Intune ile Şirket İçi Exchange’e ve eski Adanmış Exchange Online ortamına e-posta erişimini korumaProtect email access to Exchange on-premises and legacy Exchange Online Dedicated with Intune

Şunlar için geçerlidir: Klasik portalda IntuneApplies to: Intune in the classic portal
Azure portalında Intune hakkında belgeler mi arıyorsunuz?Looking for documentation about Intune in the Azure portal? Buraya gidin.Go here.

Microsoft Intune kullanarak şirket içi Exchange'e veya eski Adanmış Exchange Online ortamına koşullu erişim denetimli e-posta erişimini yapılandırabilirsiniz.You can configure conditional access control email access to Exchange on-premises or to legacy Exchange Online Dedicated by using Microsoft Intune. Koşullu erişimin nasıl çalıştığı hakkında daha fazla bilgi edinmek için E-posta ve O365 hizmetlerine erişimi koruma makalesini okuyun.To learn more about how conditional access works, read the Protect access to email and O365 services article.

Not

Adanmış Exchange Online ortamınız varsa ve bunun yapılandırmasının yeni mi yoksa eski mi olduğunu bulmanız gerekiyorsa hesap yöneticinize başvurun.If you have an Exchange Online Dedicated environment and need to find out whether it's in the new or the legacy configuration, contact your account manager.

Başlamadan önceBefore you begin

Aşağıdaki noktaları doğruladığınızdan emin olun:Make sure to verify the following:

  • Exchange sürümünüzün Exchange 2010 veya üzeri olması gerekir.Your Exchange version must be Exchange 2010 or later. Exchange Server İstemci Erişimi Sunucusu (CAS) dizileri desteklenir.Exchange Server Client Access Server (CAS) arrays are supported.

  • Intune ile Şirket İçi Exchange'i bağlayan Intune şirket içi Exchange bağlayıcısını kullanmanız gerekir.You must use the Intune on-premises Exchange connector, which connects Intune to Exchange on-premises. Bu, cihazları Intune konsolu üzerinden yönetmenizi sağlar.This lets you manage devices through the Intune console.

    • Intune konsolunda size sağlanan Şirket İçi Exchange bağlayıcısı, Intune kiracınıza özgüdür ve başka hiçbir kiracıyla kullanılamaz.The on-premises Exchange connector that is available to you in the Intune console is specific to your Intune tenant and can't be used with any other tenant. Ayrıca, kiracınızın Exchange bağlayıcısının tek bir makineye yüklendiğinden de emin olmanız önerilir.We recommend that you also ensure that the Exchange connector for your tenant is installed on only one machine.

      Bağlayıcıyı Intune yönetim konsolundan yükleyebilirsiniz.You can download the connector from the Intune admin console. Şirket İçi Exchange bağlayıcısını yapılandırma yönergeleri için bkz. Şirket içi veya barındırılan Exchange için Şirket İçi Exchange bağlayıcısını yapılandırma.For a walkthrough on how to configure the on-premises Exchange connector, see configure Exchange on-premises connector for on-premises or hosted Exchange.

    • Bağlayıcıyı, Exchange sunucusuyla iletişim kurabilen tüm makinelere yükleyebilirsiniz.You can install the connector on any machine as long as that machine can communicate with the Exchange server.

    • Bağlayıcı, Exchange CAS ortamını destekler.The connector supports the Exchange CAS environment. İstiyorsanız bağlayıcıyı Exchange CAS sunucusuna doğrudan yükleyebilirsiniz.You can technically install the connector on the Exchange CAS server directly if you want to. Ancak bu, sunucu üzerindeki yükü artıracağı için önerilmez.However, we don't recommend it because it increases the load on the server. Bağlayıcıyı yapılandırırken Exchange CAS sunucularından biriyle iletişim kurabilecek şekilde yapılandırmanız gerekir.When you configure the connector, you must set it up to communicate with one of the Exchange CAS servers.

  • Exchange ActiveSync, sertifika tabanlı kimlik doğrulaması veya kullanıcı kimlik bilgileri girişiyle yapılandırılmalıdır.You must configure Exchange ActiveSync with certificate-based authentication or user credential entry.

Cihaz uyumluluk gereksinimleriDevice compliance requirements

Koşullu biçimlendirme ilkeleri yapılandırdığınızda ve bunlarla bir kullanıcı hedeflediğinizde, kullanıcının e-postasına bağlanabilmesi için önce cihazın şu özellikleri taşıması gerekir:When you configure conditional access policies and target them to a user, before a user can connect to their email, the device they use must be:

  • Etki alanına katılmış bir bilgisayar veya Intune ile kaydedilmiş olması gerekir.Either a domain-joined PC or enrolled with Intune.

