通过

配置 Intune 的 Exchange 本地访问权限

  • 项目

重要

对本地 Intune Exchange 连接器的支持已于 2024 年 2 月 19 日结束。 在此日期之后,Exchange 连接器将不再与 Intune 同步。 如果使用 Exchange 连接器,我们建议在 2024 年 2 月 19 日之前执行以下操作之一:

本文介绍如何基于设备合规性配置本地 Exchange 的条件访问。

如果你具有 Exchange Online Dedicated 环境并需要确定其采用的是新配置还是旧配置,请与帐户管理员联系。 若要控制对本地 Exchange 或旧版 Exchange Online Dedicated 环境的电子邮件访问,请在 Intune 中配置本地 Exchange 的条件访问。

准备工作

在可配置条件访问之前,请先验证以下配置是否存在:

  • Exchange 版本为 Exchange 2010 SP3 或更高版本。 支持 Exchange Server 客户端访问服务器 (CAS) 阵列。

  • 已安装并使用 Exchange ActiveSync 本地 Exchange 连接器(用于将 Intune 连接到 Exchange)。

    重要

    Intune 支持每个订阅有多个本地 Exchange 连接器。 但是,每个本地 Exchange 连接器特定于单一 Intune 租户,且不能用于其他任何租户。 如果你拥有多个本地Exchange组织,则可以为每个 Exchange 组织设置一个单独的连接器。

  • 本地 Exchange 组织的连接器可以安装在任何能够与 Exchange 服务器通信的计算机上。

  • 此连接器支持 Exchange CAS 环境。 Intune 支持直接在 Exchange CAS 服务器上安装连接器。 建议将其安装在单独的计算机上,因为连接器会对服务器造成额外负载。 在配置连接器时,必须对其进行设置,以便与其中一个 Exchange CAS 服务器通信。

  • 必须使用基于证书的身份验证或用户凭据条目来配置 Exchange ActiveSync

  • 当配置条件访问策略并将其面向用户时,在用户可以连接到其电子邮件前,他们使用的设备必须:

    • 已注册到 Intune 或是已加入域的 PC。
    • 在 Microsoft Entra ID 中注册。 此外,客户端Exchange ActiveSync ID 必须注册到 Microsoft Entra ID。

  • Microsoft Entra设备注册服务 (DRS) 会自动为 Intune 和 Microsoft 365 客户激活。 已经部署了 ADFS 设备注册服务的用户不会在他们本地的 Active Directory 上看到已注册的设备。 这不适用于 Windows 电脑和 Windows Phone 设备

  • 符合部署到该设备的设备合规性策略。

  • 如果设备不满足条件访问设置,则用户会在登录时会看到以下消息的其中一条:

    • 如果设备未注册到 Intune,或者未在 Microsoft Entra ID 中注册,则会显示一条消息,其中包含有关如何安装公司门户应用、注册设备以及激活电子邮件的说明。 此过程还会将设备的Exchange ActiveSync ID 与 Microsoft Entra ID 中的设备记录相关联。
    • 如果设备不合规,则会显示一条消息,引导用户转到 Intune 公司门户网站或公司门户应用。 在公司门户中,可以找到问题的详细信息和纠正方法。

对移动设备的支持

  • iOS/iPadOS 的本机电子邮件应用 - 若要创建条件访问策略,请参阅创建条件访问策略

  • EAS 邮件客户端(如 Android 4 或更高版本上的 Gmail)- 若要创建条件访问策略,请参阅创建条件访问策略

  • Android Enterprise Personally-Owned 工作配置文件设备上的 EAS 邮件客户端 - Android Enterprise 个人拥有的工作配置文件设备上仅支持 GmailNine Work for Android Enterprise。 要使条件访问能够使用 Android Enterprise 个人拥有的工作配置文件,必须为 GmailNine Work for Android Enterprise 应用部署电子邮件配置文件,并部署这些应用作为所需安装。 部署应用后,可以设置基于设备的条件访问。

  • Android 设备管理员上的 EAS 邮件客户端 - 若要创建条件访问策略,请参阅创建条件访问策略

重要

Microsoft Intune于 2024 年 8 月 30 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请阅读 在 GMS 设备上终止对 Android 设备管理员的支持

为 Android Enterprise 个人拥有的工作配置文件设备设置条件访问

  1. 登录到Microsoft Intune管理中心

  2. 将 Gmail 或 Nine Work 应用部署为“需要”。

  3. 转到 “设备>配置” ,然后选择“创建”。

  4. 输入配置文件 的“名称”“说明 ”。

  5. 在“平台”中选择“Android Enterprise”,在“配置文件类型”中选择“电子邮件”

