启用或禁用对 Exchange Online PowerShell 的访问

Exchange Online PowerShell 是一个管理界面,管理员可以从命令行管理 Microsoft 365 组织的 Exchange Online 部分, (包括 Exchange Online Protection 和 Microsoft Defender for Office 365) 中的许多安全功能。

默认情况下,允许 Microsoft 365 中的所有帐户使用 Exchange Online PowerShell。 此访问权限不会为用户提供组织中的管理功能。 例如,他们仍然受到 基于角色的访问控制 (RBAC) (的限制,他们可以在自己的邮箱上配置设置或管理自己拥有的通讯组,但不能) 其他太多。

管理员可以使用本文中的过程来禁用或启用用户连接到 Exchange Online PowerShell 的功能。

开始前,有必要了解什么?

  • 估计完成每个步骤时间:少于 5 分钟

  • 本文中的过程仅在 Exchange Online PowerShell 中可用。 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell

  • 需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:

    • Exchange Online RBAC组织管理收件人管理 角色组中的成员身份。
    • Microsoft Entra RBACExchange 管理员全局管理员* 角色中的成员身份为用户提供Microsoft 365 中其他功能所需的权限 权限。

    重要

    在基于云的组织中快速全局禁用 PowerShell 访问时,请注意命令(例如 Get-User | Set-User -EXOModuleEnabled $false ,无需考虑管理员帐户)。 使用本文中的过程选择性地删除 PowerShell 访问,或者通过在全局删除命令中使用以下语法保留对 PowerShell 访问权限的用户的访问权限: Get-User | Where-Object {$_.UserPrincipalName -ne 'admin1@contoso.onmicrosoft.com' -and $_.UserPrincipalName -ne 'admin2@contoso.onmicrosoft.com'...} | Set-User -EXOModuleEnabled $false

    如果意外锁定了 PowerShell 访问权限,请在 Microsoft 365 管理中心创建新的管理员帐户,然后使用本文中的过程使用该帐户为自己提供 PowerShell 访问权限。

    * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

  • 有关 Exchange Online 中的 OPATH 筛选器语法的详细信息,请参阅 其他 OPATH 语法信息

提示

是否有任何疑问? 在 Exchange 论坛中寻求帮助。 请访问以下论坛:Exchange OnlineExchange Online Protection

为用户启用或禁用远程 PowerShell 访问

此示例禁用对用户的 david@contoso.onmicrosoft.comExchange Online PowerShell 的访问。

Set-User -Identity david@contoso.onmicrosoft.com -EXOModuleEnabled $false

此示例允许用户访问 Exchange Online PowerShell chris@contoso.onmicrosoft.com

Set-User -Identity chris@contoso.onmicrosoft.com -EXOModuleEnabled $true

为多个用户禁用远程 PowerShell 访问

为了防止现有用户的特定组具有远程 PowerShell 访问权限,您可以选择以下选项:

  • 基于现有属性筛选用户:此方法假定目标用户帐户都共享唯一的可筛选属性。 某些属性(如标题、部门、地址信息和电话号码)只能从 Get-User cmdlet 获取。 其他属性(例如 CustomAttribute1 到 CustomAttribute15)只能从 Get-Mailbox cmdlet 中使用。
  • 使用特定用户列表:生成特定用户列表后,可以使用该列表禁用他们对 Exchange Online PowerShell 的访问权限。

基于现有特性筛选用户

若要基于现有属性为任意数量的用户禁用对 Exchange Online PowerShell 的访问,请使用以下语法:

$<VariableName> = <Get-Mailbox | Get-User> -ResultSize unlimited -Filter <Filter>

$<VariableName> | foreach {Set-User -Identity $_.WindowsEmailAddress -EXOModuleEnabled $false}

本示例将为 Title 属性包含"销售人员"这个值的所有用户删除远程 PowerShell 访问。

$DSA = Get-User -ResultSize unlimited -Filter "(RecipientType -eq 'UserMailbox') -and (Title -like 'Sales Associate*')"

$DSA | foreach {Set-User -Identity $_.WindowsEmailAddress -EXOModuleEnabled $false}

使用特定用户的列表

若要为特定用户列表禁用远程 PowerShell 访问,可使用以下语法。

$<VariableName> = Get-Content <text file>

$<VariableName> | foreach {Set-User -Identity $_ -EXOModuleEnabled $false}

以下示例使用文本文件 C:\My Documents\NoPowerShell.txt 按其帐户标识用户。 文本文件每行必须包含一个帐户,如下所示:

akol@contoso.onmicrosoft.com
tjohnston@contoso.onmicrosoft.com
kakers@contoso.onmicrosoft.com

使用要更新的用户帐户填充文本文件后,运行以下命令:

$NoPS = Get-Content "C:\My Documents\NoPowerShell.txt"

$NoPS | foreach {Set-User -Identity $_ -EXOModuleEnabled $false}

查看用户的 Exchange Online PowerShell 访问状态

若要查看特定用户的 PowerShell 访问状态,请将 UserIdentity> 替换为<用户的名称或用户主体名称 (UPN) ,并运行以下命令:

Get-User -Identity "<UserIdentity>" | Format-List EXOModuleEnabled

若要显示所有用户的 Exchange Online PowerShell 访问状态,请运行以下命令:

Get-User -ResultSize unlimited | Format-Table -Auto DisplayName,EXOModuleEnabled

若要显示无权访问 Exchange Online PowerShell 的所有用户,请运行以下命令:

Get-User -ResultSize unlimited -Filter 'EXOModuleEnabled -eq $false'

若要显示有权访问 Exchange Online PowerShell 的所有用户,请运行以下命令:

Get-User -ResultSize unlimited -Filter 'EXOModuleEnabled -eq $true'