設定內部部署 Intune Exchange 連接器

  • 發行項

重要事項

內部部署 Intune Exchange 連接器的支援會在 2024 年 2 月 19 日結束。 在此日期之後,Exchange 連接器將不再與 Intune 同步。 如果您使用 Exchange 連接器,建議您在 2024 年 2 月 19 日之前採取下列其中一個動作:

為了協助保護對 Exchange 的存取,Intune 依賴稱為 Microsoft Intune Exchange 連接器的內部部署元件。 在 Intune 系統管理中心的某些位置,此連接器也稱為Exchange ActiveSync內部部署連接器

重要事項

Intune 將從 2007 (7 月) 版開始,從 Intune 服務移除 Exchange 內部部署連接器功能的支援。 具有作用中連接器的現有客戶目前將能夠繼續使用目前的功能。 沒有作用中連接器的新客戶和現有客戶將無法再從 Intune 建立新的連接器或管理Exchange ActiveSync (EAS) 裝置。 針對這些租使用者,Microsoft 建議使用 Exchange 混合式新式驗證 (HMA) 來保護 Exchange 內部部署的存取權。 HMA 會啟用 Intune 應用程式保護原則 (也稱為 MAM) 和透過 Outlook Mobile for Exchange 內部部署的條件式存取。

本文中的資訊可協助您安裝及監視 Intune Exchange 連接器。 您可以使用連接器搭配 條件式存取 原則,以允許或封鎖對 Exchange 內部部署信箱的存取。

連接器會在您的內部部署硬體上安裝並執行。 它會探索連線到 Exchange 的裝置,將裝置資訊傳達給 Intune 服務。 連接器會根據裝置是否已註冊且符合規範,來允許或封鎖裝置。 這些通訊會使用 HTTPS 通訊協定。

當裝置嘗試存取您的內部部署 Exchange 伺服器時,Exchange 連接器會將Exchange Server中的 Exchange ActiveSync (EAS) 記錄對應至 Intune 記錄,以確保裝置會向 Intune 註冊,並符合您裝置的原則。 根據您的條件式存取原則,可以允許或封鎖裝置。 如需詳細資訊,請 參閱搭配 Intune 使用條件式存取的常見方式有哪些?

探索允許和封鎖作業都是使用標準 Exchange PowerShell Cmdlet 來完成。 這些作業會使用最初安裝 Exchange 連接器時所提供的服務帳戶。

Intune 支援每個訂用帳戶安裝多個 Intune Exchange 連接器。 如果您有多個內部部署 Exchange 組織,您可以為每個組織設定個別的連接器。 不過,每個 Exchange 組織只能安裝一個連接器。

請遵循下列一般步驟來設定可讓 Intune 與內部部署 Exchange Server 通訊的連線:

  1. 從 Microsoft Intune 系統管理中心下載內部部署連接器。
  2. 在內部部署 Exchange 組織中的電腦上安裝及設定 Exchange 連接器。
  3. 驗證 Exchange 連線。
  4. 針對您想要連線到 Intune 的每個額外 Exchange 組織重複這些步驟。

Exchange 內部部署的條件式存取如何運作

Exchange 內部部署的條件式存取運作方式與以 Azure 條件式存取為基礎的原則不同。 您會安裝 Intune Exchange 內部部署連接器,以直接與 Exchange Server 互動。 Intune Exchange 連接器會提取所有 Exchange Active Sync (EAS) 存在於 Exchange Server 上的記錄,讓 Intune 可以取得這些 EAS 記錄,並將它們對應至 Intune 裝置記錄。 這些記錄是由 Intune 註冊並辨識的裝置。 此程序允許或封鎖電子郵件存取。

如果 EAS 記錄是新的,且 Intune 不知道,Intune 會發出 Cmdlet (發音為 「command-let」) ,以指示 Exchange 伺服器封鎖電子郵件存取。 以下是此程式運作方式的詳細資料:

