Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/Mobile/help/de-de/index.html?contextId=eas-proxy-powershell-startup

E-Mail-Zugriffssteuerung über PowerShell einrichten

Wenn Sie den Sophos Mobile EAS-Proxy im PowerShell-Modus einrichten, stellt er über PowerShell eine Verbindung zu Ihrem Exchange-Mail-Server her und steuert den E-Mail-Zugriff auf Basis des Compliance-Status des Gerätes.

Einschränkung

Weil macOS nicht das ActiveSync-Protokoll unterstützt, können Sie den E-Mail-Zugriff von Macs nicht mit PowerShell kontrollieren.

Der PowerShell-Modus hat gegenüber dem Proxy-Modus folgende Vorteile:

  • Die Geräte kommunizieren direkt mit dem Exchange-Mailserver.
  • Da kein E-Mail-Datenverkehr über den Sophos Mobile EAS-Proxy geleitet werden muss, müssen Sie in Ihrer Firewall keinen Port für eingehende E-Mails öffnen.
  • Sie können den E-Mail-Zugriff für nicht verwaltete Geräte blockieren.
  • Der PowerShell-Modus unterstützt Exchange Online und Exchange Server, während der Proxy-Modus nur Exchange Server unterstützt.

Für eine schematische Darstellung des Kommunikationsablaufs siehe Architekturbeispiele für den EAS-Proxy.

Als Exchange-Mail-Server können Sie entweder Exchange Server oder das in Microsoft 365 enthaltene Exchange Online verwenden. Unterstützte Versionen sind:

  • Exchange Server 2016
  • Exchange Server 2019
  • Microsoft 365 mit einem Plan „Exchange Online“

Machen Sie Folgendes, um die E-Mail-Zugriffssteuerung über PowerShell einzurichten.

PowerShell konfigurieren

  1. Optional: Installieren Sie bei Bedarf Windows PowerShell auf dem Computer, auf dem Sie den EAS-Proxy installieren wollen.

    Siehe Installieren von PowerShell unter Windows.

  2. Öffnen Sie PowerShell als Administrator und geben Sie folgenden Befehl ein:

    Set-ExecutionPolicy RemoteSigned

Exchange Server erfordert eine zusätzliche Konfiguration:

  1. Öffnen Sie die Exchange-Verwaltungsshell.

    Siehe Öffnen der Exchange-Verwaltungsshell.

  2. Legen Sie die PowerShell-Ausführungsrichtlinie fest:

    Set-ExecutionPolicy RemoteSigned

  3. Ermitteln Sie den Namen des virtuellen PowerShell-Verzeichnisses:

    Get-PowerShellVirtualDirectory -Server <Servername>

    <Servername> ist der Name des Computers, auf dem Exchange Server installiert ist.

    Bei einer Standardinstallation ist das virtuelle PowerShell-Verzeichnis PowerShell (Default Web Site).

  4. Stellen Sie die Standardauthentifizierung für das virtuelle PowerShell-Verzeichnis fest:

    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true

Dienstkonto erstellen

Ein Dienstkonto ist ein spezielles Benutzerkonto auf dem Exchange-Mail-Server, welches Sophos Mobile verwendet, um PowerShell-Befehle auszuführen.

  1. Öffnen Sie das Exchange Admin Center in einem Webbrowser:

    • Für Exchange Server: https://<ServerFQDN>/ecp

      <ServerFQDN> ist der vollqualifizierte Domänenname Ihres Exchange-Servers.

    • Für Exchange Online: https://admin.exchange.microsoft.com

  2. Erstellen Sie ein Benutzerkonto.

    • Verwenden Sie einen Benutzernamen, der den Verwendungszweck erkennen lässt, zum Beispiel smc_powershell.
    • Deaktivieren Sie für dieses Konto die Einstellung, dass der Benutzer bei der nächsten Anmeldung das Kennwort ändern muss.
    • Entfernen Sie alle Microsoft-365-Lizenzen, die dem neuen Konto automatisch zugewiesen worden sind. Dienstkonten benötigen keine Lizenzen.

  3. Erstellen Sie eine neue Rollengruppe und weisen Sie dieser die erforderlichen Berechtigungen zu.

    • Nennen Sie die Rollengruppe zum Beispiel smc_powershell.
    • Fügen Sie die Rollen Mail Recipients und Organization Client Access hinzu.
    • Fügen Sie das Benutzerkonto als Mitglied hinzu.

PowerShell-Verbindung konfigurieren

  1. Verwenden Sie den Einrichtungsassistent so, als würden Sie den Sophos Mobile EAS-Proxy installieren. Konfigurieren Sie auf der Seite EAS Proxy instance setup folgende Einstellungen:

    • Instance type: Wählen Sie PowerShell Exchange/Office 365 aus.
    • Instance name: Ein Name, um die Instanz zu identifizieren.

    • Exchange server: Geben Sie unter Exchange Server den Namen oder die IP-Adresse Ihres Servers ein.

      Für Exchange Online geben Sie outlook.office365.com ein, wenn Sie den globalen Microsoft-365-Dienst nutzen. Für andere Dienste, zum Beispiel Office 365 Deutschland, siehe die Werte für den Parameter -ConnectionUri inConnect-ExchangeOnline.

      Geben Sie nicht das Protokoll https:// oder die Endung /powershell-liveid ein. Der Einrichtungsassistent fügt diese automatisch hinzu.

    • Allow all certificates: Der EAS-Proxy überprüft nicht das Serverzertifikat. Wählen Sie diese Option zum Beispiel aus, wenn Sie Exchange Server mit einem selbstsignierten Zertifikat verwenden.

      Warnung

      Diese Einstellung verringert die Sicherheit von Mailserver-Verbindungen. Verwenden Sie die Einstellung nur, wenn Ihre Netzwerkumgebung es erfordert.

    • Service account: Der Name des Benutzerkontos, das Sie in der Administratorkonsole von Exchange Server oder Exchange Online erstellt haben.

    • Password: Das Kennwort für das Benutzerkonto.

  2. Klicken Sie auf Add, um die Instanz zu der Liste Instances hinzuzufügen.

  3. Wiederholen Sie die vorherigen Schritte, um PowerShell-Verbindungen zu weiteren Exchange-Server-Instanzen einzurichten.
  4. Schließen Sie die Einrichtung ab.

  5. Optional: Konfigurieren Sie bei Bedarf einen Proxy-Server, den der EAS-Proxy für die Verbindung mit Exchange Server oder Exchange Online verwendet. Öffnen Sie auf dem Computer, auf dem Sie den EAS-Proxy installiert haben, eine Eingabeaufforderung mit der Option Als Administrator ausführen und geben Sie folgenden Befehl ein:

    netsh winhttp set proxy <Server-Name oder IP>:<Port>

    Warnung

    Mit diesem Befehl wird ein systemweiter Proxy konfiguriert. Dies hat möglicherweise Auswirkungen auf andere Programme, die auf dem Computer ausgeführt werden.

Für Details zum Einrichtungsassistenten siehe Sophos Mobile EAS-Proxy installieren.

PowerShell-Zertifikat hochladen

Laden Sie in Sophos Mobile das Zertifikat der PowerShell-Verbindung hoch.

  1. Gehen Sie in Sophos Central zu Meine Produkte > Mobile.
  2. Gehen Sie im Menü zu Einrichtung > Sophos-Einrichtung und dann zum Tab EAS-Proxy.

  3. Klicken Sie unter Extern auf Datei hochladen. Laden Sie das während der Konfiguration erstellte Zertifikat hoch.

    Falls Sie mehrere Instanzen eingerichtet haben, wiederholen Sie den Vorgang für alle Instanzen.

  4. Klicken Sie auf Speichern.

  5. Öffnen Sie in Windows das Dialogfeld Dienste und starten Sie den Dienst EASProxy neu.