Ochrana přístupu k e-mailu na místním Exchangi a starším Exchangi Online Dedicated v Microsoft IntuneProtect email access to Exchange on-premises and legacy Exchange Online Dedicated with Intune

Platí pro: Intune v klasickém portáluApplies to: Intune in the classic portal
Hledáte dokumentaci o Intune na Azure Portalu?Looking for documentation about Intune in the Azure portal? Přejděte sem.Go here.

Pokud chcete řídit přístup k e-mailům v místním systému Exchange nebo ve starším prostředí Exchange Online Dedicated, můžete pomocí Microsoft Intune nakonfigurovat podmíněný přístup.You can configure conditional access control email access to Exchange on-premises or to legacy Exchange Online Dedicated by using Microsoft Intune. Další informace o tom, jak podmíněný přístup funguje, najdete v článku Ochrana přístupu k e-mailu a službám O365.To learn more about how conditional access works, read the Protect access to email and O365 services article.

Poznámka

Pokud máte vyhrazené prostředí Exchange Online a potřebujete zjistit, jestli má novou, nebo starší verzi konfigurace, obraťte se na správce svého účtu.If you have an Exchange Online Dedicated environment and need to find out whether it's in the new or the legacy configuration, contact your account manager.

Před zahájenímBefore you begin

Nezapomeňte ověřit následující nastavení:Make sure to verify the following:

  • Musíte mít Exchange 2010 nebo novější.Your Exchange version must be Exchange 2010 or later. Podporují se pole serveru pro klientský přístup (CAS) Exchange Serveru.Exchange Server Client Access Server (CAS) arrays are supported.

  • Musíte použít místní konektor Exchange pro Intune, který připojí Intune k místnímu systému Exchange.You must use the Intune on-premises Exchange connector, which connects Intune to Exchange on-premises. To vám umožní spravovat zařízení přes konzolu Intune.This lets you manage devices through the Intune console.

    • Místní konektor Exchange, který je dostupný v konzole Intune, je určený výhradně pro vašeho tenanta Intune a nedá se použít s žádným jiným tenantem.The on-premises Exchange connector that is available to you in the Intune console is specific to your Intune tenant and can't be used with any other tenant. Doporučujeme, abyste se také ujistili, že je konektor Exchange pro vašeho tenanta nainstalovaný jenom na jednom počítači.We recommend that you also ensure that the Exchange connector for your tenant is installed on only one machine.

      Konektor si můžete stáhnout z konzoly správce Intune.You can download the connector from the Intune admin console. Podrobný postup při konfiguraci místního konektoru Exchange najdete v článku o konfiguraci místního konektoru Exchange pro místní nebo hostovaný Exchange.For a walkthrough on how to configure the on-premises Exchange connector, see configure Exchange on-premises connector for on-premises or hosted Exchange.

    • Konektor můžete nainstalovat na každý počítač, který může komunikovat se serverem Exchange.You can install the connector on any machine as long as that machine can communicate with the Exchange server.

    • Tento konektor podporuje prostředí Exchange CAS.The connector supports the Exchange CAS environment. Technicky vzato můžete konektor nainstalovat přímo na server Exchange CAS.You can technically install the connector on the Exchange CAS server directly if you want to. Nedoporučujeme to však, protože to zvyšuje zatížení serveru.However, we don't recommend it because it increases the load on the server. Při konfiguraci je nutné konektor nastavit tak, aby komunikoval s jedním ze serverů Exchange CAS.When you configure the connector, you must set it up to communicate with one of the Exchange CAS servers.

  • Exchange ActiveSync je potřeba nakonfigurovat s ověřováním na základě certifikátů nebo se zadáváním přihlašovacích údajů uživateli.You must configure Exchange ActiveSync with certificate-based authentication or user credential entry.

Požadavky na dodržování předpisů zařízeníDevice compliance requirements

Když nakonfigurujete zásady podmíněného přístupu a jejich cílem je určitý uživatel, může se tento uživatel připojit k e-mailu teprve tehdy, když jeho zařízení splňuje tyto požadavky:When you configure conditional access policies and target them to a user, before a user can connect to their email, the device they use must be:

  • Je počítačem připojeným k doméně nebo zaregistrovaným v Intune.Either a domain-joined PC or enrolled with Intune.

  • Je zaregistrované v Azure Active Directory.Registered in Azure Active Directory. Kromě toho musí být ve službě Azure Active Directory zaregistrované ID protokolu Exchange ActiveSync klienta.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.

