Configurar o acesso local ao Exchange para o Intune

Importante

O suporte para o conector local do Intune Exchange termina em 19 de fevereiro de 2024. Após essa data, o conector do Exchange não será mais sincronizado com o Intune. Se você usar o conector do Exchange, recomendamos executar uma das seguintes ações antes de 19 de fevereiro de 2024:

• Migrar suas caixas de correio do Exchange para o Exchange online
• Configurar a autenticação moderna híbrida

Este artigo mostra como configurar o Acesso Condicional para o Exchange local com base na conformidade do dispositivo.

Se você tiver um ambiente Dedicado do Exchange Online e precisar descobrir se ele está na configuração nova ou herdada, entre em contato com seu gerente de conta. Para controlar o acesso de email ao Exchange local ou ao seu ambiente herdado do Exchange Online Dedicado, configure o acesso condicional ao Exchange local no Intune.

Antes de começar

Antes de configurar o Acesso Condicional, verifique se as seguintes configurações existem:

• Sua versão do Exchange é Exchange 2010 SP3 ou posterior. Há suporte para a matriz CAS (Servidor de Acesso para Cliente) do servidor Exchange.

• Você precisa instalar e usar o conector do Exchange local do Exchange ActiveSync, que conecta o Intune ao Exchange local.

  Importante

  O Intune dá suporte a vários conectores locais do Exchange por assinatura. No entanto, cada conector do Exchange local é específico a um único locatário do Intune e não pode ser usado com nenhum outro locatário. Se você tiver mais de uma organização local do Exchange, poderá configurar um conector separado para cada organização do Exchange.

• O conector para uma organização do Exchange local pode ser instalado em qualquer computador, desde que o computador possa se comunicar com o servidor do Exchange.

• O conector dá suporte ambiente CAS do Exchange. O Intune é compatível com a instalação diretamente do conector no servidor CAS do Exchange. Recomendamos que você instale-o em um computador separado devido à carga adicional que o conector coloca no servidor. Ao configurar o conector, você deve configurá-lo para se comunicar com um dos servidores CAS do Exchange.

• O Exchange ActiveSync deve ser configurado com autenticação baseada em certificado ou entrada de credencial de usuário.

• Quando políticas de Acesso Condicionais são configuradas e direcionadas ao usuário, antes de um usuário se conectar ao email, o dispositivo usado deverá:

  • Inscrito no Intune ou é um PC associado ao domínio.
  • Registrado em Microsoft Entra ID. Além disso, o cliente Exchange ActiveSync ID deve ser registrado com Microsoft Entra ID.

• Microsoft Entra DRS (Serviço de Registro de Dispositivo) é ativado automaticamente para clientes do Intune e do Microsoft 365. Os clientes que já implantaram o Serviço de Registro de Dispositivo do ADFS não veem dispositivos registrados em seus Active Directory local. Isso não se aplica a computadores e dispositivos Windows.

• Compatível com políticas de conformidade do dispositivo implantadas nesse dispositivo.

• Se o dispositivo não atender às configurações de Acesso Condicional, uma das mensagens a seguir será apresentada ao usuário quando ele entrar:

  • Se o dispositivo não estiver registrado no Intune ou não estiver registrado no Microsoft Entra ID, uma mensagem será exibida com instruções sobre como instalar o aplicativo Portal da Empresa, registrar o dispositivo e ativar o email. Esse processo também associa a ID Exchange ActiveSync do dispositivo ao registro do dispositivo em Microsoft Entra ID.
  • Se o dispositivo não estiver em conformidade, será exibida uma mensagem que direcionará o usuário ao site Portal da Empresa do Intune ou ao aplicativo Portal da Empresa. No portal da empresa, ele pode encontrar informações sobre o problema e como corrigi-lo.

Suporte para dispositivos móveis

• Aplicativo de email nativos no iOS/iPadOS – para criar a política de acesso condicional, confira Criar políticas de Acesso Condicional

• Clientes de email EAS, como Gmail no Android 4 ou posteriores – para criar a política de acesso condicional, confira Criar políticas de Acesso Condicional

• Clientes de email do EAS no Android Enterprise Personally-Owned dispositivos de Perfil de Trabalho – somente o Gmail e o Nine Work for Android Enterprise têm suporte em dispositivos de perfil de trabalho de propriedade pessoal do Android Enterprise . Para que o Acesso Condicional funcione com perfis de trabalho de propriedade pessoal do Android Enterprise, você deve implantar um perfil de email para o aplicativo Gmail ou Nine Work for Android Enterprise e também implantar esses aplicativos como uma instalação necessária. Depois de implantar o aplicativo, você pode configurar o Acesso Condicional com base no dispositivo.

• Clientes de email EAS no administrador de dispositivo Android – para criar a política de Acesso Condicional, confira Criar políticas de Acesso Condicional

Importante

Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.

Para configurar o Acesso Condicional para dispositivos de perfil de trabalho de propriedade pessoal do Android Enterprise

1. Entre no Centro de administração do Microsoft Intune.

2. Implante o aplicativo Gmail ou Nine Work conforme Necessário.

3. Vá para Configuração de Dispositivos> e escolha *Criar.

4. Insira um nome e uma descrição para o perfil.

5. Selecione Android Enterprise em Plataforma; selecione Email em Tipo de perfil.

6. Defina as configurações de perfil de email.

7. Quando terminar, selecione OK>Criar para salvar suas alterações.

8. Depois de criar o perfil de email, atribua-o a grupos.

9. Configurar acesso condicional baseado em dispositivo.

Observação

O uso do Microsoft Outlook para Android e iOS/iPadOS por meio do conector local do Exchange não é compatível. Se você quiser aproveitar Microsoft Entra políticas de Acesso Condicional e Políticas de Proteção de Aplicativo do Intune com o Outlook para iOS/iPadOS e Android para suas caixas de correio locais, consulte Usando autenticação moderna híbrida com o Outlook para iOS/iPadOS e Android.

