Exporter (0) Imprimer
Développer tout

Configurer la gestion des périphériques mobiles à l'aide d'Exchange ActiveSync dans Windows Intune

Mis à jour: avril 2014

S'applique à: Windows Intune

Pour que Windows Intune gère directement les périphériques mobiles, les utilisateurs doivent y inscrire des périphériques. Pour les périphériques mobiles que les utilisateurs n'ont pas inscrits, vous pouvez activer la gestion Exchange ActiveSync à l'aide du connecteur Exchange. Les périphériques Exchange peuvent être gérés sur des serveurs locaux et pour Exchange hébergé par Microsoft Office 365 dans le cloud. Le connecteur Exchange vous connecte à votre déploiement Exchange et vous permet de gérer les périphériques mobiles par le biais de la console Windows Intune, dans laquelle vous avez les possibilités suivantes :

  • Déployer des stratégies sur des groupes d'utilisateurs pour sécuriser les données d'entreprise qui sont stockées sur des périphériques mobiles, notamment le mot de passe, le cryptage et les pièces jointes.

  • Définir des règles d'accès aux périphériques mobiles par famille et modèle de périphériques pour définir les périphériques mobiles pouvant accéder à Exchange ActiveSync.

  • Inscrire, renommer et désinscrire des périphériques.

  • Réinitialiser des périphériques mobiles avec l'option de réinitialisation, notamment en cas de perte ou de vol.

Cette rubrique contient les sections suivantes :

Utilisez cette section pour configurer votre infrastructure locale avec Exchange local ou hébergé.

Pour préparer la connexion de Windows Intune à votre serveur Exchange Server, vous devez d'abord remplir les conditions suivantes. Vous avez peut-être déjà satisfait ces exigences quand vous avez configuré Windows Intune.

 

Configuration requise Plus d'informations

Définir l'autorité de gestion des périphériques mobiles sur Windows Intune

Étape 1 : Définir l'autorité de gestion des périphériques mobiles pour Windows Intune

Vérifier la configuration matérielle requise pour le connecteur local

Configuration requise pour le connecteur Exchange local

Configurer un compte d'utilisateur doté de l'autorisation d'exécuter la liste désignée d'applets de commande Windows PowerShell

Applets de commande PowerShell pour le connecteur Exchange local (voir ci-dessous)

Vous devez créer un compte d'utilisateur Active Directory utilisé par Windows Intune Exchange Connector. Le compte doit avoir l'autorisation d'exécuter les applets de commande Exchange Windows PowerShell requis, répertoriés ci-dessous.

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings

  • Get-CasMailbox, Set-CasMailbox

  • Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy

  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule

  • Get-ActiveSyncDeviceStatistics

  • Get-ActiveSyncDevice

  • Get-ExchangeServer

  • Get-ActiveSyncDeviceClass

  • Get-Recipient

  • Clear-ActiveSyncDevice, Remove-ActiveSyncDevice

  • Set-ADServerSettings

  • Get-Command

Pour paramétrer une connexion qui permet à Windows Intune de communiquer avec le serveur Exchange Server qui héberge les boîtes de réception des périphériques mobiles, vous devez télécharger et configurer l'outil On-Premises Connector depuis la console Administrateur Windows Intune.

  1. Ouvrez la Console Administrateur Windows Intune.

  2. Dans le volet de raccourcis de l'espace de travail, cliquez sur Administration.

  3. Dans le volet de navigation, sous Gestion des périphériques mobiles, développez Microsoft Exchange, puis cliquez sur Configurer la connexion Exchange.

  4. Sur la page Configurer la connexion Exchange, cliquez sur Télécharger On-Premises Connector.

  5. Le logiciel On-Premises Connector se trouve dans un dossier compressé (.zip) que vous pouvez ouvrir ou enregistrer. Dans la boîte de dialogue Téléchargement de fichier, cliquez sur Enregistrer pour stocker le dossier compressé dans un emplacement sécurisé.

ImportantImportant
Ne renommez pas et ne déplacez pas les fichiers extraits, sinon l'installation du logiciel On-Premises Connector échouera.

Procédez comme suit pour installer Windows Intune On-Premises Connector.

ImportantImportant
On-Premises Connector ne peut être installé qu'une seule fois par compte Windows Intune, et seulement sur le même ordinateur. Si vous tentez d'installer On-Premises Connector une seconde fois, vous remplacerez la connexion Exchange initiale.

