Exporter (0) Imprimer
Développer tout

Configurer la gestion des appareils mobiles à l'aide d'Exchange ActiveSync dans Microsoft Intune

Mis à jour: avril 2014

S'applique à: Microsoft Intune

Pour que Windows Intune gère directement des appareils mobiles, les utilisateurs doivent inscrire les appareils dans Windows Intune. Pour les appareils mobiles que les utilisateurs n'ont pas inscrits, vous pouvez activer la gestion Exchange ActiveSync à l'aide du connecteur Exchange. Les appareils Exchange peuvent être gérés sur des serveurs locaux et pour Exchange hébergé par Microsoft Office 365 dans le cloud. Le connecteur Exchange vous connecte à votre déploiement Exchange et vous permet de gérer les appareils mobiles par le biais de la console Windows Intune, dans laquelle vous avez les possibilités suivantes :

  • Déployer des stratégies sur des groupes d'utilisateurs pour sécuriser les données d'entreprise qui sont stockées sur des appareils mobiles, notamment le mot de passe, le cryptage et les pièces jointes.

  • Définir des règles d'accès aux appareils mobiles par famille et modèle d'appareils pour définir les appareils mobiles pouvant accéder à Exchange ActiveSync.

  • Inscrire, renommer et désinscrire des appareils.

  • Réinitialiser des appareils mobiles avec l'option de réinitialisation, notamment en cas de perte ou de vol.

Cette rubrique contient les sections suivantes :

Utilisez cette section pour configurer votre infrastructure locale avec Exchange local ou hébergé.

Pour préparer la connexion de Windows Intune à votre serveur Exchange Server, vous devez d'abord remplir les conditions suivantes. Vous avez peut-être déjà satisfait ces exigences quand vous avez configuré Windows Intune.

 

Configuration requise Plus d'informations

Définir l'autorité de gestion des appareils mobiles sur Windows Intune

Step 1: Set the Mobile Device Management Authority for Microsoft Intune

Vérifier la configuration matérielle requise pour le connecteur local

Requirements for the On-Premises Exchange Connector

Configurer un compte d'utilisateur doté de l'autorisation d'exécuter la liste désignée d'applets de commande Windows PowerShell

Applets de commande PowerShell pour le connecteur Exchange local (voir ci-dessous)

Vous devez créer un compte d'utilisateur Active Directory utilisé par Windows Intune Exchange Connector. Le compte doit avoir l'autorisation d'exécuter les applets de commande Exchange Windows PowerShell requis, répertoriés ci-dessous.

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings

  • Get-CasMailbox, Set-CasMailbox

  • Get-ActiveSyncMailboxPolicy, Set-ActiveSyncMailboxPolicy, New-ActiveSyncMailboxPolicy, Remove-ActiveSyncMailboxPolicy

  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule

  • Get-ActiveSyncDeviceStatistics

  • Get-ActiveSyncDevice

  • Get-ExchangeServer

  • Get-ActiveSyncDeviceClass

  • Get-Recipient

  • Clear-ActiveSyncDevice, Remove-ActiveSyncDevice

  • Set-ADServerSettings

  • Get-Command

Pour paramétrer une connexion qui permet à Windows Intune de communiquer avec le serveur Exchange Server qui héberge les boîtes de réception des appareils mobiles, vous devez télécharger et configurer l'outil On-Premises Connector depuis la console Administrateur Windows Intune.

  1. Ouvrez la console Administrateur Windows Intune.

  2. Dans le volet de raccourcis de l'espace de travail, cliquez sur Administration.

  3. Dans le volet de navigation, sous Gestion des appareils mobiles, développez Microsoft Exchange, puis cliquez sur Configurer la connexion Exchange.

  4. Sur la page Configurer la connexion Exchange, cliquez sur Télécharger On-Premises Connector.

  5. Le logiciel On-Premises Connector se trouve dans un dossier compressé (.zip) que vous pouvez ouvrir ou enregistrer. Dans la boîte de dialogue Téléchargement de fichier, cliquez sur Enregistrer pour stocker le dossier compressé dans un emplacement sécurisé.

ImportantImportant
Ne renommez pas et ne déplacez pas les fichiers extraits, sinon l'installation du logiciel On-Premises Connector échouera.

Procédez comme suit pour installer Windows Intune On-Premises Connector.

ImportantImportant
On-Premises Connector ne peut être installé qu'une seule fois par compte Windows Intune, et seulement sur le même ordinateur. Si vous tentez d'installer On-Premises Connector une seconde fois, vous remplacerez la connexion Exchange initiale.

  1. Extrayez les fichiers de Exchange_Connector_Setup.zip vers un emplacement sécurisé.

  2. Une fois les fichiers extraits, double-cliquez sur Exchange_Connector_Setup.exe pour installer On-Premises Connector.

    ImportantImportant
    Si le dossier de destination n'est pas un emplacement sécurisé, vous devez supprimer le fichier de certificat WindowsIntune.accountcert après l'installation de On-Premises Connector.

noteRemarque
Vous ne pouvez configurer qu'une seule connexion Exchange par compte Windows Intune. Si vous essayez de configurer une connexion supplémentaire, la connexion initiale sera remplacée par la nouvelle.

  1. Dans le champ Serveur Exchange, sélectionnez votre environnement de serveur Exchange, soit Serveur Exchange local ou Serveur Exchange hébergé pour Exchange sur Microsoft Office 365.

  2. Pour un serveur Exchange local, fournissez le nom du serveur ou le nom de domaine complet du serveur Exchange qui héberge le rôle Serveur d'accès au client.

  3. Pour un serveur Exchange hébergé dans Microsoft Office 365, fournissez l'adresse du serveur Exchange. Pour trouver l'URL du serveur Exchange hébergé :

    1. Ouvrez Outlook Web App pour Office 365.

    2. Cliquez sur l'icône « ? » en haut à gauche et sélectionnez À propos de.

    3. Recherchez la valeur Serveur externe POP.

  4. Cliquez sur Serveur proxy pour spécifier les paramètres du serveur proxy pour votre serveur Exchange hébergé.

    1. Sélectionnez Utiliser un serveur proxy lors de la synchronisation des informations de l'appareil mobile.

    2. Entrez le nom du serveur proxy et le numéro de port à utiliser pour accéder au serveur.

    3. S'il est nécessaire de fournir des informations d'identification d'utilisateur pour accéder au serveur proxy, sélectionnez Utiliser les informations d'identification pour se connecter au serveur proxy et tapez le domaine\utilisateur et le mot de passe.

    4. Cliquez sur OK.

  5. Fournissez les informations d'identification nécessaires pour la connexion à votre serveur Exchange. Pour plus d'informations sur la préparation de ce compte, consultez Setting Permissions on Windows Powershell Cmdlets.

  6. Dans le champ Mot de passe, entrez le mot de passe de ce compte pour permettre à Windows Intune d'accéder à Exchange Server.

  7. Cliquez sur Connexion.

    La configuration de la connexion peut prendre quelques minutes.

    Lors de la configuration, Connecteur Exchange enregistre vos paramètres proxy pour permettre l'accès à Internet. Si vos paramètres proxy changent, vous devrez reconfigurer Connecteur Exchange afin d'appliquer les paramètres proxy mis à jour à Connecteur Exchange.

Après la configuration de la connexion par Connecteur Exchange, les appareils mobiles associés aux utilisateurs gérés dans Windows Intune sont automatiquement synchronisés et ajoutés à la console Administrateur Windows Intune. Cette synchronisation peut prendre un certain temps.

Pour afficher l'état de la connexion et la dernière tentative de synchronisation réussie, dans la console Administrateur Windows Intune, cliquez sur l'espace de travail Administration, puis, sous Gestion des appareils mobiles, cliquez sur Exchange.

noteRemarque
Si vous avez installé On-Premises Connector, et, à un moment donné, vous supprimez la connexion à Exchange, vous devez désinstaller On-Premises Connector de l'ordinateur sur lequel il a été installé.

Utilisez cette section pour connecter Windows Intune et Exchange hébergé sans infrastructure locale.

Pour préparer la connexion de Windows Intune à votre serveur Exchange Server, vérifiez que vous avez effectué les opérations suivantes :

 

Configuration requise Plus d'informations

Définir l'autorité de gestion des appareils mobiles sur Windows Intune

Step 1: Set the Mobile Device Management Authority for Microsoft Intune

Vérifier la configuration matérielle requise pour le connecteur local

Requirements for the Service to Service Connector

Configurer un compte d'utilisateur doté de l'autorisation d'exécuter la liste désignée d'applets de commande Windows PowerShell

Applets de commande PowerShell pour Service to Service Connector (voir ci-dessous)

Vous devez créer un compte d'utilisateur Exchange Online utilisé par Windows Intune Exchange Connector. Le compte doit avoir l'autorisation d'exécuter les applets de commande Exchange Windows PowerShell requis, répertoriés ci-dessous.

