Módulo V1 – Conectar-se ao PowerShell de Conformidade de Segurança & usando o MFA

Observação

O suporte para o módulo do PowerShell remoto Exchange Online mais antigo descrito neste artigo terminará em 31 de agosto de 2022. A capacidade de se conectar ao PowerShell de Conformidade de Segurança & usando esta versão do módulo terminará em 31 de dezembro de 2022.

Recomendamos usar o módulo Exchange Online PowerShell, que usa apenas a autenticação moderna e dá suporte a contas com ou sem MFA. Para obter instruções de instalação e conexão, consulte Instalar e manter o módulo Exchange Online PowerShell e Conectar-se ao PowerShell de Conformidade de Segurança&. Para obter detalhes sobre como migrar desta versão mais antiga do módulo para a versão atual, confira esta postagem no blog.

Se sua conta usar a MFA (autenticação multifator) ou a autenticação federada, você não poderá usar as instruções no Basic auth - Connect to Security & Compliance PowerShell para usar o PowerShell remoto para se conectar ao PowerShell de Conformidade de Segurança & . Em vez disso, você precisa instalar o Exchange Online Módulo remoto do PowerShell e usar o cmdlet Connect-IPPSSession para se conectar ao PowerShell de Conformidade de Segurança&.

Observações:

  • Os parceiros da DAP (Permissão de Acesso Delegado) não podem usar os procedimentos neste artigo para se conectar às organizações de locatários do cliente no PowerShell de Conformidade de Segurança & . O MFA e o Exchange Online Módulo remoto do PowerShell não funcionam com autenticação delegada.

  • Não há suporte para o Exchange Online Módulo remoto do PowerShell no PowerShell Core (macOS, Linux ou Windows Nano Server). Como solução alternativa, você pode instalar o módulo em um computador que está executando uma versão com suporte do Windows (físico ou virtual) e usar software de área de trabalho remota para se conectar.

Do que você precisa saber para começar?

  • Tempo estimado para conclusão: 5 minutos

  • Depois de se conectar, os cmdlets e parâmetros aos quais você tem ou não acesso são controlados pelo controle de acesso baseado em função (RBAC). Para obter mais informações, consulte Depois de se conectar, os cmdlets e parâmetros aos quais você tem ou não têm acesso são controlados pelo RBAC (controle de acesso baseado em função). Para obter mais informações, consulte Permissões no portal Microsoft 365 Defender e Permissões no portal de conformidade do Microsoft Purview.

  • Você pode usar as seguintes versões do Windows:

    • Windows 10
    • Windows 8.1
    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012 ou Windows Server 2012 R2
    • Windows 7 Service Pack 1 (SP1) *
    • Windows Server 2008 R2 SP1*

    * Esta versão do Windows atingiu o fim do suporte. Agora, só há suporte para a execução em máquinas virtuais do Azure. Para usar esta versão do Windows, é necessário instalar o Microsoft .NET Framework 4.5 ou posterior e uma versão atualizada do Windows Management Framework: 3.0, 4.0 ou 5.1 (somente uma). Para obter mais informações, confira Instalar o .NET Framework, Windows Management Framework 3.0, Windows Management Framework 4.0 e Windows Management Framework 5.1.

  • O WinRM deve permitir a Autenticação básica (habilitada por padrão). Não enviamos a combinação com o nome de usuário e a senha, mas o cabeçalho de Autenticação básica é necessário para enviar o token OAuth da sessão, uma vez que a implementação do WinRM do lado do cliente não tem suporte para OAuth.

    Observação: os comandos a seguir exigem que o WinRM esteja habilitado. Para habilitar o WinRM, execute o seguinte comando: winrm quickconfig.

    Para verificar se a autenticação básica está habilitada para WinRM, execute este comando em um Prompt de Comando (não no Windows PowerShell):

    winrm get winrm/config/client/auth
    

    Caso não veja o valor Basic = true, será necessário executar este comando em um Prompt de Comando (não no Windows PowerShell) para habilitar a autenticação básica para o WinRM:

    winrm set winrm/config/client/auth @{Basic="true"}
    

    Observação: Se você preferir executar o comando no Windows PowerShell, coloque essa parte do comando entre aspas: '@{Basic="true"}'.

    Se a autenticação básica para WinRM estiver desabilitada, você receberá este erro ao tentar se conectar:

    O cliente WinRM não pode processar a solicitação. No momento, a autenticação básica está desabilitada na configuração do cliente. Altere a configuração do cliente e tente a solicitação novamente.

Instalar o módulo do PowerShell remoto Exchange Online

Observação

  • Não há suporte para o Exchange Online Módulo remoto do PowerShell no PowerShell Core (macOS, Linux ou Windows Nano Server). Como solução alternativa, você pode instalar o módulo em um computador que está executando uma versão com suporte do Windows (físico ou virtual) e usar software de área de trabalho remota para se conectar.

  • Se a versão instalada do Exchange Online Módulo remoto do PowerShell não tiver o cmdlet Connect-IPPSSession, você precisará instalar a versão mais recente do módulo.

Você precisa executar as seguintes etapas em um navegador que dê suporte ao ClickOnce (por exemplo, Internet Explorer ou Edge):

Observação: o suporte ao ClickOnce está disponível na versão baseada em Chromium do Edge em edge://flags/#edge-click-once, e pode não estar habilitado por padrão.

