Fachartikel

Exchange Online verwalten (3)

Exchange Online lässt sich wie eine lokale Installation von Exchange über zwei Wege konfigurieren – das Exchange Admin Center und die Exchange Management Shell. Beide Tools stellen wir Ihnen in diesem Beitrag vor und geben Ihnen nützliche Tipps für die tägliche Administration an die Hand. Im dritten und letzten Teil des Workshops widmen wir uns der Protokollierung der PowerShell-Befehle.
Exchange Online lässt sich wie die lokale Version der Groupware über zwei Wege konfigurieren.
Protokollierung der Befehle
Um im EAC nachzuvollziehen, welcher PowerShell-Befehl den aktuellen Aktionen zugrunde liegt, öffnen Sie die Befehlszeilenprotokollierung über die Hilfe. Die Anzeige erfolgt dabei in einem eigenen Fenster und Sie müssen den Protokollierungs-Viewer beim Start des EAC aktivieren, damit Sie die Kommandos nachvollziehen können. Das Protokoll speichert maximal 500 Zeilen und beginnt im Anschluss, die ältesten Einträge zu überschreiben. Leider referenziert das Protokoll auf die GUIDs der Exchange-Objekte, weshalb es schwierig sein kann, den richtigen Eintrag zu finden. Eine wirkliche Protokollierung ist hierdurch aber nicht gegeben.

Exchange Online und Exchange 2019 überwachen mit dem Administrator-Überwachungsprotokoll die Aktionen von Administratoren, die sowohl über das Exchange Administrator Center als auch über die Exchange Management Shell erfolgen. Dies bietet Organisationen die Möglichkeit, Änderungen an der Exchange-Umgebung nachzuvollziehen, sodass Sie wissen, wer was wann modifiziert hat. Es werden dabei nur Befehle protokolliert, die Objekte verändern, Get- oder Search-Befehle sind also ausgeschlossen.

Ebenfalls erfolgt keine Protokollierung von fehlerhaft ausgeführten Befehlen. Sie können außerdem einstellen, dass nur bestimmte Kommandos im Protokoll landen. Exchange prüft beim Ausführen eines Befehls, ob dieser beziehungsweise dabei genutzte Parameter zu protokollieren sind und mit dem zu überwachenden Befehl übereinstimmen. Ist dies der Fall, erfolgt eine Protokollierung in einen Systempostfach.
Verantwortlich für die Überwachung ist der Cmdlet-Extension-Agent "Admin Audit Log Agent". Konfigurationsanpassungen zur Überwachung werden grundsätzlich protokolliert, unabhängig davon, ob die Überwachung für den Befehl aktiv ist oder nicht. Die Konfiguration rufen Sie ausschließlich über die EMS und den Befehl Get-AdminAuditLogConfig auf. Welche Cmdlets mit welchen Parametern genau geloggt werden, ist in den Parametern "AdminAuditLogCmdlets" und "Admin -AuditLogParameters" zu finden. Standardmäßig ist hier ein Asterix (*) eingetragen, sodass sämtliche Befehle in die Auflistung einfließen.


Bild 4: Über das EAC holen Sie sich die Protokolleinträge der Überwachung auf den Screen.

Die Einträge im Log werden standardmäßig 90 Tage aufbewahrt und dann gelöscht. Sie verlängern den Zeitraum über den Parameter "AdminAuditL ogAgeLimit". Setzen Sie den Wert auf 0, löschen Sie sämtliche Einträge im Protokoll. Die Protokollierung erfasst im Auslieferungszustand den Namen und die Parameter des Befehls, das veränderte Objekt, wer den Befehl auf welchem Server ausgeführt hat sowie den Ausführungszeitpunkt. Es wird aber nicht protokolliert, was genau geändert wurde. Um dies ebenfalls zu überwachen, aktivieren Sie das erweiterte Logging über Verbose und den Parameter "LogLevel":
Set-AdminAuditLogConfig -LogLevel verbose
Das Protokoll über die Befehle zeigen Sie sich im EAC unter dem Punkt "Verwaltung der Compliance / Überwachung" an. Hier rufen Sie den Punkt "Administratorenüberwachungsprotokoll-Bericht ausführen" auf. Es öffnet sich ein Popup-Fenster, in dem Sie über einen Zeitraum nach ausgeführten Befehlen suchen können. Das EAC bietet Ihnen weiterhin über den Punkt "Administratorenüberwachungsprotokoll exportieren" an, sich eine Übersicht der Befehle als E-Mail mit XML-Anlage zuzusenden.

