メールボックスを触るAADアプリのスコープを定義する

全メールボックスに対して権限を持たせたくない

Exchange Onlineのメールボックスに対して権限を持つ、AAD Applicationを委任ではなくApplication権限で作成すると、そのままでは組織内の全メールボックスに対して権限を持つことになります。

意図してそういていれば問題はないですが、実際は一部のメールボックスだけ触れればいいケースもあり、そういった場合は当然権限の範囲をスコーピングして、定義したメールボックスだけ触れるようにしたいです。

そのための方法がApplication Access Policyの設定、Exchange Online PowerShellモジュールが要ります。

Application Access Policy cmdlet

新規作成:

New-ApplicationAccessPolicy -AppId e7e4dbfc-046f-4074-9b3b-2ae8f144f59b -PolicyScopeGroupId EvenUsers@contoso.com -AccessRight RestrictAccess -Description "Restrict this app to members of distribution group EvenUsers."

スコープを設定するためのDLが必要になります。

テスト:

Test-ApplicationAccessPolicy -Identity user1@contoso.com -AppId e7e4dbfc-046-4074-9b3b-2ae8f144f59b


Limiting application permissions to specific Exchange Online mailboxes - Microsoft Graph | Microsoft Learn

コメント

コメントを投稿

Popular Posts

Outlookの検索フォルダー(Search Folders)配下に未読で件名が空のメールが 沢山ある

見に覚えのない未読メールが数千も? 数千の未読メールが検索フォルダー配下の未読のメールに表示されることがあるそうです。 発生するのはOutlook2013以降。 Outlook の検索フォルダーに、件名が空白の予期しないメール アイテムが表示されます。 – Outlook Outlook 2013、Outlook 2016、Outlook 2019 または Outlook Office 365 ですべてのメール アイテム用の検索フォルダーを作成すると、フォルダーに件名が空白の予期しないアイテムが含まれます。 これらの項目にマウスを移動すると、次の情報が表示されます。 フォルダー内: PersonMetadata PersonMetadata フォルダは、 Outlook Customer Manager (OCM) によって作成および使用されます。 フォルダーは通常、Outlook ユーザー インターフェイスの他の部分から隠されています。 ただし、検索フォルダーには、このフォルダーのメール アイテムが含まれます。 これらの項目には空白の件名がありますが、OCM によってアクティブに使用されているため、削除または変更しないでください。 検索フォルダーの制約により、隠しフォルダー内のメール アイテムが含まれます。 廃止後も、PersonMetaData フォルダーとその中のアイテムは期間限定で使用できます。 このフォルダー内のアイテムを変更または削除すると、アイテムが再作成されたり、新しいアイテムが表示されたりする場合があります。 近い将来にサービスが変更されると、PersonMetaData フォルダーとそのアイテムがサービスから削除されます。 それまでは、次の回避策を使用して、非表示フォルダーのメールアイテムが検索結果に含まれないようにしてください。 [検索フォルダー] を右クリックし、[この検索フォルダーのカスタマイズ] をクリックします。 [参照] をクリックし、[サブフォルダの検索] オプションの選択を解除します。 含めるフォルダを手動で選択します。 要諦 検索フォルダー(Search Folders)下では、通常では見えないPersonMetaDataフォルダーとその中のアイテムが表示されてしまう。これはシステムが利用するものなので消してもまた出てきてしまう...
Read more »

[Exchange] 会議室の予定が主催者の名前になってしまうのが嫌な場合

Teams Roomsシステムとかで使ったり ExchangeやExchange Online上でリソースメールボックスを作り、会議室としてユーザーにOutlookやOWAから予約させたり予定を確認してもらうことがあります。Teams Roomsシステムなど、Teamsと連携した会議室システムの導入も増えてリソースメールボックスの作成も増えてるかもしれません。 Microsoft Teams Rooms 主催者の名前じゃなくて会議のSubject(タイトル)を見せたい デフォルトでリソースメールボックスの予定表は、予約された会議のSubject(タイトル)ではなく、予約者の表示名になります。 これは会議室を確認・予約しようとするユーザーが不特定多数いる場合を考えると、センシティブであったりショッキングな会議タイトルを秘匿できるので有用な設定です。 (”人員削減計画会議”とか”A社買収の計画について”とか見せたくないと思うので) しかし場合によっては予約者ではなく会議のタイトルが見える方がありがたい場合もあります。 そうした場合は会議室であるリソースメールボックスの以下の設定をを変更します。リソースメールボックスとして他にも設定しそうなパラメーターと共に紹介します。 Cmdlet Set-CalendarProcessing <リソースメールボックスの名前> Parameter -BookingWindowInDays 何日後の予定まで予約可能か -MaximumDurationInMinutes 1会議の最長時間を分で -AutomateProcessing 予約を自動で承諾、処理するか 選択肢はNone, AutoUpdate, AutoAccept オンプレミスかExchange Onlineか、GUIかPowerShellでデフォルト値が異なるようです。 -DeleteSubject 予約のSubject(タイトル)を削除するか この値がデフォルトTrueなので作ったまんまだと会議のタイトルはリソースメールボックス上の予定には表示されません。 -AddOrganizerToSubject 予約者の表示名を予約のSubject(タイトル)に追加するか この値がデフォルトTrueなので予約のタイトルには予約...
Read more »

Edge (Chromium版) で個人アカウントでのサインインを禁止する

Edgeに個人アカウントでのサインインをブロックする Block personal accounts from syncing in Microsoft Edge with Microsoft Intune | Peter Klapwijk – In The cloud 24-7 Today another blog post related to the new Microsoft Edge Chromium based browser and managing the browser with Microsoft Intune (Microsoft Endpoint Manager). This time about blocking personal accounts from syncing in Microsoft Edge. In the new Edge browser we have to option to sign-in to the browser and sync data like Favorites, Passwords and more. Chromium版Edge Chromium版のEdgeが数ヶ月前に正式リリースされました。Chromium版になってから動作が速くなったり、シンプルなUIでわりといいんじゃないでしょうか。特に自社Office 365内をインターネットと同じ感覚で検索できるMicrosoft Searchは便利ですね。 こうなってくると社内標準ブラウザーを定めている企業で標準のEdgeへの変更も大分視野に入ってくるのではないでしょうか、特に標準がまだIEだったりすると先がなさそうですからね。 個人的には依然EdgeよりChromeが好きなんですが、Office 365などと使うのにMicrosoft製のブラウザーの方が将来的に安心な気もするので業務利用ならEdgeでもいいかなと思います。 Edgeはサインインできます このEdgeですが、AADアカウントや個人のマイクロソフトアカウントでサインインができます。 ChromeやFirefoxをお使いなら想像がつくかと思いますが、お気に入り、アクセス履歴、パスワードなどをアカウントごとに同期できるので、同一アカウントでサインインすれば会社のEdgeでお気に入りに...
Read more »