Ochrona dostępu do poczty e-mail w lokalnej instalacji programu Exchange i w starszej wersji usługi Exchange Online w wersji dedykowanej przy użyciu usługi IntuneProtect email access to Exchange on-premises and legacy Exchange Online Dedicated with Intune

Dotyczy: usługa Intune w konsoli klasycznejApplies to: Intune in the classic console
Szukasz dokumentacji dotyczącej usługi Intune na platformie Azure?Looking for documentation about Intune on Azure? Przejdź tutaj.Go here.

Przy użyciu usługi Microsoft Intune można skonfigurować dostęp warunkowy do lokalnego programu Exchange lub do starszej wersji usługi Exchange Online w wersji dedykowanej.You can configure conditional access control email access to Exchange on-premises or to legacy Exchange Online Dedicated by using Microsoft Intune. Aby dowiedzieć się więcej o sposobie działania dostępu warunkowego, przeczytaj artykuł Ochrona dostępu do poczty e-mail i usług O365.To learn more about how conditional access works, read the Protect access to email and O365 services article.

Uwaga

Jeśli masz środowisko usługi Exchange Online w wersji dedykowanej i chcesz sprawdzić, czy zawiera ono nową, czy starszą konfigurację, skontaktuj się z menedżerem ds. klientów.If you have an Exchange Online Dedicated environment and need to find out whether it's in the new or the legacy configuration, contact your account manager.

Przed rozpoczęciemBefore you begin

Koniecznie sprawdź, czy są spełnione następujące warunki:Make sure to verify the following:

  • Program Exchange musi być w wersji Exchange 2010 lub nowszej.Your Exchange version must be Exchange 2010 or later. Macierze serwerów dostępu klienta (CAS) serwera programu Exchange są obsługiwane.Exchange Server Client Access Server (CAS) arrays are supported.

  • Należy użyć łącznika lokalnego programu Exchange usługi Intune, który łączy usługę Intune z lokalnym programem Exchange.You must use the Intune on-premises Exchange connector, which connects Intune to Exchange on-premises. Dzięki temu możliwe jest zarządzanie urządzeniami za pośrednictwem konsoli usługi Intune.This lets you manage devices through the Intune console.

    • Łącznik lokalnego programu Exchange dostępny w konsoli usługi Intune jest przeznaczony dla Twojej dzierżawy usługi Intune i nie może być używany z innymi dzierżawami.The on-premises Exchange connector that is available to you in the Intune console is specific to your Intune tenant and can't be used with any other tenant. Ponadto zalecamy sprawdzenie, czy łącznik programu Exchange dla Twojej dzierżawy został zainstalowany tylko na jednym komputerze.We recommend that you also ensure that the Exchange connector for your tenant is installed on only one machine.

      Łącznik można pobrać z konsoli administracyjnej usługi Intune.You can download the connector from the Intune admin console. Przewodnik dotyczący sposobu konfigurowania łącznika lokalnego programu Exchange znajduje się w temacie Konfigurowanie łącznika On-Premises Connector programu Exchange dla lokalnego lub hostowanego programu Exchange.For a walkthrough on how to configure the on-premises Exchange connector, see configure Exchange on-premises connector for on-premises or hosted Exchange.

    • Łącznik można zainstalować na dowolnej maszynie, jeśli jest ona w stanie komunikować się z serwerem programu Exchange.You can install the connector on any machine as long as that machine can communicate with the Exchange server.

    • Łącznik obsługuje środowisko serwera CAS programu Exchange.The connector supports the Exchange CAS environment. Jeśli chcesz, możesz zainstalować łącznik bezpośrednio na serwerze CAS programu Exchange.You can technically install the connector on the Exchange CAS server directly if you want to. Jednak nie zalecamy tego, ponieważ ta operacja zwiększa obciążenie serwera.However, we don't recommend it because it increases the load on the server. Podczas konfigurowania łącznika należy ustawić go tak, aby komunikował się z jednym z serwerów CAS programu Exchange.When you configure the connector, you must set it up to communicate with one of the Exchange CAS servers.

