V1-Modul – Verbinden zu Security & Compliance Center PowerShell mithilfe von MFA

Hinweis

Das ältere Exchange Online in diesem Artikel beschriebene Remote-PowerShell-Modul wird schließlich eingestellt. Das Exchange Online PowerShell V2-Modul (EXO V2-Modul) unterstützt MFA, daher empfehlen wir stattdessen die Verwendung. Anweisungen finden Sie unter Verbinden zu Security & Compliance Center PowerShell.

Wenn Ihr Konto mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) oder Verbundauthentifizierung verwendet, können Sie die Anweisungen bei der Standardauthentifizierung nicht verwenden – Verbinden zu Security & Compliance Center PowerShell, um Remote-PowerShell zum Herstellen einer Verbindung mit Security & Compliance Center PowerShell zu verwenden. Stattdessen müssen Sie das Exchange Online Remote-PowerShell-Modul installieren und das Cmdlet Verbinden-IPPSSession verwenden, um eine Verbindung mit Security & Compliance Center PowerShell herzustellen.

Hinweise:

  • Partner mit delegierten Zugriffsberechtigungen (Delegated Access Permission, DAP) können die Verfahren in diesem Artikel nicht verwenden, um eine Verbindung mit ihren Kundenmandantenorganisationen in Security & Compliance Center PowerShell herzustellen. MFA und das Exchange Online Remote-PowerShell-Modul funktionieren nicht mit delegierter Authentifizierung.

  • Das Exchange Online Remote-PowerShell-Modul wird in PowerShell Core (macOS, Linux oder Windows Nano Server) nicht unterstützt. Als Problemumgehung können Sie das Modul auf einem Computer installieren, auf dem eine unterstützte Version von Windows (physisch oder virtuell) ausgeführt wird, und remotedesktopsoftware verwenden, um eine Verbindung herzustellen.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten

  • Nachdem Sie eine Verbindung hergestellt haben, wird über die rollenbasierte Zugriffssteuerung (RBAC) gesteuert, auf welche Cmdlets und Parameter Sie Zugriff haben bzw. nicht haben. Weitere Informationen finden Sie unter "Nach der Verbindung" werden die Cmdlets und Parameter, auf die Sie Zugriff haben oder nicht haben, durch die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) gesteuert. Weitere Informationen finden Sie unter Berechtigungen im Microsoft 365 Defender-Portal und Berechtigungen im Microsoft 365 Security Center.

  • Sie können folgende Versionen von Windows verwenden:

    • Windows 10
    • Windows 8.1
    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012 oder Windows Server 2012 R2
    • Windows 7 Service Pack 1 (SP1)*
    • Windows Server 2008 R2 SP1*

    * Diese Version von Windows hat das Ende des Supports erreicht und wird nur noch auf virtuellen Azure-Computern unterstützt. Zur Verwendung dieser Version von Windows müssen Sie Microsoft .NET Framework 4.5 oder höher und dann eine aktualisierte Version des Windows Management Frameworks installieren: 3.0, 4.0 oder 5.1 (nur eine davon). Weitere Informationen finden Sie unter Installieren von .NET Framework, Windows Management Framework 3.0, Windows Management Framework 4.0 und Windows Management Framework 5.1.

  • WinRM muss die Standardauthentifizierung zulassen (standardmäßig aktiviert). Die Kombination aus Benutzername und Kennwort wird nicht gesendet, der Header der Standardauthentifizierung ist jedoch erforderlich, um das OAuth-Token der Sitzung zu senden, da die clientseitige WinRM-Implementierung keine Unterstützung für OAuth bietet.

    Hinweis: Sie müssen WinRM vorübergehend aktivieren, um die nachstehenden Befehle ausführen zu können. Sie können es durch Ausführen des Befehls winrm quickconfig aktivieren.

    Um zu überprüfen, ob die Standardauthentifizierung für WinRM aktiviert ist, führen Sie folgenden Befehl in einer Eingabeaufforderung (nicht in Windows PowerShell) aus:

    winrm get winrm/config/client/auth
    

    Wenn der Wert Basic = true nicht angezeigt wird, müssen Sie folgenden Befehl in einer Eingabeaufforderung (nicht in Windows PowerShell) ausführen, um die Standardauthentifizierung für WinRM zu aktivieren:

    winrm set winrm/config/client/auth @{Basic="true"}
    

    Hinweis: Wenn Sie den Befehl lieber in Windows PowerShell ausführen möchten, schließen Sie diesen Teil des Befehls in Anführungszeichen ein: '@{Basic="true"}'.