    Pro zákazníky s Intune a Office 365 se služba Azure Active Directory Device Registration aktivuje automaticky.The Azure Active Directory Device Registration service is activated automatically for Intune and Office 365 customers. Zákazníci, kteří už mají nasazenou službu ADFS Device Registration Service, registrovaná zařízení ve svojí místní službě Active Directory neuvidí.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory. To neplatí pro počítače s Windows ani zařízení Windows Phone.This does not apply to Windows PCs and Windows Phone devices.

  • Vyhovuje veškerým zásadám dodržování předpisů Intune, které jsou nasazené na toto zařízení.Compliant with any Intune compliance policies that are deployed to that device.

Jak podmíněný přístup funguje s místním systémem ExchangeHow conditional access works with Exchange on-premises

Následující diagram znázorňuje postup, který zásady podmíněného přístupu pro místní systém Exchange používají k vyhodnocení toho, jestli se mají zařízení povolit nebo blokovat.The following diagram illustrates the flow that conditional access policies for Exchange on-premises use to evaluate whether to allow or block devices.

Diagram zobrazující průběh rozhodování, jestli má zařízení povolený přístup k místnímu Exchangi, nebo je zablokované

Pokud se nedodrží zásady podmíněného přístupu, mezi zablokováním zařízení a přijetím jedné z následujících zpráv o karanténě uživatelem při přihlášení je 10minutová prodleva:If a conditional access policy isn't met, there is a 10 minute window between the device being blocked and the user receiving one of the following quarantine messages when they sign in:

  • Pokud není zařízení zaregistrované v Intune nebo v Azure Active Directory, zobrazí se zpráva s pokyny k instalaci aplikace Portál společnosti, registraci zařízení a aktivaci e-mailu.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Tento proces také přidruží ID protokolu Exchange ActiveSync zařízení k záznamu zařízení v Azure Active Directory.This process also associates the device’s Exchange ActiveSync ID with the device record in Azure Active Directory.

  • Pokud zařízení nedodržuje předpisy, zobrazí se zpráva, která uživatele přesměruje na web Portál společnosti Intune nebo na aplikaci Portál společnosti, kde může najít informace o problému a jeho řešení.If the device isn't compliant, a message is displayed that directs the user to the Intune Company Portal website or the Company Portal app, where they can find information about the problem and how to remediate it.

Podpora mobilních zařízeníSupport for mobile devices

Podporované systémy:The following are supported:

  • Windows Phone 8.1 a novějšíWindows Phone 8.1 and later.

  • Nativní e-mailová aplikace v iOSuThe native email app on iOS.

  • Poštovní klienti Exchange ActiveSync, například Gmail v Androidu 4 nebo novějšímExchange ActiveSync mail clients, such as Gmail on Android 4 or later.

  • Poštovní klienti Exchange ActiveSync na zařízeních s Androidem for Work: Na zařízeních s Androidem for Work se v pracovním profilu podporují jenom aplikace Gmail a Nine Work.Exchange ActiveSync mail clients on Android for Work devices: Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Aby v Androidu for Work fungoval podmíněný přístup, je nutné nasadit e-mailový profil pro aplikaci Gmail nebo Nine Work a zároveň tyto aplikace nasadit jako požadovanou instalaci.For conditional access to work with Android for Work, you must deploy an email profile for the Gmail or Nine Work app, and also deploy those apps as a required installation.

Poznámka

Aplikace Microsoft Outlook pro Android a iOSem se nepodporuje.The Microsoft Outlook app for Android and iOS isn't supported.

Podpora počítačůSupport for PCs

Podporovaná možnost:The following is supported:

  • Aplikace Pošta ve Windows 8.1 a novějších verzích (při registraci počítače v Intune)The Mail application on Windows 8.1 and later (when the PC is enrolled with Intune).

