Konfigurera den lokala Intune Exchange-anslutningsappen
Viktigt
Stödet för den lokala Intune Exchange Connector upphör den 19 februari 2024. Efter det här datumet synkroniseras inte Längre Exchange Connector med Intune. Om du använder Exchange Connector rekommenderar vi att du vidtar någon av följande åtgärder före den 19 februari 2024:
För att skydda åtkomsten till Exchange förlitar sig Intune på en lokal komponent som kallas Microsoft Intune Exchange Connector. Den här anslutningsappen kallas även för den lokala Exchange ActiveSync-anslutningsappen på vissa platser i Administrationscenter för Intune.
Viktigt
Intune tar bort stödet för funktionen Exchange On-Premises Connector från Intune-tjänsten från och med 2007 -versionen (juli). Befintliga kunder med en aktiv anslutningsapp kommer att kunna fortsätta med den aktuella funktionen just nu. Nya kunder och befintliga kunder som inte har en aktiv anslutningsapp kommer inte längre att kunna skapa nya anslutningsappar eller hantera Exchange ActiveSync-enheter (EAS) från Intune. För dessa klienter rekommenderar Microsoft att du använder modern Exchange-hybridautentisering (HMA) för att skydda åtkomsten till Exchange on-premises. HMA aktiverar både Intune-appskyddsprinciper (kallas även MAM) och villkorlig åtkomst via Outlook Mobile för Exchange lokalt.
Informationen i den här artikeln kan hjälpa dig att installera och övervaka Intune Exchange Connector. Du kan använda anslutningsappen med dina principer för villkorlig åtkomst för att tillåta eller blockera åtkomst till dina lokala Exchange-postlådor.
Anslutningsappen installeras och körs på din lokala maskinvara. Den identifierar enheter som ansluter till Exchange och kommunicerar enhetsinformation till Intune-tjänsten. Anslutningsappen tillåter eller blockerar enheter baserat på om enheterna är registrerade och kompatibla. Dessa kommunikationer använder HTTPS-protokollet.
När en enhet försöker komma åt din lokala Exchange-server mappar Exchange Connector Exchange ActiveSync-poster (EAS) i Exchange Server till Intune-poster för att se till att enheten registreras med Intune och uppfyller enhetens principer. Beroende på dina principer för villkorlig åtkomst kan enheten tillåtas eller blockeras. Mer information finns i Vad är vanliga sätt att använda villkorlig åtkomst med Intune?
Både identifierings- och tillåt- och blockeringsåtgärder utförs med hjälp av vanliga Exchange PowerShell-cmdletar. De här åtgärderna använder tjänstkontot som tillhandahålls när Exchange-anslutningsappen först installeras.
Intune stöder installation av flera Intune Exchange-anslutningsappar per prenumeration. Om du har fler än en lokal Exchange-organisation kan du konfigurera en separat anslutningsapp för var och en. Det går dock bara att installera en anslutningsapp för varje Exchange-organisation.
Följ de här allmänna stegen för att konfigurera en anslutning som gör att Intune kan kommunicera med den lokala Exchange-servern:
- Ladda ned den lokala anslutningsappen från administrationscentret för Microsoft Intune.
- Installera och konfigurera Exchange Connector på en dator i den lokala Exchange-organisationen.
- Verifiera Exchange-anslutningen.
- Upprepa de här stegen för varje ytterligare Exchange-organisation som du vill ansluta till Intune.
Så här fungerar villkorlig åtkomst för Exchange on-premises
Villkorlig åtkomst för Exchange on-premises fungerar annorlunda än azure-principer för villkorsstyrd åtkomst. Du installerar Den lokala Intune Exchange-anslutningsappen för direkt interaktion med Exchange-servern. Intune Exchange Connector hämtar alla Exchange Active Sync-poster (EAS) som finns på Exchange-servern så att Intune kan ta dessa EAS-poster och mappa dem till Intune-enhetsposter. Dessa poster är enheter som har registrerats och identifierats av Intune. Den här processen tillåter eller blockerar e-poståtkomst.
Om EAS-posten är ny och Intune inte känner till den utfärdar Intune en cmdlet (uttalas "command-let") som instruerar Exchange-servern att blockera åtkomst till e-post. Här följer mer information om hur den här processen fungerar:
Användaren försöker komma åt företagets e-post, som finns på Exchange On-premises 2010 SP1 eller senare.
Om enheten inte hanteras av Intune blockeras åtkomsten till e-post. Intune skickar ett blockmeddelande till EAS-klienten.
EAS tar emot blockeringsmeddelandet, flyttar enheten till karantän och skickar karantänmeddelandet med reparationssteg som innehåller länkar så att användarna kan registrera sina enheter.
Anslutningsprocessen för arbetsplats sker, vilket är det första steget för att få enheten hanterad av Intune.
Enheten registreras i Intune.
Intune mappar EAS-posten till en enhetspost och sparar enhetens efterlevnadstillstånd.
EAS-klient-ID:t registreras av registreringsprocessen för Microsoft Entra-enheter, vilket skapar en relation mellan Intune-enhetsposten och EAS-klient-ID:t.
Enhetsregistreringen i Microsoft Entra sparar enhetens tillståndsinformation.
Om användaren uppfyller principerna för villkorlig åtkomst utfärdar Intune en cmdlet via Intune Exchange Connector som tillåter att postlådan synkroniseras.
Exchange-servern skickar meddelandet till EAS-klienten så att användaren kan komma åt e-post.
Krav för Intune Exchange Connector
För att ansluta till Exchange behöver du ett konto som har en Intune-licens som anslutningsappen kan använda. Du anger kontot när du installerar anslutningsappen.
I följande tabell visas kraven för den dator där du installerar Intune Exchange Connector.
Krav | Mer information |
---|---|
Operativsystem | Intune stöder Intune Exchange Connector på en dator som kör valfri utgåva av Windows Server 2008 SP2 64-bitars, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 eller Windows Server 2016. Anslutningsappen stöds inte vid någon Server Core-installation. |
Microsoft Exchange | Lokala anslutningsappar kräver Microsoft Exchange 2010 SP3 eller senare eller äldre Exchange Online Dedicated. Om du vill ta reda på om exchange online-dedikerad miljö finns i den nya eller äldre konfigurationen kontaktar du kontohanteraren. |
Utfärdare för hantering av mobila enheter | Ange utfärdare för hantering av mobila enheter till Intune. |
Hårdvara | Datorn där du installerar anslutningsappen kräver en 1,6 GHz-processor med 2 GB RAM-minne och 10 GB ledigt diskutrymme. |
Active Directory-synkronisering | Innan du använder anslutningsappen för att ansluta Intune till Exchange-servern konfigurerar du Active Directory-synkronisering. Dina lokala användare och säkerhetsgrupper måste synkroniseras med din instans av Microsoft Entra-ID. |
Ytterligare programvara | Datorn som är värd för anslutningsappen måste ha en fullständig installation av Microsoft .NET Framework 4.5 och Windows PowerShell 2.0. |
Nätverk | Datorn där du installerar anslutningsappen måste finnas i en domän som har en förtroenderelation med domänen som är värd för Exchange-servern. Konfigurera datorn så att den får åtkomst till Intune-tjänsten via brandväggar och proxyservrar via portarna 80 och 443. Intune använder följande domäner: - manage.microsoft.com - *manage.microsoft.com - *.manage.microsoft.com Intune Exchange Connector kommunicerar med följande tjänster: – Intune-tjänsten: HTTPS-port 443 – Exchange Client Access Server (CAS): WinRM-tjänstport 443 – Automatisk upptäckt av Exchange 443 - Exchange Web Services (EWS) 443 |
Krav för Exchange-cmdlet
Skapa ett Active Directory-användarkonto för Intune Exchange Connector. Kontot måste ha behörighet att köra följande Windows PowerShell Exchange-cmdletar:
-
Get-ActiveSyncOrganizationSettings
,Set-ActiveSyncOrganizationSettings
-
Get-CasMailbox
,Set-CasMailbox
-
Get-ActiveSyncMailboxPolicy
,Set-ActiveSyncMailboxPolicy
,New-ActiveSyncMailboxPolicy
,Remove-ActiveSyncMailboxPolicy
-
Get-ActiveSyncDeviceAccessRule
,Set-ActiveSyncDeviceAccessRule
,New-ActiveSyncDeviceAccessRule
,Remove-ActiveSyncDeviceAccessRule
Get-ActiveSyncDeviceStatistics
Get-ActiveSyncDevice
Get-ExchangeServer
Get-ActiveSyncDeviceClass
Get-Recipient
-
Clear-ActiveSyncDevice
,Remove-ActiveSyncDevice
Set-ADServerSettings
Get-Command
Ladda ned installationspaketet
Stödet för nya installationer av Exchange Connector upphörde i juli 2020 och anslutningspaketet är inte längre tillgängligt för nedladdning. Använd i stället modern Exchange-hybridautentisering (HMA).
Installera och konfigurera Intune Exchange Connector
Stödet för nya installationer av Exchange Connector upphörde i juli 2020 och anslutningspaketet är inte längre tillgängligt för nedladdning. Använd i stället modern Exchange-hybridautentisering (HMA). Följande instruktioner behålls för att installera om anslutningsappen.
Följ dessa steg för att installera Intune Exchange Connector. Om du har flera Exchange-organisationer upprepar du stegen för varje Exchange-anslutningsprogram som du vill konfigurera.
På ett operativsystem som stöds för Intune Exchange Connector extraherar du filerna i Exchange_Connector_Setup.zip till en säker plats.
Viktigt
Byt inte namn på eller flytta filerna som finns i mappen Exchange_Connector_Setup . Dessa ändringar skulle göra att installationen av anslutningsappen misslyckas.
När filerna har extraherats öppnar du den extraherade mappen och dubbelklickar påExchange_Connector_Setup.exe för att installera anslutningsappen.
Viktigt
Om målmappen inte är en säker plats tar du bort certifikatfilen MicrosoftIntune.accountcert när du är klar med installationen av dina lokala anslutningsappar.
I dialogrutan Microsoft Intune Exchange Connector väljer du antingen Lokal Microsoft Exchange Server eller Värdbaserad Microsoft Exchange Server.
För en lokal Exchange-server anger du antingen servernamnet eller det fullständigt kvalificerade domännamnet för Den Exchange-server som är värd för klientåtkomstserverrollen .
Ange Exchange-serveradressen för en värdbaserad Exchange-server. Så här hittar du den värdbaserade Exchange-serverns URL:
Öppna Outlook för Microsoft 365.
Välj ikonen ? i det övre vänstra hörnet och välj sedan Om.
Leta upp pop-värdet för extern server .
Välj Proxyserver för att ange proxyserverinställningar för din värdbaserade Exchange-server.
Välj Använd en proxyserver när du synkroniserar information om mobila enheter.
Ange proxyservernamnet och portnumret som ska användas för att komma åt servern.
Om användarautentiseringsuppgifter krävs för att få åtkomst till proxyservern väljer du Använd autentiseringsuppgifter för att ansluta till proxyservern. Ange sedan domänen\användaren och lösenordet.
Välj OK.
I fälten Användare (domän\användare) och Lösenord anger du autentiseringsuppgifter för att ansluta till Exchange-servern. Det konto som du anger måste ha en licens för att använda Intune.
Ange autentiseringsuppgifter för att skicka meddelanden till en användares Exchange Server-postlåda. Den här användaren kan vara dedikerad till bara meddelanden. Meddelandeanvändaren behöver en Exchange-postlåda för att skicka meddelanden via e-post. Du kan konfigurera dessa meddelanden med hjälp av principer för villkorlig åtkomst i Intune.
Kontrollera att tjänsten För automatisk upptäckt och Exchange Web Services har konfigurerats på Exchange CAS. Mer information finns i Klientåtkomstserver.
I fältet Lösenord anger du lösenordet för det här kontot så att Intune kan komma åt Exchange-servern.
Obs!
Det konto som du använder för att logga in på klientorganisationen måste vara minst en Intune-tjänstadministratör. Utan det här administratörskontot får du en misslyckad anslutning med felet "Fjärrservern returnerade ett fel: (400) Felaktig begäran".
Välj Anslut.
Obs!
Det kan ta några minuter att konfigurera anslutningen.
Under konfigurationen lagrar Exchange-anslutningsappen dina proxyinställningar för att aktivera åtkomst till Internet. Om proxyinställningarna ändras konfigurerar du om Exchange-anslutningsappen så att de uppdaterade proxyinställningarna tillämpas på Exchange-anslutningsappen.
När Exchange Connector har konfigurerat anslutningen synkroniseras och läggs mobila enheter som är associerade med Exchange-hanterade användare automatiskt till i Exchange-anslutningsappen. Den här synkroniseringen kan ta lite tid att slutföra.
Obs!
Om du installerar Intune Exchange Connector och senare behöver ta bort Exchange-anslutningen måste du avinstallera anslutningsappen från datorn där den installerades.
Installera anslutningsappar för flera Exchange-organisationer
Stödet för nya installationer av Exchange Connector upphörde i juli 2020. Använd i stället modern Exchange-hybridautentisering (HMA). Informationen i följande avsnitt tillhandahålls för att stödja kunder som fortfarande kan använda den lokala Intune Exchange-anslutningsappen.
Stöd för hög tillgänglighet för lokal Intune Exchange Connector
För den lokala anslutningsappen innebär hög tillgänglighet att om den Exchange CAS som anslutningsappen använder blir otillgänglig kan anslutningsappen växla till en annan CAS för exchange-organisationen. Själva Exchange-anslutningsappen har inte stöd för hög tillgänglighet. Om anslutningsappen misslyckas finns det ingen automatisk redundansväxling och du måste installera en ny anslutningsapp för att ersätta den misslyckade anslutningsappen.
För att redundansväxla använder anslutningsappen den angivna CAS:en för att skapa en lyckad anslutning till Exchange. Den identifierar sedan ytterligare CAS för den Exchange-organisationen. Den här identifieringen gör att anslutningsappen kan redundansväxla till en annan CAS om en är tillgänglig tills den primära CAS:en blir tillgänglig.
Som standard är identifiering av ytterligare CAS aktiverad. Om du behöver inaktivera redundans:
På den server där Exchange Connector är installerat går du till %ProgramData%\Microsoft\Windows Intune Exchange Connector.
Öppna OnPremisesExchangeConnectorServiceConfiguration.xmlmed hjälp av en textredigerare.
Ändra <IsCasFailoverEnabled>true</IsCasFailoverEnabled> till <IsCasFailoverEnabled>false</IsCasFailoverEnabled>.
Prestandajusta Exchange-anslutningsappen (valfritt)
När Exchange ActiveSync stöder 5 000 eller fler enheter kan du konfigurera en valfri inställning för att förbättra anslutningsappens prestanda. Du kan förbättra prestandan genom att aktivera Exchange för att använda flera instanser av ett PowerShell-kommandokörningsutrymme.
Innan du gör den här ändringen ska du se till att det konto som du använder för att köra Exchange-anslutningsappen inte används för andra Exchange-hanteringsändamål. Ett Exchange-konto har ett begränsat antal körningsutrymmen och anslutningsappen använder de flesta av dem.
Prestandajustering är inte lämpligt för anslutningsappar som körs på äldre eller långsammare maskinvara.
Så här förbättrar du Prestanda för Exchange-anslutningsappen:
Öppna anslutningsappens installationskatalog på den server där anslutningsappen är installerad. Standardplatsen är C:\ProgramData\Microsoft\Windows Intune Exchange Connector.
Redigera filen OnPremisesExchangeConnectorServiceConfiguration.xml.
Leta upp EnableParallelCommandSupport och ange värdet till true:
<EnableParallelCommandSupport>true</EnableParallelCommandSupport>
Spara filen och starta sedan om Microsoft Intune Exchange Connector-tjänsten.
Installera om Intune Exchange Connector
Stödet för nya installationer av Exchange Connector upphörde i juli 2020 och anslutningspaketet är inte längre tillgängligt för nedladdning. Använd i stället modern Exchange-hybridautentisering (HMA). Följande information tillhandahålls för att stödja kunder som fortfarande kan använda den lokala Intune Exchange-anslutningsappen.
Du kan behöva installera om en Intune Exchange Connector. Eftersom endast en enda anslutningsapp kan ansluta till varje Exchange-organisation ersätter den nya anslutningsappen som du installerar den ursprungliga anslutningsappen om du installerar en andra anslutningsapp för organisationen.
Om du vill installera om den nya anslutningsappen följer du stegen i avsnittet Installera och konfigurera Exchange Connector .
När du uppmanas till det väljer du Ersätt för att installera den nya anslutningsappen.
Fortsätt stegen från avsnittet Installera och konfigurera Intune Exchange Connector och logga in på Intune igen.
I det sista fönstret väljer du Stäng för att slutföra installationen.
Övervaka en Exchange-anslutningsapp
När du har konfigurerat Exchange Connector kan du visa status för anslutningarna och det senaste lyckade synkroniseringsförsöket:
Logga in på Microsoft Intune administrationscenter.
Välj Administration av klientorganisation>Exchange-åtkomst.
Välj Exchange ActiveSync on-premises connector och välj sedan den anslutningsapp som du vill visa.
Konsolen visar information om anslutningsappen som du väljer, där du kan visa status och datum och tid för den senaste lyckade synkroniseringen.
Förutom statusen i konsolen kan du använda System Center Operations Manager-hanteringspaketet för Exchange Connector och Intune. Hanteringspaketet erbjuder olika sätt att övervaka Exchange Connector när du behöver felsöka problem.
Framtvinga en snabbsynkronisering eller fullständig synkronisering manuellt
Stödet för nya installationer av Exchange Connector upphörde i juli 2020. Använd i stället modern Exchange-hybridautentisering (HMA). Informationen i följande avsnitt tillhandahålls för att stödja kunder som fortfarande kan använda den lokala Intune Exchange-anslutningsappen.
En Intune Exchange Connector synkroniserar automatiskt EAS- och Intune-enhetsposter regelbundet. Om kompatibilitetsstatusen för en enhet ändras uppdaterar den automatiska synkroniseringsprocessen regelbundet poster så att enhetsåtkomst kan blockeras eller tillåtas.
En snabbsynkronisering sker regelbundet, flera gånger om dagen. En snabbsynkronisering hämtar enhetsinformation för Intune-licensierade och lokala Exchange-användare som är avsedda för villkorlig åtkomst och som har ändrats sedan den senaste synkroniseringen.
En fullständig synkronisering sker en gång dagligen som standard. En fullständig synkronisering hämtar enhetsinformation för alla Intune-licensierade och lokala Exchange-användare som är mål för villkorlig åtkomst. En fullständig synkronisering hämtar även Exchange Server-information och ser till att konfigurationen som Intune anger uppdateras på Exchange-servern.
Du kan tvinga en anslutningsapp att köra en synkronisering med hjälp av alternativen Snabbsynkronisering eller Fullständig synkronisering på Intune-instrumentpanelen:
Logga in på Microsoft Intune administrationscenter.
Välj Administration av klientorganisation>Exchange access>Exchange ActiveSync on-premises connector( Lokal anslutning).
Välj den anslutningsapp som du vill synkronisera och välj sedan Snabbsynkronisering eller Fullständig synkronisering.
Nästa steg
Skapa en princip för villkorlig åtkomst för lokala Exchange-servrar.