Fachartikel

Exchange Online verwalten (2)

Exchange Online lässt sich wie eine lokale Installation von Exchange über zwei Wege konfigurieren – das Exchange Admin Center und die Exchange Management Shell. Beide Tools stellen wir Ihnen in diesem Beitrag vor und geben Ihnen nützliche Tipps für die tägliche Administration an die Hand. In der zweiten Folge geht es vor allem um die Exchange Management Shell und wie Sie Fernzugriff einrichten und absichern.
Exchange Online lässt sich wie die lokale Version der Groupware über zwei Wege konfigurieren.
Zugriff beschränken
Das EAC-Verzeichnis nutzen Sie in lokalen Installationen für den administrativen Zugriff über den Browser, aber auch für die Konfigurationsseite der Benutzer in Outlook on the Web. Aus diesem Grund lässt sich der externe Zugriff auf das Verzeichnis nicht einfach deaktivieren, sodass ein Zugang zur Exchange-Konfiguration von extern zunächst möglich ist. URL-Filtering an der Firewall ist dadurch keine Option.

Haben Sie dedizierte Exchange-Server, die aus dem Internet erreichbar sind, können Sie den administrativen Zugriff über den Parameter "AdminEnabled" im virtuellen EAC-Verzeichnis über das Setzen des Werts auf "$false" deaktivieren. Dadurch unterbinden Sie auf dem Server den Zugriff auf das EAC, die Konfigurationsseite für Outlook on the Web ist aber weiterhin zu erreichen. Die Beschränkung gilt sowohl für externe als auch interne Zugriffe über den Browser.

Ist dies keine Option, war es bis Exchange 2019 möglich, eine weitere IIS-Website mit neuen virtuellen Verzeichnissen für OWA und ECP, die nur von intern zu erreichen ist, zu erstellen. Mit Exchange 2019 hat Microsoft dieses Defizit erkannt und Client Access Rules haben Einzug erhalten. Über die Funktion steuern Sie sehr flexibel den Zugriff auf das Exchange Administration Center und die Exchange Management Shell. Ausgangspunkt ist dabei das Netzwerk des Clients. Die Einrichtung führen Sie ausschließlich über die EMS mit den PowerShell-Cmdlets "Get-ClientAccessRule", "New-ClientAccessRule", "Remove-ClientAccessRule", "Set-ClientAccessRule" und "Test-Client -AccessRule" durch. Mit Bedingungen und Ausnahmen bestimmen Sie den Zugriff. Im folgenden Beispiel definieren Sie einen Netzbereich, der das EAC nutzen darf und allen anderen Bereichen ist der Zugriff verwehrt. Ein externer Zugang ist damit nicht mehr möglich:
New-ClientAccessRule -Name "Block EAC" -Action DenyAccess 
 -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddresses 
 -OrRanges 192.168.10.1/24
Eine genauere Beschreibung zur Einrichtung finden Sie unter [2]. Da die Konfigurationsseite für Exchange Online immer erreichbar ist, sind Einschränkungen umso wichtiger. Hier lassen sich die Zugriffe über die erwähnten PowerShell-Befehle ebenfalls einschränken. Die Möglichkeiten gehen dabei weit über die lokalen Optionen hinaus, denn neben dem Exchange Administration Center und der Exchange Management Shell lassen sich online unter anderem Exchange ActiveSync, Exchange WebServices, IMAP4, Outlook Anywhere oder Outlook WebApp steuern. Darüber hinaus können Sie über den Parameter "AnyOfAuthenticationTypes" filtern, welche Authentifizierungen gestattet sind. Auch lassen sich in der Cloud Recipient-Filter über die Parameter "UsernameMatchesAnyOfPatterns" und "UserRecipientFilter" anwenden. Hierdurch steuern Sie den Zugriff sehr granular über die Eigenschaften der Benutzer.
Die Exchange Management Shell
Die Exchange Management Shell ist auch in Exchange 2019 ein wichtiger Bestandteil der Administration und ergänzt nicht nur die grafische Oberfläche, sondern ist grundsätzlich das mächtigere Tool. Denn die PowerShell ist oft die flexiblere und effizientere Lösung, mit der sich wesentlich mehr Eigenschaften anzeigen lassen als über das EAC. Darüber hinaus filtern und sortieren Sie die Daten mit der EMS schneller.

Fast alle Befehle gibt es mit den vier Präfixen "Get", "Set", "New" und "Remove", denen der erweiterte Befehl folgt. So erstellen Sie etwa neue Mailboxen über New-Mailbox, zeigen sich über Get-Mailbox alle Postfächer an, bearbeiten diese mit Set-Mailbox und löschen Postfächer mit Remove-Mailbox.


Bild 2: Den Status der Administrator-Überwachungsprotokollierung zeigen Sie über die Exchange Management Shell an.

Bei einer Get-Abfrage erhalten Sie zunächst alle Eigenschaften eines Objekts zurück. Das Ergebnis lassen Sie sich über eine Format-Table (alias "ft") oder Format-List (alias "fl") anzeigen. Sofern nicht alle Parameter gefragt sind, filtern Sie das Ergebnis über die Properties. Die tabellarische Darstellung optimieren Sie mit den Parametern "Wrap" und "Autosize". Als Letztes sei noch auf die Erweiterung "Out-GridView" hingewiesen. Diese stellt den Befehls-Output in tabellarischer Form auf einer grafischen Oberfläche dar, wodurch Sie das Ergebnis weiter filtern.

Der Befehl Get-Command listet Ihnen alle zur Verfügung stehenden Kommandos auf. Über Platzhalter fragen Sie Cmdlets einer Befehlsgruppe ab: Get-Command *MailboxDatabase*. Eine genaue Beschreibung eines Befehls erhalten Sie mit Get-Help. Mit der Erweiterung "Detailed" lassen Sie sich noch die Parameter und Beispiele zu einem Befehl anzeigen, etwa Get-Help Get-MailboxDatabase -Detailed. Eine Zusammenfassung der verfügbaren PowerShell-Befehle finden Sie links im Bereich "Reference" auf der TechNet-Seite [3]. Beachten Sie, dass nicht alle Kommandos mit allen Eigenschaften in Exchange Online beziehungsweise lokal verfügbar sind. So suchen Sie zum Beispiel Befehle zu den Exchange-Servern oder Datenbanken in Exchange Online vergebens. Weitere Ressourcen zum Thema PowerShell finden Sie ebenfalls im TechNet [4].

Fernzugriff einrichten und absichern
Um von Ihrem Arbeitsplatz über die Remote-PowerShell auf Exchange 2019 zuzugreifen, sind nur wenige Schritte nötig. Voraussetzung ist ein Client mit Windows 8.1 oder 10. Darüber hinaus muss die Skriptausführungsrichtlinie auf "Remote-Signed" gesetzt sein, was mit Set-ExecutionPolicy RemoteSigned funktioniert. Sind diese Bedingungen gegeben, fragen Sie zunächst die Zugangsdaten mit dem Befehl $UserCredential = Get-Credential ab. Als Nächstes bereiten Sie die Session vor und geben das Ziel der Sitzung an:
$Session = New-PSSession -ConfigurationName Microsoft.Exchange 
-hCtotnpn:e/c/tSieornvUerriF QDN/PowerShell/ -Credential $UserCredential
Zum Schluss stellen Sie die Verbindung über Import-PSSession $Session her. Es stehen Ihnen nun sämtliche Exchange-Befehle zur Verfügung. Nach dem Ende der Arbeiten trennen Sie die Verbindung über Remove-PSSession $Session. Auf gleichem Weg kontaktieren Sie Exchange Online. Hier tragen Sie bei der "Connection-Uri" nur die Exchange Online Adresse "https://outlook.office365.com/powershell-liveid/" ein.

Bei Exchange kann standardmäßig jeder Benutzer auf die Remote-Shell zugreifen. Die Nutzer können sich aber nur in dem Rahmen bewegen, der ihnen über die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) zugewiesen ist. Den Zugriff deaktivieren Sie über das Attribut "RemotePowerShellEnabled" beim Cmdlet "Set-User":
Set-User Christian -RemotePowerShellEnabled $false
Der bisher beschriebene Zugriff basiert zunächst rein auf der Basis-Authentifizierung. Für Exchange war sie lange Zeit ein schneller Weg der Anmeldung, bietet aber eine größeres Angriffspotenzial und zusätzliche Sicherheitsmechanismen wie die Multifaktor-Authentifizierung finden durch die Komplexität oft keine Verwendung. Aus diesem Grund hat sich Microsoft bereits 2018 dazu entschieden, die Basis-Authentifizierung für EWS bei Exchange Online zum Oktober 2020 abzuschalten. 2019 wurde diese Abkündigung auf Exchange ActiveSync (EAS), POP, IMAP und die Remote-PowerShell ausgeweitet. Durch die COVID-19-Krise hat sich die Frist auf das zweite Halbjahr 2021 verschoben. Zukünftig soll die Anmeldung über die moderne Authentifizierung erfolgen, die auf der Active-Directory-Authentifizierungsbibliothek (ADAL) und OAuth 2.0 basiert [5].

