Настройка доступа к локальной организации Exchange для Intune
Важно!
Поддержка локального соединителя Intune Exchange прекращается 19 февраля 2024 г. После этой даты соединитель Exchange больше не будет синхронизироваться с Intune. Если вы используете соединитель Exchange, рекомендуется выполнить одно из следующих действий до 19 февраля 2024 г.
В статье описано, как настроить условный доступ к локальной организации Exchange на основе сведений о соответствии устройств.
Если для выделенной среды Exchange Online требуется определить, используется ли в ней новая или устаревшая конфигурация, обратитесь к менеджеру по работе с клиентами. Для управления доступом к электронной почте в локальной организации Exchange или прежней выделенной среде Exchange Online настройте условный доступ к локальной среде Exchange в Intune.
Прежде чем начать
Прежде чем настроить условный доступ, необходимо проверить наличие следующей конфигурации:
Используется версия Exchange 2010 с пакетом обновления 3 (SP3) или более поздней версии. Массив сервера клиентского доступа (CAS) сервера Exchange Server поддерживается.
Установлен и используется соединитель локальной службы Exchange ActiveSync, который подключает Intune к локальной среде Exchange.
Важно!
В Intune поддерживается несколько локальных соединителей Exchange на подписку. Тем не менее соединитель локальной службы Exchange предназначен для конкретного клиента Intune и его невозможно использовать с каким-либо другим клиентом. При наличии нескольких локальных организаций Exchange можно настроить отдельный соединитель для каждой из них.
Соединитель для локальной организации Exchange можно установить на любом компьютере при условии, что этот компьютер может взаимодействовать с сервером Exchange.
Этот соединитель поддерживает среду серверов клиентского доступа Exchange. Intune поддерживает установку соединителя непосредственно на сервер Exchange CAS. Но из-за дополнительной нагрузки, которую разъем возлагает на сервер, мы рекомендуем установить его на отдельном компьютере. Соединитель необходимо настроить так, чтобы он обменивался данными с одним из серверов клиентского доступа Exchange.
Exchange ActiveSync можно настроить с помощью проверки подлинности на основе сертификатов или записи учетных данных пользователя.
Если политики условного доступа настроены и ориентированы на пользователя, то для подключения к электронной почте его устройство должно соответствовать следующим требованиям:
- Компьютер, зарегистрированный в Intune или присоединенный к домену.
- Зарегистрировано в Microsoft Entra ID. Кроме того, идентификатор Exchange ActiveSync клиента должен быть зарегистрирован в Microsoft Entra ID.
служба Microsoft Entra регистрации устройств (DRS) активируется автоматически для клиентов Intune и Microsoft 365. Клиенты, которые уже развернули службу регистрации устройств ADFS, не увидят зарегистрированные устройства в своей локальной версии Active Directory. Это не относится к ПК и устройствам под управлением Windows.
Устройство должно соответствовать требованиям всех развернутых на нем политик соответствия.
Если устройство не соответствует требованиям политики условного доступа, при входе пользователь получает одно из следующих сообщений:
- Если устройство не зарегистрировано с помощью Intune или не зарегистрировано в Microsoft Entra ID, отобразится сообщение с инструкциями по установке приложения Корпоративный портал, регистрации устройства и активации электронной почты. Этот процесс также связывает идентификатор Exchange ActiveSync устройства с записью устройства в Microsoft Entra ID.
- Если устройство не соответствует требованиям, отображается сообщение, направляющее пользователя на веб-сайт корпоративного портала Intune или приложение корпоративного портала. На корпоративном портале они могут найти сведения о проблеме и способах ее устранения.
Поддержка мобильных устройств
Собственное почтовое приложение в iOS/iPadOS — чтобы создать политику условного доступа, см. раздел Создание политик условного доступа
Почтовые клиенты EAS, например Gmail на Android 4 или более поздней версии — чтобы создать политику условного доступа, см. раздел Создание политик условного доступа
Почтовые клиенты EAS на устройствах с рабочим профилем Android Enterprise Personally-Owned . На устройствах с личным рабочим профилем Android Enterprise поддерживаются только Gmail и Nine Work for Android Enterprise. Чтобы условный доступ работал с личными рабочими профилями Android Enterprise, необходимо развернуть профиль электронной почты для приложения Gmail или Nine Work for Android Enterprise , а также развернуть эти приложения в качестве необходимой установки. После развертывания приложения вы можете настроить условный доступ на основе информации об устройстве.
Почтовые клиенты EAS в администраторе устройств Android — чтобы создать политику условного доступа, см. раздел Создание политик условного доступа
Важно!
Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.
Настройка условного доступа для устройств с личным рабочим профилем Android Enterprise
Войдите в Центр администрирования Microsoft Intune.
Разверните приложение Gmail или Nine Work как обязательные.
Перейдите в раздел Настройка устройства>Управление устройствами>и выберите *Создать.
Введите имя и описание профиля.
Выберите Android Enterprise в разделе Платформа, выберите Электронная почта в разделе Тип профиля.
Настройте параметры профиля электронной почты.
По завершении нажмите ОК>Создать, чтобы сохранить изменения.
После создания профиля электронной почты назначьте его группам.