  • Musisz skonfigurować program Exchange ActiveSync przy użyciu uwierzytelniania opartego na certyfikatach lub wpisu poświadczeń użytkownika.You must configure Exchange ActiveSync with certificate-based authentication or user credential entry.

Wymagania dotyczące zgodności urządzeńDevice compliance requirements

Aby po skonfigurowaniu zasad dostępu warunkowego i skierowaniu ich do użytkownika mógł on połączyć się ze swoją pocztą e-mail, jego urządzenie musi:When you configure conditional access policies and target them to a user, before a user can connect to their email, the device they use must be:

  • Być komputerem przyłączonym do domeny lub zostać zarejestrowane w usłudze Intune.Either a domain-joined PC or enrolled with Intune.

  • Zostać zarejestrowane w usłudze Azure Active Directory.Registered in Azure Active Directory. Ponadto identyfikator klienta programu Exchange ActiveSync musi być zarejestrowany w usłudze Azure Active Directory.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.

    Usługa rejestracji urządzeń w usłudze Azure Active Directory zostanie aktywowana automatycznie dla klientów usług Intune i Office 365.The Azure Active Directory Device Registration service is activated automatically for Intune and Office 365 customers. Klienci, którzy już wdrożyli usługę rejestracji urządzeń w usługach AD FS, nie będą widzieć zarejestrowanych urządzeń w lokalnej usłudze Active Directory.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory. Nie dotyczy to komputerów z systemem Windows i urządzeń z systemem Windows Phone.This does not apply to Windows PCs and Windows Phone devices.

  • Być zgodne ze wszystkimi zasadami zgodności usługi Intune wdrożonymi na tym urządzeniu.Compliant with any Intune compliance policies that are deployed to that device.

Jak działa dostęp warunkowy w przypadku lokalnego programu ExchangeHow conditional access works with Exchange on-premises

Na poniższym diagramie przedstawiono przepływ używany przez zasady dostępu warunkowego dla lokalnego programu Exchange na potrzeby oceniania, czy urządzenia mają mieć do niego dostęp, czy dostęp ma być blokowany.The following diagram illustrates the flow that conditional access policies for Exchange on-premises use to evaluate whether to allow or block devices.

Diagram przedstawiający punkty decyzyjne, które określają, czy urządzenie ma dostęp do lokalnego programu Exchange, czy też jest blokowane

Jeśli warunek dostępu nie zostanie spełniony, upłynie 10 minut do momentu zablokowania urządzenia i otrzymania przez użytkownika przy próbie zalogowania się jednego z następujących komunikatów dotyczących kwarantanny:If a conditional access policy isn't met, there is a 10 minute window between the device being blocked and the user receiving one of the following quarantine messages when they sign in:

  • Jeśli urządzenie nie zostało zarejestrowane w usłudze Intune lub Azure Active Directory, zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalowania aplikacji Portal firmy, rejestrowania urządzenia i aktywowania poczty e-mail.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Ten proces powoduje również skojarzenie identyfikatora programu Exchange ActiveSync urządzenia z rekordem urządzenia w usłudze Azure Active Directory.This process also associates the device’s Exchange ActiveSync ID with the device record in Azure Active Directory.

  • Jeśli urządzenie nie jest zgodne, zostanie wyświetlony komunikat kierujący użytkownika do witryny sieci Web Portal firmy usługi Intune lub aplikacji Portal firmy, gdzie można znaleźć informacje o problemie i sposobie jego rozwiązania.If the device isn't compliant, a message is displayed that directs the user to the Intune Company Portal website or the Company Portal app, where they can find information about the problem and how to remediate it.

Obsługa urządzeń przenośnychSupport for mobile devices

Obsługiwane są następujące funkcje:The following are supported:

  • System Windows Phone (8.1 lub nowszy).Windows Phone 8.1 and later.

  • Natywna aplikacja poczty e-mail w systemie iOS.The native email app on iOS.

  • Klienci poczty korzystający z protokołu Exchange ActiveSync, np. Gmail w systemie Android 4 lub nowszym.Exchange ActiveSync mail clients, such as Gmail on Android 4 or later.

  • Klienci poczty korzystający z protokołu Exchange ActiveSync na urządzeniach z programem Android for Work: na urządzeniach z programem Android for Work są obsługiwane tylko aplikacje Gmail i Nine Work w profilu służbowym.Exchange ActiveSync mail clients on Android for Work devices: Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Aby dostęp warunkowy współdziałał z programem Android for Work, należy wdrożyć profil poczty e-mail dla aplikacji Gmail lub Nine Work, a także wdrożyć te aplikacje jako wymaganą instalację.For conditional access to work with Android for Work, you must deploy an email profile for the Gmail or Nine Work app, and also deploy those apps as a required installation.
Uwaga

Aplikacja Microsoft Outlook dla systemów Android i iOS nie jest obsługiwana.The Microsoft Outlook app for Android and iOS isn't supported.

Obsługa komputerówSupport for PCs

Są obsługiwane następujące elementy:The following is supported:

  • Aplikacja do obsługi poczty w systemie Windows 8.1 lub nowszym (w przypadku zarejestrowania komputera w usłudze Intune).The Mail application on Windows 8.1 and later (when the PC is enrolled with Intune).

Konfigurowanie zasad dostępu warunkowegoConfigure a conditional access policy

  1. W konsoli administracyjnej usługi Microsoft Intune wybierz pozycję Zasady > Dostęp warunkowy > Zasady lokalnej instalacji programu Exchange.In the Microsoft Intune administration console, choose Policy > Conditional Access > Exchange on-premises policy. IntuneSA5aSelectExchOnPremPolicyIntuneSA5aSelectExchOnPremPolicy

  2. Skonfiguruj zasady za pomocą wymaganych ustawień: Zrzut ekranu przedstawiający stronę z zasadami lokalnego programu ExchangeConfigure the policy with the settings that you require: Screenshot of the Exchange on-premises policy page

    • Zablokuj dostęp aplikacjom poczty e-mail do lokalnego programu Exchange, jeśli urządzenie jest niezgodne lub nie jest zarejestrowane w usłudze Microsoft Intune: po wybraniu tej opcji urządzenia, które nie są zarządzane przez usługę Intune lub nie są zgodne z zasadami zgodności, nie będą miały dostępu do usług programu Exchange.Block email apps from accessing Exchange on-premises if the device isn't compliant or isn't enrolled with Microsoft Intune: When you select this option, devices that aren't managed by Intune or aren't compliant with a compliance policy are blocked from accessing Exchange services.

    • Przesłanianie reguły domyślnej — zawsze zezwalaj zarejestrowanym i zgodnym urządzeniom na dostęp do programu Exchange: po wybraniu tej opcji urządzenia zarejestrowane w usłudze Intune i zgodne z zasadami zgodności będą mogły uzyskać dostęp do programu Exchange.Default rule override - Always allow enrolled and compliant devices to access Exchange: When you select this option, devices that are enrolled in Intune and are compliant with the compliance policies are allowed to access Exchange. Ta reguła przesłania regułę domyślną, co oznacza, że nawet jeśli wartość reguły domyślnej zostanie ustawiona na kwarantannę lub blokowanie dostępu, urządzenia zarejestrowane i zgodne nadal będą mogły uzyskać dostęp do programu Exchange.This rule overrides the Default Rule, which means that even if you set the Default Rule to quarantine or block access, enrolled and compliant devices are still able to access Exchange.

    • Grupy docelowe: wybierz grupy użytkowników usługi Intune, którzy muszą zarejestrować urządzenie w usłudze Intune, aby uzyskać dostęp do programu Exchange.Targeted Groups: Select the Intune user groups that must enroll their device with Intune before they can access Exchange.

