Konfigurieren des lokalen Exchange-Zugriffs für IntuneConfigure Exchange on-premises access for Intune

In diesem Artikel wird erläutert, wie Sie den bedingten Zugriff für Exchange lokal basierend auf der Gerätekonformität konfigurieren.This article shows you how to configure Conditional Access for Exchange on-premises based on device compliance.

Wenn Sie über eine Exchange Online Dedicated-Umgebung verfügen und herausfinden müssen, ob es sich um die neue oder die ältere Konfiguration handelt, wenden Sie sich an Ihren Kundenbetreuer.If you have an Exchange Online Dedicated environment and need to find out whether it is in the new or the legacy configuration, contact your account manager. Um den E-Mail-Zugriff auf Exchange lokal oder Ihre ältere Exchange Online Dedicated-Umgebung zu steuern, konfigurieren Sie den bedingten Zugriff für Exchange lokal in Intune.To control email access to Exchange on-premises or to your legacy Exchange Online Dedicated environment, configure Conditional Access to Exchange on-premises in Intune.

VorbereitungBefore you begin

Bevor Sie den bedingten Zugriff konfigurieren, überprüfen Sie, ob folgende Konfigurationen vorhanden sind:Before you can configure Conditional Access, verify the following configurations exist:

  • Bei Ihrer Exchange-Version handelt es sich um Exchange 2010 SP3 oder höher.Your Exchange version is Exchange 2010 SP3 or later. Exchange Server-Clientzugriffsserver-Arrays werden unterstützt.Exchange server Client Access Server (CAS) array is supported.

  • Der Exchange Active Sync-Connector für Exchange lokal, der Intune mit Exchange lokal verbindet, ist installiert und wird verwendet.You have installed and use the Exchange ActiveSync on-premises Exchange connector, which connects Intune to on-premises Exchange.

    Wichtig

    Intune unterstützt mehrere lokale Exchange Connectors pro Abonnement.Intune supports multiple on-premises Exchange connectors per subscription. Jeder Connector für Exchange lokal gilt spezifisch für einen bestimmten Intune-Mandanten und kann für keinen anderen Mandanten verwendet werden.However, each on-premises Exchange connector is specific to a single Intune tenant and cannot be used with any other tenant. Wenn Sie über mehr als eine lokale Exchange-Organisation verfügen, können Sie einen separaten Connector für jede Exchange-Organisation einrichten.If you have more than one on-premises Exchange organization, you can set up a separate connector for each Exchange organization.

  • Der Connector für eine Organisation mir Exchange lokal kann auf jedem Computer installiert werden, solange dieser Computer mit dem Exchange-Server kommunizieren kann.The connector for an on-premises Exchange organization can install on any machine as long as that machine can communicate with the Exchange server.

  • Der Connector unterstützt die Exchange-Clientzugriffsserver-Umgebung.The connector supports Exchange CAS environment. Intune unterstützt die direkte Installation des Connector auf dem Exchange-Clientzugriffsserver.Intune supports installing the connector on the Exchange CAS server directly. Es wird empfohlen, die Installation auf einem separaten Computer durchzuführen, da der Connector den Server zusätzlich belastet.We recommend you install it on a separate computer because of the additional load the connector puts on the server. Sie müssen den Connector so konfigurieren, dass er mit einem der Exchange-Clientzugriffsserver kommuniziert.When configuring the connector, you must set it up to communicate to one of the Exchange CAS servers.

  • Exchange ActiveSync muss für die zertifikatbasierte Authentifizierung oder die Eingabe von Anmeldeinformationen durch Benutzer konfiguriert werden.Exchange ActiveSync must be configured with certificate-based authentication, or user credential entry.