    Wenn die Standardauthentifizierung für WinRM deaktiviert ist, wird beim Versuch, eine Verbindung herzustellen, der folgende Fehler gemeldet:

    Die Anforderung kann vom WinRM-Client nicht verarbeitet werden. Die Standardauthentifizierung ist in der Clientkonfiguration zurzeit deaktiviert. Ändern Sie die Clientkonfiguration, und versuchen Sie es erneut.

Installieren des Exchange Online Remote-PowerShell-Moduls

Hinweis

  • Das Exchange Online Remote-PowerShell-Modul wird in PowerShell Core (macOS, Linux oder Windows Nano Server) nicht unterstützt. Als Problemumgehung können Sie das Modul auf einem Computer installieren, auf dem eine unterstützte Version von Windows (physisch oder virtuell) ausgeführt wird, und remotedesktopsoftware verwenden, um eine Verbindung herzustellen.

  • Wenn Ihre installierte Version des Exchange Online Remote-PowerShell-Moduls nicht über das Cmdlet Verbinden-IPPSSession verfügt, müssen Sie die neueste Version des Moduls installieren.

Sie müssen die folgenden Schritte in einem Browser ausführen, der ClickOnce unterstützt (z. B. Internet Explorer oder Edge):

Hinweis: ClickOnce Unterstützung ist in der Chromium-basierten Version von Edge unter verfügbar edge://flags/#edge-click-once und ist möglicherweise nicht standardmäßig aktiviert.

  1. Öffnen Sie das Exchange Admin Center (EAC). Anweisungen finden Sie unter Exchange Admin Center in Exchange Online.

  2. Wechseln Sie im EAC zum > Hybridsetup, und klicken Sie auf die entsprechende Schaltfläche "Konfigurieren", um das Exchange Online Remote-PowerShell-Modul für die mehrstufige Authentifizierung herunterzuladen.

    Laden Sie das Exchange Online PowerShell-Modul von der Registerkarte "Hybrid" im EAC herunter.

  3. Das Fenster Anwendungsinstallation wird geöffnet. Klicken Sie hier auf Installieren.

    Klicken Sie im Fenster Exchange Online PowerShell-Moduls auf "Installieren".

Verbinden zu Security & Compliance Center PowerShell mithilfe von MFA oder Verbundauthentifizierung

  1. Öffnen Sie auf Ihrem lokalen Computer das Exchange Online Remote-PowerShell-Modul (Microsoft Corporation > Microsoft Exchange Online Remote-PowerShell-Modul).

  2. Die Syntax des Befehls, den Sie ausführen müssen, sieht so aus:

    Connect-IPPSSession -UserPrincipalName <UPN> [-ConnectionUri <ConnectionUri> -AzureADAuthorizationEndPointUri <AzureADUri>]
    
    • <UPN> ist Ihr Microsoft 365 Geschäfts-, Schul- oder Unikonto.

    • Die <ConnectionUri> Werte und Werte hängen vom Standort Ihrer Microsoft 365 Organisation <AzureADUri> ab, wie in der folgenden Tabelle beschrieben:



    Microsoft 365-Angebot Wert des Parameters ConnectionUri Wert des Parameters AzureADAuthorizationEndPointUri
    Microsoft 365 Nicht verwendet Nicht verwendet
    Office 365 Deutschland https://ps.compliance.protection.outlook.de/PowerShell-LiveID https://login.microsoftonline.de/common
    Microsoft 365 GCC High https://ps.compliance.protection.office365.us/powershell-liveid/ https://login.microsoftonline.us/common
    Microsoft 365 DoD https://l5.ps.compliance.protection.office365.us/powershell-liveid/ https://login.microsoftonline.us/common

    In diesem Beispiel wird eine Verbindung mit Security & Compliance Center PowerShell in Microsoft 365 mithilfe des Kontos chris@contoso.com hergestellt.

    Connect-IPPSSession -UserPrincipalName chris@contoso.com
    

    In diesem Beispiel wird eine Verbindung mit Security & Compliance Center PowerShell in Office 365 Deutschland über das Konto lukas@fabrikam.com hergestellt.

    Connect-IPPSSession -UserPrincipalName lukas@fabrikam.com -ConnectionUri https://ps.compliance.protection.outlook.de/PowerShell-LiveID -AzureADAuthorizationEndPointUri https://login.microsoftonline.de/common
    
  3. Ein Anmeldefenster wird geöffnet. Geben Sie Ihr Kennwort ein, und klicken Sie auf Anmelden.

    Geben Sie Ihr Kennwort im Exchange Online Remote-PowerShell-Fenster ein.

    Bei MFA wird basierend auf der für Ihr Konto konfigurierten Überprüfungsantwortoption (z. B. eine SMS oder die Azure Authenticator-App auf Ihrem Mobiltelefon) ein Überprüfungscode generiert und übermittelt.

  4. (Nur MFA): Geben Sie im sich öffnenden Überprüfungsfenster den Überprüfungscode ein, und klicken Sie dann auf "Anmelden".

    Geben Sie ihren Überprüfungscode im Exchange Online Remote-PowerShell-Fenster ein.

  5. (Optional): Wenn Sie im selben Fenster eine Verbindung mit einer Exchange Online PowerShell-Modulsitzung herstellen möchten, müssen Sie

    $EXOSession=New-ExoPSSession -UserPrincipalName <UPN> [-ConnectionUri <ConnectionUri> -AzureADAuthorizationEndPointUri <AzureADUri>]
    

    und importieren Sie dann die Exchange Online Sitzung mithilfe eines bestimmten Präfixes in die aktuelle Sitzung.

    Import-PSSession $EXOSession -Prefix EXO
    

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Nach der Anmeldung werden die Security & Compliance Center PowerShell-Cmdlets in Ihre Exchange Online Remote-PowerShell-Modulsitzung importiert und durch eine Statusanzeige nachverfolgt. Wenn Sie keine Fehlermeldungen erhalten, wurde die Verbindung erfolgreich hergestellt. Ein schneller Test besteht darin, ein Security & Compliance Center-Cmdlet auszuführen, z. B. "Get-RetentionCompliancePolicy", und die Ergebnisse anzuzeigen.

Wenn Sie Fehlermeldungen erhalten, überprüfen Sie die folgenden Anforderungen:

  • Um Denial-of-Service (DoS)-Angriffe zu verhindern, sind Sie auf fünf offene Remote-PowerShell-Verbindungen mit Security & Compliance Center PowerShell beschränkt.

  • Das Konto, das Sie zum Herstellen einer Verbindung mit Security & Compliance Center PowerShell verwenden, muss für Remote-PowerShell aktiviert sein. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren des Zugriffs auf Exchange Online PowerShell.

  • Der TCP-Port 80 muss für den Datenverkehr zwischen Ihrem lokalen Computer und Microsoft 365 geöffnet sein. Er ist wahrscheinlich offen, es kann jedoch vorkommen, dass Ihre Organisation eine eingeschränkte Internetzugriffsrichtlinie verfolgt.

  • Der Befehl Verbinden-IPPSSession (Schritt 2) kann möglicherweise keine Verbindung herstellen, wenn sich die IP-Adresse des Clients während der Verbindungsanforderung ändert. Dies kann vorkommen, wenn in Ihrer Organisation ein SNAT-Pool (Source Network Address Translation, Quell-Netzwerkadressenübersetzung) verwendet wird, der mehrere IP-Adressen enthält. Der Verbindungsfehler sieht wie folgt aus:

    The request for the Windows Remote Shell with ShellId <ID> failed because the shell was not found on the server. Possible causes are: the specified ShellId is incorrect or the shell no longer exists on the server. Provide the correct ShellId or create a new shell and retry the operation.

    Um das Problem zu beheben, verwenden Sie einen SNAT-Pool mit einer einzelnen IP-Adresse, oder erzwingen Sie die Verwendung einer bestimmten IP-Adresse für Verbindungen mit dem PowerShell-Endpunkt von Security & Compliance Center.