Konfigurera lokal Exchange-åtkomst för Intune

  • Artikel

Viktigt

Stödet för den lokala Intune Exchange Connector upphör den 19 februari 2024. Efter det här datumet synkroniseras inte Längre Exchange Connector med Intune. Om du använder Exchange Connector rekommenderar vi att du vidtar någon av följande åtgärder före den 19 februari 2024:

Den här artikeln visar hur du konfigurerar villkorlig åtkomst för Exchange on-premises baserat på enhetsefterlevnad.

Om du har en Exchange Online dedikerad miljö och behöver ta reda på om den finns i den nya eller äldre konfigurationen kontaktar du kontohanteraren. Om du vill styra e-poståtkomsten till Exchange lokalt eller till din äldre Exchange Online dedikerad miljö konfigurerar du villkorlig åtkomst till Exchange on-premises i Intune.

Innan du börjar

Innan du kan konfigurera villkorlig åtkomst kontrollerar du att följande konfigurationer finns:

  • Exchange-versionen är Exchange 2010 SP3 eller senare. Matrisen Klientåtkomstserver för Exchange Server (CAS) stöds.

  • Du har installerat och använder Exchange ActiveSync lokala Exchange Connector, som ansluter Intune till lokal Exchange.

    Viktigt

    Intune stöder flera lokala Exchange-anslutningsappar per prenumeration. Varje lokal Exchange Connector är dock specifik för en enskild Intune-klientorganisation och kan inte användas med någon annan klientorganisation. Om du har fler än en lokal Exchange-organisation kan du konfigurera en separat anslutningsapp för varje Exchange-organisation.

  • Anslutningsappen för en lokal Exchange-organisation kan installeras på vilken dator som helst så länge den datorn kan kommunicera med Exchange-servern.

  • Anslutningsappen stöder Exchange CAS-miljön. Intune stöder direkt installation av anslutningsappen på Exchange CAS-servern. Vi rekommenderar att du installerar den på en separat dator på grund av den extra belastning som anslutningsappen lägger på servern. När du konfigurerar anslutningsappen måste du konfigurera den så att den kommunicerar med någon av Exchange CAS-servrarna.

  • Exchange ActiveSync måste konfigureras med certifikatbaserad autentisering eller post för användarautentiseringsuppgifter.

  • När principer för villkorsstyrd åtkomst konfigureras och riktas till en användare måste enheten som de använder vara:

    • Antingen registrerad med Intune eller är en domänansluten dator.
    • Registrerad i Microsoft Entra ID. Dessutom måste klientens Exchange ActiveSync-ID registreras med Microsoft Entra ID.

  • Microsoft Entra Device Registration Service (DRS) aktiveras automatiskt för Intune- och Microsoft 365-kunder. Kunder som redan har distribuerat ADFS Device Registration Service ser inte registrerade enheter i sina lokal Active Directory. Detta gäller inte för Windows-datorer och -enheter.

  • Kompatibel med enhetsefterlevnadsprinciper som distribuerats till den enheten.

  • Om enheten inte uppfyller inställningarna för villkorsstyrd åtkomst visas något av följande meddelanden när användaren loggar in:

    • Om enheten inte har registrerats med Intune eller inte är registrerad i Microsoft Entra ID visas ett meddelande med instruktioner om hur du installerar Företagsportal-appen, registrerar enheten och aktiverar e-post. Den här processen associerar också enhetens Exchange ActiveSync-ID med enhetsposten i Microsoft Entra ID.
    • Om enheten inte är kompatibel visas ett meddelande som dirigerar användaren till Intune-företagsportal webbplats eller den Företagsportal appen. Från företagsportalen kan de hitta information om problemet och hur du åtgärdar det.

Stöd för mobila enheter

  • Intern e-postapp på iOS/iPadOS – Information om hur du skapar en princip för villkorlig åtkomst finns i Skapa principer för villkorsstyrd åtkomst

  • EAS-e-postklienter som Gmail på Android 4 eller senare – Om du vill skapa en princip för villkorsstyrd åtkomst läser du Skapa principer för villkorsstyrd åtkomst

  • EAS-e-postklienter på Android Enterprise Personally-Owned Work Profile-enheter – Endast Gmail och Nine Work för Android Enterprise stöds på personligt ägda Android Enterprise-arbetsprofilenheter . För att villkorlig åtkomst ska fungera med Personligt ägda Android Enterprise-arbetsprofiler måste du distribuera en e-postprofil för Gmail - eller Nine Work för Android Enterprise-appen och även distribuera dessa appar som en obligatorisk installation. När du har distribuerat appen kan du konfigurera enhetsbaserad villkorlig åtkomst.

  • EAS-e-postklienter på Android-enhetsadministratör – Om du vill skapa en princip för villkorsstyrd åtkomst läser du Skapa principer för villkorsstyrd åtkomst

Viktigt

Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 30 augusti 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.

Konfigurera villkorlig åtkomst för Android Enterprise-enheter med personligt ägd arbetsprofil

  1. Logga in på Microsoft Intune administrationscenter.

  2. Distribuera Gmail- eller Nine Work-appen efter behov.

  3. Gå till Enhetskonfiguration> och välj *Skapa.

  4. Ange ett namn och en beskrivning för profilen.

  5. Välj Android Enterprise i Platform och välj Email i Profiltyp.

  6. Konfigurera e-postprofilinställningarna.

  7. När du är klar väljer du OK>Skapa för att spara ändringarna.

  8. När du har skapat e-postprofilen tilldelar du den till grupper.

  9. Konfigurera enhetsbaserad villkorlig åtkomst.

Obs!

Microsoft Outlook för Android och iOS/iPadOS stöds inte via exchange on-premises connector. Om du vill använda Microsoft Entra principer för villkorsstyrd åtkomst och Intune-appskyddsprinciper med Outlook för iOS/iPadOS och Android för dina lokala postlådor kan du läsa Använda modern hybridautentisering med Outlook för iOS/iPadOS och Android.

Stöd för datorer

Det stöder för närvarande det interna e-postprogrammet på Windows 8.1 och senare (när det har registrerats i MDM med Intune).

Viktigt

Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.

Om du använder Windows 8.1 rekommenderar vi att du flyttar till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.

Konfigurera lokal Exchange-åtkomst

Stödet för nya installationer av Exchange Connector upphörde i juli 2020 och anslutningspaketet är inte längre tillgängligt för nedladdning. Använd i stället modern Exchange-hybridautentisering (HMA).

Innan du kan använda följande procedur för att konfigurera lokal Exchange-åtkomstkontroll måste du installera och konfigurera minst en lokal Intune Exchange-anslutning för Exchange On-premises.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Gå till Administration av klientorganisation>Exchange-åtkomst och välj sedan Exchange On-premises access (Exchange On-premises access).

  3. I fönstret Exchange on-premises access (Exchange on-premises access ) väljer du Ja för att aktivera lokal Åtkomstkontroll för Exchange.

    Exempel på skärmbild av skärmen för lokal Exchange-åtkomst

  4. Under Tilldelning väljer du Välj grupper som ska inkluderas och väljer sedan en eller flera grupper för att konfigurera åtkomst.

    Medlemmar i de grupper som du väljer har principen för villkorsstyrd åtkomst för lokal Exchange-åtkomst tillämpad på dem. Användare som får den här principen måste registrera sina enheter i Intune och vara kompatibla med efterlevnadsprofilerna innan de kan komma åt Exchange lokalt.

    Välj grupper som ska inkluderas

  5. Om du vill exkludera grupper väljer du Välj grupper att exkludera och väljer sedan en eller flera grupper som är undantagna från kraven för att registrera enheter och vara kompatibla med efterlevnadsprofilerna innan du öppnar Exchange lokalt.

    Välj Spara för att spara konfigurationen och gå tillbaka till åtkomstfönstret för Exchange .

  6. Konfigurera sedan inställningar för den lokala Exchange-anslutningsappen i Intune. I administrationscentret väljer du Administration av klientorganisation>Exchange Access>Exchange ActiveSync lokal anslutningsapp och väljer sedan anslutningsappen för den Exchange-organisation som du vill konfigurera.

  7. För Användarmeddelanden väljer du Redigera för att öppna arbetsflödet Redigera organisation där du kan ändra meddelandet Användaravisering .

    Exempel på skärmbild av arbetsflödet Redigera organisation för meddelanden

    Ändra standardmeddelandet för e-postmeddelandet som skickas till användare om deras enhet inte är kompatibel och de vill ha åtkomst till Exchange lokalt. Meddelandemallen använder markeringsspråk. Du kan också se en förhandsgranskning av hur meddelandet ser ut när du skriver

    Välj Granska + sparaoch spara för att spara ändringarna för att slutföra konfigurationen av lokal Exchange-åtkomst.

    Tips

    Mer information om markupspråk finns i den här Wikipedia-artikeln.

  8. Välj sedan Avancerade Exchange ActiveSync åtkomstinställningar för att öppna arbetsflödet Avancerade Exchange ActiveSync åtkomstinställningar där du konfigurerar regler för enhetsåtkomst.

    Exempel på skärmbild av arbetsflödet Redigera organisation för avancerade inställningar

    • För Ohanterad enhetsåtkomst anger du den globala standardregeln för åtkomst från enheter som inte påverkas av villkorsstyrd åtkomst eller andra regler:

      • Tillåt åtkomst – Alla enheter kan komma åt Exchange lokalt omedelbart. Enheter som tillhör användarna i de grupper som du konfigurerade enligt föregående procedur blockeras om de senare utvärderas som inkompatibla med de kompatibla principerna eller inte har registrerats i Intune.

      • Blockera åtkomst och karantän – Alla enheter blockeras omedelbart från att komma åt Exchange lokalt från början. Enheter som tillhör användare i de grupper som du konfigurerade enligt föregående procedur får åtkomst när enheten har registrerats i Intune och utvärderas som kompatibla.

        Den här inställningen stöds på Android-enheter som kör Samsung Knox Standard. Andra Android-enheter stöder inte den här inställningen och blockeras alltid.

    • För Enhetsplattformsfel väljer du Lägg till och anger sedan information efter behov för din miljö.

      Om inställningen Ohanterad enhetsåtkomst är inställd på Blockerad tillåts enheter som är registrerade och kompatibla även om det finns ett plattformsundundans för att blockera dem.

  9. Spara redigeringarna genom att välja OK .

  10. Välj Granska + spara och sedan Spara för att spara exchange-principen för villkorsstyrd åtkomst.

Nästa steg

Skapa sedan en efterlevnadsprincip och tilldela den till användarna för Intune för att utvärdera sina mobila enheter. Se Kom igång med enhetsefterlevnad.

Felsöka lokal Intune Exchange Connector i Microsoft Intune