使用 CA 流程圖的 Exchange 內部部署

  1. 使用者嘗試存取裝載于 Exchange 內部部署 2010 SP1 或更新版本的公司電子郵件。

  2. 如果裝置不是由 Intune 管理,則會封鎖對電子郵件的存取。 Intune 會將封鎖通知傳送至 EAS 用戶端。

  3. EAS 會收到封鎖通知、將裝置移至隔離區,並傳送包含連結的補救步驟的隔離電子郵件,讓使用者可以註冊其裝置。

  4. 工作場所加入程式會發生,這是由 Intune 管理裝置的第一個步驟。

  5. 裝置會註冊到 Intune。

  6. Intune 會將 EAS 記錄對應至裝置記錄,並儲存裝置合規性狀態。

  7. EAS 用戶端識別碼會由Microsoft Entra裝置註冊程式註冊,這會在 Intune 裝置記錄與 EAS 用戶端識別碼之間建立關聯性。

  8. Microsoft Entra裝置註冊會儲存裝置狀態資訊。

  9. 如果使用者符合條件式存取原則,Intune 會透過允許信箱同步處理的 Intune Exchange 連接器發出 Cmdlet。

  10. Exchange Server 會將通知傳送至 EAS 用戶端,讓使用者可以存取電子郵件。

Intune Exchange 連接器需求

若要連線到 Exchange,您需要具有連接器可使用之 Intune 授權的帳戶。 您會在安裝連接器時指定帳戶。

下表列出您安裝 Intune Exchange 連接器之電腦的需求。

需求 其他相關資訊
作業系統 Intune 在執行任何 Windows Server 2008 SP2 64 位、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 或 Windows Server 2016 版本的電腦上支援 Intune Exchange 連接器。

任何 Server Core 安裝都不支援連接器。
Microsoft Exchange 內部部署連接器需要 Microsoft Exchange 2010 SP3 或更新版本或舊版 Exchange Online Dedicated。 若要判斷您的 Exchange Online 專用環境是否處於新的舊版設定中,請連絡您的帳戶管理員。
行動裝置管理授權單位 將行動裝置管理授權單位設定為 Intune
硬體 您安裝連接器的電腦需要具有 2 GB RAM 和 10 GB 可用磁碟空間的 1.6 GHz CPU。
Active Directory 同步處理 使用連接器將 Intune 連線到 Exchange 伺服器之前,請 先設定 Active Directory 同步處理。 您的本機使用者和安全性群組必須與您的Microsoft Entra識別碼實例同步。
其他軟體 裝載連接器的電腦必須具有 Microsoft .NET Framework 4.5 和 Windows PowerShell 2.0 的完整安裝。
網路 您安裝連接器的電腦必須位於與裝載 Exchange 伺服器之網域具有信任關係的網域中。

將電腦設定為允許其透過埠 80 和 443 的防火牆和 Proxy 伺服器存取 Intune 服務。 Intune 會使用這些網域:
- manage.microsoft.com
- *manage.microsoft.com
- *.manage.microsoft.com

Intune Exchange 連接器會與下列服務通訊:
- Intune 服務:HTTPS 埠 443
- EXCHANGE 用戶端存取伺服器 (CAS) :WinRM 服務埠 443
- Exchange 自動探索 443
- Exchange Web Services (EWS) 443

Exchange Cmdlet 需求

建立 Intune Exchange 連接器的 Active Directory 使用者帳戶。 帳戶必須具有許可權,才能執行下列Windows PowerShell Exchange Cmdlet:

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings
  • Get-CasMailbox, Set-CasMailbox
  • Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy
  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule
  • Get-ActiveSyncDeviceStatistics
  • Get-ActiveSyncDevice
  • Get-ExchangeServer
  • Get-ActiveSyncDeviceClass
  • Get-Recipient
  • Clear-ActiveSyncDevice, Remove-ActiveSyncDevice
  • Set-ADServerSettings
  • Get-Command

下載安裝套件

Exchange 連接器的新安裝支援已于 2020 年 7 月淘汰,且連接器安裝套件不再可供下載。 請改用 Exchange 混合式新式驗證 (HMA) 。

安裝和設定 Intune Exchange 連接器

Exchange 連接器的新安裝支援已于 2020 年 7 月淘汰,且連接器安裝套件不再可供下載。 請改用 Exchange 混合式新式驗證 (HMA) 。 系統會維護下列指示,以使用 重新安裝連接器

請遵循下列步驟來安裝 Intune Exchange 連接器。 如果您有多個 Exchange 組織,請針對您想要設定的每個 Exchange 連接器重複步驟。

  1. 在 Intune Exchange 連接器支援的作業系統上,將 Exchange_Connector_Setup.zip 中的檔案解壓縮到安全的位置。

    重要事項

    請勿重新命名或移動 Exchange_Connector_Setup 資料夾中的檔案。 這些變更會導致連接器安裝失敗。

  2. 擷取檔案之後,請開啟解壓縮的資料夾,然後按兩下 Exchange_Connector_Setup.exe 以安裝連接器。

    重要事項

    如果目的地資料夾不是安全的位置,請在您完成安裝內部部署連接器時刪除憑證檔案 MicrosoftIntune.accountcert

  3. 在 [Microsoft Intune Exchange Connector] 對話方塊中,選取 [內部部署Microsoft Exchange Server] 或 [託管Microsoft Exchange Server]

