Share via

Configurar o conector Intune Exchange

  • Artigo

Importante

A informação deste artigo aplica-se aos clientes que são apoiados para utilizar um Exchange Connector.

A partir de julho de 2020, o apoio ao conector Exchange é depreciado, e substituído por Exchange a autenticação moderna híbrida (HMA). Se tiver um Exchange Connector configurado no seu ambiente, o seu inquilino Intune continua apoiado para o seu uso, e continuará a ter acesso à UI que suporta a sua configuração. Pode continuar a utilizar o conector ou configurar o HMA e, em seguida, desinstalar o seu conector.

A utilização de HMA não requer que o Intune se confiem e utilize o conector Exchange. Com esta alteração, a UI para configurar e gerir o Exchange Connector for Intune foi removido do centro de administração Microsoft Endpoint Manager, a menos que já utilize um conector Exchange com a sua subscrição.

Para ajudar a proteger o acesso a Exchange, o Intune conta com um componente no local que é conhecido como o conector Microsoft Intune Exchange. Este conector também é chamado de conector Exchange ActiveSync no local em alguns locais da consola Intune.

Importante

A Intune removerá o suporte para a funcionalidade Exchange no conector on-in do serviço Intune a partir da versão de 2007 (julho). Os clientes existentes com um conector ativo poderão continuar com a funcionalidade atual neste momento. Novos clientes e clientes existentes que não possuam um conector ativo deixarão de ser capazes de criar novos conectores ou gerir Exchange ActiveSync dispositivos (EAS) da Intune. Para esses inquilinos, a Microsoft recomenda o uso de Exchange autenticação moderna híbrida (HMA) para proteger o acesso a Exchange no local. O HMA permite tanto as Políticas de Proteção de Aplicações Intune (também conhecidas como MAM) como o Acesso Condicional através de Outlook Mobile para Exchange no local.

As informações deste artigo podem ajudá-lo a instalar e monitorizar o conector Intune Exchange. Pode utilizar o conector com as suas políticas de acesso condicional para permitir ou bloquear o acesso às suas caixas de correio Exchange no local.

O conector está instalado e funciona no hardware no local. Descobre dispositivos que se ligam a Exchange, comunicando informações do dispositivo ao serviço Intune. O conector permite ou bloqueia dispositivos com base no facto de os dispositivos estarem matriculados e em conformidade. Estas comunicações utilizam o protocolo HTTPS.

Quando um dispositivo tenta aceder ao seu servidor no local Exchange, o conector Exchange mapeia Exchange ActiveSync registos (EAS) em Exchange Server registos intune para se certificar de que o dispositivo se inscreve com o Intune e cumpre as políticas do seu dispositivo. Dependendo das suas políticas de acesso condicional, o dispositivo pode ser permitido ou bloqueado. Para mais informações, veja quais são as formas comuns de usar o acesso condicional com o Intune?

Tanto as operações de descoberta como de permitir e bloquear são feitas utilizando cmdlets powershell padrão Exchange. Estas operações utilizam a conta de serviço que é fornecida quando o conector Exchange está inicialmente instalado.

A Intune suporta a instalação de múltiplos conectores intune Exchange por subscrição. Se tiver mais de um no local Exchange organização, pode configurar um conector separado para cada um. No entanto, apenas um conector pode ser instalado para cada Exchange organização.

Siga estes passos gerais para configurar uma ligação que permita ao Intune comunicar com o servidor Exchange no local:

  1. Descarregue o conector no local do centro de administração Microsoft Endpoint Manager.
  2. Instale e configure o Exchange Connector num computador na organização do Exchange no local.
  3. Valide a ligação ao Exchange.
  4. Repita estes passos para cada Exchange organização adicional que pretende ligar ao Intune.

Como o acesso condicional funciona para o Exchange no local

O acesso condicional para Exchange no local funciona de forma diferente das políticas baseadas no acesso condicionado Azure. Instale o conector Intune Exchange no local para interagir diretamente com Exchange servidor. O conector do Intune Exchange solicita todos os registos do Exchange Active Sync (EAS) que existem no servidor do Exchange para que o Intune possa ter em conta esses registos EAS e mapeá-los para registos de dispositivo do Intune. Esses registos são dispositivos inscritos e reconhecido pelo Intune. Este processo permite ou bloqueia o acesso do e-mail.

Se o registo da EAS é novo e o Intune não tiver conhecimento disso, o Intune emite um cmdlet (pronunciado "command-let") que direciona o servidor Exchange para bloquear o acesso ao e-mail. Seguem-se mais detalhes sobre o funcionamento deste processo:

Fluxograma do Exchange no local com CA

  1. O utilizador tenta aceder ao e-mail empresarial, que está alojado no Exchange 2010 SP1 ou posterior no local.

  2. Se o dispositivo não for gerido pelo Intune, o acesso ao e-mail será bloqueado. A Intune envia uma notificação de bloco ao cliente da EAS.

  3. A EAS recebe a notificação do bloco, move o dispositivo para a quarentena e envia o e-mail de quarentena com medidas de reparação que contêm links para que os utilizadores possam inscrever os seus dispositivos.

  4. Ocorre o processo de Associação à área de trabalho, que é o primeiro passo para que o dispositivo seja gerido pelo Intune.

  5. O dispositivo é inscrito no Intune.

  6. O Intune mapeia o registo EAS para um registo de dispositivo e guarda o estado de conformidade do dispositivo.

  7. O ID de cliente EAS é registado pelo processo de Registo de Dispositivo do Azure AD, que cria uma relação entre o registo de dispositivo do Intune e o ID de cliente EAS.

  8. O Registo de Dispositivo do Azure AD guarda as informações de estado do dispositivo.

  9. Se o utilizador cumprir as políticas de acesso condicional, o Intune emite um cmdlet através do conector Intune Exchange que permite sincronizar a caixa de correio.

  10. O servidor do Exchange envia a notificação ao cliente EAS para que o utilizador possa aceder ao e-mail.

Requisitos de conector Exchange intune

Para se ligar a Exchange, precisa de uma conta que tenha uma licença Intune que o conector possa utilizar. Especifique a conta quando instala o conector.

A tabela que se segue lista os requisitos para o computador no qual instala o conector Intune Exchange.

Requisito Mais informações
Sistemas operativos A Intune suporta o conector Intune Exchange num computador que executa qualquer edição do Windows Server 2008 SP2 64-bit, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 ou Windows Server 2016.

O conector não é suportado em nenhuma instalação do Server Core.
Microsoft Exchange Os conectores no local necessitam do Microsoft Exchange 2010 SP3 ou posterior, ou o Exchange Online Dedicado legado. Para determinar se o ambiente dedicado do Exchange Online está na configuração nova ou legada, contacte o seu gestor de conta.
Autoridade de gestão de dispositivos móveis Definir o Intune como a autoridade de gestão de dispositivos móveis.
Hardware O computador onde irá instalar o conector requer uma CPU de 1,6 GHz com 2 GB de RAM e, pelo menos, 10 GB de espaço livre no disco.
Sincronização do Active Directory Antes de utilizar o conector para ligar o Intune ao seu servidor Exchange, configurar a sincronização do Ative Directory. Os seus utilizadores locais e grupos de segurança devem estar sincronizados com a sua instância de Azure Ative Directory.
Software adicional O computador que acolhe o conector deve ter uma instalação completa do Microsoft .NET Framework 4.5 e Windows PowerShell 2.0.
Rede O computador no qual instala o conector deve estar num domínio que tenha uma relação de confiança com o domínio que hospeda o seu servidor Exchange.

Configure o computador para permitir o acesso ao serviço Intune através de firewalls e servidores proxy sobre as portas 80 e 443. Intune usa estes domínios:
- manage.microsoft.com
- *manage.microsoft.com
- *.manage.microsoft.com

O conector Intune Exchange comunica com os seguintes serviços:
- Serviço intune: porta HTTPS 443
- Exchange servidor de acesso ao cliente (CAS): porta de serviço WinRM 443
- Exchange Autodiscover 443
- Exchange Serviços Web (EWS) 443

Requisitos de cmdlets do Exchange

Crie uma conta de utilizador ative do Diretório para o conector Intune Exchange. A conta deve ter permissão para executar os seguintes cmdlets Windows PowerShell Exchange:

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings
  • Get-CasMailbox, Set-CasMailbox
  • Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy
  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule
  • Get-ActiveSyncDeviceStatistics
  • Get-ActiveSyncDevice
  • Get-ExchangeServer
  • Get-ActiveSyncDeviceClass
  • Get-Recipient
  • Clear-ActiveSyncDevice, Remove-ActiveSyncDevice
  • Set-ADServerSettings
  • Get-Command

Descarregue o pacote de instalação

O suporte para novas instalações do conector Exchange foi depreectado em julho de 2020, e o pacote de instalação do conector já não está disponível para download. Em vez disso, utilize Exchange autenticação moderna híbrida (HMA).

Instale e configuure o conector Intune Exchange

O suporte para novas instalações do conector Exchange foi depreectado em julho de 2020, e o pacote de instalação do conector já não está disponível para download. Em vez disso, utilize Exchange autenticação moderna híbrida (HMA). Mantêm-se as seguintes instruções para a reinstalação do conector.

Siga estes passos para instalar o conector Intune Exchange. Se tiver várias organizações Exchange, repita os passos para cada Exchange conector que pretende configurar.

  1. Num sistema operativo suportado para o conector Intune Exchange, extraia os ficheiros em Exchange_Connector_Setup.zip para um local seguro.

