Get-MailboxPermission
このコマンドレットは、オンプレミスの Exchange およびクラウド ベースのサービスで使用できます。 一部のパラメーターおよび設定は、いずれかの環境専用となっている場合があります。
Get-MailboxPermission コマンドレットを使用して、メールボックスのアクセス許可を取得します。
注: PowerShell Exchange Onlineでは、このコマンドレットの代わりに Get-EXOMailboxPermission コマンドレットを使用することをお勧めします。 詳細については、「Exchange Online PowerShell への接続」を参照してください。
以下の構文セクションのパラメーター セットの詳細については、「Exchangeのコマンドレット構文」を参照してください。
構文
Get-MailboxPermission
[-Identity] <MailboxIdParameter>
[-Owner]
[-Credential <PSCredential>]
[-DomainController <Fqdn>]
[-GroupMailbox]
[-IncludeUserWithDisplayName]
[-ReadFromDomainController]
[-ResultSize <Unlimited>]
[-UseCustomRouting]
[<CommonParameters>] Get-MailboxPermission
[-Identity] <MailboxIdParameter>
[-User <SecurityPrincipalIdParameter>]
[-SoftDeletedMailbox]
[-Credential <PSCredential>]
[-DomainController <Fqdn>]
[-GroupMailbox]
[-IncludeSoftDeletedUserPermissions]
[-IncludeUnresolvedPermissions]
[-IncludeUserWithDisplayName]
[-ReadFromDomainController]
[-ResultSize <Unlimited>]
[-UseCustomRouting]
[<CommonParameters>] 説明
このコマンドレットの出力は、次の情報を示しています。
- Identity:対象のメールボックス。
- ユーザー: メールボックスへのアクセス許可を持つセキュリティ プリンシパル (ユーザー、セキュリティ グループ、Exchange 管理役割グループなど)。
- AccessRights:セキュリティ プリンシパルが対象メールボックスに対して持つアクセス許可。 使用できる値は、ChangeOwner (メールボックスの所有者の変更)、ChangePermission (メールボックスのアクセス許可の変更)、DeleteItem (メールボックスの削除)、ExternalAccount (アカウントが同じドメインにないことを示します)、FullAccess (メールボックスを開き、その内容にアクセスするが、メールを送信できない) および ReadPermission (メールボックスのアクセス許可を読み取る) です。 アクセス許可が許可されたか、拒否されたかは、Deny 列に示されます。
- IsInherited:アクセス許可が継承されている (True) か、それともメールボックスに直接割り当てられている (False) か。 アクセス許可は、メールボックス データベースまたは Active Directory から継承されます。 通常、直接割り当てられたアクセス許可は、継承されたアクセス許可を上書きします。
- Deny:アクセス許可が許可された (False) か、それとも拒否された (True) か。 通常、アクセス許可の拒否は、アクセス許可の許可を上書きします。
既定では、次のアクセス許可がユーザーのメールボックスに割り当てられています。
- FullAccess と ReadPermission は、NT AUTHORITY\SELF に直接割り当てられます。 このエントリは、ユーザー自身のメールボックスへのアクセス許可を提供します。
- FullAccess は、管理者、ドメイン管理者、エンタープライズ管理者、組織管理に対して拒否されます。 これらの継承されたアクセス許可は、これらのユーザーとグループ メンバーが他のユーザーのメールボックスを開いてしまうことを防ぎます。
- ChangeOwner、ChangePermission、DeleteItem、および ReadPermission は、管理者、ドメイン管理者、エンタープライズ管理者、および組織管理に対して許可されます。 これらの継承されたアクセス許可エントリも FullAccess を許可するように見えることに注意してください。 ただし、継承された拒否アクセス許可エントリが継承された許可アクセス許可エントリをオーバーライドするため、これらのユーザーとグループにはメールボックスへの FullAccess がありません。
- FullAccess は NT AUTHORITY\SYSTEM によって継承され、ReadPermission は NT AUTHORITY\NETWORK によって継承されます。
- FullAccess と ReadPermission は Exchange サーバーによって継承され、ChangeOwner、ChangePermission、DeleteItem、および ReadPermission は Exchange 信頼されたサブシステムに継承され、ReadPermission はマネージド可用性サーバーによって継承されます。
既定では、他のセキュリティ グループと役割グループは、場所 (オンプレミスの Exchange または Microsoft 365) に基づいてメールボックスへのアクセス許可を継承します。
このコマンドレットを実行する際には、あらかじめアクセス許可を割り当てる必要があります。 このトピックにはこのコマンドレットのすべてのパラメーターが一覧表示されていますが、自分に割り当てられているアクセス許可に含まれていない一部のパラメーターにはアクセスできません。 コマンドレットを組織内で実行するために必要になるアクセス許可とパラメーターを調べるには、「 Find the permissions required to run any Exchange cmdlet」を参照してください。
例
例 1
Get-MailboxPermission -Identity john@contoso.com | Format-List次の使用例は、SMTP アドレス john@contoso.comによってメールボックスに対するアクセス許可を返します。
例 2
Get-MailboxPermission -Identity john@contoso.com -User "Ayla"この例は、ユーザー Ayla が持っている John のメールボックスのアクセス許可を返します。
例 3
Get-MailboxPermission -Identity Room222 -Ownerこの例は、リソース メールボックス Room222 の所有者情報を返します。
パラメーター
-Credential
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Credential パラメーターは、このコマンドの実行に使用されるユーザー名とパスワードを指定します。 通常、このパラメーターはスクリプトや、必要なアクセス許可を持つ別の資格情報を入力する必要がある場合に使用します。
このパラメーターの値には、Get-Credential コマンドレットが必要です。 このコマンドを一時停止し、資格情報の入力を求めるメッセージを表示するには、値(Get-Credential)を使用します。 または、このコマンドを実行する前に、資格情報を変数 (たとえば、$cred = Get-Credential) に保存し、このパラメーターに変数名 ($cred) を使用します。 詳細については、Get-Credentialに関するページをご覧ください。
| 型: | PSCredential |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-DomainController
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019
このパラメーターは、オンプレミスの Exchange でのみ使用できます。
DomainController パラメーターは、このコマンドレットで Active Directory からのデータの読み取りまたは Active Directory へのデータの書き込みに使用されるドメイン コントローラーを指定します。 ドメイン コントローラーは、完全修飾ドメイン名 (FQDN) で識別します。 たとえば、dc01.contoso.com です。
| 型: | Fqdn |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-GroupMailbox
適用対象: Exchange Online
このパラメーターは、クラウドベースのサービスでのみ使用できます。
結果にMicrosoft 365 グループを返すには、GroupMailbox スイッチが必要です。 このスイッチで値を指定する必要はありません。
| 型: | SwitchParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-Identity
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
Identity パラメーターは、表示するメールボックスを指定します。 メールボックスを一意に識別する任意の値を使用できます。 次に例を示します。
- 名前
- Alias
- 識別名 (DN)
- 正規 DN
- ドメイン\ユーザー名
- 電子メール アドレス
- GUID
- LegacyExchangeDN
- SamAccountName
- ユーザー ID またはユーザー プリンシパル名 (UPN)
| 型: | MailboxIdParameter |
| 配置: | 1 |
| 規定値: | None |
| 必須: | True |
| パイプライン入力を受け取る: | True |
| ワイルドカード文字を受け取る: | False |
-IncludeSoftDeletedUserPermissions
適用対象: Exchange Online
このパラメーターは、クラウドベースのサービスでのみ使用できます。
IncludeSoftDeletedUserPermissions スイッチは、結果で論理的に削除されたメールボックス ユーザーからアクセス許可を返します。 このスイッチで値を指定する必要はありません。
論理的に削除されたメールボックスは、削除されたが回復可能なメールボックスです。
| 型: | SwitchParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-IncludeUnresolvedPermissions
適用対象: Exchange Online
このパラメーターは、クラウドベースのサービスでのみ使用できます。
IncludeUnresolvedPermissions スイッチは、結果に未解決のアクセス許可を返します。 このスイッチで値を指定する必要はありません。
| 型: | SwitchParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-IncludeUserWithDisplayName