  1. Extrayez les fichiers de Exchange_Connector_Setup.zip vers un emplacement sécurisé.

  2. Une fois les fichiers extraits, double-cliquez sur Exchange_Connector_Setup.exe pour installer On-Premises Connector.

    ImportantImportant
    Si le dossier de destination n'est pas un emplacement sécurisé, vous devez supprimer le fichier de certificat WindowsIntune.accountcert après l'installation de On-Premises Connector.

noteRemarque
Vous ne pouvez configurer qu'une seule connexion Exchange par compte Windows Intune. Si vous essayez de configurer une connexion supplémentaire, la connexion initiale sera remplacée par la nouvelle.

  1. Dans le champ Serveur Exchange, sélectionnez votre environnement de serveur Exchange, soit Serveur Exchange local ou Serveur Exchange hébergé pour Exchange sur Microsoft Office 365.

  2. Pour un serveur Exchange local, fournissez le nom du serveur ou le nom de domaine complet du serveur Exchange qui héberge le rôle Serveur d'accès au client.

  3. Pour un serveur Exchange hébergé dans Microsoft Office 365, fournissez l'adresse du serveur Exchange. Pour trouver l'URL du serveur Exchange hébergé :

    1. Ouvrez Outlook Web App pour Office 365.

    2. Cliquez sur l'icône « ? » en haut à gauche et sélectionnez À propos de.

    3. Recherchez la valeur Serveur externe POP.

  4. Cliquez sur Serveur proxy pour spécifier les paramètres du serveur proxy pour votre serveur Exchange hébergé.

    1. Sélectionnez Utiliser un serveur proxy lors de la synchronisation des informations du périphérique mobile.

    2. Entrez le nom du serveur proxy et le numéro de port à utiliser pour accéder au serveur.

    3. S'il est nécessaire de fournir des informations d'identification d'utilisateur pour accéder au serveur proxy, sélectionnez Utiliser les informations d'identification pour se connecter au serveur proxy et tapez le domaine\utilisateur et le mot de passe.

    4. Cliquez sur OK.

  5. Fournissez les informations d'identification nécessaires pour la connexion à votre serveur Exchange. Pour plus d'informations sur la préparation de ce compte, consultez Définition d'autorisations sur les applets de commande Windows PowerShell.

  6. Dans le champ Mot de passe, entrez le mot de passe de ce compte pour permettre à Windows Intune d'accéder à Exchange Server.

  7. Cliquez sur Connexion.

    La configuration de la connexion peut prendre quelques minutes.

    Lors de la configuration, Connecteur Exchange enregistre vos paramètres proxy pour permettre l'accès à Internet. Si vos paramètres proxy changent, vous devrez reconfigurer Connecteur Exchange afin d'appliquer les paramètres proxy mis à jour à Connecteur Exchange.

Après la configuration de la connexion par Connecteur Exchange, les périphériques mobiles associés aux utilisateurs gérés dans Windows Intune sont automatiquement synchronisés et ajoutés à la Console Administrateur Windows Intune. Cette synchronisation peut prendre un certain temps.

Pour afficher l'état de la connexion et la dernière tentative de synchronisation réussie, dans la Console Administrateur Windows Intune, cliquez sur l'espace de travail Administration, puis, sous Gestion des périphériques mobiles, cliquez sur Exchange.

noteRemarque
Si vous avez installé On-Premises Connector, et, à un moment donné, vous supprimez la connexion à Exchange, vous devez désinstaller On-Premises Connector de l'ordinateur sur lequel il a été installé.

Utilisez cette section pour connecter Windows Intune et Exchange hébergé sans infrastructure locale.

Pour préparer la connexion de Windows Intune à votre serveur Exchange Server, vérifiez que vous avez effectuez les opérations suivantes :

 

Configuration requise Plus d'informations

Définir l'autorité de gestion des périphériques mobiles sur Windows Intune

Étape 1 : Définir l'autorité de gestion des périphériques mobiles pour Windows Intune

Vérifier la configuration matérielle requise pour le connecteur local

Conditions requises pour Service to Service Connector

Configurer un compte d'utilisateur doté de l'autorisation d'exécuter la liste désignée d'applets de commande Windows PowerShell

Applets de commande PowerShell pour Service to Service Connector (voir ci-dessous)

Vous devez créer un compte d'utilisateur Exchange Online utilisé par Windows Intune Exchange Connector. Le compte doit avoir l'autorisation d'exécuter les applets de commande Exchange Windows PowerShell requis, répertoriés ci-dessous.