Suporte para computadores

Atualmente, ele dá suporte ao aplicativo mail nativo no Windows 8.1 e posterior (quando registrado no MDM com o Intune).

Importante

Em 22 de outubro de 2022, Microsoft Intune encerrou o suporte para dispositivos que executam Windows 8.1. A assistência técnica e as atualizações automáticas nesses dispositivos não estão disponíveis.

Se você usar Windows 8.1 no momento, recomendamos mudar para dispositivos Windows 10/11. Microsoft Intune tem recursos internos de segurança e dispositivo que gerenciam dispositivos cliente Windows 10/11.

Configurar o acesso local ao Exchange

O suporte para novas instalações do conector do Exchange foi preterido em julho de 2020, e o pacote de instalação do conector não está mais disponível para download. Em vez disso, use a HMA (autenticação moderna híbrida) do Exchange.

Antes de poder usar o procedimento a seguir para configurar o controle de acesso local do Exchange, você deve instalar e configurar pelo menos um conector do Exchange local do Intune para o Exchange local.

1. Entre no Centro de administração do Microsoft Intune.

2. Acesse Administração de locatário>Acesso ao Exchange e, em seguida, selecione Acesso local do Exchange.

3. No painel Acesso ao Exchange local, escolha Sim para Habilitar o controle de acesso do Exchange local.

   

4. Em Atribuição, escolha Selecionar grupos para incluir e selecione um ou mais grupos para configurar o acesso.

   Os membros dos grupos selecionados têm a política de Acesso Condicional para acesso ao Exchange local aplicada a eles. Os usuários que recebem essa política precisam registrar seus dispositivos no Intune e atender aos perfis de conformidade antes de poderem acessar o Exchange local.

   

5. Para excluir grupos, escolha Selecionar grupos para excluir e, em seguida, selecione um ou mais grupos isentos de requisitos para registrar dispositivos e para ficar em conformidade com os perfis de conformidade antes de acessar o Exchange local.

   Selecione Salvar para salvar a configuração e retornar para o painel Acesso do Exchange.

6. Depois, defina as configurações para o conector do Exchange local do Intune. No centro de administração, selecione Administração> delocatários Do Exchange Access>Exchange ActiveSync conector local e selecione o conector para a organização exchange que você deseja configurar.

7. Para Notificações de usuário, selecione Editar para abrir o fluxo de trabalho Editar organização, em que é possível modificar a mensagem Notificação do usuário.

   

   Modifique a mensagem de email padrão que será enviada aos usuários se o dispositivo deles não estiver em conformidade e se quiserem acessar o Exchange local. O modelo de mensagem usa a linguagem de marcação. Também é possível ver a versão prévia de aparência da mensagem conforme você digita

   Selecione Revisar + salvar e Salvar para salvar suas edições e concluir a configuração de acesso ao Exchange local.

   Dica

   Para saber mais sobre a linguagem de marcação, consulte este artigo da Wikipédia.

8. Em seguida, selecione Configurações avançadas de acesso do Exchange ActiveSync para abrir o fluxo de trabalho Configurações avançadas de acesso do Exchange ActiveSync no qual você configura as regras de acesso ao dispositivo.

   

   • Para acesso a dispositivos não gerenciados, defina a regra padrão global para acesso de dispositivos que não são afetados pelo Acesso Condicional ou outras regras:

     • Permitir acesso: todos os dispositivos podem acessar o Exchange local imediatamente. Os dispositivos que pertencem aos usuários nos grupos configurados como incluídos no procedimento anterior serão bloqueados se, posteriormente, forem avaliados como não compatíveis com as políticas ou não registrados no Intune.

     • Bloquear acesso e Quarentena: todos os dispositivos serão imediatamente impedidos de acessar o Exchange local inicialmente. Os dispositivos que pertencem aos usuários nos grupos configurados como incluídos no procedimento anterior obtêm acesso após o registro do dispositivo no Intune e são avaliados como compatíveis.

       Essa configuração tem suporte em dispositivos Android que executam o Padrão Samsung Knox. Outros dispositivos Android não dão suporte a essa configuração e estão sempre bloqueados.

   • Para Exceções de plataforma de dispositivo, selecione Adicionar e especifique os detalhes conforme necessário para o seu ambiente.

     Se a configuração Acesso de dispositivo não gerenciado estiver definida como Bloqueado, os dispositivos que estão registrados e em conformidade serão permitidos mesmo se houver uma exceção de plataforma para bloqueá-los.

9. Selecione OK para salvar suas edições.

10. Selecione Revisar + salvar e Salvar para salvar a política de Acesso Condicional do Exchange.

Próximas etapas

Em seguida, crie uma política de conformidade e a atribua aos usuários do Intune para avaliar os dispositivos móveis deles. Confira Introdução à conformidade do dispositivo.

Solucionar problemas do conector do Exchange local do Intune no Microsoft Intune