Exchange Online PowerShell へのアクセスを有効または無効にする
Exchange Online PowerShell は、管理者がコマンド ラインから Microsoft 365 組織の Exchange Online 部分を管理できるようにする管理インターフェイスです (Exchange Online Protection と Microsoft Defender for Office 365 の多くのセキュリティ機能を含む)。
既定では、Microsoft 365 のすべてのアカウントで Exchange Online PowerShell を使用できます。 このアクセスは、組織内のユーザーに管理機能を提供しません。 引き続き ロールベースのアクセス制御 (RBAC) によって制限されます (たとえば、自分のメールボックスで設定を構成したり、所有している配布グループを管理したりできますが、それ以外は多くはありません)。
管理者は、この記事の手順を使用して、ユーザーの Exchange Online PowerShell への接続を無効または有効にすることができます。
はじめに把握しておくべき情報
各手順の推定完了時間:5 分未満
この記事の手順は、Exchange Online PowerShell でのみ使用できます。 Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
- Exchange Online RBAC: 組織の管理 または 受信者管理 の役割グループのメンバーシップ。
- Microsoft Entra RBAC: Exchange 管理者またはグローバル管理者ロールのメンバーシップは*ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可を提供します。
重要
クラウドベースの組織で PowerShell アクセスを迅速かつグローバルに無効にする場合は、管理者アカウントを考慮せずに、
Get-User | Set-User -EXOModuleEnabled $falseなどのコマンドに注意してください。 この記事の手順を使用して、PowerShell アクセスを選択的に削除するか、グローバル削除コマンドのGet-User | Where-Object {$_.UserPrincipalName -ne 'admin1@contoso.onmicrosoft.com' -and $_.UserPrincipalName -ne 'admin2@contoso.onmicrosoft.com'...} | Set-User -EXOModuleEnabled $falseで次の構文を使用して、必要なユーザーのアクセス権を保持します。誤って PowerShell アクセスからロックアウトした場合は、Microsoft 365 管理センターで新しい管理者アカウントを作成し、そのアカウントを使用して、この記事の手順に従って PowerShell にアクセスできるようにします。
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
Exchange Online の OPATH フィルター構文の詳細については、「 その他の OPATH 構文情報」を参照してください。
ヒント
問題がある場合は、 Exchange のフォーラムで質問してください。 次のフォーラムにアクセスしてください: Exchange Online または Exchange Online Protection。
Exchange Online PowerShell へのユーザーのアクセスを有効または無効にする
この例では、ユーザー david@contoso.onmicrosoft.comの Exchange Online PowerShell へのアクセスを無効にします。
Set-User -Identity david@contoso.onmicrosoft.com -EXOModuleEnabled $false
この例では、ユーザー chris@contoso.onmicrosoft.comの Exchange Online PowerShell へのアクセスを有効にします。
Set-User -Identity chris@contoso.onmicrosoft.com -EXOModuleEnabled $true
多数のユーザーの Exchange Online PowerShell へのアクセスを無効にする
既存ユーザーの特定のグループの Exchange Online PowerShell へのアクセスを禁止するには、次のオプションを使用できます。
- 既存の属性に基づいてユーザーをフィルター処理する: このメソッドは、ターゲット ユーザー アカウントがすべて一意のフィルター可能な属性を共有することを前提としています。 タイトル、部署、住所情報、電話番号などの一部の属性は、 Get-User コマンドレットからのみ使用できます。 CustomAttribute1 から CustomAttribute15 へのその他の属性は、 Get-Mailbox コマンドレットからのみ使用できます。
- 特定のユーザーのリストを使用する: 特定のユーザーのリストを生成し、このリストを使用して、Exchange Online PowerShell へのアクセスを無効にできます。
既存の属性に基づいてユーザーにフィルターをかける
既存の属性に基づいて任意の数ユーザーの Exchange Online PowerShell へのアクセスを無効にするには、次の構文を使用します。
$<VariableName> = <Get-Mailbox | Get-User> -ResultSize unlimited -Filter <Filter>
$<VariableName> | foreach {Set-User -Identity $_.WindowsEmailAddress -EXOModuleEnabled $false}
この例では、Title 属性に値 "Sales Associate" が含まれるすべてのユーザーの Exchange Online PowerShell へのアクセスを削除します。
$DSA = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox') -and (Title -like 'Sales Associate*')"
$DSA | foreach {Set-User -Identity $_.WindowsEmailAddress -EXOModuleEnabled $false}
特定のユーザーのリストを使用する
特定のユーザーのリストの Exchange Online PowerShell へのアクセスを無効にするには、次の構文を使用します。
$<VariableName> = Get-Content <text file>
$<VariableName> | foreach {Set-User -Identity $_ -EXOModuleEnabled $false}
次の例では、テキスト ファイル C:\My Documents\NoPowerShell.txt を使用して、アカウントによってユーザーを識別します。 テキスト ファイルには、次のように各行に 1 つのアカウントが含まれている必要があります。
akol@contoso.onmicrosoft.com
tjohnston@contoso.onmicrosoft.com
kakers@contoso.onmicrosoft.com
更新するユーザー アカウントをテキスト ファイルに設定したら、次のコマンドを実行します。
$NoPS = Get-Content "C:\My Documents\NoPowerShell.txt"
$NoPS | foreach {Set-User -Identity $_ -EXOModuleEnabled $false}
ユーザーの Exchange Online PowerShell アクセス状態を表示する
特定のユーザーの PowerShell アクセス状態を表示するには、 <UserIdentity> をユーザーの名前またはユーザー プリンシパル名 (UPN) に置き換え、次のコマンドを実行します。
Get-User -Identity "<UserIdentity>" | Format-List EXOModuleEnabled
すべてのユーザーの Exchange Online PowerShell へのアクセス状態を表示するには、次のコマンドを実行します。
Get-User -ResultSize unlimited | Format-Table -Auto DisplayName,EXOModuleEnabled
Exchange Online PowerShell にアクセスできないすべてのユーザーを表示するには、次のコマンドを実行します。
Get-User -ResultSize unlimited -Filter 'EXOModuleEnabled -eq $false'
Exchange Online PowerShell にアクセスできるすべてのユーザーを表示するには、次のコマンドを実行します。
Get-User -ResultSize unlimited -Filter 'EXOModuleEnabled -eq $true'