Mitteilung3

 RBACでの権限分割時の参考に Find the permissions required to run any Exchange cmdlet | Microsoft Learn

 パスワードポリシーが複数あってぱっと見ではわからないときに Get-ADUserResultantPasswordPolicy -Identity <User> Get-ADUserResultantPasswordPolicy (ActiveDirectory) | Microsoft Learn

オンラインアーカイブの裏側にあるのは複数のメールボックス Exchange Onlineの オンラインアーカイブ（インプレースアーカイブ）は容量が一杯に近づくと自動で拡張がなされます。 一個のオンラインアーカイブがどんどん大きくなるイメージがありますが、実際は複数のメールボックスが増えていくようです。 Get-MailboxLocation -User aaa |sort mailboxlocationtype -Descending|%{ Get-MailboxStatistics  $_.id} |ft mailboxguid,TotalItemSize,*Delete* 自動拡張がされていると複数のメールボックスがあるのが分かります。 Get-MailboxLocation -User aaa   |sort mailboxlocationtype -Descending |ft mailboxlocationtype,mailboxguid -a   自動拡張がされているとPrimary, MainArchiveに加えて、AuxArchiveというMailboxLocationTypeのMailboxが確認できます。

端末認証とかでブロックされているが原因がよく分からない 端末認証がうまく動作しておらずブロックされたりしている ユーザーの端末の状態をAAD側で確認すると状態がPendingになっている Pendingになる条件 以下サイトで説明されているとおり、 AADCで端末を同期されていないOUへ移動した後に元のOUに戻したりすると発生。 AAD側は同期対象外のOUに端末を移動したことで削除されたものと認識する。元のOUに戻しても既に登録済みの端末なので登録が正常に完了できない、という理解で大体OKかな。 対処方法 ” To fix the problem, unregister the device by running  dsregcmd /leave  at an elevated command prompt, and restart the device. ” これでAAD側で端末が削除され、クライアント側の端末登録タスクが次回走ったときに正常登録される。 Intune側に登録されている端末はそのままで問題ないようです。 reference:  Pending devices in Azure Active Directory - Active Directory | Microsoft Learn

 オンラインアーカイブ内のDeletedItemsにフォルダーがある状態で自動拡張するとそのフォルダーが消せない仕様、らしいです。 Can't delete folders in the Deleted Items folder of an archive mailbox in Exchange Online - Office 365 | Microsoft Learn

 直前のIPじゃなくて本当の送信元IPで評価したい そんなときはEnhanced Filteringです、Inbound Connector毎に評価をスキップするIPを定義できます。 EXOじゃなくてDefenderポータルにいます。 In the Microsoft 365 Defender portal, go to  Email & Collaboration  >  Policies & Rules  >  Threat policies  page >  Rules  section >  Enhanced filtering . Enhanced filtering for connectors in Exchange Online | Microsoft Learn

全メールボックスに対して権限を持たせたくない Exchange Onlineのメールボックスに対して権限を持つ、AAD Applicationを委任ではなくApplication権限で作成すると、そのままでは組織内の全メールボックスに対して権限を持つことになります。 意図してそういていれば問題はないですが、実際は一部のメールボックスだけ触れればいいケースもあり、そういった場合は当然権限の範囲をスコーピングして、定義したメールボックスだけ触れるようにしたいです。 そのための方法がApplication Access Policyの設定、Exchange Online PowerShellモジュールが要ります。 Application Access Policy cmdlet 新規作成： New-ApplicationAccessPolicy -AppId e7e4dbfc-046f-4074-9b3b-2ae8f144f59b -PolicyScopeGroupId EvenUsers@contoso.com -AccessRight RestrictAccess -Description "Restrict this app to members of distribution group EvenUsers." スコープを設定するためのDLが必要になります。 テスト： Test-ApplicationAccessPolicy -Identity user1@contoso.com -AppId e7e4dbfc-046-4074-9b3b-2ae8f144f59b Limiting application permissions to specific Exchange Online mailboxes - Microsoft Graph | Microsoft Learn