Подключение к PowerShell безопасности и соответствия требованиям

Модуль Exchange Online PowerShell V2 (сокращенно — модуль EXO V2) использует современную проверку подлинности и поддерживает многофакторную проверку подлинности (MFA) для подключения ко всем средам PowerShell в Microsoft 365, связанным с Exchange, а именно Exchange Online PowerShell, PowerShell Центра безопасности и соответствия требованиям, а также к отдельной среде Exchange Online Protection (EOP) PowerShell. Дополнительные сведения о модуле EXO V2 см. в статье Сведения о модуле Exchange Online PowerShell V2.

В этой статье приведены инструкции по подключению к оболочке PowerShell безопасности и соответствия требованиям с помощью модуля EXO V2 с многофакторной проверкой подлинности (MFA) и без нее.

Чтобы использовать инструкции по менее безопасному устаревшему удаленному подключению PowerShell, которое в дальнейшем станет нерекомендуемым, см. статью Обычная проверка подлинности: подключение к оболочке PowerShell безопасности и соответствия требованиям.

Чтобы использовать устаревший модуль Exchange Online PowerShell для удаленного подключения к PowerShell безопасности и соответствия требованиям с помощью MFA, см. статью Модуль V1: подключение к оболочке PowerShell безопасности и соответствия требованиям с помощью MFA Обратите внимание, что поддержка данной устаревшей версии модуля в дальнейшем будет прекращена.

Что нужно знать перед началом работы

Подключение к Exchange Online PowerShell с использованием современной проверки подлинности или без нее

Эти инструкции по подключению используют современную проверку подлинности и работают с многофакторной проверкой подлинности (MFA) или без нее.

  1. В окне Windows PowerShell загрузите модуль EXO V2, выполнив следующую команду:

    Import-Module ExchangeOnlineManagement
    

    Примечания.

    • Если модуль EXO v2 уже установлен, предыдущая команда будет действовать как написанная.
    • Возможно, вы сможете пропустить этот шаг и запустить Connect-IPPSSession без предварительной загрузки модуля.
  2. В команде, которую вам нужно выполнить, используется следующий синтаксис:

    Connect-IPPSSession -UserPrincipalName <UPN> [-ConnectionUri <URL>] [-AzureADAuthorizationEndpointUri <URL>] [-PSSessionOption $ProxyOptions]
    
    • <UPN> — ваша учетная запись в формате имени субъекта-пользователя (например, navin@contoso.com).
    • Требуемое значение ConnectionUri зависит от характера вашей организации Microsoft 365. Дополнительные сведения см. в следующих примерах или в описании параметра в статье Connect-IPPSSession.
    • Параметр AzureADAuthorizationEndpointUri требуется в некоторых конкретных средах. Дополнительные сведения см. в следующих примерах или в описании параметра в статье Connect-IPPSSession.
    • Если вы находитесь за прокси-сервером, сначала выполните следующую команду: $ProxyOptions = New-PSSessionOption -ProxyAccessType <Value>, где <Value> равно IEConfig, WinHttpConfig или AutoDetect. Затем используйте параметр PSSessionOption со значением $ProxyOptions. Дополнительные сведения см. в статье New-PSSessionOption.
    • В зависимости от характера вашей организации вы можете опустить параметр UserPrincipalName на следующем шаге. Вместо этого введите имя пользователя и пароль или выберите сохраненные учетные данные после выполнения команды Connect-IPPSSession. Если это не сработает, необходимо использовать параметр UserPrincipalName.
    • Если вы не используете многофакторную проверку подлинности, у вас должна быть возможность применить параметр Credential вместо параметра UserPrincipalName. Сначала запустите команду $Credential = Get-Credential, введите имя пользователя и пароль, а затем используйте имя переменной для параметра Credential (-Credential $Credential). Если это не сработает, необходимо использовать параметр UserPrincipalName.

    В этом примере выполняется подключение к оболочке PowerShell безопасности и соответствия требованиям в организации Microsoft 365 или Microsoft 365 GCC:

    Connect-IPPSSession -UserPrincipalName navin@contoso.com
    

    В этом примере выполняется подключение к оболочке PowerShell безопасности и соответствия требованиям в организации Office 365, предоставляемой 21Vianet:

    Connect-IPPSSession -UserPrincipalName li@fabrikam.cn -ConnectionUri https://ps.compliance.protection.partner.outlook.cn/powershell-liveid
    

    В этом примере выполняется подключение к оболочке PowerShell безопасности и соответствия требованиям в организации Microsoft GCC High:

    Connect-IPPSSession -UserPrincipalName chris@govt.us -ConnectionUri https://ps.compliance.protection.office365.us/powershell-liveid/ -AzureADAuthorizationEndpointUri https://login.microsoftonline.us/common
    

    В этом примере выполняется подключение к оболочке PowerShell безопасности и соответствия требованиям в организации Microsoft 365 DoD:

    Connect-IPPSSession -UserPrincipalName michelle@govt.mil -ConnectionUri https://l5.ps.compliance.protection.office365.us/powershell-liveid/ -AzureADAuthorizationEndpointUri https://login.microsoftonline.us/common
    

Подробные сведения о синтаксисе и параметрах см. в статье Подключение IPPSSession.

Примечание

По завершении настройки отключите удаленный сеанс PowerShell. Если закрыть окно оболочки Windows PowerShell, не выполнив отключение сеанса, то можно исчерпать лимит доступных сеансов удаленной оболочки PowerShell. Кроме того, вам придется дождаться окончания срока действия сеансов. Чтобы отключить удаленный сеанс PowerShell, выполните приведенную ниже команду.

Disconnect-ExchangeOnline

Как убедиться, что все получилось?

Командлеты PowerShell безопасности и соответствия требованиям импортируются в локальный сеанс Windows PowerShell и отслеживаются с помощью индикатора выполнения. Если при этом не появляются сообщения об ошибках, то подключение установлено. Чтобы выполнить быструю проверку, запустите командлет PowerShell безопасности и соответствия требованиям, например Get-RetentionCompliancePolicy, и просмотрите результаты.

Если возникают ошибки, просмотрите список возможных причин ниже.

  • Распространенная проблема — неправильный пароль. Еще раз повторите три описанных выше действия, уделив особое внимание имени пользователя и паролю, которые вы используете.

  • Для предотвращения атак типа "отказ в обслуживании" (DoS) можно открыть не более пяти удаленных подключений PowerShell к PowerShell безопасности и соответствия требованиям.

  • Для учетной записи, которую вы используете для подключения к Exchange Online, необходимо включить доступ к удаленному сеансу PowerShell. Дополнительные сведения см. в статье Включение и отключение доступа к Exchange Online PowerShell.

  • Между локальным компьютером и Microsoft 365 необходимо открыть трафик для TCP-порта 80. Вполне вероятно, что он уже открыт, но в этом следует убедиться, если в вашей организации действует политика ограниченного доступа к Интернету.

  • Если IP-адрес клиента изменяется во время выполнения запроса на подключение, подключение может завершиться сбоем. Это может произойти, если в вашей организации используется пул преобразования сетевого адреса источника (SNAT), который содержит несколько IP-адресов. Ошибка подключения выглядит так:

    Не удалось запросить удаленную оболочку Windows с идентификатором ShellId <ID>, так как эта оболочка не найдена на сервере. Возможные причины: идентификатор ShellId указан неправильно или оболочки больше нет на сервере. Укажите правильный идентификатор ShellId или создайте новую оболочку и повторите попытку.

    Чтобы устранить эту проблему, используйте пул SNAT, содержащий один IP-адрес, или принудительно назначьте определенный IP-адрес для подключения к конечной точке оболочки PowerShell Центра безопасности и соответствия требованиям.