Konfigurowanie lokalnego programu Intune Exchange Connector

  • Artykuł

Ważna

Obsługa lokalnego programu Intune Exchange Connector kończy się 19 lutego 2024 r. Po tej dacie program Exchange Connector nie będzie już synchronizowany z usługą Intune. Jeśli używasz łącznika programu Exchange, zalecamy wykonanie jednej z następujących akcji przed 19 lutego 2024 r.:

Aby ułatwić ochronę dostępu do programu Exchange, usługa Intune korzysta ze składnika lokalnego znanego jako łącznik programu Microsoft Intune Exchange. Ten łącznik jest również nazywany łącznikiem lokalnym Exchange ActiveSync w niektórych lokalizacjach centrum administracyjnego usługi Intune.

Ważna

Usługa Intune usunie obsługę funkcji łącznika lokalnego programu Exchange z usługi Intune począwszy od wersji 2007 (lipiec). Istniejący klienci z aktywnym łącznikiem będą mogli w tej chwili kontynuować bieżącą funkcjonalność. Nowi klienci i istniejący klienci, którzy nie mają aktywnego łącznika, nie będą już mogli tworzyć nowych łączników ani zarządzać urządzeniami Exchange ActiveSync (EAS) z usługi Intune. W przypadku tych dzierżaw firma Microsoft zaleca korzystanie z nowoczesnego uwierzytelniania hybrydowego programu Exchange w celu ochrony dostępu do lokalnego programu Exchange. Usługa HMA umożliwia zarówno zasady ochrony aplikacji usługi Intune (nazywane również aplikacjami mobilnymi), jak i dostęp warunkowy za pośrednictwem lokalnego programu Outlook Mobile dla programu Exchange.

Informacje zawarte w tym artykule mogą pomóc w zainstalowaniu i monitorowaniu łącznika programu Intune Exchange. Łącznik z zasadami dostępu warunkowego umożliwia lub blokuje dostęp do lokalnych skrzynek pocztowych programu Exchange.

Łącznik jest zainstalowany i działa na sprzęcie lokalnym. Odnajduje urządzenia, które łączą się z programem Exchange, komunikując informacje o urządzeniu z usługą Intune. Łącznik umożliwia lub blokuje urządzenia w zależności od tego, czy urządzenia są zarejestrowane i zgodne. Ta komunikacja korzysta z protokołu HTTPS.

Gdy urządzenie próbuje uzyskać dostęp do lokalnego serwera Exchange, łącznik programu Exchange mapuje rekordy Exchange ActiveSync (EAS) w Exchange Server do rekordów usługi Intune, aby upewnić się, że urządzenie jest zarejestrowane w usłudze Intune i jest zgodne z zasadami urządzenia. W zależności od zasad dostępu warunkowego urządzenie może być dozwolone lub zablokowane. Aby uzyskać więcej informacji, zobacz Typowe sposoby korzystania z dostępu warunkowego w usłudze Intune?

Operacje odnajdywaniai zezwalania i blokowania są wykonywane przy użyciu standardowych poleceń cmdlet programu Exchange PowerShell. Te operacje korzystają z konta usługi podanego podczas początkowej instalacji programu Exchange Connector.

Usługa Intune obsługuje instalację wielu łączników programu Intune Exchange na subskrypcję. Jeśli masz więcej niż jedną lokalną organizację programu Exchange, możesz skonfigurować oddzielny łącznik dla każdej z nich. Jednak dla każdej organizacji programu Exchange można zainstalować tylko jeden łącznik.

Wykonaj następujące ogólne kroki, aby skonfigurować połączenie, które umożliwia usłudze Intune komunikowanie się z lokalnym serwerem Exchange:

  1. Pobierz łącznik lokalny z centrum administracyjnego Microsoft Intune.
  2. Zainstaluj i skonfiguruj program Exchange Connector na komputerze w lokalnej organizacji programu Exchange.
  3. Zweryfikuj połączenie z programem Exchange.
  4. Powtórz te kroki dla każdej dodatkowej organizacji programu Exchange, z którą chcesz nawiązać połączenie z usługą Intune.

