A helyszíni Exchange-hez és az örökölt dedikált Exchange Online-hoz való e-mail-hozzáférés védelme az Intune használatávalProtect email access to Exchange on-premises and legacy Exchange Online Dedicated with Intune

A következőkre vonatkozik: Intune a klasszikus konzolonApplies to: Intune in the classic console
Az Azure-on található Intune-ról keres dokumentációt?Looking for documentation about Intune on Azure? Lépjen tovább ide.Go here.

A helyszíni Exchange-hez vagy az örökölt dedikált Exchange Online környezethez való e-mail-hozzáférés szabályozásához a Microsoft Intune-nal konfigurálhatja a feltételes hozzáférést.You can configure conditional access control email access to Exchange on-premises or to legacy Exchange Online Dedicated by using Microsoft Intune. Ha szeretné jobban megismerni a feltételes hozzáférés működését, olvassa el Az e-mailek és az O365-szolgáltatások elérésének védelme című cikket.To learn more about how conditional access works, read the Protect access to email and O365 services article.

Megjegyzés

Ha dedikált Exchange Online-környezettel rendelkezik, és szeretné tudni, hogy az új vagy az örökölt konfiguráció tartozik-e hozzá, lépjen kapcsolatba a fiókkezelővel.If you have an Exchange Online Dedicated environment and need to find out whether it's in the new or the legacy configuration, contact your account manager.

ElőkészületekBefore you begin

Mindenképpen ellenőrizze a következőket:Make sure to verify the following:

  • Az Exchange esetében Exchange 2010-es vagy újabb verzió szükséges.Your Exchange version must be Exchange 2010 or later. Az Exchange-kiszolgáló ügyfélelérési kiszolgálótömbjei (CAS) támogatottak.Exchange Server Client Access Server (CAS) arrays are supported.

  • Az Intune helyszíni Exchange összekötőjét kell használnia, amely összeköti az Intune-t és a helyszíni Exchange-et.You must use the Intune on-premises Exchange connector, which connects Intune to Exchange on-premises. Ez lehetővé teszi az eszközök kezelését az Intune-konzolon keresztül.This lets you manage devices through the Intune console.

    • Az Intune-konzolon elérhető helyszíni Exchange-összekötő az adott Intune-bérlőhöz tartozik, és semmilyen más bérlővel nem használható.The on-premises Exchange connector that is available to you in the Intune console is specific to your Intune tenant and can't be used with any other tenant. Gondoskodjon róla, hogy bérlője Exchange-összekötője csak egy számítógépen legyen telepítve.We recommend that you also ensure that the Exchange connector for your tenant is installed on only one machine.

      Az összekötőt letöltheti az Intune felügyeleti konzoljáról.You can download the connector from the Intune admin console. A helyszíni Exchange-összekötő konfigurálásával kapcsolatos általános bemutató: Az Exchange helyszíni összekötő konfigurálása helyszíni vagy üzemeltetett Exchange használatához.For a walkthrough on how to configure the on-premises Exchange connector, see configure Exchange on-premises connector for on-premises or hosted Exchange.

    • Az összekötő bármely gépen telepíthető, amennyiben az képes az Exchange-kiszolgálóval való kommunikációra.You can install the connector on any machine as long as that machine can communicate with the Exchange server.

    • Ez az összekötő támogatja az Exchange CAS-környezetet.The connector supports the Exchange CAS environment. Az összekötőt elvileg közvetlenül az Exchange CAS-kiszolgálón is telepítheti.You can technically install the connector on the Exchange CAS server directly if you want to. Ez azonban nem ajánlott, mivel megnöveli a kiszolgáló terheltségét.However, we don't recommend it because it increases the load on the server. Az összekötőt úgy kell konfigurálni, hogy az kommunikáljon az Exchange CAS-kiszolgálók valamelyikével.When you configure the connector, you must set it up to communicate with one of the Exchange CAS servers.

