Automatische Mailbox-Bereinigung mit 13.0 AsyncOS und neueren Funktionen: On-Premise Exchange, Hybrid Multi-Tenant- und verkettete Abfragen

Download-Optionen

  • PDF     (639.0 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (557.1 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (346.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:17. Februar 2020
Dokument-ID:214976

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Artikel werden die neu hinzugefügten MAR-Funktionen (Mailbox Auto Remediation) behandelt, die für AsyncOS 13.0 für Email Security eingeführt wurden.

      

      

    Voraussetzungen

    • AsyncOS 13.0 oder höher für ESA
    • Lizenzschlüssel für Dateireputation und Dateianalyse
    • Implementierung von MS Office365 oder MS Exchange am Standort

      

      

    Hintergrundinformationen

    MAR wurde in AsyncOS 10.0 eingeführt und unterstützte nur Office 365 Online.

    13.0 und neuere AsyncOS-Funktionen:

    • Microsoft Exchange Online - auf Microsoft Office 365 gehostete Mailbox
    • Microsoft Exchange vor Ort - ein lokaler Microsoft Exchange Server
    • Hybrid-/Multi-Tenant-Konfiguration - eine Kombination von Postfächern, die in Microsoft Exchange Online- und Microsoft Exchange-Bereitstellungen vor Ort konfiguriert sind

    Die ersten Einrichtungsschritte finden Sie im ursprünglichen MAR-Einrichtungsleitfaden für O365 zusammen mit einem Addendum für Änderungen am O365 für 13.0 und höher.

    Der ursprüngliche Artikel ist noch gültig und enthält eine Erläuterung der Funktion sowie Schritte zum Generieren von Zertifikaten für die O365 Azure-Implementierung, ESA-Einstellungen und allgemeine Fehlerbehebung.

    So konfigurieren Sie Azure AD- und Office 365-Postfacheinstellungen für die ESA

    Neue Änderungen an den Azure-API-Berechtigungen für 13.0

    Im aktuellen Benutzerhandbuch finden Sie ausführlichere Informationen zur automatischen Bereinigung.

    Das Kapitel: Automatisches Beseitigen von Nachrichten in Mailboxen

    Konfigurieren Sie mehrere "Kontoprofile".

    ESA 13.0 und neuere Versionen unterstützen mehrere Kontoprofile, die mit Exchange Online, Exchange On-Premise oder beidem erstellt wurden:

    • Wenn Ihr Unternehmen eine komplexe Konfiguration mit separaten Domänen umfasst, die sich in unterschiedlichen Bereitstellungen befinden
    • Wenn Ihr Unternehmen eine neue Akquisition in Anspruch nimmt und seine Domäne einbeziehen möchte, um die MAR-Funktion zu nutzen
      • Dann würde die Erstellung mehrerer Kontoprofile mehr Flexibilität ermöglichen als bisherige ESA-Funktionen.

    Konfigurieren des Exchange Online/O365-Profils

    • Das Erstellen eines Kontoprofils für O365/Azure ist in den beiden oben im Hintergrundabschnitt aufgeführten Links enthalten.

    Office 365/Hybrid (Graph API) - Wählen Sie diese Option aus, um ein online auf Exchange bereitgestelltes Postfach zu konfigurieren, und geben Sie die folgenden Details ein:

    • Client-ID und Tenant-ID der Anwendung, die Sie im Azure-Verwaltungsportal registriert haben.
    • Ein Fingerabdruck des Zertifikats (Wert von $base64Thumbprint ).
    • Laden Sie den privaten Schlüssel des Zertifikats hoch. Klicken Sie auf Choose File (Datei auswählen), und wählen Sie die PEM-Datei aus.

    Beispielprofil für die Verbindung mit O365

    Konfiguration des Exchange-Standortprofils

    • Das Erstellen eines Kontoprofils für eine standortbasierte Exchange-Instanz ist wesentlich einfacher.
    • Für diese Methode ist ein Benutzerkonto mit ApplicationImpersonation erforderlich.
    • Navigieren Sie im folgenden Format zum Exchange-Verwaltungscenter, und ersetzen Sie es durch Ihre Werte. https://mail.yourdomain.com/ecp/
    • Navigieren Sie nach der Anmeldung zu Permissions > Admin Roles > +, um ein neues Profil hinzuzufügen. Wenn Sie über eine bestehende Rolle verfügen, können Sie den Mitgliedern das entsprechende Benutzerkonto hinzufügen.
    • Erstellen Sie den Namen und die Beschreibung. Scrollen Sie nach unten zu "Roles: +", um die Rolle hinzuzufügen. Scrollen Sie nach unten, und markieren Sie "ApplicationImitation". Fügen Sie "Add" (OK) hinzu.
    • Kehren Sie zum neu erstellten Profil zurück, wählen Sie "Mitglieder: +" aus, suchen Sie das Benutzerkonto, das Sie für die Verwendung auf der ESA festgelegt haben, und fügen Sie es hinzu.
    • Bestätigen Sie alle Änderungen.
    • Detailliertere Anweisungen erfordern eine Recherche seitens des Administrators auf den Seiten für den MS-Support.
    • Melden Sie sich anschließend bei der ESA WebUI an, und navigieren Sie zu Kontoeinstellungen.
    • Kontoprofil erstellen, Name, Beschreibung
    • Wählen Sie die Dropdown-Option "Profile Type: Exchange On-Premise" (Profiltyp: Exchange am Standort) aus.
    • Geben Sie Benutzername/Kennwort und Host: ein.
    • Akzeptable Parameter für den Host: Wert ist im Image enthalten.
    • Senden und bestätigen Sie Änderungen.