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings

  • Get-MobileDeviceMailboxPolicy, Set-MobileDeviceMailboxPolicy, New-MobileDeviceMailboxPolicy, Remove-MobileDeviceMailboxPolicy

  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule

  • Get-MobileDeviceStatistics

  • Get-MobileDevice

  • Get-ActiveSyncDeviceClass

  • Get-Recipient

  • Clear-MobileDevice, Remove-MobileDevice

  1. Ouvrez la Console Administrateur Windows Intune.

  2. Dans le volet de raccourcis de l'espace de travail, cliquez sur Administration.

  3. Dans le volet de navigation, sous Gestion des périphériques mobiles, développez Microsoft Exchange, puis cliquez sur Configurer la connexion Exchange.

  4. Sur la page Configurer la connexion Exchange, cliquez sur Configurer Service to Service Connector.

Service to Service Connector sera automatiquement configuré et synchronisé avec votre environnement Exchange hébergé.

  • Après avoir configuré Connecteur Exchange correctement, dans la Console Administrateur Windows Intune, cliquez sur l'espace de travail Administration, et sous Gestion des périphériques mobiles, cliquez sur Microsoft Exchange et vérifiez que les détails que vous avez donnés apparaissent sous Informations de connexion à Exchange.

  • Vous pouvez également vérifier la date et l'heure de la dernière tentative de synchronisation réussie.

Le tableau suivant décrit les fonctionnalités de mise hors service/réinitialisation via Exchange ActiveSync.

 

Type de réinitialisation Windows 8.1 et Windows RT 8.1 Windows RT Windows Phone 8 iOS Android

Réinitialisation complète

Supprime le compte de messagerie et le courrier mis en cache.

Supprime le compte de messagerie et le courrier mis en cache.

Rétablir les paramètres d'usine

Rétablir les paramètres d'usine

Rétablir les paramètres d'usine

Réinitialisation sélective/Messagerie

Supprime le compte de messagerie.

Supprime le compte de messagerie.

Non pris en charge.

Non pris en charge.

Non pris en charge.

Réinitialisation sélective/Stratégies

Les stratégies appliquées sont supprimées, mais les paramètres ne sont pas modifiés.

Les stratégies appliquées sont supprimées, mais les paramètres ne sont pas modifiés.

Les stratégies appliquées sont supprimées, mais les paramètres ne sont pas modifiés.

Les stratégies appliquées sont supprimées, mais les paramètres ne sont pas modifiés.

Les stratégies appliquées sont supprimées, mais les paramètres ne sont pas modifiés.

Les paramètres de stratégie peuvent s'appliquer via la console Windows Intune. Voir Configurer une stratégie pour les périphériques mobiles dans Windows Intune. Pour obtenir une liste des paramètres de stratégie et des fonctionnalités Exchange ActiveSync prises en charge par des périphériques mobiles spécifiques, voir Exchange ActiveSync Client Comparison Table (Tableau de comparaison du client Exchange ActiveSync).

noteRemarque
Lors de la connexion de Windows Intune à un environnement Microsoft Exchange, tous les utilisateurs gérés via Windows Intune verront leur stratégie EAS réinitialisée sur la stratégie par défaut sur le serveur Microsoft Exchange, sauf si une stratégie plus spécifique a été définie dans Windows Intune.

Les règles d'accès Exchange pour les périphériques mobiles déterminent le niveau d'accès à Exchange qui est accordé aux périphériques mobiles. Ce paramètre affecte tous les périphériques mobiles, même ceux qui ne sont pas inscrits dans Windows Intune. Vous pouvez commencer par définir une Règle par défaut qui s'appliquera à tout périphérique mobile auquel aucune règle personnalisée n'est appliquée. Le tableau suivant contient les niveaux d'accès gérés par Exchange ActiveSync :

 

Niveaux d'accès Description

Autoriser tous les périphériques mobiles à accéder à Exchange, sauf si une règle personnalisée stipule le contraire

Dans l'état d'accès Autoriser, un périphérique mobile peut se synchroniser via ActiveSync Exchange et se connecter au serveur Exchange pour récupérer le courrier électronique et gérer les informations relatives au calendrier, les contacts, les tâches et les notes. Il en sera ainsi tant que le périphérique reste conforme à la Stratégie de sécurité des périphériques mobiles Windows Intune que vous avez configurée, sauf si l'utilisateur ou le périphérique mobile spécifique a été bloqué par l'administrateur Exchange.

