Configurare l'accesso locale di Exchange per Intune

Importante

Il supporto per il connettore Exchange di Intune locale terminerà il 19 febbraio 2024. Dopo questa data, Exchange Connector non verrà più sincronizzato con Intune. Se si usa Exchange Connector, è consigliabile eseguire una delle azioni seguenti prima del 19 febbraio 2024:

• Eseguire la migrazione delle cassette postali di Exchange a Exchange online
• Configurare l'autenticazione moderna ibrida

Questo articolo illustra come configurare l'accesso condizionale per Exchange in locale in base alla conformità del dispositivo.

Se si dispone di un ambiente dedicato Exchange Online e si deve scoprire se si trova nella configurazione nuova o legacy, contattare il gestore account. Per controllare l'accesso tramite posta elettronica a Exchange locale o all'ambiente legacy Exchange Online Dedicato, configurare l'accesso condizionale a Exchange locale in Intune.

Prima di iniziare

Prima di configurare l'accesso condizionale, verificare che esistano le configurazioni seguenti:

• La versione di Exchange è Exchange 2010 SP3 o versione successiva. È supportata la matrice del server accesso client (CAS) di Exchange Server.

• È stato installato e usato il connettore Exchange Exchange ActiveSync locale, che connette Intune a Exchange locale.

  Importante

  Intune supporta più connettori exchange locali per sottoscrizione. Tuttavia, ogni connettore exchange locale è specifico di un singolo tenant di Intune e non può essere usato con altri tenant. Se si dispone di più di un'organizzazione di Exchange locale, è possibile configurare un connettore separato per ogni organizzazione di Exchange.

• Il connettore per un'organizzazione di Exchange locale può essere installato in qualsiasi computer, purché tale computer possa comunicare con il server Exchange.

• Il connettore supporta l'ambiente CAS di Exchange. Intune supporta l'installazione diretta del connettore nel server CAS di Exchange. È consigliabile installarlo in un computer separato a causa del carico aggiuntivo che il connettore carica sul server. Quando si configura il connettore, è necessario configurarlo per comunicare con uno dei server CAS di Exchange.

• Exchange ActiveSync deve essere configurato con l'autenticazione basata su certificato o la voce delle credenziali utente.

• Quando i criteri di accesso condizionale sono configurati e destinati a un utente, prima che un utente possa connettersi al proprio messaggio di posta elettronica, il dispositivo usato deve essere:

  • Registrato con Intune o è un PC aggiunto a un dominio.
  • Registrato in Microsoft Entra ID. Inoltre, l'ID Exchange ActiveSync client deve essere registrato con Microsoft Entra ID.

• Microsoft Entra Servizio registrazione dispositivi (DRS) viene attivato automaticamente per i clienti di Intune e Microsoft 365. I clienti che hanno già distribuito il servizio registrazione dispositivi ADFS non vedono i dispositivi registrati nel Active Directory locale. Questo non si applica ai PC e ai dispositivi Windows.

• Conforme ai criteri di conformità dei dispositivi distribuiti nel dispositivo.

• Se il dispositivo non soddisfa le impostazioni di accesso condizionale, all'accesso viene visualizzato uno dei messaggi seguenti:

  • Se il dispositivo non è registrato con Intune o non è registrato in Microsoft Entra ID, viene visualizzato un messaggio con istruzioni su come installare l'app Portale aziendale, registrare il dispositivo e attivare la posta elettronica. Questo processo associa anche l'ID Exchange ActiveSync del dispositivo al record del dispositivo in Microsoft Entra ID.
  • Se il dispositivo non è conforme, viene visualizzato un messaggio che indirizza l'utente al sito Web Portale aziendale Intune o all'app Portale aziendale. Dal portale aziendale è possibile trovare informazioni sul problema e su come risolverlo.

Supporto per dispositivi mobili

• App di posta elettronica nativa in iOS/iPadOS : per creare criteri di accesso condizionale, vedere Creare criteri di accesso condizionale

• Client di posta elettronica EAS come Gmail in Android 4 o versioni successive : per creare criteri di accesso condizionale, vedere Creare criteri di accesso condizionale

• Client di posta elettronica EAS nei dispositivi Android Enterprise Personally-Owned Work Profile: solo Gmail e Nine Work for Android Enterprise sono supportati nei dispositivi del profilo di lavoro di proprietà personale Android Enterprise. Affinché l'accesso condizionale funzioni con i profili di lavoro di proprietà personale di Android Enterprise, è necessario distribuire un profilo di posta elettronica per l'app Gmail o Nine Work per Android Enterprise e anche distribuire tali app come installazione obbligatoria. Dopo aver distribuito l'app, è possibile configurare l'accesso condizionale basato su dispositivo.

• Client di posta elettronica EAS nell'amministratore di dispositivi Android : per creare criteri di accesso condizionale, vedere Creare criteri di accesso condizionale

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

Per configurare l'accesso condizionale per i dispositivi del profilo di lavoro di proprietà personale android enterprise

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Distribuire l'app Gmail o Nine Work come Obbligatorio.

3. Passare aConfigurazionedispositivi> e scegliere *Crea.

4. Immettere un nome e una descrizione per il profilo.

5. Selezionare Android Enterprise in Piattaforma, selezionare Email in Tipo di profilo.

6. Configurare le impostazioni del profilo di posta elettronica.

7. Al termine, selezionare OK>Crea per salvare le modifiche.

8. Dopo aver creato il profilo di posta elettronica, assegnarlo ai gruppi.

9. Configurare l'accesso condizionale basato su dispositivo.

Nota

Microsoft Outlook per Android e iOS/iPadOS non è supportato tramite il connettore locale di Exchange. Per sfruttare Microsoft Entra criteri di accesso condizionale e criteri di protezione delle app di Intune con Outlook per iOS/iPadOS e Android per le cassette postali locali, vedere Uso dell'autenticazione moderna ibrida con Outlook per iOS/iPadOS e Android.

Supporto per PC

Attualmente supporta l'applicazione Mail nativa in Windows 8.1 e versioni successive (se registrata in MDM con Intune).

Importante

Il 22 ottobre 2022 Microsoft Intune terminato il supporto per i dispositivi che eseguono Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici su questi dispositivi non sono disponibili.

Se attualmente si usa Windows 8.1, è consigliabile passare a dispositivi Windows 10/11. Microsoft Intune dispone di funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.

Configurare l'accesso locale di Exchange

Il supporto per le nuove installazioni del connettore exchange è stato deprecato a luglio 2020 e il pacchetto di installazione del connettore non è più disponibile per il download. Usare invece l'autenticazione moderna ibrida di Exchange (HMA).

Prima di poter utilizzare la procedura seguente per configurare il controllo di accesso locale di Exchange, è necessario installare e configurare almeno un connettore Exchange locale di Intune per Exchange locale.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Passare a Amministrazione> tenantAccesso a Exchange e quindi selezionare Accesso locale di Exchange.

3. Nel riquadro di accesso locale di Exchange scegliere Sì per abilitare il controllo di accesso locale di Exchange.

   

4. In Assegnazione scegliere Seleziona gruppi da includere e quindi selezionare uno o più gruppi per configurare l'accesso.

   Ai membri dei gruppi selezionati sono applicati i criteri di accesso condizionale per l'accesso locale di Exchange. Gli utenti che ricevono questo criterio devono registrare i propri dispositivi in Intune ed essere conformi ai profili di conformità prima di poter accedere a Exchange in locale.

   

5. Per escludere i gruppi, scegliere Seleziona gruppi da escludere e quindi selezionare uno o più gruppi che sono esenti dai requisiti per registrare i dispositivi e per essere conformi ai profili di conformità prima di accedere a Exchange in locale.

   Selezionare Salva per salvare la configurazione e tornare al riquadro di accesso di Exchange .

6. Configurare quindi le impostazioni per Il connettore Exchange locale di Intune. Nell'interfaccia di amministrazione selezionare Amministrazione> tenantExchange Access>Exchange ActiveSync connettore locale e quindi selezionare il connettore per l'organizzazione di Exchange che si vuole configurare.

7. Per Notifiche utente selezionare Modifica per aprire il flusso di lavoro Modifica organizzazione in cui è possibile modificare il messaggio di notifica Utente .

   

   Modificare il messaggio di posta elettronica predefinito inviato agli utenti se il dispositivo non è conforme e si vuole accedere a Exchange in locale. Il modello di messaggio usa il linguaggio di markup. È anche possibile visualizzare l'anteprima dell'aspetto del messaggio durante la digitazione

   Selezionare Rivedi e salva e quindi Salva per salvare le modifiche per completare la configurazione dell'accesso locale di Exchange.

   Consiglio

   Per altre informazioni sul linguaggio di markup, vedere questo articolo di Wikipedia.

8. Selezionare quindi Impostazioni di accesso avanzate Exchange ActiveSync per aprire il flusso di lavoro Impostazioni avanzate di accesso Exchange ActiveSync in cui si configurano le regole di accesso del dispositivo.

   

   • Per Accesso al dispositivo non gestito, impostare la regola predefinita globale per l'accesso dai dispositivi che non sono interessati dall'accesso condizionale o da altre regole:

     • Consenti l'accesso : tutti i dispositivi possono accedere immediatamente a Exchange in locale. I dispositivi che appartengono agli utenti nei gruppi configurati come inclusi nella procedura precedente vengono bloccati se vengono successivamente valutati come non conformi ai criteri conformi o non registrati in Intune.

     • Blocca l'accesso e la quarantena : a tutti i dispositivi viene immediatamente impedito di accedere inizialmente a Exchange locale. I dispositivi che appartengono agli utenti nei gruppi configurati come inclusi nella procedura precedente ottengono l'accesso dopo la registrazione del dispositivo in Intune e vengono valutati come conformi.

       Questa impostazione è supportata nei dispositivi Android che eseguono Samsung Knox Standard. Altri dispositivi Android non supportano questa impostazione e sono sempre bloccati.

   • Per Eccezioni della piattaforma del dispositivo selezionare Aggiungi e quindi specificare i dettagli in base alle esigenze per l'ambiente.

     Se l'impostazione Accesso al dispositivo non gestito è impostata su Bloccato, i dispositivi registrati e conformi sono consentiti anche se è presente un'eccezione della piattaforma per bloccarli.

9. Selezionare OK per salvare le modifiche.

10. Selezionare Rivedi e salva e quindi Salva per salvare i criteri di accesso condizionale di Exchange.

Passaggi successivi

Creare quindi un criterio di conformità e assegnarlo agli utenti di Intune per valutare i propri dispositivi mobili. Vedere Introduzione alla conformità dei dispositivi.

Risoluzione dei problemi relativi al connettore Exchange locale di Intune in Microsoft Intune