Exchange OnlineでSend As, Send on Behalf, Full Accessが割り当てられてい るユーザーの抽出

権限の棚卸しやトラブルシューティングに

Exchange OnlineでSend As, Send on Behalf, Full Access(等のメールボックス権限)が割り当てられているユーザーの抽出を行うスクリプトが紹介されています。

Reporting Exchange Online Mailbox and SendAs/On Behalf Of Permissions – Office 365 for IT Pros

Shortly after publishing Reporting Exchange Online Mailbox Permissions, I received two notes. One was from Vasil Michev to say that I should have used the REST-based cmdlets from the Exchange Online Management module. The other was a reply to my note in the Microsoft Technical Community to point me to some script snippets covering “the other” mailbox-level permissions that you might assign over mailboxes.

Send As

Send As権限はその人を送信元として違う人がメールを送信できる権限です。これを用いてメールを送ると受信者は本人から送られてきたかSend As権限を割り振られたユーザーから送信されたのか判別できません。

例えばITサポート部門などの共用メールボックスのアドレスを複数人で共通の窓口として利用し、送信元もそのアドレスにしたい場合とかに利用しますかね。

Send on Behalf

Send on Behalf権限はSend Asと同様に送信元を他者が利用できる権限ですが、違いはSend on Behalfの場合は「誰々が代理で送信しました」、と相手に表示されます。

秘書が役職者の代わりにメールを送信する場合などで使われますね。

Full Access

Full Access権限は実利用者と同等の権限で、これを割り当てられている人はなんでもできちゃいます。

PowerShellから割り当てる場合、AutoMappingというパラメーターをfalseにしない限り、自動で割り当てられた人のOutlookにそのメールボックスが追加されます。GUIからだとAutoMappingは指定できないので割り当てるとその人のOutlookに対象のメールボックスが勝手に出てきます。

他人が送信元を語れたりメールボックスの中身を操作できる権限

この3つの権限は性質上誤って与えるとコンプライアンスやセキュリティ上非常に厄介なことになりますし(特にFull Access)、もし権限をしっかり管理していきたければ定期的に棚卸しも実施すべきかと思います。

また、ユーザーが「見に覚えのないメールが自分のアドレスから送信されている」、という報告があった際にも確認したい権限たちです。

全部別のPowrShell cmdletで取る必要があります

PowerShellのcmdletはオンプレミスExchangeサーバー含めて以下の通りです。Exchange Onlineは理由がない限りV2を使った方がよいでしょうね、特に多数を対象とする場合は。

参考情報:Exchange Online Powershell V2 module 更新情報とGet-EXOMailbox確認

Send As

  • EXO V2: Get-ExoRecipientPermission
  • EXO V1: Get-RecipientPermission
  • オンプレ: Get-ADPermission

Send on Behalf

  • EXO V2: Get-ExoMailbox
  • EXO V1: Get-Mailbox
  • オンプレ: Get-Mailbox

FullAccess

  • EXO V2: Get-ExoMailboxPermission
  • EXO V1: Get-MailboxPermission
  • オンプレ: Get-MailboxPermission

コメント

コメントを投稿

Popular Posts

Outlookの検索フォルダー(Search Folders)配下に未読で件名が空のメールが 沢山ある

見に覚えのない未読メールが数千も? 数千の未読メールが検索フォルダー配下の未読のメールに表示されることがあるそうです。 発生するのはOutlook2013以降。 Outlook の検索フォルダーに、件名が空白の予期しないメール アイテムが表示されます。 – Outlook Outlook 2013、Outlook 2016、Outlook 2019 または Outlook Office 365 ですべてのメール アイテム用の検索フォルダーを作成すると、フォルダーに件名が空白の予期しないアイテムが含まれます。 これらの項目にマウスを移動すると、次の情報が表示されます。 フォルダー内: PersonMetadata PersonMetadata フォルダは、 Outlook Customer Manager (OCM) によって作成および使用されます。 フォルダーは通常、Outlook ユーザー インターフェイスの他の部分から隠されています。 ただし、検索フォルダーには、このフォルダーのメール アイテムが含まれます。 これらの項目には空白の件名がありますが、OCM によってアクティブに使用されているため、削除または変更しないでください。 検索フォルダーの制約により、隠しフォルダー内のメール アイテムが含まれます。 廃止後も、PersonMetaData フォルダーとその中のアイテムは期間限定で使用できます。 このフォルダー内のアイテムを変更または削除すると、アイテムが再作成されたり、新しいアイテムが表示されたりする場合があります。 近い将来にサービスが変更されると、PersonMetaData フォルダーとそのアイテムがサービスから削除されます。 それまでは、次の回避策を使用して、非表示フォルダーのメールアイテムが検索結果に含まれないようにしてください。 [検索フォルダー] を右クリックし、[この検索フォルダーのカスタマイズ] をクリックします。 [参照] をクリックし、[サブフォルダの検索] オプションの選択を解除します。 含めるフォルダを手動で選択します。 要諦 検索フォルダー(Search Folders)下では、通常では見えないPersonMetaDataフォルダーとその中のアイテムが表示されてしまう。これはシステムが利用するものなので消してもまた出てきてしまう...
Read more »

[Exchange] 会議室の予定が主催者の名前になってしまうのが嫌な場合

Teams Roomsシステムとかで使ったり ExchangeやExchange Online上でリソースメールボックスを作り、会議室としてユーザーにOutlookやOWAから予約させたり予定を確認してもらうことがあります。Teams Roomsシステムなど、Teamsと連携した会議室システムの導入も増えてリソースメールボックスの作成も増えてるかもしれません。 Microsoft Teams Rooms 主催者の名前じゃなくて会議のSubject(タイトル)を見せたい デフォルトでリソースメールボックスの予定表は、予約された会議のSubject(タイトル)ではなく、予約者の表示名になります。 これは会議室を確認・予約しようとするユーザーが不特定多数いる場合を考えると、センシティブであったりショッキングな会議タイトルを秘匿できるので有用な設定です。 (”人員削減計画会議”とか”A社買収の計画について”とか見せたくないと思うので) しかし場合によっては予約者ではなく会議のタイトルが見える方がありがたい場合もあります。 そうした場合は会議室であるリソースメールボックスの以下の設定をを変更します。リソースメールボックスとして他にも設定しそうなパラメーターと共に紹介します。 Cmdlet Set-CalendarProcessing <リソースメールボックスの名前> Parameter -BookingWindowInDays 何日後の予定まで予約可能か -MaximumDurationInMinutes 1会議の最長時間を分で -AutomateProcessing 予約を自動で承諾、処理するか 選択肢はNone, AutoUpdate, AutoAccept オンプレミスかExchange Onlineか、GUIかPowerShellでデフォルト値が異なるようです。 -DeleteSubject 予約のSubject(タイトル)を削除するか この値がデフォルトTrueなので作ったまんまだと会議のタイトルはリソースメールボックス上の予定には表示されません。 -AddOrganizerToSubject 予約者の表示名を予約のSubject(タイトル)に追加するか この値がデフォルトTrueなので予約のタイトルには予約...
Read more »

Edge (Chromium版) で個人アカウントでのサインインを禁止する

Edgeに個人アカウントでのサインインをブロックする Block personal accounts from syncing in Microsoft Edge with Microsoft Intune | Peter Klapwijk – In The cloud 24-7 Today another blog post related to the new Microsoft Edge Chromium based browser and managing the browser with Microsoft Intune (Microsoft Endpoint Manager). This time about blocking personal accounts from syncing in Microsoft Edge. In the new Edge browser we have to option to sign-in to the browser and sync data like Favorites, Passwords and more. Chromium版Edge Chromium版のEdgeが数ヶ月前に正式リリースされました。Chromium版になってから動作が速くなったり、シンプルなUIでわりといいんじゃないでしょうか。特に自社Office 365内をインターネットと同じ感覚で検索できるMicrosoft Searchは便利ですね。 こうなってくると社内標準ブラウザーを定めている企業で標準のEdgeへの変更も大分視野に入ってくるのではないでしょうか、特に標準がまだIEだったりすると先がなさそうですからね。 個人的には依然EdgeよりChromeが好きなんですが、Office 365などと使うのにMicrosoft製のブラウザーの方が将来的に安心な気もするので業務利用ならEdgeでもいいかなと思います。 Edgeはサインインできます このEdgeですが、AADアカウントや個人のマイクロソフトアカウントでサインインができます。 ChromeやFirefoxをお使いなら想像がつくかと思いますが、お気に入り、アクセス履歴、パスワードなどをアカウントごとに同期できるので、同一アカウントでサインインすれば会社のEdgeでお気に入りに...
Read more »