Configurar o acesso local ao Exchange para o Intune

Importante

O suporte para o conector do Exchange Intune no local termina a 19 de fevereiro de 2024. Após esta data, o conector do Exchange deixará de ser sincronizado com Intune. Se utilizar o conector do Exchange, recomendamos que efetue uma das seguintes ações antes de 19 de fevereiro de 2024:

• Migrar as suas caixas de correio do Exchange para o Exchange Online
• Configurar a autenticação moderna híbrida

Este artigo mostra como configurar o Acesso Condicional para o Exchange local com base na conformidade do dispositivo.

Se você tiver um ambiente Dedicado do Exchange Online e precisar descobrir se ele está na configuração nova ou herdada, entre em contato com seu gerente de conta. Para controlar o acesso de email ao Exchange local ou ao seu ambiente herdado do Exchange Online Dedicado, configure o acesso condicional ao Exchange local no Intune.

Antes de começar

Antes de configurar o Acesso Condicional, verifique se as seguintes configurações existem:

• Sua versão do Exchange é Exchange 2010 SP3 ou posterior. Há suporte para a matriz CAS (Servidor de Acesso para Cliente) do servidor Exchange.

• Você precisa instalar e usar o conector do Exchange local do Exchange ActiveSync, que conecta o Intune ao Exchange local.

  Importante

  O Intune dá suporte a vários conectores locais do Exchange por assinatura. No entanto, cada conector do Exchange local é específico a um único locatário do Intune e não pode ser usado com nenhum outro locatário. Se você tiver mais de uma organização local do Exchange, poderá configurar um conector separado para cada organização do Exchange.

• O conector para uma organização do Exchange local pode ser instalado em qualquer computador, desde que o computador possa se comunicar com o servidor do Exchange.

• O conector dá suporte ambiente CAS do Exchange. O Intune é compatível com a instalação diretamente do conector no servidor CAS do Exchange. Recomendamos que você instale-o em um computador separado devido à carga adicional que o conector coloca no servidor. Ao configurar o conector, você deve configurá-lo para se comunicar com um dos servidores CAS do Exchange.

• O Exchange ActiveSync deve ser configurado com autenticação baseada em certificado ou entrada de credencial de usuário.

• Quando políticas de Acesso Condicionais são configuradas e direcionadas ao usuário, antes de um usuário se conectar ao email, o dispositivo usado deverá:

  • Inscrito no Intune ou é um PC associado ao domínio.
  • Registado no Microsoft Entra ID. Além disso, o ID de Exchange ActiveSync do cliente tem de estar registado no Microsoft Entra ID.

• Microsoft Entra Serviço de Registo de Dispositivos (DRS) é ativado automaticamente para Intune e clientes do Microsoft 365. Os clientes que já implantaram o Serviço de Registro de Dispositivo do ADFS não veem dispositivos registrados em seus Active Directory local. Isso não se aplica a computadores e dispositivos Windows.

• Compatível com políticas de conformidade do dispositivo implantadas nesse dispositivo.

• Se o dispositivo não atender às configurações de Acesso Condicional, uma das mensagens a seguir será apresentada ao usuário quando ele entrar:

  • Se o dispositivo não estiver inscrito no Intune ou não estiver registado no Microsoft Entra ID, será apresentada uma mensagem com instruções sobre como instalar a aplicação Portal da Empresa, inscrever o dispositivo e ativar o e-mail. Este processo também associa o ID de Exchange ActiveSync do dispositivo ao registo do dispositivo no Microsoft Entra ID.
  • Se o dispositivo não estiver em conformidade, será exibida uma mensagem que direcionará o usuário ao site Portal da Empresa do Intune ou ao aplicativo Portal da Empresa. No portal da empresa, ele pode encontrar informações sobre o problema e como corrigi-lo.

Suporte para dispositivos móveis

• Aplicativo de email nativos no iOS/iPadOS – para criar a política de acesso condicional, confira Criar políticas de Acesso Condicional

• Clientes de email EAS, como Gmail no Android 4 ou posteriores – para criar a política de acesso condicional, confira Criar políticas de Acesso Condicional

• Clientes de e-mail do EAS em dispositivos Android Enterprise Personally-Owned Work Profile – apenas o Gmail e o Nine Work para Android Enterprise são suportados em dispositivos de perfil de trabalho pessoais do Android Enterprise . Para que o Acesso Condicional funcione com perfis de trabalho pessoais do Android Enterprise, tem de implementar um perfil de e-mail para a aplicação Gmail ou Nine Work para Android Enterprise e também implementar essas aplicações como uma instalação necessária. Depois de implantar o aplicativo, você pode configurar o Acesso Condicional com base no dispositivo.

• Clientes de email EAS no administrador de dispositivo Android – para criar a política de Acesso Condicional, confira Criar políticas de Acesso Condicional

Importante

Microsoft Intune está a terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.

