社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。

【Microsoft365参考書】共有メールボックスの権限を付与したままユーザーを削除すると残り続ける?

共有メールボックスに対してフルアクセス許可と メールボックス所有者として送信(SendAs) 権限が付与されたユーザーを削除した場合、削除済みのユーザーに移動しますが、対象の共有メールボックスのフルアクセス許可と SendAs 権限には、削除したユーザーが残ります。

 

フルアクセス許可と SendAs 権限が付与された削除済みのユーザーを確認する場合、フルアクセス許可は、Get-MailboxPermission で IncludeSoftDeletedUserPermission のパラメーターを付与して実行することで可能であり、SendAs 権限は、Get-RecipientPermission を実行することで可能です。 

 

 

  

なお、Get-MailboxPermission で IncludeSoftDeletedUserPermission のパラメーターを付与して実行した場合、削除済みのユーザーであるか、アクティブなメールボックスであるかについて、出力された値から確認することができないため、IncludeSoftDeletedUserPermission のパラメーターを付与しないで出力した情報と比較することで、削除済みのユーザーを特定することが可能です。 

  

また、Get-RecipientPermission を実行した場合、削除済みのユーザーについては、Trustee の値が "JPNPR01A***\<SamAccountName>" の形式で表示されることを確認いたしました。 

 

 

そのため、Trustee の値から削除済みのユーザーであるか判断することができます。 

なお、削除済みのユーザーがどのユーザーであるか確認する場合は、以下の Powershell のコマンドレットで SamAccountName の値から確認することが可能です。 

 

以下の記事を参考にExchange Online に接続してから実行してください。 

 

it-bibouroku.hateblo.jp

 

 

 

  

<構文> 

Get-Mailbox -ResultSize Unlimited -SoftDeletedMailbox | Where {$_.SamAccountName -like "*Trustee の値から確認した SamAccountName*"} | Select DisplayName,PrimarySmtpAddress 

  

<実行例> 

Get-Mailbox -ResultSize Unlimited -SoftDeletedMailbox | Where {$_.SamAccountName -like "*$P47IJ1-90OH1234567*"} | Select DisplayName,PrimarySmtpAddress 

 

  

<出力結果> 

DisplayName : 表示名 

PrimarySmtpAddress : メールアドレス 

  

 

なお、フルアクセス許可と SendAs 権限が付与された削除済みのユーザーのメールアドレスや表示名を指定し、Remove-RecipientPermission、および、Remove-MailboxPermission のコマンドレットで権限の削除を実施したところ、指定したメールボックスが存在しない旨のエラーにより権限の削除ができないことを確認しました。 

  

そのため、フルアクセス許可の削除は、Get-MailboxPermission で出力される削除済みのユーザーの UserSid の値を指定し、Remove-MailboxPermission のコマンドレットを実行することで削除済みのユーザーから権限の削除が可能であることを確認しました。

 

また、SendAs 権限の削除は、Get-RecipientPermission で出力される削除済みのユーザーの TrusteeSidString の値を指定し、Remove-RecipientPermission のコマンドレットを実行することで削除済みのユーザーから権限の削除が可能であることを確認しました。 

 

 

 

削除済みのユーザーのフルアクセス許可を削除する手順 

  

1. Get-MailboxPermission で削除済みのユーザーの UserSid を確認します。 

<構文> 

Get-MailboxPermission -Identity <共有メールボックスのアドレス> -IncludeSoftDeletedUserPermission | Select User,UserSid,Accessrights | Export-CSV -Encoding UTF8 -Path <ファイルパス\ファイル名>.csv -NoTypeInformation 

  

<実行例> 

Get-MailboxPermission -Identity test@contoso.com -IncludeSoftDeletedUserPermission | Select User,UserSid,Accessrights | Export-CSV -Encoding UTF8 -Path C:\temp\MailboxPermission.csv -NoTypeInformation 

※C ドライブの配下の temp フォルダーに MailboxPermission.csv という名前のファイルで情報保存する場合 

  

<出力結果> 

User : 権限が付与されているユーザー 

UserSid : UserSid の値 

Accessrights : 付与されている権限 

  

2. Remove-MailboxPermission で UserSid を指定し削除します。 

[構文] 

Remove-MailboxPermission -Identity <共有メールボックスのアドレス> -User "<確認した UserSid>" -AccessRights <アクセス権> 

  

[実行例] 

Remove-MailboxPermission -Identity test@contoso.com -User "S-1-5-21-2382004456-4194423047-27******-5*******" -AccessRights FullAccess 

  

 

  

削除済みのユーザーのSendAs権限を削除する手順 

  

1. Get-RecipientPermission で削除済みのユーザーの TrusteeSidString を確認します。 

<構文> 

Get-RecipientPermission -Identity <共有メールボックスのアドレス> | Select Trustee,TrusteeSidString,AccessRights | Export-CSV -Encoding UTF8 -Path <ファイルパス\ファイル名>.csv -NoTypeInformation 

  

<実行例> 

Get-RecipientPermission -Identity test@contoso.com | Select Trustee,TrusteeSidString,AccessRights | Export-CSV -Encoding UTF8 -Path C:\temp\RecipientPermission.csv -NoTypeInformation 

※C ドライブの配下の temp フォルダーに RecipientPermission.csv という名前のファイルで情報保存する場合 

  

<出力結果> 

Trustee : 権限が付与されているユーザー 

TrusteeSidString : UserSid の値 

Accessrights : 付与されている権限 

  

2. Remove-RecipientPermission で TrusteeSidString を指定し削除します。 

<構文> 

Remove-RecipientPermission -Identity <共有メールボックスのアドレス> -Trustee <確認した TrusteeSidString> -AccessRights SendAs 

  

<実行例> 

Remove-RecipientPermission -Identity test@contoso.com -Trustee "S-1-5-21-2382004456-4194423047-27******-5*******" -AccessRights SendAs