  • Wenn Richtlinien für bedingten Zugriff konfiguriert und auf einen Benutzer angewendet wurden, muss das Gerät, das der Benutzer zum Abrufen von E-Mails verwendet, folgende Voraussetzungen erfüllen:When Conditional Access policies are configured and targeted to a user, before a user can connect to their email, the device they use must be:

    • Es muss bei Intune registriert sein oder sich um einen in die Domäne eingebundenen PC handeln.Either enrolled with Intune or is a domain joined PC.
    • Es muss in Azure Active Directory registriert sein.Registered in Azure Active Directory. Darüber hinaus muss die Exchange ActiveSync-ID des Clients in Azure Active Directory registriert sein.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.
  • Der Azure AD Device Registration-Dienst wird automatisch für Intune und Office 365-Kunden aktiviert.Azure AD Device Registration Service (DRS) is activated automatically for Intune and Office 365 customers. Kunden, die den AD FS Device Registration Service bereitgestellt haben, sehen keine registrierten Geräte in ihrem lokalen Active Directory.Customers who have already deployed the ADFS Device Registration Service don't see registered devices in their on-premises Active Directory. Dies gilt nicht für Windows-PCs und Windows Phone-Geräte.This does not apply to Windows PCs and Windows Phone devices.

  • Es besteht Konformität mit allen für das Gerät festgelegten Konformitätsrichtlinien.Compliant with device compliance policies deployed to that device.

  • Wenn das Gerät die Einstellungen für den bedingten Zugriff nicht erfüllt, erhält der Benutzer bei der Anmeldung eine der folgenden Meldungen:If the device doesn't meet Conditional Access settings, the user is presented with one of the following messages when they sign in:

    • Wenn das Gerät nicht bei Intune oder in Azure Active Directory registriert ist, wird eine Meldung mit Anweisungen zum Installieren der Unternehmensportal-App, zum Registrieren des Geräts und zum Aktivieren des E-Mail-Zugriffs angezeigt.If the device isn't enrolled with Intune, or isn't registered in Azure Active Directory, a message displays with instructions about how to install the Company Portal app, enroll the device, and activate email. Dieser Prozess verknüpft auch die Exchange ActiveSync-ID mit dem Eintrag des Geräts in Azure Active Directory.This process also associates the device's Exchange ActiveSync ID with the device record in Azure Active Directory.
    • Wenn das Gerät nicht konform ist, wird eine Meldung angezeigt, die den Benutzer zur Website des Intune-Unternehmensportals oder zur Unternehmensportal-App führt.If the device isn't compliant, a message displays that directs the user to the Intune Company Portal website, or the Company Portal app. Im Unternehmensportal finden die Benutzer Informationen über das Problem und dessen Behebung.From the company portal, they can find information about the problem and how to remediate it.

Unterstützung für mobile GeräteSupport for mobile devices

  • Windows Phone 8.1 und höher: Informationen zum Erstellen einer Richtlinie für bedingten Zugriff finden Sie unter Erstellen von Richtlinien für bedingten Zugriff.Windows Phone 8.1 and later - To create Conditional Access policy, see Create Conditional Access policies

  • Native E-Mail-App unter iOS/iPadOS: Informationen zum Erstellen einer Richtlinie für bedingten Zugriff finden Sie unter Erstellen von Richtlinien für bedingten Zugriff.Native email app on iOS/iPadOS - To create Conditional Access policy, see Create Conditional Access policies

  • EAS-E-Mail-Clients wie Gmail unter Android 4 oder höher: Informationen zum Erstellen einer Richtlinie für bedingten Zugriff finden Sie unter Erstellen von Richtlinien für bedingten Zugriff.EAS mail clients such as Gmail on Android 4 or later - To create Conditional Access policy, see Create Conditional Access policies

  • EAS-E-Mail-Clients unter Android-Geräteadministrator: Informationen zum Erstellen einer Richtlinie für bedingten Zugriff finden Sie unter Erstellen von Richtlinien für bedingten Zugriff.EAS mail clients on Android device administrator - To create Conditional Access policy, see Create Conditional Access policies

