Configurar o conector do Intune ao Exchange local
Importante
O suporte para o conector exchange do Intune no local termina a 19 de fevereiro de 2024. Após esta data, o conector do Exchange deixará de ser sincronizado com o Intune. Se utilizar o conector do Exchange, recomendamos que efetue uma das seguintes ações antes de 19 de fevereiro de 2024:
Para ajudar a proteger o acesso ao Exchange, o Intune conta com um componente local que é conhecido como o conector do Intune ao Exchange da Microsoft. Este conector também é denominado conector do Exchange ActiveSync no local em algumas localizações do centro de administração do Intune.
Importante
O Intune removerá o suporte para o recurso de Conector Local do Exchange do serviço do Intune começando na versão 2007 (julho). Clientes existentes com um conector ativo poderão continuar com a funcionalidade atual no momento. Novos clientes e clientes existentes que não têm um conector ativo não poderão mais criar conectores nem gerenciar dispositivos do EAS (Exchange ActiveSync) do Intune. Para esses locatários, a Microsoft recomenda o uso da HMA (autenticação moderna híbrida) do Exchange para proteger o acesso ao Exchange local. A HMA habilita as Políticas de Proteção de Aplicativo do Intune (também conhecidas como MAM) e o Acesso Condicional por meio do Outlook Mobile para o Exchange local.
As informações neste artigo podem ajudar você a instalar e monitorar o conector do Intune ao Exchange. Você pode usar o conector com suas políticas de acesso condicional para permitir ou bloquear o acesso às suas caixas de correio locais do Exchange.
O conector é instalado e executado em seu hardware local. Ele descobre os dispositivos que se conectam ao Exchange, comunicando informações do dispositivo ao serviço do Intune. O conector permite ou bloqueia dispositivos com base no fato de os dispositivos estarem registrados e em conformidade. Essas comunicações usam o protocolo HTTPS.
Quando um dispositivo tenta acessar o Exchange Server local, o conector do Exchange mapeia os registros do EAS (Exchange ActiveSync) no Exchange Server para os registros do Intune a fim de garantir que o dispositivo esteja registrado no Intune e em conformidade com as políticas do seu dispositivo. Dependendo de suas políticas de Acesso Condicional, o dispositivo pode ser permitido ou bloqueado. Para saber mais, confira Quais são as maneiras comuns de usar o acesso condicional com o Intune?
As operações descobrir e permitir e bloquear são feitas usando cmdlets padrão do Exchange PowerShell. Essas operações usam a conta de serviço fornecida inicialmente na instalação do conector do Exchange.
O Intune dá suporte à instalação de vários conectores do Intune Exchange por assinatura. Se você tiver mais de uma organização do Exchange local, poderá configurar um conector separado para cada uma. No entanto, apenas um conector pode ser instalado para cada organização do Exchange.
Siga estas etapas gerais para configurar uma conexão que permita que o Intune se comunique com o Exchange Server local:
- Transfira o conector no local a partir do centro de administração do Microsoft Intune.
- Instale e configure o conector do Exchange em um computador na organização do Exchange local.
- Validar a conexão do Exchange.
- Repita essas etapas para cada organização adicional do Exchange que você deseja conectar ao Intune.
Como funciona o acesso condicional no Exchange Local
O acesso condicional para o Exchange local funciona de maneira diferente das políticas baseadas no Acesso Condicional do Azure. Você instala o Intune Exchange Connector local para interagir diretamente com o servidor Exchange. O Intune Exchange Connector mantém todos os registros do EAS (Exchange Active Sync) que existem no servidor Exchange, de forma que o Intune possa usar esses registros do EAS e mapeá-los para registros de dispositivo do Intune. Esses registros são dispositivos registrados e reconhecidos pelo Intune. Esse processo permite ou bloqueia o acesso a email.
Se o registro do EAS é novo e o Intune não o reconhece, o Intune emite um cmdlet (pronuncia-se "comand-let") que direciona o servidor Exchange para bloquear o acesso ao email. Saiba mais a seguir sobre como esse processo funciona:
O usuário tenta acessar o email corporativo, que está hospedado no Exchange Local 2010 SP1 ou posterior.
Se o dispositivo não é gerenciado pelo Intune, ele tem o acesso ao email bloqueado. O Intune envia uma notificação de bloqueio para o cliente do EAS.
O EAS recebe a notificação de bloqueio, move o dispositivo para a quarentena e envia o email de quarentena com etapas de correção que contêm links para que os usuários possam registrar seus dispositivos.
Ocorre o processo de Ingresso no local de trabalho, que é a primeira etapa para que o dispositivo seja gerenciado pelo Intune.
O dispositivo é registrado no Intune.
O Intune mapeia o registro do EAS para um registro de dispositivo e salva o estado de conformidade do dispositivo.
