为无人参与脚本配置基于 Exchange Online 证书的身份验证

如何安排 Exchange Online PowerShell 脚本以实现自动化目的？例如，您有一个 Exchange Online PowerShell 脚本，需要每天在无人值守的情况下针对 Exchange Online 租户运行，无需任何交互。在本文中，您将了解如何配置 Exchange Online 基于证书的身份验证 (CBA) 并自动执行 Exchange Online PowerShell 脚本。

基于证书的身份验证

在 Microsoft 365 中运行脚本通常涉及 Exchange Online PowerShell 中的无人值守脚本。过去，无人值守登录要求您将用户名和密码存储在本地文件或运行时访问的秘密保管库中。但是，众所周知，在本地存储用户凭据并不是一个好的安全实践。

这就是基于证书的身份验证 (CBA) 可以发挥作用的地方。它支持使用 Azure AD 应用程序和自签名证书的无人值守脚本和自动化方案。 。这在身份验证时消除了用户名、密码和 MFA。

基于证书的身份验证如何工作

Exchange Online PowerShell 模块使用 Active Directory 身份验证库通过应用程序 ID、租户 ID（组织）和证书指纹来获取仅应用程序令牌。 Azure AD 中预配的应用程序对象分配有一个目录角色，该角色在访问令牌中返回。会话的基于角色的访问控制 (RBAC) 是使用令牌中提供的目录角色信息进行配置的。

如何在 Exchange Online 中设置基于证书的身份验证

让我们完成以下步骤，并为无人值守脚本设置基于 Exchange Online 证书的身份验证。

1.生成自签名证书

要生成自签名证书，请使用 Windows PowerShell 登录到任何 Windows Server 或桌面。最好在要运行无人值守 PowerShell 脚本的计算机上生成证书。

当您将自签名证书上传到 Azure 中的应用程序时，以及如果您想在其他系统上使用该证书，您需要在后面的步骤中使用自签名证书。

注意：默认情况下，自签名证书的有效期为一年。

在本例中，我们为自签名证书添加了 5 年，因此我们不必每年更新它。

PS C:\> $mycert = New-SelfSignedCertificate -DnsName "exoip.com" -CertStoreLocation "cert:\LocalMachine\My" -NotAfter (Get-Date).AddYears(5) -KeySpec KeyExchange -FriendlyName "EXO unattended cert"

确认证书并复制ThumbPrint并将其粘贴到记事本中。稍后连接到 Exchange Online 时将需要它。

PS C:\> $mycert | Select-Object -Property Subject,Thumbprint,NotBefore,NotAfter

Subject      Thumbprint                               NotBefore             NotAfter
-------      ----------                               ---------             --------
CN=exoip.com 4F1C50EFC978A355227459E2D54FA9BEE8B93B78 12/28/2022 6:26:21 PM 12/28/2027 6:36:22 PM

将证书导出到.cer 文件。

将 .cer 文件上传到 Azure 应用程序时，您将需要该文件（您将在后续步骤中创建该文件）。

PS C:\> $mycert | Export-Certificate -FilePath "C:\temp\EXOUnattendedCert.cer"


    Directory: C:\temp


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----       12/28/2022   6:46 PM            796 EXOUnattendedCert.cer

将证书导出到.pfx 文件。

当使用另一台计算机通过基于证书的身份验证进行连接时，您将需要该.pfx 文件。复制或发送.pfx 文件并将其安装在其他计算机上。

PS C:\> $mycert | Export-PfxCertificate -FilePath "C:\temp\EXOUnattendedCert.pfx" -Password $(ConvertTo-SecureString -String "P@ssw0Rd1234" -AsPlainText -Force)


    Directory: C:\temp


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----       12/28/2022   6:47 PM           2725 EXOUnattendedCert.pfx

2. 在Azure中注册应用程序

要在 Azure AD 中注册应用程序，请执行以下步骤：

• 登录 Microsoft Azure
• 单击菜单 > Azure Active Directory
• 选择应用注册>新注册

• 填写名称EXO PowerShell无人值守
• 保留默认支持的帐户类型仅此组织目录中的帐户 -（单个租户）
• 点击注册

• EXO PowerShell 无人值守应用程序概述出现
• 复制应用程序（客户端 ID）并将其粘贴到记事本中，因为稍后连接到 Exchange Online 时需要它