  • EAS-E-Mail-Clients auf Android-Arbeitsprofilgeräten: Auf Android-Arbeitsprofilgeräten werden nur Gmail und Nine Work for Android Enterprise unterstützt.EAS mail clients on Android work profile devices - Only Gmail and Nine Work for Android Enterprise are supported on Android work profile devices. Damit der bedingte Zugriff mit Android-Arbeitsprofilen funktioniert, müssen Sie ein E-Mail-Profil für die Gmail- oder Nine Work for Android Enterprise-App erstellen und diese Apps als erforderliche Installation bereitstellen.For Conditional Access to work with Android work profiles, you must deploy an email profile for the Gmail or Nine Work for Android Enterprise app, and also deploy those apps as a required installation. Nachdem Sie die App bereitgestellt haben, können Sie den gerätebasierten bedingten Zugriff einrichten.After you deploy the app you can set up device-based Conditional Access.

So richten Sie den bedingten Zugriff für Android-Arbeitsprofilgeräten einTo set up Conditional Access for Android work profile devices

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.Sign in to the Microsoft Endpoint Manager admin center.

  2. Stellen Sie die Gmail- oder Nine Work-App als erforderlich bereit.Deploy the Gmail or Nine Work app as Required.

  3. Klicken Sie auf Geräte > Konfigurationsprofile > Profil erstellen, und geben Sie einen Namen und eine Beschreibung für das Profil ein.Select Devices > Configuration profiles > Create profile, enter Name and Description for the profile.

  4. Wählen Sie Android Enterprise unter Plattform und E-Mail unter Profiltyp aus.Select Android enterprise in Platform, select Email in Profile type.

  5. Konfigurieren Sie die E-Mail-Profileinstellungen.Configure the email profile settings.

  6. Wenn Sie fertig sind, wählen Sie OK > Erstellen aus, um Ihre Änderungen zu speichern.When you're done, select OK > Create to save your changes.

  7. Nachdem Sie das E-Mail-Profil erstellt haben, können Sie es zu Gruppen zuweisen.After you create the email profile, assign it to groups.

  8. Richten Sie den gerätebasierten bedingten Zugriff ein.Set up device-based conditional access.

Hinweis

Microsoft Outlook für Android und iOS/iPadOS wird nicht über den lokalen Exchange-Connector unterstützt.Microsoft Outlook for Android and iOS/iPadOS is not supported via the Exchange on-premises connector. Wenn Sie Richtlinien für den bedingten Azure Active Directory-Zugriff und Intune-App-Schutzrichtlinien mit Outlook für iOS/iPadOS und Android für Ihre lokale Postfächer nutzen möchten, lesen Sie Verwendung der modernen Hybridauthentifizierung mit Outlook für iOS und Android.If you want to leverage Azure Active Directory Conditional Access policies and Intune App Protection Policies with Outlook for iOS/iPadOS and Android for your on-premises mailboxes, please see Using hybrid Modern Authentication with Outlook for iOS/iPadOS and Android.

Unterstützung für PCsSupport for PCs

Die native E-Mail-Anwendung unter Windows 8.1 und höher (bei Registrierung bei MDM mit Intune)The native Mail application on Windows 8.1 and later (when enrolled into MDM with Intune)

Konfigurieren des Zugriffs auf Exchange lokalConfigure Exchange on-premises access

Bevor Sie das folgende Verfahren zum Einrichten der Zugriffssteuerung für Exchange lokal ausführen können, müssen Sie mindestens einen Intune-Connector für Exchange lokal einrichten.Before you can use the following procedure to set up Exchange on-premises access control, you must install and configure at least one Intune on-premises Exchange connector for Exchange on-premises.

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.Sign in to the Microsoft Endpoint Manager admin center.

  2. Wechseln Sie zu Mandantenverwaltung > Exchange-Zugriff, und wählen Sie dann Zugriff auf Exchange lokal aus.Go to Tenant administration > Exchange access, and then select Exchange On-premises access.

  3. Klicken Sie im Bereich Zugriff auf Exchange lokal auf die Option Ja, um die Zugriffssteuerung von Exchange lokal zu aktivieren.On the Exchange on-premises access pane, choose Yes to Enable Exchange on-premises access control.

    Beispielscreenshot des Exchange-Bildschirms für lokalen ZugriffExample screenshot of the Exchange on-premises access screen

  4. Klicken Sie unter Zuweisung auf Wählen Sie die Gruppen aus, die eingeschlossen werden sollen, und wählen Sie mindestens eine Gruppe aus, um den Zugriff zu konfigurieren.Under Assignment, choose Select groups to include, and then select one or more groups to configure access.

    Die Richtlinie für bedingten Zugriff für Exchange lokal wird auf die Mitglieder der von Ihnen ausgewählten Gruppen angewendet.Members of the groups you select have the Conditional Access policy for Exchange on-premises access applied to them. Benutzer, die diese Richtlinie erhalten, müssen ihre Geräte bei Intune registrieren und die Anforderungen der Konformitätsprofile erfüllen, bevor sie auf Exchange lokal zugreifen können.Users who receive this policy must enroll their devices in Intune and be compliant with the compliance profiles before they can access Exchange on-premises.

    Auswählen der Gruppen, die eingeschlossen werden sollenSelect groups to include

  5. Um Gruppen auszuschließen, klicken Sie auf Wählen Sie die Gruppen aus, die ausgeschlossen werden sollen, und wählen Sie mindestens eine Gruppe aus, die für den Zugriff auf Exchange lokal von den Anforderungen zum Registrieren von Geräten und Einhalten der Konformitätsprofile ausgenommen werden sollen.To exclude groups, choose Select groups to exclude, and then select one or more groups that are exempt from requirements to enroll devices and to be compliant with the compliance profiles before accessing Exchange on-premises.

    Wählen Sie Speichern aus, um die Konfiguration zu speichern, und kehren Sie zum Bereich Exchange-Zugriff zurück.Select Save to save your configuration, and return to the Exchange access pane.

  6. Als Nächstes konfigurieren Sie Einstellungen für den Intune-Connector für Exchange lokal.Next, configure settings for the Intune on-premises Exchange connector. Wählen Sie in der Konsole Mandantenverwaltung > Exchange-Zugriff> Lokaler Connector für Exchange ActiveSync und dann den Connector für die Exchange-Organisation aus, den Sie konfigurieren möchten.In the console, select Tenant administration > Exchange Access> Exchange ActiveSync on-premises connector and then select the connector for the Exchange organization that you want to configure.

  7. Wählen Sie für Benutzerbenachrichtigungen die Option Bearbeiten aus, um den Workflow Organisation bearbeiten zu öffnen, in dem Sie die Benutzerbenachrichtigung-Meldung ändern können.For User notifications, select Edit to open the Edit Organization workflow where you can modify the User notification message.

    Beispielscreenshot des Workflows „Organisation bearbeiten“ für BenachrichtigungenExample screenshot of the Edit Organization workflow for notifications

    Ändern Sie die Standard-E-Mail-Nachricht, die an Benutzer gesendet wird, wenn diese lokal auf Exchange zugreifen möchten, ihre Geräte aber nicht konform sind.Modify the default email message that's sent to users if their device isn't compliant and they want to access Exchange on-premises. Die Nachrichtenvorlage verwendet Markupsprache.The message template uses Markup language. Sie sehen während der Eingabe auch eine Vorschau der Nachricht.You can also see the preview of how the message looks as you type

    Wählen Sie Überprüfen und speichern und dann Speichern aus, um Ihre Änderungen zu speichern und die Konfiguration des lokalen Zugriffs auf Exchange abzuschließen.Select Review + save, and then Save to save your edits to complete configuration of Exchange on-premises access.