    顯示選擇您Exchange Server類型位置的影像

    針對內部部署 Exchange 伺服器,請提供裝載 Client Access Server 角色之 Exchange 伺服器的伺服器名稱或完整功能變數名稱。

    針對託管的 Exchange 伺服器,提供 Exchange 伺服器位址。 若要尋找裝載的 Exchange 伺服器 URL:

    1. 開啟 Microsoft 365 Outlook。

    2. 選擇左上角的 圖示,然後選取 [ 關於]

    3. 找出 POP 外部伺服器 值。

    4. 選擇 [Proxy 伺服器 ] 以指定託管 Exchange 伺服器的 Proxy 伺服器設定。

      1. 選取 [同步 處理行動裝置資訊時使用 Proxy 伺服器]

      2. 輸入要用來存取 伺服器的 Proxy 伺服器名稱埠號碼

      3. 如果需要使用者認證才能存取 Proxy 伺服器,請選取 [使用認證連線到 Proxy 伺服器]。 然後輸入 domain\user密碼

      4. 選擇 [確定]

  4. 在 [ 使用者 (網域\使用者) 密碼] 欄位中,輸入認證以連線到您的 Exchange 伺服器。 您指定的帳號必須具有使用 Intune 的授權。

  5. 提供認證以將通知傳送至使用者的Exchange Server信箱。 此使用者可以專用於通知。 通知使用者需要 Exchange 信箱以電子郵件傳送通知。 您可以在 Intune 中使用條件式存取原則來設定這些通知。

    請確定已在 Exchange CAS 上設定自動探索服務和 Exchange Web 服務。 如需詳細資訊,請 參閱用戶端存取伺服器

  6. 在 [ 密碼] 欄位中,提供此帳戶的密碼,讓 Intune 能夠存取 Exchange 伺服器。

    注意事項

    您用來登入租使用者的帳戶至少必須是 Intune 服務管理員。 如果沒有此系統管理員帳戶,您將會收到連線失敗,並出現錯誤「遠端伺服器傳回錯誤: (400) 錯誤要求」。

  7. 選擇 [連線]

    注意事項

    設定連線可能需要幾分鐘的時間。

在設定期間,Exchange 連接器會儲存您的 Proxy 設定,以啟用網際網路的存取權。 如果您的 Proxy 設定變更,請重新設定 Exchange 連接器,將更新的 Proxy 設定套用至 Exchange 連接器。

在 Exchange 連接器設定連線之後,與 Exchange 管理的使用者相關聯的行動裝置會自動同步處理並新增至 Exchange 連接器。 此同步處理可能需要一些時間才能完成。

注意事項

如果您安裝 Intune Exchange 連接器,且稍後需要刪除 Exchange 連線,則必須從安裝該連接器的電腦卸載該連接器。

安裝多個 Exchange 組織的連接器

2020 年 7 月已淘汰對 Exchange 連接器新安裝的支援。 請改用 Exchange 混合式新式驗證 (HMA) 。 下列各節中的資訊是提供給支援可能仍使用內部部署 Intune Exchange 連接器的客戶。

內部部署 Intune Exchange 連接器高可用性支援

針對內部部署連接器,高可用性表示如果連接器使用的 Exchange CAS 變成無法使用,連接器可以切換至該 Exchange 組織的不同 CAS。 Exchange 連接器本身不支援高可用性。 如果連接器失敗,則不會自動容錯移轉,而且您必須 安裝新的連接器 來取代失敗的連接器。

若要容錯移轉,連接器會使用指定的 CAS 來建立成功的 Exchange 連線。 然後,它會探索該 Exchange 組織的其他 CAS。 如果有可用的 CAS,此探索可讓連接器容錯移轉至另一個 CAS,直到主要 CAS 可供使用為止。

根據預設,會啟用探索其他 CAS。 如果您需要關閉容錯移轉:

  1. 在安裝 Exchange 連接器的伺服器上,移至%ProgramData%\Microsoft\Windows Intune Exchange Connector