Jak działa dostęp warunkowy dla lokalnego programu Exchange

Dostęp warunkowy lokalnego programu Exchange działa inaczej niż zasady oparte na dostępie warunkowym platformy Azure. Łącznik lokalny programu Intune Exchange jest instalowany w celu bezpośredniej interakcji z serwerem programu Exchange. Łącznik programu Intune Exchange pobiera wszystkie rekordy usługi Exchange Active Sync (EAS) istniejące na serwerze Exchange, dzięki czemu usługa Intune może pobierać te rekordy EAS i mapować je na rekordy urządzeń usługi Intune. Te rekordy to urządzenia zarejestrowane i rozpoznawane przez usługę Intune. Ten proces umożliwia lub blokuje dostęp do poczty e-mail.

Jeśli rekord EAS jest nowy i usługa Intune nie jest tego świadoma, usługa Intune wydaje polecenie cmdlet (wymawiane jako "command-let"), które nakazuje serwerowi Exchange zablokowanie dostępu do poczty e-mail. Poniżej przedstawiono więcej szczegółów na temat działania tego procesu:

Lokalny program Exchange z wykresem przepływowym urzędu certyfikacji

  1. Użytkownik próbuje uzyskać dostęp do firmowej poczty e-mail hostowanej w lokalnym programie Exchange 2010 z dodatkiem SP1 lub nowszym.

  2. Jeśli urządzenie nie jest zarządzane przez usługę Intune, dostęp do poczty e-mail zostanie zablokowany. Usługa Intune wysyła powiadomienie o bloku do klienta EAS.

  3. Usługa EAS odbiera powiadomienie o bloku, przenosi urządzenie do kwarantanny i wysyła wiadomość e-mail o kwarantannie z krokami korygowania zawierającymi linki, aby użytkownicy mogli rejestrować swoje urządzenia.

  4. Proces dołączania do miejsca pracy jest pierwszym krokiem do zarządzania urządzeniem przez usługę Intune.

  5. Urządzenie zostanie zarejestrowane w usłudze Intune.

  6. Usługa Intune mapuje rekord EAS na rekord urządzenia i zapisuje stan zgodności urządzenia.

  7. Identyfikator klienta usługi EAS jest rejestrowany w procesie rejestracji urządzenia Microsoft Entra, który tworzy relację między rekordem urządzenia usługi Intune a identyfikatorem klienta eas.

  8. Microsoft Entra Rejestracja urządzenia zapisuje informacje o stanie urządzenia.

  9. Jeśli użytkownik spełnia zasady dostępu warunkowego, usługa Intune wystawia polecenie cmdlet za pośrednictwem łącznika programu Intune Exchange, które umożliwia synchronizację skrzynki pocztowej.

  10. Serwer Exchange wysyła powiadomienie do klienta eas, aby użytkownik mógł uzyskać dostęp do poczty e-mail.

Wymagania dotyczące łącznika programu Intune Exchange

Aby nawiązać połączenie z programem Exchange, potrzebne jest konto z licencją usługi Intune, z którego może korzystać łącznik. Należy określić konto podczas instalowania łącznika.

W poniższej tabeli przedstawiono wymagania dotyczące komputera, na którym jest instalowany łącznik programu Intune Exchange.

Wymóg Więcej informacji
Systemy operacyjne Usługa Intune obsługuje program Intune Exchange Connector na komputerze z dowolną wersją systemu Windows Server 2008 z dodatkiem SP2 64-bitowym, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 lub Windows Server 2016.

Łącznik nie jest obsługiwany w żadnej instalacji server core.
Microsoft Exchange Łączniki lokalne wymagają programu Microsoft Exchange 2010 z dodatkiem SP3 lub nowszego lub starszego Exchange Online Dedykowane. Aby ustalić, czy środowisko Exchange Online Dedykowane jest w nowej lub starszej konfiguracji, skontaktuj się z menedżerem konta.
Urząd zarządzania urządzeniami przenośnymi Ustaw urząd zarządzania urządzeniami przenośnymi na intune.
Sprzęt Komputer, na którym jest instalowany łącznik, wymaga procesora 1,6 GHz z 2 GB pamięci RAM i 10 GB wolnego miejsca na dysku.
Synchronizacja z usługą Active Directory Przed użyciem łącznika w celu nawiązania połączenia usługi Intune z serwerem Exchange skonfiguruj synchronizację usługi Active Directory. Użytkownicy lokalni i grupy zabezpieczeń muszą zostać zsynchronizowani z wystąpieniem Microsoft Entra identyfikatora.
Dodatkowe oprogramowanie Komputer hostujący łącznik musi mieć pełną instalację programu Microsoft .NET Framework 4.5 i Windows PowerShell 2.0.
Sieci Komputer, na którym jest instalowany łącznik, musi znajdować się w domenie, która ma relację zaufania z domeną hostującą serwer Exchange.

Skonfiguruj komputer, aby umożliwić mu dostęp do usługi Intune za pośrednictwem zapór i serwerów proxy za pośrednictwem portów 80 i 443. Usługa Intune używa następujących domen:
- manage.microsoft.com
- *manage.microsoft.com
- *.manage.microsoft.com

Łącznik programu Intune Exchange komunikuje się z następującymi usługami:
— Usługa Intune: port HTTPS 443
- Serwer dostępu klienta programu Exchange (CAS): port usługi WinRM 443
— Wykrywanie automatyczne programu Exchange 443
— Exchange Web Services (EWS) 443

Wymagania dotyczące poleceń cmdlet programu Exchange

Utwórz konto użytkownika usługi Active Directory dla łącznika programu Intune Exchange. Konto musi mieć uprawnienia do uruchamiania następujących poleceń cmdlet programu Windows PowerShell Exchange:

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings
  • Get-CasMailbox, Set-CasMailbox
  • Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy
  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule
  • Get-ActiveSyncDeviceStatistics
  • Get-ActiveSyncDevice
  • Get-ExchangeServer
  • Get-ActiveSyncDeviceClass
  • Get-Recipient
  • Clear-ActiveSyncDevice, Remove-ActiveSyncDevice
  • Set-ADServerSettings
  • Get-Command

Pobieranie pakietu instalacyjnego

Obsługa nowych instalacji programu Exchange Connector została wycofana w lipcu 2020 r., a pakiet instalacyjny łącznika nie jest już dostępny do pobrania. Zamiast tego użyj nowoczesnego uwierzytelniania hybrydowego programu Exchange (HMA).

Instalowanie i konfigurowanie łącznika programu Intune Exchange

Obsługa nowych instalacji programu Exchange Connector została wycofana w lipcu 2020 r., a pakiet instalacyjny łącznika nie jest już dostępny do pobrania. Zamiast tego użyj nowoczesnego uwierzytelniania hybrydowego programu Exchange (HMA). Poniższe instrukcje są obsługiwane w celu użycia ponownej instalacji łącznika.

Wykonaj następujące kroki, aby zainstalować łącznik programu Intune Exchange. Jeśli masz wiele organizacji programu Exchange, powtórz kroki dla każdego łącznika programu Exchange, który chcesz skonfigurować.

  1. W obsługiwanym systemie operacyjnym programu Intune Exchange Connector wyodrębnij pliki w Exchange_Connector_Setup.zip do bezpiecznej lokalizacji.

    Ważna

    Nie zmieniaj nazwy ani nie przenosij plików znajdujących się w folderze Exchange_Connector_Setup . Te zmiany spowodują niepowodzenie instalacji łącznika.

  2. Po wyodrębnieniu plików otwórz wyodrębniony folder i kliknij dwukrotnie Exchange_Connector_Setup.exe , aby zainstalować łącznik.

