Office 365運用下での、退職者または退職候補者/予定者へのメール設定について、私が構築した環境のメモ。あくまでも一例であって、各企業で運用は異なることであろう。
参考になれば幸いである。
スクリーンリーダー環境
筆者は全盲のため、スクリーンリーダーを用いて作業を行っている。
そのため環境について前述したい。
スクリーンリーダー:JAWS 2018
クライアント:Windows 10 Enterprise 1809
Exchangeの設定は、IE11でEACにアクセス、またはPowerShellを使用している。
Active Directoryの操作は、コマンドプロンプト、PowerShell、RSATのActive Directory ユーザとコンピュータの管理ツールを使用している。
いずれもスクリーンリーダー JAWSで問題なく作業できる。
退職者アカウントの運用
退職発令が出た後、またはすでに出勤しないとわかっている際に、該当ユーザのアクセス制限の設定を徹底して行っている。
これはセキュリティの基本中の基本であろう。
セキュリティ対策予算のある/なし、セキュリティ人材のある/なしに限らず、退職者のアカウントを適切にコントロールすることは企業の責任であると言っても過言ではないと考えている。
運用ルールは下記の通り。
最終出社対応
基本的には事前に対象者の最終出社日の連絡がある。これ以上出社しないとわかった場合は即時設定指示の連絡が入る。
最終出社日の定時に後述のアクセス制限を実施する。即時指示の場合は文字通り即時実施する。
さらに指示があった場合はメールの転送設定を実施する。
アクセス制限
退職発令時:Active Directoryの該当ユーザアカウントを無効にする
アカウント削除
発令後1カ月が経過:該当ユーザを退職者OUに移動して論理削除する
アクセス制限について
私の環境下では、基本的にActive Directoryで各システムと連携しているので、ユーザを無効にすることで、社内システムにはログインできなくなる。
各システム、ファイルサーバのフォルダなどへのアクセスは、Active Directoryのセキュリティグループによって完全にコントロールされているというわけである。
Office 365についても、Active Directoryとの連携で作成したフェデレーションユーザであって、同様にログイン(サインイン)できなくなる。
ただし、Office 365については、Active DirectoryとIDPであるOneLoginの間でプロビジョニングを構築しているため、在籍者用のOUから、退職者用のOUに移動しない限り、Office 365のライセンスはそのままで、ユーザもそのままの状態となっている。
できなくなるのはログインのみで、メールの受信は継続して可能となっている。しかし、ユーザはログインできないので、メールにアクセスすることはできない。
メール転送について(1)
指示のあったユーザについては、上長、後任者へのメール転送を設定する。
理由としては退職者が受信したメールへの問い合わせ対応、先方への返信を行うためである。
転送先が1つの場合
下記のコマンドレットで対応している。
転送先にはメールボックス、配布グループどちらも指定できる。
メールボックスにメールを残す
Set-Mailbox -Identity "転送元" -DeliverToMailboxAndForward $true -ForwardingAddress "転送先"
メールボックスにメールを残さない
Set-Mailbox -Identity "転送元" -DeliverToMailboxAndForward $false -ForwardingAddress "転送先"
転送先が複数の場合
後任者が複数人の場合や、管理職が退職した場合などで複数人で受信したい場合に設定している。
Set-Mailboxの-DeliverToMailboxAndForwardオプションでは、複数のアドレスを指定できない。
したがって、手段としては、配布グループ(メーリングリスト(を作成し、メンバーに転送先となるメールボックスを登録する。
さらに前述のコマンドレットを用い転送を設定する。こうすることによって、-DeliverToMailboxAndForwardで配布グループを指定することによって、複数人への転送が可能となる。
メール転送について(2)
トランスポートルールを設定することによっても転送は可能となる。転送と記すより、リダイレクトするとしたほうが正確であろうか。
該当アカウント(メールボックス)を削除した後でも、強制的にリダイレクトさせることが可能である。
注意点としては、リダイレクト先に指定できるのはメールボックスのアドレスであって、配布グループのようにメールボックスを持たないメールアドレスは非対応ということである。
アカウント削除について
退職発令が出て1カ月経過後、Active Directoryユーザを、在籍者用のOUから、退職者用のOUに移動する。
このタイミングで、Active Directory、OneLogin、Office 365の間で連携が行われ、該当ユーザのOffice 365ライセンスは削除され、Office 365ユーザアカウント(フェデレーションアカウント)も削除される。
実際には、Office 365の標準機能によって、削除したユーザは、削除済みアイテムに入る。
30日以内であれば、削除済みアイテムから復活させることも可能である。
ユーザは削除されたので、メールも受信できない。つまり上長宛の転送、配布グループへの転送も終了となる。
ただしトランスポートルールによって設定した強制リダイレクトは有効である。
アカウント削除後も転送したい場合
退職発令後、30日が経過したらアカウントを削除というのが基本方針である。
しかしケースによっては3カ月間とか、連絡するまで転送してほしいという指示もある。
その場合には次のような方法で対応する。
アカウントを残す
この方法が一番簡単である。転送終了指示があるまで、Active Directoryの該当ユーザは放置しておけばよいだけである。
Office 365ライセンスは消費してしまうが、その場合はE3からE1に変更するなどしてコストをコントロールしている。
ちなみにアカウント監査はきちんと行っており、該当アカウントが常に「無効」になっていることは監査している。これは重要なことである。
トランスポートルールで強制リダイレクト
前述したが、アカウントを削除した後でも、トランスポートルールの強制リダイレクト機能を利用すれば、該当ユーザ宛メールをリダイレクトできる。
ただしリダイレクト先に配布グループなどのメールボックスを持たないアドレスは指定できない。
配布グループで対応
退職者のアカウントを削除した後、同じアドレスを配布グループとして作成し、メンバーに転送先を登録すれば受信可能となる。
この方法のメリットはOffice 365ライセンスを消費しないことである。
ただし配布グループの管理を怠るといつまでも残ってしまうことになる。
aliasで対応
退職者A氏のアドレスを、現職者B氏のアドレスに追加することによって受信可能となる。
コマンドレットは下記の通り。
Set-Mailbox -Identity "現職者B氏" -EmailAddresses @{add="退職者A氏"}
注意してほしいのは「@{add」とし追記してほしいことである。こうしないと既存のsmtpアドレスは削除されてしまうためである。
以上、退職者のメール運用に一礼を記した。