Para configurar o Acesso Condicional para dispositivos de perfil de trabalho pessoais do Android Enterprise

1. Entre no Centro de administração do Microsoft Intune.

2. Implante o aplicativo Gmail ou Nine Work conforme Necessário.

3. Aceda a Dispositivos> GerirConfiguração deDispositivos> e selecione *Criar.

4. Introduza um Nome e uma Descrição para o perfil.

5. Selecione Android Enterprise em Plataforma; selecione Email em Tipo de perfil.

6. Defina as configurações de perfil de email.

7. Quando terminar, selecione OK>Criar para salvar suas alterações.

8. Depois de criar o perfil de email, atribua-o a grupos.

9. Configurar acesso condicional baseado em dispositivo.

Observação

O uso do Microsoft Outlook para Android e iOS/iPadOS por meio do conector local do Exchange não é compatível. Se quiser tirar partido Microsoft Entra políticas de Acesso Condicional e Intune Políticas de Proteção de Aplicações com o Outlook para iOS/iPadOS e Android para as suas caixas de correio no local, consulte Utilizar a Autenticação Moderna Híbrida com o Outlook para iOS/iPadOS e Android.

Suporte para computadores

Atualmente, suporta a aplicação Mail nativa no Windows 8.1 e posterior (quando inscrita na MDM com Intune).

Importante

Em 22 de outubro de 2022, o Microsoft Intune encerrou o suporte para dispositivos que executam o Windows 8.1. A assistência técnica e as atualizações automáticas para esses dispositivos não estão disponíveis.

Se utilizar atualmente Windows 8.1, mude para dispositivos Windows 10/11. O Microsoft Intune tem recursos internos de segurança e dispositivos que gerenciam dispositivos clientes Windows 10/11.

Configurar o acesso local ao Exchange

O suporte para novas instalações do conector do Exchange foi preterido em julho de 2020, e o pacote de instalação do conector não está mais disponível para download. Em vez disso, use a HMA (autenticação moderna híbrida) do Exchange.

Antes de poder usar o procedimento a seguir para configurar o controle de acesso local do Exchange, você deve instalar e configurar pelo menos um conector do Exchange local do Intune para o Exchange local.

1. Entre no Centro de administração do Microsoft Intune.

2. Acesse Administração de locatário>Acesso ao Exchange e, em seguida, selecione Acesso local do Exchange.

3. No painel Acesso ao Exchange local, escolha Sim para Habilitar o controle de acesso do Exchange local.

   

4. Em Atribuição, escolha Selecionar grupos para incluir e selecione um ou mais grupos para configurar o acesso.

   Os membros dos grupos selecionados têm a política de Acesso Condicional para acesso ao Exchange local aplicada a eles. Os usuários que recebem essa política precisam registrar seus dispositivos no Intune e atender aos perfis de conformidade antes de poderem acessar o Exchange local.

   

5. Para excluir grupos, escolha Selecionar grupos para excluir e, em seguida, selecione um ou mais grupos isentos de requisitos para registrar dispositivos e para ficar em conformidade com os perfis de conformidade antes de acessar o Exchange local.

   Selecione Salvar para salvar a configuração e retornar para o painel Acesso do Exchange.

6. Depois, defina as configurações para o conector do Exchange local do Intune. No centro de administração, selecione Administração> de inquilinosExchange Access>Exchange ActiveSync conector no local e, em seguida, selecione o conector da organização do Exchange que pretende configurar.

7. Para Notificações de usuário, selecione Editar para abrir o fluxo de trabalho Editar organização, em que é possível modificar a mensagem Notificação do usuário.

   

   Modifique a mensagem de email padrão que será enviada aos usuários se o dispositivo deles não estiver em conformidade e se quiserem acessar o Exchange local. O modelo de mensagem usa a linguagem de marcação. Também é possível ver a versão prévia de aparência da mensagem conforme você digita

   Selecione Revisar + salvar e Salvar para salvar suas edições e concluir a configuração de acesso ao Exchange local.

   Dica

   Para saber mais sobre a linguagem de marcação, consulte este artigo da Wikipédia.

8. Em seguida, selecione Configurações avançadas de acesso do Exchange ActiveSync para abrir o fluxo de trabalho Configurações avançadas de acesso do Exchange ActiveSync no qual você configura as regras de acesso ao dispositivo.

   

   • Para acesso a dispositivos não geridos, defina a regra predefinida global para acesso a partir de dispositivos que não são afetados pelo Acesso Condicional ou por outras regras:

     • Permitir acesso: todos os dispositivos podem acessar o Exchange local imediatamente. Os dispositivos que pertencem aos usuários nos grupos configurados como incluídos no procedimento anterior serão bloqueados se, posteriormente, forem avaliados como não compatíveis com as políticas ou não registrados no Intune.

     • Bloquear acesso e Quarentena: todos os dispositivos serão imediatamente impedidos de acessar o Exchange local inicialmente. Os dispositivos que pertencem aos usuários nos grupos configurados como incluídos no procedimento anterior obtêm acesso após o registro do dispositivo no Intune e são avaliados como compatíveis.

       Esta definição é suportada em dispositivos Android que executam o Samsung Knox Standard. Outros dispositivos Android não suportam esta definição e estão sempre bloqueados.

   • Para Exceções de plataforma de dispositivo, selecione Adicionar e especifique os detalhes conforme necessário para o seu ambiente.

     Se a configuração Acesso de dispositivo não gerenciado estiver definida como Bloqueado, os dispositivos que estão registrados e em conformidade serão permitidos mesmo se houver uma exceção de plataforma para bloqueá-los.

9. Selecione OK para salvar suas edições.

10. Selecione Revisar + salvar e Salvar para salvar a política de Acesso Condicional do Exchange.

Próximas etapas

Em seguida, crie uma política de conformidade e a atribua aos usuários do Intune para avaliar os dispositivos móveis deles. Confira Introdução à conformidade do dispositivo.

Solucionar problemas do conector do Exchange local do Intune no Microsoft Intune