E-Mail-Zugriffssteuerung über PowerShell einrichten

Wenn Sie den Standalone-EAS-Proxy im PowerShell-Modus einrichten, stellt er über PowerShell eine Verbindung zu Ihrem Exchange-Mail-Server her und legt je nach Compliance-Status des Gerätes den E-Mail-Zugriff fest.

Im PowerShell-Modus findet der Mail-Verkehr direkt, d.h. ohne Proxy, zwischen dem Exchange-Mail-Server und den Geräten statt. Eine schematische Darstellung des Kommunikationsablaufs finden Sie im Dokument Sophos Mobile Technische Anleitung.

Vorteile des PowerShell-Modus:

  • Sie müssen auf Ihrem Sophos Mobile Server keinen Port für eingehende E-Mails von Ihren Geräten öffnen.
  • Sie können verhindern, dass Geräte, die nicht bei Sophos Mobile registriert sind, auf E-Mails zugreifen.

Der Exchange-Mail-Server kann entweder ein lokaler Exchange Server sein oder Exchange Online, das Teil von Microsoft 365 ist. Unterstützte Versionen sind:

  • Exchange Server 2013
  • Exchange Server 2016
  • Microsoft 365 mit einem Plan „Exchange Online“
Einschränkung: Da macOS nicht das ActiveSync-Protokoll unterstützt, können Sie den E-Mail-Zugriff von Macs nicht mit PowerShell kontrollieren.

Gehen Sie wie folgt vor, um die E-Mail-Zugriffssteuerung über PowerShell einzurichten.

PowerShell konfigurieren

  1. Optional: Installieren Sie bei Bedarf Windows PowerShell auf dem Computer, auf dem Sie den EAS-Proxy installieren wollen.
  2. Öffnen Sie PowerShell als Administrator und geben Sie folgenden Befehl ein:
    Set-ExecutionPolicy RemoteSigned

Exchange Server erfordert eine zusätzliche Konfiguration:

  1. Öffnen Sie die Exchange-Verwaltungsshell.
  2. Legen Sie die PowerShell-Ausführungsrichtlinie fest:
    Set-ExecutionPolicy RemoteSigned
  3. Ermitteln Sie den Namen des virtuellen PowerShell-Verzeichnisses:
    Get-PowerShellVirtualDirectory -Server <Servername>

    <Servername> ist der Name des Computers, auf dem Exchange Server installiert ist.

    Bei einer Standardinstallation ist das virtuelle PowerShell-Verzeichnis PowerShell (Default Web Site).

  4. Stellen Sie die Standardauthentifizierung für das virtuelle PowerShell-Verzeichnis fest:
    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true

Dienstkonto erstellen

Ein Dienstkonto ist ein spezielles Benutzerkonto auf dem Exchange-Mail-Server, welches Sophos Mobile verwendet, um PowerShell-Befehle auszuführen.

  1. Melden Sie sich an der jeweiligen Administratorkonsole an:
    • Für Exchange Server: Exchange Admin Center
    • Für Exchange Online: Microsoft 365 Admin Center
  2. Erstellen Sie ein Benutzerkonto.
    • Verwenden Sie einen Benutzernamen, der den Verwendungszweck erkennen lässt, zum Beispiel smc_powershell.
    • Deaktivieren Sie für dieses Konto die Einstellung, dass der Benutzer bei der nächsten Anmeldung das Kennwort ändern muss.
    • Entfernen Sie alle Microsoft-365-Lizenzen, die dem neuen Konto automatisch zugewiesen worden sind. Dienstkonten benötigen keine Lizenzen.
  3. Erstellen Sie eine neue Rollengruppe und weisen Sie dieser die erforderlichen Berechtigungen zu.
    • Nennen Sie die Rollengruppe zum Beispiel smc_powershell.
    • Fügen Sie die Rollen Mail Recipients und Organization Client Access hinzu.
    • Fügen Sie das Benutzerkonto als Mitglied hinzu.

PowerShell-Verbindung konfigurieren

  1. Verwenden Sie den Einrichtungs-Assistenten so, als würden Sie einen Standalone-EAS-Proxy installieren. Konfigurieren Sie auf der Seite EAS Proxy instance setup die folgenden Einstellungen:
    • Instance type: Wählen Sie PowerShell Exchange/Office 365 aus.
    • Instance name: Ein Name, um die Instanz zu identifizieren.
    • Exchange server: Geben Sie unter Exchange Server den Namen oder die IP-Adresse Ihres Servers ein.

      Für Exchange Online geben Sie outlook.office365.com ein, wenn Sie den globalen Microsoft-365-Dienst verwenden. Für andere Dienste, zum Beispiel Microsoft 365 Deutschland, finden Sie die Adresse im Microsoft Dokument Herstellen einer Verbindung mit Exchange Online PowerShell.

      Geben Sie nicht das Protokoll https:// oder die Endung /powershell-liveid ein. Der Setup-Assistent fügt dies automatisch hinzu.

    • Allow all certificates: Der EAS-Proxy überprüft nicht das Serverzertifikat. Wählen Sie diese Option zum Beispiel aus, wenn Sie Exchange Server mit einem selbstsignierten Zertifikat verwenden.
      Warnung: Diese Einstellung verringert die Sicherheit von Mailserver-Verbindungen. Verwenden Sie die Einstellung nur, wenn Ihre Netzwerkumgebung es erfordert.
    • Service account: Der Name des Benutzerkontos, das Sie in der Administratorkonsole von Exchange Server oder Exchange Online erstellt haben.
    • Password: Das Kennwort für das Benutzerkonto.
  2. Klicken Sie auf Add, um die Instanz zu der Liste Instances hinzuzufügen.
  3. Wiederholen Sie die vorherigen Schritte, um PowerShell-Verbindungen zu weiteren Exchange-Server-Instanzen einzurichten.
  4. Schließen Sie die Einrichtung ab.
  5. Optional: Konfigurieren Sie bei Bedarf einen Proxyserver, den der EAS-Proxy für die Verbindung mit Exchange Server oder Exchange Online verwendet. Öffnen Sie auf dem Computer, auf dem Sie den EAS-Proxy installiert haben, eine Eingabeaufforderung mit der Option Als Administrator ausführen und geben Sie folgenden Befehl ein:

    netsh winhttp set proxy <Server-Name oder IP>:<Port>

    Warnung: Mit diesem Befehl wird ein systemweiter Proxy konfiguriert. Dies hat möglicherweise Auswirkungen auf andere Programme, die auf dem Computer ausgeführt werden.

PowerShell-Zertifikat hochladen

Laden Sie in Sophos Mobile das Zertifikat der PowerShell-Verbindung hoch.

  1. Melden Sie sich in Sophos Central Admin an und gehen Sie zu Mobil.
  2. Klicken Sie in der Menüleiste unter EINSTELLUNGEN auf Einrichtung > Sophos-Einrichtung und öffnen Sie anschließend das Tab EAS-Proxy.
  3. Optional: Wählen Sie unter Allgemein die Option Auf Sophos Secure Email beschränken aus, um den E-Mail-Zugriff auf die App Sophos Secure Email einzuschränken (verfügbar für Android und iOS).
  4. Klicken Sie unter Extern auf Datei hochladen. Laden Sie das während der Konfiguration erstellte Zertifikat hoch.

    Falls Sie mehrere Instanzen eingerichtet haben, wiederholen Sie den Vorgang für alle Instanzen.

  5. Klicken Sie auf Speichern.
  6. Öffnen Sie in Windows das Dialogfeld Dienste und starten Sie den Dienst EASProxy neu.