3.配置Azure应用程序API权限

您需要按照以下步骤向您创建的 EXO PowerShell 无人值守应用程序添加 API 权限：

• 单击API权限>添加权限

• 点击我的组织使用的 API
• 搜索 Office 365
• 从结果列表中选择 Office 365 Exchange Online

• 选择应用程序权限
• 展开 Exchange 并选择 Exchange.ManageAsApp
• 点击添加权限

• 点击授予管理员同意
• 单击是

• 状态显示绿色复选标记

4. 将证书上传到应用程序

是时候上传您在上一步中创建的自签名证书了：

• 单击证书和机密
• 单击证书 > 上传证书

• 单击浏览图标，然后选择C:\temp中的自签名EXOUnattatend.cer文件
• 添加描述EXO无人值守证书
• 点击添加

• 证书出现在列表中

注意：确认其具有与您在上一步中导出的证书指纹相同的证书指纹。

5. 将应用程序分配给 Exchange 管理员角色

最后一步是将应用程序作为成员添加到 Exchange 管理员 角色：

• 单击菜单 > Azure Active Directory
• 选择角色和管理员
• 选择所有角色并搜索交换
• 单击Exchange 管理员

• 单击作业> 添加作业

• 搜索 Azure 应用程序名称EXO PowerShell 无人值守
• 从结果中选择应用程序
• 点击添加

• EXO PowerShell 无人值守应用程序已添加到 Exchange 管理员角色分配列表中

所有步骤均已完成。

使用基于证书的身份验证连接到 Exchange Online PowerShell

让我们看看如何使用 CBA（基于证书的身份验证）连接到 EXO PowerShell。

在计算机上安装 Exchange Online PowerShell 模块至关重要。如果没有安装，则无法连接。

填写以下三个变量以使用基于证书的身份验证连接到 Exchange Online PowerShell：

1. $应用程序ID
2. $CertificateThumbPrint
3. $组织

$AppId = "cd4fad71-3820-4198-8748-b88035aeec51"
$CertificateThumbprint = "4F1C50EFC978A355227459E2D54FA9BEE8B93B78"
$Organization = "exoip365.onmicrosoft.com"

Connect-ExchangeOnline -AppId $AppId -CertificateThumbprint $CertificateThumbprint -Organization $Organization -ShowBanner:$false

现在您已连接到 Exchange Online PowerShell，请运行 Get-EXOMailbox cmdlet 以检索邮箱。

PS C:\> Get-EXOMailbox -ResultSize 5 | ft Name,UserPrincipalName

Name          UserPrincipalName
----          -----------------
Amanda Morgan Amanda.Morgan@exoip.com
Amelia Nash   Amelia.Nash@exoip.com
Carol Baker   Carol.Baker@exoip.com
Craig Hansen  Craig.Hansen@exoip.com
Curt Berry    Curt.Berry@exoip.com

这就是它的样子。

无人值守的 PowerShell 脚本示例

下面是一个无人值守的 PowerShell 脚本，它将 Exchange Online 中的邮箱列表导出到 C:\temp 中的 CSV 文件。该脚本被添加到每天运行的计划任务中。

注意： 在 PowerShell 脚本末尾添加 Disconnect-ExchangeOnline -Confirm:$false。如果脚本运行时没有断开会话连接，您可能会用完所有可用的远程 PowerShell 会话，并且需要等待会话过期。

# Connect Exchange Online PowerShell
$AppId = "cd4fad71-3820-4198-8748-b88035aeec51"
$CertificateThumbprint = "4F1C50EFC978A355227459E2D54FA9BEE8B93B78"
$Organization = "exoip365.onmicrosoft.com"

Connect-ExchangeOnline -AppId $AppId -CertificateThumbprint $CertificateThumbprint -Organization $Organization -ShowBanner:$false

# Split path
$Path = Split-Path -Parent "C:\temp\*.*"

# Create variable for the date stamp
$LogDate = Get-Date -f yyyyMMddhhmm

# Define CSV and log file location variables
$Csvfile = $Path + "\AllMailboxes_$logDate.csv"

Get-EXOMailbox -ResultSize Unlimited | Select-Object DisplayName, PrimarySmtpAddress | Sort-Object PrimarySmtpAddress | Export-CSV -Path $Csvfile -NoTypeInformation -Encoding UTF8

# Disconnect Exchange Online PowerShell
Disconnect-ExchangeOnline -Confirm:$false

这是使用记事本打开 CSV 文件时的外观。

就是这样！

您已成功在 Exchange Online 中设置基于 Exchange Online 证书的身份验证。

了解更多：为本地配置 Microsoft Entra 密码保护 »

结论

您了解了如何为无人参与脚本配置基于 Exchange Online 证书的身份验证。完成分步指南后，您无需用户交互即可使用 Exchange Online PowerShell 进行身份验证。请记住备份自签名证书，以便您可以在其他计算机上导入和使用它。

您喜欢这篇文章吗？您可能还喜欢防止组织中的 MFA 疲劳攻击。不要忘记关注我们并分享这篇文章。