Share via

Configurar Exchange acesso ao in-in-ins para o Intune

  • Artigo

Este artigo mostra-lhe como configurar o Acesso Condicional para Exchange no local com base na conformidade do dispositivo.

Se tiver um ambiente do Exchange Online Dedicado e precisar de saber se está na configuração nova ou legada, contacte o seu gestor de conta. Para controlar o acesso de e-mail a Exchange no local ou ao seu legado Exchange Online ambiente dedicado, configurar o Acesso Condicional a Exchange no local em Intune.

Importante

A informação deste artigo aplica-se aos clientes que são apoiados para utilizar um Exchange Connector.

A partir de julho de 2020, o apoio ao conector Exchange é depreciado, e substituído por Exchange a autenticação moderna híbrida (HMA). Se tiver um Exchange Connector configurado no seu ambiente, o seu inquilino Intune continua apoiado para o seu uso, e continuará a ter acesso à UI que suporta a sua configuração. Pode continuar a utilizar o conector ou configurar o HMA e, em seguida, desinstalar o seu conector.

A utilização de HMA não requer que o Intune se confiem e utilize o conector Exchange. Com esta alteração, a UI para configurar e gerir o Exchange Connector for Intune foi removido do centro de administração Microsoft Endpoint Manager, a menos que já utilize um conector Exchange com a sua subscrição.

Antes de começar

Antes de configurar o Acesso Condicional, verifique se existem as seguintes configurações:

  • A sua versão Exchange é Exchange SP3 de 2010 ou mais tarde. Matriz de Servidor de Acesso de Cliente (CAS) do Exchange Server é suportada.

  • Instalou e usou o conector Exchange Exchange ActiveSyncno local, que liga o Intune às Exchange no local.

    Importante

    O Intune suporta múltiplos Exchange Connectors no local por subscrição. No entanto, cada conector no local Exchange é específico de um único inquilino Intune e não pode ser usado com qualquer outro inquilino. Se tiver mais do que uma organização do Exchange no local, pode configurar um conector separado para cada organização do Exchange.

  • O conector de uma organização Exchange no local pode instalar-se em qualquer máquina desde que essa máquina possa comunicar com o servidor Exchange.

  • Este conector suporta o ambiente do Exchange CAS. O Intune suporta a instalação do conector no servidor CAS Exchange diretamente. Recomendamos que o instale num computador separado devido à carga adicional que o conector coloca no servidor. Quando configurar o conector, tem de configurá-lo para comunicar com um dos servidores do Exchange CAS.

  • O Exchange ActiveSync tem de ser configurado com a autenticação baseada em certificado ou com a entrada de credenciais de utilizador.

  • Quando as políticas de Acesso Condicional são configuradas e direcionadas para um utilizador, antes que um utilizador possa ligar-se ao seu e-mail, o dispositivo que utiliza deve ser:

    • Inscrito no Intune ou ser um PC associado a um domínio.
    • Registado no Azure Active Directory. Além disso, o ID do Exchange ActiveSync do cliente tem de ser registado no Azure Active Directory.

  • O Serviço de Registo de Dispositivos Azure (DRS) é ativado automaticamente para clientes Intune e Microsoft 365. Os clientes que já tenham implantado o Serviço de Registo de Dispositivos ADFS não vêem dispositivos registados no seu Diretório Ativo no local. Isto não se aplica a computadores e dispositivos Windows.

  • Conforme com todas as políticas de conformidade implementadas nesse dispositivo.

  • Se o dispositivo não cumprir as definições de Acesso Condicional, o utilizador é apresentado com uma das seguintes mensagens quando iniciar a sposição:

    • Se o dispositivo não estiver matriculado no Intune, ou não estiver registado em Azure Ative Directory, uma mensagem aparece com instruções sobre como instalar a aplicação Portal da Empresa, inscrever o dispositivo e ativar o e-mail. Este processo também associa o ID do Exchange ActiveSync do dispositivo ao registo do dispositivo no Azure Active Directory.
    • Se o dispositivo não estiver em conformidade, uma mensagem aparece que direciona o utilizador para o website Portal da Empresa do Intune ou para a aplicação Portal da Empresa. A partir do portal da empresa, podem encontrar informações sobre o problema e como remediar o mesmo.

Suporte para dispositivos móveis

  • Aplicativo de e-mail nativo no iOS/iPadOS - Para criar política de acesso condicional, consulte políticas de Acesso Condicional

  • Clientes de e-mail EAS como o Gmail no Android 4 ou mais tarde - Para criar política de acesso condicional, consulte políticas de Acesso Condicional

  • Clientes de e-mail EAS no administrador de dispositivos Android - Para criar política de acesso condicional, consulte políticas de Acesso Condicional

  • Os clientes de correio esAA em dispositivos Android Enterprise Personally-Owned Work Profile - Apenas o Gmail e o Nine Work for Android Enterprise são suportados em dispositivos de perfil de trabalho pessoalmente do Android Enterprise. Para o Acesso Condicional ao trabalho com o Android Enterprise Personally-Owned Perfis de Trabalho, tem de implementar um perfil de e-mail para a aplicação Gmail ou Nine Work for Android Enterprise, e também implementar essas aplicações como uma instalação necessária. Depois de implementar a aplicação, pode configurar o Acesso Condicional baseado no dispositivo.

Para configurar o Acesso Condicional para dispositivos android Enterprise Personally-Owned De Perfil de Trabalho

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Implemente a aplicação Gmail ou Nine Work conforme Necessário.

  3. Selecione > perfis de configuração de dispositivos > Crie perfil, introduza nome e descrição para o perfil.

  4. Selecione empresa Android na Plataforma, selecione Email in Profile type.

  5. Configurar as definições do perfil de e-mail.

  6. Quando terminar, selecione OK > Criar para guardar as suas alterações.

  7. Depois de criar o perfil de e-mail, atribua-o a grupos.

  8. Configurar o acesso condicional baseado no dispositivo.

Nota

O Outlook da Microsoft para Android e iOS/iPadOS não é suportado através do conector Exchange no local. Se quiser aproveitar Azure Ative Directory políticas de acesso condicional e políticas de proteção de aplicações intune com Outlook para iOS/iPadOS e Android para as suas caixas de correio no local, consulte utilização de autenticação moderna híbrida com Outlook para iOS/iPadOS e Android.

Suporte de PCs

O pedido de Correio nativo no Windows 8.1 e posteriormente (quando inscrito no MDM com Intune)

Configurar o acesso ao Exchange no local

O suporte para novas instalações do conector Exchange foi depreectado em julho de 2020, e o pacote de instalação do conector já não está disponível para download. Em vez disso, utilize Exchange autenticação moderna híbrida (HMA).

Antes de poder utilizar o seguinte procedimento para configurar Exchange controlo de acesso no local, deve instalar e configurar pelo menos um Intune no local Exchange conector para Exchange no local.

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Aceda à administração do arrendatário > Exchange acesso, e depois selecione Exchange acesso no local.

  3. No painel de acesso Exchange no local, escolha Sim para ativar Exchange controlo de acesso no local.

    Imagem de exemplo do ecrã de acesso Exchange no local

  4. Em Atribuição, escolha grupos selecionados para incluir, e, em seguida, selecione um ou mais grupos para configurar o acesso.

    Os membros dos grupos que seleciona têm a política de acesso condicional para Exchange acesso no local aplicado aos mesmos. Os utilizadores que recebem esta política devem inscrever os seus dispositivos no Intune e estar em conformidade com os perfis de conformidade antes de poderem aceder Exchange no local.

    Selecione grupos para incluir

  5. Para excluir grupos, escolha grupos selecionados para excluir, e, em seguida, selecione um ou mais grupos que estão isentos dos requisitos para inscrever dispositivos e para estar em conformidade com os perfis de conformidade antes de aceder a Exchange no local.

    Selecione Guardar para guardar a sua configuração e volte ao painel de acesso Exchange.

  6. Em seguida, configurar as definições para o Conector Intune no local Exchange. Na consola, selecione a administração do Inquilino Exchange > Access > Exchange ActiveSync conector no local e, em seguida, selecione o conector para a organização Exchange que pretende configurar.

  7. Para notificações do Utilizador, selecione Editar para abrir o fluxo de trabalho da Organização de Edição, onde pode modificar a mensagem de notificação do Utilizador.

    Imagem de exemplo do fluxo de trabalho da Organização de Edição para notificações

    Modifique a mensagem de correio eletrónico padrão enviada aos utilizadores se o seu dispositivo não estiver em conformidade e quiser aceder a Exchange no local. O modelo de mensagem utiliza Linguagem de markup. Também pode ver a pré-visualização de como a mensagem fica à medida que escreve

    Selecione Rever + guardar e, em seguida, guardar para guardar as suas edições para completar a configuração do Exchange acesso no local.

    Dica

    Para saber mais sobre a Linguagem de markup, veja este artigo da Wikipédia.

  8. Em seguida, selecione Definições avançadas de acesso Exchange ActiveSync para abrir o fluxo de trabalho de definições avançadas Exchange ActiveSync de acesso onde configura as regras de acesso ao dispositivo.

    Imagem de exemplo do fluxo de trabalho da Organização de Edição para configurações avançadas

    • Para o acesso a dispositivos não geridos, desaprote a regra padrão global de acesso a dispositivos que não sejam afetados pelo Acesso Condicional ou outras regras:

      • Permitir o acesso - Todos os dispositivos podem aceder Exchange no local imediatamente. Os dispositivos que pertencem aos utilizadores nos grupos que configuraste como incluído no procedimento anterior são bloqueados se forem posteriormente avaliados como não conformes com as políticas em conformidade ou não matriculados no Intune.

      • Bloquear o acesso e a quarentena – Todos os dispositivos estão imediatamente bloqueados de aceder Exchange no local inicialmente. Os dispositivos que pertencem aos utilizadores nos grupos que configuraste como incluído no procedimento anterior têm acesso após a inscrição do dispositivo no Intune e são avaliados como conformes.

        Os dispositivos Android que não executam o padrão da Samsung Knox não suportam esta definição e estão sempre bloqueados.

    • Para exceções à plataforma do Dispositivo, selecione Add, e, em seguida, especifique detalhes conforme necessário para o seu ambiente.

      Se a definição de acesso ao dispositivo não gerido estiver definida para Bloqueado, os dispositivos que estão matriculados e em conformidade são permitidos mesmo que exista uma exceção na plataforma para os bloquear.

  9. Selecione OK para guardar as suas edições.

  10. Selecione Rever + guardar e, em seguida, guardar para guardar a Exchange política de acesso condicional.

Passos seguintes

Em seguida, crie uma política de conformidade e atribua-a aos utilizadores para a Intune avaliar os seus dispositivos móveis, Ver começar com a conformidade do dispositivo.

Resolução de problemas Intune no local Exchange conector em Microsoft Intune