Módulo V1 – Conectar-se ao PowerShell de Conformidade de Segurança & usando o MFA

Observação

O suporte para o módulo do PowerShell remoto Exchange Online mais antigo descrito neste artigo terminará em 31 de agosto de 2022. A capacidade de se conectar ao PowerShell de Conformidade de Segurança & usando esta versão do módulo terminará em 31 de dezembro de 2022.

Recomendamos usar o módulo Exchange Online PowerShell, que usa apenas a autenticação moderna e dá suporte a contas com ou sem MFA. Para obter instruções de instalação e conexão, consulte Instalar e manter o módulo Exchange Online PowerShell e Conectar-se ao PowerShell de Conformidade de Segurança&. Para obter detalhes sobre como migrar desta versão mais antiga do módulo para a versão atual, confira esta postagem no blog.

Se sua conta usar a MFA (autenticação multifator) ou a autenticação federada, você não poderá usar as instruções no Basic auth - Connect to Security & Compliance PowerShell para usar o PowerShell remoto para se conectar ao PowerShell de Conformidade de Segurança & . Em vez disso, você precisa instalar o Exchange Online Módulo remoto do PowerShell e usar o cmdlet Connect-IPPSSession para se conectar ao PowerShell de Conformidade de Segurança&.

Observações:

• Os parceiros da DAP (Permissão de Acesso Delegado) não podem usar os procedimentos neste artigo para se conectar às organizações de locatários do cliente no PowerShell de Conformidade de Segurança & . O MFA e o Exchange Online Módulo remoto do PowerShell não funcionam com autenticação delegada.

• Não há suporte para o Exchange Online Módulo remoto do PowerShell no PowerShell Core (macOS, Linux ou Windows Nano Server). Como solução alternativa, você pode instalar o módulo em um computador que está executando uma versão com suporte do Windows (físico ou virtual) e usar software de área de trabalho remota para se conectar.

Do que você precisa saber para começar?

• Tempo estimado para conclusão: 5 minutos

• Depois de se conectar, os cmdlets e parâmetros aos quais você tem ou não acesso são controlados pelo controle de acesso baseado em função (RBAC). Para obter mais informações, consulte Depois de se conectar, os cmdlets e parâmetros aos quais você tem ou não têm acesso são controlados pelo RBAC (controle de acesso baseado em função). Para obter mais informações, consulte Permissões no portal Microsoft 365 Defender e Permissões no portal de conformidade do Microsoft Purview.

• Você pode usar as seguintes versões do Windows:

  • Windows 10
  • Windows 8.1
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 ou Windows Server 2012 R2
  • Windows 7 Service Pack 1 (SP1) ^*
  • Windows Server 2008 R2 SP1^*

  ^* Esta versão do Windows atingiu o fim do suporte. Agora, só há suporte para a execução em máquinas virtuais do Azure. Para usar esta versão do Windows, é necessário instalar o Microsoft .NET Framework 4.5 ou posterior e uma versão atualizada do Windows Management Framework: 3.0, 4.0 ou 5.1 (somente uma). Para obter mais informações, confira Instalar o .NET Framework, Windows Management Framework 3.0, Windows Management Framework 4.0 e Windows Management Framework 5.1.

• O WinRM deve permitir a Autenticação básica (habilitada por padrão). Não enviamos a combinação com o nome de usuário e a senha, mas o cabeçalho de Autenticação básica é necessário para enviar o token OAuth da sessão, uma vez que a implementação do WinRM do lado do cliente não tem suporte para OAuth.

  Observação: os comandos a seguir exigem que o WinRM esteja habilitado. Para habilitar o WinRM, execute o seguinte comando: winrm quickconfig.

  Para verificar se a autenticação básica está habilitada para WinRM, execute este comando em um Prompt de Comando (não no Windows PowerShell):

  winrm get winrm/config/client/auth
  

  Caso não veja o valor Basic = true, será necessário executar este comando em um Prompt de Comando (não no Windows PowerShell) para habilitar a autenticação básica para o WinRM:

  winrm set winrm/config/client/auth @{Basic="true"}
  

  Observação: Se você preferir executar o comando no Windows PowerShell, coloque essa parte do comando entre aspas: '@{Basic="true"}'.

  Se a autenticação básica para WinRM estiver desabilitada, você receberá este erro ao tentar se conectar:

  O cliente WinRM não pode processar a solicitação. No momento, a autenticação básica está desabilitada na configuração do cliente. Altere a configuração do cliente e tente a solicitação novamente.

Instalar o módulo do PowerShell remoto Exchange Online

Observação

• Não há suporte para o Exchange Online Módulo remoto do PowerShell no PowerShell Core (macOS, Linux ou Windows Nano Server). Como solução alternativa, você pode instalar o módulo em um computador que está executando uma versão com suporte do Windows (físico ou virtual) e usar software de área de trabalho remota para se conectar.

• Se a versão instalada do Exchange Online Módulo remoto do PowerShell não tiver o cmdlet Connect-IPPSSession, você precisará instalar a versão mais recente do módulo.

Você precisa executar as seguintes etapas em um navegador que dê suporte ao ClickOnce (por exemplo, Internet Explorer ou Edge):

Observação: o suporte ao ClickOnce está disponível na versão baseada em Chromium do Edge em edge://flags/#edge-click-once, e pode não estar habilitado por padrão.

