Обычная проверка подлинности . Подключение к powerShell & безопасности

Примечание

Инструкции по подключению в этой статье станут устаревшими с 1 октября 2022 г. из-за проблем безопасности, связанных с обычной проверкой подлинности. Вместо этого следует использовать модуль Exchange Online PowerShell для подключения к PowerShell & безопасности. Если вы используете PowerShell для администрирования, см. раздел Connect to Security & Compliance PowerShell. Если вы используете PowerShell для автоматизации, см. статью "Проверка подлинности только для приложений " для автоматических сценариев.

PowerShell & безопасности позволяет управлять порталом Microsoft 365 Defender и Портал соответствия требованиям Microsoft Purview параметрами из командной строки. Вы используете Windows PowerShell локальном компьютере для создания удаленного сеанса PowerShell для обеспечения & соответствия требованиям PowerShell. Это простой трехфакторный процесс, в котором вы вводите учетные данные Microsoft 365, предоставляете необходимые параметры подключения, а затем импортируете командлеты PowerShell для обеспечения соответствия требованиям & безопасности в локальный сеанс Windows PowerShell, чтобы их можно было использовать.

Примечание

Процедуры, описанные в этой статье, не будут работать, если:

  • Ваша учетная запись использует многофакторную проверку подлинности (MFA).
  • Ваша организация использует федеративную проверку подлинности.
  • Условие расположения в политике условного доступа Azure Active Directory ограничивает доступ к доверенным IP-адресам.

В этих сценариях необходимо скачать и использовать модуль PowerShell Exchange Online для подключения к PowerShell & безопасности. Инструкции см. в разделе Connect to Security & Compliance PowerShell.

Некоторые функции на Microsoft 365 Defender портале и Портал соответствия требованиям Microsoft Purview (например, архивация почтовых ящиков) ссылались на существующие функции в Exchange Online. Чтобы использовать PowerShell с этими функциями, необходимо подключиться к Exchange Online PowerShell, а не к PowerShell & безопасности. Инструкции см. в статье Подключение к Exchange Online PowerShell.

Что нужно знать перед началом работы

  • Предполагаемое время для завершения: 5 минут.

  • После подключения управление наличием доступа к командлетам и параметрам осуществляется путем управления доступом на основе ролей (RBAC). Дополнительные сведения см. в статьях Разрешения на портале Microsoft 365 Defender и Разрешения на портале соответствия требованиям Microsoft Purview.

  • Ниже приведены версии Windows, которые можно использовать.

    • Windows 10
    • Windows 8.1
    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012 или Windows Server 2012 R2
    • Windows 7 с пакетом обновления 1 (SP1)*
    • Windows Server 2008 R2 с пакетом обновления 1 (SP1)*

    * Эта версия Windows больше не поддерживается; исключением является только использование на виртуальных машинах Azure. Чтобы использовать эту версию Windows, необходимо установить Microsoft .NET Framework 4.5 или более позднюю версию, а затем обновленную версию Windows Management Framework: 3.0, 4.0 или 5.1 (только одну). Дополнительные сведения см. в статьях Установка .NET Framework, Windows Management Framework 3.0, Windows Management Framework 4.0 и Windows Management Framework 5.1.

  • Чтобы запускать сценарии, необходимо настроить Windows PowerShell. По умолчанию это приложение не настроено. При попытке подключения появится указанная ниже ошибка.

    Файлы невозможно загрузить, поскольку выполнение сценариев в этой системе отключено. Предоставьте действительный сертификат для подписи файлов.

    Чтобы требовать подпись надежного издателя для всех сценариев PowerShell, загружаемых из Интернета, выполните следующую команду в окне Windows PowerShell с повышенными привилегиями (окно Windows PowerShell, которое открывается с помощью параметра Запуск от имени администратора).

    Set-ExecutionPolicy RemoteSigned
    

    Дополнительные сведения о политиках выполнения см. в статье Сведения о политиках выполнения.

  • В WinRM должна быть разрешена обычная проверка подлинности (она включена по умолчанию). Мы не отправляем учетные данные пользователя, но для передачи маркера OAuth сеанса требуется обычная проверка подлинности, так как реализация WinRM на стороне клиента не поддерживает OAuth.

    Примечание Следующие команды требуют включения WinRM. Чтобы включить WinRM, выполните следующую команду: winrm quickconfig

    Чтобы проверить, включена ли обычная проверка подлинности для WinRM, выполните в командной строке (не в Windows PowerShell) представленную ниже команду.

    winrm get winrm/config/client/auth
    

    Если значение Basic = true не отображается, необходимо выполнить эту команду в командной строке (не в Windows PowerShell), чтобы включить обычную проверку подлинности для WinRM:

    winrm set winrm/config/client/auth @{Basic="true"}
    

    Примечание. Если вы предпочитаете выполнить команду в Windows PowerShell, заключите эту часть команды в кавычки: '@{Basic="true"}'.

    Если обычная проверка подлинности для WinRM отключена, при попытке подключения возникнет указанная ниже ошибка.

    Клиенту WinRM не удается обработать этот запрос. В настоящий момент в конфигурации клиента обычная проверка подлинности отключена. Измените конфигурацию клиента и повторите запрос.

Подключение к PowerShell безопасности и соответствия требованиям

  1. На локальном компьютере откройте Windows PowerShell и запустите следующую команду:

    $UserCredential = Get-Credential
    

    В диалоговом окне Запрос учетных данных Windows PowerShell введите название своей рабочей или учебной учетной записи и пароль, а затем нажмите ОК.

  2. Выполните следующую команду:

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
    

    Примечания.

    • Для Office 365 Germany используйте значение ConnectionUri: https://ps.compliance.protection.outlook.de/powershell-liveid/.
    • Для Microsoft 365 GCC High используйте значение ConnectionUri : https://ps.compliance.protection.office365.us/powershell-liveid/.
    • Для Microsoft 365 DoD используйте значение ConnectionUri : https://l5.ps.compliance.protection.office365.us/powershell-liveid/.
  3. Выполните следующую команду:

    Import-PSSession $Session -DisableNameChecking
    

    Если вы хотите подключиться к Security & Compliance PowerShell в том же окне, что и активное подключение PowerShell Exchange Online, необходимо добавить параметр и значение префикса (например, -Prefix "CC") в конец этой команды, чтобы предотвратить конфликты имен командлетов (обе среды используют несколько командлетов с одинаковыми именами).

Примечание

По завершении настройки отключите удаленный сеанс PowerShell. Если закрыть окно оболочки Windows PowerShell, не выполнив отключение сеанса, можно исчерпать лимит доступных сеансов удаленной оболочки PowerShell. Кроме того, вам придется дождаться окончания срока действия сеансов. Чтобы отключить удаленный сеанс PowerShell, выполните следующую команду.

Remove-PSSession $Session

Как убедиться, что все получилось?

После шага 3 командлеты PowerShell для обеспечения & безопасности импортируются в локальный сеанс Windows PowerShell, как отслеживается индикатором выполнения. Если при этом не появляются сообщения об ошибках, то подключение установлено. Чтобы выполнить быструю проверку, запустите командлет PowerShell безопасности и соответствия требованиям, например Get-RetentionCompliancePolicy, и просмотрите результаты.

Если возникают ошибки, просмотрите список возможных причин ниже.

  • Распространенная проблема — неправильный пароль. Еще раз повторите три описанные выше действия, уделив особое внимание действию 1 — вводу имени пользователя и пароля.

  • Для предотвращения атак типа "отказ в обслуживании" (DoS) можно открыть не более пяти удаленных подключений PowerShell к PowerShell безопасности и соответствия требованиям.

  • Между локальным компьютером и Microsoft 365 необходимо открыть трафик для TCP-порта 80. Вполне вероятно, что он уже открыт, но в этом следует убедиться, если в вашей организации действует политика ограниченного доступа к Интернету.

  • Команда New-PSSession (шаг 2) может не подключиться, если IP-адрес клиента изменяется во время запроса на подключение. Это может произойти, если в вашей организации используется пул преобразования сетевого адреса источника (SNAT), который содержит несколько IP-адресов. Ошибка подключения выглядит так:

    Не удалось запросить удаленную оболочку Windows с идентификатором ShellId <ID>, так как эта оболочка не найдена на сервере. Возможные причины: идентификатор ShellId указан неправильно или оболочки больше нет на сервере. Укажите правильный идентификатор ShellId или создайте новую оболочку и повторите попытку.

    Чтобы устранить эту проблему, используйте пул SNAT, содержащий один IP-адрес, или принудительно назначьте определенный IP-адрес для подключения к конечной точке оболочки PowerShell Центра безопасности и соответствия требованиям.

См. также

В этом статье используются командлеты Windows PowerShell. Дополнительные сведения об этих командлетах см. в следующих статьях.