Um Multifaktor-Authentifizierung zu nutzen, können Sie den bisher beschriebenen Weg nicht gehen – sie benötigen hierfür das Exchange-Online-Remote-PowerShell-Modul. Dieses laden Sie sich über den Punkt "Hybrid" im EAC herunter.

Wichtig dabei ist, dass Sie die Anwendung unter Edge beziehungsweise dem Internet Explorer ausführen. Es wird automatisch eine Verknüpfung im Startmenü erstellt, die Sie zukünftig zum Verbinden mit Exchange Online verwenden.


Bild 3: Mit dem Exo-V2-Modul nehmen Sie mit Exchange Online über Modern Authentification schnell Verbindung auf.

Alternativ laden Sie sich das Modul über Install-Module -Name ExchangeOnlineManagement in Ihre PowerShell. Mit Connect-ExchangeOnline etablieren Sie eine Verbindung über die moderne Authentifizierung. Es sind keine weiteren Eingaben mehr zu tätigen. Sofern im Microsoft-Account des Benutzers eine Multifaktor-Authentifizierung aktiviert ist, kommt diese direkt zum Einsatz.

Das Exchange-Online-PowerShell-V2-Modul (abgekürzt als Exo-V2-Modul) ermöglicht einen wesentlich einfacheren Zugriff auf Exchange Online. Dieser Weg ist zukünftig der empfohlene Weg, um sich mit Exchange Online zu verbinden Exo V2 bringt dabei noch einige neue Cmdlets mit, die für die Massenbearbeitung ausgelegt sind. Die Übersicht im folgenden Kasten stellt die neuen (Exchange Online) und die alten Befehle (Exchange lokal) gegenüber, wobei die alten Cmdlets weiterhin verfügbar sind.
 


 
Im ersten Teil des Workshops schauen wir uns die Nutzung des Exchange Admin Center genauer an. In der zweiten Folge geht es vor allem um die Exchange Management Shell und wie Sie Fernzugriff einrichten und absichern. Im dritten Teil des Workshops widmen wir uns der Protokollierung der PowerShell-Befehle.
15.08.2022/ln/Christian Schulenburg

Nachrichten

Mobiles Teamwork [15.09.2022]

Die Deutsche Telekom und Microsoft ermöglichen die Integration der Mobilfunkrufnummern von Geschäftskunden in Microsoft Teams. Nutzer können dadurch Orts- und Geräte-unabhängig direkt in Teams telefonieren und Inlands- und Auslandsgespräche mit der Mobilfunkrufnummer ein- und ausgehend führen. [mehr]

Geschmeidige Zusammenarbeit [2.09.2022]

IGEL unterstützt nun die Microsoft-Teams-Optimierung für Endgeräte mit IGEL OS, die sich mit Azure Virtual Desktop und Windows 365 verbinden. Teams auf Azure Virtual Desktop unterstützt Chat und Collaboration-Funktionen, mit Medienoptimierungen unterstützt Teams dabei auch Anrufe und Besprechungsfunktionen. [mehr]

Ruf doch mal wieder an [18.08.2022]

Tipps & Tools

Online-Intensivseminar "Exchange Server 2016/19" [26.09.2022]

Lassen Sie sich in unserem dreitägigen Intensivseminar umfassend unterrichten, wie Sie Microsofts leistungsstarken Mail- und Collaborationsserver in seinen 2016er- und 2019er-Ausprägungen verwalten: von den Active-Directory- und serverseitigen Voraussetzungen für seine Bereitstellung bis zur Überwachung und dem Troubleshooting. Unsere aktuell einzige buchbare Veranstaltung findet Mitte November virtuell statt. Seien Sie daher schnell, um sich Ihren Platz zu sichern – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Ultrakompakter Smartphone-Halter [24.09.2022]

Während immer mehr IT-Tätigkeiten auf das Smartphone wandern, wird die Handhabung der mobilen Devices nicht unbedingt einfacher – weshalb sich der Einsatz von Handyhalterungen anbietet. IT-Profis, die auch in Sachen ITK-Zubehör Effizienz schätzen, können wir ein spezielles Modell empfehlen: goBelt ist der wohl kompakteste Smartphone-Halter mit Standfuß-Funktion überhaupt. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen