De on-premises Intune Exchange-connector instellen
Belangrijk
Ondersteuning voor de on-premises Intune Exchange-connector eindigt op 19 februari 2024. Na deze datum wordt de Exchange-connector niet meer gesynchroniseerd met Intune. Als u de Exchange-connector gebruikt, raden we u aan vóór 19 februari 2024 een van de volgende acties uit te voeren:
Om de toegang tot Exchange te beveiligen, is Intune afhankelijk van een on-premises onderdeel dat bekend staat als de Microsoft Intune Exchange-connector. Deze connector wordt ook wel de on-premises Exchange ActiveSync-connector genoemd op sommige locaties van het Intune-beheercentrum.
Belangrijk
Intune verwijdert de ondersteuning voor de functie Exchange On-Premises Connector uit de Intune-service vanaf de release van 2007 (juli). Bestaande klanten met een actieve connector kunnen op dit moment doorgaan met de huidige functionaliteit. Nieuwe klanten en bestaande klanten die geen actieve connector hebben, kunnen geen nieuwe connectors meer maken of Exchange ActiveSync-apparaten (EAS) beheren vanuit Intune. Voor deze tenants raadt Microsoft het gebruik van Hybride moderne verificatie (HMA) van Exchange aan om de toegang tot Exchange on-premises te beveiligen. HMA schakelt zowel Intune-beleid voor app-beveiliging (ook wel bekend als MAM) als voorwaardelijke toegang via Outlook Mobile voor Exchange on-premises in.
De informatie in dit artikel kan u helpen bij het installeren en bewaken van de Intune Exchange-connector. U kunt de connector gebruiken met uw beleid voor voorwaardelijke toegang om toegang tot uw on-premises Exchange-postvakken toe te staan of te blokkeren.
De connector is geïnstalleerd en wordt uitgevoerd op uw on-premises hardware. Er worden apparaten gedetecteerd die verbinding maken met Exchange en apparaatgegevens doorgeven aan de Intune-service. De connector staat apparaten toe of blokkeert deze op basis van het feit of de apparaten zijn ingeschreven en compatibel zijn. Deze communicatie gebruikt het HTTPS-protocol.
Wanneer een apparaat toegang probeert te krijgen tot uw on-premises Exchange-server, wijst de Exchange-connector EAS-records (Exchange ActiveSync) in Exchange Server toe aan Intune-records om ervoor te zorgen dat het apparaat wordt ingeschreven bij Intune en voldoet aan het beleid van uw apparaat. Afhankelijk van uw beleid voor voorwaardelijke toegang kan het apparaat worden toegestaan of geblokkeerd. Zie Wat zijn veelvoorkomende manieren om voorwaardelijke toegang te gebruiken met Intune? voor meer informatie.
Zowel detectie - als acceptatie- en blokbewerkingen worden uitgevoerd met behulp van standaard Exchange PowerShell-cmdlets. Deze bewerkingen maken gebruik van het serviceaccount dat wordt opgegeven wanneer de Exchange-connector voor het eerst wordt geïnstalleerd.
Intune ondersteunt de installatie van meerdere Intune Exchange-connectors per abonnement. Als u meer dan één on-premises Exchange-organisatie hebt, kunt u voor elke organisatie een afzonderlijke connector instellen. Er kan echter slechts één connector worden geïnstalleerd voor elke Exchange-organisatie.
Volg deze algemene stappen om een verbinding in te stellen waarmee Intune kan communiceren met de on-premises Exchange-server:
- Download de on-premises connector vanuit het Microsoft Intune-beheercentrum.
- Installeer en configureer de Exchange-connector op een computer in de on-premises Exchange-organisatie.
- Valideer de Exchange-verbinding.
- Herhaal deze stappen voor elke extra Exchange-organisatie die u wilt verbinden met Intune.
Hoe voorwaardelijke toegang voor Exchange on-premises werkt
Voorwaardelijke toegang voor Exchange on-premises werkt anders dan beleid op basis van voorwaardelijke toegang van Azure. U installeert de Intune Exchange On-Premises-connector om rechtstreeks te communiceren met exchange-server. De Intune Exchange-connector haalt alle EAS-records (Exchange Active Sync) op die aanwezig zijn op de Exchange-server, zodat Intune deze EAS-records kan overnemen en toewijzen aan Intune-apparaatrecords. Deze records zijn apparaten die zijn geregistreerd en herkend door Intune. Met dit proces kunt u e-mailtoegang toestaan of blokkeren.
Als de EAS-record nieuw is en Intune er niet van op de hoogte is, geeft Intune een cmdlet (uitgesproken als 'command-let') uit waarmee de Exchange-server de toegang tot e-mail blokkeert. Hieronder vindt u meer informatie over hoe dit proces werkt:
De gebruiker probeert toegang te krijgen tot zakelijke e-mail, die wordt gehost op Exchange On-premises 2010 SP1 of hoger.
Als het apparaat niet wordt beheerd door Intune, wordt de toegang tot e-mail geblokkeerd. Intune verzendt een blokkeringsmelding naar de EAS-client.
EAS ontvangt de blokkeringsmelding, verplaatst het apparaat naar quarantaine en verzendt de quarantaine-e-mail met herstelstappen die koppelingen bevatten, zodat de gebruikers hun apparaten kunnen inschrijven.
Het werkplekdeelnameproces vindt plaats. Dit is de eerste stap om het apparaat te laten beheren door Intune.
Het apparaat wordt ingeschreven bij Intune.
Intune wijst de EAS-record toe aan een apparaatrecord en slaat de nalevingsstatus van het apparaat op.
De EAS-client-id wordt geregistreerd door het Microsoft Entra Device Registration-proces, waarmee een relatie wordt gemaakt tussen de Intune-apparaatrecord en de EAS-client-id.
De Apparaatregistratie van Microsoft Entra slaat de statusgegevens van het apparaat op.
Als de gebruiker voldoet aan het beleid voor voorwaardelijke toegang, geeft Intune een cmdlet uit via de Intune Exchange-connector waarmee het postvak kan worden gesynchroniseerd.
Exchange-server verzendt de melding naar de EAS-client, zodat de gebruiker toegang heeft tot e-mail.
Vereisten voor Intune Exchange-connector
Als u verbinding wilt maken met Exchange, hebt u een account nodig met een Intune-licentie die de connector kan gebruiken. U geeft het account op wanneer u de connector installeert.
De volgende tabel bevat de vereisten voor de computer waarop u de Intune Exchange-connector installeert.
Vereiste | Meer informatie |
---|---|
Besturingssystemen | Intune ondersteunt de Intune Exchange-connector op een computer waarop een editie van Windows Server 2008 SP2 64-bits, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 of Windows Server 2016 wordt uitgevoerd. De connector wordt niet ondersteund bij een Server Core-installatie. |
Microsoft Exchange Server | On-premises connectors vereisen Microsoft Exchange 2010 SP3 of hoger of verouderde Exchange Online Dedicated. Neem contact op met uw accountmanager om te bepalen of uw Exchange Online Dedicated-omgeving zich in de nieuwe of verouderde configuratie bevindt. |
Instantie voor beheer van mobiele apparaten | Stel de instantie voor het beheer van mobiele apparaten in op Intune. |
Hardware | De computer waarop u de connector installeert, vereist een CPU van 1,6 GHz met 2 GB RAM en 10 GB vrije schijfruimte. |
Active Directory-synchronisatie | Voordat u de connector gebruikt om Intune te verbinden met uw Exchange-server, moet u Active Directory-synchronisatie instellen. Uw lokale gebruikers en beveiligingsgroepen moeten worden gesynchroniseerd met uw exemplaar van Microsoft Entra ID. |
Aanvullende software | De computer waarop de connector wordt gehost, moet beschikken over een volledige installatie van Microsoft .NET Framework 4.5 en Windows PowerShell 2.0. |
Netwerk | De computer waarop u de connector installeert, moet zich in een domein bevinden dat een vertrouwensrelatie heeft met het domein dat als host fungeert voor uw Exchange-server. Configureer de computer zodat deze toegang heeft tot de Intune-service via firewalls en proxyservers via poort 80 en 443. Intune gebruikt deze domeinen: - manage.microsoft.com - *manage.microsoft.com - *.manage.microsoft.com De Intune Exchange-connector communiceert met de volgende services: - Intune-service: HTTPS-poort 443 - Exchange Client Access-server (CAS): WinRM-servicepoort 443 - Exchange Autodiscover 443 - Exchange Web Services (EWS) 443 |
Vereisten voor Exchange-cmdlets
