V1-Modul: Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe von MFA

Wichtig

Die Unterstützung für das ältere Exchange Online Remote PowerShell-Modul, das in diesem Artikel beschrieben wird, endet am 31. August 2022. Die Möglichkeit, mithilfe dieser Version des Moduls eine Verbindung mit Exchange Online PowerShell herzustellen, endet am 31. Dezember 2022.

Es wird empfohlen, das Exchange Online PowerShell-Modul zu verwenden, das nur die moderne Authentifizierung verwendet und Konten mit oder ohne MFA unterstützt. Installations- und Verbindungsanweisungen finden Sie unter Installieren und Verwalten des Exchange Online PowerShell-Moduls und Herstellen einer Verbindung mit Exchange Online PowerShell. Ausführliche Informationen zum Wechsel von dieser älteren Version des Moduls zur aktuellen Version finden Sie in diesem Blogbeitrag.

Wenn Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden möchten, um eine Verbindung mit Exchange Online PowerShell herzustellen, können Sie die Anweisungen unter Grundlegende Authentifizierung – Herstellen einer Verbindung mit Exchange Online PowerShell nicht verwenden, um eine Verbindung mit Exchange Online herzustellen. MFA erfordert, dass Sie das Exchange Online Remote PowerShell-Modul installieren und das Cmdlet Connect-EXOPSSession verwenden, um eine Verbindung herzustellen.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen des Vorgangs: 5 Minuten

  • Nachdem Sie eine Verbindung hergestellt haben, wird über die rollenbasierte Zugriffssteuerung (RBAC) gesteuert, auf welche Cmdlets und Parameter Sie Zugriff haben bzw. nicht haben. Weitere Informationen finden Sie unter Berechtigungen in Exchange Online.

  • Sie können folgende Versionen von Windows verwenden:

    • Windows 10
    • Windows 8.1
    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012 oder Windows Server 2012 R2
    • Windows 7 Service Pack 1 (SP1)*
    • Windows Server 2008 R2 SP1*

    * Diese Version von Windows hat das Ende des Supports erreicht und wird nur noch auf virtuellen Azure-Computern unterstützt. Zur Verwendung dieser Version von Windows müssen Sie Microsoft .NET Framework 4.5 oder höher und dann eine aktualisierte Version des Windows Management Frameworks installieren: 3.0, 4.0 oder 5.1 (nur eine davon). Weitere Informationen finden Sie unter Installieren von .NET Framework, Windows Management Framework 3.0, Windows Management Framework 4.0 und Windows Management Framework 5.1.

  • WinRM muss die Standardauthentifizierung zulassen (standardmäßig aktiviert). Die Kombination aus Benutzername und Kennwort wird nicht gesendet, der Header der Standardauthentifizierung ist jedoch erforderlich, um das OAuth-Token der Sitzung zu senden, da die clientseitige WinRM-Implementierung keine Unterstützung für OAuth bietet.

    Hinweis: Die folgenden Befehle erfordern, dass WinRM aktiviert ist. Führen Sie den folgenden Befehl aus, um WinRM zu aktivieren: winrm quickconfig.

    Um zu überprüfen, ob die Standardauthentifizierung für WinRM aktiviert ist, führen Sie folgenden Befehl in einer Eingabeaufforderung (nicht in Windows PowerShell) aus:

    winrm get winrm/config/client/auth
    

    Wenn der Wert Basic = true nicht angezeigt wird, müssen Sie folgenden Befehl in einer Eingabeaufforderung (nicht in Windows PowerShell) ausführen, um die Standardauthentifizierung für WinRM zu aktivieren:

    winrm set winrm/config/client/auth @{Basic="true"}
    

    Hinweis: Wenn Sie den Befehl lieber in Windows PowerShell ausführen möchten, schließen Sie diesen Teil des Befehls in Anführungszeichen ein: '@{Basic="true"}'.

    Wenn die Standardauthentifizierung für WinRM deaktiviert ist, wird beim Versuch, eine Verbindung herzustellen, der folgende Fehler gemeldet:

    Die Anforderung kann vom WinRM-Client nicht verarbeitet werden. Die Standardauthentifizierung ist in der Clientkonfiguration zurzeit deaktiviert. Ändern Sie die Clientkonfiguration, und versuchen Sie es erneut.

Installieren des Exchange Online Remote PowerShell-Moduls

Hinweis

Das Exchange Online Remote-PowerShell-Modul wird in PowerShell Core (macOS, Linux oder Windows Nano Server) nicht unterstützt. Als Problemumgehung können Sie das Modul auf einem Computer installieren, auf dem eine unterstützte Version von Windows (physisch oder virtuell) ausgeführt wird, und Remotedesktopsoftware zum Herstellen einer Verbindung verwenden.

Sie müssen die folgenden Schritte in einem Browser ausführen, der ClickOnce unterstützt (z. B. Internet Explorer oder Edge):

Hinweis: ClickOnce-Unterstützung ist in der Chromium-basierten Version von Edge unter edge://flags/#edge-click-onceverfügbar und möglicherweise nicht standardmäßig aktiviert.

  1. Öffnen Sie das Exchange Admin Center (EAC) für Ihre Exchange Online Organisation. Anweisungen finden Sie unter Exchange Admin Center in Exchange Online.

  2. Wechseln Sie im EAC zu Hybrideinrichtung>, und klicken Sie auf die entsprechende Schaltfläche Konfigurieren, um das Exchange Online Remote PowerShell-Modul für die mehrstufige Authentifizierung herunterzuladen.

    Laden Sie das Exchange Online PowerShell-Modul von der Registerkarte Hybrid im EAC herunter.

  3. Das Fenster Anwendungsinstallation wird geöffnet. Klicken Sie hier auf Installieren.

    Klicken Sie im Fenster Exchange Online PowerShell-Modul auf Installieren.

  • Wenn Sie das Exchange Online Remote PowerShell-Modul verwenden, wird Ihre Sitzung nach einer Stunde beendet. Dies kann bei Skripts oder Prozessen mit langer Ausführungsdauer problematisch sein. Um dieses Problem zu vermeiden, verwenden Sie vertrauenswürdige IP-Adressen , um MFA für Verbindungen aus Ihrem Intranet zu umgehen. Mit vertrauenswürdigen IP-Adressen können Sie über Ihr Intranet eine Verbindung mit Exchange Online PowerShell herstellen, indem Sie die alten Anweisungen unter Grundlegende Authentifizierung – Herstellen einer Verbindung mit Exchange Online PowerShell verwenden. Wenn Sie über Server in einem Rechenzentrum verfügen, müssen Sie auch deren öffentliche IP-Adressen zu vertrauenswürdigen IP-Adressen hinzufügen, wie hier beschrieben.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter: Exchange Online oder Exchange Online Protection.

Herstellen einer Verbindung mit Exchange Online PowerShell mithilfe von MFA

  1. Öffnen Sie auf Ihrem lokalen Computer das Exchange Online Remote PowerShell-Modul ( Microsoft Corporation>Microsoft Exchange Online Remote PowerShell-Modul).

  2. Die Syntax des Befehls, den Sie ausführen müssen, sieht so aus:

    Connect-EXOPSSession [-UserPrincipalName -ConnectionUri <ConnectionUri> -AzureADAuthorizationEndPointUri <AzureADUri> -DelegatedOrganization <String>]
    
    • <UPN> ist Ihr Microsoft 365-Geschäfts-, Schul- oder Unikonto.

    • Die <ConnectionUri> - und <AzureADUri-Werte> hängen von der Art Ihrer Microsoft 365-Organisation ab, wie in der folgenden Tabelle beschrieben:



    Microsoft 365-Angebot Wert des Parameters ConnectionUri Wert des Parameters AzureADAuthorizationEndPointUri
    Microsoft 365 Nicht verwendet Nicht verwendet
    Office 365 Deutschland https://outlook.office.de/PowerShell-LiveID https://login.microsoftonline.de/common
    Microsoft 365 GCC High https://outlook.office365.us/powershell-liveid https://login.microsoftonline.us/common
    Microsoft 365 DoD https://webmail.apps.mil/powershell-liveid https://login.microsoftonline.us/common

    In diesem Beispiel wird mithilfe des Kontos chris@contoso.comeine Verbindung mit Exchange Online in Microsoft 365 hergestellt.