  • Get-ActiveSyncOrganizationSettings, Set-ActiveSyncOrganizationSettings

  • Get-MobileDeviceMailboxPolicy, Set-MobileDeviceMailboxPolicy, New-MobileDeviceMailboxPolicy, Remove-MobileDeviceMailboxPolicy

  • Get-ActiveSyncDeviceAccessRule, Set-ActiveSyncDeviceAccessRule, New-ActiveSyncDeviceAccessRule, Remove-ActiveSyncDeviceAccessRule

  • Get-MobileDeviceStatistics

  • Get-MobileDevice

  • Get-ActiveSyncDeviceClass

  • Get-Recipient

  • Clear-MobileDevice, Remove-MobileDevice

  1. Ouvrez la console Administrateur Windows Intune.

  2. Dans le volet de raccourcis de l'espace de travail, cliquez sur Administration.

  3. Dans le volet de navigation, sous Gestion des appareils mobiles, développez Microsoft Exchange, puis cliquez sur Configurer la connexion Exchange.

  4. Sur la page Configurer la connexion Exchange, cliquez sur Configurer Service to Service Connector.

Service to Service Connector sera automatiquement configuré et synchronisé avec votre environnement Exchange hébergé.

  • Après avoir configuré Connecteur Exchange correctement, dans la console Administrateur Windows Intune, cliquez sur l'espace de travail Administration, et sous Gestion des appareils mobiles, cliquez sur Microsoft Exchange et vérifiez que les détails que vous avez donnés apparaissent sous Informations de connexion à Exchange.

  • Vous pouvez également vérifier la date et l'heure de la dernière tentative de synchronisation réussie.

Le tableau suivant décrit les fonctionnalités de mise hors service/réinitialisation via Exchange ActiveSync.

 

Type de réinitialisation Windows 8.1 et Windows RT 8.1 Windows RT Windows Phone 8 iOS Android

Réinitialisation complète

Supprime le compte de messagerie et le courrier mis en cache.

Supprime le compte de messagerie et le courrier mis en cache.

Rétablir les paramètres d'usine

Rétablir les paramètres d'usine

Rétablir les paramètres d'usine

Réinitialisation sélective/Messagerie

Supprime le compte de messagerie.

Supprime le compte de messagerie.

Non pris en charge.

Non pris en charge.

Non pris en charge.

Réinitialisation sélective/Stratégies

Les stratégies appliquées sont supprimées, mais les paramètres ne sont pas modifiés.

Les stratégies appliquées sont supprimées, mais les paramètres ne sont pas modifiés.

Les stratégies appliquées sont supprimées, mais les paramètres ne sont pas modifiés.

Les stratégies appliquées sont supprimées, mais les paramètres ne sont pas modifiés.

Les stratégies appliquées sont supprimées, mais les paramètres ne sont pas modifiés.

Les paramètres de stratégie peuvent s'appliquer via la console Windows Intune. Voir Configurer une stratégie de sécurité pour les appareils mobiles dans Microsoft Intune. Pour obtenir une liste des paramètres de stratégie et des fonctionnalités Exchange ActiveSync prises en charge par des appareils mobiles spécifiques, voir Exchange ActiveSync Client Comparison Table (Tableau de comparaison du client Exchange ActiveSync).

noteRemarque
Lors de la connexion de Windows Intune à un environnement Microsoft Exchange, tous les utilisateurs gérés via Windows Intune verront leur stratégie EAS réinitialisée sur la stratégie par défaut sur le serveur Microsoft Exchange, sauf si une stratégie plus spécifique a été définie dans Windows Intune.

Les règles d'accès Exchange pour les appareils mobiles déterminent le niveau d'accès à Exchange qui est accordé aux appareils mobiles. Ce paramètre affecte tous les appareils mobiles, même ceux qui ne sont pas inscrits dans Windows Intune. Vous pouvez commencer par définir une Règle par défaut qui s'appliquera à tout appareil mobile auquel aucune règle personnalisée n'est appliquée. Le tableau suivant contient les niveaux d'accès gérés par Exchange ActiveSync :

 

Niveaux d'accès Description

Autoriser tous les appareils mobiles à accéder à Exchange, sauf si une règle personnalisée stipule le contraire

Dans l'état d'accès Autoriser, un appareil mobile peut se synchroniser via ActiveSync Exchange et se connecter au serveur Exchange pour récupérer le courrier électronique et gérer les informations relatives au calendrier, les contacts, les tâches et les notes. Il en sera ainsi tant que l'appareil reste conforme à la Stratégie de sécurité des appareils mobiles Windows Intune que vous avez configurée, sauf si l'utilisateur ou l'appareil mobile spécifique a été bloqué par l'administrateur Exchange.