Bloquer l'accès à Exchange pour tous les périphériques mobiles, sauf si une règle personnalisée stipule le contraire

Un périphérique mobile bloqué en raison d'un paramètre d'accès de périphérique que vous avez configuré ne sera pas autorisé à se connecter au serveur Exchange et recevra des erreurs HTTP 403 Forbidden (Interdit). L'utilisateur recevra un message électronique envoyé par le serveur Exchange pour l'avertir que le périphérique mobile a été bloqué et qu'il ne peut pas accéder à sa boîte aux lettres. L'utilisateur ne sera pas en mesure de lire le message électronique sur le périphérique mobile bloqué. Vous pouvez ajouter du texte personnalisé à ce message pour fournir des instructions aux utilisateurs dont les périphériques sont bloqués par le biais de la tâche Définir la notification utilisateur.

Placer tous les périphériques mobiles en quarantaine pour que je décide de l'état de chaque périphérique mobile individuel plus tard, sauf si une règle personnalisée stipule le contraire

Lorsqu'un périphérique mobile est mis en quarantaine, il est autorisé à se connecter au serveur Exchange. Toutefois, il bénéficie uniquement d'un accès limité aux données. L'utilisateur peut ajouter du contenu à ses propres dossiers Calendrier, Contacts, Tâches et Notes, mais le serveur n'autorisera pas le périphérique à récupérer le contenu de la boîte aux lettres de l'utilisateur. L'utilisateur recevra un seul message électronique lui indiquant que le périphérique mobile est mis en quarantaine. Ce message sera reçu par le périphérique et sera également disponible dans la boîte aux lettres. Vous pouvez ajouter du texte personnalisé à ce message pour fournir des instructions aux utilisateurs dont les périphériques sont mis en quarantaine par le biais de la tâche Définir la notification utilisateur.

Une stratégie d'accès associe une Règle par défaut et des Règles personnalisées applicables à tous les périphériques mobiles connectés à Exchange. Le tableau ci-dessous répertorie certains exemples de stratégies d'accès.

 

Stratégie d'accès Description

Liste verte

Vous pouvez utiliser une liste verte pour accorder l'accès à une liste de périphériques connus et restreindre l'accès pour tout le reste. Pour ce faire, vous devez créer des règles personnalisées afin que les périphériques spécifiques de votre choix puissent accéder aux boîtes aux lettres des utilisateurs. Dès que vous créez une telle règle, vous devez définir la règle d'accès par défaut sur le blocage ou la mise en quarantaine de tous les autres périphériques. Pour ajouter un nouveau périphérique à la liste verte, créez une nouvelle règle personnalisée.

Liste rouge

Vous pouvez utiliser une liste rouge pour accorder un accès à tous les périphériques par défaut, mais pour bloquer l'accès d'un ensemble de périphériques qui ne doivent pas accéder à votre organisation. Vous créez une liste rouge en créant des règles personnalisées pour bloquer les périphériques qui ne doivent pas se synchroniser avec les boîtes aux lettres de l'organisation. La règle par défaut doit être définie sur l'autorisation d'accès de tous les périphériques qui ne sont pas explicitement bloqués par les règles existantes. Pour ajouter un nouveau périphérique ou un ensemble de périphériques à la liste rouge, créez une nouvelle règle personnalisée.

Liste mixte

Outre la création de listes rouges et vertes, vous pouvez mettre en quarantaine des nouveaux périphériques mobiles devant être utilisés par l'organisation afin de les évaluer. Par exemple, si vous avez créé une liste rouge pour les périphériques mobiles non autorisés au sein de votre organisation, et une liste verte pour les périphériques mobiles autorisés au sein de celle-ci, vous pouvez définir la règle par défaut sur la mise en quarantaine. Tous les autres périphériques seront automatiquement mis en quarantaine, ce qui vous permet de détecter les nouveaux périphériques devant être utilisés dans l'organisation et de décider de leur ajout à la liste rouge ou la liste verte.

La procédure suivante décrit comment créer une règle personnalisée.

  1. Ouvrez la Console Administrateur Windows Intune.

  2. Dans le volet de raccourcis de l'espace de travail, cliquez sur l'icône Stratégie et cliquez sur Règles d'accès à Exchange pour les périphériques mobiles.

  3. Dans la liste Règle par défaut, sélectionnez la règle d'accès à appliquer à tous les périphériques mobiles non couverts par une règle ou une exemption personnelle. Cliquez sur Enregistrer.

La procédure suivante décrit comment créer une règle personnalisée.

  1. Ouvrez la Console Administrateur Windows Intune.

  2. Dans le volet de raccourcis de l'espace de travail, cliquez sur l'icône Stratégie et cliquez sur Règles d'accès à Exchange pour les périphériques mobiles.

  3. Dans la liste Règles personnalisées, cliquez sur Ajouter une règle et créez une règle personnalisée. Cliquez sur Enregistrer.

 
Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft