共有メールボックスに対してフルアクセス許可と メールボックス所有者として送信(SendAs) 権限が付与されたユーザーを削除した場合、削除済みのユーザーに移動しますが、対象の共有メールボックスのフルアクセス許可と SendAs 権限には、削除したユーザーが残ります。
フルアクセス許可と SendAs 権限が付与された削除済みのユーザーを確認する場合、フルアクセス許可は、Get-MailboxPermission で IncludeSoftDeletedUserPermission のパラメーターを付与して実行することで可能であり、SendAs 権限は、Get-RecipientPermission を実行することで可能です。
なお、Get-MailboxPermission で IncludeSoftDeletedUserPermission のパラメーターを付与して実行した場合、削除済みのユーザーであるか、アクティブなメールボックスであるかについて、出力された値から確認することができないため、IncludeSoftDeletedUserPermission のパラメーターを付与しないで出力した情報と比較することで、削除済みのユーザーを特定することが可能です。
また、Get-RecipientPermission を実行した場合、削除済みのユーザーについては、Trustee の値が "JPNPR01A***\<SamAccountName>" の形式で表示されることを確認いたしました。
例 : 削除したユーザーの SamAccountName が $P47IJ1-90OH1234567 の場合、Trustee の値が JPNPR01A***\$P47IJ1-90OH1234567 と表示されます。
そのため、Trustee の値から削除済みのユーザーであるか判断することができます。
なお、削除済みのユーザーがどのユーザーであるか確認する場合は、以下の Powershell のコマンドレットで SamAccountName の値から確認することが可能です。
以下の記事を参考にExchange Online に接続してから実行してください。
<構文>
Get-Mailbox -ResultSize Unlimited -SoftDeletedMailbox | Where {$_.SamAccountName -like "*Trustee の値から確認した SamAccountName*"} | Select DisplayName,PrimarySmtpAddress
<実行例>
Get-Mailbox -ResultSize Unlimited -SoftDeletedMailbox | Where {$_.SamAccountName -like "*$P47IJ1-90OH1234567*"} | Select DisplayName,PrimarySmtpAddress
例 : Trustee の値が JPNPR01A***\$P47IJ1-90OH1234567 である場合、$P47IJ1-90OH1234567 を SamAccountName として指定します。
<出力結果>
DisplayName : 表示名
PrimarySmtpAddress : メールアドレス
なお、フルアクセス許可と SendAs 権限が付与された削除済みのユーザーのメールアドレスや表示名を指定し、Remove-RecipientPermission、および、Remove-MailboxPermission のコマンドレットで権限の削除を実施したところ、指定したメールボックスが存在しない旨のエラーにより権限の削除ができないことを確認しました。
そのため、フルアクセス許可の削除は、Get-MailboxPermission で出力される削除済みのユーザーの UserSid の値を指定し、Remove-MailboxPermission のコマンドレットを実行することで削除済みのユーザーから権限の削除が可能であることを確認しました。
また、SendAs 権限の削除は、Get-RecipientPermission で出力される削除済みのユーザーの TrusteeSidString の値を指定し、Remove-RecipientPermission のコマンドレットを実行することで削除済みのユーザーから権限の削除が可能であることを確認しました。
削除済みのユーザーのフルアクセス許可を削除する手順
1. Get-MailboxPermission で削除済みのユーザーの UserSid を確認します。
<構文>
Get-MailboxPermission -Identity <共有メールボックスのアドレス> -IncludeSoftDeletedUserPermission | Select User,UserSid,Accessrights | Export-CSV -Encoding UTF8 -Path <ファイルパス\ファイル名>.csv -NoTypeInformation
<実行例>
Get-MailboxPermission -Identity test@contoso.com -IncludeSoftDeletedUserPermission | Select User,UserSid,Accessrights | Export-CSV -Encoding UTF8 -Path C:\temp\MailboxPermission.csv -NoTypeInformation
※C ドライブの配下の temp フォルダーに MailboxPermission.csv という名前のファイルで情報保存する場合
<出力結果>
User : 権限が付与されているユーザー
UserSid : UserSid の値
Accessrights : 付与されている権限
2. Remove-MailboxPermission で UserSid を指定し削除します。
[構文]
Remove-MailboxPermission -Identity <共有メールボックスのアドレス> -User "<確認した UserSid>" -AccessRights <アクセス権>
[実行例]
Remove-MailboxPermission -Identity test@contoso.com -User "S-1-5-21-2382004456-4194423047-27******-5*******" -AccessRights FullAccess
削除済みのユーザーのSendAs権限を削除する手順
1. Get-RecipientPermission で削除済みのユーザーの TrusteeSidString を確認します。
<構文>
Get-RecipientPermission -Identity <共有メールボックスのアドレス> | Select Trustee,TrusteeSidString,AccessRights | Export-CSV -Encoding UTF8 -Path <ファイルパス\ファイル名>.csv -NoTypeInformation
<実行例>
Get-RecipientPermission -Identity test@contoso.com | Select Trustee,TrusteeSidString,AccessRights | Export-CSV -Encoding UTF8 -Path C:\temp\RecipientPermission.csv -NoTypeInformation
※C ドライブの配下の temp フォルダーに RecipientPermission.csv という名前のファイルで情報保存する場合
<出力結果>
Trustee : 権限が付与されているユーザー
TrusteeSidString : UserSid の値
Accessrights : 付与されている権限
2. Remove-RecipientPermission で TrusteeSidString を指定し削除します。
<構文>
Remove-RecipientPermission -Identity <共有メールボックスのアドレス> -Trustee <確認した TrusteeSidString> -AccessRights SendAs
<実行例>
Remove-RecipientPermission -Identity test@contoso.com -Trustee "S-1-5-21-2382004456-4194423047-27******-5*******" -AccessRights SendAs