音声読み上げ体温計

朝から頭痛と熱っぽかったので早々に帰宅。

体温計で確認したら結局は平熱だった。

音声読み上げの体温計(実測式?)、もうちょっと早く測定できないかな。

最初 35.8度、10分後 36.6度でこれ以上は上がらなかった。結局+0.8。

発売当初から10分は測定しないと正確な数値出ないという話ではあったけど。

疑義がある社員の、Office 365運用下でのメールの観察方法について

タイトル通りの内容です。

ここで紹介する以外に、Office 365標準機能である「訴訟ホールド」からPSTファイルを取り出すというのも一方法です。

今回は転送、BCC機能を使った観察方法を紹介します。

Gスイート(旧Google Apps)を利用していた際は、サードパーティのメールアーカイブを利用していました。転送やBCCについてもGスイートには標準機能で実装がなかったので、アーカイバに付属していた機能で対応していました。

Office 365は訴訟ホールドも含めて標準機能なところが非常にメリットとと感じています。

Gスイートでは見えないところにコストがかかっていましたが、Office 365は基本的に標準機能で運用が可能です。

本人宛メールをBCC転送

対象者宛のメールを、本人に知られることなく上長など指定先に配信します。

利用シーンとしては、対象者宛のメールのチェックなどが該当するでしょうか。

PowerShellでの設定方法を紹介します。

本人のメールボックスにメールを残して(配信して)、別のアドレスにも配信するという内容です。

コマンド

Set-Mailbox -Identity "転送元" -DeliverToMailboxAndForward $true -ForwardingAddress "転送先"

本人発進のメールを上長などにBCC転送

対象者本人に知られることなく発信したメールを上長など指定先にBCC送信します。

利用シーンとしては、対象者の発進したメールのチェックなどが該当するでしょうか。

Exchange Admin Centerでの設定手順は下記の通りです。

EAC > メールフロー > ルール > 新規作成

設定項目 設定値
名前 ルールの名前を指定します
ルールを適用する条件 「送信者が」を指定します
送信者 BCCで観察したい対象者を指定します
実行する処理 「メッセージをBCCで送信する」を選択します
受信者 BCCの送信先を指定します
このルールのモード 「強制」を選択します

最後に保存して終了です。

ここで紹介したのは一例です。もしかしたらもっとよい方法があるかもしれません。

Office 365運用下での休職者へのメール/アカウント停止対応

Office 365運用下での、休職者へのメール/アカウント設定について、私が構築した環境のメモ。あくまでも一例であって、各企業で運用は異なることであろう。

参考になれば幸いである。

スクリーンリーダー環境

筆者は全盲のため、スクリーンリーダーを用いて作業を行っている。

そのため環境について前述したい。

スクリーンリーダー:JAWS 2018

クライアント:Windows 10 Enterprise 1809

Exchangeの設定は、IE11でEACにアクセス、またはPowerShellを使用している。

Active Directoryの操作は、コマンドプロンプト、PowerShell、RSATのActive Directory ユーザとコンピュータの管理ツールを使用している。

いずれもスクリーンリーダー JAWSで問題なく作業できる。

休職者アカウントの運用

勤務先の場合、出産、傷病、介護休暇などで休職連絡が出る。

退職は全社に発令通知されるが、休職は発令がないため、担当部門との情報共有は、SharePoint上にExcelで休職者連絡票を作成し、これを用いて行っている。

担当部門が起票後、情報システム部門に指示が入るという流れである。

昨今の場合、メンタル不調で突然出社できなくなり、担当部門から即時設定の指示も少なくない。

なお、勤務先では退職者と同様に、休職者についても、該当ユーザのアクセス制限の設定を徹底して行っている。

これはセキュリティの基本中の基本であろう。

セキュリティ対策予算のある/なし、セキュリティ人材のある/なしに限らず、休職者のアカウントを適切にコントロールすることは企業の責任であると言っても過言ではないと考えている。

Active Directory、Office 365運用下では、このアクセスコントロールが非常にうまくいくことはマイクロソフト製品を使っている大きなメリットである。

運用の流れは下記の通り。

休職者発生

事前に休職開始日がわかっている場合もあれば、突然休職開始ということもある。

また、数日間、有給休暇で休んでいたが、なお療養が必要な場合などは、事後に休職開始の連絡がある。

休職者連絡

担当部門が休職者連絡票を起票する。

SharePoint上に休職者連絡票をExcelで作成し、対象者の基本属性、休職開始日、設定内容などの必要な情報を共有している。

これらの情報は機微な内容も含むため、関係者のみがアクセスできるように設定している。アクセスコントロールはここでも徹底している。

なお、グローバル管理者であっても、アクセス権がないので、この連絡票は閲覧すらできないことを明記しておきたい。これはOffice 365の特徴でもあり利点でもある。

該当アカウントの設定

連絡票起票後に指示が入るので担当者が設定を行う。

設定内容は、下記の4つの中から選択してもらっている。

  1. アカウント停止、メール停止(宛先なし)
  2. アカウント停止、メール有効のまま(転送なし)
  3. アカウント停止、メール有効のまま(転送あり、受信者のメールボックスにメールを残す)
  4. アカウント停止、メール有効のまま(転送あり、受信者のメールボックスにメールを残さない)

これらの4つの設定の意味と、実際の方法について書いて行きたい。

アカウント停止、メール停止(宛先なし)

アカウント停止

アカウント停止はActive Directoryのユーザを無効にすることにより全て完了する。

すべての社内サービスは、Active Directoryのセキュリティグループで「使わせる」「使わせない」をコントロールしている。

前提としてSSOもActive Directoryとの連携で実現している。リモートアクセスなどマイクロソフト以外の製品も、Active Directoryのユーザ情報を参照しているため、社外からもアクセスはできなくなる。

そのため、Active Directoryのユーザを無効にしてしまえば、もはや社内のサービス、契約しているクラウドサービスにアクセスすることは不可となる。

Office 365管理センターで該当ユーザーについて見ると「サインイン」は有効のままだが、Active Directoryユーザは無効なので、サインインすることはできない。

またOffice 365アカウント自体はそのまま残っているので、メール受信や、SharePointなどのドキュメントはそのまま残っている。

メール停止(宛先なし)

この設定をすることにより、休職者に送られたメールは、送信者に受信者が存在しないためエラーが返される。

「受信しっぱなしで返信がない」という事態を防ぎたいためこの選択肢を入れた。

メール停止とは言え、復職のことも考慮して、Office 365アカウントはそのまま残してあることを明記しておきたい。

設定方法は次の通り。

対象者のメールアドレスを変数に入れる。

$user = "○○@△△.com"

連絡先を非表示にする

これをすることによりグローバル連絡帳への表示を無効にしている。

Set-Mailbox -Identity $user -HiddenFromAddressListsEnabled $true

対象者のメールボックス配信制限

これを設定することにより、本人以外からの受信は拒否することになる。つまり他人からの受信を拒否することにより結果として配信制限を実現している。

Set-Mailbox -Identity $user -AcceptMessagesOnlyFrom $user

アカウント停止、メール有効のまま(転送なし)

アカウント停止

前述したので省略する。

メール有効のまま(転送なし)

この設定は前述の「メール停止(宛先なし)」の対局側の設定と言える。

休職者は、以前と変わりなく自分以外からのメールを受信し続け、また上長や後任者への転送もしないという内容である。

従って特に何も設定する必要はない。

アカウント停止、メール有効のまま(転送あり、受信者のメールボックスにメールを残す)

アカウント停止

前述したので省略する。

メール有効のまま(転送あり、受信者のメールボックスにメールを残す)

休職者宛のメールは、上長や後任者に転送し、かつ本人のメールボックスにも配信するという内容である。

転送コマンドは下記の通り。

Set-Mailbox -Identity $user -DeliverToMailboxAndForward $true -ForwardingAddress "転送先"

転送先には複数アドレスの指定はできない。このため複数人で受信したい場合は配布グループで対応している。

アカウント停止、メール有効のまま(転送あり、受信者のメールボックスにメールを残さない)

アカウント停止

前述したので省略する。

メール有効のまま(転送あり、受信者のメールボックスにメールを残さない)

休職者宛のメールは、上長や後任者に転送し、本人へは配信しないという内容である。

転送コマンドは下記の通り。

Set-Mailbox -Identity $user -DeliverToMailboxAndForward $false -ForwardingAddress "転送先"

グループからの解除

4つのパターンいずれでも休職者は配布グループ、Office 365グループから外している。

対象者のグループメンバーシップを取得して保存

コマンドは下記の通り。

$dn = (Get-User -Identity $user).DistinguishedName ; Get-Group -Filter "members -eq '$dn'" | Select-Object WindowsEmailAddress,DisplayName,GroupType

出力結果は復職時の対応も考慮して保存しておく。

すべてのグループから解除する

上記で取得した情報で、配布グループ、Office 365グループから休職者をメンバーから外す。

例えば配布グループの場合は下記のようなコマンドになる。

$dn = (Get-User -Identity $user).DistinguishedName ; Get-Group -Filter "members -eq '$dn'" | Remove-DistributionGroupMember -Member $user

Office 365グループの場合は下記のようなコマンドになる。

$dn = (Get-User -Identity $user).DistinguishedName ; Get-Group -Filter "members -eq '$dn'" | Remove-UnifiedGroupLinks -LinkType Members -Links $user

企業によって対応方針は異なると思う。一例として参考にしてほしい。

海外拠点のガバナンス

海外拠点の閉域網構成用の通信機器が故障したので、急遽別の手段で閉域網を構成することになった。

で、現地から「オフィスには別のインターネット回線を引いてありますので…」という一報が入り驚いた。

初耳。ガバナンスが効いていない…。バックドアにもなりかねないというのに…。

そういえばセキュリティ監査の研修で、いわゆる大企業の情報システム部門担当者も、海外子会社については管理が行き届かない、ガバナンスに問題があるって言っていたっけ。

配布グループの所有者が退職してしまった件

Office 365上にある配布グループの所有者が退職してしまい誰にも管理権がないのでどうしたものかと困ってます。

経緯

  1. アカウント運用ルールで、退職発令から1カ月後にOffice 365アカウントを削除。

  2. 定期的に配布グループの一覧を取得しているが、見慣れないエラーが出現。

  3. 正常なグループと比較して何が不整合なのか検出。

  4. ManagedBy(EACで表示の場合、所有権)がnullであるのが原因と思われることが判明。

  5. グローバル管理者で所有者として自分を追加しようとしたけど、所有者じゃないと変更できませんのエラーで歯が立たず。

そもそも定期的に一覧取得って?

配布グループの状況を把握したいので、定期的に下記のようなコマンドを実行して、出力結果を保存しています。

実際にはファイル名に取得日時の付与、ファイルサーバへの移動コマンドなどが含まれるスクリプトで実行しています。

Get-DistributionGroup -ResultSize Unlimited | Export-CSV .\all-DistributionGroup.csv -Encoding Default

見慣れないエラーって?

下記エラーが出力されました。

警告: オブジェクト ○○ は破損しているか、Microsoft
サポート要件に適合しないため、矛盾した状態になっています。次の検証エラーが発生しました:
警告: グループ "○○" は受信者によって管理されていませんが、MemberJoinRestriction プロパティが "ApprovalRequired"
に設定されています。

今後の対応

グローバル管理権限があるユーザでも自分を所有者として追加できないので困っています。

所有者がいないと、メンバーの追加・削除ができない、グループの設定変更や削除ができないなど影響があります。

削除済みアイテムに退職者のアカウントがあるので復活させることによって所有者としても復活になるか検証を進めます。

削除して30日が経過していないのが幸いに転じればよいのですが。

それでも期待した結果が得られない場合はマイクロソフトのサポートに問い合わせます。

Office 365グループでは?

実はOffice 365グループでは、グローバル管理者は、そのグループの監理者でなくても自分を所有者として追加することが可能です。

そうすることによって、Office 365グループを管理することが可能になります。

配布グループも同様の仕様になればよいのですが…。

削除済みユーザにライセンスは割り当たっているか/いないかについて

年度末ということもあって、Office 365ライセンスの残りが減ってきた。

手配はしてあるけど、次に追加されるのは4月になってから。

退職したユーザなどで削除済みアイテムに入っているユーザにもライセンス割り当たっていれば、それを外せば増えるんじゃない?ということで調べてみた。

結果、削除済みユーザにはライセンスは割り当たってなかった。

確認手順

まずライセンスの確認をする。

Get-MsolAccountSku

削除済みユーザから完全にユーザを削除する。

Remove-MsolUser -RemoveFromRecycleBin -Force -UserPrincipalName ○○@△△.com

再度ライセンスの確認をする。

Remove-MsolUser -RemoveFromRecycleBin -Force -UserPrincipalName ○○@△△.com

出力結果のConsumedUnitsに着目してほしい。

数値に変化がないことがわかる。

トランスポートルールで受信者に配布グループを指定できない件

EACで、受信リダイレクトのトランスポートルールを作製する際、受信者に配布グループは指定できないことがわかった。

指定しようとして保存すると下記のエラーメッセージが出力される。

Error

ルール アクションによって追加された受信者 ○○@△△.com が配布グループであるため、トランスポート ルールを作成できません。

トランスポート ルールによってメッセージに配布グループを追加することはできません。

このエラーを解決するには、この受信者を削除して別の受信者を指定してください。

だそうで…。