    Connect-EXOPSSession -UserPrincipalName chris@contoso.com
    

    In diesem Beispiel wird mithilfe des Kontos lukas@fabrikam.comeine Verbindung mit Exchange Online Deutschland hergestellt.

    Connect-EXOPSSession -UserPrincipalName lukas@fabrikam.com -ConnectionUri https://outlook.office.de/PowerShell-LiveID -AzureADAuthorizationEndPointUri https://login.microsoftonline.de/common
    

    In diesem Beispiel wird eine Verbindung mit Exchange Online hergestellt, um einen anderen Mandanten zu verwalten.

    Connect-EXOPSSession -UserPrincipalName chris@contoso.com -DelegatedOrganization fabrikam.onmicrosoft.com
    
  3. Ein Anmeldefenster wird geöffnet. Geben Sie Ihr Kennwort ein, und klicken Sie auf Anmelden.

    Geben Sie Ihr Kennwort im fenster Exchange Online Remote PowerShell ein.

    Ein Überprüfungscode wird basierend auf der Überprüfungsantwortoption generiert und übermittelt, die für Ihr Konto konfiguriert ist (z. B. eine SMS oder die Azure Authenticator-App auf Ihrem Mobiltelefon).

  4. Ein Verifizierungsfenster wird geöffnet. Geben Sie den Verifizierungscode ein, und klicken Sie auf Anmelden.

    Geben Sie ihren Überprüfungscode im fenster Exchange Online Remote PowerShell ein.

Hinweis

Stellen Sie sicher, dass die Remote-PowerShell-Sitzung getrennt wird, wenn Sie alle Aufgaben ausgeführt haben. Wenn Sie das Fenster Exchange Online Remote-PowerShell-Modul schließen, ohne die Sitzung zu trennen, können Sie alle verfügbaren PowerShell-Remotesitzungen aufgebraucht haben, und Sie müssen warten, bis die Sitzungen ablaufen. Führen Sie den folgenden Befehl aus, um alle derzeit geöffneten PowerShell-Sitzungen im aktuellen Fenster zu trennen:

Get-PSSession | Remove-PSSession

Single Sign-On

Wenn in Ihrer Organisation einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist und Sie bei einem Computer als Benutzer in der SSO-Domäne angemeldet sind, schlägt Connect-EXOPSSession möglicherweise mit dem folgenden Fehler fehl:

New-EXOPSSession: Der vom Dienst zurückgegebene Benutzer "loggedonuser@contoso.com" stimmt in der Anforderung nicht mit dem Benutzer "userprincipalname@contoso.com" überein.

Dieser Fehler tritt auf, weil einmaliges Anmelden den angegebenen Benutzerprinzipalnamen (UPN) überschreibt. Verwenden Sie zur Umgehung Connect-EXOPSSession ohne Parameter -UserPrincipalName oder stattdessen den Parameter -Credential.

Woher wissen Sie, dass dieses Verfahren erfolgreich war?

Nach Schritt 4 werden die Exchange Online-Cmdlets in Ihre Exchange Online Remote PowerShell-Modulsitzung importiert und durch eine Statusanzeige nachverfolgt. Wenn Sie keine Fehlermeldungen erhalten, wurde die Verbindung erfolgreich hergestellt. Sie können einen schnellen Test durchführen, indem Sie ein Exchange Online-Cmdlet ausführen, z. B. Get-Mailbox, und sich die Ergebnisse ansehen.

Wenn Sie Fehlermeldungen erhalten, überprüfen Sie die folgenden Anforderungen:

  • Um die Abwehr von DoS-Angriffen (Denial of Service) zu unterstützen, ist die Anzahl der offenen PowerShell-Remoteverbindungen zum Exchange Online auf fünf beschränkt.

  • Das Konto, das Sie zum Herstellen einer Verbindung mit Exchange Online verwenden, muss für Remote-PowerShell aktiviert sein. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren des Zugriffs auf Exchange Online PowerShell.

  • Der TCP-Port 80 muss für den Datenverkehr zwischen Ihrem lokalen Computer und Microsoft 365 geöffnet sein. Er ist wahrscheinlich offen, es kann jedoch vorkommen, dass Ihre Organisation eine eingeschränkte Internetzugriffsrichtlinie verfolgt.