Verbinden mit Exchange Online PowerShell per mehrstufiger Authentifizierung

Wenn Sie die mehrstufige Authentifizierung (MFA) zum Herstellen einer Verbindung mit Exchange Online PowerShell verwenden möchten, können Sie die Anweisungen unter Connect to Exchange Online PowerShell nicht verwenden, um Remote-PowerShell zum Herstellen einer Verbindung mit Exchange Online zu verwenden. Für MFA müssen Sie das Exchange Online Remote-PowerShell-Modul installieren und das Connect-EXOPSSession- Cmdlet verwenden, um eine Verbindung herzustellen.

Note

• Partner des Delegierten Zugriffs (DAP) können die Verfahren in diesem Thema nicht verwenden, um in Exchange Online PowerShell eine Verbindung zu ihren Kundenmandanten Organisationen herzustellen. MFA und das Exchange Online Remote-PowerShell-Modul funktionieren nicht mit Delegierter Authentifizierung.

• Das Exchange Online Remote-PowerShell-Modul wird in PowerShell Core (macOS, Linux oder Windows Nano Server) nicht unterstützt. Um dieses Problem zu umgehen, können Sie das Modul auf einem Computer installieren, auf dem eine unterstützte Windows-Version (physisch oder virtuell) installiert ist, und eine Verbindung mit der Remote Desktop Software herstellen.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten

  • Sie können folgende Versionen von Windows verwenden:

  • Das Exchange Online Remote-PowerShell-Modul muss auf Ihrem Computer installiert sein:

    1. Öffnen Sie in Internet Explorer oder Edge das Exchange Admin Center (EAC) für Ihre Exchange Online Organisation. Anweisungen finden Sie unter Exchange Admin Center in Exchange Online.

      Hinweis: ein Browser, der ClickOnce zum Herunterladen verwendet (wie Internet Explorer oder Edge) ist erforderlich, um den nächsten Schritt abzuschließen.

    2. Wechseln Sie in der Exchange-Verwaltungskonsole zu Hybrid > Setup , und klicken Sie auf die entsprechende Schaltfläche Konfigurieren , um das Exchange Online Remote-PowerShell-Modul für die mehrstufige Authentifizierung herunterzuladen.

      Laden Sie das Exchange Online PowerShell-Modul von der Registerkarte "Hybrid" in der Exchange-Verwaltungskonsole herunter

    3. Das Fenster Anwendungsinstallation wird geöffnet. Klicken Sie hier auf Installieren.

      Klicken Sie im Fenster Exchange Online PowerShell-Modul auf installieren.

  • Windows-Remoteverwaltung (WinRM) auf dem Computer muss die Standardauthentifizierung zulassen (ist standardmäßig aktiviert). Um zu überprüfen, ob die Standardauthentifizierung aktiviert ist, führen Sie diesen Befehl an einer Eingabeaufforderung aus:

    winrm get winrm/config/client/auth
    

    Wenn der Wert Basic = truenicht angezeigt wird, müssen Sie diesen Befehl ausführen, um die Standardauthentifizierung für WinRM zu aktivieren:

    winrm set winrm/config/client/auth @{Basic="true"}
    

    Wenn die Standardauthentifizierung deaktiviert ist, wird beim Versuch, eine Verbindung herzustellen, der folgende Fehler ausgegeben:

    The WinRM client cannot process the request. Basic authentication is currently disabled in the client configuration. Change the client configuration and try the request again.

  • Wenn Sie das Exchange Online Remote-PowerShell-Modul verwenden, endet die Sitzung nach einer Stunde, was bei lang andauernden Skripts oder Prozessen problematisch sein kann. Um dieses Problem zu vermeiden, verwenden Sie Vertrauenswürdige IPS , um MFA für Verbindungen aus Ihrem Intranet zu umgehen. Vertrauenswürdige IPS ermöglichen Ihnen die Verbindung mit Exchange Online PowerShell aus Ihrem Intranet mithilfe der alten Anweisungen unter Connect to Exchange Online PowerShell. Wenn Sie über Server in einem Datencenter verfügen, müssen Sie wie hierbeschrieben auch ihre öffentlichen IP-Adressen zu vertrauenswürdigen IPS hinzufügen.

Tip

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter: Exchange Online oder Exchange Online Protection.

Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe von MFA

  1. Öffnen Sie auf dem lokalen Computer das Exchange Online Remote-PowerShell-Modul ( Microsoft Corporation > Microsoft Exchange Online Remote-PowerShell-Modul).