    Importante

    Não mude o nome ou mova os ficheiros que estão na pasta Exchange_Connector_Setup. Estas alterações fariam com que a instalação do conector falhasse.

  2. Depois de extraídos os ficheiros, abra a pasta extraída e clique duas vezesExchange_Connector_Setup.exe para instalar o conector.

    Importante

    Se a pasta de destino não for uma localização segura, elimine o certificado de ficheiro MicrosoftIntune.accountcert quando terminar de instalar os conectores no local.

  3. Na caixa de diálogo Microsoft Intune Exchange Connector, selecione Microsoft Exchange Server no local ou Microsoft Exchange Server alojado.

    Imagem que mostra onde pode escolher o tipo de Exchange Server

    Para um servidor do Exchange no local, forneça o nome do servidor ou o nome de domínio completamente qualificado do servidor do Exchange que aloja a função Servidor de Acesso de Cliente.

    Para um servidor do Exchange alojado, forneça o endereço do servidor do Exchange. Para localizar o URL do servidor do Exchange alojado:

    1. Abra Outlook para Microsoft 365.

    2. Escolher o? ícone no canto superior esquerdo, e, em seguida, selecione About.

    3. Localize o valor do Servidor POP Externo.

    4. Escolha o Servidor Proxy para especificar as definições do servidor proxy do seu servidor do Exchange alojado.

      1. Selecione Utilize um servidor proxy ao sincronizar as informações do dispositivo móvel.

      2. Introduza o nome do servidor proxy e o número de porta a utilizar para aceder ao servidor.

      3. Se as credenciais do utilizador forem necessárias para aceder ao servidor proxy, selecione Use credenciais para ligar ao servidor proxy. Em seguida, introduza o domínio\utilizador e a palavra-passe.

      4. Escolha OK.

  4. Nos campos Utilizador (domínio\user) e Password, introduza credenciais para ligar ao seu servidor Exchange. A conta que especifica deve ter uma licença para usar o Intune.

  5. Forneça credenciais para enviar notificações para a caixa de correio Exchange Server de um utilizador. Este utilizador pode ficar dedicado apenas às notificações. O utilizador de notificações precisa de uma caixa de correio Exchange para enviar notificações por e-mail. Pode configurar estas notificações utilizando políticas de acesso condicional no Intune.

    Certifique-se de que o serviço Descover e Exchange Web Services estão configurados no Exchange CAS. Para mais informações, consulte o artigo servidor de Acesso de Cliente.

  6. No campo Palavra-Passe, forneça a palavra-passe para esta conta para permitir ao Intune aceder ao servidor Exchange.

    Nota

    A conta que usa para assinar no inquilino tem de ser, pelo menos, um administrador de serviço intune. Sem esta conta de administrador, obterá uma ligação falhada com o erro "O servidor remoto devolveu um erro: (400) Mau Pedido".

  7. Escolha Connect (Ligar).

    Nota

    Pode levar alguns minutos para configurar a ligação.

Durante a configuração, o conector Exchange armazena as definições de procuração para permitir o acesso à internet. Se as definições do seu representante mudarem, reconfigure o conector Exchange para aplicar as definições de procuração atualizadas no conector Exchange.

Após o Exchange conector configurar a ligação, os dispositivos móveis associados aos utilizadores geridos pelo Exchange são automaticamente sincronizados e adicionados ao conector Exchange. Esta sincronização poderá demorar algum tempo.

Nota

Se instalar o conector Intune Exchange e mais tarde precisar de eliminar a ligação Exchange, deve desinstalar o conector a partir do computador onde foi instalado.

Instalar conectores para várias organizações do Exchange

O suporte para novas instalações do conector Exchange foi depreectado em julho de 2020. Em vez disso, utilize Exchange autenticação moderna híbrida (HMA). As informações nas seguintes secções são fornecidas para apoiar os clientes que ainda podem utilizar o conector Intune Exchange.

No local Intune Exchange suporte de alta disponibilidade do conector

Para o conector no local, a alta disponibilidade significa que se o cas Exchange que o conector utiliza fica indisponível, o conector pode mudar para um CAS diferente para essa organização Exchange. O conector Exchange em si não suporta alta disponibilidade. Se o conector falhar, não há falha automática e tem de instalar um novo conector para substituir o conector falhado.

Para falhar, o conector utiliza o CAS especificado para criar uma ligação bem sucedida à Exchange. Em seguida, descobre CASs adicionais para essa organização Exchange. Esta descoberta permite que o conector falhe em outro CAS se um estiver disponível, até que o CAS primário fique disponível.

Por predefinição, a descoberta de CASs adicionais está ativada. Se precisar de desligar o failover:

  1. No servidor onde está instalado o conector Exchange, vá ao % ProgramaData%\Microsoft\Microsoft\Windows Intune Exchange Connector.