1. Abra o Centro de administração do Exchange (EAC). Para obter instruções, consulte Centro de administração do Exchange em Exchange Online.

2. No EAC, acesseInstalaçãoHíbrida> e clique no botão Configurar apropriado para baixar o módulo Exchange Online Remote PowerShell para autenticação multifator.

   

3. Na janela Instalar Aplicativo que é exibida, clique em Instalar.

   

Conectar-se ao PowerShell de Conformidade de Segurança & usando a MFA ou a autenticação federada

1. No computador local, abra o módulo Exchange Online Remote PowerShell (Microsoft Corporation>Microsoft Exchange Online Módulo remoto do PowerShell).

2. O comando que você precisa executar usa a seguinte sintaxe:

   Connect-IPPSSession -UserPrincipalName <UPN> [-ConnectionUri <ConnectionUri> -AzureADAuthorizationEndPointUri <AzureADUri>]
   

   • <UPN> é sua Microsoft conta de trabalho ou de estudante 365.

   • Os <valores ConnectionUri> e <AzureADUri> dependem da localização de sua organização Microsoft 365, conforme descrito na tabela a seguir:

     
     

   ---

   Oferta do Microsoft 365	Valor do parâmetro ConnectionUri	Valor do parâmetro AzureADAuthorizationEndPointUri
   Microsoft 365	Não usado	Não usado
   Office 365 Alemanha	https://ps.compliance.protection.outlook.de/PowerShell-LiveID	https://login.microsoftonline.de/common
   Microsoft 365 GCC High	https://ps.compliance.protection.office365.us/powershell-liveid/	https://login.microsoftonline.us/common
   Microsoft 365 DoD	https://l5.ps.compliance.protection.office365.us/powershell-liveid/	https://login.microsoftonline.us/common

   Este exemplo se conecta ao PowerShell de Conformidade de Segurança & no Microsoft 365 usando a conta chris@contoso.com.

   Connect-IPPSSession -UserPrincipalName chris@contoso.com
   

   Este exemplo se conecta ao PowerShell de Conformidade de Segurança & no Office 365 Alemanha usando a conta lukas@fabrikam.com.

   Connect-IPPSSession -UserPrincipalName lukas@fabrikam.com -ConnectionUri https://ps.compliance.protection.outlook.de/PowerShell-LiveID -AzureADAuthorizationEndPointUri https://login.microsoftonline.de/common
   

3. Na janela de entrada exibida, insira sua senha e, em seguida, clique em Entrar.

   

   Para MFA, um código de verificação é gerado e entregue com base na opção de resposta de verificação configurada para sua conta (por exemplo, uma mensagem de texto ou o aplicativo Azure Authenticator em seu celular).

4. (somente MFA): na janela de verificação que é aberta, insira o código de verificação e clique em Entrar.

   

5. (Opcional): se você quiser se conectar a uma sessão do módulo Exchange Online PowerShell na mesma janela, precisará executar

   $EXOSession=New-ExoPSSession -UserPrincipalName <UPN> [-ConnectionUri <ConnectionUri> -AzureADAuthorizationEndPointUri <AzureADUri>]
   

   e, em seguida, importar a sessão Exchange Online para a atual usando um prefixo específico

   Import-PSSession $EXOSession -Prefix EXO
   

Como saber se funcionou?

Depois de entrar, os cmdlets do PowerShell de Conformidade de Segurança & são importados para sua sessão Exchange Online Módulo remoto do PowerShell e acompanhados por uma barra de progresso. Se nenhum erro aparecer, a conexão terá sido estabelecida. Um teste rápido é executar um cmdlet do PowerShell de Conformidade de Segurança & , por exemplo, Get-RetentionCompliancePolicy e ver os resultados.

Caso você receba erros, verifique os seguintes requisitos:

• Para ajudar a evitar ataques do DoS (negação de serviço), você está limitado a cinco conexões remotas do PowerShell abertas ao PowerShell de Conformidade de Segurança & .

• A conta que você usa para se conectar ao PowerShell de Conformidade de Segurança & deve estar habilitada para o PowerShell remoto. Para obter mais informações, confira Habilitar ou desabilitar o acesso ao PowerShell do Exchange Online.

• O tráfego da porta TCP 80 precisa estar aberto entre seu computador local e o Microsoft 365. Provavelmente ele está aberto, mas é algo a ser considerado caso a sua organização tenha uma política de acesso à Internet restritiva.

• O comando Connect-IPPSSession (Etapa 2) pode não se conectar se o endereço IP do cliente for alterado durante a solicitação de conexão. Isso pode acontecer se sua organização usar um pool de SNAT (conversão de endereços de rede de origem) contendo vários endereços IP. O erro de conexão parece com o seguinte:

  The request for the Windows Remote Shell with ShellId <ID> failed because the shell was not found on the server. Possible causes are: the specified ShellId is incorrect or the shell no longer exists on the server. Provide the correct ShellId or create a new shell and retry the operation.

  Para corrigir o problema, use um pool SNAT que contém um único endereço IP ou force o uso de um endereço IP específico para conexões com o ponto de extremidade do PowerShell de Conformidade de Segurança & .