Подключение к оболочке PowerShell Центра безопасности и соответствия требованиям

Модуль Exchange Online PowerShell V2 (сокращенно — модуль EXO V2) использует современную проверку подлинности и поддерживает многофакторную проверку подлинности (MFA) для подключения ко всем средам PowerShell в Microsoft 365, связанным с Exchange, а именно Exchange Online PowerShell, PowerShell Центра безопасности и соответствия требованиям, а также к отдельной среде Exchange Online Protection (EOP) PowerShell. Дополнительные сведения о модуле EXO V2 см. в статье Сведения о модуле Exchange Online PowerShell V2.

В этой статье приведены инструкции по подключению к оболочке PowerShell Центра безопасности и соответствия требованиям с помощью модуля EXO V2 с многофакторной проверкой подлинности (MFA) и без нее.

Чтобы использовать инструкции по менее безопасному устаревшему удаленному подключению PowerShell, которое в дальнейшем станет нерекомендуемым, см. статью Обычная проверка подлинности: подключение к оболочке PowerShell Центра безопасности и соответствия требованиям.

Чтобы использовать устаревший модуль Exchange Online PowerShell для удаленного подключения к Центру безопасности и соответствия требованиям с помощью MFA, см. статью Модуль V1: подключение к оболочке PowerShell Центра безопасности и соответствия требованиям с помощью MFA Обратите внимание, что поддержка данной устаревшей версии модуля в дальнейшем будет прекращена.

Что нужно знать перед началом работы

Подключение к оболочке PowerShell Центра безопасности и соответствия требованиям с использованием MFA и современной проверки подлинности

Если в вашей учетной записи используется многофакторная проверка подлинности, выполните действия, описанные в этом разделе. В противном случае перейдите к разделуПодключение к оболочке PowerShell Центра безопасности и соответствия требованиям с использованием современной проверки подлинности.

  1. В окне Windows PowerShell загрузите модуль EXO V2, выполнив следующую команду:

    Import-Module ExchangeOnlineManagement
    

    Примечание. Если модуль EXO V2 уже установлен, предыдущая команда будет действовать как написанная.

  2. В последней команде, которую вам нужно выполнить, используется следующий синтаксис:

    Connect-IPPSSession -UserPrincipalName <UPN> [-ConnectionUri <URL>] [-PSSessionOption $ProxyOptions]
    
    • <UPN> — ваша учетная запись в формате имени субъекта-пользователя (например, navin@contoso.com).
    • Требуемое значение ConnectionUri зависит от характера вашей организации Microsoft 365. Дополнительные сведения см. в описании параметра в статье Connect-IPPSSession.
    • При использовании параметра UserPrincipalName вам не нужно использовать параметр AzureADAuthorizationEndpointUri в средах, в которых это требуется в других случаях.
    • Если вы находитесь за прокси-сервером, сначала выполните следующую команду: $ProxyOptions = New-PSSessionOption -ProxyAccessType <Value>, где <Value> равно IEConfig, WinHttpConfig или AutoDetect. Затем используйте параметр PSSessionOption со значением $ProxyOptions. Дополнительные сведения см. в статье New-PSSessionOption.

    В этом примере выполняется подключение к оболочке PowerShell Центра безопасности и соответствия требованиям в организации Microsoft 365 или Microsoft 365 GCC.

    Connect-IPPSSession -UserPrincipalName navin@contoso.com
    

    В этом примере выполняется подключение к оболочке PowerShell Центра безопасности и соответствия требованиям в организации Office 365 Germany.

    Connect-IPPSSession -UserPrincipalName lukas@fabrikam.de -ConnectionUri https://ps.compliance.protection.outlook.de/PowerShell-LiveID
    

    В этом примере выполняется подключение к оболочке PowerShell Центра безопасности и соответствия требованиям в организации Microsoft GCC High.

    Connect-IPPSSession -UserPrincipalName -ConnectionUri https://ps.compliance.protection.office365.us/powershell-liveid/
    

    В этом примере выполняется подключение к оболочке PowerShell Центра безопасности и соответствия требованиям в организации Microsoft 365 DoD.

    Connect-IPPSSession -UserPrincipalName -ConnectionUri https://l5.ps.compliance.protection.office365.us/powershell-liveid/
    

Подробные сведения о синтаксисе и параметрах см. в статье Подключение IPPSSession.

Примечание

По завершении настройки отключите удаленный сеанс PowerShell. Если закрыть окно оболочки Windows PowerShell, не выполнив отключение сеанса, то можно исчерпать лимит доступных сеансов удаленной оболочки PowerShell. Кроме того, вам придется дождаться окончания срока действия сеансов. Чтобы отключить удаленный сеанс PowerShell, выполните приведенную ниже команду.

Disconnect-ExchangeOnline

Подключение к оболочке PowerShell Центра безопасности и соответствия требованиям с использованием современной проверки подлинности

Если в вашей учетной записи не используется многофакторная проверка подлинности, выполните действия, описанные в этом разделе.

  1. В окне Windows PowerShell загрузите модуль EXO V2, выполнив следующую команду:

    Import-Module ExchangeOnlineManagement
    

    Примечание. Если модуль EXO V2 уже установлен, предыдущая команда будет действовать как написанная.

