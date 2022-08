Exchange Online verwalten (2)

Exchange Online lässt sich wie eine lokale Installation von Exchange über zwei Wege konfigurieren – das Exchange Admin Center und die Exchange Management Shell. Beide Tools stellen wir Ihnen in diesem Beitrag vor und geben Ihnen nützliche Tipps für die tägliche Administration an die Hand. In der zweiten Folge geht es vor allem um die Exchange Management Shell und wie Sie Fernzugriff einrichten und absichern.

Exchange Online lässt sich wie die lokale Version der Groupware über zwei Wege konfigurieren.

Zugriff beschränken

Das EAC-Verzeichnis nutzen Sie in lokalen Installationen für den administrativen Zugriff über den Browser, aber auch für die Konfigurationsseite der Benutzer in Outlook on the Web. Aus diesem Grund lässt sich der externe Zugriff auf das Verzeichnis nicht einfach deaktivieren, sodass ein Zugang zur Exchange-Konfiguration von extern zunächst möglich ist. URL-Filtering an der Firewall ist dadurch keine Option.



Haben Sie dedizierte Exchange-Server, die aus dem Internet erreichbar sind, können Sie den administrativen Zugriff über den Parameter "AdminEnabled" im virtuellen EAC-Verzeichnis über das Setzen des Werts auf "$false" deaktivieren. Dadurch unterbinden Sie auf dem Server den Zugriff auf das EAC, die Konfigurationsseite für Outlook on the Web ist aber weiterhin zu erreichen. Die Beschränkung gilt sowohl für externe als auch interne Zugriffe über den Browser.



Ist dies keine Option, war es bis Exchange 2019 möglich, eine weitere IIS-Website mit neuen virtuellen Verzeichnissen für OWA und ECP, die nur von intern zu erreichen ist, zu erstellen. Mit Exchange 2019 hat Microsoft dieses Defizit erkannt und Client Access Rules haben Einzug erhalten. Über die Funktion steuern Sie sehr flexibel den Zugriff auf das Exchange Administration Center und die Exchange Management Shell. Ausgangspunkt ist dabei das Netzwerk des Clients. Die Einrichtung führen Sie ausschließlich über die EMS mit den PowerShell-Cmdlets "Get-ClientAccessRule", "New-ClientAccessRule", "Remove-ClientAccessRule", "Set-ClientAccessRule" und "Test-Client -AccessRule" durch. Mit Bedingungen und Ausnahmen bestimmen Sie den Zugriff. Im folgenden Beispiel definieren Sie einen Netzbereich, der das EAC nutzen darf und allen anderen Bereichen ist der Zugriff verwehrt. Ein externer Zugang ist damit nicht mehr möglich:

New-ClientAccessRule -Name "Block EAC" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddresses -OrRanges 192.168.10.1/24 Eine genauere Beschreibung zur Einrichtung finden Sie unter [2]. Da die Konfigurationsseite für Exchange Online immer erreichbar ist, sind Einschränkungen umso wichtiger. Hier lassen sich die Zugriffe über die erwähnten PowerShell-Befehle ebenfalls einschränken. Die Möglichkeiten gehen dabei weit über die lokalen Optionen hinaus, denn neben dem Exchange Administration Center und der Exchange Management Shell lassen sich online unter anderem Exchange ActiveSync, Exchange WebServices, IMAP4, Outlook Anywhere oder Outlook WebApp steuern. Darüber hinaus können Sie über den Parameter "AnyOfAuthenticationTypes" filtern, welche Authentifizierungen gestattet sind. Auch lassen sich in der Cloud Recipient-Filter über die Parameter "UsernameMatchesAnyOfPatterns" und "UserRecipientFilter" anwenden. Hierdurch steuern Sie den Zugriff sehr granular über die Eigenschaften der Benutzer. Das EAC-Verzeichnis nutzen Sie in lokalen Installationen für den administrativen Zugriff über den Browser, aber auch für die Konfigurationsseite der Benutzer in Outlook on the Web. Aus diesem Grund lässt sich der externe Zugriff auf das Verzeichnis nicht einfach deaktivieren, sodass ein Zugang zur Exchange-Konfiguration von extern zunächst möglich ist. URL-Filtering an der Firewall ist dadurch keine Option.Haben Sie dedizierte Exchange-Server, die aus dem Internet erreichbar sind, können Sie den administrativen Zugriff über den Parameter "AdminEnabled" im virtuellen EAC-Verzeichnis über das Setzen des Werts auf "$false" deaktivieren. Dadurch unterbinden Sie auf dem Server den Zugriff auf das EAC, die Konfigurationsseite für Outlook on the Web ist aber weiterhin zu erreichen. Die Beschränkung gilt sowohl für externe als auch interne Zugriffe über den Browser.Ist dies keine Option, war es bis Exchange 2019 möglich, eine weitere IIS-Website mit neuen virtuellen Verzeichnissen für OWA und ECP, die nur von intern zu erreichen ist, zu erstellen. Mit Exchange 2019 hat Microsoft dieses Defizit erkannt und Client Access Rules haben Einzug erhalten. Über die Funktion steuern Sie sehr flexibel den Zugriff auf das Exchange Administration Center und die Exchange Management Shell. Ausgangspunkt ist dabei das Netzwerk des Clients. Die Einrichtung führen Sie ausschließlich über die EMS mit den PowerShell-Cmdlets "Get-ClientAccessRule", "New-ClientAccessRule", "Remove-ClientAccessRule", "Set-ClientAccessRule" und "Test-Client -AccessRule" durch. Mit Bedingungen und Ausnahmen bestimmen Sie den Zugriff. Im folgenden Beispiel definieren Sie einen Netzbereich, der das EAC nutzen darf und allen anderen Bereichen ist der Zugriff verwehrt. Ein externer Zugang ist damit nicht mehr möglich:Eine genauere Beschreibung zur Einrichtung finden Sie unter [2]. Da die Konfigurationsseite für Exchange Online immer erreichbar ist, sind Einschränkungen umso wichtiger. Hier lassen sich die Zugriffe über die erwähnten PowerShell-Befehle ebenfalls einschränken. Die Möglichkeiten gehen dabei weit über die lokalen Optionen hinaus, denn neben dem Exchange Administration Center und der Exchange Management Shell lassen sich online unter anderem Exchange ActiveSync, Exchange WebServices, IMAP4, Outlook Anywhere oder Outlook WebApp steuern. Darüber hinaus können Sie über den Parameter "AnyOfAuthenticationTypes" filtern, welche Authentifizierungen gestattet sind. Auch lassen sich in der Cloud Recipient-Filter über die Parameter "UsernameMatchesAnyOfPatterns" und "UserRecipientFilter" anwenden. Hierdurch steuern Sie den Zugriff sehr granular über die Eigenschaften der Benutzer.