  • Azure Active Directory’de kayıtlı olmalıdır.Registered in Azure Active Directory. Buna ek olarak, istemci Exchange ActiveSync kimliği Azure Active Directory’de kayıtlı olmalıdır.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.

    Azure Active Directory Cihaz Kayıt hizmeti, Intune ve Office 365 müşterileri için otomatik olarak etkinleştirilir.The Azure Active Directory Device Registration service is activated automatically for Intune and Office 365 customers. ADFS Cihaz Kayıt hizmetini zaten dağıtan müşteriler, kayıtlı cihazlarını şirket içi Active Directory'de görmez.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory. Bu, Windows bilgisayarları ve Windows Phone cihazları için geçerli değildir.This does not apply to Windows PCs and Windows Phone devices.

  • Söz konusu cihaza dağıtılan tüm Intune uyumluluk ilkeleriyle uyumlu olmalıdır.Compliant with any Intune compliance policies that are deployed to that device.

Koşullu erişimin şirket içi Exchange'de çalışma şekliHow conditional access works with Exchange on-premises

Aşağıdaki çizelgede, Şirket İçi Exchange’e yönelik koşullu erişim ilkeleri tarafından, cihazlara izin verme veya cihazları engelleme yönünde değerlendirme yapmak amacıyla kullanılan akış gösterilir.The following diagram illustrates the flow that conditional access policies for Exchange on-premises use to evaluate whether to allow or block devices.

Cihazın Şirket İçi Exchange’e erişimine izin verileceğini veya erişimin engelleneceğini belirleyen karar noktalarının gösterildiği diyagram

Koşullu erişim ilkesine uyulmazsa, cihazın engellenmesiyle kullanıcının oturum açtığında aşağıdaki karantina iletilerinden birini alması arasında 10 dakikalık bir süre vardır:If a conditional access policy isn't met, there is a 10 minute window between the device being blocked and the user receiving one of the following quarantine messages when they sign in:

  • Cihaz Intune ile kaydedilmediyse veya Azure Active Directory’de kayıtlı değilse Şirket Portalı uygulamasını yükleme, cihazı kaydetme ve e-postayı etkinleştirme yönergelerinin bulunduğu bir ileti görüntülenir.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Bu işlem cihazın Exchange ActiveSync kimliğini de Azure Active Directory’deki cihaz kaydıyla ilişkilendirir.This process also associates the device’s Exchange ActiveSync ID with the device record in Azure Active Directory.

  • Cihaz uyumlu değilse, kullanıcıyı sorun hakkında bilgi bulabileceği ve sorunu düzeltebileceği Intune Şirket Portalı Web sitesine veya Şirket Portalı uygulamasına yönlendiren bir ileti görüntülenir.If the device isn't compliant, a message is displayed that directs the user to the Intune Company Portal website or the Company Portal app, where they can find information about the problem and how to remediate it.

Mobil cihaz desteğiSupport for mobile devices

Aşağıdakiler desteklenir:The following are supported:

  • Windows Phone 8.1 ve üzeri.Windows Phone 8.1 and later.

  • iOS’ta yerel e-posta uygulaması.The native email app on iOS.

  • Android 4 veya sonraki sürümlerde Gmail gibi Exchange ActiveSync posta istemcileri.Exchange ActiveSync mail clients, such as Gmail on Android 4 or later.

  • Exchange ActiveSync posta istemcileri Android for Work cihazlar: Android for Work cihazlarda yalnızca iş profilindeki Gmail ve Nine Work uygulamaları desteklenir.Exchange ActiveSync mail clients on Android for Work devices: Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Android for Work cihazlarda koşullu erişimin çalışması için Gmail veya Nine Work uygulamasına yönelik bir e-posta profili dağıtmalısınız ve bu uygulamaları ayrıca zorunlu bir yükleme olarak dağıtmanız gerekir.For conditional access to work with Android for Work, you must deploy an email profile for the Gmail or Nine Work app, and also deploy those apps as a required installation.

Not

Android ve iOS için Microsoft Outlook uygulaması desteklenmez.The Microsoft Outlook app for Android and iOS isn't supported.

Bilgisayarlar için destekSupport for PCs

Aşağıdakiler desteklenir:The following is supported:

  • Windows 8.1 ve üstündeki Posta uygulaması (Bilgisayar Intune ile kaydedildiğinde).The Mail application on Windows 8.1 and later (when the PC is enrolled with Intune).