    • Wykluczone grupy: wybierz grupy użytkowników usługi Intune, którzy są wykluczeni z zasad dostępu warunkowego.Exempted Groups: Select the Intune user groups that are exempt from the conditional access policy. Użytkownicy znajdujący się na liście są wykluczani nawet wtedy, gdy znajdują się również na liście Grupy docelowe.Users in this list are exempt even if they're also in the Targeted Groups list.

    • Wyjątki dla platform: wybierz polecenie Dodaj regułę, aby skonfigurować regułę definiującą poziomy dostępu dla określonych rodzin i modeli urządzeń przenośnych.Platform Exceptions: Choose Add Rule to configure a rule that defines access levels for specified mobile device families and models. Ponieważ te urządzenia mogą być dowolnego typu, możesz także skonfigurować typy urządzeń, które nie są obsługiwane przez usługę Intune.Because these devices can be of any type, you can also configure device types that aren't supported by Intune.

    • Reguła domyślna: dla urządzeń nieobjętych żadnymi innymi regułami możesz wybrać, czy mają mieć dostęp do programu Exchange, czy mają być zablokowane lub czy mają zostać umieszczone w kwarantannie.Default Rule: For a device that isn't covered by any of the other rules, you can choose to allow it to access Exchange, block it, or quarantine it. W przypadku ustawienia reguły zezwalającej na dostęp urządzeń, które są zarejestrowane i zgodne, dostęp do poczty e-mail będzie udzielany automatycznie dla urządzeń z systemem iOS, Windows i Samsung KNOX.When you set the rule to allow access, for devices that are enrolled and compliant, email access is granted automatically for iOS, Windows, and Samsung KNOX devices. Użytkownik nie musi przechodzić przez żaden proces, aby uzyskać dostęp do swojej poczty e-mail.The user doesn't have to go through any process to get their email.

      • Na urządzeniach, które nie korzystają z systemu KNOX, użytkownicy otrzymują wiadomość e-mail z kwarantanny zawierającą przewodnik krok po kroku w celu sprawdzenia rejestracji i zgodności, zanim uzyskają dostęp do poczty e-mail.On Android devices that don't run Samsung KNOX, users get a quarantine email, which includes a guided walkthrough to verify enrollment and compliance before they can access email. Jeśli ustawisz regułę blokującą dostęp do urządzenia lub poddającą je kwarantannie, wszystkie urządzenia będą miały blokowany dostęp do programu Exchange, niezależnie od tego, czy zostały już zarejestrowane w usłudze Intune, czy nie.If you set the rule to block access or quarantine devices, all devices are blocked from getting access to Exchange, regardless of whether they're already enrolled in Intune or not. Aby zapobiec wpływowi tej reguły na urządzenia zarejestrowane i zgodne, zaznacz pole Przesłonięcie reguły domyślnej.To prevent enrolled and compliant devices from being affected by this rule, check the Default Rule Override box. >[!TIP] >Jeśli chcesz najpierw blokować dostęp wszystkich urządzeń przed udzieleniem im dostępu do poczty e-mail, wybierz regułę Blokowanie dostępu lub regułę Kwarantanna.If your intention is to first block all devices before granting access to email, choose the Block access rule or the Quarantine rule. Reguła domyślna jest stosowana dla wszystkich typów urządzeń — również typów urządzeń skonfigurowanych jako wyjątki dla platform i nieobsługiwanych przez usługę Intune.The default rule applies to all device types—so device types that you configure as platform exceptions that aren't supported by Intune are also affected.
    • Powiadomienie użytkownika: oprócz powiadomienia e-mail wysyłanego przez program Exchange usługa Intune wysyła wiadomość e-mail, która zawiera kroki procedury odblokowania urządzenia.User Notification: In addition to the notification email that Exchange sends, Intune sends an email that contains steps to unblock the device. Możesz zmienić domyślną wiadomość zgodnie z własnymi potrzebami.You can edit the default message to customize it to your needs. W przypadku zablokowania urządzenia użytkownika przed otrzymaniem z usługi Intune powiadomienia e-mail z instrukcjami odblokowywania (dostarczanego do skrzynki pocztowej programu Exchange użytkownika) możliwe jest użycie niezablokowanego urządzenia lub innej metody uzyskania dostępu do programu Exchange i wyświetlenia wiadomości.In the event that the user’s device is blocked before they receive the Intune notification email that contains remediation instructions (this email is delivered to the user’s Exchange mailbox), they can use an unblocked device or another method to access Exchange and view the message.

