Configurar o conector do Intune ao Exchange local

  • Artigo

Importante

O suporte para o conector local do Intune Exchange termina em 19 de fevereiro de 2024. Após essa data, o conector do Exchange não será mais sincronizado com o Intune. Se você usar o conector do Exchange, recomendamos executar uma das seguintes ações antes de 19 de fevereiro de 2024:

Para ajudar a proteger o acesso ao Exchange, o Intune conta com um componente local que é conhecido como o conector do Intune ao Exchange da Microsoft. Esse conector também é chamado de Exchange ActiveSync conector local em alguns locais do centro de administração do Intune.

Importante

O Intune removerá o suporte para o recurso de Conector Local do Exchange do serviço do Intune começando na versão 2007 (julho). Clientes existentes com um conector ativo poderão continuar com a funcionalidade atual no momento. Novos clientes e clientes existentes que não têm um conector ativo não poderão mais criar conectores nem gerenciar dispositivos do EAS (Exchange ActiveSync) do Intune. Para esses locatários, a Microsoft recomenda o uso da HMA (autenticação moderna híbrida) do Exchange para proteger o acesso ao Exchange local. A HMA habilita as Políticas de Proteção de Aplicativo do Intune (também conhecidas como MAM) e o Acesso Condicional por meio do Outlook Mobile para o Exchange local.

As informações neste artigo podem ajudar você a instalar e monitorar o conector do Intune ao Exchange. Você pode usar o conector com suas políticas de acesso condicional para permitir ou bloquear o acesso às suas caixas de correio locais do Exchange.

O conector é instalado e executado em seu hardware local. Ele descobre os dispositivos que se conectam ao Exchange, comunicando informações do dispositivo ao serviço do Intune. O conector permite ou bloqueia dispositivos com base no fato de os dispositivos estarem registrados e em conformidade. Essas comunicações usam o protocolo HTTPS.

Quando um dispositivo tenta acessar o Exchange Server local, o conector do Exchange mapeia os registros do EAS (Exchange ActiveSync) no Exchange Server para os registros do Intune a fim de garantir que o dispositivo esteja registrado no Intune e em conformidade com as políticas do seu dispositivo. Dependendo de suas políticas de Acesso Condicional, o dispositivo pode ser permitido ou bloqueado. Para saber mais, confira Quais são as maneiras comuns de usar o acesso condicional com o Intune?

As operações descobrir e permitir e bloquear são feitas usando cmdlets padrão do Exchange PowerShell. Essas operações usam a conta de serviço fornecida inicialmente na instalação do conector do Exchange.

O Intune dá suporte à instalação de vários conectores do Intune Exchange por assinatura. Se você tiver mais de uma organização do Exchange local, poderá configurar um conector separado para cada uma. No entanto, apenas um conector pode ser instalado para cada organização do Exchange.

Siga estas etapas gerais para configurar uma conexão que permita que o Intune se comunique com o Exchange Server local:

  1. Baixe o conector local do centro de administração Microsoft Intune.
  2. Instale e configure o conector do Exchange em um computador na organização do Exchange local.
  3. Validar a conexão do Exchange.
  4. Repita essas etapas para cada organização adicional do Exchange que você deseja conectar ao Intune.

Como funciona o acesso condicional no Exchange Local

O acesso condicional para o Exchange local funciona de maneira diferente das políticas baseadas no Acesso Condicional do Azure. Você instala o Intune Exchange Connector local para interagir diretamente com o servidor Exchange. O Intune Exchange Connector mantém todos os registros do EAS (Exchange Active Sync) que existem no servidor Exchange, de forma que o Intune possa usar esses registros do EAS e mapeá-los para registros de dispositivo do Intune. Esses registros são dispositivos registrados e reconhecidos pelo Intune. Esse processo permite ou bloqueia o acesso a email.

Se o registro do EAS é novo e o Intune não o reconhece, o Intune emite um cmdlet (pronuncia-se "comand-let") que direciona o servidor Exchange para bloquear o acesso ao email. Saiba mais a seguir sobre como esse processo funciona:

Trocar localmente com o fluxograma de AC

  1. O usuário tenta acessar o email corporativo, que está hospedado no Exchange Local 2010 SP1 ou posterior.

  2. Se o dispositivo não é gerenciado pelo Intune, ele tem o acesso ao email bloqueado. O Intune envia uma notificação de bloqueio para o cliente do EAS.

  3. O EAS recebe a notificação de bloqueio, move o dispositivo para a quarentena e envia o email de quarentena com etapas de correção que contêm links para que os usuários possam registrar seus dispositivos.

  4. Ocorre o processo de Ingresso no local de trabalho, que é a primeira etapa para que o dispositivo seja gerenciado pelo Intune.

  5. O dispositivo é registrado no Intune.

  6. O Intune mapeia o registro do EAS para um registro de dispositivo e salva o estado de conformidade do dispositivo.

  7. A ID do cliente EAS é registrada pelo processo Microsoft Entra Registro de Dispositivo, que cria uma relação entre o registro de dispositivo do Intune e a ID do cliente EAS.

  8. O Microsoft Entra Registro de Dispositivo salva as informações de estado do dispositivo.

  9. Se o usuário atender às políticas de acesso condicional, o Intune emitirá um cmdlet por meio do Intune Exchange Connector que permite a sincronização da caixa de correio.

  10. O servidor Exchange envia a notificação ao cliente do EAS, de forma que o usuário possa acessar o email.

Requisitos do conector do Intune ao Exchange

Para se conectar ao Exchange, é necessário uma conta com uma licença do Intune que o conector possa usar. Você especifica a conta ao instalar o conector.

A tabela a seguir lista os requisitos para o computador no qual o conector do Intune ao Exchange será instalado.

Requisito Mais informações
Sistemas operacionais O Intune é compatível com o conector do Intune ao Exchange em um computador que execute qualquer edição do Windows Server 2008 SP2 64 bits, do Windows Server 2008 R2, do Windows Server 2012, do Windows Server 2012 R2 ou do Windows Server 2016.

O conector não é compatível com nenhuma instalação Server Core.
Microsoft Exchange Os conectores locais exigem o Microsoft Exchange 2010 SP3 ou posteriores ou o Exchange Online Dedicado herdado. Para determinar se o seu ambiente do Exchange Online Dedicated está na configuração nova ou herdada, entre em contato com seu gerente de conta.
Autoridade de gerenciamento de dispositivo móvel Defina a autoridade de gerenciamento de dispositivo móvel para o Intune.
Hardware O computador em que você instala o conector requer uma CPU de 1,6 GHz com 2 GB de RAM e 10 GB de espaço livre em disco.
Sincronização do Active Directory Antes de usar o conector para conectar o Intune ao Exchange Server, configure a sincronização do Active Directory. Os usuários locais e os grupos de segurança devem ser sincronizados com a instância de Microsoft Entra ID.
Software adicional O computador que hospeda o conector deve ter uma instalação completa do Microsoft .NET Framework 4.5 e do Windows PowerShell 2.0.
Rede O computador no qual o conector será instalado deve estar em um domínio que tenha uma relação de confiança com o domínio que hospeda o Exchange Server.

Configure o computador para permitir que ele acesse o serviço do Intune por meio dos firewalls e servidores proxy pelas portas 80 e 443. O Intune usa estes domínios:
– manage.microsoft.com
- *manage.microsoft.com
- *.manage.microsoft.com

O conector do Intune ao Exchange se comunica com os seguintes serviços:
- Serviço Intune: HTTPS porta 443
- Exchange servidor de Acesso para Cliente (CAS): Porta de serviço WinRM 443
– Descoberta Automática do Exchange 443
– EWS (Serviços Web do Exchange) 443

Requisitos de cmdlets do Exchange

Crie uma conta de usuário no Active Directory para o conector do Intune ao Exchange. A conta deve ter permissão para executar os seguintes cmdlets do Windows PowerShell Exchange:

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings
  • Get-CasMailbox, Set-CasMailbox
  • Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy
  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule
  • Get-ActiveSyncDeviceStatistics
  • Get-ActiveSyncDevice
  • Get-ExchangeServer
  • Get-ActiveSyncDeviceClass
  • Get-Recipient
  • Clear-ActiveSyncDevice, Remove-ActiveSyncDevice
  • Set-ADServerSettings
  • Get-Command

Baixar o pacote de instalação

O suporte para novas instalações do conector do Exchange foi preterido em julho de 2020, e o pacote de instalação do conector não está mais disponível para download. Em vez disso, use a HMA (autenticação moderna híbrida) do Exchange.

Instalar e configurar o conector do Intune ao Exchange

O suporte para novas instalações do conector do Exchange foi preterido em julho de 2020, e o pacote de instalação do conector não está mais disponível para download. Em vez disso, use a HMA (autenticação moderna híbrida) do Exchange. As instruções a seguir são mantidas para o uso da reinstalação do conector.

Siga estas etapas para instalar o conector do Intune ao Exchange. Se você tiver várias organizações do Exchange, repita estas etapas para cada conector do Exchange que você deseja configurar.

  1. Em um sistema operacional compatível com o conector do Intune ao Exchange, extraia os arquivos em Exchange_Connector_Setup.zip para um local seguro.

    Importante

    Não renomeie ou mova os arquivos que estão na pasta Exchange_Connector_Setup. Essas alterações podem causar falha na instalação do conector.

  2. Depois que os arquivos forem extraídos, abra a pasta extraída e clique duas vezes em Exchange_Connector_Setup.exe para instalar o conector.

    Importante

    Se a pasta de destino não for um local seguro, exclua o arquivo de certificado MicrosoftIntune.accountcert ao concluir a instalação dos conectores locais.

  3. Na caixa de diálogo Microsoft Intune Exchange Connector, selecione Microsoft Exchange Server Local ou Microsoft Exchange Server Hospedado.

    Imagem mostrando onde escolher o tipo de Exchange Server

    Para um Exchange Server local, forneça o nome do servidor ou um nome de domínio totalmente qualificado do Exchange Server que hospeda a função de servidor Acesso para Cliente.

    Para um Exchange Server hospedado, forneça o endereço do Exchange Server. Para encontrar o URL do Exchange Server Hospedado:

    1. Abra o Outlook para Microsoft 365.

    2. Escolha o ícone ? no canto superior esquerdo e selecione Sobre.

    3. Localize o valor Servidor Externo POP.

    4. Clique em Servidor Proxy para especificar as configurações do servidor proxy para seu Exchange Server hospedado.

      1. Selecione Usar um servidor proxy ao sincronizar informações do dispositivo móvel.

      2. Insira o nome do servidor proxy e o número da porta a serem usados para acessar o servidor.

      3. Se forem necessárias credenciais de usuário para acessar o servidor proxy, selecione Usar credenciais para se conectar ao servidor proxy. Em seguida, digite o domínio\usuário e a senha.

      4. Selecione OK.

  4. Nos campos Usuário (domínio\usuário) e Senha, insira as credenciais para se conectar ao Exchange Server. A conta especificada deve ter uma licença para usar o Intune.

  5. Forneça as credenciais para enviar notificações à caixa de entrada do Exchange Server do usuário. Este usuário pode ser dedicado a apenas notificações. O usuário de notificações precisa de uma caixa de correio do Exchange para enviar notificações por email. Você pode configurar essas notificações usando as políticas de acesso condicional no Intune.

    Garanta que o serviço Descoberta Automática e os Serviços Web do Exchange estejam configurados no CAS do Exchange. Para obter mais informações, consulte Servidor de Acesso para Cliente.

  6. No campo Senha, forneça a senha da conta para habilitar o Intune a acessar o Exchange Server.

    Observação

    A conta usada para entrar no locatário precisa ser pelo menos um Administrador de serviços do Intune. Sem essa conta de administrador, você receberá uma falha de conexão com o erro "O servidor remoto retornou um erro: (400) Solicitação inválida".

  7. Escolha Conectar.

    Observação

    Pode levar alguns minutos para configurar a conexão.

Durante a configuração, o conector do Exchange armazena as configurações de proxy para habilitar o acesso à Internet. Se as configurações de proxy forem alteradas, reconfigure o conector do Exchange para aplicar as configurações de proxy atualizadas a ele.

Após o conector do Exchange configurar a conexão, os dispositivos móveis associados aos usuários que são gerenciados no Exchange serão automaticamente sincronizados e adicionados ao conector do Exchange. Pode levar algum tempo até que a sincronização seja concluída.

Observação

Se você instalar o conector do Intune ao Exchange e, posteriormente, precisar excluir a conexão do Exchange, será necessário desinstalar o conector do computador no qual foi instalado.

Instalar conectores para várias organizações do Exchange

O suporte para novas instalações do conector do Exchange foi preterido em julho de 2020. Em vez disso, use a HMA (autenticação moderna híbrida) do Exchange. As informações nas seções a seguir são fornecidas para dar suporte aos clientes que ainda podem usar o conector local do Intune Exchange.

Suporte a alta disponibilidade do conector do Intune ao Exchange local

Para o conector local, alta disponibilidade significa que, se o CAS do Exchange que o conector usa se tornar indisponível, o conector poderá mudar para um CAS diferente naquela organização do Exchange. O conector do Exchange em si não é compatível com alta disponibilidade. Se o conector falhar, não haverá failover automático e você deverá instalar um novo conector para substituir o conector com falha.

Para fazer failover, o conector usa o CAS especificado para criar uma conexão bem-sucedida com o Exchange. Em seguida, ele descobre os CASs adicionais daquela organização do Exchange. Essa descoberta permite que o conector faça failover para outro CAS caso algum esteja disponível, até que o CAS principal fique disponível.

Por padrão, a descoberta de outros CASs é habilitada. Se você precisar desativar o failover:

  1. No servidor em que o conector do Exchange está instalado, acesse %ProgramData%\Microsoft\Windows Intune Exchange Connector.

  2. Usando um editor de texto, abra OnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Altere <IsCasFailoverEnabled>true</IsCasFailoverEnabled> para <IsCasFailoverEnabled>false</IsCasFailoverEnabled>.

Ajustar o desempenho do conector do Exchange (opcional)

Quando o Exchange ActiveSync dá suporte a 5.000 dispositivos ou mais, você pode definir uma configuração opcional para melhorar o desempenho do conector. Você aumenta o desempenho habilitando o Exchange para usar várias instâncias de um espaço de execução de comando do PowerShell.

Antes de fazer essa alteração, verifique se a conta usada para executar o conector do Exchange não é usada para outros fins de gerenciamento do Exchange. Uma conta do Exchange tem um número limitado de espaços de execução, e o conector usará a maioria deles.

O ajuste de desempenho não é adequado para conectores executados em um hardware mais antigo ou mais lento.

Para melhorar o desempenho do conector do Exchange:

  1. No servidor em que o conector está instalado, abra o diretório de instalação do conector. A localização padrão é C:\ProgramData\Microsoft\Windows Intune Exchange Connector.

  2. Edite o arquivo OnPremisesExchangeConnectorServiceConfiguration.xml.

  3. Localize EnableParallelCommandSupport e defina o valor como true:

    <EnableParallelCommandSupport>true</EnableParallelCommandSupport>

  4. Salve o arquivo e reinicie o serviço Microsoft Intune Exchange Connector.

Reinstalar o conector do Intune ao Exchange

O suporte para novas instalações do conector do Exchange foi preterido em julho de 2020, e o pacote de instalação do conector não está mais disponível para download. Em vez disso, use a HMA (autenticação moderna híbrida) do Exchange. As informações a seguir são fornecidas para dar suporte aos clientes que ainda podem usar o conector local do Intune Exchange.

Talvez seja necessário reinstalar um conector do Intune ao Exchange. Como apenas um conector pode se conectar a cada organização do Exchange, se você instalar um segundo conector para a organização, o novo conector instalado substituirá o conector original.

  1. Para reinstalar o novo conector, siga as etapas descritas na seção Instalar e configurar o conector do Exchange.

  2. Quando solicitado, selecione Substituir para instalar o novo conector. Aviso de configuração para substituir um conector

  3. Continue com as etapas da seção Instalar e configurar o conector do Intune e entre novamente no Intune.

  4. Na janela final, selecione Fechar para concluir a instalação. Configuração completa

Monitorar um conector do Exchange

Após você configurar o conector do Exchange com êxito, será possível exibir o status das conexões e a última tentativa de sincronização bem-sucedida:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Administração de locatário>Acesso do Exchange.

  3. Selecione Conector local do Exchange ActiveSync e selecione o conector a exibir.

  4. O console do exibe detalhes do conector selecionado, no qual você pode exibir o Status e a data e hora da última sincronização bem-sucedida.

Além do status no console, você poderá usar o Pacote de gerenciamento do System Center Operations Manager para o conector do Exchange e Intune. O pacote de gerenciamento oferece diferentes maneiras de monitorar o conector do Exchange quando for necessário solucionar problemas.

Forçar manualmente uma sincronização rápida ou completa

O suporte para novas instalações do conector do Exchange foi preterido em julho de 2020. Em vez disso, use a HMA (autenticação moderna híbrida) do Exchange. As informações nas seções a seguir são fornecidas para dar suporte aos clientes que ainda podem usar o conector local do Intune Exchange.

Um conector do Intune ao Exchange sincroniza de modo automático os registros de dispositivo do EAS e do Intune regularmente. Se o status de conformidade de um dispositivo for alterado, o processo de sincronização automática atualizará os registros regularmente para que o acesso ao dispositivo possa ser bloqueado ou permitido.

  • Uma sincronização rápida ocorre regularmente, várias vezes ao dia. Uma sincronização rápida recupera informações de dispositivo para usuários do Exchange local e licenciados no Intune direcionados ao acesso condicional e que foram alterados desde a última sincronização.

  • Uma sincronização completa ocorre uma vez por dia por padrão. Uma sincronização completa recupera informações do dispositivo para todos os usuários do Exchange local e licenciados no Intune direcionados ao acesso condicional. Uma sincronização completa também recupera informações do servidor Exchange e garante que a configuração que o Intune especifica seja atualizada no Exchange Server.

Você pode forçar um conector a executar uma sincronização usando as opções de Sincronização Rápida ou Sincronização Completa no painel do Intune:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Administração de locatários>Acesso ao Exchange>Conector local do Exchange ActiveSync.

  3. Selecione o conector a sincronizar e escolha Sincronização Rápida ou Sincronização Completa.

Captura de tela de exemplo dos detalhes do conector

Próximas etapas

Criar uma política de Acesso Condicional para os servidores Exchange locais.