阻止 Outlook Online 用户共享其邮箱文件夹

tag-icon tag-icon powershell exchange
阻止 Outlook Online 用户共享其邮箱文件夹

我正在将学校域从 Exchange 2016 迁移到 Exchange Online(完全混合)。我注意到在 Web 上的 Outlook 中,用户可以右键单击他们的收件箱(或任何其他邮箱文件夹),单击“权限”并授予其他用户对其文件夹的读写权限。我想阻止学生访问此功能,或者至少阻止他们添加权限/共享他们的文件夹(即只读访问权限)。不幸的是,学生偶尔喜欢尝试删除彼此的工作等,所以我认为最好不要让他们拥有文件夹权限。

邮箱文件夹权限

根据我的研究,我发现 Owa 邮箱策略未涵盖的任何内容都可以使用 RBAC 进行控制(即基于角色的访问控制)。因此,我设置并分配了一项策略给测试账户,并删除了对Add-MailboxFolderPermissionRemove-MailboxFolderPermissionSet-MailboxFolderPermissioncmdlet 的访问权限,如下所示。

Connect-ExchangeOnline
New-ManagementRole -Name "MyBaseOptions-ForPupils" -Parent "MyBaseOptions"
New-RoleAssignmentPolicy -Name "Test Pupil Role" -Roles "MyBaseOptions-ForPupils", "MyMailSubscriptions"
Get-Mailbox -Identity [email protected] | Set-Mailbox -RoleAssignmentPolicy "Test Pupil Role"

Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Add-MailboxFolderPermission"
Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Set-MailboxFolderPermission
Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Remove-MailboxFolderPermission"

这不起作用,所以我还尝试删除以下 cmdlet,看看它是否会完全删除对权限功能的访问权限,但不确定这是否会导致任何问题。

Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Get-MailboxFolderPermission"
Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Get-EXOMailboxFolderPermission"

我没有发现任何问题,但该功能仍然可以访问,测试帐户仍然可以添加、编辑和删除文件夹权限。我已检查我删除的 cmdlet 不在角色中MyMailSubscriptions(我也将其分配给测试帐户),并且确实不在。

作为测试,我运行了以下命令,几分钟后自动回复设置从 UI 中消失,因此该策略肯定已应用。

Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Get-MailboxAutoReplyConfiguration"
Remove-ManagementRoleEntry -Identity "MyBaseOptions-ForPupils\Set-MailboxAutoReplyConfiguration"

我还以测试帐户 Ie 的身份对 PowerShell 进行了身份验证,并确认该帐户是Connect-ExchangeOnline -UserPrincipalName [email protected]不是能够访问我删除的 cmdlet。

有人能告诉我如何实现这个功能吗,或者是否有可能实现?

编辑:

回应 Ivan_Wang 的回答。您要求我运行的命令返回一个转换Identity为 的错误RoleEntryIdParameter。我自己检查的方法是运行:

Get-ManagementRoleEntry "MyBaseOptions-ForPupils\*" | where { $_.Name -like "*MailboxFolderPermission*" }

它什么也没返回。如果我稍微扩大查询范围,*MailboxFolder*我得到:

Get-ManagementRoleEntry "MyBaseOptions-ForPupils\*" | where { $_.Name -like "*MailboxFolder*" } | ft Name

Name
----
Get-MailboxFolder
New-MailboxFolder

还尝试过*Permission*

Get-ManagementRoleEntry "MyBaseOptions-ForPupils\*" | where { $_.Name -like "*Permission*" } | ft Name

Name
----
Get-SenderPermission

希望这能回答你的问题。至于你的第二个问题,我只勾选了儿童角色,如下所示:

选定角色

答案1

  1. 如果运行以下命令来检查自定义角色是否仍然具有角色条目,结果会怎样MailboxFolderPermission

Get-ManagementRole "MyBaseOptions-ForPupils" | Get-ManagementRoleEntry | where{$_.Name -like "*MailboxFolderPermission*"}

在此处输入图片描述

  1. 您是否选择了具有子角色的父角色MyBaseOptions-ForPupils

如果选中具有子角色的角色的复选框,则子角色的复选框也会被选中。如果清除具有子角色的角色的复选框,则子角色的复选框也会被清除。“。来源

相关内容