Maak een Active Directory-gebruikersaccount voor de Intune Exchange-connector. Het account moet gemachtigd zijn om de volgende Windows PowerShell Exchange-cmdlets uit te voeren:
-
Get-ActiveSyncOrganizationSettings
,Set-ActiveSyncOrganizationSettings
-
Get-CasMailbox
,Set-CasMailbox
-
Get-ActiveSyncMailboxPolicy
,Set-ActiveSyncMailboxPolicy
,New-ActiveSyncMailboxPolicy
,Remove-ActiveSyncMailboxPolicy
-
Get-ActiveSyncDeviceAccessRule
,Set-ActiveSyncDeviceAccessRule
,New-ActiveSyncDeviceAccessRule
,Remove-ActiveSyncDeviceAccessRule
Get-ActiveSyncDeviceStatistics
Get-ActiveSyncDevice
Get-ExchangeServer
Get-ActiveSyncDeviceClass
Get-Recipient
-
Clear-ActiveSyncDevice
,Remove-ActiveSyncDevice
Set-ADServerSettings
Get-Command
Het installatiepakket downloaden
Ondersteuning voor nieuwe installaties van de Exchange-connector is in juli 2020 afgeschaft en het connectorinstallatiepakket kan niet meer worden gedownload. Gebruik in plaats daarvan Exchange Hybrid Modern Authentication (HMA).
De Intune Exchange-connector installeren en configureren
Ondersteuning voor nieuwe installaties van de Exchange-connector is in juli 2020 afgeschaft en het connectorinstallatiepakket kan niet meer worden gedownload. Gebruik in plaats daarvan Exchange Hybrid Modern Authentication (HMA). De volgende instructies worden bijgehouden voor het gebruik van het opnieuw installeren van de connector.
Volg deze stappen om de Intune Exchange-connector te installeren. Als u meerdere Exchange-organisaties hebt, herhaalt u de stappen voor elke Exchange-connector die u wilt instellen.
Pak op een ondersteund besturingssysteem voor de Intune Exchange-connector de bestanden in Exchange_Connector_Setup.zip uit naar een veilige locatie.
Belangrijk
Wijzig de naam van de bestanden in de map Exchange_Connector_Setup en verplaats deze niet. Door deze wijzigingen mislukt de installatie van de connector.
Nadat de bestanden zijn uitgepakt, opent u de uitgepakte map en dubbelklikt u op Exchange_Connector_Setup.exe om de connector te installeren.
Belangrijk
Als de doelmap geen beveiligde locatie is, verwijdert u het certificaatbestand MicrosoftIntune.accountcert wanneer u klaar bent met het installeren van uw on-premises connectors.
Selecteer in het dialoogvenster Microsoft Intune Exchange Connectorde optie On-premises Microsoft Exchange Server of Gehoste Microsoft Exchange Server.
Geef voor een on-premises Exchange-server de servernaam of de volledig gekwalificeerde domeinnaam op van de Exchange-server die als host fungeert voor de clienttoegangsserverfunctie .
Geef voor een gehoste Exchange-server het adres van de Exchange-server op. Ga als volgende te werk om de URL van de gehoste Exchange-server te vinden:
Open Outlook voor Microsoft 365.
Kies het pictogram ? in de linkerbovenhoek en selecteer vervolgens Info.
Zoek de waarde van de externe POP-server .
Kies Proxyserver om proxyserverinstellingen op te geven voor uw gehoste Exchange-server.
Selecteer Een proxyserver gebruiken bij het synchroniseren van gegevens van mobiele apparaten.
Voer de naam van de proxyserver en het poortnummer in dat moet worden gebruikt voor toegang tot de server.
Als gebruikersreferenties vereist zijn voor toegang tot de proxyserver, selecteert u Referenties gebruiken om verbinding te maken met de proxyserver. Voer vervolgens het domein\gebruiker en het wachtwoord in.
Kies OK.
Voer in de velden Gebruiker (domein\gebruiker) en Wachtwoord referenties in om verbinding te maken met uw Exchange-server. Het account dat u opgeeft, moet een licentie hebben om Intune te kunnen gebruiken.
Geef referenties op om meldingen te verzenden naar het Exchange Server-postvak van een gebruiker. Deze gebruiker kan alleen worden toegewezen aan meldingen. De gebruiker met meldingen heeft een Exchange-postvak nodig om meldingen per e-mail te verzenden. U kunt deze meldingen configureren met behulp van beleid voor voorwaardelijke toegang in Intune.
Zorg ervoor dat de Autodiscover-service en Exchange-webservices zijn geconfigureerd op de Exchange CAS. Zie Client Access Server voor meer informatie.
Geef in het veld Wachtwoord het wachtwoord op voor dit account om Intune toegang te geven tot de Exchange-server.
Opmerking
Het account dat u gebruikt om u aan te melden bij de tenant, moet ten minste een Intune-servicebeheerder zijn. Zonder dit beheerdersaccount krijgt u een mislukte verbinding met de fout 'De externe server heeft een fout geretourneerd: (400) Ongeldige aanvraag'.
Kies Verbinding maken.
Opmerking
Het kan enkele minuten duren voordat de verbinding is geconfigureerd.
Tijdens de configuratie slaat de Exchange-connector uw proxy-instellingen op om toegang tot internet mogelijk te maken. Als uw proxy-instellingen veranderen, configureert u de Exchange-connector opnieuw om de bijgewerkte proxy-instellingen toe te passen op de Exchange-connector.
Nadat de Exchange-connector de verbinding heeft ingesteld, worden mobiele apparaten die zijn gekoppeld aan door Exchange beheerde gebruikers automatisch gesynchroniseerd en toegevoegd aan de Exchange-connector. Het kan enige tijd duren voordat deze synchronisatie is voltooid.
Opmerking
Als u de Intune Exchange-connector installeert en de Exchange-verbinding later wilt verwijderen, moet u de connector verwijderen van de computer waarop deze is geïnstalleerd.
Connectors installeren voor meerdere Exchange-organisaties
Ondersteuning voor nieuwe installaties van de Exchange-connector is in juli 2020 afgeschaft. Gebruik in plaats daarvan Exchange Hybrid Modern Authentication (HMA). De informatie in de volgende secties wordt verstrekt ter ondersteuning van klanten die mogelijk nog steeds de on-premises Intune Exchange-connector gebruiken.
Ondersteuning voor hoge beschikbaarheid van on-premises Intune Exchange-connector
Voor de on-premises connector betekent hoge beschikbaarheid dat als de Exchange CAS die de connector gebruikt niet meer beschikbaar is, de connector kan overschakelen naar een andere CAS voor die Exchange-organisatie. De Exchange-connector zelf biedt geen ondersteuning voor hoge beschikbaarheid. Als de connector uitvalt, is er geen automatische failover en moet u een nieuwe connector installeren om de mislukte connector te vervangen.
Als u een failover wilt uitvoeren, gebruikt de connector de opgegeven CAS om een geslaagde verbinding met Exchange te maken. Vervolgens worden aanvullende CAS's voor die Exchange-organisatie gedetecteerd. Met deze detectie kan de connector een failover uitvoeren naar een andere CAS als er een beschikbaar is, totdat de primaire CAS beschikbaar is.
Detectie van extra CAS's is standaard ingeschakeld. Als u failover moet uitschakelen:
Ga op de server waarop de Exchange-connector is geïnstalleerd naar %ProgramData%\Microsoft\Windows Intune Exchange Connector.
Open met een teksteditor OnPremisesExchangeConnectorServiceConfiguration.xml.
Wijzig <IsCasFailoverEnabled>true</IsCasFailoverEnabled> in <IsCasFailoverEnabled>false</IsCasFailoverEnabled>.
Prestaties afstemmen van de Exchange-connector (optioneel)
Wanneer Exchange ActiveSync 5000 of meer apparaten ondersteunt, kunt u een optionele instelling configureren om de prestaties van de connector te verbeteren. U verbetert de prestaties door Exchange in te schakelen voor het gebruik van meerdere exemplaren van een PowerShell-opdrachtuitvoeringsruimte.
Voordat u deze wijziging aanbrengt, moet u ervoor zorgen dat het account dat u gebruikt om de Exchange-connector uit te voeren, niet wordt gebruikt voor andere Exchange-beheerdoeleinden. Een Exchange-account heeft een beperkt aantal uitvoeringsruimten en de connector gebruikt de meeste van deze ruimten.
Het afstemmen van prestaties is niet geschikt voor connectors die worden uitgevoerd op oudere of tragere hardware.
De prestaties van de Exchange-connector verbeteren:
Open de installatiemap van de connector op de server waarop de connector is geïnstalleerd. De standaardlocatie is C:\ProgramData\Microsoft\Windows Intune Exchange Connector.
Bewerk het bestand OnPremisesExchangeConnectorServiceConfiguration.xml.
Zoek EnableParallelCommandSupport en stel de waarde in op true:
<EnableParallelCommandSupport>true</EnableParallelCommandSupport>
Sla het bestand op en start de Microsoft Intune Exchange-connectorservice opnieuw.
De Intune Exchange-connector opnieuw installeren
Ondersteuning voor nieuwe installaties van de Exchange-connector is in juli 2020 afgeschaft en het connectorinstallatiepakket kan niet meer worden gedownload. Gebruik in plaats daarvan Exchange Hybrid Modern Authentication (HMA). De volgende informatie wordt verstrekt ter ondersteuning van klanten die mogelijk nog steeds de on-premises Intune Exchange-connector gebruiken.
Mogelijk moet u een Intune Exchange-connector opnieuw installeren. Omdat slechts één connector verbinding kan maken met elke Exchange-organisatie, vervangt de nieuwe connector die u installeert de oorspronkelijke connector als u een tweede connector voor de organisatie installeert.
Als u de nieuwe connector opnieuw wilt installeren, volgt u de stappen in de sectie De Exchange-connector installeren en configureren .
Wanneer u hierom wordt gevraagd, selecteert u Vervangen om de nieuwe connector te installeren.
Ga door met de stappen in de sectie De Intune Exchange-connector installeren en configureren en meld u opnieuw aan bij Intune.
Selecteer in het laatste venster Sluiten om de installatie te voltooien.
Een Exchange-connector bewaken
Nadat u de Exchange-connector hebt geconfigureerd, kunt u de status van de verbindingen en de laatste geslaagde synchronisatiepoging bekijken:
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Tenantbeheer>Exchange-toegang.
Selecteer Exchange ActiveSync on-premises connector en selecteer vervolgens de connector die u wilt weergeven.
In de console worden details weergegeven voor de connector die u selecteert, waar u de status en de datum en tijd van de laatste geslaagde synchronisatie kunt bekijken.
Naast de status in de console kunt u het Management Pack System Center Operations Manager gebruiken voor Exchange-connector en Intune. Het management pack biedt verschillende manieren om de Exchange-connector te bewaken wanneer u problemen moet oplossen.
Handmatig een snelle of volledige synchronisatie afdwingen
Ondersteuning voor nieuwe installaties van de Exchange-connector is in juli 2020 afgeschaft. Gebruik in plaats daarvan Exchange Hybrid Modern Authentication (HMA). De informatie in de volgende secties wordt verstrekt ter ondersteuning van klanten die mogelijk nog steeds de on-premises Intune Exchange-connector gebruiken.
Een Intune Exchange-connector synchroniseert automatisch EAS- en Intune-apparaatrecords regelmatig. Als de nalevingsstatus van een apparaat verandert, worden met het automatische synchronisatieproces regelmatig records bijgewerkt, zodat de toegang tot het apparaat kan worden geblokkeerd of toegestaan.
Een snelle synchronisatie vindt regelmatig plaats, meerdere keren per dag. Een snelle synchronisatie haalt apparaatgegevens op voor Exchange-gebruikers met een Intune-licentie en on-premises exchange-gebruikers die zijn gericht op voorwaardelijke toegang en die zijn gewijzigd sinds de laatste synchronisatie.
Een volledige synchronisatie vindt standaard eenmaal per dag plaats. Een volledige synchronisatie haalt apparaatgegevens op voor alle Intune-gelicentieerde en on-premises Exchange-gebruikers die zijn gericht op voorwaardelijke toegang. Een volledige synchronisatie haalt ook Exchange Server-gegevens op en zorgt ervoor dat de configuratie die intune opgeeft, wordt bijgewerkt op de Exchange-server.
U kunt afdwingen dat een connector een synchronisatie uitvoert met behulp van de opties Snelle synchronisatie of Volledige synchronisatie op het Intune-dashboard:
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Tenantbeheer>Exchange-toegang>Exchange ActiveSync on-premises connector.
Selecteer de connector die u wilt synchroniseren en kies vervolgens Snelle synchronisatie of Volledige synchronisatie.
Volgende stappen
Maak een beleid voor voorwaardelijke toegang voor on-premises Exchange-servers.