社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。

【Microsoft365参考書】共有メールボックスのアクセス権にSIDが表示される?削除したユーザーは自動で削除されない?

f:id:it-bibouroku:20210404095716p:plain

共有メールボックスのフルアクセス許可やメールボックス所有者として送信する権限を付与しているユーザーを削除した場合、自動的に削除されない動作であるため、残り続けるのが想定された動作です。 

  

そのため、削除したユーザーなど権限の付与が不要となったアカウントにつきましては、手動で削除する必要があります。

 

削除を行ったユーザーは、メール アドレス形式ではなく、JPNPR01A001\user99999-1799999999 や S-1-5-21-999999999-9999999999-9999999999-9999999 のような表示となることを確認しております。 

S-1-5-21-999999999-9999999999-9999999999-9999999 のような表示につきましては、削除されたメールボックスの [SID] や [SID History] の値であることを確認しております。 

また、JPNPR01A001\user99999-1799999999 のような値については、Get-SecurityPrincipal にて UserFriendlyName を参照することで確認可能です。 

 

ただし、アクティブなメールアドレスの情報しか取得ができないため、削除済みのメールボックスの情報については、取得することができないことをご留意ください。

 

なお、以下に権限の削除手順および、共有メールボックスに付与されているフルアクセス許可情報を取得する手順をご案内いたします。 

  

事前に以下の URL を参照し Windows PowerShell を Exchange Online に接続します。 

  

 

 

it-bibouroku.hateblo.jp

 

  

 

1. フルアクセス許可の場合 

 

現在のメールボックスに設定されている権限を確認します。

[構文] 

Get-MailboxPermission -Identity <対象の共有メールアドレス> | FL User,AccessRights 

  

[実行例] 

Get-MailboxPermission -Identity user01@contoso.com | FL User,AccessRights 

  

<出力結果例> 

User         : admin@contoso.com 

AccessRights : {FullAccess} 

  

User         : JPNPR01A001\user99999-1799999999 

AccessRights : {FullAccess} 

  

削除されたユーザーの権限を削除します。

[構文] 

Remove-MailboxPermission -Identity <対象の共有メールアドレス> -User "<項番 1 で確認した User の値>" -AccessRights FullAccess 

  

[実行例] 

Remove-MailboxPermission -Identity User01@contoso.com -User "JPNPR01A001\user99999-1799999999" -AccessRights FullAccess 

※ 権限削除の確認が求められます。ユーザーを確認し問題がなければ [Y] を入力、またはそのまま Enter キーを押下します。 

  

対象ユーザーが削除されたかメールボックスに設定されている権限を再度確認します。

[構文] 

Get-MailboxPermission -Identity <対象の共有メールアドレス> | FL User,AccessRights 

  

[実行例] 

Get-MailboxPermission -Identity user01@contoso.com | FL User,AccessRights 

 

  

全ての共有メールボックスのフル アクセス権限の確認コマンド

[構文] 

Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails SharedMailbox | Get-MailboxPermission | Where {($_.User -Notlike "*S-1-5-21*") -And ($_.User -Notlike "*\*")} | Select Identity,User,AccessRights | Export-CSV -NoTypeInformation -Encoding UTF8 -Path "<保存先のパス\ファイル名>" 

  

[実行例] 

Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails SharedMailbox | Get-MailboxPermission | Where {($_.User -Notlike "*S-1-5-21*") -And ($_.User -Notlike "*\*")} | Select Identity,User,AccessRights | Export-CSV -NoTypeInformation -Encoding UTF8 -Path "C:\temp\SharedFullAccesslist.csv

  

※ 実行例は C ドライブの Temp フォルダーに情報が出力されます。適宜ファイル名の変更をお願い申し上げます。 

  

[実行結果] 

Identity : 共有メールボックス 

User : 権限が付与されているオブジェクト 

AccessRights : 権限 (フルアクセス権限の場合は [FullAccess] となります) 

  

 

  

 

2. 所有者送信権限の場合 

 

現在のメールボックスに設定されている権限を確認します。

[構文] 

Get-RecipientPermission -Identity <対象の共有メールアドレス> | FL Trustee,AccessRights 

  

[実行例] 

Get-RecipientPermission -Identity user01@contoso.com | FL Trustee,AccessRights 

  

<出力結果例> 

Trustee      : admin@contoso.com 

AccessRights : {SendAs} 

  

Trustee      : JPNPR01A001\user99999-1799999999 

AccessRights : {SendAs} 

  

 

  

削除されたユーザーの権限を削除します。

[構文] 

Remove-RecipientPermission -Identity <対象の共有メールアドレス> -Trustee "<確認した User の値>" -AccessRights SendAs 

  

[実行例] 

Remove-RecipientPermission -Identity User01@contoso.com -Trustee "JPNPR01A001\user99999-1799999999" -AccessRights SendAs 

※ 権限削除の確認が求められます。ユーザーを確認し問題がなければ [Y] を入力、またはそのまま Enter キーを押下します。 

  

対象ユーザーが削除されたかメールボックスに設定されている権限を再度確認します。

[構文] 

Get-RecipientPermission -Identity <対象の共有メールアドレス> | FL Trustee,AccessRights 

  

[実行例] 

Get-RecipientPermission -Identity user01@contoso.com | FL Trustee,AccessRights 

  

  

全ての共有メールボックスの所有者送信権限の確認コマンド 

[構文] 

Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails SharedMailbox | Get-RecipientPermission | Where {$_.Trustee -Notlike "*S-1-5-21*"} | Where {$_.Trustee -ne "NT AUTHORITY\SELF"} | Select Identity,Trustee,AccessRights | Export-Csv -Encoding Utf8 -NoTypeInformation -Path "<保存先のパス\ファイル名>" 

  

[実行例] 

Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails SharedMailbox | Get-RecipientPermission | Where {$_.Trustee -Notlike "*S-1-5-21*"} | Where {$_.Trustee -ne "NT AUTHORITY\SELF"} | Select Identity,Trustee,AccessRights | Export-Csv -Encoding Utf8 -NoTypeInformation -Path "C:\temp\SharedSendAslist.csv

※ 実行例は C ドライブの Temp フォルダーに情報が出力されます。適宜ファイル名の変更をお願い申し上げます。 

  

[実行結果] 

Identity : 共有メールボックス 

Trustee : 権限が付与されているオブジェクト 

AccessRights : 権限 (メールボックス所有者としての送信の場合は [SendAs] となります)