  2. 使用文字編輯器,開 啟OnPremisesExchangeConnectorServiceConfiguration.xml

  3. IsCasFailoverEnabled >true< /IsCasFailoverEnabled 變更 <>< IsCasFailoverEnabled >false< /IsCasFailoverEnabled >

效能微調 Exchange 連接器 (選用)

當Exchange ActiveSync支援 5,000 部以上的裝置時,您可以設定選擇性設定來改善連接器的效能。 您可以讓 Exchange 使用 PowerShell 命令執行空間的多個實例,以改善效能。

進行這項變更之前,請確定您用來執行 Exchange 連接器的帳戶不會用於其他 Exchange 管理用途。 Exchange 帳戶的運行空間數目有限,而連接器會使用大部分的空格。

效能微調不適用於在較舊或較慢硬體上執行的連接器。

若要改善 Exchange 連接器效能:

  1. 在安裝連接器的伺服器上,開啟連接器的安裝目錄。 預設位置為C:\ProgramData\Microsoft\Windows Intune Exchange Connector

  2. 編輯檔案 OnPremisesExchangeConnectorServiceConfiguration.xml

  3. 找出 EnableParallelCommandSupport 並將值設定為 true

    <EnableParallelCommandSupport > true < /EnableParallelCommandSupport>

  4. 儲存檔案,然後重新開機 Microsoft Intune Exchange 連接器服務。

重新安裝 Intune Exchange 連接器

Exchange 連接器的新安裝支援已于 2020 年 7 月淘汰,且連接器安裝套件不再可供下載。 請改用 Exchange 混合式新式驗證 (HMA) 。 下列資訊是提供給支援可能仍使用內部部署 Intune Exchange 連接器的客戶。

您可能需要重新安裝 Intune Exchange 連接器。 因為只有單一連接器可以連線到每個 Exchange 組織,所以如果您為組織安裝第二個連接器,您安裝的新連接器會取代原始連接器。

  1. 若要重新安裝新的連接器,請遵循 安裝和設定 Exchange 連接器一 節中的步驟。

  2. 出現提示時,選取 [取代 ] 以安裝新的連接器。 取代連接器的設定警告

  3. 繼續 執行安裝和設定 Intune Exchange 連接器 一節中的步驟,然後再次登入 Intune。

  4. 在最後一個視窗中,選取 [關閉 ] 以完成安裝。 完成設定

監視 Exchange 連接器

成功設定 Exchange 連接器之後,您可以檢視連線的狀態和上次成功的同步處理嘗試:

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取[租使用者系統管理>Exchange 存取]

  3. Exchange ActiveSync內部部署連接器,然後選取您要檢視的連接器。

  4. 主控台會顯示您選取之連接器的詳細資料,您可以在其中檢視 [狀態 ] 和上次成功同步處理的日期和時間。

除了主控台內狀態之外,您還可以使用 適用于 Exchange 連接器和 Intune 的 System Center Operations Manager 管理元件。 當您需要針對問題進行疑難排解時,管理元件會提供不同的方式來監視 Exchange 連接器。

手動強制執行快速同步處理或完整同步處理

2020 年 7 月已淘汰對 Exchange 連接器新安裝的支援。 請改用 Exchange 混合式新式驗證 (HMA) 。 下列各節中的資訊是提供給支援可能仍使用內部部署 Intune Exchange 連接器的客戶。

Intune Exchange 連接器會定期自動同步處理 EAS 和 Intune 裝置記錄。 如果裝置的合規性狀態變更,自動同步處理常式會定期更新記錄,以便封鎖或允許裝置存取。

  • 快速同步處理會定期發生,一天數次。 快速同步會擷取 Intune 授權和內部部署 Exchange 使用者的裝置資訊,這些使用者是以條件式存取為目標,且自上次同步處理後已變更。

  • 根據預設,每天會發生 一次完整同步 處理。 完整同步處理會擷取所有以條件式存取為目標之 Intune 授權和內部部署 Exchange 使用者的裝置資訊。 完整同步處理也會擷取Exchange Server資訊,並確保 Intune 指定的設定已在 Exchange Server 上更新。

您可以使用 Intune 儀表板上的 [快速同步 ] 或 [ 完整同步 處理] 選項,強制連接器執行同步處理:

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取[租使用者系統管理>Exchange 存取>Exchange ActiveSync內部部署連接器。

  3. 選取您要同步處理的連接器,然後選擇 [快速同步] 或 [完整同步]。

連接器詳細資料的範例螢幕擷取畫面

後續步驟

建立 內部部署 Exchange 伺服器的條件式存取原則