      • Jest to szczególnie istotne, kiedy Reguła domyślna jest ustawiona na blokowanie lub kwarantannę.This is especially true when the Default Rule is set to block or quarantine. W takim przypadku użytkownik musi przejść do swojego sklepu z aplikacjami, pobrać aplikację firmy Microsoft Portal firmy i zarejestrować swoje urządzenie.In this case, the user has to go to their app store, download the Microsoft Company Portal app, and enroll their device. Dotyczy to urządzeń z systemami iOS, Windows i Samsung KNOX.This is applicable to iOS, Windows, and Samsung KNOX devices. W przypadku urządzeń, które nie są wyposażone w platformę Samsung KNOX, należy wysłać wiadomość e-mail poddaną kwarantannie na inne konto poczty e-mail.For devices that don't run Samsung KNOX, you need to send the quarantine email to an alternate email account. Użytkownik musi skopiować wiadomość e-mail na zablokowane urządzenie w celu ukończenia procesu rejestracji i zapewnienia zgodności.The user has to copy the email to their blocked device to complete the enrollment and compliance process. > [!NOTE] > Aby program Exchange mógł wysłać powiadomienie e-mail, należy określić konto, które będzie używane do wysyłania powiadomień e-mail.In order for Exchange to be able to send the notification email, you must specify the account that is used to send the notification email. > > Aby uzyskać szczegółowe informacje, zobacz temat Konfigurowanie łącznika On-Premises Connector dla lokalnego lub hostowanego programu Exchange.For details, see Configure Exchange on-premises connector for on-premises or hosted Exchange.
  3. Po zakończeniu tych czynności wybierz pozycję Zapisz.When you're done, choose Save.

  • Nie musisz wdrażać zasad dostępu warunkowego, ponieważ zostają one natychmiast zastosowane.You don't have to deploy the conditional access policy—it takes effect immediately.

  • Po skonfigurowaniu przez użytkownika profilu programu Exchange ActiveSync zablokowanie urządzenia może potrwać od jednej do trzech godzin (jeśli nie jest zarządzane przez usługę Intune).After a user sets up an Exchange ActiveSync profile, it might take from one to three hours for the device to be blocked (if it isn't managed by Intune).

  • Jeśli następnie zablokowany użytkownik zarejestruje urządzenie w usłudze Intune (i rozwiąże problemy z niezgodnością), dostęp do poczty e-mail zostanie odblokowany w ciągu dwóch minut.If a blocked user then enrolls the device with Intune and remediates noncompliance, email access will be unblocked within two minutes.

  • Jeśli użytkownik wyrejestruje urządzenie z usługi Intune, zablokowanie urządzenia może potrwać od jednej do trzech godzin.If the user unenrolls from Intune, it might take from one to three hours for the device to be blocked.

Aby wyświetlić niektóre przykładowe scenariusze dotyczące sposobu konfigurowania zasad dostępu warunkowego w celu ochrony dostępu urządzeń, zobacz Przykładowe scenariusze ochrony dostępu do poczty e-mail.To see some example scenarios of how you would configure a conditional access policy to protect device access, see Protect email access example scenarios.

Następne krokiNext steps

Aby przesłać opinię na temat produktu, przejdź na stronę Intune Feedback