設定 Intune 的 Exchange 內部部署存取

  • 發行項

重要事項

內部部署 Intune Exchange 連接器的支援會在 2024 年 2 月 19 日結束。 在此日期之後,Exchange 連接器將不再與 Intune 同步。 如果您使用 Exchange 連接器,建議您在 2024 年 2 月 19 日之前採取下列其中一個動作:

本文說明如何根據裝置合規性設定 Exchange 內部部署的條件式存取。

如果您有 Exchange Online 專用環境,而且需要瞭解它是在新的或舊版設定中,請連絡您的帳戶管理員。 若要控制 Exchange 內部部署或舊版 Exchange Online 專用環境的電子郵件存取,請在 Intune 中設定 Exchange 內部部署的條件式存取。

開始之前

在您可以設定條件式存取之前,請確認下列設定存在:

  • 您的 Exchange 版本是 Exchange 2010 SP3 或更新版本。 支援 Exchange Server Client Access Server (CAS) 陣列。

  • 您已安裝並使用 Exchange ActiveSync 內部部署 Exchange 連接器,可將 Intune 連線到內部部署 Exchange。

    重要事項

    Intune 支援每個訂用帳戶多個內部部署 Exchange 連接器。 不過,每個內部部署 Exchange 連接器都是單一 Intune 租使用者專用,無法與任何其他租使用者搭配使用。 如果您有多個內部部署 Exchange 組織,您可以為每個 Exchange 組織設定個別的連接器。

  • 內部部署 Exchange 組織的連接器可以安裝在任何電腦上,只要該機器可以與 Exchange Server 通訊即可。

  • 連接器支援 Exchange CAS 環境。 Intune 支援直接在 Exchange CAS 伺服器上安裝連接器。 建議您將它安裝在不同的計算機上,因為連接器在伺服器上載入了額外的負載。 設定連接器時,您必須將其設定為與其中一部 Exchange CAS 伺服器通訊。

  • Exchange ActiveSync 必須使用憑證型驗證或使用者認證項目來設定。

  • 設定條件式存取原則並以用戶為目標時,在使用者可以連線到其電子郵件之前,他們使用的 裝置 必須是:

    • 向 Intune 註冊 或已加入網域的電腦。
    • 在 Microsoft Entra ID 中註冊。 此外,用戶端 Exchange ActiveSync標識碼必須向 Microsoft Entra ID 註冊。

  • Microsoft Entra 裝置註冊服務 (為 Intune 和 Microsoft 365 客戶自動啟用 DRS) 。 已部署ADFS裝置註冊服務的客戶在其 內部部署的 Active Directory 中看不到已註冊的裝置。 這不適用於 Windows 電腦和裝置

  • 符合 部署到該裝置的裝置合規性原則。

  • 如果裝置不符合條件式存取設定,使用者會在登入時看到下列其中一則訊息:

    • 如果裝置未向 Intune 註冊,或未在 Microsoft Entra ID 中註冊,則會顯示一則訊息,其中包含如何安裝 公司入口網站 應用程式、註冊裝置,以及啟用電子郵件的指示。 此程式也會將裝置的 Exchange ActiveSync標識碼與 Microsoft Entra ID 中的裝置記錄產生關聯。
    • 如果裝置不符合規範,則會顯示一則訊息,將用戶導向 Intune 公司入口網站 網站或 公司入口網站 應用程式。 從公司入口網站中,他們可以找到問題的相關信息,以及如何補救問題。

支援行動裝置

  • iOS/iPadOS 上的原生電子郵件應用程式 - 若要建立條件式存取原則,請參閱 建立條件式存取原則

  • Android 4 或更新版本上的 Gmail 之類的 EAS 郵件客戶 端 - 若要建立條件式存取原則,請參閱 建立條件式存取原則

  • Android Enterprise Personally-Owned Work Profile 裝置上的 EAS 郵件客戶端 - Android Enterprise 個人擁有的工作配置檔裝置僅支援 GmailNine Work for Android Enterprise。 若要讓條件式存取使用 Android Enterprise 個人擁有的工作設定檔,您必須部署 GmailNine Work for Android Enterprise 應用程式的電子郵件設置檔,同時將這些應用程式部署為必要的安裝。 部署應用程式之後,您可以設定裝置型條件式存取。

  • Android 裝置系統管理員上的 EAS 郵件用戶端 - 若要建立條件式存取原則,請參閱 建立條件式存取原則

重要事項

Microsoft Intune 於 2024 年 8 月 30 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,先切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 終止 GMS 裝置上的 Android 裝置系統管理員支援

設定 Android Enterprise 個人擁有工作設定檔裝置的條件式存取

  1. 登入 Microsoft Intune 系統管理中心

  2. 將 Gmail 或 Nine Work 應用程式部署為 必要專案

  3. 移至 [ 裝置>設定] ,然後選擇 [建立]