適用対象: Exchange Online
このパラメーターは、クラウドベースのサービスでのみ使用できます。
{{ Fill IncludeUserWithDisplayName Description }}
| 型: | SwitchParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-Owner
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
所有者スイッチは、Identity パラメーターで指定されたメールボックスの所有者情報を返します。 このスイッチで値を指定する必要はありません。
このスイッチを User パラメーターと共に使用することはできません。
| 型: | SwitchParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-ReadFromDomainController
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
ReadFromDomainController スイッチは、情報がユーザーのドメインのドメイン コントローラーから読み取られることを指定します。 このスイッチで値を指定する必要はありません。
コマンド: Set-AdServerSettings -ViewEntireForest $true フォレスト内のすべてのオブジェクトを含めるには、ReadFromDomainController スイッチが必要です。 それ以外の場合、コマンドは、古い情報を含むグローバル カタログを使用する可能性があります。 また、情報を取得するには、ReadFromDomainController スイッチを使用してコマンドの繰り返しを複数回実行する必要がある場合があります。
既定では、受信者の範囲は、Exchange サーバーをホストするドメインに設定されています。
| 型: | SwitchParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-ResultSize
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
ResultSize パラメーターは、返される結果の最大数を指定します。 クエリに一致するすべてのリクエストを返す場合は、このパラメーターの値に unlimited を使用します。 既定値は 1,000 です。
| 型: | Unlimited |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-SoftDeletedMailbox
適用対象: Exchange Online
このパラメーターは、クラウドベースのサービスでのみ使用できます。
結果で論理的に削除されたメールボックスを返すには、SoftDeletedMailbox スイッチが必要です。 このスイッチで値を指定する必要はありません。
回復可能な削除が行われたメールボックスとは、まだ回復できる削除済みメールボックスのことです。
| 型: | SwitchParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-UseCustomRouting
適用対象: Exchange Online
このパラメーターは、クラウドベースのサービスでのみ使用できます。
{{ Fill UseCustomRouting Description }}
| 型: | SwitchParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
-User
適用対象: Exchange Server 2010、Exchange Server 2013、Exchange Server 2016、Exchange Server 2019、Exchange Online
User パラメーターは、Identity パラメーターで指定されたメールボックスに対するアクセス許可を持つユーザーによって結果をフィルター処理します。 このパラメーターには、次の種類のユーザーまたはグループ (セキュリティ プリンシパル) を指定できます。
- メールボックス ユーザー
- メール ユーザー
- セキュリティ グループ
最適な結果を得るには、次の値を使用することをお勧めします:
- UPN: たとえば、
user@contoso.com(ユーザーのみ)。 - Domain\SamAccountName: たとえば、
contoso\user。
それ以外の場合は、ユーザーまたはグループを一意に識別する任意の値を使用できます。 例:
- 名前
- Alias
- 識別名 (DN)
- 正規 DN
- ドメイン\ユーザー名
- 電子メール アドレス
- GUID
- LegacyExchangeDN
- SamAccountName
- ユーザー ID またはユーザー プリンシパル名 (UPN)
所有者スイッチでは、このパラメーターを使用できません。
| 型: | SecurityPrincipalIdParameter |
| 配置: | Named |
| 規定値: | None |
| 必須: | False |
| パイプライン入力を受け取る: | False |
| ワイルドカード文字を受け取る: | False |
入力
Input types
このコマンドレットに使用できる入力の種類を確認するには、「コマンドレットの入力および出力の種類」をご覧ください。 コマンドレットで入力の種類のフィールドが空白の場合、そのコマンドレットには入力データを指定できません。
出力
Output types
このコマンドレットに使用できる戻り値の型 (出力の種類) を確認するには、「コマンドレットの入力および出力の種類」をご覧ください。 出力の種類のフィールドが空白の場合、コマンドレットはデータを返しません。