設定適用於 Intune的 Exchange 內部部署存取

重要事項

內部部署 Intune Exchange 連接器的支援會在 2024 年 2 月 19 日結束。 在此日期之後，Exchange 連接器將不再與 Intune 同步。 如果您使用 Exchange 連接器，建議您在 2024 年 2 月 19 日之前採取下列其中一個動作：

• 將 Exchange 信箱移轉至 Exchange Online
• 設定混合式新式驗證

本文說明如何根據裝置合規性設定 Exchange 內部部署的條件式存取。

如果您有 Exchange Online 專用環境，而且需要瞭解它是在新的或舊版設定中，請連絡您的帳戶管理員。 若要控制 Exchange 內部部署或舊版 Exchange Online 專用環境的電子郵件存取，請在 Intune 中設定 Exchange 內部部署的條件式存取。

開始之前

在您可以設定條件式存取之前，請確認下列設定存在：

• 您的 Exchange 版本是 Exchange 2010 SP3 或更新版本。 支援 Exchange Server Client Access Server (CAS) 陣列。

• 您已安裝並使用 Exchange ActiveSync 內部部署 Exchange 連接器，其會將 Intune 連線到內部部署 Exchange。

  重要事項

  Intune 支援每個訂用帳戶多個內部部署 Exchange 連接器。 不過，每個內部部署 Exchange 連接器都是單一 Intune 租使用者專用，無法與任何其他租使用者搭配使用。 如果您有多個內部部署 Exchange 組織，您可以為每個 Exchange 組織設定個別的連接器。

• 內部部署 Exchange 組織的連接器可以安裝在任何電腦上，只要該機器可以與 Exchange Server 通訊即可。

• 連接器支援 Exchange CAS 環境。 Intune 支援直接在 Exchange CAS 伺服器上安裝連接器。 建議您將它安裝在不同的計算機上，因為連接器在伺服器上載入了額外的負載。 設定連接器時，您必須將其設定為與其中一部 Exchange CAS 伺服器通訊。

• Exchange ActiveSync 必須使用憑證型驗證或使用者認證項目來設定。

• 設定條件式存取原則並以用戶為目標時，在使用者可以連線到其電子郵件之前，他們使用的 裝置 必須是：

  • 向 Intune 註冊或已加入網域的計算機。
  • 在 Microsoft Entra ID 中註冊。 此外，用戶端 Exchange ActiveSync標識碼必須向 Microsoft Entra ID 註冊。

• Microsoft Entra 裝置註冊服務 (DRS) 會自動為 Intune 和 Microsoft 365 客戶啟用。 已部署ADFS裝置註冊服務的客戶在其 內部部署的 Active Directory 中看不到已註冊的裝置。 這不適用於 Windows 電腦和裝置。

• 符合 部署到該裝置的裝置合規性原則。

• 如果裝置不符合條件式存取設定，使用者會在登入時看到下列其中一則訊息：

  • 如果裝置未向 Intune 註冊，或未在 Microsoft Entra ID 中註冊，則會顯示一則訊息，其中包含如何安裝 公司入口網站 應用程式、註冊裝置，以及啟用電子郵件的指示。 此程式也會將裝置的 Exchange ActiveSync標識碼與 Microsoft Entra ID 中的裝置記錄產生關聯。
  • 如果裝置不符合規範，則會顯示一則訊息，將用戶導向 Intune 公司入口網站 網站或 公司入口網站 應用程式。 從公司入口網站中，他們可以找到問題的相關信息，以及如何補救問題。

支援行動裝置

• iOS/iPadOS 上的原生電子郵件應用程式 - 若要建立條件式存取原則，請參閱 建立條件式存取原則

• Android 4 或更新版本上的 Gmail 之類的 EAS 郵件客戶 端 - 若要建立條件式存取原則，請參閱 建立條件式存取原則

• Android Enterprise Personally-Owned Work Profile 裝置上的 EAS 郵件客戶端 - Android Enterprise 個人擁有的工作配置檔裝置僅支援 Gmail 和 Nine Work for Android Enterprise。 若要讓條件式存取使用 Android Enterprise 個人擁有的工作設定檔，您必須部署 Gmail 或 Nine Work for Android Enterprise 應用程式的電子郵件設置檔，同時將這些應用程式部署為必要的安裝。 部署應用程式之後，您可以設定裝置型條件式存取。

• Android 裝置系統管理員上的 EAS 郵件用戶端 - 若要建立條件式存取原則，請參閱 建立條件式存取原則

重要事項

Microsoft Intune 於 2024 年 12 月 31 日終止對具有 Google 行動服務 (GMS) 存取權之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後，裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理，建議您在支持結束之前，切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊，請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。

設定 Android Enterprise 個人擁有工作設定檔裝置的條件式存取

1. 登入 Microsoft Intune 系統管理中心。

2. 將 Gmail 或 Nine Work 應用程式部署為 必要專案。

3. 移至 [裝置>管理裝置>設定] ，然後選擇 [建立]。

4. 輸入設定檔的 [名稱 ] 和 [ 描述 ]。

5. 在 [平臺] 中選取 [Android Enterprise]，選取 [配置檔類型] 中的 [Email]。

6. 設定 電子郵件設置檔設定。

7. 當您完成時，請選取 [確定>建立] 以儲存變更。

8. 建立電子郵件設置檔之後， 請將它指派給群組。

9. 設定 裝置型條件式存取。

注意事項

Microsoft Android 版 Outlook 和 iOS/iPadOS 不支援透過 Exchange 內部部署連接器。 如果您想要利用 Microsoft Entra 條件式存取原則，並針對內部部署信箱 Intune 使用適用於 iOS/iPadOS 和 Android 版 Outlook 的應用程式防護原則，請參閱搭配 iOS/iPadOS 和 Android 版 Outlook 使用混合式新式驗證。

支持電腦

它目前支援使用 Windows 8.1 登入 MDM 時 Windows 8.1 和更新版本 (的原生郵件應用程式 Intune) 。

重要事項

在 2022 年 10 月 22 日，Microsoft Intune 終止了對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

如果您目前使用 Windows 8.1，請移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。

設定 Exchange 內部部署存取

Exchange 連接器的新安裝支援已於 2020 年 7 月淘汰，且連接器安裝套件不再可供下載。 請改用 Exchange 混合式新式驗證 (HMA) 。

在您可以使用下列程式來設定 Exchange 內部部署存取控制之前，您必須為 Exchange 內部部署安裝和設定至少一個 Intune 內部部署 Exchange 連接器。

1. 登入 Microsoft Intune 系統管理中心。

2. 移至 [租使用者管理>Exchange 存取]，然後選取 [Exchange 內部部署存取]。

3. 在 [ Exchange 內部部署存取] 窗格上，選擇 [ 是 ] 以 啟用 Exchange 內部部署存取控制。

   

4. 在 [ 指派] 下， 選擇 [選取要包含的群組]，然後選取一或多個群組來設定存取權。

   您選取的群組成員已套用 Exchange 內部部署存取的條件式存取原則。 收到此原則的用戶必須在 Intune 中註冊其裝置，並符合合規性配置檔，才能存取 Exchange 內部部署。

   

5. 若要排除群組，請選擇 [選取要排除的群組]，然後選取一或多個免除註冊裝置需求的群組，並在存取 Exchange 內部部署之前符合合規性配置檔。

   選 取 [儲存 ] 以儲存您的設定，然後返回 [Exchange 存取] 窗格。

6. 接下來，設定 Intune 內部部署 Exchange 連接器的設定。 在系統管理中心中，選取 [租用戶系統管理>Exchange 存取> Exchange ActiveSync 內部部署連接器]，然後選取您要設定之 Exchange 組織的連接器。

7. 針對 [使用者通知]，選取 [編輯 ] 以開啟 [ 編輯組織 ] 工作流程，您可以在其中修改 使用者通知 訊息。

   

   如果使用者的裝置不符合規範且想要存取 Exchange 內部部署，請修改傳送給使用者的預設電子郵件訊息。 訊息範本會使用標記語言。 您也可以在輸入訊息時看到訊息外觀的預覽

   選 取 [檢閱 + 儲存]，然後選取 [ 儲存 ] 以儲存您的編輯，以完成 Exchange 內部部署存取的設定。

   提示

   若要深入瞭解標記語言，請參閱這篇Wikipedia 文章。

8. 接下來，選取 [進階 Exchange ActiveSync 存取設定]，以開啟您設定裝置存取規則的 [進階 Exchange ActiveSync 存取設定] 工作流程。

   

   • 針對 [非受控裝置存取]，設定不受條件式存取或其他規則影響之裝置的全域默認存取規則：

     • 允許存取 - 所有裝置都可以立即存取 Exchange 內部部署。 屬於您在上一個程式中設定為包含之群組中用戶的裝置，如果稍後評估為不符合相容原則或未在 Intune 中註冊，則會遭到封鎖。

     • 封鎖存取 和 隔離 – 一開始會立即封鎖所有裝置存取 Exchange 內部部署。 屬於您在上一個程式中所設定之群組中用戶的裝置，會在裝置註冊 Intune后取得存取權，並評估為符合規範。

       執行 Samsung Knox Standard 的 Android 裝置支援此設定。 其他 Android 裝置不支援此設定，且一律會遭到封鎖。

   • 針對 [裝置平臺例外狀況]，選取 [ 新增]，然後視需要為您的環境指定詳細數據。

     如果 [ 非受控裝置存取] 設定設為 [ 已封鎖]，則即使有平臺例外狀況可加以封鎖，仍允許已註冊且符合規範的裝置。

9. 選取 [確定 ] 以儲存您的編輯。

10. 選 取 [檢閱 + 儲存]，然後選取 [ 儲存 ] 以儲存 Exchange 條件式存取原則。

後續步驟

接下來，建立合規性政策，並將它指派給使用者，讓 Intune 評估其行動裝置，請參閱開始使用裝置合規性。

在 Microsoft Intune 中 Intune 內部部署 Exchange 連接器的疑難解答