Exchange Online verwalten (2)

Lesezeit
4 Minuten
Bis jetzt gelesen

Exchange Online verwalten (2)

15.08.2022 - 00:00
Veröffentlicht in:
Exchange Online lässt sich wie eine lokale Installation von Exchange über zwei Wege konfigurieren – das Exchange Admin Center und die Exchange Management Shell. Beide Tools stellen wir Ihnen in diesem Beitrag vor und geben Ihnen nützliche Tipps für die tägliche Administration an die Hand. In der zweiten Folge geht es vor allem um die Exchange Management Shell und wie Sie Fernzugriff einrichten und absichern.
Zugriff beschränken
Das EAC-Verzeichnis nutzen Sie in lokalen Installationen für den administrativen Zugriff über den Browser, aber auch für die Konfigurationsseite der Benutzer in Outlook on the Web. Aus diesem Grund lässt sich der externe Zugriff auf das Verzeichnis nicht einfach deaktivieren, sodass ein Zugang zur Exchange-Konfiguration von extern zunächst möglich ist. URL-Filtering an der Firewall ist dadurch keine Option.

Haben Sie dedizierte Exchange-Server, die aus dem Internet erreichbar sind, können Sie den administrativen Zugriff über den Parameter "AdminEnabled" im virtuellen EAC-Verzeichnis über das Setzen des Werts auf "$false" deaktivieren. Dadurch unterbinden Sie auf dem Server den Zugriff auf das EAC, die Konfigurationsseite für Outlook on the Web ist aber weiterhin zu erreichen. Die Beschränkung gilt sowohl für externe als auch interne Zugriffe über den Browser.

Ist dies keine Option, war es bis Exchange 2019 möglich, eine weitere IIS-Website mit neuen virtuellen Verzeichnissen für OWA und ECP, die nur von intern zu erreichen ist, zu erstellen. Mit Exchange 2019 hat Microsoft dieses Defizit erkannt und Client Access Rules haben Einzug erhalten. Über die Funktion steuern Sie sehr flexibel den Zugriff auf das Exchange Administration Center und die Exchange Management Shell. Ausgangspunkt ist dabei das Netzwerk des Clients. Die Einrichtung führen Sie ausschließlich über die EMS mit den PowerShell-Cmdlets "Get-ClientAccessRule", "New-ClientAccessRule", "Remove-ClientAccessRule", "Set-ClientAccessRule" und "Test-Client -AccessRule" durch. Mit Bedingungen und Ausnahmen bestimmen Sie den Zugriff. Im folgenden Beispiel definieren Sie einen Netzbereich, der das EAC nutzen darf und allen anderen Bereichen ist der Zugriff verwehrt. Ein externer Zugang ist damit nicht mehr möglich:
New-ClientAccessRule -Name "Block EAC" -Action DenyAccess 
 -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddresses 
 -OrRanges 192.168.10.1/24
Eine genauere Beschreibung zur Einrichtung finden Sie unter [2]. Da die Konfigurationsseite für Exchange Online immer erreichbar ist, sind Einschränkungen umso wichtiger. Hier lassen sich die Zugriffe über die erwähnten PowerShell-Befehle ebenfalls einschränken. Die Möglichkeiten gehen dabei weit über die lokalen Optionen hinaus, denn neben dem Exchange Administration Center und der Exchange Management Shell lassen sich online unter anderem Exchange ActiveSync, Exchange WebServices, IMAP4, Outlook Anywhere oder Outlook WebApp steuern. Darüber hinaus können Sie über den Parameter "AnyOfAuthenticationTypes" filtern, welche Authentifizierungen gestattet sind. Auch lassen sich in der Cloud Recipient-Filter über die Parameter "UsernameMatchesAnyOfPatterns" und "UserRecipientFilter" anwenden. Hierdurch steuern Sie den Zugriff sehr granular über die Eigenschaften der Benutzer.

Die Exchange Management Shell
Die Exchange Management Shell ist auch in Exchange 2019 ein wichtiger Bestandteil der Administration und ergänzt nicht nur die grafische Oberfläche, sondern ist grundsätzlich das mächtigere Tool. Denn die PowerShell ist oft die flexiblere und effizientere Lösung, mit der sich wesentlich mehr Eigenschaften anzeigen lassen als über das EAC. Darüber hinaus filtern und sortieren Sie die Daten mit der EMS schneller.

Fast alle Befehle gibt es mit den vier Präfixen "Get", "Set", "New" und "Remove", denen der erweiterte Befehl folgt. So erstellen Sie etwa neue Mailboxen über New-Mailbox, zeigen sich über Get-Mailbox alle Postfächer an, bearbeiten diese mit Set-Mailbox und löschen Postfächer mit Remove-Mailbox.


