Comment obtenir une liste des membres et des permissions des boîtes aux lettres partagées avec PowerShell ou Netwrix Auditor

Netwrix Auditor pour Exchange

• Exécutez Netwrix Auditor → Allez dans la section « Rapports » → Développez la section « Exchange Online » → « État des lieux Exchange Online » → Sélectionnez « Boîtes aux lettres accessibles par des non-propriétaires » → Cliquez sur « Afficher ».
• Définissez le “Type de boîte aux lettres” sur “Boîte aux lettres partagée” → Cliquez sur “Voir le rapport”. Notez que vous pouvez également rechercher dans le rapport en utilisant les champs pertinents.

• Pour vérifier les permissions détaillées sur les délégués et leurs droits, cliquez sur « Delegates » :

Découvrez-en plus sur Netwrix Auditor for Exchange

Solution native

Se connecter à Exchange Online en utilisant PowerShell

• Si vous ne l'avez pas déjà fait, installez le module PowerShell Exchange Online en fonction de votre système d'exploitation. Suivez les instructions fournies par Microsoft dans cet article.
• Ouvrez l'ISE PowerShell en tant qu'administrateur et exécutez la commande suivante :

      Set-ExecutionPolicy RemoteSigned -Scope CurrentUser
      

• Exécutez la commande suivante, saisissez votre identifiant utilisateur et votre mot de passe dans la demande de justificatifs d'identité Windows PowerShell, et cliquez sur OK.

      $Cred=Get-Credential
      

• Connectez-vous à Exchange Online en exécutant la commande suivante :

      Connect-ExchangeOnline -Credential $Cred
      

• Copiez et exécutez le script suivant, en ajustant les filtres pour l'utilisateur spécifique sur lequel vous souhaitez rapporter et en spécifiant le chemin souhaité pour la sortie du fichier CSV. En utilisant ce script PowerShell, vous pouvez obtenir une liste des noms de boîtes aux lettres partagées et des permissions des membres.

      Get-Mailbox -RecipientTypeDetails SharedMailbox -ResultSize Unlimited |
Get-MailboxPermission |
Select-Object Identity, User, AccessRights |
Where-Object { $_.User -like '*@*' } |
Export-Csv -Path C:\Temp\sharedfolders.csv -NoTypeInformation
      

• Examinez le rapport CSV créé ; la colonne d'identité contient les noms de la boîte aux lettres partagée, la colonne utilisateur énumère les membres de la boîte aux lettres partagée, et la colonne Droits d'accès contient le niveau de permissions :

• Terminez votre session avec la cmdlet suivante :

      Disconnect-ExchangeOnline -Confirm:$false
      

Gardez vos ressources partagées sécurisées

Les boîtes aux lettres utilisateur associées à une seule identité d'utilisateur sont utiles dans la plupart des cas. Cependant, parfois, plusieurs utilisateurs ou membres d'un groupe spécifique doivent disposer d'un calendrier de travail commun et être capables de répondre aux e-mails au nom de l'organisation. En conséquence, Exchange Online et Exchange sur site proposent également des boîtes aux lettres partagées, qui se distinguent par leur type de destinataire spécial « SharedMailbox ». Les boîtes aux lettres partagées ne sont pas associées à des identifiants utilisateur ; à la place, il faut accorder aux utilisateurs des permissions d'accès en utilisant le Centre d'administration de Microsoft Exchange Online ou PowerShell pour accéder à des boîtes aux lettres partagées spécifiques, ce qui leur permet d'effectuer les tâches quotidiennes pour cette boîte aux lettres partagée.

Pour prévenir et détecter l'abus des boîtes aux lettres partagées, vous devez suivre ces dernières ainsi que les utilisateurs ayant accès. Vous pouvez utiliser la console de gestion Exchange Online pour obtenir les autorisations de boîte aux lettres partagée pour une seule adresse. Cependant, en utilisant PowerShell, vous pouvez vérifier les autorisations de boîte aux lettres partagée pour tous ses membres.

Vous pouvez obtenir une liste des autorisations de boîte aux lettres partagée à l'aide de la commande Get-Mailbox -RecipientTypeDetails SharedMailbox -ResultSize:Unlimited | Get-MailboxPermission. Cependant, vous voudrez probablement éliminer tous les enregistrements « NT AUTHORITY » en transmettant la sortie en utilisant Where-Object {($_.user -like '*@*')}. Si vous devez filtrer la liste par droits d'accès spécifiques, tels que l'Accès complet ou Envoyer en tant que, pour envoyer des e-mails en utilisant Outlook au nom d'une boîte aux lettres partagée, modifiez ou réécrivez le script, puis testez le nouveau script. En raison des retards de connexion, tester des scripts PowerShell sur des solutions cloud est généralement plus chronophage.

L'utilisation des rapports State-in-Time de Netwrix Auditor pour Exchange Online et Exchange Server est une option plus rapide et plus facile. En quelques clics seulement, vous pouvez générer un rapport sur toutes vos boîtes aux lettres partagées avec tous les détails cruciaux, tels que quels utilisateurs ont des droits non-propriétaires sur quelles boîtes aux lettres et quel niveau de permission chaque utilisateur possède. De plus, Netwrix Auditor for Exchange fournit des informations sur les événements d'accès aux boîtes aux lettres, les changements de permissions des boîtes aux lettres partagées, et bien plus encore. Vous pouvez également affiner facilement vos résultats d'audit à l'aide des filtres intégrés et configurer un abonnement au rapport. En conséquence, vous aurez un bien meilleur contrôle sur ce qui se passe dans votre environnement Exchange.