    Ważna

    Jeśli folder docelowy nie jest bezpieczną lokalizacją, usuń plik certyfikatu MicrosoftIntune.accountcert po zakończeniu instalowania łączników lokalnych.

  3. W oknie dialogowym Microsoft Intune Exchange Connector wybierz pozycję Lokalna Microsoft Exchange Server lub Hostowana Microsoft Exchange Server.

    Obraz przedstawiający, gdzie wybrać typ Exchange Server

    W przypadku lokalnego serwera Exchange podaj nazwę serwera lub w pełni kwalifikowaną nazwę domeny serwera Exchange hostującego rolę serwera dostępu klienta .

    W przypadku hostowanego serwera Exchange podaj adres serwera Exchange. Aby znaleźć adres URL hostowanego serwera Exchange:

    1. Otwórz Outlook dla Microsoft 365.

    2. Wybierz ikonę ? w lewym górnym rogu, a następnie wybierz pozycję Informacje.

    3. Znajdź wartość serwera zewnętrznego POP .

    4. Wybierz pozycję Serwer proxy , aby określić ustawienia serwera proxy dla hostowanego serwera Exchange.

      1. Wybierz pozycję Użyj serwera proxy podczas synchronizowania informacji o urządzeniu przenośnym.

      2. Wprowadź nazwę serwera proxy i numer portu , który ma zostać użyty do uzyskania dostępu do serwera.

      3. Jeśli do uzyskania dostępu do serwera proxy są wymagane poświadczenia użytkownika, wybierz pozycję Użyj poświadczeń, aby nawiązać połączenie z serwerem proxy. Następnie wprowadź domenę\użytkownika i hasło.

      4. Wybierz pozycję OK.

  4. W polach Użytkownik (domena\użytkownik) i Hasło wprowadź poświadczenia, aby nawiązać połączenie z serwerem Exchange. Określone konto musi mieć licencję na korzystanie z usługi Intune.

  5. Podaj poświadczenia do wysyłania powiadomień do Exchange Server skrzynki pocztowej użytkownika. Ten użytkownik może być dedykowany tylko do powiadomień. Użytkownik powiadomień potrzebuje skrzynki pocztowej programu Exchange do wysyłania powiadomień pocztą e-mail. Te powiadomienia można skonfigurować przy użyciu zasad dostępu warunkowego w usłudze Intune.

    Upewnij się, że usługa wykrywania automatycznego i usługi Exchange Web Services są skonfigurowane na serwerze CAS programu Exchange. Aby uzyskać więcej informacji, zobacz Serwer dostępu klienta.

  6. W polu Hasło podaj hasło dla tego konta, aby umożliwić usłudze Intune dostęp do serwera Exchange.

    Uwaga

    Konto używane do logowania się do dzierżawy musi być co najmniej administratorem usługi Intune. Bez tego konta administratora otrzymasz nieudane połączenie z błędem "Serwer zdalny zwrócił błąd: (400) Nieprawidłowe żądanie".

  7. Wybierz pozycję Połącz.

    Uwaga

    Skonfigurowanie połączenia może potrwać kilka minut.

Podczas konfiguracji program Exchange Connector przechowuje ustawienia serwera proxy, aby umożliwić dostęp do Internetu. Jeśli ustawienia serwera proxy ulegnieją zmianie, skonfiguruj ponownie łącznik programu Exchange, aby zastosować zaktualizowane ustawienia serwera proxy do łącznika programu Exchange.

Po skonfigurowaniu połączenia przez program Exchange Connector urządzenia przenośne skojarzone z użytkownikami zarządzanymi przez program Exchange są automatycznie synchronizowane i dodawane do programu Exchange Connector. Wykonanie tej synchronizacji może zająć trochę czasu.

Uwaga

Jeśli zainstalujesz łącznik programu Intune Exchange, a później musisz usunąć połączenie programu Exchange, musisz odinstalować łącznik z komputera, na którym został zainstalowany.