    Tipp

    Weitere Informationen zur Markupsprache finden Sie in diesem Wikipedia-Artikel.To learn more about Markup language see this Wikipedia article.

  8. Wählen Sie als Nächstes Erweiterte Einstellungen für den Zugriff auf Exchange Active Sync aus, um den Workflow Erweiterte Einstellungen für den Zugriff auf Exchange Active Sync zu öffnen, in dem Sie Regeln für den Gerätezugriff konfigurieren.Next, select Advanced Exchange ActiveSync access settings to open the Advanced Exchange ActiveSync access settings workflow where you configure device access rules.

    Beispielscreenshot des Workflows „Organisation bearbeiten“ für erweiterte EinstellungenExample screenshot of the Edit Organization workflow for advanced settings

    • Legen Sie unter Zugriff nicht verwalteter Geräte die globale Standardregel für den Zugriff von Geräten fest, für die die Regeln für bedingten Zugriff oder andere Regeln nicht gelten:For Unmanaged device access, set the global default rule for access from devices that are not affected by Conditional Access or other rules:

      • Zugriff zulassen: Alle Geräte können sofort auf Exchange lokal zugreifen.Allow access - All devices can access Exchange on-premises immediately. Geräte von Benutzern in Gruppen, die Sie im vorherigen Verfahren als „eingeschlossen“ konfiguriert haben, werden blockiert, wenn sie später als „nicht konform mit den Konformitätsrichtlinien“ oder „nicht in Intune registriert“ ausgewertet werden.Devices that belong to the users in the groups you configured as included in the previous procedure are blocked if they're later evaluated as not compliant with the compliant policies or not enrolled in Intune.

      • Zugriff blockieren und Quarantäne: Der Zugriff auf Exchange lokal wird sofort für alle Geräte blockiert.Block access and Quarantine – All devices are immediately blocked from accessing Exchange on-premises initially. Geräte von Benutzern in Gruppen, die Sie im vorherigen Verfahren als „eingeschlossen“ konfiguriert haben, erhalten Zugriff, nachdem die Geräte in Intune registriert und als konform ausgewertet wurden.Devices that belong to users in the groups you configured as included in the previous procedure get access after the device enrolls in Intune and is evaluated as compliant.

        Android-Geräte ohne Samsung-Knox-Standard unterstützen diese Einstellung nicht und werden immer blockiert.Android devices that do not run Samsung Knox standard don't support this setting and are always blocked.

    • Wählen Sie bei Geräteplattformausnahmen die Option Hinzufügen aus, und geben Sie die für Ihre Umgebung erforderlichen Informationen an.For Device platform exceptions, select Add, and then specify details as needed for your environment.

      Wenn die Einstellung Zugriff nicht verwalteter Geräte auf blockiert festgelegt ist, erhalten Geräte, die registriert und konform sind, auch dann Zugriff, wenn eine Plattformausnahme diesen blockieren würde.If the Unmanaged device access setting is set to Blocked, devices that are enrolled and compliant are allowed even if there's a platform exception to block them.

  9. Klicken Sie auf OK, um Ihre Änderungen zu speichern.Select OK to save your edits.

  10. Wählen Sie Überprüfen und speichern und dann Speichern aus, um die Richtlinie für bedingten Zugriff auf Exchange zu speichern.Select Review + save, and then Save to save the Exchange Conditional Access policy.

Nächste SchritteNext steps

Als Nächstes erstellen Sie eine Konformitätsrichtlinie und weisen diese den Benutzern in Intune zu, um ihre mobilen Geräte auszuwerten. Siehe Erste Schritte mit der Gerätekonformität.Next, create a compliance policy and assign it to the users for Intune to evaluate their mobile devices, See Get started with device compliance.

Problembehandlung für den Intune-Connector für Exchange lokal in Microsoft IntuneTroubleshooting Intune on-premises Exchange connector in Microsoft Intune