Koşullu erişim ilkesini yapılandırmaConfigure a conditional access policy

  1. Microsoft Intune yönetim konsolunda İlke > Koşullu Erişim > Şirket İçi Exchange İlkesi’ni seçin.In the Microsoft Intune administration console, choose Policy > Conditional Access > Exchange on-premises policy. IntuneSA5aSelectExchOnPremPolicyIntuneSA5aSelectExchOnPremPolicy

  2. İlkeyi size gereken ayarlarla yapılandırın: Şirket İçi Exchange ilkesi sayfasının ekran görüntüsüConfigure the policy with the settings that you require: Screenshot of the Exchange on-premises policy page

    • Cihaz uyumsuzsa veya Microsoft Intune'a kayıtlı değilse e-posta uygulamalarının Şirket İçi Exchange'e erişimini engelle: Bu seçeneği belirttiğinizde, Intune tarafından yönetilmeyen veya bir uyumluluk ilkesiyle uyumlu olmayan cihazların Exchange hizmetlerine erişimi engellenir.Block email apps from accessing Exchange on-premises if the device isn't compliant or isn't enrolled with Microsoft Intune: When you select this option, devices that aren't managed by Intune or aren't compliant with a compliance policy are blocked from accessing Exchange services.

    • Varsayılan kuralı geçersiz kılma - Intune'a kayıtlı ve uyumlu cihazların Exchange'e erişmesine her zaman izin ver: Bu seçeneği işaretlediğinizde, Intune’a kaydedilen ve ilkelerle uyumlu olan cihazların Exchange’e erişmesine izin verilir.Default rule override - Always allow enrolled and compliant devices to access Exchange: When you select this option, devices that are enrolled in Intune and are compliant with the compliance policies are allowed to access Exchange. Bu kural Varsayılan Kural’ı geçersiz kılar; diğer bir deyişle, Varsayılan Kural’ı erişimi karantinaya alacak veya engelleyecek şekilde ayarlasanız bile, kayıtlı ve uyumlu cihazların yine de Exchange’e erişebileceği anlamına gelir.This rule overrides the Default Rule, which means that even if you set the Default Rule to quarantine or block access, enrolled and compliant devices are still able to access Exchange.

    • Hedeflenen Gruplar: Exchange’e erişebilmesi için cihazını Intune ile kaydetmesi gereken Intune kullanıcı gruplarını seçin.Targeted Groups: Select the Intune user groups that must enroll their device with Intune before they can access Exchange.

    • Muaf Tutulan Gruplar: Koşullu erişim ilkesinden muaf tutulan Intune kullanıcı gruplarını seçin.Exempted Groups: Select the Intune user groups that are exempt from the conditional access policy. Bu listedeki kullanıcılar, aynı zamanda Hedeflenen Gruplar listesinde olsalar bile muaf tutulurlar.Users in this list are exempt even if they're also in the Targeted Groups list.

    • Platform Özel Durumları: Belirtilen mobil cihaz aileleri ve modellerinde erişim düzeylerini tanımlayan bir kural yapılandırmak için Kural Ekle’yi seçin.Platform Exceptions: Choose Add Rule to configure a rule that defines access levels for specified mobile device families and models. Bu cihazlar herhangi bir türde olabileceğinden, Intune tarafından desteklenmeyen cihaz türlerini de yapılandırabilirsiniz.Because these devices can be of any type, you can also configure device types that aren't supported by Intune.

    • Varsayılan Kural: Diğer kurallardan herhangi birinin kapsamında yer almayan bir cihaz söz konusu olduğunda cihazın Exchange’e erişmesine izin vermeyi, cihazı engellemeyi veya karantinaya almayı seçebilirsiniz.Default Rule: For a device that isn't covered by any of the other rules, you can choose to allow it to access Exchange, block it, or quarantine it. Kuralı, kayıtlı ve uyumlu cihazlarda erişime izin verecek şekilde ayarladığınızda, iOS, Windows ve Samsung KNOX cihazları için otomatik olarak e-posta erişimi verilir.When you set the rule to allow access, for devices that are enrolled and compliant, email access is granted automatically for iOS, Windows, and Samsung KNOX devices. Kullanıcının e-postasını almak için herhangi bir işlem yapması gerekmez.The user doesn't have to go through any process to get their email.

