Konfigurera lokal Exchange-åtkomst för Intune

Den här artikeln visar hur du konfigurerar villkorlig åtkomst för Exchange on-premises baserat på enhetsefterlevnad.

Om du har en Exchange Online dedikerad miljö och behöver ta reda på om den finns i den nya eller äldre konfigurationen kontaktar du kontohanteraren. Om du vill styra e-poståtkomsten till Exchange on-premises eller till din äldre Exchange Online Dedikerad miljö konfigurerar du villkorlig åtkomst till Exchange lokalt i Intune.

Viktigt

Informationen i den här artikeln gäller för kunder som har stöd för att använda en Exchange Connector.

Från och med juli 2020 är stödet för Exchange Connector inaktuellt och ersätts av modern Exchange-hybridautentisering (HMA). Om du har konfigurerat en Exchange Connector i din miljö Intune klientorganisationen fortfarande stöds för dess användning och du fortsätter att ha åtkomst till användargränssnittet som stöder dess konfiguration. Du kan fortsätta att använda anslutningsappen eller konfigurera HMA och sedan avinstallera anslutningsappen.

Användning av HMA kräver inte Intune för att konfigurera och använda Exchange Connector. Med den här ändringen har användargränssnittet för att konfigurera och hantera Exchange Connector för Intune tagits bort från administrationscentret för Microsoft Endpoint Manager, såvida du inte redan använder en Exchange-anslutningsapp med din prenumeration.

Innan du börjar

Innan du kan konfigurera villkorlig åtkomst kontrollerar du att följande konfigurationer finns:

  • Exchange-versionen är Exchange 2010 SP3 eller senare. Matrisen Klientåtkomstserver för Exchange Server (CAS) stöds.

  • Du har installerat och använder Exchange ActiveSync lokal Exchange Connector, som ansluter Intune till lokal Exchange.

    Viktigt

    Intune stöder flera lokala Exchange-anslutningsappar per prenumeration. Varje lokal Exchange-anslutning är dock specifik för en enda Intune klientorganisation och kan inte användas med någon annan klientorganisation. Om du har fler än en lokal Exchange-organisation kan du konfigurera en separat anslutningsapp för varje Exchange-organisation.

  • Anslutningsappen för en lokal Exchange-organisation kan installeras på vilken dator som helst så länge den datorn kan kommunicera med Exchange-servern.

  • Anslutningsappen stöder Exchange CAS-miljön. Intune stöder direkt installation av anslutningsappen på Exchange CAS-servern. Vi rekommenderar att du installerar den på en separat dator på grund av den extra belastning som anslutningsappen lägger på servern. När du konfigurerar anslutningsappen måste du konfigurera den så att den kommunicerar med någon av Exchange CAS-servrarna.

  • Exchange ActiveSync måste konfigureras med certifikatbaserad autentisering eller post för användarautentiseringsuppgifter.

  • När principer för villkorsstyrd åtkomst konfigureras och riktas till en användare måste enheten som de använder vara innan en användare kan ansluta till sin e-post:

    • Antingen registrerad med Intune eller är en domänansluten dator.
    • Registrerad i Azure Active Directory. Dessutom måste klientens Exchange ActiveSync-ID registreras med Azure Active Directory.
  • Azure AD Device Registration Service (DRS) aktiveras automatiskt för Intune och Microsoft 365 kunder. Kunder som redan har distribuerat ADFS Device Registration Service ser inte registrerade enheter i sina lokal Active Directory. Detta gäller inte för Windows-datorer och -enheter.

  • Kompatibel med enhetsefterlevnadsprinciper som distribuerats till den enheten.

  • Om enheten inte uppfyller inställningarna för villkorsstyrd åtkomst visas något av följande meddelanden när användaren loggar in:

    • Om enheten inte har registrerats med Intune eller inte är registrerad i Azure Active Directory visas ett meddelande med instruktioner om hur du installerar Företagsportal-appen, registrerar enheten och aktiverar e-post. Den här processen associerar också enhetens Exchange ActiveSync-ID med enhetsposten i Azure Active Directory.
    • Om enheten inte är kompatibel visas ett meddelande som dirigerar användaren till Intune-företagsportal webbplats eller den Företagsportal appen. Från företagsportalen kan de hitta information om problemet och hur du åtgärdar det.

Stöd för mobila enheter

  • Intern e-postapp på iOS/iPadOS – Information om hur du skapar en princip för villkorlig åtkomst finns i Skapa principer för villkorsstyrd åtkomst

  • EAS-e-postklienter som Gmail på Android 4 eller senare – Om du vill skapa en princip för villkorsstyrd åtkomst läser du Skapa principer för villkorsstyrd åtkomst

  • EAS-e-postklienter på Android-enhetsadministratör – Om du vill skapa en princip för villkorsstyrd åtkomst läser du Skapa principer för villkorsstyrd åtkomst

  • EAS-e-postklienter på Android Enterprise Personally-Owned Work Profile-enheter – Endast Gmail och Nine Work för Android Enterprise stöds på Android Enterprise-enheter med personligt ägd arbetsprofil . För att villkorlig åtkomst ska fungera med Android Enterprise Personally-Owned Arbetsprofiler måste du distribuera en e-postprofil för Gmail - eller Nine Work för Android Enterprise-appen och även distribuera dessa appar som en obligatorisk installation. När du har distribuerat appen kan du konfigurera enhetsbaserad villkorlig åtkomst.

Så här konfigurerar du villkorlig åtkomst för Android Enterprise Personally-Owned Work Profile-enheter

  1. Logga in till administrationscentret för Microsoft Endpoint Manager.

  2. Distribuera Gmail- eller Nine Work-appen efter behov.

  3. Välj Enheter Konfigurationsprofiler>>Skapa profil, ange Namn och Beskrivning för profilen.

  4. Välj Android Enterprise i Platform och välj Email i Profiltyp.

  5. Konfigurera e-postprofilinställningarna.

  6. När du är klar väljer du OK>Skapa för att spara ändringarna.

  7. När du har skapat e-postprofilen tilldelar du den till grupper.

  8. Konfigurera enhetsbaserad villkorlig åtkomst.

Obs!

Microsoft Outlook för Android och iOS/iPadOS stöds inte via exchange on-premises connector. Om du vill använda principer för villkorsstyrd åtkomst i Azure Active Directory och Intune appskyddsprinciper med Outlook för iOS/iPadOS och Android för dina lokala postlådor kan du läsa Använda modern hybridautentisering med Outlook för iOS/iPadOS och Android.

Stöd för datorer

Det stöder för närvarande det interna e-postprogrammet på Windows 8.1 och senare (när det har registrerats i MDM med Intune).

Viktigt

Den 22 oktober 2022 upphör Microsoft Intune stödet för enheter som kör Windows 8.1. Efter det datumet är teknisk hjälp och automatiska uppdateringar på dessa enheter inte tillgängliga. Mer information finns i Planera för förändring: Avsluta supporten för Windows 8.1.

Om du använder Windows 8.1 rekommenderar vi att du flyttar till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter. Mer information finns i Support upphör för Windows 7 och Windows 8.1.

Konfigurera lokal Exchange-åtkomst

Stödet för nya installationer av Exchange Connector upphörde i juli 2020 och anslutningspaketet är inte längre tillgängligt för nedladdning. Använd i stället modern Exchange-hybridautentisering (HMA).

Innan du kan använda följande procedur för att konfigurera lokal Exchange-åtkomstkontroll måste du installera och konfigurera minst en Intune lokal Exchange Connector för Exchange on-premises.

  1. Logga in till administrationscentret för Microsoft Endpoint Manager.

  2. Gå till Administration av klientorganisation>Exchange-åtkomst och välj sedan Exchange On-premises access (Exchange On-premises access).

  3. I fönstret Exchange on-premises access (Exchange on-premises access ) väljer du Ja för att aktivera lokal Åtkomstkontroll för Exchange.

    Exempel på skärmbild av skärmen för lokal Exchange-åtkomst

  4. Under Tilldelning väljer du Välj grupper som ska inkluderas och väljer sedan en eller flera grupper för att konfigurera åtkomst.

    Medlemmar i de grupper som du väljer har principen för villkorsstyrd åtkomst för lokal Exchange-åtkomst tillämpad på dem. Användare som får den här principen måste registrera sina enheter i Intune och vara kompatibla med efterlevnadsprofilerna innan de kan komma åt Exchange lokalt.

    Välj grupper som ska inkluderas

  5. Om du vill exkludera grupper väljer du Välj grupper att exkludera och väljer sedan en eller flera grupper som är undantagna från krav för att registrera enheter och vara kompatibla med efterlevnadsprofilerna innan du öppnar Exchange lokalt.

    Välj Spara för att spara konfigurationen och gå tillbaka till åtkomstfönstret för Exchange .

  6. Konfigurera sedan inställningar för Intune lokala Exchange Connector. I konsolen väljer du Administration av klientorganisation>Exchange Access>Exchange ActiveSync lokal anslutningsapp och väljer sedan anslutningsappen för den Exchange-organisation som du vill konfigurera.

  7. För Användarmeddelanden väljer du Redigera för att öppna arbetsflödet Redigera organisation där du kan ändra meddelandet Användaravisering .

    Exempel på skärmbild av arbetsflödet Redigera organisation för meddelanden

    Ändra standardmeddelandet för e-postmeddelandet som skickas till användare om deras enhet inte är kompatibel och de vill ha åtkomst till Exchange lokalt. Meddelandemallen använder markeringsspråk. Du kan också se en förhandsgranskning av hur meddelandet ser ut när du skriver

    Välj Granska + sparaoch spara för att spara ändringarna för att slutföra konfigurationen av lokal Exchange-åtkomst.

    Tips

    Mer information om markupspråk finns i den här Wikipedia-artikeln.

  8. Välj sedan Avancerade Exchange ActiveSync åtkomstinställningar för att öppna arbetsflödet Avancerade Exchange ActiveSync åtkomstinställningar där du konfigurerar regler för enhetsåtkomst.

    Exempel på skärmbild av arbetsflödet Redigera organisation för avancerade inställningar

    • För Ohanterad enhetsåtkomst anger du den globala standardregeln för åtkomst från enheter som inte påverkas av villkorlig åtkomst eller andra regler:

      • Tillåt åtkomst – Alla enheter kan komma åt Exchange lokalt omedelbart. Enheter som tillhör användarna i de grupper som du konfigurerade enligt föregående procedur blockeras om de senare utvärderas som inkompatibla med de kompatibla principerna eller inte har registrerats i Intune.

      • Blockera åtkomst och karantän – Alla enheter blockeras omedelbart från att komma åt Exchange lokalt från början. Enheter som tillhör användare i de grupper som du konfigurerade enligt föregående procedur får åtkomst när enheten har registrerats i Intune och utvärderas som kompatibla.

        Android-enheter som inte kör Samsung Knox Standard stöder inte den här inställningen och blockeras alltid.

    • För Enhetsplattformsfel väljer du Lägg till och anger sedan information efter behov för din miljö.

      Om inställningen Ohanterad enhetsåtkomst är inställd på Blockerad tillåts enheter som är registrerade och kompatibla även om det finns ett plattformsundundans för att blockera dem.

  9. Spara redigeringarna genom att välja OK .

  10. Välj Granska + spara och sedan Spara för att spara exchange-principen för villkorsstyrd åtkomst.

Nästa steg

Skapa sedan en efterlevnadsprincip och tilldela den till användarna för Intune för att utvärdera sina mobila enheter. Se Kom igång med enhetsefterlevnad.

Felsöka Intune lokal Exchange Connector i Microsoft Intune