  6. 配置电子邮件配置文件设置

  7. 完成后,选择“确定”>“创建”以保存所做的更改。

  8. 创建电子邮件配置文件后,将其分配给组

  9. 设置基于设备的条件访问

注意

Microsoft Outlook for Android 和 Microsoft Outlook for iOS/iPadOS 不通过 Exchange 本地连接器支持。 如果要将Microsoft Entra条件访问策略和 Intune 应用保护策略与 Outlook for iOS/iPadOS 和 Android 配合使用,请参阅将混合新式身份验证与 Outlook for iOS/iPadOS 和 Android 配合使用

对 PC 的支持

它当前支持 Windows 8.1 上的本机邮件应用程序,并在使用 Intune) 注册到 MDM 后 (。

重要

2022 年 10 月 22 日,Microsoft Intune终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术支持和自动更新不可用。

如果当前使用 Windows 8.1,建议迁移到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全性和设备功能。

配置 Exchange 内部部署访问权限

从 2020 年 7 月开始,不再支持新安装 Exchange Connector,且连接器安装包不再可供下载。 请改用 Exchange 混合新式验证 (HMA)。

在你可以使用以下过程来设置 Exchange 本地访问控制之前,必须为本地 Exchange 至少配置一个 Intune 本地 Exchange 连接器

  1. 登录到Microsoft Intune管理中心

  2. 转到“租户管理”>“Exchange 访问”,然后选择“Exchange 本地访问”。

  3. 在“Exchange 本地访问”窗格上,选择“”以“启用 Exchange 本地访问控制”。

    Exchange 本地访问屏幕的示例屏幕截图

  4. 在“分配”下,选择“选择要包含的组”,然后选择一个或多个要配置访问权限的组。

    所选组的成员具有适用于本地 Exchange 访问的条件访问策略。 接收此策略的用户必须在 Intune 中注册其设备,并符合合规性配置文件,然后才能访问本地 Exchange。

    选择要包含的组

  5. 若要排除组,请选择“选择要排除的组”,然后选择一个或多个不满足在访问本地 Exchange 之前注册设备并符合合规性配置文件的要求的组。

    选择“保存”以保存配置,并返回到“Exchange 访问”窗格。

  6. 接下来,配置 Intune 本地 Exchange 连接器的设置。 在管理中心,选择“租户管理>Exchange 访问>Exchange ActiveSync本地连接器”,然后选择要配置的 Exchange 组织的连接器。

  7. 对于“用户通知”,选择“编辑”以打开“编辑组织”工作流,可以在其中修改“用户通知”消息。

    编辑组织通知工作流的示例屏幕截图

    如果用户的设备不符合要求并且他们需要访问本地 Exchange,则修改发送给用户的默认电子邮件。 消息模板使用的是标记语言。 键入时还可看到消息的预览显示情况

    选择“查看并保存”,然后选择“保存”,保存编辑内容以完成 Exchange 本地访问的配置。

    提示

    若要了解有关标记语言的详细信息,请参阅这篇维基百科文章

  8. 接下来,选择“高级 Exchange ActiveSync 访问设置”以打开“高级 Exchange ActiveSync 访问设置”工作流,可以在其中配置设备访问规则。

    高级设置的“编辑组织”工作流的示例屏幕截图

    • 对于 “非托管设备访问”,请设置不受条件访问或其他规则影响的设备的全局默认规则:

      • 允许访问 - 所有设备均可立即访问本地 Exchange。 如果属于前面过程中配置为包含的组中用户的设备,后来被评估为不符合合规性策略或未在 Intune 中注册,将阻止此设备。

      • 阻止访问隔离 – 一开始会立即阻止所有设备访问本地 Exchange。 属于前面过程中配置为包含的组中的用户的设备在 Intune 中注册后获取访问权限,并被评估为符合策略。

        运行 Samsung Knox 标准的 Android 设备支持此设置。 其他 Android 设备不支持此设置,并且始终会被阻止。

    • 对于“设备平台例外”,选择“添加”,然后根据环境需要指定详细信息。

      如果将“非托管设备访问”设置为“已阻止”,则即使平台专门阻止,已注册且符合要求的设备仍可访问。

  9. 选择“确定”,保存你的编辑内容。

  10. 选择“查看并保存”,然后选择“保存”以保存 Exchange 条件访问策略。

后续步骤

接下来,创建合规性策略并将其分配给 Intune 的用户以评估其移动设备,请参阅设备合规性入门

Microsoft Intune 中 Intune 本地 Exchange 连接器疑难解答