Instalowanie łączników dla wielu organizacji programu Exchange

Obsługa nowych instalacji programu Exchange Connector została wycofana w lipcu 2020 r. Zamiast tego użyj nowoczesnego uwierzytelniania hybrydowego programu Exchange (HMA). Informacje przedstawione w poniższych sekcjach są udostępniane do obsługi klientów, którzy nadal mogą korzystać z lokalnego programu Intune Exchange Connector.

Lokalna obsługa wysokiej dostępności łącznika programu Intune Exchange

W przypadku łącznika lokalnego wysoka dostępność oznacza, że jeśli serwer CAS programu Exchange używany przez łącznik stanie się niedostępny, łącznik może przełączyć się na inny cas dla tej organizacji programu Exchange. Sam łącznik programu Exchange nie obsługuje wysokiej dostępności. Jeśli łącznik nie powiedzie się, nie ma automatycznego trybu failover i musisz zainstalować nowy łącznik , aby zastąpić łącznik zakończony niepowodzeniem.

Aby przełączyć się w tryb failover, łącznik używa określonego cas do utworzenia pomyślnego połączenia z programem Exchange. Następnie odnajduje dodatkowe urzędy certyfikacji dla tej organizacji programu Exchange. To odnajdywanie umożliwia łącznikowi przejście w tryb failover do innego cas, jeśli jest dostępny, dopóki podstawowy cas nie stanie się dostępny.

Domyślnie jest włączone odnajdywanie dodatkowych urzędów certyfikacji. Jeśli musisz wyłączyć tryb failover:

  1. Na serwerze, na którym jest zainstalowany łącznik programu Exchange, przejdź do pozycji %ProgramData%\Microsoft\Windows Intune Exchange Connector.

  2. Za pomocą edytora tekstów otwórz OnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Zmień <wartość IsCasFailoverEnabled>true</IsCasFailoverEnabled> na <IsCasFailoverEnabled>false</IsCasFailoverEnabled>.

Dostosuj wydajność łącznika programu Exchange (opcjonalnie)

Jeśli Exchange ActiveSync obsługuje co najmniej 5000 urządzeń, można skonfigurować opcjonalne ustawienie w celu zwiększenia wydajności łącznika. Poprawiasz wydajność, włączając program Exchange do korzystania z wielu wystąpień obszaru uruchamiania poleceń programu PowerShell.

Przed wniesieniem tej zmiany upewnij się, że konto używane do uruchamiania łącznika programu Exchange nie jest używane do innych celów zarządzania programem Exchange. Konto programu Exchange ma ograniczoną liczbę miejsc do uruchamiania, a łącznik będzie używał większości z nich.

Dostrajanie wydajności nie jest odpowiednie dla łączników, które działają na starszym lub wolniejszym sprzęcie.

Aby zwiększyć wydajność łącznika programu Exchange:

  1. Na serwerze, na którym zainstalowano łącznik, otwórz katalog instalacyjny łącznika. Lokalizacja domyślna to C:\ProgramData\Microsoft\Windows Intune Exchange Connector.

  2. Edytuj plikOnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Znajdź pozycję EnableParallelCommandSupport i ustaw wartość true:

    <EnableParallelCommandSupport>true</EnableParallelCommandSupport>

  4. Zapisz plik, a następnie uruchom ponownie usługę Microsoft Intune Programu Exchange Connector.

Ponowne instalowanie łącznika programu Intune Exchange

Obsługa nowych instalacji programu Exchange Connector została wycofana w lipcu 2020 r., a pakiet instalacyjny łącznika nie jest już dostępny do pobrania. Zamiast tego użyj nowoczesnego uwierzytelniania hybrydowego programu Exchange (HMA). Poniższe informacje są dostarczane w celu obsługi klientów, którzy nadal mogą korzystać z lokalnego łącznika programu Intune Exchange.

Może być konieczne ponowne zainstalowanie łącznika programu Intune Exchange. Ponieważ tylko jeden łącznik może nawiązać połączenie z każdą organizacją programu Exchange, zainstalowanie drugiego łącznika dla organizacji spowoduje zastąpienie oryginalnego łącznika.

  1. Aby ponownie zainstalować nowy łącznik, wykonaj kroki opisane w sekcji Instalowanie i konfigurowanie łącznika programu Exchange .

  2. Po wyświetleniu monitu wybierz pozycję Zastąp , aby zainstalować nowy łącznik. Ostrzeżenie o konfiguracji w celu zastąpienia łącznika

  3. Kontynuuj kroki opisane w sekcji Instalowanie i konfigurowanie łącznika programu Intune Exchange, a następnie zaloguj się ponownie do usługi Intune.

  4. W ostatnim oknie wybierz pozycję Zamknij , aby zakończyć instalację. Kompletna konfiguracja

Monitorowanie łącznika programu Exchange

Po pomyślnym skonfigurowaniu łącznika programu Exchange można wyświetlić stan połączeń i ostatnią udaną próbę synchronizacji:

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycję Administracja >dzierżawąDostęp do programu Exchange.

  3. Wybierz pozycję Exchange ActiveSync łącznika lokalnego, a następnie wybierz łącznik, który chcesz wyświetlić.

  4. Konsola wyświetla szczegóły wybranego łącznika, w którym można wyświetlić stan oraz datę i godzinę ostatniej pomyślnej synchronizacji.

Oprócz stanu w konsoli można użyć pakietu administracyjnego programu System Center Operations Manager dla programu Exchange Connector i usługi Intune. Pakiet administracyjny oferuje różne sposoby monitorowania łącznika programu Exchange w przypadku konieczności rozwiązywania problemów.

Ręczne wymuszanie szybkiej synchronizacji lub pełnej synchronizacji

Obsługa nowych instalacji programu Exchange Connector została wycofana w lipcu 2020 r. Zamiast tego użyj nowoczesnego uwierzytelniania hybrydowego programu Exchange (HMA). Informacje przedstawione w poniższych sekcjach są udostępniane do obsługi klientów, którzy nadal mogą korzystać z lokalnego programu Intune Exchange Connector.

Łącznik programu Intune Exchange automatycznie synchronizuje regularnie rekordy urządzeń EAS i Intune. Jeśli stan zgodności urządzenia zmieni się, proces synchronizacji automatycznej regularnie aktualizuje rekordy, aby dostęp do urządzenia mógł być blokowany lub dozwolony.

  • Szybka synchronizacja odbywa się regularnie, kilka razy dziennie. Szybka synchronizacja pobiera informacje o urządzeniu dla użytkowników programu Exchange licencjonowanych przez usługę Intune i lokalnych użytkowników programu Exchange, którzy są objęci dostępem warunkowym i które uległy zmianie od czasu ostatniej synchronizacji.

  • Pełna synchronizacja odbywa się domyślnie raz dziennie. Pełna synchronizacja pobiera informacje o urządzeniu dla wszystkich użytkowników programu Exchange licencjonowanych przez usługę Intune i lokalnych, którzy są objęci dostępem warunkowym. Pełna synchronizacja pobiera również informacje Exchange Server i zapewnia zaktualizowanie konfiguracji określonej przez usługę Intune na serwerze Exchange.

Możesz wymusić uruchomienie synchronizacji przez łącznik przy użyciu opcji Szybkiej synchronizacji lub Pełna synchronizacja na pulpicie nawigacyjnym usługi Intune:

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycję Administracja >dzierżawąDostęp do> programu Exchange Exchange ActiveSync łącznik lokalny.

  3. Wybierz łącznik, który chcesz zsynchronizować, a następnie wybierz pozycję Szybka synchronizacja lub Pełna synchronizacja.

Przykładowy zrzut ekranu przedstawiający szczegóły łącznika

Następne kroki

Utwórz zasady dostępu warunkowego dla lokalnych serwerów programu Exchange.