  4. 輸入設定檔的 [名稱 ] 和 [ 描述 ]。

  5. 在 [平臺] 中選取 [Android Enterprise],選取 [配置檔類型] 中的 [Email]。

  6. 設定 電子郵件設置檔設定

  7. 當您完成時,請選取 [確定>建立] 以儲存變更。

  8. 建立電子郵件設置檔之後, 請將它指派給群組

  9. 設定 裝置型條件式存取

注意事項

不支援透過 Exchange 內部部署連接器使用適用於 Android 和 iOS/iPadOS 的 Microsoft Outlook。 如果您想要針對內部部署信箱利用 Microsoft Entra 條件式存取原則和 Intune 應用程式防護原則搭配適用於 iOS/iPadOS 和 Android 的 Outlook,請參閱搭配 iOS/iPadOS 和 Android 版 Outlook 使用混合式新式驗證

支持電腦

它目前支援使用 Intune) 註冊 MDM 時,Windows 8.1 和更新版本 (上的原生郵件應用程式。

重要事項

在 2022 年 10 月 22 日,Microsoft Intune 終止對執行 Windows 8.1 裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

如果您目前使用 Windows 8.1,建議您移至 Windows 10/11 裝置。 Microsoft Intune 具有可管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。

設定 Exchange 內部部署存取

Exchange 連接器的新安裝支援已於 2020 年 7 月淘汰,且連接器安裝套件不再可供下載。 請改用 Exchange 混合式新式驗證 (HMA) 。

您必須先安裝並設定至少一個 Intune 內部部署 Exchange Connector ,才能使用下列程式來設定 Exchange 內部部署存取控制。

  1. 登入 Microsoft Intune 系統管理中心

  2. 移至 [租使用者管理>Exchange 存取],然後選取 [Exchange 內部部署存取]

  3. 在 [ Exchange 內部部署存取] 窗格上,選擇 [ ] 以 啟用 Exchange 內部部署存取控制

    Exchange 內部部署存取畫面的範例螢幕快照

  4. 在 [ 指派] 下, 選擇 [選取要包含的群組],然後選取一或多個群組來設定存取權。

    您選取的群組成員已套用 Exchange 內部部署存取的條件式存取原則。 收到此原則的用戶必須在 Intune 中註冊其裝置,並符合合規性配置檔,才能存取 Exchange 內部部署。

    選取要包含的群組

  5. 若要排除群組,請選擇 [選取要排除的群組],然後選取一或多個免除註冊裝置需求的群組,並在存取 Exchange 內部部署之前符合合規性配置檔。

    取 [儲存 ] 以儲存您的設定,然後返回 [Exchange 存取] 窗格。

  6. 接下來,設定 Intune 內部部署 Exchange 連接器的設定。 在系統管理中心中,選取 [租用戶系統管理>Exchange 存取> Exchange ActiveSync 內部部署連接器],然後選取您要設定之 Exchange 組織的連接器。

  7. 針對 [使用者通知],選取 [編輯 ] 以開啟 [ 編輯組織 ] 工作流程,您可以在其中修改 使用者通知 訊息。

    通知之編輯組織工作流程的範例螢幕快照

    如果使用者的裝置不符合規範且想要存取 Exchange 內部部署,請修改傳送給使用者的預設電子郵件訊息。 訊息範本會使用標記語言。 您也可以在輸入訊息時看到訊息外觀的預覽

    取 [檢閱 + 儲存],然後選取 [ 儲存 ] 以儲存您的編輯,以完成 Exchange 內部部署存取的設定。

    提示

    若要深入瞭解標記語言,請參閱這篇Wikipedia 文章

  8. 接下來,選取 [進階 Exchange ActiveSync 存取設定],以開啟您設定裝置存取規則的 [進階 Exchange ActiveSync 存取設定] 工作流程。

    進階設定之編輯組織工作流程的範例螢幕快照

    • 針對 [非受控裝置存取],設定不受條件式存取或其他規則影響之裝置的全域默認存取規則:

      • 允許存取 - 所有裝置都可以立即存取 Exchange 內部部署。 如果裝置稍後評估為不符合規範的原則,或未在 Intune 中註冊,則屬於您在先前程式中設定為包含之群組中用戶的裝置會遭到封鎖。

      • 封鎖存取隔離 – 一開始會立即封鎖所有裝置存取 Exchange 內部部署。 屬於您在上一個程式中所設定之群組中用戶的裝置,會在裝置在Intune 中註冊並評估為符合規範之後,取得存取權。

        執行 Samsung Knox Standard 的 Android 裝置支援此設定。 其他 Android 裝置不支援此設定,且一律會遭到封鎖。

    • 針對 [裝置平臺例外狀況],選取 [ 新增],然後視需要為您的環境指定詳細數據。

      如果 [ 非受控裝置存取] 設定設為 [ 已封鎖],則即使有平臺例外狀況可加以封鎖,仍允許已註冊且符合規範的裝置。

  9. 選取 [確定 ] 以儲存您的編輯。

  10. 取 [檢閱 + 儲存],然後選取 [ 儲存 ] 以儲存 Exchange 條件式存取原則。

後續步驟

接下來,建立合規性政策,並將其指派給 Intune 的使用者以評估其行動裝置,請參閱 開始使用裝置合規性

針對 Microsoft Intune 中的 Intune 內部部署 Exchange 連接器進行疑難解答