社畜の所業

社畜の所業

Office365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

【Microsoft365参考書】フルアクセス許可と所有者送信権限を変更したログを確認するには?

Microsoft365

f:id:it-bibouroku:20210404095716p:plain

共有メールボックスのメンバーとして登録した場合、[フルアクセス許可] および、[メールボックス所有者として送信する] 権限が自動的に付与され、メールの閲覧や送信が可能となります。

 

また、[フルアクセス許可] のみや[メールボックス所有者として送信する]のみ権限を付与することも可能です。

 

ユーザーメールボックスに対して付与することも可能です

 

 

 

今回は、 [フルアクセス許可] および、[メールボックス所有者として送信する] 権限について、管理者監査ログにて、追加や削除をおこなったログを確認することが可能ですので、 操作をおこなったユーザーと設定がおこなわれたユーザーについて確認する方法としてご紹介したいと思います。

  

管理者監査ログでは、ログの保持期間が 90 日であるため、90 日以上前のログについては、確認することができないことをご留意くださいま。 

  

また、管理者監査ログは、コマンドレットとして操作したログが記録されるため、以下のコマンドレットのログから [フルアクセス許可] および、[メールボックス所有者として送信する] 権限について確認が可能です。 

  

[フルアクセス許可] 

Add-MailboxPermission : 追加 

Remove-MailboxPermission : 削除 

  

[メールボックス所有者として送信する] 

Add-RecipientPermission : 追加 

Remove-RecipientPermission : 削除 

 

 

  

Exchange Online に接続してから実行してください。 

 

it-bibouroku.hateblo.jp

  

[構文] 

Search-AdminAuditLog -StartDate <開始日> -EndDate <終了日> -Cmdlets <監査対象のコマンドレット> -ResultSize 250000 | Select -ExpandProperty CmdletParameters * | Export-csv -NoTypeInformation -Encoding UTF8  -Path <ファイル名>.csv 

  

[実行例] 

Search-AdminAuditLog -StartDate 2022/1/1 -EndDate 2022/2/6 -Cmdlets Add-MailboxPermission,Add-RecipientPermission,Remove-MailboxPermission,Remove-RecipientPermission -ResultSize 250000 | Select -ExpandProperty CmdletParameters * | Export-csv -NoTypeInformation -Encoding UTF8  -Path "C:\Temp\AdminAuditLog.csv

   

 

管理者監査ログの取得結果について 

ObjectModified : 設定対象オブジェクト (どのユーザーに対して行ったコマンドレットか) 

CmdletName : 実行されたコマンドレット 

CmdletParameters : [CmdletName] に記載されたコマンドに付与されたすべてのパラメーター 

Caller : 実行したユーザー 

         ※ データセンター側で実行されたログは Caller 項目に "********" と表示されます。 

            なお、データセンター側で実行されたログにつきましては、公開情報に記載されている以上の情報はご案内ができかねますので予めご承知おきいただけますと幸いです。 

RunDate : 実行された日付 

Succeeded : 成功かどうか 

Name : 何を設定するか 

Value : 設定の内容 

 

なお、"Add-MailboxPermission" にて権限付与した際 PowerShell 上に返される "User" については、Get-SecurityPrincipal より確認が行える [UserFriendlyName] 値を用い出力されてくる動作です。 

  

そのため、[Name] が "User" の [Value] には権限が付与されたアカウントの情報が出力されますが、表示名やメールアドレスではなく [UserFriendlyName] を用いて出力されます。 

  

UserFriendlyName 値から、どのアカウントを指しているか確認する場合、[Get-SecurityPrincipal] コマンドレットにて確認が可能です。 

 

UserFriendlyName 値から、どのアカウントを指しているか確認する 

[構文] 

Get-SecurityPrincipal -Filter {SamAccountName -eq "\ 以降の値 (※ \ は含めない)"} |Fl DisplayName,UserFriendlyName 

  

[実行例] 

※ User が "JPNPR01A004\$1FMLC0-000000000" の場合 

  

Get-SecurityPrincipal -Filter {SamAccountName -eq "$1FMLC0-000000000"} |Fl DisplayName,UserFriendlyName 

  

<実行結果について> 

DisplayName      : 表示名 

UserFriendlyName : JPNPR01A004\$1FMLC0-000000000 

※ 表示名にて対象のユーザーをご確認ください。