Office 365運用下での、休職者へのメール/アカウント設定について、私が構築した環境のメモ。あくまでも一例であって、各企業で運用は異なることであろう。
参考になれば幸いである。
スクリーンリーダー環境
筆者は全盲のため、スクリーンリーダーを用いて作業を行っている。
そのため環境について前述したい。
スクリーンリーダー:JAWS 2018
クライアント:Windows 10 Enterprise 1809
Exchangeの設定は、IE11でEACにアクセス、またはPowerShellを使用している。
Active Directoryの操作は、コマンドプロンプト、PowerShell、RSATのActive Directory ユーザとコンピュータの管理ツールを使用している。
いずれもスクリーンリーダー JAWSで問題なく作業できる。
休職者アカウントの運用
勤務先の場合、出産、傷病、介護休暇などで休職連絡が出る。
退職は全社に発令通知されるが、休職は発令がないため、担当部門との情報共有は、SharePoint上にExcelで休職者連絡票を作成し、これを用いて行っている。
担当部門が起票後、情報システム部門に指示が入るという流れである。
昨今の場合、メンタル不調で突然出社できなくなり、担当部門から即時設定の指示も少なくない。
なお、勤務先では退職者と同様に、休職者についても、該当ユーザのアクセス制限の設定を徹底して行っている。
これはセキュリティの基本中の基本であろう。
セキュリティ対策予算のある/なし、セキュリティ人材のある/なしに限らず、休職者のアカウントを適切にコントロールすることは企業の責任であると言っても過言ではないと考えている。
Active Directory、Office 365運用下では、このアクセスコントロールが非常にうまくいくことはマイクロソフト製品を使っている大きなメリットである。
運用の流れは下記の通り。
休職者発生
事前に休職開始日がわかっている場合もあれば、突然休職開始ということもある。
また、数日間、有給休暇で休んでいたが、なお療養が必要な場合などは、事後に休職開始の連絡がある。
休職者連絡
担当部門が休職者連絡票を起票する。
SharePoint上に休職者連絡票をExcelで作成し、対象者の基本属性、休職開始日、設定内容などの必要な情報を共有している。
これらの情報は機微な内容も含むため、関係者のみがアクセスできるように設定している。アクセスコントロールはここでも徹底している。
なお、グローバル管理者であっても、アクセス権がないので、この連絡票は閲覧すらできないことを明記しておきたい。これはOffice 365の特徴でもあり利点でもある。
該当アカウントの設定
連絡票起票後に指示が入るので担当者が設定を行う。
設定内容は、下記の4つの中から選択してもらっている。
- アカウント停止、メール停止(宛先なし)
- アカウント停止、メール有効のまま(転送なし)
- アカウント停止、メール有効のまま(転送あり、受信者のメールボックスにメールを残す)
- アカウント停止、メール有効のまま(転送あり、受信者のメールボックスにメールを残さない)
これらの4つの設定の意味と、実際の方法について書いて行きたい。
アカウント停止、メール停止(宛先なし)
アカウント停止
アカウント停止はActive Directoryのユーザを無効にすることにより全て完了する。
すべての社内サービスは、Active Directoryのセキュリティグループで「使わせる」「使わせない」をコントロールしている。
前提としてSSOもActive Directoryとの連携で実現している。リモートアクセスなどマイクロソフト以外の製品も、Active Directoryのユーザ情報を参照しているため、社外からもアクセスはできなくなる。
そのため、Active Directoryのユーザを無効にしてしまえば、もはや社内のサービス、契約しているクラウドサービスにアクセスすることは不可となる。
Office 365管理センターで該当ユーザーについて見ると「サインイン」は有効のままだが、Active Directoryユーザは無効なので、サインインすることはできない。
またOffice 365アカウント自体はそのまま残っているので、メール受信や、SharePointなどのドキュメントはそのまま残っている。
メール停止(宛先なし)
この設定をすることにより、休職者に送られたメールは、送信者に受信者が存在しないためエラーが返される。
「受信しっぱなしで返信がない」という事態を防ぎたいためこの選択肢を入れた。
メール停止とは言え、復職のことも考慮して、Office 365アカウントはそのまま残してあることを明記しておきたい。
設定方法は次の通り。
対象者のメールアドレスを変数に入れる。
$user = "○○@△△.com"
連絡先を非表示にする
これをすることによりグローバル連絡帳への表示を無効にしている。
Set-Mailbox -Identity $user -HiddenFromAddressListsEnabled $true
対象者のメールボックス配信制限
これを設定することにより、本人以外からの受信は拒否することになる。つまり他人からの受信を拒否することにより結果として配信制限を実現している。
Set-Mailbox -Identity $user -AcceptMessagesOnlyFrom $user
アカウント停止、メール有効のまま(転送なし)
アカウント停止
前述したので省略する。
メール有効のまま(転送なし)
この設定は前述の「メール停止(宛先なし)」の対局側の設定と言える。
休職者は、以前と変わりなく自分以外からのメールを受信し続け、また上長や後任者への転送もしないという内容である。
従って特に何も設定する必要はない。
アカウント停止、メール有効のまま(転送あり、受信者のメールボックスにメールを残す)
アカウント停止
前述したので省略する。
メール有効のまま(転送あり、受信者のメールボックスにメールを残す)
休職者宛のメールは、上長や後任者に転送し、かつ本人のメールボックスにも配信するという内容である。
転送コマンドは下記の通り。
Set-Mailbox -Identity $user -DeliverToMailboxAndForward $true -ForwardingAddress "転送先"
転送先には複数アドレスの指定はできない。このため複数人で受信したい場合は配布グループで対応している。
アカウント停止、メール有効のまま(転送あり、受信者のメールボックスにメールを残さない)
アカウント停止
前述したので省略する。
メール有効のまま(転送あり、受信者のメールボックスにメールを残さない)
休職者宛のメールは、上長や後任者に転送し、本人へは配信しないという内容である。
転送コマンドは下記の通り。
Set-Mailbox -Identity $user -DeliverToMailboxAndForward $false -ForwardingAddress "転送先"
グループからの解除
4つのパターンいずれでも休職者は配布グループ、Office 365グループから外している。
対象者のグループメンバーシップを取得して保存
コマンドは下記の通り。
$dn = (Get-User -Identity $user).DistinguishedName ; Get-Group -Filter "members -eq '$dn'" | Select-Object WindowsEmailAddress,DisplayName,GroupType
出力結果は復職時の対応も考慮して保存しておく。
すべてのグループから解除する
上記で取得した情報で、配布グループ、Office 365グループから休職者をメンバーから外す。
例えば配布グループの場合は下記のようなコマンドになる。
$dn = (Get-User -Identity $user).DistinguishedName ; Get-Group -Filter "members -eq '$dn'" | Remove-DistributionGroupMember -Member $user
Office 365グループの場合は下記のようなコマンドになる。
$dn = (Get-User -Identity $user).DistinguishedName ; Get-Group -Filter "members -eq '$dn'" | Remove-UnifiedGroupLinks -LinkType Members -Links $user
企業によって対応方針は異なると思う。一例として参考にしてほしい。