Konfigurace zásad podmíněného přístupuConfigure a conditional access policy

  1. V konzole pro správu Microsoft Intune vyberte Zásady > Podmíněný přístup > Zásady pro místní Exchange.In the Microsoft Intune administration console, choose Policy > Conditional Access > Exchange on-premises policy. IntuneSA5aSelectExchOnPremPolicyIntuneSA5aSelectExchOnPremPolicy

  2. Nakonfigurujte zásady pomocí vámi požadovaných nastavení: Snímek obrazovky se stránkou zásad místního systému ExchangeConfigure the policy with the settings that you require: Screenshot of the Exchange on-premises policy page

    • Blokovat e-mailovým aplikacím přístup k místnímu systému Exchange, pokud zařízení nevyhovuje nebo není zaregistrované v Microsoft Intune: Pokud vyberete tuto možnost, zařízení, která nespravuje Intune nebo která nevyhovují zásadám dodržování předpisů, budou mít zablokovaný přístup ke službám Exchange.Block email apps from accessing Exchange on-premises if the device isn't compliant or isn't enrolled with Microsoft Intune: When you select this option, devices that aren't managed by Intune or aren't compliant with a compliance policy are blocked from accessing Exchange services.

    • Přepis výchozího pravidla – Vždy povolit zaregistrovaným a kompatibilním aplikacím přístup k Exchange: Pokud vyberete tuto možnost, zařízení zaregistrovaná v Intune a splňující zásady dodržování předpisů budou moct získat přístup k Exchangi.Default rule override - Always allow enrolled and compliant devices to access Exchange: When you select this option, devices that are enrolled in Intune and are compliant with the compliance policies are allowed to access Exchange. Toto pravidlo přepíše Výchozí pravidlo. To znamená, že i když nastavíte Výchozí pravidlo na umístění do karantény nebo blokování přístupu, zaregistrovaná zařízení splňující předpisy budou mít pořád povolený přístup k Exchangi.This rule overrides the Default Rule, which means that even if you set the Default Rule to quarantine or block access, enrolled and compliant devices are still able to access Exchange.

    • Cílové skupiny: Vyberte skupiny uživatelů Intune, kteří musí zaregistrovat svoje zařízení v Intune předtím, než získají přístup k Exchangi.Targeted Groups: Select the Intune user groups that must enroll their device with Intune before they can access Exchange.

    • Vyloučené skupiny: Vyberte skupiny uživatelů Intune, které jsou ze zásad podmíněného přístupu vyloučené.Exempted Groups: Select the Intune user groups that are exempt from the conditional access policy. Uživatelé v tomto seznamu budou vyloučení, i když jsou zároveň uvedení i v seznamu Cílové skupiny.Users in this list are exempt even if they're also in the Targeted Groups list.

    • Výjimky platforem: Vyberte Přidat pravidlo a nakonfigurujte pravidlo, které bude definovat úrovně přístupu pro zadané řady a modely mobilních zařízení.Platform Exceptions: Choose Add Rule to configure a rule that defines access levels for specified mobile device families and models. Vzhledem k tomu, že tato zařízení můžou být jakéhokoli typu, můžete nakonfigurovat také typy zařízení, které Intune nepodporuje.Because these devices can be of any type, you can also configure device types that aren't supported by Intune.

    • Výchozí pravidlo: U zařízení, pro které neplatí žádné z ostatních pravidel, můžete zvolit, aby mělo přístup k Exchangi, můžete ho blokovat nebo umístit do karantény.Default Rule: For a device that isn't covered by any of the other rules, you can choose to allow it to access Exchange, block it, or quarantine it. Pokud nastavíte pravidlo, kterým povolíte přístup pro zaregistrovaná zařízení splňující předpisy, automaticky se udělí přístup k e-mailům pro zařízení se systémy iOS, Windows a řešením Samsung KNOX.When you set the rule to allow access, for devices that are enrolled and compliant, email access is granted automatically for iOS, Windows, and Samsung KNOX devices. Uživatel získá přístup k e-mailům a nemusí kvůli tomu provádět žádné kroky.The user doesn't have to go through any process to get their email.