    Beispiel für ein standortbasiertes Exchange-Profil

    Beispiele für MAR-Kontoprofile

    Domänenzuordnung konfigurieren

    Domänenzuordnung ist die Zuweisung einer Domäne/von Domänen zu einem Kontoprofil.

    Für jede Implementierung ist mindestens eine Domänenzuordnung erforderlich:

    1. WebUI Navigieren Sie zu Systemverwaltung > Kontoeinstellungen > Domänenzuordnung erstellen.
    2. Geben Sie die Domänennamen durch Kommas getrennt ein (eine vollständige Liste der zulässigen Domänenformate finden Sie in Image1.)
    3. Wenn die gesamte Konfiguration nur ein Kontoprofil enthält, geben Sie im Feld Domain Name (Domänenname) den Namen ALL ein.
    4. Eine Domäne darf nur einmal verwendet werden.

    Beispiel für DomänenzuordnungBild 1. Zulässige Domänenformate

    Beispiel für Domänenzuordnung

      

      

    Verkettete Profile konfigurieren

    Diese Aktion ist nur erforderlich, wenn Sie Nachrichten in einer Mailbox in einer Hybrid- oder Multi-Tenant-Bereitstellung beheben möchten.

    Die Profile sollten zuerst mit der höchsten Priorität hinzugefügt werden. Das am häufigsten genutzte Domänenprofil zuerst.

    1. WebUI > Navigate to > System Administration > Account Settings > Create Chained Profiles (Webbenutzeroberfläche > Navigieren zu > Systemverwaltung > Kontoeinstellungen > Verkettete Profile erstellen).
    2. Fügen Sie den Profilnamen und die Beschreibung hinzu.
    3. Wählen Sie eine Domäne aus der Dropdown-Liste Mar Profile: (Marsprofil) aus.
    4. Wählen Sie "Add Account Profile" (Kontoprofil hinzufügen) aus, um ein weiteres Domänenprofil hinzuzufügen, bis die Auswahl abgeschlossen ist.
    5. Senden und bestätigen Sie Änderungen.

    Erstellen von Kettenprofilen.

      

      

    Überprüfung jedes Kontoprofils

    Bestätigen Sie jedes Kontoprofil, indem Sie die Schaltfläche "Profil testen" auswählen, während Sie sich in einem individuellen Profil befinden.

    1. WebUI > Navigate > System Administration > Account Settings > Choose one of the Account Profiles
    2. Klicken Sie auf die linke untere Schaltfläche "Verbindung testen".
    3. Füllen Sie das Feld "E-Mail-Adresse:" aus, und wählen Sie "Verbindung testen" aus.

    Testen der einzelnen Profile zur Überprüfung der erfolgreichen Verbindung

    Fehlerbehebung

    Protokolle enthalten:

    • mail_logs: Endgültige Sanierungsaktion und Zusammenfassung
    • mar_logs: Die Reihenfolge, in der die Korrektur durchgeführt wurde
    • Option "Verbindung testen" in der Benutzeroberfläche: dient zum Überprüfen der Verbindung und der Berechtigung

    Es gibt viele Informationen, die durch den E-Mail-Test aus den Kontoeinstellungen ermittelt werden können:

    Fehlerbehebung mit Testverbindung

    • Der SMTP-Adresse ist kein Postfach zugeordnet.
      • Das verwendete Benutzerpostfach ist nicht vorhanden.
    • Der Zugriff wird verweigert. Überprüfen Sie die Anmeldeinformationen, und versuchen Sie es erneut.
      • Die in Microsoft Azure konfigurierte Anwendung verfügt nicht über die erforderlichen Berechtigungen für den Zugriff auf das Office 365-Postfach.
    • Die Anwendung mit dem Bezeichner '<client_id>' wurde im Verzeichnis <tenant_id> nicht gefunden.
      • Die Client-ID auf der Seite Kontoprofileinstellungen ist ungültig.
    • Im Datenspeicher wurde kein Dienstnamespace mit dem Namen '<tenant_id>' gefunden.
      • Die Mandanten-ID auf der Seite Kontoprofileinstellungen ist ungültig.
    • Fehler beim Überprüfen der Anmeldeinformationen. Fehler bei der Überprüfung der Anmeldeinformationen.
      • Der Zertifikatfingerabdruck auf der Kontoprofilseite ist ungültig.
      • Der Profiltyp, der für den Zugriff auf die Mailbox verwendet wird, ist möglicherweise falsch. Beispiel: Zugriff auf ein Postfach vor Ort über ein Office 365-Profil.
      • Die erforderlichen Berechtigungen für den Zugriff auf das Postfach fehlen möglicherweise.
    • Für den Exchange-Server wurde ein ungültiger Benutzername oder ein ungültiges Kennwort eingegeben.
      • Der im Profil eingegebene Benutzername und das Passwort für das Konto des Impersonators sind ungültig.
    • Das Konto verfügt nicht über die Berechtigung, die Identität des angeforderten Benutzers anzunehmen.
      • Dem im Profil konfigurierten Benutzerkonto wurden keine Berechtigungen für die Identitätswechselrolle zugewiesen.
    • Überprüfen Sie, ob Host <Hostname> eine gültige Exchange-Serveradresse ist.
      • Der im Profil eingegebene Hostname des lokalen Exchange-Servers ist ungültig.
    • Auf das Postfach kann mit diesem Profil nicht zugegriffen werden, oder die erforderlichen Berechtigungen fehlen.
      • Auf ein gültiges Postfach wird mit dem falschen Profiltyp zugegriffen. Beispiel: Zugriff auf eine standortinterne Mailbox über ein o365-Profil.

    Beispiel für eine erfolgreiche Problembehebung für ein einzelnes Profil:

    Fri Aug 30 11:57:30 2019 Info: Process ready for Mailbox Remediation
    Fri Aug 30 12:29:54 2019 Info: MID: 782107 Attempting to remediate using `azure-rtptac` profile for recipient testuser@rtprocks.com. Attempt number : 1
    Fri Aug 30 12:29:54 2019 Info: MID: 782107 Trying to perform the forward and delete action on Office 365 or Hybrid exchange for SHA256: 
    1e6f324 982d4eb71ad967e79261a6435aef928b57bc523dbb3e7de4ed65941ab recipient's (testuser@rtprocks.com) mailbox.
    Fri Aug 30 12:29:58 2019 Info: MID: 782107 Message forwarded successfully to admin_mar@rtprocks.com.
    Fri Aug 30 12:29:58 2019 Info: MID: 782107 Message deleted successfully from testuser@rtprocks.com mailbox.
    Fri Aug 30 12:29:58 2019 Info: MID: 782107 Remediation succeeded with `azure-rtptac` profile for recipient testuser@rtprocks.com.

    Beispiel für eine erfolgreiche Problembehebung für ein verkettetes Profil:

    Mon Oct 14 15:01:01 2019 Info: MID: 24 Attempting gto remediate using 'azurertptac' profile for recipient charella@rtptacsecondary.com . Attempt number : 1
    Mon Oct 14 15:01:01 2019 Info: MID: 24 Trying to perfrm the delete action on Office 365 or Hybrid exchange for SHA256: 1e6f324982d4eb71ad967e79261a6435aef928b57bc523dbb3e7de4ed65941ab
    recipients (charella@rtptacsecondary.com) mailbox
    Mon Oct 14 15:01:09 2019 Info: MID: 24 Unable to read message(s) from the recipient's (charella@rtptacsecondary.com ) mailbox. Error: The mailbox cannot be accessed using this profile or the required
    permissions may be missing
    Mon Oct 14 15:01:09 2019 Info: MID: 24 Attempting to remediate using 'exchange-mar-2' profile for recipient charella@rtptacsecondary.com . Attempt number : 1
    Mon Oct 14 15:01:09 2019 Info: MID: 24 Trying to perform the delete action on On Premise Exchange for SHA256: 1e6f324982d4eb71ad967e79261a6435aef928b57bc523dbb3e7de4ed65941ab 
    recipient's (charella@rtptacsecondary.com) mailbox.
    Mon Oct 14 15:01:16 2019 Info: MID: 24 Message deleted successfully from charella@rtptacsecondary.com mailbox.
    Mon Oct 14 15:01:16 2019 Info: MID: 24 Remediation succeeded with 'exchange-mar-2' profile for recipient charella@rtptacsecondary.com. Not trying further profile.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    17-Feb-2020
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Chris Arellano
      Cisco Technical Support

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.