O ID de cliente do EAS é registado pelo processo de Registo de Dispositivos do Microsoft Entra, que cria uma relação entre o registo de dispositivo do Intune e o ID de cliente do EAS.
O Registo de Dispositivos do Microsoft Entra guarda as informações de estado do dispositivo.
Se o usuário atender às políticas de acesso condicional, o Intune emitirá um cmdlet por meio do Intune Exchange Connector que permite a sincronização da caixa de correio.
O servidor Exchange envia a notificação ao cliente do EAS, de forma que o usuário possa acessar o email.
Requisitos do conector do Intune ao Exchange
Para se conectar ao Exchange, é necessário uma conta com uma licença do Intune que o conector possa usar. Você especifica a conta ao instalar o conector.
A tabela a seguir lista os requisitos para o computador no qual o conector do Intune ao Exchange será instalado.
Requisito | Mais informações |
---|---|
Sistemas operacionais | O Intune é compatível com o conector do Intune ao Exchange em um computador que execute qualquer edição do Windows Server 2008 SP2 64 bits, do Windows Server 2008 R2, do Windows Server 2012, do Windows Server 2012 R2 ou do Windows Server 2016. O conector não é compatível com nenhuma instalação Server Core. |
Microsoft Exchange | Os conectores locais exigem o Microsoft Exchange 2010 SP3 ou posteriores ou o Exchange Online Dedicado herdado. Para determinar se o seu ambiente do Exchange Online Dedicated está na configuração nova ou herdada, entre em contato com seu gerente de conta. |
Autoridade de gerenciamento de dispositivo móvel | Defina a autoridade de gerenciamento de dispositivo móvel para o Intune. |
Hardware | O computador em que você instala o conector requer uma CPU de 1,6 GHz com 2 GB de RAM e 10 GB de espaço livre em disco. |
Sincronização do Active Directory | Antes de usar o conector para conectar o Intune ao Exchange Server, configure a sincronização do Active Directory. Os seus utilizadores locais e grupos de segurança têm de ser sincronizados com a sua instância do Microsoft Entra ID. |
Software adicional | O computador que hospeda o conector deve ter uma instalação completa do Microsoft .NET Framework 4.5 e do Windows PowerShell 2.0. |
Rede | O computador no qual o conector será instalado deve estar em um domínio que tenha uma relação de confiança com o domínio que hospeda o Exchange Server. Configure o computador para permitir que ele acesse o serviço do Intune por meio dos firewalls e servidores proxy pelas portas 80 e 443. O Intune usa estes domínios: – manage.microsoft.com - *manage.microsoft.com - *.manage.microsoft.com O conector do Intune ao Exchange se comunica com os seguintes serviços: - Serviço Intune: HTTPS porta 443 - Exchange servidor de Acesso para Cliente (CAS): Porta de serviço WinRM 443 – Descoberta Automática do Exchange 443 – EWS (Serviços Web do Exchange) 443 |
Requisitos de cmdlets do Exchange
Crie uma conta de usuário no Active Directory para o conector do Intune ao Exchange. A conta deve ter permissão para executar os seguintes cmdlets do Windows PowerShell Exchange:
-
Get-ActiveSyncOrganizationSettings
,Set-ActiveSyncOrganizationSettings
-
Get-CasMailbox
,Set-CasMailbox
-
Get-ActiveSyncMailboxPolicy
,Set-ActiveSyncMailboxPolicy
,New-ActiveSyncMailboxPolicy
,Remove-ActiveSyncMailboxPolicy
-
Get-ActiveSyncDeviceAccessRule
,Set-ActiveSyncDeviceAccessRule
,New-ActiveSyncDeviceAccessRule
,Remove-ActiveSyncDeviceAccessRule
Get-ActiveSyncDeviceStatistics
Get-ActiveSyncDevice
Get-ExchangeServer
Get-ActiveSyncDeviceClass
Get-Recipient
-
Clear-ActiveSyncDevice
,Remove-ActiveSyncDevice
Set-ADServerSettings
Get-Command
Baixar o pacote de instalação
O suporte para novas instalações do conector do Exchange foi preterido em julho de 2020, e o pacote de instalação do conector não está mais disponível para download. Em vez disso, use a HMA (autenticação moderna híbrida) do Exchange.
Instalar e configurar o conector do Intune ao Exchange
O suporte para novas instalações do conector do Exchange foi preterido em julho de 2020, e o pacote de instalação do conector não está mais disponível para download. Em vez disso, use a HMA (autenticação moderna híbrida) do Exchange. As seguintes instruções são mantidas para a utilização da reinstalação do conector.
Siga estas etapas para instalar o conector do Intune ao Exchange. Se você tiver várias organizações do Exchange, repita estas etapas para cada conector do Exchange que você deseja configurar.
Em um sistema operacional compatível com o conector do Intune ao Exchange, extraia os arquivos em Exchange_Connector_Setup.zip para um local seguro.
Importante
Não renomeie ou mova os arquivos que estão na pasta Exchange_Connector_Setup. Essas alterações podem causar falha na instalação do conector.
Depois que os arquivos forem extraídos, abra a pasta extraída e clique duas vezes em Exchange_Connector_Setup.exe para instalar o conector.
Importante
Se a pasta de destino não for um local seguro, exclua o arquivo de certificado MicrosoftIntune.accountcert ao concluir a instalação dos conectores locais.
Na caixa de diálogo Microsoft Intune Exchange Connector, selecione Microsoft Exchange Server Local ou Microsoft Exchange Server Hospedado.
Para um Exchange Server local, forneça o nome do servidor ou um nome de domínio totalmente qualificado do Exchange Server que hospeda a função de servidor Acesso para Cliente.
Para um Exchange Server hospedado, forneça o endereço do Exchange Server. Para encontrar o URL do Exchange Server Hospedado:
Abra o Outlook para Microsoft 365.
Selecione o ícone ? no canto superior esquerdo e, em seguida, selecione Acerca de.
Localize o valor Servidor Externo POP.
Clique em Servidor Proxy para especificar as configurações do servidor proxy para seu Exchange Server hospedado.
Selecione Usar um servidor proxy ao sincronizar informações do dispositivo móvel.
Insira o nome do servidor proxy e o número da porta a serem usados para acessar o servidor.
Se forem necessárias credenciais de usuário para acessar o servidor proxy, selecione Usar credenciais para se conectar ao servidor proxy. Em seguida, digite o domínio\usuário e a senha.
Selecione OK.
Nos campos Usuário (domínio\usuário) e Senha, insira as credenciais para se conectar ao Exchange Server. A conta especificada deve ter uma licença para usar o Intune.
Forneça as credenciais para enviar notificações à caixa de entrada do Exchange Server do usuário. Este usuário pode ser dedicado a apenas notificações. O usuário de notificações precisa de uma caixa de correio do Exchange para enviar notificações por email. Você pode configurar essas notificações usando as políticas de acesso condicional no Intune.
Garanta que o serviço Descoberta Automática e os Serviços Web do Exchange estejam configurados no CAS do Exchange. Para obter mais informações, consulte Servidor de Acesso para Cliente.
No campo Senha, forneça a senha da conta para habilitar o Intune a acessar o Exchange Server.
Observação
A conta usada para entrar no locatário precisa ser pelo menos um Administrador de serviços do Intune. Sem essa conta de administrador, você receberá uma falha de conexão com o erro "O servidor remoto retornou um erro: (400) Solicitação inválida".
Escolha Conectar.
Observação
Pode levar alguns minutos para configurar a conexão.
Durante a configuração, o conector do Exchange armazena as configurações de proxy para habilitar o acesso à Internet. Se as configurações de proxy forem alteradas, reconfigure o conector do Exchange para aplicar as configurações de proxy atualizadas a ele.
Após o conector do Exchange configurar a conexão, os dispositivos móveis associados aos usuários que são gerenciados no Exchange serão automaticamente sincronizados e adicionados ao conector do Exchange. Pode levar algum tempo até que a sincronização seja concluída.
Observação
Se você instalar o conector do Intune ao Exchange e, posteriormente, precisar excluir a conexão do Exchange, será necessário desinstalar o conector do computador no qual foi instalado.
Instalar conectores para várias organizações do Exchange
O suporte para novas instalações do conector do Exchange foi preterido em julho de 2020. Em vez disso, use a HMA (autenticação moderna híbrida) do Exchange. As informações nas secções seguintes são fornecidas para suportar clientes que ainda podem utilizar o conector exchange do Intune no local.
Suporte a alta disponibilidade do conector do Intune ao Exchange local
Para o conector local, alta disponibilidade significa que, se o CAS do Exchange que o conector usa se tornar indisponível, o conector poderá mudar para um CAS diferente naquela organização do Exchange. O conector do Exchange em si não é compatível com alta disponibilidade. Se o conector falhar, não haverá failover automático e você deverá instalar um novo conector para substituir o conector com falha.
Para fazer failover, o conector usa o CAS especificado para criar uma conexão bem-sucedida com o Exchange. Em seguida, ele descobre os CASs adicionais daquela organização do Exchange. Essa descoberta permite que o conector faça failover para outro CAS caso algum esteja disponível, até que o CAS principal fique disponível.
Por padrão, a descoberta de outros CASs é habilitada. Se você precisar desativar o failover:
No servidor em que o conector do Exchange está instalado, acesse %ProgramData%\Microsoft\Windows Intune Exchange Connector.
Usando um editor de texto, abra OnPremisesExchangeConnectorServiceConfiguration.xml.
Altere <IsCasFailoverEnabled>true</IsCasFailoverEnabled> para <IsCasFailoverEnabled>false</IsCasFailoverEnabled>.
Ajustar o desempenho do conector do Exchange (opcional)
Quando o Exchange ActiveSync dá suporte a 5.000 dispositivos ou mais, você pode definir uma configuração opcional para melhorar o desempenho do conector. Você aumenta o desempenho habilitando o Exchange para usar várias instâncias de um espaço de execução de comando do PowerShell.
Antes de fazer essa alteração, verifique se a conta usada para executar o conector do Exchange não é usada para outros fins de gerenciamento do Exchange. Uma conta do Exchange tem um número limitado de espaços de execução, e o conector usará a maioria deles.
O ajuste de desempenho não é adequado para conectores executados em um hardware mais antigo ou mais lento.
Para melhorar o desempenho do conector do Exchange:
No servidor em que o conector está instalado, abra o diretório de instalação do conector. A localização padrão é C:\ProgramData\Microsoft\Windows Intune Exchange Connector.
Edite o arquivo OnPremisesExchangeConnectorServiceConfiguration.xml.
Localize EnableParallelCommandSupport e defina o valor como true:
<EnableParallelCommandSupport>true</EnableParallelCommandSupport>
Salve o arquivo e reinicie o serviço Microsoft Intune Exchange Connector.
Reinstalar o conector do Intune ao Exchange
O suporte para novas instalações do conector do Exchange foi preterido em julho de 2020, e o pacote de instalação do conector não está mais disponível para download. Em vez disso, use a HMA (autenticação moderna híbrida) do Exchange. As seguintes informações são fornecidas para suportar clientes que ainda podem utilizar o conector do Exchange no local do Intune.
Talvez seja necessário reinstalar um conector do Intune ao Exchange. Como apenas um conector pode se conectar a cada organização do Exchange, se você instalar um segundo conector para a organização, o novo conector instalado substituirá o conector original.
Para reinstalar o novo conector, siga as etapas descritas na seção Instalar e configurar o conector do Exchange.
Quando solicitado, selecione Substituir para instalar o novo conector.
Continue com as etapas da seção Instalar e configurar o conector do Intune e entre novamente no Intune.
Na janela final, selecione Fechar para concluir a instalação.
Monitorar um conector do Exchange
Após você configurar o conector do Exchange com êxito, será possível exibir o status das conexões e a última tentativa de sincronização bem-sucedida:
Selecione Administração de locatário>Acesso do Exchange.
Selecione Conector local do Exchange ActiveSync e selecione o conector a exibir.
O console do exibe detalhes do conector selecionado, no qual você pode exibir o Status e a data e hora da última sincronização bem-sucedida.
Além do status no console, você poderá usar o Pacote de gerenciamento do System Center Operations Manager para o conector do Exchange e Intune. O pacote de gerenciamento oferece diferentes maneiras de monitorar o conector do Exchange quando for necessário solucionar problemas.
Forçar manualmente uma sincronização rápida ou completa
O suporte para novas instalações do conector do Exchange foi preterido em julho de 2020. Em vez disso, use a HMA (autenticação moderna híbrida) do Exchange. As informações nas secções seguintes são fornecidas para suportar clientes que ainda podem utilizar o conector exchange do Intune no local.
Um conector do Intune ao Exchange sincroniza de modo automático os registros de dispositivo do EAS e do Intune regularmente. Se o status de conformidade de um dispositivo for alterado, o processo de sincronização automática atualizará os registros regularmente para que o acesso ao dispositivo possa ser bloqueado ou permitido.
Uma sincronização rápida ocorre regularmente, várias vezes ao dia. Uma sincronização rápida recupera informações de dispositivo para usuários do Exchange local e licenciados no Intune direcionados ao acesso condicional e que foram alterados desde a última sincronização.
Uma sincronização completa ocorre uma vez por dia por padrão. Uma sincronização completa recupera informações do dispositivo para todos os usuários do Exchange local e licenciados no Intune direcionados ao acesso condicional. Uma sincronização completa também recupera informações do servidor Exchange e garante que a configuração que o Intune especifica seja atualizada no Exchange Server.
Você pode forçar um conector a executar uma sincronização usando as opções de Sincronização Rápida ou Sincronização Completa no painel do Intune:
Selecione Administração de locatários>Acesso ao Exchange>Conector local do Exchange ActiveSync.
Selecione o conector a sincronizar e escolha Sincronização Rápida ou Sincronização Completa.
Próximas etapas
Criar uma política de Acesso Condicional para os servidores Exchange locais.