  2. Através de um editor de texto, abra OnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Mude <IsCasFailoverEnabled> fiel </IsCasFailoverEnabled> ao <IsCasFailoverEnabled> falso. </IsCasFailoverEnabled>

Afinar o conector Exchange (opcional)

Quando Exchange ActiveSync suporta 5.000 ou mais dispositivos, pode configurar uma definição opcional para melhorar o desempenho do conector. Melhora o desempenho permitindo que Exchange utilizem várias instâncias de um espaço de comando powerShell.

Antes de escoar esta alteração, certifique-se de que a conta que utiliza para executar o conector Exchange não é utilizado para outros fins de gestão Exchange. Uma conta Exchange tem um número limitado de espaços de execução, e o conector usará a maioria deles.

A sintonização de desempenho não é adequada para conectores que funcionam em hardware mais antigo ou mais lento.

Para melhorar o desempenho do conector Exchange:

  1. No servidor onde o conector instalou, abra o diretório de instalação do conector. A localização predefinida é C:\ProgramData\Microsoft\Microsoft\Windows Intune Exchange Connector.

  2. Editar o ficheiro OnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Localize EnableParallelCommandSupport e defina o valor para verdadeiro:

    <EnableParallelCommandSupport>true</EnableParallelCommandSupport>

  4. Guarde o ficheiro e, em seguida, reinicie o serviço de conector Microsoft Intune Exchange.

Reinstalar o conector intune Exchange

O suporte para novas instalações do conector Exchange foi depreectado em julho de 2020, e o pacote de instalação do conector já não está disponível para download. Em vez disso, utilize Exchange autenticação moderna híbrida (HMA). As seguintes informações são fornecidas para apoiar os clientes que ainda podem utilizar o conector Intune Exchange.

Pode ser necessário reinstalar um conector intune Exchange. Uma vez que apenas um único conector pode ligar-se a cada organização Exchange, se instalar um segundo conector para a organização, o novo conector que instala substitui o conector original.

  1. Para reinstalar o novo conector, siga os passos da Instalação e configuure a secção de conector Exchange.

  2. Quando solicitado, selecione Substitua para instalar o novo conector. Aviso de configuração para substituir um conector

  3. Continue os passos a partir da Instalação e configuure a secção de conector Intune Exchange e volte a entrar no Intune.

  4. Na janela final, selecione Close para concluir a instalação. Configuração completa

Monitorize um conector Exchange

Depois de configurar com sucesso o conector Exchange, pode ver o estado das ligações e a última tentativa de sincronização bem sucedida:

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione a administração do inquilino Exchange > acesso.

  3. Selecione Exchange ActiveSync conector no local e, em seguida, selecione o conector que pretende visualizar.

  4. A consola apresenta detalhes para o conector que seleciona, onde pode visualizar o Estado e a data e hora da última sincronização bem sucedida.

Além do estado da consola, pode utilizar o pacote de gestão System Center Operations Manager para Exchange conector e Intune. O pacote de gestão oferece diferentes formas de monitorizar o conector Exchange quando precisa de resolver problemas.

Forçar manualmente uma sincronização rápida ou uma sincronização completa

O suporte para novas instalações do conector Exchange foi depreectado em julho de 2020. Em vez disso, utilize Exchange autenticação moderna híbrida (HMA). As informações nas seguintes secções são fornecidas para apoiar os clientes que ainda podem utilizar o conector Intune Exchange.

Um conector intune Exchange sincroniza automaticamente os registos dos dispositivos EAS e Intune regularmente. Se o estado de conformidade de um dispositivo mudar, o processo de sincronização automática atualiza regularmente os registos para que o acesso ao dispositivo possa ser bloqueado ou permitido.

  • Uma sincronização rápida ocorre regularmente, várias vezes ao dia. Uma sincronização rápida recupera informações do dispositivo para utilizadores licenciados e no local Exchange utilizadores que são direcionados para o acesso condicional e que mudaram desde a última sincronização.

  • Uma sincronização completa ocorre uma vez por padrão por padrão. Uma sincronização completa recupera informações do dispositivo para todos os utilizadores licenciados e no local Exchange utilizadores que são direcionados para o acesso condicional. Uma sincronização completa também recupera informações Exchange Server e garante que a configuração que o Intune especifica é atualizada no servidor Exchange.

Pode forçar um conector a executar uma sincronização utilizando as opções Quick Sync ou Full Sync no painel Intune:

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione a administração do inquilino Exchange > acesso Exchange ActiveSync > conector no local.

  3. Selecione o conector que pretende sincronizar e, em seguida, selecione Sincronização Rápida ou Sincronização Completa.

Imagem de exemplo de detalhes do conector

Passos seguintes

Crie uma política de acesso condicional para servidores Exchangeno local .