Bloquer l'accès à Exchange pour tous les appareils mobiles, sauf si une règle personnalisée stipule le contraire

un appareil mobile bloqué en raison d'un paramètre d'accès d'appareil que vous avez configuré ne sera pas autorisé à se connecter au serveur Exchange et recevra des erreurs HTTP 403 Forbidden (Interdit). L'utilisateur recevra un message électronique envoyé par le serveur Exchange pour l'avertir que l'appareil mobile a été bloqué et qu'il ne peut pas accéder à sa boîte aux lettres. L'utilisateur ne sera pas en mesure de lire le message électronique sur l'appareil mobile bloqué. Vous pouvez ajouter du texte personnalisé à ce message pour fournir des instructions aux utilisateurs dont les appareils sont bloqués par le biais de la tâche Définir la notification utilisateur.

Placer tous les appareils mobiles en quarantaine pour que je décide de l'état de chaque appareil mobile individuel plus tard, sauf si une règle personnalisée stipule le contraire

Lorsqu'un appareil mobile est mis en quarantaine, il est autorisé à se connecter au serveur Exchange. Toutefois, il bénéficie uniquement d'un accès limité aux données. L'utilisateur peut ajouter du contenu à ses propres dossiers Calendrier, Contacts, Tâches et Notes, mais le serveur n'autorisera pas l'appareil à récupérer le contenu de la boîte aux lettres de l'utilisateur. L'utilisateur recevra un seul message électronique lui indiquant que l'appareil mobile est mis en quarantaine. Ce message sera reçu par l'appareil et sera également disponible dans la boîte aux lettres. Vous pouvez ajouter du texte personnalisé à ce message pour fournir des instructions aux utilisateurs dont les appareils sont mis en quarantaine par le biais de la tâche Définir la notification utilisateur.

Une stratégie d'accès associe une Règle par défaut et des Règles personnalisées applicables à tous les appareils mobiles connectés à Exchange. Le tableau ci-dessous répertorie certains exemples de stratégies d'accès.

 

Stratégie d'accès Description

Liste verte

Vous pouvez utiliser une liste verte pour accorder l'accès à une liste d'appareils connus et restreindre l'accès pour tout le reste. Pour ce faire, vous devez créer des règles personnalisées afin que les appareils spécifiques de votre choix puissent accéder aux boîtes aux lettres des utilisateurs. Dès que vous créez une telle règle, vous devez définir la règle d'accès par défaut sur le blocage ou la mise en quarantaine de tous les autres appareils. Pour ajouter un nouvel appareil à la liste verte, créez une nouvelle règle personnalisée.

Liste rouge

Vous pouvez utiliser une liste rouge pour accorder un accès à tous les appareils par défaut, mais pour bloquer l'accès d'un ensemble d'appareils qui ne doivent pas accéder à votre organisation. Vous créez une liste rouge en créant des règles personnalisées pour bloquer les appareils qui ne doivent pas se synchroniser avec les boîtes aux lettres de l'organisation. La règle par défaut doit être définie sur l'autorisation d'accès de tous les appareils qui ne sont pas explicitement bloqués par les règles existantes. Pour ajouter un nouveau appareil ou un ensemble d'appareils à la liste rouge, créez une nouvelle règle personnalisée.

Liste mixte

Outre la création de listes rouges et vertes, vous pouvez mettre en quarantaine des nouveaux appareils mobiles devant être utilisés par l'organisation afin de les évaluer. Par exemple, si vous avez créé une liste rouge pour les appareils mobiles non autorisés au sein de votre organisation, et une liste verte pour les appareils mobiles autorisés au sein de celle-ci, vous pouvez définir la règle par défaut sur la mise en quarantaine. Tous les autres appareils seront automatiquement mis en quarantaine, ce qui vous permet de détecter les nouveaux appareils devant être utilisés dans l'organisation et de décider de leur ajout à la liste rouge ou la liste verte.

La procédure suivante décrit comment créer une règle personnalisée.

  1. Ouvrez la console Administrateur Windows Intune.

  2. Dans le volet de raccourcis de l'espace de travail, cliquez sur l'icône Stratégie et cliquez sur Règles d'accès à Exchange pour les appareils mobiles.

  3. Dans la liste Règle par défaut, sélectionnez la règle d'accès à appliquer à tous les appareils mobiles non couverts par une règle ou une exemption personnelle. Cliquez sur Enregistrer.

La procédure suivante décrit comment créer une règle personnalisée.

  1. Ouvrez la console Administrateur Windows Intune.

  2. Dans le volet de raccourcis de l'espace de travail, cliquez sur l'icône Stratégie et cliquez sur Règles d'accès à Exchange pour les appareils mobiles.

  3. Dans la liste Règles personnalisées, cliquez sur Ajouter une règle et créez une règle personnalisée. Cliquez sur Enregistrer.

 
Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft