Verificare accessi delegati in Outlook/Microsoft 365: guida completa a controlli, rimozione permessi, audit e alert

Vuoi capire se qualcuno ha accesso delegato alla tua mailbox in Outlook/Microsoft 365? Questa guida pratica ti mostra come verificarlo e rimuoverlo da Outlook, dall’Exchange Admin Center e via PowerShell, con consigli su audit, alert di sicurezza e casi particolari (cartelle, ambienti ibridi).

Indice

Perché controllare periodicamente le deleghe

Le deleghe della mailbox (delegate access) permettono ad altre persone o servizi di leggere la posta, inviare messaggi “come” te o “per conto” tuo e, nei casi più ampi, amministrare completamente la cassetta postale. Sono strumenti utili (assistenti, caselle condivise, automazioni), ma se non governati introducono rischi: perdita di riservatezza, invii non autorizzati, difficoltà nell’attribuzione delle responsabilità e problemi di compliance. Un controllo ciclico riduce drasticamente questi rischi e ti aiuta a mantenere un perimetro chiaro di chi può fare cosa.

Soluzione sintetica

Dove agire	Passaggi chiave	Cosa ottieni
Outlook (nuova app per Windows)	1. Fai clic destro sull’account di posta nel riquadro di navigazione a sinistra. 2. Seleziona Condivisione e autorizzazioni (Sharing and permissions).	Si apre una finestra che elenca tutti gli utenti con accesso delegato e il relativo livello di permesso (solo lettura, invio per conto, gestione completa, ecc.).
Exchange Admin Center (solo amministratori M365)	Gli amministratori possono controllare o rimuovere le deleghe da Recipients → Mailboxes → Mailbox delegation oppure tramite PowerShell/Graph.	Vista completa su: «Send As», «Send on Behalf» e «Full Access».

Azioni consigliate subito

Rimuovi o abbassa i permessi di eventuali utenti sconosciuti direttamente dalla stessa finestra di Outlook oppure chiedi all’amministratore di farlo dal portale.
Registra un audit log (se la tua licenza lo consente) per tracciare accessi futuri e modifiche alle deleghe.
Attiva alert di sicurezza in Purview/Microsoft Defender per essere avvisato quando cambiano le deleghe (es. aggiunte/rimozioni di Send As, Full Access).
In ambienti ibridi o con Outlook on the web, verifica anche le cartelle condivise (Proprietà → Autorizzazioni) perché possono essere delegate separatamente.

Nota pratica: Se non vedi l’opzione Condivisione e autorizzazioni, è possibile che la tua organizzazione stia ancora usando la versione “classica” di Outlook o abbia bloccato la funzione tramite policy; in tal caso contatta l’IT.

Capire i tipi di delega (e cosa cercare)

Full Access: consente di aprire e leggere la tua mailbox e gestire gli elementi. Di solito non include l’invio “come” te, che è governato da Send As.
Send As: il delegato invia come se fosse il titolare; ai destinatari appare solo il tuo nome/indirizzo.
Send on Behalf: il delegato invia “per conto di” e i destinatari vedono entrambi i nomi (mittente delegato e proprietario).
Autorizzazioni di cartella (Inbox, Calendario, ecc.): consentono accessi granulari (visualizzazione, creazione, modifica) senza estendere diritti su tutta la mailbox.

Procedure dettagliate

Outlook (nuova app per Windows)

Apri Outlook e individua il riquadro di navigazione a sinistra.
Fai clic destro sul nome del tuo account (la radice della mailbox, non solo su “Posta in arrivo”).
Seleziona Condivisione e autorizzazioni (Sharing and permissions).
Si aprirà un pannello con l’elenco dei soggetti che hanno accesso. Per ciascuno visualizza il livello (lettura, modifica, invio per conto, ecc.).
Per rimuovere o modificare un permesso: seleziona l’utente → imposta il livello corretto → conferma.

Consiglio: scendi a livello di cartella se necessario: tasto destro sulla cartella (es. Posta in arrivo) → Proprietà → Autorizzazioni. Questo è utile quando le policy aziendali non permettono modifiche a livello di mailbox intera.

Outlook “classico” per Windows

Se utilizzi la versione classica:

Vai su File → Impostazioni account → Accesso delegato (o Delegates).
Controlla l’elenco dei delegati e i relativi diritti (posta, calendario, contatti).
Rimuovi o modifica le voci che non riconosci o non sono più necessarie.
Verifica anche le Autorizzazioni nelle proprietà delle singole cartelle (clic destro sulla cartella → Proprietà → Autorizzazioni).

Outlook on the web (OWA)

Apri Outlook nel browser e assicurati di visualizzare l’elenco cartelle.
Clic destro su Posta in arrivo (o sulla cartella interessata) → Autorizzazioni.
Rivedi l’elenco delle persone con accesso e il livello assegnato.
Rimuovi o aggiorna i diritti dove necessario.

Nota: alcune deleghe (es. Send As) potrebbero non essere visibili o modificabili da OWA in tutte le organizzazioni; in tal caso è necessario il supporto dell’amministratore tramite l’Exchange Admin Center o PowerShell.

Outlook per Mac

Le opzioni per i delegati possono variare tra le versioni. In generale:

Apri Outlook per Mac, seleziona la mailbox interessata.
Controlla le autorizzazioni direttamente dalle proprietà delle cartelle (clic destro → Permessi/Autorizzazioni), soprattutto su Posta in arrivo e Calendario.
Eventuali deleghe “globali” (Full Access, Send As, Send on Behalf) sono di norma gestite dall’amministratore.

Exchange Admin Center (amministratori)

Apri l’Exchange Admin Center e vai in Recipients → Mailboxes.
Seleziona l’utente interessato e apri la sezione Mailbox delegation.
Controlla e gestisci:
- Full Access
- Send As
- Send on Behalf
Rimuovi i delegati non necessari o riduci i privilegi secondo il principio del minimo privilegio.

Best practice amministrativa: documenta ogni modifica, includendo richiesta, approvazione, esecutore, data/ora e motivazione.

Verifica e gestione via PowerShell (Exchange Online)

Per amministratori o power user con diritti adeguati, PowerShell offre controllo completo e automazione.

Connessione

Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline

Elencare deleghe sulla mailbox

Full Access (non ereditate)

Get-MailboxPermission -Identity user@domain.com |
  Where-Object { -not $.IsInherited -and $.User -ne "NT AUTHORITY\SELF" }

Send As

Get-RecipientPermission -Identity user@domain.com |
  Where-Object { $_.AccessRights -contains "SendAs" }

Send on Behalf

Get-Mailbox -Identity user@domain.com |
  Select-Object -ExpandProperty GrantSendOnBehalfTo

Autorizzazioni a livello di cartella

# Posta in arrivo
Get-MailboxFolderPermission -Identity user@domain.com:\Inbox

Radice della mailbox (utile per permessi estesi)

Get-MailboxFolderPermission -Identity [user@domain.com](mailto:user@domain.com):

Rimuovere deleghe

# Rimuovi Full Access
Remove-MailboxPermission -Identity user@domain.com -User other@domain.com `
  -AccessRights FullAccess -InheritanceType All -Confirm:$false

Rimuovi Send As

Remove-RecipientPermission -Identity [user@domain.com](mailto:user@domain.com) -Trustee [other@domain.com](mailto:other@domain.com) \`
-AccessRights SendAs -Confirm:\$false

Rimuovi Send on Behalf

Set-Mailbox -Identity [user@domain.com](mailto:user@domain.com) -GrantSendOnBehalfTo @{remove="[other@domain.com](mailto:other@domain.com)"}

Filtrare mailbox con deleghe “anomale”

$sospette = @()
$mailboxes = Get-ExoMailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox
foreach ($mb in $mailboxes) {
  $fa = Get-MailboxPermission -Identity $mb.UserPrincipalName |
       Where-Object { -not $.IsInherited -and $.User -ne "NT AUTHORITY\SELF" }
  $sa = Get-RecipientPermission -Identity $mb.UserPrincipalName |
       Where-Object { $_.AccessRights -contains "SendAs" }
  $sob = (Get-Mailbox -Identity $mb.UserPrincipalName).GrantSendOnBehalfTo
  if ($fa -or $sa -or $sob) {
    $sospette += [pscustomobject]@{
      Mailbox = $mb.UserPrincipalName
      FullAccess = ($fa | Select-Object -ExpandProperty User -Unique) -join ";"
      SendAs = ($sa | Select-Object -ExpandProperty Trustee -Unique) -join ";"
      SendOnBehalf = ($sob | ForEach-Object {$_.PrimarySmtpAddress}) -join ";"
    }
  }
}
$sospette | Export-Csv deleghe_mailbox.csv -NoTypeInformation

Questo report CSV è ideale per un’inventariazione iniziale o per confronti periodici.

Abilitare controlli e tracciamento (audit)

La registrazione delle attività è fondamentale per capire quando e chi ha modificato deleghe o ha acceduto a una mailbox.

Mailbox auditing: verifica che sia attivo per gli utenti critici e che includa le azioni amministrative e del delegato più rilevanti.
Audit log di Microsoft 365: utile per eventi come “Add-MailboxPermission”, “Add-RecipientPermission” o modifiche a GrantSendOnBehalfTo.

Comandi utili

# Abilitare l'audit su una mailbox (se necessario)
Set-Mailbox -Identity user@domain.com -AuditEnabled $true

Ricercare attività recenti di modifica deleghe negli audit log unificati

\$start = (Get-Date).AddDays(-7)
\$end = Get-Date
Search-UnifiedAuditLog -StartDate \$start -EndDate \$end `  -Operations Add-MailboxPermission,Add-RecipientPermission,Set-Mailbox,Remove-MailboxPermission,Remove-RecipientPermission`
-ResultSize 5000 | Export-Csv audit\_deleghe.csv -NoTypeInformation

Alert e prevenzione

Per ridurre i tempi di reazione:

Crea alert policy che notificano quando un utente ottiene Send As o Full Access su mailbox sensibili.
Abilita investigazioni automatiche dove disponibile, così da ricevere contesto (chi ha eseguito la modifica, da dove, con quale strumento).
Applica principio del minimo privilegio e durata limitata per deleghe temporanee (richiedi rimozione automatica o reminder periodici).

Cartelle condivise e ambienti ibridi

In molte aziende le autorizzazioni vengono assegnate direttamente alle cartelle (Posta in arrivo, Calendario, Contatti) e non alla mailbox intera. In scenari ibridi (Exchange on-prem + Exchange Online), alcune modifiche possono propagarsi in modo asincrono.

Controllo cartelle: clic destro sulla cartella → Proprietà → Autorizzazioni. Rimuovi voci obsolete e sostituisci i gruppi generici con gruppi moderni gestiti (meno errori, più auditabilità).
Sincronizzazione ibrida: se non vedi subito il cambiamento, verifica lo stato della replica/ibridazione e attendi la normale convergenza di directory e permessi.

Risoluzione problemi comuni

Problema	Possibili cause	Soluzione
Non trovo “Condivisione e autorizzazioni”	Versione classica di Outlook; funzione disabilitata da policy; licenza/app non aggiornata	Usa Outlook classico/OWA per le cartelle; chiedi all’IT di verificare policy e versione; gestisci da EAC/PowerShell
Il delegato continua a vedere la mailbox dopo la rimozione	Autorizzazioni a livello di cartella ancora presenti; cache/AutoMapping; client non aggiornato	Rimuovi permessi cartella; esci/rientra dal profilo; disabilita/reimposta AutoMapping se configurato
Non riesco a rimuovere un delegato	Permesso assegnato tramite gruppo; permesso ereditato	Rimuovi l’utente dal gruppo o gestisci l’ACL del gruppo; filtra IsInherited in PowerShell e intervieni all’origine
Invii anomali “come” il titolare	Send As concesso a un servizio/utente non monitorato	Rimuovi il Send As, attiva alert e audit; verifica regole di trasporto, app con token obsoleti

Policy e governance delle deleghe

Chiarezza dei ruoli: definisci chi può approvare deleghe e per quanto tempo.
Modello di richiesta tracciata: usa un ticket o un modulo approvativo; evita richieste “al volo”.
Revisione periodica: report mensile o trimestrale delle deleghe critiche (dirigenza, finanza, HR, legale).
Segregazione dei doveri: chi approva non deve essere la stessa persona che applica i permessi in produzione.

Template: checklist operativa

Verifica deleghe a livello di mailbox (Full Access, Send As, Send on Behalf).
Controlla permessi su cartelle chiave (Inbox, Sent Items, Calendario).
Rimuovi deleghe non necessarie o temporanee scadute.
Aggiorna la documentazione interna (chi, cosa, perché, fino a quando).
Assicurati che l’audit sia attivo e funzionante; esporta log o screenshot di conferma.
Testa: prova ad aprire/inviare dalla mailbox rimossa per validare la revoca.

FAQ rapide

“Send As” e “Send on Behalf” sono la stessa cosa? No: con Send As il messaggio risulta inviato direttamente dal titolare; con Send on Behalf appare “Delegato per conto di Titolare”.

Le autorizzazioni di cartella danno gli stessi diritti del Full Access? No: sono granulari e limitate alle cartelle configurate, ma possono comunque consentire lettura/scrittura di parte della posta. Controllale sempre.

L’audit delle mailbox è sempre attivo? Dipende dalla configurazione e dalla licenza. Verificalo e includi le azioni critiche nei piani di conservazione.

Esempi pratici di comandi (amministratori)

Per un check veloce su una singola mailbox:

Get-MailboxPermission -Identity user@domain.com | Where-Object { $_.IsInherited -eq $false }
Get-RecipientPermission -Identity user@domain.com

Per revocare in blocco deleghe non necessarie, lavora per gruppi (più facile da governare) e smantella assegnazioni dirette agli utenti singoli quando non indispensabili.

Modello di registro controlli

Data	Mailbox	Deleghe trovate	Azione	Esito	Ticket/Riferimento
aaaa-mm-gg	user@domain.com	Full Access: assistente@; Send As: –	Rimozione Full Access	OK	INC-12345

Linea guida decisionale

Conserva la delega se esiste un’esigenza operativa documentata e con scadenza.
Riduci il livello (da Full Access a sola lettura/cartella specifica) quando possibile.
Revoca se l’esigenza è terminata o se il titolare non riconosce il delegato.

Comunicazione pronta all’uso verso l’IT

Oggetto: Verifica e pulizia deleghe mailbox &lt;user@domain.com&gt;

Ciao IT,
ho verificato la mia mailbox e risultano i seguenti delegati che non riconosco o non sono più necessari:

- \<utente/servizio>: livello \<Full Access/Send As/Send on Behalf/cartella>

Chiedo la rimozione/adeguamento dei permessi e conferma tramite ticket.
Grazie,
\<Nome> </code></pre>

<h2>Extra utili</h2>
<ul>
  <li><strong>PowerShell (Exchange Online)</strong>
    <pre><code class="language-powershell">Get-MailboxPermission -Identity user@domain.com | Where-Object { $_.IsInherited -eq $false }
Get-RecipientPermission -Identity user@domain.com

<p>Comandi rapidi per chi ha diritti di amministratore.</p>

Risorse ufficiali: cerca la guida “Accessing other people’s mailboxes – Exchange” nella documentazione Microsoft Learn per approfondire livelli di delega e metodi di rimozione.

Conclusioni

Verificare gli accessi delegati in Outlook/Microsoft 365 è un’attività semplice ma ad alto impatto sulla sicurezza. Parti dalla visualizzazione rapida in Outlook, completa la validazione dall’Exchange Admin Center (o via PowerShell) e stabilisci routine di audit/alert. Con un processo regolare e documentato, eviti accessi non necessari, riduci il rischio di invii indebiti e mantieni la conformità alle policy aziendali.