De on-premises Intune-verbindingslijn Exchange instellen

Belangrijk

De informatie in dit artikel is van toepassing op klanten die worden ondersteund om een connector Exchange gebruiken.

Vanaf juli 2020 wordt de ondersteuning voor de Exchange connector afgeschaft en vervangen door Exchange hybrid modern authentication (HMA). Als u een Exchange Connector hebt ingesteld in uw omgeving, blijft uw Intune-tenant ondersteund voor het gebruik en hebt u nog steeds toegang tot de gebruikersinterface die de configuratie ondersteunt. U kunt de verbindingslijn blijven gebruiken of HMA configureren en vervolgens de verbindingslijn verwijderen.

Voor het gebruik van HMA is Intune niet vereist voor het instellen en gebruiken van de Exchange Connector. Met deze wijziging is de gebruikersinterface voor het configureren en beheren van de Exchange Connector voor Intune verwijderd uit het Microsoft Endpoint Manager-beheercentrum, tenzij u al een Exchange-connector gebruikt met uw abonnement.

Om de toegang tot Exchange te beschermen, is Intune afhankelijk van een on-premises component dat bekend staat als de Microsoft Intune Exchange connector. Deze connector wordt ook wel de Exchange ActiveSync on-premises connector op sommige locaties van de Intune-console genoemd.

Belangrijk

Intune verwijdert de ondersteuning voor de Exchange on-premises connectorfunctie van de Intune-service vanaf de release van 2007 (juli). Bestaande klanten met een actieve connector kunnen op dit moment doorgaan met de huidige functionaliteit. Nieuwe klanten en bestaande klanten die geen actieve connector hebben, kunnen geen nieuwe connectors meer maken of Exchange ActiveSync (EAS)-apparaten beheren vanuit Intune. Voor deze tenants raadt Microsoft het gebruik van Exchange HMA (Hybrid Modern Authentication) aan om de toegang tot Exchange on-premises. HMA schakelt zowel Intune App Protection Policies (ook wel BEKEND als MAM) als Voorwaardelijke toegang in via Outlook Mobile voor Exchange on-premises.

De informatie in dit artikel kan u helpen bij het installeren en controleren van de Intune-Exchange connector. U kunt de verbindingslijn met uw beleid voor voorwaardelijke toegang gebruiken om toegang tot uw on-premises postvakken Exchange te blokkeren.

De connector is geïnstalleerd en wordt uitgevoerd op uw on-premises hardware. Er worden apparaten ontdekt die verbinding maken met Exchange en apparaatgegevens communiceren met de Intune-service. De verbindingslijn staat apparaten toe of blokkeert deze op basis van of de apparaten zijn geregistreerd en compatibel zijn. Voor deze communicatie wordt het HTTPS-protocol gebruikt.

Wanneer een apparaat toegang probeert te krijgen tot uw on-premises Exchange-server, worden Exchange ActiveSync-records (EAS)-records in Exchange Server door de Exchange-connector aan Intune-records toekend om ervoor te zorgen dat het apparaat zich registreert met Intune en voldoet aan het beleid van uw apparaat. Afhankelijk van uw beleid voor voorwaardelijke toegang kan het apparaat worden toegestaan of geblokkeerd. Zie Wat zijn veelgebruikte manieren om voorwaardelijke toegang te gebruiken met Intune voor meer informatie?

Zowel detectie- als toegestane en blokbewerkingen worden uitgevoerd met behulp van standaard-Exchange PowerShell-cmdlets. Voor deze bewerkingen wordt het serviceaccount gebruikt dat wordt geleverd wanneer de Exchange connector in eerste instantie is geïnstalleerd.

Intune ondersteunt de installatie van meerdere Intune-Exchange connectors per abonnement. Als u meer dan één on-premises Exchange organisatie hebt, kunt u voor elke organisatie een afzonderlijke verbindingslijn instellen. Er kan echter slechts één connector worden geïnstalleerd voor elke Exchange organisatie.

Volg deze algemene stappen om een verbinding in te stellen waarmee Intune kan communiceren met de on-premises Exchange server:

  1. Download de on-premises connector van het Microsoft Endpoint Manager beheercentrum.
  2. Installeer en configureer de Exchange verbindingslijn op een computer in de on-premises Exchange organisatie.
  3. Valideer de Exchange verbinding.
  4. Herhaal deze stappen voor elke extra Exchange organisatie die u wilt verbinden met Intune.

Hoe voorwaardelijke toegang voor Exchange on-premises werken

Voorwaardelijke toegang voor Exchange on-premises werkt anders dan beleidsregels op basis van Azure Conditional Access. U installeert de Intune-Exchange on-premises connector om rechtstreeks te communiceren met Exchange server. Met de Intune Exchange-connector worden alle Exchange Active Sync-records (EAS)-records op de Exchange-server opgeslagen, zodat Intune deze EAS-records kan gebruiken en deze aan Intune-apparaatrecords kan toekenen. Deze records zijn apparaten die zijn geregistreerd en herkend door Intune. Met dit proces wordt e-mailtoegang mogelijk of blokkeert.

Als de EAS-record nieuw is en Intune hiervan niet op de hoogte is, geeft Intune een cmdlet (uitgesproken als 'command-let' genoemd) uit die de Exchange-server de toegang tot e-mail blokkeert. Hieronder volgen meer informatie over hoe dit proces werkt:

Exchange on-premises met CA-stroomdiagram

  1. Gebruiker probeert toegang te krijgen tot zakelijke e-mail, die wordt gehost Exchange on-premises 2010 SP1 of hoger.

  2. Als het apparaat niet wordt beheerd door Intune, wordt de toegang tot e-mail geblokkeerd. Intune stuurt een blokmelding naar de EAS-client.

  3. EAS ontvangt de blokkeermelding, verplaatst het apparaat naar quarantaine en verzendt de quarantaine-e-mail met herstelstappen die koppelingen bevatten, zodat de gebruikers hun apparaten kunnen registreren.

  4. Het joinproces Werkplek vindt plaats, wat de eerste stap is om het apparaat te laten beheerd door Intune.

  5. Het apparaat wordt geregistreerd bij Intune.

  6. Intune brengt de EAS-record toe aan een apparaatrecord en slaat de nalevingstoestand van het apparaat op.

  7. De EAS-client-id wordt geregistreerd door het Azure AD Device Registration-proces, waarmee een relatie wordt gemaakt tussen de Intune-apparaatrecord en de EAS-client-id.

  8. De Azure AD Device Registration slaat de gegevens van de apparaattoestand op.

  9. Als de gebruiker voldoet aan het beleid voor voorwaardelijke toegang, geeft Intune een cmdlet uit via de Intune Exchange verbindingslijn waarmee het postvak kan worden gesynchroniseerd.

  10. Exchange server verzendt de melding naar de EAS-client, zodat de gebruiker toegang heeft tot e-mail.

Intune Exchange connectorvereisten

Als u verbinding wilt Exchange, hebt u een account nodig met een Intune-licentie die de verbindingslijn kan gebruiken. U geeft het account op wanneer u de verbindingslijn installeert.

De volgende tabel bevat de vereisten voor de computer waarop u de Intune-verbindingslijn Exchange installeren.

Vereiste Meer informatie
Besturingssystemen Intune ondersteunt de Intune Exchange-connector op een computer die elke editie van Windows Server 2008 SP2 64-bits, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 of Windows Server 2016.

De connector wordt niet ondersteund op een Server Core-installatie.
Microsoft Exchange Server On-premises connectors vereisen Microsoft Exchange 2010 SP3 of hoger of oudere Exchange Online Dedicated. Neem contact op met uw accountmanager om te bepalen of Exchange Online dedicated-omgeving zich in de nieuwe of oudere configuratie heeft.
Autoriteit voor mobiel apparaatbeheer Stel de autoriteit voor mobiel apparaatbeheer in op Intune.
Hardware Voor de computer waarop u de connector installeert, is een CPU van 1,6 GHz vereist met 2 GB RAM en 10 GB vrije schijfruimte.
Active Directory-synchronisatie Voordat u de connector gebruikt om Intune te verbinden met uw Exchange server, stelt u Active Directory-synchronisatie in. Uw lokale gebruikers en beveiligingsgroepen moeten worden gesynchroniseerd met uw exemplaar van Azure Active Directory.
Aanvullende software De computer die de connector host, moet een volledige installatie van Microsoft .NET Framework 4.5 en Windows PowerShell 2.0 hebben.
Netwerk De computer waarop u de verbindingslijn installeert, moet zich in een domein hebben dat een vertrouwensrelatie heeft met het domein waarop uw Exchange host.