Als Alternative zum EAC kommt die Exchange Managament Shell mit den Cmdlets "New-AdminAuditLogSearch" oder "Search-AdminAuditLog" zum Einsatz. Hier filtern Sie direkt nach Benutzern oder Befehlen, um eine schnelle Übersicht zu erhalten. Mit dem folgenden Beispiel listen Sie alle ausgeführten Befehle nach dem 1. Juni 2020 tabellarisch auf:
Search-AdminAuditLog -StartDate 
06/01/2020 | ft RunDate, Caller,
CmdletName, CmdletParameters,
ObjectModified
Mehr zum Thema Administrator-Überwachungsprotokollierung zeigt [6].

Fazit
Das Exchange Admin Center und die Exchange Management Shell sind für die Administration tägliche Anlaufstelle. Der Beitrag hat Ihnen einige wichtige Aspekte nähergebracht. Dank der Konfiguration von Exchange über den Browser als auch durch die Remote-PowerShell ist die Administration von jedem Arbeitsplatz aus möglich. Die Exchange-Tools sind auf Ihrem administrativen Arbeitsplatz nicht mehr lokal nötig, was natürlich neue Herausforderungen in der Absicherung mit sich bringt.

Im ersten Teil des Workshops schauen wir uns die Nutzung des Exchange Admin Center genauer an. In der zweiten Folge geht es vor allem um die Exchange Management Shell und wie Sie Fernzugriff einrichten und absichern. Im dritten Teil des Workshops widmen wir uns der Protokollierung der PowerShell-Befehle.
22.08.2022/ln/Christian Schulenburg

Nachrichten

Mobiles Teamwork [15.09.2022]

Die Deutsche Telekom und Microsoft ermöglichen die Integration der Mobilfunkrufnummern von Geschäftskunden in Microsoft Teams. Nutzer können dadurch Orts- und Geräte-unabhängig direkt in Teams telefonieren und Inlands- und Auslandsgespräche mit der Mobilfunkrufnummer ein- und ausgehend führen. [mehr]

Geschmeidige Zusammenarbeit [2.09.2022]

IGEL unterstützt nun die Microsoft-Teams-Optimierung für Endgeräte mit IGEL OS, die sich mit Azure Virtual Desktop und Windows 365 verbinden. Teams auf Azure Virtual Desktop unterstützt Chat und Collaboration-Funktionen, mit Medienoptimierungen unterstützt Teams dabei auch Anrufe und Besprechungsfunktionen. [mehr]

Ruf doch mal wieder an [18.08.2022]

Tipps & Tools

Online-Intensivseminar "Exchange Server 2016/19" [26.09.2022]

Lassen Sie sich in unserem dreitägigen Intensivseminar umfassend unterrichten, wie Sie Microsofts leistungsstarken Mail- und Collaborationsserver in seinen 2016er- und 2019er-Ausprägungen verwalten: von den Active-Directory- und serverseitigen Voraussetzungen für seine Bereitstellung bis zur Überwachung und dem Troubleshooting. Unsere aktuell einzige buchbare Veranstaltung findet Mitte November virtuell statt. Seien Sie daher schnell, um sich Ihren Platz zu sichern – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Ultrakompakter Smartphone-Halter [24.09.2022]

Während immer mehr IT-Tätigkeiten auf das Smartphone wandern, wird die Handhabung der mobilen Devices nicht unbedingt einfacher – weshalb sich der Einsatz von Handyhalterungen anbietet. IT-Profis, die auch in Sachen ITK-Zubehör Effizienz schätzen, können wir ein spezielles Modell empfehlen: goBelt ist der wohl kompakteste Smartphone-Halter mit Standfuß-Funktion überhaupt. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen