Настройка локального соединителя Exchange для Intune

  • Статья

Важно!

Поддержка локального соединителя Intune Exchange прекращается 19 февраля 2024 г. После этой даты соединитель Exchange больше не будет синхронизироваться с Intune. Если вы используете соединитель Exchange, рекомендуется выполнить одно из следующих действий до 19 февраля 2024 г.

Для защиты доступа к Exchange Intune использует локальный компонент, известный как соединитель Microsoft Intune с Exchange. Этот соединитель также называется локальным соединителем Exchange ActiveSync в некоторых расположениях Центра администрирования Intune.

Важно!

Intune прекратит поддержку локального соединителя Exchange в службе Intune, начиная с выпуска 2007 (июль). В настоящее время существующие клиенты с активным соединителем смогут продолжить работу с текущими функциями. Новые клиенты и существующие клиенты, у которых нет активного соединителя, больше не смогут создавать новые соединители или управлять устройствами Exchange ActiveSync (EAS) в Intune. Для этих клиентов корпорация Майкрософт рекомендует использовать гибридную современную проверку подлинности (HMA) Exchange для защиты доступа к локальной организации Exchange. HMA включает политики Защиты приложений Intune (также известные как MAM) и условный доступ с помощью Outlook Mobile для локальной организации Exchange.

Сведения в этой статье помогут вам установить и отслеживать соединитель Exchange для Intune. Соединитель можно использовать с политиками условного доступа для разрешения или блокировки доступа к локальным почтовым ящикам Exchange.

Соединитель установлен и запущен на локальном оборудовании. Он обнаруживает устройства, которые подключаются к Exchange, и передает сведения об устройстве в службу Intune. Соединитель разрешает или блокирует устройства в зависимости от того, зарегистрированы ли устройства и соответствуют ли они требованиям. Для этих связей используется протокол HTTPS.

Когда устройство пытается получить доступ к вашему локальному серверу Exchange Server, соединитель Exchange сопоставляет записи Exchange Active Sync (EAS) в Exchange Server с записями Intune, чтобы убедиться, что устройство регистрируется в Intune и соответствует политикам устройств. В зависимости от политик условного доступа устройство может быть разрешено или запрещено. Дополнительные сведения см. в статье о стандартных способах использования условного доступа с помощью Intune.

Операции обнаружения и разрешения и запрещения выполняются с помощью стандартных командлетов Exchange PowerShell. Эти операции используют учетную запись службы, которая предоставляется при первоначальной установке соединителя Exchange.

Intune поддерживает установку нескольких соединителей Exchange для Intune для каждой подписки. Если у вас несколько локальных организаций Exchange, можно настроить отдельный соединитель для каждой из них. Однако в каждой организации Exchange устанавливается только один соединитель.

Чтобы настроить соединение для обмена данными между Intune и локальной средой Exchange Server, выполните приведенные ниже общие действия.

  1. Скачайте локальный соединитель из Центра администрирования Microsoft Intune.
  2. Установите и настройте соединитель Exchange на компьютере в локальной организации Exchange.
  3. Проверьте подключение к Exchange.
  4. Повторите эти действия для каждой организации Exchange, которую нужно подключить к Intune.

Принцип реализации условного доступа для локальной организации Exchange

Условный доступ для локальной организации Exchange работает иначе, чем политики на основе условного доступа Azure. Установите локальный соединитель Intune Exchange для непосредственного взаимодействия с сервером Exchange. Соединитель Intune Exchange извлекает все записи Exchange Active Sync (EAS) с сервера Exchange и передает их в службу Intune, которая сопоставляет полученные записи EAS с записями устройств Intune. Эти записи соответствуют устройствам, которые были зарегистрированы и распознаны службой Intune. Этот процесс разрешает или блокирует доступ к электронной почте.

Если запись EAS является новой и в Intune отсутствуют сведения о ней, Intune выдает командлет (произносится как "команд-лет"), который блокирует доступ к электронной почте. Ниже приводится более подробное описание этого процесса:

Поток-схема обмена локальной средой с помощью ЦС

  1. Пользователь пытается получить доступ к корпоративному почтовому ящику, который размещен в локальной среде Exchange 2010 с пакетом обновления 1 или более поздней версии.

  2. Если устройство не находится под управлением Intune, доступ к электронной почте будет заблокирован. Intune отправляет уведомление о блокировке в клиент EAS.

  3. EAS получает уведомление о блокировке и переводит устройство в карантин, после чего отправляет карантинное сообщение электронной почты с инструкциями по устранению проблемы и ссылками, по которым пользователи могут зарегистрировать свои устройства.

  4. Выполняется процесс подключения к рабочему месту, который является первым шагом по переводу устройства под управление Intune.

  5. Устройство регистрируется в Intune.

  6. Intune сопоставляет запись EAS с записью устройства и сохраняет сведения о состоянии соответствия устройства.

  7. Идентификатор клиента EAS регистрируется процессом регистрации устройства Microsoft Entra, что создает связь между записью устройства Intune и идентификатором клиента EAS.

  8. При регистрации устройства Microsoft Entra сохраняются сведения о состоянии устройства.

  9. Если пользователь удовлетворяет требованиям политик условного доступа, Intune через соединитель Intune Exchange выполняет командлет, обеспечивающий синхронизацию с почтовым ящиком.

  10. Сервер Exchange отправляет клиенту EAS уведомление о том, что пользователь имеет право на доступ к электронной почте.

Требования к соединителю Exchange для Intune

Чтобы подключиться к Exchange, необходима учетная запись с лицензией Intune, которую может использовать соединитель. Учетная запись указывается при установке соединителя.

В приведенной ниже таблице указаны требования к компьютеру, на котором устанавливается соединитель Exchange для Intune.

Требования Дополнительные сведения
Операционные системы Intune поддерживает соединитель Exchange для Intune на компьютере с любым 64-разрядным выпуском Windows Server 2008 с пакетом обновления 2 (SP2), Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 или Windows Server 2016.

Соединитель не поддерживается ни в какой установке Server Core.
Microsoft Exchange Локальный соединитель требует использования Microsoft Exchange 2010 с пакетом обновления 3 (SP3) или более поздней версии либо выделенной среды Exchange Online прежних версий. Чтобы определить, используется ли в вашей выделенной среде Exchange Online новая или устаревшая конфигурация, обратитесь к своему менеджеру по работе с клиентами.
Центр управления мобильными устройствами Установите Intune в качестве центра управления мобильными устройствами.
Оборудование Компьютер, на котором устанавливается соединитель, должен иметь ЦП с частотой 1,6 ГГц, 2 ГБ ОЗУ и 10 ГБ свободного дискового пространства.
Синхронизация Active Directory Прежде чем использовать соединитель для подключения Intune к Exchange Server, настройте синхронизацию Active Directory. Локальные пользователи и группы безопасности должны быть синхронизированы с экземпляром идентификатора Microsoft Entra.
Дополнительное программное обеспечение На компьютере, на котором размещен соединитель, необходимо выполнить полную установку платформы Microsoft .NET Framework 4.5 и Windows PowerShell 2.0.
Сеть Компьютер, на котором устанавливается соединитель, должен входить в домен, имеющий отношение доверия с доменом, где размещен сервер Exchange Server.

Настройте компьютер для доступа к службе Intune через брандмауэры и прокси-серверы на портах 80 и 443. Intune использует следующие домены:
— manage.microsoft.com;
- *manage.microsoft.com
- *.manage.microsoft.com

Соединитель Exchange для Intune взаимодействует со следующими службами:
– служба Intune: HTTPS-порт 443;
– сервер клиентского доступа Exchange (CAS): порт 443 службы WinRM;
– автообнаружение Exchange 443;
– веб-службы Exchange (EWS) 443.

Требования к командлетам Exchange

Создайте учетную запись пользователя Active Directory для соединителя Exchange для Intune. Она должна иметь разрешение на выполнение следующих командлетов Windows PowerShell Exchange.

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings
  • Get-CasMailbox, Set-CasMailbox
  • Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy
  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule
  • Get-ActiveSyncDeviceStatistics
  • Get-ActiveSyncDevice
  • Get-ExchangeServer
  • Get-ActiveSyncDeviceClass
  • Get-Recipient
  • Clear-ActiveSyncDevice, Remove-ActiveSyncDevice
  • Set-ADServerSettings
  • Get-Command

Скачивание пакета установки

Поддержка новых установок соединителя Exchange была признана устаревшей в июле 2020 г., а пакет установки соединителя больше не доступен для загрузки. Вместо этого используйте гибридную современную проверку подлинности Exchange (HMA).

Установка и настройка соединителя Exchange для Intune

Поддержка новых установок соединителя Exchange была признана устаревшей в июле 2020 г., а пакет установки соединителя больше не доступен для загрузки. Вместо этого используйте гибридную современную проверку подлинности Exchange (HMA). Ниже приведены инструкции по переустановке соединителя.

Выполните приведенные ниже шаги, чтобы установить соединитель Exchange для Intune. Если у вас несколько организаций Exchange, повторите эти действия для каждого соединителя Exchange, который нужно настроить.

  1. В поддерживаемой операционной системе для соединителя Exchange для Intune извлеките файлы из папки Exchange_Connector_Setup.zip в безопасное расположение.

    Важно!

    Не переименовывайте и не перемещайте файлы в папке Exchange_Connector_Setup. Эти изменения приведут к сбою установки соединителя.

  2. После извлечения файлов дважды щелкните файл Exchange_Connector_Setup.exe, чтобы установить соединитель.

    Важно!

    Если конечная папка находится не в безопасном расположении, после установки локальных соединителей следует удалить файл сертификата MicrosoftIntune.accountcert.

  3. В диалоговом окне Соединитель Microsoft Intune с Exchange выберите либо Локальный сервер Microsoft Exchange, либо Размещенный сервер Microsoft Exchange.

    Изображение, показывающее выбор типа Exchange Server

    Если выбран локальный сервер Exchange Server, укажите имя сервера или полное доменное имя сервера Exchange Server, на котором размещена роль сервера клиентского доступа.

    Если выбран размещенный сервер Exchange Server, укажите адрес сервера Exchange Server. Поиск URL-адреса размещенного сервера Exchange Server:

    1. Откройте Outlook для Microsoft 365.

    2. Щелкните значок ? в левом верхнем углу и выберите О программе.

    3. Найдите значение Внешний POP-сервер.

    4. Щелкните Прокси-сервер, чтобы указать параметры прокси-сервера для размещенного сервера Exchange Server.

      1. Щелкните Использовать прокси-сервер при синхронизации данных мобильных устройств.

      2. Введите имя прокси-сервера и номер порта, которые будут использоваться для доступа к серверу.

      3. Если для доступа к прокси-серверу требуются пользовательские учетные данные, выберите Использовать учетные данные пользователя для соединения с прокси-сервером. Затем введите данные домена/пользователя и пароль.

      4. Нажмите кнопку OK.

  4. В поля User (domain\user) (Пользователь (домен или пользователь)) и Пароль введите учетные данные, необходимые для подключения к серверу Exchange Server. Указанная учетная запись должна иметь лицензию на использование Intune.

  5. Введите учетные данные, чтобы отправить уведомления на почтовый ящик пользователя Exchange Server. Этот пользователь может быть предназначен только для уведомлений. Пользователю для уведомлений нужен почтовый ящик Exchange, чтобы рассылать уведомления по электронной почте. Эти уведомления можно настроить с помощью политик условного доступа в Intune.

    Убедитесь, что служба автоматического обнаружения и веб-службы Exchange настроены на сервере клиентского доступа Exchange. Дополнительные сведения см. в разделе Сервер клиентского доступа.

  6. В поле Пароль укажите пароль учетной записи для доступа Intune к серверу Exchange Server.

    Примечание.

    В учетной записи, используемой для входа в клиент, должны быть как минимум права администратора служб Intune. Без этой учетной записи администратора процесс подключения завершится ошибкой "Удаленный сервер возвратил ошибку: 400 — ошибочный запрос".

  7. Выберите Подключить.

    Примечание.

    Настройка подключения может занять несколько минут.

Во время настройки соединитель Exchange сохраняет параметры прокси-сервера для обеспечения доступа к Интернету. Если параметры прокси-сервера изменятся, необходимо перенастроить соединитель Exchange, чтобы применить обновленные параметры прокси-сервера к соединителю Exchange.

После того как соединитель Exchange установит подключение, мобильные устройства, связанные с пользователями, управление которыми осуществляется в Exchange, автоматически синхронизируются и добавляются в соединитель Exchange. Процесс синхронизации может занять некоторое время.

Примечание.

Если вы устанавливаете соединитель Exchange для Intune, а в дальнейшем потребуется удалить подключение Exchange, необходимо удалить соединитель с компьютера, на котором он был установлен.

Установка соединителей для нескольких организаций Exchange

Поддержка новых установок соединителя Exchange была прекращена в июле 2020 г. Вместо этого используйте гибридную современную проверку подлинности Exchange (HMA). Сведения в следующих разделах предоставляются для поддержки клиентов, которые могут по-прежнему использовать локальный соединитель Intune Exchange.

Поддержка высокого уровня доступности локального соединителя Exchange для Intune

Для локального соединителя высокий уровень доступности означает, что, если используемый сервер клиентского доступа Exchange становится недоступным, соединитель может переключиться на другой сервер CAS для этой организации Exchange. Сам соединитель Exchange не поддерживает высокий уровень доступности. В случае сбоя соединителя автоматическая отработка отказа не выполняется, поэтому, чтобы заменить неисправный соединитель, необходимо установить новый соединитель.

Чтобы выполнить отработку отказа, соединитель использует указанный сервер клиентского доступа для создания успешного подключения к Exchange. Затем он обнаруживает дополнительные серверы клиентского доступа для этой организации Exchange. Благодаря этому обнаружению соединитель может переключаться на другой сервер CAS, если он доступен, и использовать его до тех пор, пока основной сервер CAS не станет доступным.

Обнаружение дополнительных CAS включено по умолчанию. Если вам необходимо отключить отработку отказа:

  1. На сервере, где установлен соединитель Exchange, перейдите в папку %ProgramData%\Microsoft\Windows Intune Exchange Connector.

  2. В текстовом редакторе откройте файл OnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Измените значение< IsCasFailoverEnabled>true</IsCasFailoverEnabled> на <IsCasFailoverEnabled>false</IsCasFailoverEnabled>.

Настройка производительности для соединителя Exchange (дополнительно)

Если Exchange ActiveSync поддерживает 5000 устройств и более, можно настроить дополнительный параметр, чтобы повысить производительность соединителя. Повышение производительности достигается благодаря тому, что Exchange может использовать несколько экземпляров пространства выполнения команд PowerShell.

Перед внесением этого изменения убедитесь, что учетная запись, используемая для запуска соединителя Exchange, не используется для других целей управления Exchange. Учетная запись Exchange имеет ограниченное количество пространств выполнения. Соединитель будет использовать большинство из них.

Настройка производительности не подходит для соединителей, работающих на более старом или более слабом оборудовании.

Чтобы повысить производительность соединителя Exchange, выполните приведенные ниже шаги.

  1. На сервере, где установлен соединитель, откройте каталог установки соединителей. По умолчанию это C:\ProgramData\Microsoft\Windows Intune Exchange Connector.

  2. Откройте для редактирования файл OnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Задайте для параметра EnableParallelCommandSupport значение true:

    <EnableParallelCommandSupport>true</EnableParallelCommandSupport>

  4. Сохраните файл, а затем перезапустите службу соединителя Microsoft Intune с Exchange.

Повторная установка соединителя Exchange для Intune

Поддержка новых установок соединителя Exchange была признана устаревшей в июле 2020 г., а пакет установки соединителя больше не доступен для загрузки. Вместо этого используйте гибридную современную проверку подлинности Exchange (HMA). Следующие сведения предоставляются для поддержки клиентов, которые могут по-прежнему использовать локальный соединитель Intune Exchange.

Возможно, вам понадобится переустановить соединитель Exchange для Intune. Так как к каждой организации Exchange может подключиться только один соединитель, второй устанавливаемый для организации соединитель заменит исходный.

  1. Чтобы установить новый соединитель, выполните действия, указанные в разделе Установка и настройка соединителя Exchange.

  2. В появившемся окне запроса нажмите кнопку Заменить, чтобы установить новый соединитель. Предупреждение конфигурации для замены соединителя

  3. Продолжите выполнять шаги из раздела Установка и настройка локального соединителя Exchange для Intune и снова войдите в Intune.

  4. В последнем окне щелкните Закрыть, чтобы завершить установку. Завершение настройки

Мониторинг соединителя Exchange

После успешной настройки соединителя Exchange можно просмотреть состояние подключения и последнюю успешную попытку синхронизации:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Администрирование клиента>Доступ к Exchange.

  3. Выберите Локальный соединитель Exchange ActiveSync, а затем выберите соединитель, который нужно просмотреть.

  4. В консоли отображаются сведения о выбранном соединителе, где можно просмотреть Состояние, а также дату и время последней успешной синхронизации.

В дополнение к состоянию консоли можно использовать Пакет управления System Center Operations Manager для соединителя Exchange и Intune. Он предоставляет дополнительные способы мониторинга соединителя Exchange для устранения неполадок.

Принудительная быстрая или полная синхронизация вручную

Поддержка новых установок соединителя Exchange была прекращена в июле 2020 г. Вместо этого используйте гибридную современную проверку подлинности Exchange (HMA). Сведения в следующих разделах предоставляются для поддержки клиентов, которые могут по-прежнему использовать локальный соединитель Intune Exchange.

Соединитель Exchange для Intune автоматически регулярно синхронизирует записи устройств в EAS и Intune. Если состояние соответствия устройства требованиям меняется, процесс автоматической синхронизации регулярно обновляет записи, запрещая или разрешая доступ устройству.

  • Быстрая синхронизация происходит регулярно несколько раз в день. При этом извлекаются сведения об устройствах для пользователей, которым назначены лицензии в Intune или для которых настроен условный доступ в локальной среде Exchange и данные которых изменились с момента последней синхронизации.

  • Полная синхронизация по умолчанию происходит один раз в день. При этом извлекаются сведения об устройствах для всех пользователей, которым назначены лицензии в Intune или для которых настроен условный доступ в локальной среде Exchange. В результате полной синхронизации также извлекаются сведения о сервере Exchange Server, а конфигурация, настраиваемая службой Intune, обновляется на сервере Exchange Server.

Принудительную синхронизацию соединителя можно запустить с помощью параметра Быстрая синхронизация или Полная синхронизация на панели мониторинга Intune:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Администрирование клиента>Доступ к Exchange>Локальный соединитель Exchange ActiveSync.

  3. Выберите соединитель, который нужно синхронизировать, а затем выберите "Быстрая синхронизация" или "Полная синхронизации".

Пример снимка экрана со сведениями о соединителе

Дальнейшие действия

Создайте политику условного доступа для локальных серверов Exchange.