Настройте условный доступ на основе информации об устройстве.
Примечание.
Microsoft Outlook для Android и iOS/iPadOS не поддерживается при использовании локального соединителя Exchange. Если вы хотите использовать политики условного доступа Microsoft Entra и Intune политики защиты приложений в Outlook для iOS/iPadOS и Android для локальных почтовых ящиков, см. статью Использование гибридной современной проверки подлинности в Outlook для iOS/iPadOS и Android.
Поддержка ПК
В настоящее время она поддерживает собственное почтовое приложение на Windows 8.1 и более поздних версиях (при регистрации в MDM с Intune).
Важно!
22 октября 2022 г. Microsoft Intune прекратила поддержку устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.
Если в настоящее время вы используете Windows 8.1, перейдите на устройства Windows 10/11. В Microsoft Intune есть встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.
Настройка локального доступа к Exchange
Поддержка новых установок соединителя Exchange была признана устаревшей в июле 2020 г., а пакет установки соединителя больше не доступен для загрузки. Вместо этого используйте гибридную современную проверку подлинности Exchange (HMA).
Прежде чем выполнить следующую процедуру для настройки управления доступом к локальной организации Exchange, необходимо установить и настроить по крайней мере один локальный соединитель Exchange Intune для локальной организации Exchange.
Войдите в Центр администрирования Microsoft Intune.
Перейдите в раздел Администрирование клиента>Доступ к Exchange, а затем выберите Доступ к локальной организации Exchange.
На панели Доступ к локальной организации Exchange выберите Да для параметра Включить контроль доступа к локальной организации Exchange.
В разделе Назначение щелкните Выбрать группы для включения, а затем выберите одну или несколько групп для настройки доступа.
Для участников выбранных групп применяется политика условного доступа для доступа к локальной организации Exchange. Чтобы получить доступ к локальной организации Exchange, пользователям, получившим эту политику, необходимо зарегистрировать свои устройства в Intune и выполнить требования профилей соответствия.
Прежде чем получать доступ к локальной организации Exchange, для исключения групп щелкните Выбрать группы для исключения, а затем выберите одну или несколько групп, которые будут исключены и не смогут зарегистрировать устройства и выполнить требования профилей соответствия.
Выберите Сохранить, чтобы сохранить конфигурацию и вернуться в область Доступ к Exchange.
После этого настройте параметры для локального соединителя Exchange для Intune. В Центре администрирования выберите Администрирование> клиентаExchange Access>Exchange ActiveSync локальный соединитель, а затем выберите соединитель для организации Exchange, которую вы хотите настроить.
Для Уведомления пользователя выберите Изменить, чтобы открыть рабочий процесс Изменение организации, где можно изменить сообщение Уведомление пользователя.
Измените сообщение электронной почты по умолчанию, отправляемое пользователям, когда их устройства не соответствуют требованиям, но им требуется доступ к локальной среде Exchange. В шаблоне сообщения используется язык исправления. При вводе вы также можете предварительно просмотреть сообщение.
Выберите Review + save (Просмотреть и сохранить), а потом Сохранить, чтобы сохранить изменения и завершить настройку доступа к локальной организации Exchange.
Совет
Дополнительные сведения о языке исправления см. эту статью в Википедии.
Затем выберите Advanced Exchange Active Sync access settings (Расширенные параметры доступа к Exchange Active Sync), чтобы открыть одноименный рабочий процесс, где можно настроить правила доступа к устройствам.
Для неуправляемого доступа к устройствам задайте глобальное правило по умолчанию для доступа с устройств, на которые не влияют условный доступ или другие правила:
Разрешить доступ. Все устройства могут немедленно получить доступ к локальной организации Exchange. Устройства пользователей, входящих в группы, настроенные как включенные при выполнении описанной выше процедуры, блокируются, если позже они не выполняют требования политик соответствия и не зарегистрированы в Intune.
Заблокировать доступ и Карантин. Все устройства немедленно потеряют право доступа к локальной организации Exchange. Устройства пользователей, которые входят в группы, настроенные как включенные во время выполнения предыдущей процедуры, смогут получить доступ после их регистрации в Intune и подтверждения их как соответствующих требованиям.
Этот параметр поддерживается на устройствах Android, работающих под управлением Samsung Knox standard. Другие устройства Android не поддерживают этот параметр и всегда блокируются.
В разделе Исключения для платформ устройств выберите Добавить, а затем укажите сведения в соответствии с требованиями вашей среды.
Если для параметра Доступ к неуправляемым устройствам задано значение Заблокировано, устройства, зарегистрированные в Intune и соответствующие требованиям, будут иметь доступ, даже если их платформа заблокирована.
Нажмите кнопку ОК, чтобы сохранить изменения.
Выберите Review + save (Просмотреть и сохранить), а потом Сохранить, чтобы сохранить политику условного доступа к Exchange.
Дальнейшие действия
Затем создайте политику соответствия требованиям и назначьте ее пользователям, чтобы оценить их мобильные устройства в Intune. См. сведения в статье Установка правил на устройствах для разрешения доступа к ресурсам в организации с помощью Intune.
Устранение неполадок с локальным соединителем Exchange Intune в Microsoft Intune