Zum Inhalt

E-Mail-Zugriffssteuerung über PowerShell einrichten

Wenn Sie den Standalone-EAS-Proxy im PowerShell-Modus einrichten, stellt er über PowerShell eine Verbindung zu Ihrem Exchange-Mail-Server her und legt je nach Compliance-Status des Gerätes den E-Mail-Zugriff fest.

Im PowerShell-Modus findet der Mail-Verkehr direkt, d.h. ohne Proxy, zwischen dem Exchange-Mail-Server und den Geräten statt. Für eine schematische Darstellung des Kommunikationsablaufs siehe „EAS proxy architecture examples“ in der Sophos Mobile Serverbereitstellungs-Anleitung (englisch).

Vorteile des PowerShell-Modus:

  • Sie müssen auf Ihrem Sophos-Mobile-Server keinen Port für eingehende E-Mails von Ihren Geräten öffnen.
  • Sie können verhindern, dass Geräte, die nicht bei Sophos Mobile registriert sind, auf E-Mails zugreifen.

Als Exchange-Mail-Server können Sie entweder Exchange Server oder das in Microsoft 365 enthaltene Exchange Online verwenden. Unterstützte Versionen sind:

  • Exchange Server 2013
  • Exchange Server 2016
  • Microsoft 365 mit einem Plan „Exchange Online“

Einschränkung

Weil macOS nicht das ActiveSync-Protokoll unterstützt, können Sie den E-Mail-Zugriff von Macs nicht mit PowerShell kontrollieren.

Machen Sie Folgendes, um die E-Mail-Zugriffssteuerung über PowerShell einzurichten.

PowerShell konfigurieren

  1. Optional: Installieren Sie bei Bedarf Windows PowerShell auf dem Computer, auf dem Sie den EAS-Proxy installieren wollen.

    Siehe das Microsoft-Dokument Installieren von Windows PowerShell.

  2. Öffnen Sie PowerShell als Administrator und geben Sie folgenden Befehl ein:

    Set-ExecutionPolicy RemoteSigned
    

Exchange Server erfordert eine zusätzliche Konfiguration:

  1. Öffnen Sie die Exchange-Verwaltungsshell.

    Siehe das Microsoft-Dokument Öffnen der Exchange-Verwaltungsshell.

  2. Legen Sie die PowerShell-Ausführungsrichtlinie fest:

    Set-ExecutionPolicy RemoteSigned
    
  3. Ermitteln Sie den Namen des virtuellen PowerShell-Verzeichnisses:

    Get-PowerShellVirtualDirectory -Server <Servername>
    

    <server name\> steht für den Namen des Computers, auf dem Exchange Server installiert ist.

    Bei einer Standardinstallation ist das virtuelle PowerShell-Verzeichnis PowerShell (Default Web Site).

  4. Stellen Sie die Standardauthentifizierung für das virtuelle PowerShell-Verzeichnis fest:

    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true
    

Dienstkonto erstellen

Ein Dienstkonto ist ein spezielles Benutzerkonto auf dem Exchange-Mail-Server, welches Sophos Mobile verwendet, um PowerShell-Befehle auszuführen.

  1. Öffnen Sie das Exchange Admin Center in einem Webbrowser:

    • Für Exchange Server: https://<ServerFQDN\>/ecp

      \ ist der vollqualifizierte Domänenname Ihres Exchange-Servers.

    • Für Exchange Online: https://admin.exchange.microsoft.com

  2. Erstellen Sie ein Benutzerkonto.

    • Verwenden Sie einen Benutzernamen, der den Verwendungszweck erkennen lässt, zum Beispiel smc_powershell.
    • Deaktivieren Sie für dieses Konto die Einstellung, dass der Benutzer bei der nächsten Anmeldung das Kennwort ändern muss.
    • Entfernen Sie alle Microsoft-365-Lizenzen, die dem neuen Konto automatisch zugewiesen worden sind. Dienstkonten benötigen keine Lizenzen.
  3. Erstellen Sie eine neue Rollengruppe und weisen Sie dieser die erforderlichen Berechtigungen zu.

    • Nennen Sie die Rollengruppe zum Beispiel smc_powershell.
    • Fügen Sie die Rollen Mail Recipients und Organization Client Access hinzu.
    • Fügen Sie das Benutzerkonto als Mitglied hinzu.

PowerShell-Verbindung konfigurieren

  1. Verwenden Sie den Einrichtungsassistent so, als würden Sie einen Standalone-EAS-Proxy installieren. Konfigurieren Sie auf der Seite EAS Proxy instance setup die folgenden Einstellungen:

    • Instance type: Wählen Sie PowerShell Exchange/Office 365 aus.
    • Instance name: Ein Name, um die Instanz zu identifizieren.
    • Exchange server: Geben Sie unter Exchange Server den Namen oder die IP-Adresse Ihres Servers ein.

      Für Exchange Online geben Sie outlook.office365.com ein, wenn Sie den globalen Microsoft 365 Dienst verwenden. Für andere Dienste, zum Beispiel Office 365 Deutschland, finden Sie die Adresse im Microsoft Dokument Herstellen einer Verbindung mit Exchange Online PowerShell.

      Geben Sie die Adresse ohne Protokoll https:// und Endung /powershell-liveid ein. Der Einrichtungsassistent fügt dies automatisch hinzu.

    • Allow all certificates: Der EAS-Proxy überprüft nicht das Serverzertifikat. Wählen Sie diese Option zum Beispiel aus, wenn Sie Exchange Server mit einem selbstsignierten Zertifikat verwenden.

      Warnung

      Diese Einstellung verringert die Sicherheit von Mailserver-Verbindungen. Verwenden Sie die Einstellung nur, wenn Ihre Netzwerkumgebung es erfordert.

    • Service account: Der Name des Benutzerkontos, das Sie in der Administratorkonsole von Exchange Server oder Exchange Online erstellt haben.

    • Password: Das Kennwort für das Benutzerkonto.
  2. Klicken Sie auf Add, um die Instanz zu der Liste Instances hinzuzufügen.

  3. Wiederholen Sie die vorherigen Schritte, um PowerShell-Verbindungen zu weiteren Exchange-Server-Instanzen einzurichten.
  4. Schließen Sie die Einrichtung ab.
  5. Optional: Konfigurieren Sie bei Bedarf einen Proxy-Server, den der EAS-Proxy für die Verbindung mit Exchange Server oder Exchange Online verwendet. Öffnen Sie auf dem Computer, auf dem Sie den EAS-Proxy installiert haben, eine Eingabeaufforderung mit der Option Als Administrator ausführen und geben Sie folgenden Befehl ein:

    netsh winhttp set proxy <Server-Name oder IP>:<Port>
    

    Warnung

    Mit diesem Befehl wird ein systemweiter Proxy konfiguriert. Dies hat möglicherweise Auswirkungen auf andere Programme, die auf dem Computer ausgeführt werden.

PowerShell-Zertifikat hochladen

Laden Sie in Sophos Mobile das Zertifikat der PowerShell-Verbindung hoch.

  1. Melden Sie sich bei Sophos Mobile Admin als Superadministrator an.
  2. Klicken Sie in der Menüleiste unter EINSTELLUNGEN auf Einrichtung > Sophos-Einrichtung und öffnen Sie anschließend das Tab EAS-Proxy.
  3. Wählen Sie unter Allgemein die Option Auf Sophos Secure Email beschränken aus, um den E-Mail-Zugriff auf die App Sophos Secure Email einzuschränken (verfügbar für Android und iOS).
  4. Klicken Sie unter Extern auf Datei hochladen. Laden Sie das während der Konfiguration erstellte Zertifikat hoch.

    Falls Sie mehrere Instanzen eingerichtet haben, wiederholen Sie den Vorgang für alle Instanzen.

  5. Klicken Sie auf Speichern.

  6. Öffnen Sie in Windows das Dialogfeld Dienste und starten Sie den Dienst EASProxy neu.