  2. Die Syntax des Befehls, den Sie ausführen müssen, sieht wie folgt aus:

    Connect-EXOPSSession -UserPrincipalName <UPN> [-ConnectionUri <ConnectionUri> -AzureADAuthorizationEndPointUri <AzureADUri>]
    
    • UPN ist Ihr Office 365 geschäftliches oder Schulkonto. _ <> _

    • Die _ <ConnectionUri> _ - _ <und> AzureADUri_ -Werte hängen von der Art Ihrer Office 365 Organisation ab, wie in der folgenden Tabelle beschrieben:

      Office 365 Angebot ConnectionUri -Parameterwert AzureADAuthorizationEndPointUri -Parameterwert
      Office 365 Nicht verwendet Nicht verwendet
      Office 365 Deutschland https://outlook.office.de/PowerShell-LiveID https://login.microsoftonline.de/common
      Office 365 gcc hoch https://outlook.office365.us/powershell-liveid https://login.microsoftonline.us/common
      Office 365 DoD https://webmail.apps.mil/powershell-liveid https://login.microsoftonline.us/common

      In diesem Beispiel wird mithilfe des Chris@contoso.com-Kontos eine Verbindung mit Exchange Online in Office 365 hergestellt.

      Connect-EXOPSSession -UserPrincipalName chris@contoso.com
      

      In diesem Beispiel wird über das Konto Lukas@fabrikam.com eine Verbindung mit Exchange Online in Office 365 Deutschland hergestellt.

      Connect-EXOPSSession -UserPrincipalName lukas@fabrikam.com -ConnectionUri https://outlook.office.de/PowerShell-LiveID -AzureADAuthorizationEndPointUri https://login.microsoftonline.de/common
      
  3. Ein Anmeldefenster wird geöffnet. Geben Sie Ihr Kennwort ein, und klicken Sie auf Anmelden.

    Geben Sie Ihr Kennwort in das Exchange Online Remote-PowerShell-Fenster ein.

    Ein Verifizierungscode wird basierend auf der für Ihr Konto konfigurierten Überprüfungs Antwortoption generiert und zugestellt (beispielsweise eine Textnachricht oder die Azure Authenticator-App auf Ihrem Mobiltelefon).

  4. Ein Verifizierungsfenster wird geöffnet. Geben Sie den Verifizierungscode ein, und klicken Sie auf Anmelden.

    Geben Sie den Überprüfungscode in das Exchange Online Remote-PowerShell-Fenster ein.

Note

Stellen Sie sicher, dass die Remote-PowerShell-Sitzung getrennt wird, wenn Sie alle Aufgaben ausgeführt haben. Wenn Sie das Fenster "Exchange Online Remote-PowerShell-Modul" schließen, ohne die Sitzung zu trennen, können Sie alle für Sie verfügbaren Remote-PowerShell-Sitzungen verwenden, und Sie müssen warten, bis die Sitzungen ablaufen. Führen Sie den folgenden Befehl aus, um die Verbindung aller aktuell geöffneten PowerShell-Sitzungen im aktuellen Fenster zu trennen:

Get-PSSession | Remove-PSSession

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Nach Schritt 4 werden die Exchange Online-Cmdlets in die Exchange Online Remote-PowerShell-Modul Sitzung importiert und von einer Statusanzeige nachverfolgt. Wenn Sie keine Fehlermeldungen erhalten, wurde die Verbindung erfolgreich hergestellt. Sie können einen schnellen Test durchführen, indem Sie ein Exchange Online-Cmdlet ausführen, z. B. Get-Mailbox, und sich die Ergebnisse ansehen.

Wenn Sie Fehlermeldungen erhalten, überprüfen Sie die folgenden Anforderungen:

  • Um die Abwehr von DoS-Angriffen (Denial of Service) zu unterstützen, ist die Anzahl der offenen Windows PowerShell-Remoteverbindungen zu Ihrer Exchange Online-Organisation auf drei beschränkt.

  • Das Benutzerkonto, mit dem Sie die Verbindung mit Exchange Online herstellen, muss für Remote-PowerShell aktiviert sein. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren des Zugriffs auf Exchange Online PowerShell.

  • Der TCP-Port 80 muss für den Datenverkehr zwischen Ihrem lokalen Computer und Office 365 geöffnet sein. Er ist wahrscheinlich offen, es kann jedoch vorkommen, dass Ihre Organisation eine eingeschränkte Internetzugriffsrichtlinie verfolgt.