Konfigurowanie dostępu lokalnego do programu Exchange dla usługi Intune

Ważna

Obsługa lokalnego programu Intune Exchange Connector kończy się 19 lutego 2024 r. Po tej dacie program Exchange Connector nie będzie już synchronizowany z usługą Intune. Jeśli używasz łącznika programu Exchange, zalecamy wykonanie jednej z następujących akcji przed 19 lutego 2024 r.:

• Migrowanie skrzynek pocztowych programu Exchange do usługi Exchange Online
• Konfigurowanie nowoczesnego uwierzytelniania hybrydowego

W tym artykule przedstawiono sposób konfigurowania dostępu warunkowego dla lokalnego programu Exchange na podstawie zgodności urządzeń.

Jeśli masz środowisko Exchange Online Dedykowane i musisz dowiedzieć się, czy jest ono w nowej, czy starszej konfiguracji, skontaktuj się z menedżerem konta. Aby kontrolować dostęp poczty e-mail do lokalnego programu Exchange lub do starszego Exchange Online dedykowanego środowiska, skonfiguruj dostęp warunkowy do lokalnego programu Exchange w usłudze Intune.

Przed rozpoczęciem

Przed skonfigurowaniem dostępu warunkowego sprawdź, czy istnieją następujące konfiguracje:

• Twoja wersja programu Exchange to Exchange 2010 SP3 lub nowszy. Obsługiwana jest tablica serwera dostępu klienta programu Exchange Server (CAS).

• Zainstalowano i użyto Exchange ActiveSync lokalnego łącznika programu Exchange, który łączy usługę Intune z lokalnym programem Exchange.

  Ważna

  Usługa Intune obsługuje wiele lokalnych łączników programu Exchange na subskrypcję. Jednak każdy lokalny łącznik programu Exchange jest specyficzny dla jednej dzierżawy usługi Intune i nie może być używany z żadną inną dzierżawą. Jeśli masz więcej niż jedną lokalną organizację programu Exchange, możesz skonfigurować oddzielny łącznik dla każdej organizacji programu Exchange.

• Łącznik dla lokalnej organizacji programu Exchange może być instalowany na dowolnej maszynie, o ile ta maszyna może komunikować się z serwerem Exchange.

• Łącznik obsługuje środowisko CAS programu Exchange. Usługa Intune obsługuje bezpośrednią instalację łącznika na serwerze CAS programu Exchange. Zalecamy zainstalowanie go na osobnym komputerze ze względu na dodatkowe obciążenie, które łącznik umieszcza na serwerze. Podczas konfigurowania łącznika należy skonfigurować go tak, aby komunikował się z jednym z serwerów CAS programu Exchange.

• Exchange ActiveSync należy skonfigurować przy użyciu uwierzytelniania opartego na certyfikatach lub wpisu poświadczeń użytkownika.

• Jeśli zasady dostępu warunkowego są konfigurowane i kierowane do użytkownika, zanim użytkownik będzie mógł nawiązać połączenie z pocztą e-mail, urządzenie , którego używa, musi być następujące:

  • Zarejestrowano w usłudze Intune lub jest komputerem przyłączonym do domeny.
  • Zarejestrowane w Tożsamość Microsoft Entra. Ponadto identyfikator Exchange ActiveSync klienta musi być zarejestrowany w Tożsamość Microsoft Entra.

• Microsoft Entra usługa rejestracji urządzeń (DRS) jest aktywowana automatycznie dla klientów usługi Intune i platformy Microsoft 365. Klienci, którzy wdrożyli już usługę rejestracji urządzeń usług AD FS, nie widzą zarejestrowanych urządzeń w swoich lokalna usługa Active Directory. Nie dotyczy to komputerów i urządzeń z systemem Windows.

• Zgodne z zasadami zgodności urządzeń wdrożonymi na tym urządzeniu.

• Jeśli urządzenie nie spełnia ustawień dostępu warunkowego, podczas logowania użytkownik otrzymuje jeden z następujących komunikatów:

  • Jeśli urządzenie nie zostało zarejestrowane w usłudze Intune lub nie zostało zarejestrowane w usłudze Tożsamość Microsoft Entra, zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalowania aplikacji Portal firmy, rejestrowania urządzenia i aktywowania poczty e-mail. Ten proces kojarzy również identyfikator Exchange ActiveSync urządzenia z rekordem urządzenia w Tożsamość Microsoft Entra.
  • Jeśli urządzenie nie jest zgodne, zostanie wyświetlony komunikat kierujący użytkownika do witryny internetowej Intune — Portal firmy lub aplikacji Portal firmy. W portalu firmy mogą znaleźć informacje o problemie i sposobie jego rozwiązania.

Obsługa urządzeń przenośnych

• Natywna aplikacja poczty e-mail w systemie iOS/iPadOS — aby utworzyć zasady dostępu warunkowego, zobacz Tworzenie zasad dostępu warunkowego

• Klienci poczty EAS, tacy jak Gmail w systemie Android 4 lub nowszym — aby utworzyć zasady dostępu warunkowego, zobacz Tworzenie zasad dostępu warunkowego

• Klienci poczty EAS na urządzeniach z profilem służbowym systemu Android Enterprise Personally-Owned — tylko Gmail i Nine Work dla systemu Android Enterprise są obsługiwane na urządzeniach z profilem służbowym należącym do użytkownika z systemem Android Enterprise . Aby dostęp warunkowy działał z profilami służbowymi należącymi do użytkownika systemu Android Enterprise, należy wdrożyć profil poczty e-mail dla aplikacji Gmail lub Nine Work for Android Enterprise , a także wdrożyć te aplikacje jako wymaganą instalację. Po wdrożeniu aplikacji można skonfigurować dostęp warunkowy oparty na urządzeniach.

• Klienci poczty EAS w administratorze urządzeń z systemem Android — aby utworzyć zasady dostępu warunkowego, zobacz Tworzenie zasad dostępu warunkowego

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 30 sierpnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w usłudze Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, przeczytaj Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Aby skonfigurować dostęp warunkowy dla urządzeń z profilem służbowym należących do użytkownika systemu Android Enterprise

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wdróż aplikację Gmail lub Nine Work zgodnie z wymaganiami.

3. Przejdź do pozycji Konfiguracja urządzeń> i wybierz pozycję *Utwórz.

4. Wprowadź nazwę i opis profilu.

5. Wybierz pozycję Android Enterprise w obszarze Platforma, wybierz pozycję Emailw polu Typ profilu.

6. Skonfiguruj ustawienia profilu poczty e-mail.

7. Po zakończeniu wybierz przycisk OK>Utwórz , aby zapisać zmiany.

8. Po utworzeniu profilu poczty e-mail przypisz go do grup.

9. Konfigurowanie dostępu warunkowego opartego na urządzeniach.

Uwaga

Program Microsoft Outlook dla systemów Android i iOS/iPadOS nie jest obsługiwany za pośrednictwem łącznika lokalnego programu Exchange. Jeśli chcesz korzystać z Microsoft Entra zasad dostępu warunkowego i zasad ochrony aplikacji usługi Intune z programem Outlook dla systemów iOS/iPadOS i Android dla lokalnych skrzynek pocztowych, zobacz Korzystanie z nowoczesnego uwierzytelniania hybrydowego w programie Outlook dla systemów iOS/iPadOS i Android.

Obsługa komputerów

Obecnie obsługuje natywną aplikację poczty w Windows 8.1 i nowszych (po zarejestrowaniu w usłudze MDM w usłudze Intune).

Ważna

22 października 2022 r. Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje na tych urządzeniach nie są dostępne.

Jeśli obecnie używasz Windows 8.1, zalecamy przejście na urządzenia Windows 10/11. Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi Windows 10/11.

Konfigurowanie dostępu lokalnego do programu Exchange

Obsługa nowych instalacji programu Exchange Connector została wycofana w lipcu 2020 r., a pakiet instalacyjny łącznika nie jest już dostępny do pobrania. Zamiast tego użyj nowoczesnego uwierzytelniania hybrydowego programu Exchange (HMA).

Aby można było użyć poniższej procedury do skonfigurowania lokalnej kontroli dostępu programu Exchange, należy zainstalować i skonfigurować co najmniej jeden lokalny łącznik programu Exchange usługi Intune dla lokalnego programu Exchange.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Przejdź do obszaruDostęp do programu Exchange administracja >dzierżawą, a następnie wybierz pozycję Dostęp lokalny do programu Exchange.

3. W okienku dostępu lokalnego programu Exchange wybierz pozycję Tak , aby włączyć lokalną kontrolę dostępu programu Exchange.

   

4. W obszarze Przypisanie wybierz pozycję Wybierz grupy do uwzględnienia, a następnie wybierz co najmniej jedną grupę, aby skonfigurować dostęp.

   Członkowie wybranych grup mają zastosowane zasady dostępu warunkowego dla dostępu lokalnego programu Exchange. Użytkownicy, którzy otrzymają te zasady, muszą zarejestrować swoje urządzenia w usłudze Intune i być zgodni z profilami zgodności, zanim będą mogli uzyskać dostęp do lokalnego programu Exchange.

   

5. Aby wykluczyć grupy, wybierz pozycję Wybierz grupy do wykluczenia, a następnie wybierz co najmniej jedną grupę wykluczoną z wymagań dotyczących rejestrowania urządzeń i zgodności z profilami zgodności przed uzyskaniem dostępu do lokalnego programu Exchange.

   Wybierz pozycję Zapisz , aby zapisać konfigurację, i wróć do okienka dostępu programu Exchange .

6. Następnie skonfiguruj ustawienia lokalnego łącznika programu Exchange usługi Intune. W centrum administracyjnym wybierz pozycję Administracja >dzierżawąProgramu Exchange Access>Exchange ActiveSync łącznik lokalny, a następnie wybierz łącznik dla organizacji programu Exchange, którą chcesz skonfigurować.

7. W obszarze Powiadomienia użytkownika wybierz pozycję Edytuj , aby otworzyć przepływ pracy Edytuj organizację , w którym można zmodyfikować komunikat powiadomienia użytkownika .

   

   Zmodyfikuj domyślną wiadomość e-mail wysyłaną do użytkowników, jeśli ich urządzenie nie jest zgodne i chcą uzyskać dostęp do lokalnego programu Exchange. Szablon wiadomości używa języka znaczników. Możesz również zobaczyć podgląd wyglądu komunikatu podczas wpisywania

   Wybierz pozycję Przejrzyj i zapisz, a następnie zapisz , aby zapisać zmiany, aby ukończyć konfigurację dostępu lokalnego programu Exchange.

   Porada

   Aby dowiedzieć się więcej o języku znaczników, zobacz ten artykuł w Wikipedii.

8. Następnie wybierz pozycję Zaawansowane ustawienia dostępu Exchange ActiveSync, aby otworzyć przepływ pracy Zaawansowane ustawienia dostępu Exchange ActiveSync, w którym skonfigurujesz reguły dostępu urządzeń.

   

   • W przypadku dostępu do urządzeń niezarządzanych ustaw globalną regułę domyślną dostępu z urządzeń, na które nie ma wpływu dostęp warunkowy lub inne reguły:

     • Zezwalaj na dostęp — wszystkie urządzenia mogą natychmiast uzyskiwać dostęp do lokalnego programu Exchange. Urządzenia należące do użytkowników w grupach skonfigurowanych zgodnie z poprzednią procedurą są blokowane, jeśli zostaną później ocenione jako niezgodne ze zgodnymi zasadami lub nie są zarejestrowane w usłudze Intune.

     • Blokuj dostęp i kwarantannę — początkowo dostęp do lokalnego programu Exchange jest natychmiast blokowany na wszystkich urządzeniach. Urządzenia należące do użytkowników w grupach skonfigurowanych zgodnie z poprzednią procedurą uzyskują dostęp po zarejestrowaniu urządzenia w usłudze Intune i są oceniane jako zgodne.

       To ustawienie jest obsługiwane na urządzeniach z systemem Android z systemem Samsung Knox Standard. Inne urządzenia z systemem Android nie obsługują tego ustawienia i są zawsze blokowane.

   • W obszarze Wyjątki platformy urządzeń wybierz pozycję Dodaj, a następnie określ szczegóły zgodnie z potrzebami środowiska.

     Jeśli ustawienie Dostęp do urządzeń niezarządzanych jest ustawione na Wartość Zablokowane, urządzenia, które są zarejestrowane i zgodne, są dozwolone, nawet jeśli istnieje wyjątek platformy w celu ich zablokowania.

9. Wybierz przycisk OK , aby zapisać zmiany.

10. Wybierz pozycję Przejrzyj i zapisz, a następnie pozycję Zapisz , aby zapisać zasady dostępu warunkowego programu Exchange.

Następne kroki

Następnie utwórz zasady zgodności i przypisz je do użytkowników usługi Intune w celu oceny ich urządzeń przenośnych. Zobacz Wprowadzenie do zgodności urządzeń.

Rozwiązywanie problemów z lokalnym programem Exchange Connector w usłudze Intune w Microsoft Intune