruikers die dit beleid ontvangen, moeten hun apparaten registreren bij Intune en voldoen aan de nalevingsprofielen voordat ze toegang hebben tot Exchange on-premises.

    Groepen selecteren om op te nemen

  5. Als u groepen wilt uitsluiten, kiest u Groepen selecteren om uit te sluiten en selecteert u vervolgens een of meer groepen die zijn vrijgesteld van de vereisten voor het inschrijven van apparaten en om te voldoen aan de nalevingsprofielen voordat u exchange on-premises opent.

    Selecteer Opslaan om uw configuratie op te slaan en terug te keren naar het deelvenster Exchange-toegang .

  6. Configureer vervolgens instellingen voor de Intune on-premises Exchange-connector. Selecteer in het beheercentrum Tenantbeheer>Exchange-toegang>Exchange ActiveSync on-premises connector en selecteer vervolgens de connector voor de Exchange-organisatie die u wilt configureren.

  7. Voor Gebruikersmeldingen selecteert u Bewerken om de werkstroom Organisatie bewerken te openen , waar u het meldingsbericht Gebruiker kunt wijzigen.

    Voorbeeldschermopname van de werkstroom Organisatie bewerken voor meldingen

    Wijzig het standaard-e-mailbericht dat naar gebruikers wordt verzonden als hun apparaat niet compatibel is en ze toegang willen tot Exchange on-premises. De berichtsjabloon maakt gebruik van de opmaaktaal. U kunt ook het voorbeeld zien van hoe het bericht eruitziet terwijl u typt

    Selecteer Beoordelen en opslaan en vervolgens Opslaan om uw bewerkingen op te slaan om de configuratie van exchange on-premises toegang te voltooien.

    Tip

    Zie dit Wikipedia-artikel voor meer informatie over markup-taal.

  8. Selecteer vervolgens Geavanceerde Exchange ActiveSync toegangsinstellingen om de werkstroom Geavanceerde Exchange ActiveSync toegangsinstellingen te openen waarin u apparaattoegangsregels configureert.

    Voorbeeldschermopname van de werkstroom Organisatie bewerken voor geavanceerde instellingen

    • Stel voor niet-beheerde apparaattoegang de algemene standaardregel in voor toegang vanaf apparaten die niet worden beïnvloed door voorwaardelijke toegang of andere regels:

      • Toegang toestaan : alle apparaten hebben direct toegang tot Exchange On-Premises. Apparaten die deel uitmaken van de gebruikers in de groepen die u hebt geconfigureerd zoals opgenomen in de vorige procedure, worden geblokkeerd als ze later worden geëvalueerd als niet compatibel met het compatibele beleid of niet zijn ingeschreven bij Intune.

      • Toegang blokkeren en in quarantaine plaatsen : alle apparaten hebben in eerste instantie onmiddellijk geen toegang tot Exchange on-premises. Apparaten die behoren tot gebruikers in de groepen die u hebt geconfigureerd zoals opgenomen in de vorige procedure, krijgen toegang nadat het apparaat is ingeschreven bij Intune en is geëvalueerd als compatibel.

        Deze instelling wordt ondersteund op Android-apparaten waarop Samsung Knox Standard wordt uitgevoerd. Andere Android-apparaten ondersteunen deze instelling niet en worden altijd geblokkeerd.

    • Selecteer toevoegen voor Apparaatplatform-uitzonderingen en geef zo nodig details op voor uw omgeving.

      Als de instelling Niet-beheerde apparaattoegang is ingesteld op Geblokkeerd, zijn apparaten die zijn ingeschreven en compatibel zijn, toegestaan, zelfs als er een platform uitzondering is om ze te blokkeren.

  9. Selecteer OK om uw bewerkingen op te slaan.

  10. Selecteer Beoordelen en opslaan en vervolgens Opslaan om het Exchange-beleid voor voorwaardelijke toegang op te slaan.

Volgende stappen

Maak vervolgens een nalevingsbeleid en wijs dit toe aan de gebruikers voor Intune om hun mobiele apparaten te evalueren. Zie Aan de slag met apparaatnaleving.

Problemen met intune on-premises Exchange-connector in Microsoft Intune oplossen