Office 365 – Exchange Online -palveluun yhdistäminen PowerShellillä MFA-tunnistautumisen kanssa

Johdanto

Exchange Online -palvelun hallinta onnistuu kätevästi PowerShellin kautta. Palveluun yhdistäminen ei kuitenkaan oletuksena toimi suoraan PowerShellin kautta, jos hallintatunnuksella on MFA-tunnistautuminen käytössä.

Käyn tässä läpi vaiheet, jotka vaaditaan Exchange Onlineen yhdistettäessä MFA-tunnistautumisen kanssa.


Exchange Online Remote PowerShell Modulen lataus

Ensiksi tuli ladata Exchange Online Remote PowerShell Module. Tämä onnistui verkkoselaimen kautta navigoimalla Exchange Online Admin Centeristä > Hybrid.

Sieltä latasin Exchange Online PowerShell Modulen painamalla alempaa “Configure“-latausnappia.

Tallensin ohjelman työpöydälleni:

Sitten suoritin ohjelman ja sain virheilmoituksen:

Luin Microsoftin dokumentaatiota tarkemmin ja havaitsin, että he pyysivät suorittamaan ohjelman Internet Explorerin tai Edge -selaimen kautta. Ensiksi ajattelin, että tämä on vain turhaa promoamista kuolleiksi kuopatuille Microsoftin selaimille. Testatessani Edgellä havaitsin kuitenkin, että asennusohjelma käynnistyi oikein Microsoftin selaimella…

Aukesi asennusohjelma, josta painoin “Asenna“.

Ohjelma latautui ja aukesi PowerShell-ikkuna:


Basic Authenticationin salliminen

Varmistin, että Windows Remote Management (WinRM) sallii tunnistautumisen (oletuksena pitäisi):

winrm get winrm/config/client/auth

Tulos:

WSManFault
Message = Asiakas ei voi muodostaa yhteyttä pyynnössä määritettyyn kohteeseen. Tarkista, että kohteen palvelu on käytössä ja että se hyväksyy pyyntöjä. Tarkista kohteen WS-Management-lokit ja ohjeet, yleensä kyseessä on IIS tai WinRM. Jos kohde on WinRM-palvelu, analysoi ja määritä WinRM-palvelu suorittamalla seuraava komento: winrm quickconfig.

Virhenumero: -2144108526 0x80338012
Asiakas ei voi muodostaa yhteyttä pyynnössä määritettyyn kohteeseen. Tarkista, että kohteen palvelu on käytössä ja että se hyväksyy pyyntöjä. Tarkista kohteen WS-Management-lokit ja ohjeet, yleensä kyseessä on IIS tai WinRM. Jos kohde on WinRM-palvelu, analysoi ja määritä WinRM-palvelu suorittamalla seuraava komento: winrm quickconfig.

Vaikutti siltä, että tunnistautumista ei ollut sallittu. Yritin asettaa Basic authenticationille arvon “True” PowerShellillä seuraavalla komennolla:

winrm set winrm/config/client/auth @{Basic="true"}

Sain kuitenkin virheilmoituksen:

Virhe: Invalid use of command line. Type "winrm -?" for help.

Vaikutti siis pikemminkin siltä, ettei koko Basic Authentication -ominaisuutta ole Windowsissa päällä. Käynnistin sen:

winrm quickconfig

Painoin Y, jotta muutokset tulivat voimaan:

WinRM:ää ei ole määritetty vastaanottamaan pyyntöjä tässä tietokoneessa.
Seuraavat muutokset on tehtävä:

Käynnistä WinRM-palvelu.
Aseta WinRM-palvelutyypiksi viivästetty automaattinen käynnistys.

Tehdäänkö nämä muutokset [y/n]? y

Muutos ei kuitenkaan ensin mennyt läpi, sillä PowerShelliä ei oltu suoritettu järjestelmänvalvojana. Avasin uuden ikkunan korotetuin oikeuksin ja tein samat muutokset:

WinRM:ää ei ole määritetty vastaanottamaan pyyntöjä tässä tietokoneessa.
Seuraavat muutokset on tehtävä:

Käynnistä WinRM-palvelu.
Aseta WinRM-palvelutyypiksi viivästetty automaattinen käynnistys.

Tehdäänkö nämä muutokset [y/n]? y

WinRM on päivitetty vastaanottamaan pyyntöjä.

WinRM-palvelun tyyppi muutettiin.
WinRM-palvelu käynnistettiin.
WinRM:ää ei ole määritetty sallimaan tietokoneen etäkäyttöä hallinnan osalta.
Seuraavat muutokset on tehtävä:

Ota käyttöön WinRM-palomuuripoikkeus.
Myönnä järjestelmänvalvojan oikeudet paikallisille käyttäjille etäyhteyden välityksellä määrittämällä LocalAccountTokenFilterPolicy.

Tehdäänkö nämä muutokset [y/n]? y

WinRM:ään on päivitetty etähallinta.

WinRM-palomuuripoikkeus on otettu käyttöön.
Järjestelmänvalvojan oikeudet myönnettiin paikallisille käyttäjille etäyhteyden välityksellä määrittämällä LocalAccountTokenFilterPolicy.

Palvelu oli nyt käynnissä, joten tarkistin, onko Basic Authentication päällä (arvo “True“):

winrm get winrm/config/client/auth

Basic Authentication oli päällä:

PS C:\Users\Markus> winrm get winrm/config/client/auth
Auth
Basic = true
Digest = true
Kerberos = true
Negotiate = true
Certificate = true
CredSSP = false

PS C:\Users\Markus>


Yhdistäminen Exchange Online -palveluun

Sitten kokeilin kirjautua Exchange Onlineen tunnuksella, jolla on MFA-tunnistautuminen päällä. Komennon käyttäjätunnus on vain esimerkki, ja siksi oikea hallintatunnus on kuvissa sensuroitu:

Connect-EXOPSSession -UserPrincipalName esimerkki.tunnus@mapy.fi

Sitten aukeaa erillinen kirjautumisikkuna, jossa syötetään ensin salasana ja jälkeenpäin MFA-tunnistautumiskoodi. Omassa tapauksessani tunnistautumista ei pitänyt tehdä uudelleen, sillä olin jo valmiiksi Windowsissa tunnistautunut Office-tunnuksin.

Yhteys aukesi ja pystyin syöttämään Exchange Online cmdlet-komentoja.


TÄTÄ DOKUMENTTIA SAA KOPIOIDA JA MUOKATA GNU GENERAL PUBLIC LICENSE (VERSIO 3 TAI UUDEMPI) MUKAISESTI. HTTP://WWW.GNU.ORG/LICENSES/GPL.HTML
MARKUS PYHÄRANTA

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top
Scroll to Top