Comment obtenir un rapport des autorisations de boîte aux lettres Exchange Online en utilisant PowerShell ou Netwrix Auditor
Netwrix Auditor for Exchange
Exécutez Netwrix Auditor → Cliquez sur « Rapports » → choisissez Exchange Online → Rapports State-in-Time → Choisissez « Détails des permissions de boîte aux lettres par des non-propriétaires » → cliquez sur « Afficher ».
Solution native
1. Connectez-vous à Office 365 PowerShell en exécutant l'ISE PowerShell en tant qu'administrateur et en exécutant la commande suivante :
Set-ExecutionPolicy RemoteSigned
2. Demandez les informations d'identification Windows PowerShell en exécutant la commande suivante :
$Cred = Get-Credential
Entrez votre compte et mot de passe puis cliquez sur OK.
3. Créez une session en utilisant la commande suivante, en modifiant le paramètre –ConnectionUri en fonction de l'emplacement de votre Exchange Online :
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/PowerShell-liveid/ -Credential$Cred -Authentication Basic –AllowRedirection
4. Connectez-vous à Exchange Online :
Import-PSSession$Session -DisableNameChecking
5. Générez un rapport des permissions utilisateur, procédez de l'une des manières suivantes :
- Pour obtenir un résumé complet des permissions des utilisateurs, utilisez la commande Get-Mailbox suivante :
Get-Mailbox -resultsize unlimited | Get-MailboxPermission | Select Identity, User, Deny, AccessRights, IsInherited| Export-Csv -Path "c:\temp\mailboxpermissions.csv" –NoTypeInformation
- Si vous avez besoin d'un rapport sur un utilisateur spécifique, utilisez le paramètre -identity au lieu de -resultsize unlimited.
- Pour filtrer les utilisateurs ayant un accès complet, utilisez le paramètre where {($_.accessrights -contains "FullAccess")}:
Get-Mailbox -resultsize unlimited | Get-MailboxPermission| where {($_.accessrights -contains "Fullaccess")} | Select AccessRights,Deny,InheritanceType,User,Identity,IsInherited | Export-Csv -Path "c:\temp\fullaccess.csv" -NoTypeInformation
- Par défaut, vous obtiendrez une liste complète des utilisateurs, y compris l'accès des non-propriétaires. Pour obtenir des informations uniquement sur les permissions directes des utilisateurs, utilisez soit {($_.user -ne "NT AUTHORITY\SELF")} soit {($_.user -like '*@*')}:
Get-Mailbox -resultsize unlimited | Get-MailboxPermission | Select Identity, User, Deny, AccessRights, IsInherited| Where {($_.user -ne "NT AUTHORITY\SELF")}| Export-Csv -Path "c:\temp\NonOwnerPermissions.csv" -NoTypeInformation
- Pour consulter les informations sur les autorisations « Envoyer en tant que », utilisez la cmdlet Get-RecipientPermission :
Get-Mailbox -resultsize unlimited | Get-RecipientPermission| where {($_.trustee -ne "NT AUTHORITY\SELF")}|select Identity,Trustee,AccessControlType,AccessRights,IsInherited | Export-Csv -Path "c:\temp\sendaspermissions.csv" –NoTypeInformation
- Pour rapporter sur les boîtes aux lettres avec la permission « Envoyer de la part de », utilisez le script suivant :
$GrantSendOn= Get-Mailbox-resultsize unlimited| where {($_.GrantSendOnBehalfTo -ne "")}
$Out=foreach ($user in $GrantSendOn.GrantSendOnBehalfTo) {
$obj= New-Object System.Object
$obj|Add-MemberNoteProperty eMail$GrantSendOn.WindowsEmailAddress
$obj|Add-Member NoteProperty DisplayName $GrantSendOn.DisplayName
$obj|Add-Member NoteProperty User $user
$obj }
$Out| Export-Csv -Path "c:\temp\sendonbehalfpermissions.csv" –NoTypeInformation
6. Examinez le rapport :
7. Terminez votre session en utilisant la commande suivante :
Remove-PSSession$Session
Partager sur