Bild 2: Den Status der Administrator-Überwachungsprotokollierung zeigen Sie über die Exchange Management Shell an.

Bei einer Get-Abfrage erhalten Sie zunächst alle Eigenschaften eines Objekts zurück. Das Ergebnis lassen Sie sich über eine Format-Table (alias "ft") oder Format-List (alias "fl") anzeigen. Sofern nicht alle Parameter gefragt sind, filtern Sie das Ergebnis über die Properties. Die tabellarische Darstellung optimieren Sie mit den Parametern "Wrap" und "Autosize". Als Letztes sei noch auf die Erweiterung "Out-GridView" hingewiesen. Diese stellt den Befehls-Output in tabellarischer Form auf einer grafischen Oberfläche dar, wodurch Sie das Ergebnis weiter filtern.

Der Befehl Get-Command listet Ihnen alle zur Verfügung stehenden Kommandos auf. Über Platzhalter fragen Sie Cmdlets einer Befehlsgruppe ab: Get-Command *MailboxDatabase*. Eine genaue Beschreibung eines Befehls erhalten Sie mit Get-Help. Mit der Erweiterung "Detailed" lassen Sie sich noch die Parameter und Beispiele zu einem Befehl anzeigen, etwa Get-Help Get-MailboxDatabase -Detailed. Eine Zusammenfassung der verfügbaren PowerShell-Befehle finden Sie links im Bereich "Reference" auf der TechNet-Seite [3]. Beachten Sie, dass nicht alle Kommandos mit allen Eigenschaften in Exchange Online beziehungsweise lokal verfügbar sind. So suchen Sie zum Beispiel Befehle zu den Exchange-Servern oder Datenbanken in Exchange Online vergebens. Weitere Ressourcen zum Thema PowerShell finden Sie ebenfalls im TechNet [4].

Fernzugriff einrichten und absichern
Um von Ihrem Arbeitsplatz über die Remote-PowerShell auf Exchange 2019 zuzugreifen, sind nur wenige Schritte nötig. Voraussetzung ist ein Client mit Windows 8.1 oder 10. Darüber hinaus muss die Skriptausführungsrichtlinie auf "Remote-Signed" gesetzt sein, was mit Set-ExecutionPolicy RemoteSigned funktioniert. Sind diese Bedingungen gegeben, fragen Sie zunächst die Zugangsdaten mit dem Befehl $UserCredential = Get-Credential ab. Als Nächstes bereiten Sie die Session vor und geben das Ziel der Sitzung an:
$Session = New-PSSession -ConfigurationName Microsoft.Exchange 
-hCtotnpn:e/c/tSieornvUerriF QDN/PowerShell/ -Credential $UserCredential
Zum Schluss stellen Sie die Verbindung über Import-PSSession $Session her. Es stehen Ihnen nun sämtliche Exchange-Befehle zur Verfügung. Nach dem Ende der Arbeiten trennen Sie die Verbindung über Remove-PSSession $Session. Auf gleichem Weg kontaktieren Sie Exchange Online. Hier tragen Sie bei der "Connection-Uri" nur die Exchange Online Adresse "https://outlook.office365.com/powershell-liveid/" ein.

Bei Exchange kann standardmäßig jeder Benutzer auf die Remote-Shell zugreifen. Die Nutzer können sich aber nur in dem Rahmen bewegen, der ihnen über die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) zugewiesen ist. Den Zugriff deaktivieren Sie über das Attribut "RemotePowerShellEnabled" beim Cmdlet "Set-User":
Set-User Christian -RemotePowerShellEnabled $false
Der bisher beschriebene Zugriff basiert zunächst rein auf der Basis-Authentifizierung. Für Exchange war sie lange Zeit ein schneller Weg der Anmeldung, bietet aber eine größeres Angriffspotenzial und zusätzliche Sicherheitsmechanismen wie die Multifaktor-Authentifizierung finden durch die Komplexität oft keine Verwendung. Aus diesem Grund hat sich Microsoft bereits 2018 dazu entschieden, die Basis-Authentifizierung für EWS bei Exchange Online zum Oktober 2020 abzuschalten. 2019 wurde diese Abkündigung auf Exchange ActiveSync (EAS), POP, IMAP und die Remote-PowerShell ausgeweitet. Durch die COVID-19-Krise hat sich die Frist auf das zweite Halbjahr 2021 verschoben. Zukünftig soll die Anmeldung über die moderne Authentifizierung erfolgen, die auf der Active-Directory-Authentifizierungsbibliothek (ADAL) und OAuth 2.0 basiert [5].