      • U zařízení s Androidem, která nepoužívají řešení Samsung KNOX, dostanou uživatelé e-mail s informací o karanténě, který bude obsahovat návod k ověření registrace a dodržování předpisů. K e-mailům získají přístup až po tomto ověření.On Android devices that don't run Samsung KNOX, users get a quarantine email, which includes a guided walkthrough to verify enrollment and compliance before they can access email. Pokud nastavíte pravidlo na blokování přístupu nebo umístění zařízení do karantény, budou mít všechna zařízení zablokovaný přístup k Exchangi bez ohledu na to, jestli jsou už zaregistrovaná v Intune.If you set the rule to block access or quarantine devices, all devices are blocked from getting access to Exchange, regardless of whether they're already enrolled in Intune or not. Pokud nechcete, aby toto pravidlo platilo pro zaregistrovaná zařízení splňující předpisy, zaškrtněte políčko Přepis výchozího pravidla.To prevent enrolled and compliant devices from being affected by this rule, check the Default Rule Override box. >[!TIP] >Pokud chcete před udělením přístupu k e-mailům nejdřív zablokovat všechna zařízení, vyberte pravidlo Blokovat přístup nebo pravidlo Umístit do karantény.If your intention is to first block all devices before granting access to email, choose the Block access rule or the Quarantine rule. Výchozí pravidlo se použije na všechny typy zařízení, což ovlivní také typy zařízení nakonfigurované jako výjimky platforem, které Intune nepodporuje.The default rule applies to all device types—so device types that you configure as platform exceptions that aren't supported by Intune are also affected.
    • Oznámení uživateli: Kromě e-mailu s oznámením odeslaného z Exchange odešle Intune e-mail, který obsahuje postup pro odblokování zařízení.User Notification: In addition to the notification email that Exchange sends, Intune sends an email that contains steps to unblock the device. Výchozí zprávu můžete upravit a přizpůsobit svým potřebám.You can edit the default message to customize it to your needs. Pokud se zařízení uživatele před obdržením e-mailu s oznámením Intune obsahujícím pokyny k nápravě zablokuje (tento e-mail se doručuje do poštovní schránky Exchange uživatele), může uživatel použít pro přístup k Exchangi a zobrazení zprávy odblokované zařízení nebo jinou metodu.In the event that the user’s device is blocked before they receive the Intune notification email that contains remediation instructions (this email is delivered to the user’s Exchange mailbox), they can use an unblocked device or another method to access Exchange and view the message.

      • To platí hlavně v případě, že je Výchozí pravidlo nastavené na blokování nebo umístění do karantény.This is especially true when the Default Rule is set to block or quarantine. V takovém případě musí uživatel přejít na web App Store, stáhnout aplikaci Portál společnosti od Microsoftu a zaregistrovat si zařízení.In this case, the user has to go to their app store, download the Microsoft Company Portal app, and enroll their device. To se vztahuje na zařízení se systémy iOS, Windows a řešením Samsung KNOX.This is applicable to iOS, Windows, and Samsung KNOX devices. U zařízení nepoužívajících standard Samsung KNOX musíte odeslat e-mail z karantény na alternativní e-mailový účet.For devices that don't run Samsung KNOX, you need to send the quarantine email to an alternate email account. Uživatel ho musí zkopírovat na své blokované zařízení a dokončit tak proces registrace a dodržování předpisů.The user has to copy the email to their blocked device to complete the enrollment and compliance process. > [!NOTE] > Aby systém Exchange mohl e-mail s oznámením odeslat, musíte určit účet, který se má k odeslání e-mailu s oznámením použít.In order for Exchange to be able to send the notification email, you must specify the account that is used to send the notification email. > > Podrobnosti najdete v článku o konfiguraci místního konektoru Exchange pro místní nebo hostovaný Exchange.For details, see Configure Exchange on-premises connector for on-premises or hosted Exchange.
  3. Po dokončení vyberte Uložit.When you're done, choose Save.

  • Zásady podmíněného přístupu nemusíte nasazovat, projeví se okamžitě.You don't have to deploy the conditional access policy—it takes effect immediately.

  • Jakmile uživatel nastaví profil Exchange ActiveSync, může trvat jednu až tři hodiny, než se zařízení zablokuje (pokud ho nespravuje Intune).After a user sets up an Exchange ActiveSync profile, it might take from one to three hours for the device to be blocked (if it isn't managed by Intune).

  • Pokud pak blokovaný uživatel zařízení zaregistruje do Intune a zajistí dodržování předpisů, odblokuje se přístup k e-mailu během dvou minut.If a blocked user then enrolls the device with Intune and remediates noncompliance, email access will be unblocked within two minutes.

  • Pokud uživatel zruší registraci v Intune, může trvat jednu až tři hodiny, než se zařízení zablokuje.If the user unenrolls from Intune, it might take from one to three hours for the device to be blocked.

Pokud se chcete podívat na nějaké ukázkové scénáře konfigurace zásad podmíněného přístupu, kterými se dá přístup pro zařízení chránit, prohlédněte si Ukázkové scénáře ochrany přístupu k e-mailu.To see some example scenarios of how you would configure a conditional access policy to protect device access, see Protect email access example scenarios.

Další krokyNext steps