Configureer de computer zodat deze toegang heeft tot de Intune-service via firewalls en proxyservers via poorten 80 en 443. Intune gebruikt deze domeinen:
- manage.microsoft.com
- *manage.microsoft.com
- *.manage.microsoft.com

De Intune-Exchange communiceert met de volgende services:
- Intune-service: HTTPS-poort 443
- Exchange Client Access server (CAS): WinRM-servicepoort 443
- Exchange Autodiscover 443
- Exchange Web Services (EWS) 443

Exchange cmdletvereisten

Maak een Active Directory-gebruikersaccount voor de Intune-Exchange connector. Het account moet de machtiging hebben om de volgende cmdlets Windows PowerShell Exchange uitvoeren:

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings
  • Get-CasMailbox, Set-CasMailbox
  • Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy
  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule
  • Get-ActiveSyncDeviceStatistics
  • Get-ActiveSyncDevice
  • Get-ExchangeServer
  • Get-ActiveSyncDeviceClass
  • Get-Recipient
  • Clear-ActiveSyncDevice, Remove-ActiveSyncDevice
  • Set-ADServerSettings
  • Get-Command

Het installatiepakket downloaden

Ondersteuning voor nieuwe installaties van de Exchange connector is afgeschaft in juli 2020 en het installatiepakket van de connector is niet meer beschikbaar om te downloaden. Gebruik in plaats daarvan Exchange HMA (Hybrid Modern Authentication).

De Intune-verbindingslijn Exchange installeren en configureren

Ondersteuning voor nieuwe installaties van de Exchange connector is afgeschaft in juli 2020 en het installatiepakket voor connectors is niet meer beschikbaar om te downloaden. Gebruik in plaats daarvan Exchange HMA (Hybrid Modern Authentication). De volgende instructies worden bijgehouden voor het opnieuw installeren van de verbindingslijn.

Volg deze stappen om de Intune-verbindingslijn Exchange installeren. Als u meerdere Exchange hebt, herhaalt u de stappen voor Exchange connector die u wilt instellen.

  1. Op een ondersteund besturingssysteem voor de Intune-Exchange haalt u de bestanden in Exchange_Connector_Setup.zipop een veilige locatie.

    Belangrijk

    Wijzig de naam van de bestanden in de map Exchange_Connector_Setup verplaatsen. Door deze wijzigingen kan de installatie van de verbindingslijn mislukken.

  2. Nadat de bestanden zijn geëxtraheerd, opent u de uitgepakte map en dubbelklikt u Exchange_Connector_Setup.exe om de verbindingslijn te installeren.

    Belangrijk

    Als de doelmap geen veilige locatie is, verwijdert u het certificaatbestand MicrosoftIntune.accountcert wanneer u klaar bent met het installeren van uw on-premises connectors.

  3. Selecteer in Microsoft Intune Exchange Connector dialoogvenster On-premises Microsoft Exchange Server of Gehost Microsoft Exchange Server.

    Afbeelding waarin wordt weergegeven waar u uw Exchange Server kunt kiezen

    Geef voor een on-premises Exchange server de servernaam of de volledig gekwalificeerde domeinnaam op van de Exchange server die de rol clienttoegangsserver host.

    Geef voor een gehoste Exchange server het Exchange serveradres op. De url van de gehoste Exchange server zoeken:

    1. Open Outlook voor Microsoft 365.

    2. Kies de ? pictogram in de linkerbovenhoek en selecteer vervolgens Over.

    3. Zoek de pop-externe serverwaarde.

    4. Kies Proxyserver om proxyserverinstellingen op te geven voor uw gehoste Exchange server.

      1. Selecteer Een proxyserver gebruiken bij het synchroniseren van gegevens over mobiele apparaten.

      2. Voer de naam van de proxyserver en het poortnummer in dat moet worden gebruikt om toegang te krijgen tot de server.

      3. Als gebruikersreferenties vereist zijn voor toegang tot de proxyserver, selecteert u Referenties gebruiken om verbinding te maken met de proxyserver. Voer vervolgens het domein\gebruiker en het wachtwoord in.

      4. Kies OK.

  4. Voer in de velden Gebruiker (domein\gebruiker) en Wachtwoord referenties in om verbinding te maken met uw Exchange server. Het account dat u opgeeft, moet een licentie hebben om Intune te kunnen gebruiken.

  5. Geef referenties op om meldingen naar het postvak van een gebruiker Exchange Server verzenden. Deze gebruiker kan worden toegewezen aan alleen meldingen. De gebruiker met meldingen heeft een postvak Exchange nodig om meldingen per e-mail te verzenden. U kunt deze meldingen configureren met beleid voor voorwaardelijke toegang in Intune.

    Zorg ervoor dat de Autodiscover-service en Exchange Web Services zijn geconfigureerd op de Exchange CAS. Zie Client Access-servervoor meer informatie.

  6. Geef in het veld Wachtwoord het wachtwoord voor dit account op om Intune toegang te geven tot de Exchange server.

    Notitie

    Het account dat u gebruikt om u aan te melden bij de tenant moet ten minste een Intune-servicebeheerder zijn. Zonder dit beheerdersaccount krijgt u een mislukte verbinding met de fout 'De externe server heeft een fout geretourneerd: (400) Slecht verzoek'.

  7. Kies Verbinding maken.

    Notitie

    Het kan enkele minuten duren voordat de verbinding is geconfigureerd.

Tijdens de configuratie worden Exchange proxy-instellingen op de connector opgebruikt om toegang tot internet in te stellen. Als de proxyinstellingen worden gewijzigd, kunt u de Exchange opnieuw configureren om de bijgewerkte proxy-instellingen toe te passen op de Exchange connector.

Nadat de Exchange verbinding heeft gemaakt, worden mobiele apparaten die zijn gekoppeld aan Exchange-beheerde gebruikers, automatisch gesynchroniseerd en toegevoegd aan de Exchange connector. Deze synchronisatie kan enige tijd in beslag nemen.

Notitie

Als u de Intune-Exchange-verbindingslijn installeert en later de Exchange-verbinding moet verwijderen, moet u de verbindingslijn verwijderen van de computer waarop de verbindingslijn is geïnstalleerd.

Connectors installeren voor meerdere Exchange organisaties

Ondersteuning voor nieuwe installaties van de Exchange connector is afgeschaft in juli 2020. Gebruik in plaats daarvan Exchange HMA (Hybrid Modern Authentication). De informatie in de volgende secties wordt verstrekt ter ondersteuning van klanten die mogelijk nog steeds de on-premises Intune-verbindingslijn Exchange gebruiken.

Ondersteuning voor on-premises Intune Exchange connector met hoge beschikbaarheid

Voor de on-premises connector betekent hoge beschikbaarheid dat als de Exchange CAS die door de connector wordt gebruikt, niet meer beschikbaar is, de verbindingslijn kan overschakelen naar een andere CAS voor die Exchange organisatie. De Exchange connector zelf biedt geen ondersteuning voor hoge beschikbaarheid. Als de verbindingslijn mislukt, is er geen automatische failover en moet u een nieuwe verbindingslijn installeren om de mislukte verbindingslijn te vervangen.

Als u wilt mislukken, gebruikt de verbindingslijn de opgegeven CAS om een geslaagde verbinding te maken met Exchange. Vervolgens worden extra CAS's voor die Exchange ontdekt. Met deze detectie kan de verbindingslijn mislukken naar een ander CAS als deze beschikbaar is, totdat het primaire CAS beschikbaar is.

Standaard is detectie van extra CAS's ingeschakeld. Als u failover wilt uitschakelen:

  1. Ga op de server waarop Exchange connector is geïnstalleerd naar % ProgramData%\Microsoft\Windows Intune Exchange Connector.

  2. Open met behulp van een teksteditorOnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Waar <IsCasFailoverEnabled> wijzigen </IsCasFailoverEnabled> in <IsCasFailoverEnabled> onwaar. </IsCasFailoverEnabled>

Performance-tunen van Exchange connector (optioneel)

Wanneer Exchange ActiveSync 5.000 of meer apparaten ondersteunt, kunt u een optionele instelling configureren om de prestaties van de verbindingslijn te verbeteren. U verbetert de prestaties door Exchange meerdere exemplaren van een PowerShell-opdracht uit te voeren.

Voordat u deze wijziging aan gaat brengen, moet u ervoor zorgen dat het account dat u gebruikt om de verbindingslijn uit te voeren Exchange niet wordt gebruikt voor andere Exchange beheerdoeleinden. Een Exchange account heeft een beperkt aantal run spaties en de connector gebruikt de meeste.

Prestatieafstemming is niet geschikt voor connectors die worden uitgevoerd op oudere of tragere hardware.

De prestaties van Exchange connector verbeteren:

  1. Open de installatiemap van de verbindingslijn op de server waarop de verbindingslijn is geïnstalleerd. De standaardlocatie is C:\ProgramData\Microsoft\Windows Intune Exchange Connector.

  2. Bewerk de bestandsindelingOnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Zoek EnableParallelCommandSupport en stel de waarde in op waar:

    <EnableParallelCommandSupport>waar</EnableParallelCommandSupport>

  4. Sla het bestand op en start de verbindingslijnservice Microsoft Intune Exchange opnieuw.

De Intune-verbindingslijn Exchange opnieuw installeren

Ondersteuning voor nieuwe installaties van de Exchange connector is afgeschaft in juli 2020 en het installatiepakket van de connector is niet meer beschikbaar om te downloaden. Gebruik in plaats daarvan Exchange HMA (Hybrid Modern Authentication). De volgende informatie wordt verstrekt ter ondersteuning van klanten die mogelijk nog steeds de on-premises Intune-verbindingslijn Exchange gebruiken.

Mogelijk moet u een Intune-verbindingslijn Exchange installeren. Omdat slechts één verbindingslijn verbinding kan maken met elke Exchange organisatie, vervangt de nieuwe connector die u installeert de oorspronkelijke verbindingslijn als u een tweede verbindingslijn voor de organisatie installeert.

  1. Als u de nieuwe verbindingslijn opnieuw wilt installeren, volgt u de stappen in de sectie Installeren en configureren Exchange verbindingslijn.

  2. Wanneer u daarom wordt gevraagd, selecteert u Vervangen om de nieuwe verbindingslijn te installeren. Configuratiewaarschuwing voor het vervangen van een verbindingslijn

  3. Ga verder met de stappen van de sectie Intune installeren en configureren Exchange verbindingslijn en meld u opnieuw aan bij Intune.

  4. Selecteer in het laatste venster Sluiten om de installatie te voltooien. Complete setup

Een verbindingslijn Exchange controleren

Nadat u de verbindingslijn Exchange geconfigureerd, kunt u de status van de verbindingen en de laatste geslaagde synchronisatiepoging bekijken:

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  2. Selecteer Tenantbeheer > Exchange access.

  3. Selecteer Exchange ActiveSync on-premises verbindingslijn en selecteer vervolgens de verbindingslijn die u wilt weergeven.

  4. Op de console worden details weergegeven voor de verbindingslijn die u selecteert, waar u de status en de datum en tijd van de laatste geslaagde synchronisatie kunt bekijken.

Naast de status in de console kunt u het managementpakket System Center Operations Manager gebruiken voor Exchange connector en Intune. Het beheerpakket biedt verschillende manieren om de verbindingslijn Exchange controleren wanneer u problemen wilt oplossen.

Handmatig een snelle synchronisatie of volledige synchronisatie forceer

Ondersteuning voor nieuwe installaties van de Exchange connector is afgeschaft in juli 2020. Gebruik in plaats daarvan Exchange HMA (Hybrid Modern Authentication). De informatie in de volgende secties wordt verstrekt ter ondersteuning van klanten die mogelijk nog steeds de on-premises Intune-verbindingslijn Exchange gebruiken.

Met een Intune-Exchange worden EAS- en Intune-apparaatrecords regelmatig gesynchroniseerd. Als de nalevingsstatus van een apparaat verandert, worden records regelmatig bijgewerkt in het automatische synchronisatieproces, zodat toegang tot het apparaat kan worden geblokkeerd of toegestaan.

  • Een snelle synchronisatie vindt regelmatig plaats, meerdere keren per dag. Met een snelle synchronisatie worden apparaatgegevens opgehaald voor intune-licentie en on-premises Exchange gebruikers die zijn gericht op voorwaardelijke toegang en die zijn gewijzigd sinds de laatste synchronisatie.

  • Een volledige synchronisatie vindt standaard eenmaal per dag plaats. Met een volledige synchronisatie worden apparaatgegevens opgehaald voor alle intune-licentie en on-premises Exchange gebruikers die zijn bedoeld voor voorwaardelijke toegang. Een volledige synchronisatie haalt ook Exchange Server gegevens op en zorgt ervoor dat de configuratie die Intune op specificeert, wordt bijgewerkt op de Exchange server.

U kunt een verbindingslijn dwingen om een synchronisatie uit te voeren met de opties Snelle synchronisatie of Volledige synchronisatie op het Intune-dashboard:

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  2. Selecteer Tenantbeheer > Exchange access Exchange ActiveSync > on-premises connector.

  3. Selecteer de verbindingslijn die u wilt synchroniseren en kies vervolgens Snel synchroniseren of Volledig synchroniseren.

Voorbeeldschermafbeelding van connectordetails

Volgende stappen

Maak een beleid voor voorwaardelijke toegang voor on-premises Exchange servers.