      • Samsung KNOX çalıştırmayan Android cihazlarda, e-postaya erişebilmeleri için kullanıcılar, kaydı ve uyumluluğu doğrulama işleminde yol gösteren bir karantina e-postası alır.On Android devices that don't run Samsung KNOX, users get a quarantine email, which includes a guided walkthrough to verify enrollment and compliance before they can access email. Cihazlara erişimi engellemeye veya cihazları karantinaya almaya yönelik kural ayarlarsanız Intune’a kaydedilmiş olup olmadıklarına bakılmaksızın tüm cihazların Exchange’e erişimi engellenir.If you set the rule to block access or quarantine devices, all devices are blocked from getting access to Exchange, regardless of whether they're already enrolled in Intune or not. Kayıtlı ve uyumlu cihazların bu kuraldan etkilenmesini önlemek için Varsayılan Kuralı Geçersiz Kıl kutusunu işaretleyin.To prevent enrolled and compliant devices from being affected by this rule, check the Default Rule Override box. >[!TIP] >Amacınız e-postaya erişim vermeden önce tüm cihazları engellemekse Erişimi engelle kuralını veya Karantina kuralını seçin.If your intention is to first block all devices before granting access to email, choose the Block access rule or the Quarantine rule. Varsayılan kural tüm cihaz türleri için geçerli olacaktır, böylece Intune tarafından desteklenmeyen platform özel durumları olarak yapılandırdığınız cihaz türleri de etkilenir.The default rule applies to all device types—so device types that you configure as platform exceptions that aren't supported by Intune are also affected.
    • Kullanıcı Bildirimi: Exchange’den gönderilen bildirim e-postasına ek olarak Intune, cihazın engelini kaldırma adımlarını içeren bir e-posta gönderir.User Notification: In addition to the notification email that Exchange sends, Intune sends an email that contains steps to unblock the device. Gereksinimlerinize göre özelleştirmek için, varsayılan iletiyi düzenleyebilirsiniz.You can edit the default message to customize it to your needs. Çözümleme yönergelerini içeren Intune bildirim e-posta iletisini (bu e-posta kullanıcının Exchange posta kutusuna teslim edilir) almadan önce cihazının engellenmesi durumunda kullanıcı, Exchange’e erişmek ve iletiyi görüntülemek için engellenmemiş bir cihaz ya da başka yöntemler kullanabilir.In the event that the user’s device is blocked before they receive the Intune notification email that contains remediation instructions (this email is delivered to the user’s Exchange mailbox), they can use an unblocked device or another method to access Exchange and view the message.

      • Bu özellikle, Varsayılan Kural engellemek veya karantinaya almak üzere ayarlandıysa geçerlidir.This is especially true when the Default Rule is set to block or quarantine. Bu durumda, kullanıcının uygulama mağazasına gitmesi, Microsoft Şirket Portalı uygulamasını indirmesi ve cihazını kaydetmesi gerekir.In this case, the user has to go to their app store, download the Microsoft Company Portal app, and enroll their device. Bu iOS, Windows ve Samsung KNOX cihazları için geçerlidir.This is applicable to iOS, Windows, and Samsung KNOX devices. Samsung KNOX çalıştırmayan cihazlar için karantina e-postasını alternatif bir e-posta hesabına göndermeniz gerekir.For devices that don't run Samsung KNOX, you need to send the quarantine email to an alternate email account. Kayıt ve uyumluluk sürecini tamamlamak için kullanıcının e-postayı engellenen cihazına kopyalaması gerekir.The user has to copy the email to their blocked device to complete the enrollment and compliance process. > [!NOTE] > Exchange’in bildirim e-postası gönderebilmesi için bildirim e-postasını göndermek için kullanılan hesabı belirtmeniz gerekir.In order for Exchange to be able to send the notification email, you must specify the account that is used to send the notification email. > > Ayrıntılar için bkz. Şirket içi veya barındırılan Exchange için Şirket İçi Exchange bağlayıcısını yapılandırma.For details, see Configure Exchange on-premises connector for on-premises or hosted Exchange.
  3. İşiniz bittiğinde Kaydet’i seçin.When you're done, choose Save.

  • Koşullu erişim ilkesini dağıtmanız gerekmez, hemen geçerli olur.You don't have to deploy the conditional access policy—it takes effect immediately.

  • Kullanıcı, bir Exchange ActiveSync profili ayarladıktan sonra cihazın engellenmesi bir ila üç saat arası sürebilir (Intune tarafından yönetilmiyorsa).After a user sets up an Exchange ActiveSync profile, it might take from one to three hours for the device to be blocked (if it isn't managed by Intune).

  • Engellenen kullanıcı daha sonra cihazı Intune ile kaydederse ve uyumsuzluğu çözerse iki dakika içinde e-posta erişiminin engeli kaldırılır.If a blocked user then enrolls the device with Intune and remediates noncompliance, email access will be unblocked within two minutes.

  • Kullanıcı Intune kaydını silerse cihazın engellenmesi bir ila üç saat arası sürebilir.If the user unenrolls from Intune, it might take from one to three hours for the device to be blocked.

Cihaz erişimini korumak üzere bir koşullu erişim ilkesini nasıl yapılandırabileceğinizi gösteren bazı örnek senaryoları görmek için bkz. E-posta erişimini koruma örnek senaryoları.To see some example scenarios of how you would configure a conditional access policy to protect device access, see Protect email access example scenarios.

Sonraki adımlarNext steps