  1. Abra o Centro de administração do Exchange (EAC). Para obter instruções, consulte Centro de administração do Exchange em Exchange Online.

  2. No EAC, acesseInstalaçãoHíbrida> e clique no botão Configurar apropriado para baixar o módulo Exchange Online Remote PowerShell para autenticação multifator.

    Baixe o módulo Exchange Online PowerShell na guia Híbrido no EAC.

  3. Na janela Instalar Aplicativo que é exibida, clique em Instalar.

    Clique em Instalar na janela Exchange Online Módulo do PowerShell.

Conectar-se ao PowerShell de Conformidade de Segurança & usando a MFA ou a autenticação federada

  1. No computador local, abra o módulo Exchange Online Remote PowerShell (Microsoft Corporation>Microsoft Exchange Online Módulo remoto do PowerShell).

  2. O comando que você precisa executar usa a seguinte sintaxe:

    Connect-IPPSSession -UserPrincipalName <UPN> [-ConnectionUri <ConnectionUri> -AzureADAuthorizationEndPointUri <AzureADUri>]
    
    • <UPN> é sua Microsoft conta de trabalho ou de estudante 365.

    • Os <valores ConnectionUri> e <AzureADUri> dependem da localização de sua organização Microsoft 365, conforme descrito na tabela a seguir:



    Oferta do Microsoft 365 Valor do parâmetro ConnectionUri Valor do parâmetro AzureADAuthorizationEndPointUri
    Microsoft 365 Não usado Não usado
    Office 365 Alemanha https://ps.compliance.protection.outlook.de/PowerShell-LiveID https://login.microsoftonline.de/common
    Microsoft 365 GCC High https://ps.compliance.protection.office365.us/powershell-liveid/ https://login.microsoftonline.us/common
    Microsoft 365 DoD https://l5.ps.compliance.protection.office365.us/powershell-liveid/ https://login.microsoftonline.us/common

    Este exemplo se conecta ao PowerShell de Conformidade de Segurança & no Microsoft 365 usando a conta chris@contoso.com.

    Connect-IPPSSession -UserPrincipalName chris@contoso.com
    

    Este exemplo se conecta ao PowerShell de Conformidade de Segurança & no Office 365 Alemanha usando a conta lukas@fabrikam.com.

    Connect-IPPSSession -UserPrincipalName lukas@fabrikam.com -ConnectionUri https://ps.compliance.protection.outlook.de/PowerShell-LiveID -AzureADAuthorizationEndPointUri https://login.microsoftonline.de/common
    
  3. Na janela de entrada exibida, insira sua senha e, em seguida, clique em Entrar.

    Insira sua senha na janela Exchange Online Remote PowerShell.

    Para MFA, um código de verificação é gerado e entregue com base na opção de resposta de verificação configurada para sua conta (por exemplo, uma mensagem de texto ou o aplicativo Azure Authenticator em seu celular).

  4. (somente MFA): na janela de verificação que é aberta, insira o código de verificação e clique em Entrar.

    Insira seu código de verificação na janela Exchange Online Remote PowerShell.

  5. (Opcional): se você quiser se conectar a uma sessão do módulo Exchange Online PowerShell na mesma janela, precisará executar

    $EXOSession=New-ExoPSSession -UserPrincipalName <UPN> [-ConnectionUri <ConnectionUri> -AzureADAuthorizationEndPointUri <AzureADUri>]
    

    e, em seguida, importar a sessão Exchange Online para a atual usando um prefixo específico

    Import-PSSession $EXOSession -Prefix EXO
    

Como saber se funcionou?

Depois de entrar, os cmdlets do PowerShell de Conformidade de Segurança & são importados para sua sessão Exchange Online Módulo remoto do PowerShell e acompanhados por uma barra de progresso. Se nenhum erro aparecer, a conexão terá sido estabelecida. Um teste rápido é executar um cmdlet do PowerShell de Conformidade de Segurança & , por exemplo, Get-RetentionCompliancePolicy e ver os resultados.

Caso você receba erros, verifique os seguintes requisitos:

  • Para ajudar a evitar ataques do DoS (negação de serviço), você está limitado a cinco conexões remotas do PowerShell abertas ao PowerShell de Conformidade de Segurança & .

  • A conta que você usa para se conectar ao PowerShell de Conformidade de Segurança & deve estar habilitada para o PowerShell remoto. Para obter mais informações, confira Habilitar ou desabilitar o acesso ao PowerShell do Exchange Online.

  • O tráfego da porta TCP 80 precisa estar aberto entre seu computador local e o Microsoft 365. Provavelmente ele está aberto, mas é algo a ser considerado caso a sua organização tenha uma política de acesso à Internet restritiva.

  • O comando Connect-IPPSSession (Etapa 2) pode não se conectar se o endereço IP do cliente for alterado durante a solicitação de conexão. Isso pode acontecer se sua organização usar um pool de SNAT (conversão de endereços de rede de origem) contendo vários endereços IP. O erro de conexão parece com o seguinte:

    The request for the Windows Remote Shell with ShellId <ID> failed because the shell was not found on the server. Possible causes are: the specified ShellId is incorrect or the shell no longer exists on the server. Provide the correct ShellId or create a new shell and retry the operation.

    Para corrigir o problema, use um pool SNAT que contém um único endereço IP ou force o uso de um endereço IP específico para conexões com o ponto de extremidade do PowerShell de Conformidade de Segurança & .