Get-EXOMailboxPermission
このコマンドレットは、Exchange Online PowerShell モジュールでのみ使用できます。 詳細については、「Exchange Online PowerShell モジュールについて」を参照してください。
Get-EXOMailboxPermission コマンドレットを使用して、メールボックスに対するアクセス許可を取得します。
以下の構文セクションのパラメーター セットの詳細については、「Exchangeのコマンドレット構文」を参照してください。
構文
Default (既定)
Get-EXOMailboxPermission
[-ResultSize <Unlimited>]
[<CommonParameters>]
Identity
Get-EXOMailboxPermission
[-ExternalDirectoryObjectId <Guid>]
[-Identity <String>]
[-Owner]
[-PrimarySmtpAddress <String>]
[-ResultSize <Unlimited>]
[-SoftDeletedMailbox]
[-User <String>]
[-UserPrincipalName <String>]
[<CommonParameters>]
説明
このコマンドレットの出力は、次の情報を示しています。
- Identity:対象のメールボックス。
- ユーザー: メールボックスへのアクセス許可を持つセキュリティ プリンシパル (ユーザー、セキュリティ グループ、Exchange 管理役割グループなど)。
- AccessRights:セキュリティ プリンシパルが対象メールボックスに対して持つアクセス許可。 使用できる値は、ChangeOwner (メールボックスの所有者の変更)、ChangePermission (メールボックスのアクセス許可の変更)、DeleteItem (メールボックスの削除)、ExternalAccount (アカウントが同じドメインにないことを示します)、FullAccess (メールボックスを開き、その内容にアクセスするが、メールを送信できない) および ReadPermission (メールボックスのアクセス許可を読み取る) です。 アクセス許可が許可されたか、拒否されたかは、Deny 列に示されます。
- IsInherited:アクセス許可が継承されている (True) か、それともメールボックスに直接割り当てられている (False) か。 アクセス許可は、メールボックス データベースまたは Active Directory から継承されます。 通常、直接割り当てられたアクセス許可は、継承されたアクセス許可を上書きします。
- Deny:アクセス許可が許可された (False) か、それとも拒否された (True) か。 通常、アクセス許可の拒否は、アクセス許可の許可を上書きします。
既定では、次のアクセス許可がユーザーのメールボックスに割り当てられています。
- FullAccess と ReadPermission は、NT AUTHORITY\SELF に直接割り当てられます。 このエントリは、ユーザー自身のメールボックスへのアクセス許可を提供します。
- FullAccess は、管理者、ドメイン管理者、エンタープライズ管理者、組織管理に対して拒否されます。 これらの継承されたアクセス許可は、これらのユーザーとグループ メンバーが他のユーザーのメールボックスを開いてしまうことを防ぎます。
- ChangeOwner、ChangePermission、DeleteItem、および ReadPermission は、管理者、ドメイン管理者、エンタープライズ管理者、および組織管理に対して許可されます。 これらの継承されたアクセス許可エントリは、FullAccess を許可するようにも表示されます。 ただし、継承された拒否アクセス許可エントリが継承された許可アクセス許可エントリをオーバーライドするため、これらのユーザーとグループにはメールボックスへの FullAccess がありません。
- FullAccess は NT AUTHORITY\SYSTEM によって継承され、ReadPermission は NT AUTHORITY\NETWORK によって継承されます。
- FullAccess と ReadPermission は Exchange サーバーによって継承され、ChangeOwner、ChangePermission、DeleteItem、および ReadPermission は Exchange 信頼されたサブシステムに継承され、ReadPermission はマネージド可用性サーバーによって継承されます。
既定では、他のセキュリティ グループと役割グループは、場所 (オンプレミスの Exchange または Microsoft 365) に基づいてメールボックスへのアクセス許可を継承します。
例
例 1
Get-EXOMailboxPermission -Identity john@contoso.com
次の使用例は、ユーザーがメールボックスに対して持っているアクセス許可を返します
パラメーター
-ExternalDirectoryObjectId
適用対象: Exchange Online
ExternalDirectoryObjectId パラメーターは、Microsoft Entra IDの ObjectId によって表示するメールボックスを識別します。
このパラメーターは、Identity、PrimarySmtpAddress、または UserPrincipalName パラメーターでは使用できません。
パラメーターのプロパティ
| 型: | Guid |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
Identity
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | True |
| 残りの引数からの値: | False |
-Identity
適用対象: Exchange Online
Identity パラメーターは、表示するメールボックスを指定します。 最適なパフォーマンスを得るには、ユーザー ID またはユーザー プリンシパル名 (UPN) を使用してメールボックスを識別することをお勧めします。
それ以外の場合は、メールボックスを一意に識別する任意の値を使用できます。 例:
- 名前
- Alias
- 識別名 (DN)
- LegacyExchangeDN
- SamAccountName
ExternalDirectoryObjectId、PrimarySmtpAddress、または UserPrincipalName パラメーターでは、このパラメーターを使用できません。
パラメーターのプロパティ
| 型: | String |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
Identity
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | True |
| プロパティ名別のパイプラインからの値: | True |
| 残りの引数からの値: | False |
-Owner
適用対象: Exchange Online
所有者スイッチは、Identity パラメーターで指定されたメールボックスの所有者情報を返します。 このスイッチで値を指定する必要はありません。
パラメーターのプロパティ
| 型: | SwitchParameter |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
Identity
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-PrimarySmtpAddress
適用対象: Exchange Online
PrimarySmtpAddress は、プライマリ SMTP 電子メール アドレス (たとえば、 navin@contoso.com) で表示するメールボックスを識別します。
ExternalDirectoryObjectId、Identity、または UserPrincipalName パラメーターでは、このパラメーターを使用できません。
パラメーターのプロパティ
| 型: | String |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
Identity
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | True |
| 残りの引数からの値: | False |
-ResultSize
適用対象: Exchange Online
ResultSize パラメーターは、返される結果の最大数を指定します。 クエリに一致するすべてのリクエストを返す場合は、このパラメーターの値に unlimited を使用します。 既定値は 1,000 です。
パラメーターのプロパティ
| 型: | Unlimited |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-SoftDeletedMailbox
適用対象: Exchange Online
結果で論理的に削除されたメールボックスを返すには、SoftDeletedMailbox スイッチが必要です。 このスイッチで値を指定する必要はありません。
回復可能な削除が行われたメールボックスとは、まだ回復できる削除済みメールボックスのことです。
パラメーターのプロパティ
| 型: | SwitchParameter |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
Identity
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-User
適用対象: Exchange Online
User パラメーターは、Identity パラメーターで指定されたメールボックスに対するアクセス許可を持つユーザーに関する情報を返します。
このパラメーターに指定するユーザーは、ユーザーまたはセキュリティ グループ (アクセス許可を割り当てることができる、セキュリティ プリンシパル) である必要があります。 ユーザーを一意に識別する、任意の値を使用できます。 以下に例を示します。
- 名前
- 識別名 (DN)
- 正規 DN
- GUID
注: 現時点では、このパラメーターに指定する値では大文字と小文字が区別されます。
パラメーターのプロパティ
| 型: | String |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
Identity
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-UserPrincipalName
適用対象: Exchange Online
UserPrincipalName パラメーターは、UPN で表示するメールボックスを識別します (たとえば、 navin@contoso.onmicrosoft.com)。
ExternalDirectoryObjectId、Identity、PrimarySmtpAddress パラメーターでは、このパラメーターを使用できません。
パラメーターのプロパティ
| 型: | String |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
Identity
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | True |
| 残りの引数からの値: | False |
CommonParameters
このコマンドレットでは、一般的なパラメーター -Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction、-WarningVariable の各パラメーターがサポートされています。 詳細については、「about_CommonParameters」を参照してください。