  • Az Exchange ActiveSync tanúsítványalapú hitelesítéssel vagy felhasználó által megadott hitelesítő adatokkal konfigurálandó.You must configure Exchange ActiveSync with certificate-based authentication or user credential entry.

Eszközmegfelelőségi követelményekDevice compliance requirements

Ha feltételes hozzáférési szabályzatokat konfigurál és rendel hozzá felhasználókhoz, a felhasználók csak akkor csatlakozhatnak az e-mail-fiókjukhoz, ha a használt eszköz megfelel az alábbi feltételeknek:When you configure conditional access policies and target them to a user, before a user can connect to their email, the device they use must be:

  • Az Intune-ban regisztrált, vagy egy tartományhoz csatlakozó számítógépnek kell lennie.Either a domain-joined PC or enrolled with Intune.

  • Regisztrálva van az Azure Active Directoryban.Registered in Azure Active Directory. Ezenkívül az ügyfél Exchange ActiveSync-azonosítójának regisztrálva kell lennie az Azure Active Directoryban.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.

    Az Azure Active Directory eszközregisztrációs szolgáltatása automatikusan aktiválódik az Intune-t és az Office 365-öt használó ügyfelek számára.The Azure Active Directory Device Registration service is activated automatically for Intune and Office 365 customers. Azok az ügyfelek, akik már telepítették az ADFS eszközregisztrációs szolgáltatását, nem fogják látni a regisztrált eszközöket a helyszíni Active Directoryban.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory. Ez nem érvényes a Windows rendszerű számítógépekre és a Windows Phone-eszközökre.This does not apply to Windows PCs and Windows Phone devices.

  • Meg kell felelnie az eszközön telepített összes Intune-os megfelelőségi szabályzatnak.Compliant with any Intune compliance policies that are deployed to that device.

A helyszíni Exchange és a feltételes hozzáférés működéseHow conditional access works with Exchange on-premises

A következő diagram azt a folyamatot mutatja be, amelyet a helyszíni Exchange-környezet feltételes hozzáférési szabályzatai használnak annak kiértékeléséhez, hogy engedélyezzék vagy letiltsák-e az eszközöket.The following diagram illustrates the flow that conditional access policies for Exchange on-premises use to evaluate whether to allow or block devices.

Azon döntési pontokat bemutató diagram, amelyek segítségével a rendszer eldönti, hogy az eszköz hozzáférhessen-e a helyszíni Exchange-hez

Ha egy feltételes hozzáférési szabályzat nem teljesül, egy 10 perces időkeret áll rendelkezésre az eszköz blokkolása és aközött, hogy a felhasználó bejelentkezésekor az alábbi karanténüzenetek egyike jelenik meg:If a conditional access policy isn't met, there is a 10 minute window between the device being blocked and the user receiving one of the following quarantine messages when they sign in:

  • Ha az eszköz nincs regisztrálva az Intune-ban vagy az Azure Active Directoryban, megjelenik egy üzenet, amely leírja, hogyan kell telepíteni a Vállalati portál alkalmazást, regisztrálni az eszközt és aktiválni az e-mailt.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Ez a folyamat hozzárendeli az eszköz Exchange ActiveSync-azonosítóját is az Azure Active Directoryban lévő eszközrekordhoz.This process also associates the device’s Exchange ActiveSync ID with the device record in Azure Active Directory.

  • Ha az eszköz nem felel meg a feltételeknek, egy üzenet jelenik meg, amely a felhasználót az Intune Munkahelyi portál webhelyére vagy a Munkahelyi portál alkalmazásba irányítja, ahol további információt talál a problémáról és megoldásáról.If the device isn't compliant, a message is displayed that directs the user to the Intune Company Portal website or the Company Portal app, where they can find information about the problem and how to remediate it.

A mobileszközök támogatásaSupport for mobile devices

A következők támogatottak:The following are supported:

  • Windows Phone 8.1 és újabb verziók.Windows Phone 8.1 and later.

  • Natív e-mail-alkalmazás iOS rendszerű eszközökön.The native email app on iOS.

  • Exchange ActiveSync-alapú levelezési ügyfélprogramok, mint például a Gmail az Android 4-es vagy újabb verzióiban.Exchange ActiveSync mail clients, such as Gmail on Android 4 or later.

  • Exchange ActiveSync-alapú levelezési ügyfélprogramok Android for Work eszközökön: a munka profilban csak a Gmail és a Nine Work alkalmazás támogatott Android for Work-eszközökön.Exchange ActiveSync mail clients on Android for Work devices: Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Ahhoz, hogy a feltételes hozzáférés működjön Android for Work rendszerű eszközökön, telepíteni kell egy e-mail-profit a Gmail vagy a Nine Work alkalmazáshoz, és ezeket az alkalmazásokat kötelező telepítésként kell telepíteni.For conditional access to work with Android for Work, you must deploy an email profile for the Gmail or Nine Work app, and also deploy those apps as a required installation.
Megjegyzés

A Microsoft Outlook alkalmazás Android- és iOS-verziója nem támogatott.The Microsoft Outlook app for Android and iOS isn't supported.

Számítógépek támogatásaSupport for PCs

A következők támogatottak:The following is supported:

  • A Posta alkalmazás a Windows 8.1-es és újabb verzióiban (ha számítógép az Intune-ban regisztrálva van).The Mail application on Windows 8.1 and later (when the PC is enrolled with Intune).

Feltételes hozzáférési házirend konfigurálásaConfigure a conditional access policy

  1. A Microsoft Intune felügyeleti konzoljában válassza a Házirend > Feltételes hozzáférés > Helyszíni Exchange-házirend elemet.In the Microsoft Intune administration console, choose Policy > Conditional Access > Exchange on-premises policy. IntuneSA5aSelectExchOnPremPolicyIntuneSA5aSelectExchOnPremPolicy

  2. Konfigurálja a szabályzatot a szükséges beállításokkal: Képernyőkép a helyszíni Exchange-szabályzatrólConfigure the policy with the settings that you require: Screenshot of the Exchange on-premises policy page

    • A helyi Exchange-hez való hozzáférés letiltása a levelezőalkalmazásoknak, ha az eszköz nem kompatibilis vagy nincs regisztrálva a Microsoft Intune-ban: Ha bejelöli ezt a beállítást, akkor blokkolva lesz a nem az Intune által felügyelt vagy a megfelelőségi szabályzatoknak nem megfelelő eszközök hozzáférése az Exchange-szolgáltatásokhoz.Block email apps from accessing Exchange on-premises if the device isn't compliant or isn't enrolled with Microsoft Intune: When you select this option, devices that aren't managed by Intune or aren't compliant with a compliance policy are blocked from accessing Exchange services.

    • Alapértelmezett szabály felülbírálása – A regisztrált és megfelelő eszközök mindig hozzáférhetnek az Exchange-hez: Ha ezt beállítást választja, az Intune-ban regisztrált azon eszközök, amelyek eleget tesznek a megfelelőségi szabályzatoknak, hozzáférhetnek az Exchange-hez.Default rule override - Always allow enrolled and compliant devices to access Exchange: When you select this option, devices that are enrolled in Intune and are compliant with the compliance policies are allowed to access Exchange. Ez a szabály felülírja az alapértelmezett szabályt. Ha tehát az alapértelmezett szabály úgy van beállítva, hogy blokkolja a hozzáférést, a megfelelőnek minősülő regisztrált eszközök továbbra is hozzáférhetnek az Exchange-hez.This rule overrides the Default Rule, which means that even if you set the Default Rule to quarantine or block access, enrolled and compliant devices are still able to access Exchange.

    • Megcélzott csoportok: Válassza ki az Intune azon felhasználói csoportjait, amelyeknek regisztrálniuk kell az eszközüket az Intune-ban az Exchange eléréséhez.Targeted Groups: Select the Intune user groups that must enroll their device with Intune before they can access Exchange.

    • Kivétel alá eső csoportok: Válassza ki az Intune azon felhasználói csoportjait, amelyek mentesülnek a feltételes hozzáférési szabályzat alól.Exempted Groups: Select the Intune user groups that are exempt from the conditional access policy. A listán szereplő felhasználók mentesülnek akkor is, ha szerepelnek a Megcélzott csoportok listán.Users in this list are exempt even if they're also in the Targeted Groups list.

    • Platformkivételek: Kattintson a Szabály hozzáadása lehetőségre olyan szabály konfigurálásához, amely meghatározza az adott mobileszközcsaládok és -modellek hozzáférési szintjeit.Platform Exceptions: Choose Add Rule to configure a rule that defines access levels for specified mobile device families and models. Mivel ezek az eszközök bármilyen típusúak lehetnek, olyan eszköztípusokat is konfigurálhat, amelyeket nem támogat az Intune.Because these devices can be of any type, you can also configure device types that aren't supported by Intune.

    • Alapértelmezett szabály: A többi szabály alól mentes eszközökhöz kiválaszthatja, hogy engedélyezi-e az Exchange-hozzáférést, esetleg letiltja vagy karanténba helyezi az eszközt.Default Rule: For a device that isn't covered by any of the other rules, you can choose to allow it to access Exchange, block it, or quarantine it. Ha úgy állítja be a szabályt, hogy engedélyezze a hozzáférést, a megfelelőnek minősülő regisztrált eszközök automatikusan hozzáférést kapnak a levelezéshez (iOS, Windows és Samsung KNOX rendszerű eszközök esetén).When you set the rule to allow access, for devices that are enrolled and compliant, email access is granted automatically for iOS, Windows, and Samsung KNOX devices. A felhasználónak semmilyen teendője sincs az e-mail-fiókjával kapcsolatban.The user doesn't have to go through any process to get their email.

      • A nem Samsung KNOX-alapú androidos eszközök esetén a felhasználók értesítést kapnak e-mailben az eszközeik karanténba helyezéséről. Az e-mailben található egy részletes útmutató arról, hogy a levelezéshez való hozzáférés előtt miként kell ellenőrizni az eszközök regisztrációját és megfelelőségét.On Android devices that don't run Samsung KNOX, users get a quarantine email, which includes a guided walkthrough to verify enrollment and compliance before they can access email. Ha úgy állítja be a szabályt, hogy az engedélyezze a hozzáférést vagy karanténba helyezze az eszközt, egyetlen eszköz sem fog hozzáférni az Exchange-hez, függetlenül attól, hogy regisztrálták-e már őket az Intune-ban.If you set the rule to block access or quarantine devices, all devices are blocked from getting access to Exchange, regardless of whether they're already enrolled in Intune or not. Amennyiben nem szeretné, hogy ez a szabály vonatkozzon a megfelelőnek minősülő regisztrált eszközökre, válassza az Alapértelmezett szabály felülbírálása lehetőséget.To prevent enrolled and compliant devices from being affected by this rule, check the Default Rule Override box. >[!TIP] >Ha a levelezéshez való hozzáférést megelőzően minden eszközt blokkolni szeretne, válassza inkább a hozzáférést blokkoló szabályt vagy a karanténba helyezést kiváltó szabályt.If your intention is to first block all devices before granting access to email, choose the Block access rule or the Quarantine rule. Az alapértelmezett szabály az összes eszköztípusra érvényes, így hatással van a platformkivételként konfigurált és az Intune által nem támogatott eszköztípusokra is.The default rule applies to all device types—so device types that you configure as platform exceptions that aren't supported by Intune are also affected.
    • Felhasználó értesítése: Az Exchange által küldött értesítő e-mail mellett az Intune e-mailt küld, amely tartalmazza az eszköz feloldásának lépéseit.User Notification: In addition to the notification email that Exchange sends, Intune sends an email that contains steps to unblock the device. Az alapértelmezett üzenetet az igényeinek megfelelően módosíthatja.You can edit the default message to customize it to your needs. Ha a felhasználó eszköze le van tiltva az Intune által küldött, javítással kapcsolatos utasításokat tartalmazó értesítő e-mail megérkezése előtt (az e-mail a felhasználó Exchange-postaládájába kerül), akkor egy le nem tiltott eszközzel vagy más módon érheti el az Exchange-fiókot és tekintheti meg az üzenetet.In the event that the user’s device is blocked before they receive the Intune notification email that contains remediation instructions (this email is delivered to the user’s Exchange mailbox), they can use an unblocked device or another method to access Exchange and view the message.

      • Ez különösen igaz olyankor, ha az Alapértelmezett szabály az eszközök blokkolására vagy karanténba helyezésére van beállítva.This is especially true when the Default Rule is set to block or quarantine. Ilyen esetben a végfelhasználónak meg kell nyitnia az alkalmazás-áruházat, le kell töltenie a Microsoft Vállalati portál alkalmazást, és regisztrálnia kell az eszközét.In this case, the user has to go to their app store, download the Microsoft Company Portal app, and enroll their device. Ez egyaránt vonatkozik az iOS, a Windows és a Samsung KNOX rendszerű eszközökre.This is applicable to iOS, Windows, and Samsung KNOX devices. A nem Samsung KNOX-eszközök esetén a karanténba helyezett e-mailt el kell küldenie egy másodlagos e-mail fiókba.For devices that don't run Samsung KNOX, you need to send the quarantine email to an alternate email account. A felhasználónak át kell másolnia az e-mailt letiltott eszközére a regisztrációs és megfelelőségi folyamat befejezéséhez.The user has to copy the email to their blocked device to complete the enrollment and compliance process. > [!NOTE] > Meg kell adnia az értesítő e-mail elküldéséhez használt fiókot, hogy az Exchange elküldhesse az értesítő e-mailt.In order for Exchange to be able to send the notification email, you must specify the account that is used to send the notification email. > > További információk: A helyszíni Exchange-összekötő konfigurálása helyszíni vagy üzemeltetett Exchange használatához.For details, see Configure Exchange on-premises connector for on-premises or hosted Exchange.
  3. Ha elkészült, válassza a Mentés elemet.When you're done, choose Save.

  • Nem kell telepítenie a feltételes hozzáférési szabályzatot, az azonnal érvénybe lép.You don't have to deploy the conditional access policy—it takes effect immediately.

  • Miután a felhasználó beállította az Exchange ActiveSync-profilt, az eszköz letiltása egytől három óráig tarthat (ha nem az Intune felügyeli).After a user sets up an Exchange ActiveSync profile, it might take from one to three hours for the device to be blocked (if it isn't managed by Intune).

  • Ha egy letiltott felhasználó ezután regisztrálja az eszközt az Intune-ban, és kijavítja a nem megfelelőséget, a rendszer két percen belül feloldja az e-mailek elérését.If a blocked user then enrolls the device with Intune and remediates noncompliance, email access will be unblocked within two minutes.

  • Ha a felhasználó megszünteti az eszköz regisztrációját az Intune-ban, az eszköz letiltása egytől három óráig tarthat.If the user unenrolls from Intune, it might take from one to three hours for the device to be blocked.

Ha szeretne arra vonatkozó példákat megtekinteni, hogy hogyan konfigurálhat feltételes hozzáférési szabályzatot az eszközök hozzáférésének védelméhez, olvassa el az e-mail-hozzáférés védelmét bemutató példák leírását.To see some example scenarios of how you would configure a conditional access policy to protect device access, see Protect email access example scenarios.

További lépésekNext steps

A termékről a következő oldalon küldhet visszajelzést Intune Feedback