Um Multifaktor-Authentifizierung zu nutzen, können Sie den bisher beschriebenen Weg nicht gehen – sie benötigen hierfür das Exchange-Online-Remote-PowerShell-Modul. Dieses laden Sie sich über den Punkt "Hybrid" im EAC herunter.

Wichtig dabei ist, dass Sie die Anwendung unter Edge beziehungsweise dem Internet Explorer ausführen. Es wird automatisch eine Verknüpfung im Startmenü erstellt, die Sie zukünftig zum Verbinden mit Exchange Online verwenden.


Bild 3: Mit dem Exo-V2-Modul nehmen Sie mit Exchange Online über Modern Authentification schnell Verbindung auf.

Alternativ laden Sie sich das Modul über Install-Module -Name ExchangeOnlineManagement in Ihre PowerShell. Mit Connect-ExchangeOnline etablieren Sie eine Verbindung über die moderne Authentifizierung. Es sind keine weiteren Eingaben mehr zu tätigen. Sofern im Microsoft-Account des Benutzers eine Multifaktor-Authentifizierung aktiviert ist, kommt diese direkt zum Einsatz.

Das Exchange-Online-PowerShell-V2-Modul (abgekürzt als Exo-V2-Modul) ermöglicht einen wesentlich einfacheren Zugriff auf Exchange Online. Dieser Weg ist zukünftig der empfohlene Weg, um sich mit Exchange Online zu verbinden Exo V2 bringt dabei noch einige neue Cmdlets mit, die für die Massenbearbeitung ausgelegt sind. Die Übersicht im folgenden Kasten stellt die neuen (Exchange Online) und die alten Befehle (Exchange lokal) gegenüber, wobei die alten Cmdlets weiterhin verfügbar sind.
 


 
Im ersten Teil des Workshops schauen wir uns die Nutzung des Exchange Admin Center genauer an. In der zweiten Folge geht es vor allem um die Exchange Management Shell und wie Sie Fernzugriff einrichten und absichern. Im dritten Teil des Workshops widmen wir uns der Protokollierung der PowerShell-Befehle.


ln/Christian Schulenburg

[2] https://docs.microsoft.com/de-de/exchange/clients/client-access-rules/client-access-rules?view=exchserver-2019
[3] https://docs.microsoft.com/de-de/powershell/exchange/?redirectedfrom=MSDN&view=exchange-ps
[4] https://docs.microsoft.com/de-de/powershell/
[5] https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-april-2020-update/ba-p/1275508

Ähnliche Beiträge

Exchange in Hybridkonfiguration betreiben (3)

Gerade kleinere Unternehmen sieht Microsoft vermehrt in der Cloud. Um den Weg dorthin zu ebnen, stellt der Konzern aus Redmond verschiedene Migrationswege bereit, damit es E-Mails, Kalendereinträge und Kontakte in die Cloud schaffen. Eine große Rolle spielt dabei die Hybridkonfiguration, die auch einen dauerhaften Parallelbetrieb ermöglichen kann. Die Einrichtung erfolgt am einfachsten über den Hybrid Agent. Im dritten und letzten Teil des Workshops widmen wir uns ganz der Praxis und beschäftigen uns mit der Installation des Agenten und wie Sie die Hybridverbindung gründlich prüfen.

Exchange in Hybridkonfiguration betreiben (2)

Gerade kleinere Unternehmen sieht Microsoft vermehrt in der Cloud. Um den Weg dorthin zu ebnen, stellt der Konzern aus Redmond verschiedene Migrationswege bereit, damit es E-Mails, Kalendereinträge und Kontakte in die Cloud schaffen. Eine große Rolle spielt dabei die Hybridkonfiguration, die auch einen dauerhaften Parallelbetrieb ermöglichen kann. Die Einrichtung erfolgt am einfachsten über den Hybrid Agent. In der zweiten Folge stellen wir den Hybrid Agent genauer vor und skizzieren dessen Voraussetzungen.

Exchange in Hybridkonfiguration betreiben (1)

Gerade kleinere Unternehmen sieht Microsoft vermehrt in der Cloud. Um den Weg dorthin zu ebnen, stellt der Konzern aus Redmond verschiedene Migrationswege bereit, damit es E-Mails, Kalendereinträge und Kontakte in die Cloud schaffen. Eine große Rolle spielt dabei die Hybridkonfiguration, die auch einen dauerhaften Parallelbetrieb ermöglichen kann. Die Einrichtung erfolgt am einfachsten über den Hybrid Agent. Im ersten Teil des Workshops schauen wir uns an, warum Hybridkonfigurationen vor allem bei Migrationsszenarien interessant sind.