  2. Выполните следующую команду:

    Примечание

    Если вы пропустите этот шаг и опустите параметр Credential на следующем шаге, вам будет предложено ввести имя пользователя и пароль после выполнения команды Connect-IPPSSession. Если вы опустите параметр Credential и укажите параметр UserPrincipalName на следующем шаге, вам будет предложено ввести только пароль после выполнения команды Connect-IPPSSession.

    $UserCredential = Get-Credential
    

    В диалоговом окне Запрос учетных данных Windows PowerShell введите название своей рабочей или учебной учетной записи и пароль, а затем нажмите ОК.

    Примечание. После выполнения команды Connect-IPPSSession ключ пароля в $UserCredential будет очищен.

  3. В команде, которую вам нужно выполнить, используется следующий синтаксис:

    Connect-IPPSSession [-Credential $UserCredential] [-ConnectionUri <URL>] [-AzureADAuthorizationEndpointUri <URL>] [-PSSessionOption $ProxyOptions]
    
    • Требуемые значения ConnectionUri и AzureADAuthorizationEndPointUri зависят от характера вашей организации Microsoft 365. Дополнительные сведения см. в описаниях параметров в статье Connect-IPPSSession.
    • Если вы используете прокси-сервер, сохраните выходные данные командлета New-PSSessionOption в переменной (например, $ProxyOptions = New-PSSessionOption -ProxyAccessType <Value> [-ProxyAuthentication <Value>] [-ProxyCredential <Value>]). Затем используйте переменную ($ProxyOptions) в качестве значения параметра PSSessionOption.

    В этом примере выполняется подключение к оболочке PowerShell Центра безопасности и соответствия требованиям в организации Microsoft 365 или Microsoft 365 GCC.

    Connect-IPPSSession -Credential $UserCredential
    

    В этом примере выполняется подключение к оболочке PowerShell Центра безопасности и соответствия требованиям в организации Office 365 Germany.

    Connect-IPPSSession -Credential $UserCredential -ConnectionUri https://ps.compliance.protection.outlook.de/ -AzureADAuthorizationEndpointUri https://login.microsoftonline.de/common
    

    В этом примере выполняется подключение к оболочке PowerShell Центра безопасности и соответствия требованиям в организации Microsoft GCC High.

    Connect-IPPSSession -Credential $UserCredential -ConnectionUri https://ps.compliance.protection.office365.us/powershell-liveid/ -AzureADAuthorizationEndpointUri https://login.microsoftonline.us/common
    

    В этом примере выполняется подключение к оболочке PowerShell Центра безопасности и соответствия требованиям в организации Microsoft 365 DoD.

    Connect-IPPSSession -Credential $UserCredential -ConnectionUri https://l5.ps.compliance.protection.office365.us/powershell-liveid/ -AzureADAuthorizationEndpointUri https://login.microsoftonline.us/common
    

Подробные сведения о синтаксисе и параметрах см. в статье Подключение IPPSSession.

Примечание

По завершении настройки отключите удаленный сеанс PowerShell. Если закрыть окно оболочки Windows PowerShell, не выполнив отключение сеанса, можно исчерпать лимит доступных сеансов удаленной оболочки PowerShell. Кроме того, вам придется дождаться окончания срока действия сеансов. Чтобы отключить удаленный сеанс PowerShell, выполните следующую команду.

Disconnect-ExchangeOnline

Как убедиться, что все получилось?

Командлеты PowerShell Центра безопасности и соответствия требованиям импортируются в локальный сеанс Windows PowerShell и отслеживаются с помощью индикатора выполнения. Если при этом не появляются сообщения об ошибках, то подключение установлено. Чтобы выполнить быструю проверку, запустите командлет Центра безопасности и соответствия требованиям, например Get-RetentionCompliancePolicy, и просмотрите результаты.

Если возникают ошибки, просмотрите список возможных причин ниже.

  • Распространенная проблема — неправильный пароль. Еще раз повторите три описанных выше действия, уделив особое внимание имени пользователя и паролю, которые вы используете.

  • Для предотвращения атак типа "отказ в обслуживании" (DoS) можно открыть не более пяти удаленных подключений PowerShell к PowerShell Центра безопасности и соответствия требованиям.

  • Для удаленного сеанса PowerShell необходимо включить учетную запись, которая используется для подключения. Дополнительные сведения см. в статье Включение и отключение доступа к Exchange Online PowerShell.

  • Между локальным компьютером и Microsoft 365 необходимо открыть трафик для TCP-порта 80. Вполне вероятно, что он уже открыт, но в этом следует убедиться, если в вашей организации действует политика ограниченного доступа к Интернету.

  • Если IP-адрес клиента изменяется во время выполнения запроса на подключение, подключение может завершиться сбоем. Это может произойти, если в вашей организации используется пул преобразования сетевого адреса источника (SNAT), который содержит несколько IP-адресов. Ошибка подключения выглядит так:

    Не удалось запросить удаленную оболочку Windows с идентификатором ShellId <ID>, так как эта оболочка не найдена на сервере. Возможные причины: идентификатор ShellId указан неправильно или оболочки больше нет на сервере. Укажите правильный идентификатор ShellId или создайте новую оболочку и повторите попытку.

    Чтобы устранить эту проблему, используйте пул SNAT, содержащий один IP-адрес, или принудительно назначьте определенный IP-адрес для подключения к конечной точке оболочки PowerShell Центра безопасности и соответствия требованиям.