休職する社員のOffice 365アカウント処理手順についてメモを残したいと思います。
まず、休職者については、Active Directoryのアカウントは例外なく無効化します。
理由としては不正ログイン対策、休職中に仕事をさせない(休んでもらうために)などがあります。
私のところでは、Active Directoryでアカウントを無効化してもOffice 365アカウントは有効のままという仕組みで構築しています。
Office 365アカウントを削除したい場合(退職時)は、退職者のOUにアカウントを移動させることで自動的にプロビジョニングされる仕組みになっています。
次にOffice 365アカウントですが、以下の対応の中から上長が指定したものを設定します。
A.上長や同僚にメール転送(本人のメールボックスに配信あり)
B.上長や同僚にメール転送(本人のメールボックスに配信なし)
C.本人にメールが届かないようにする(宛先なしで送信者に返信)
D.Outlookのアドレス帳に表示させない
1.対象者のメールアドレスを変数に入れる
$user = 'UserName@domain.com'
2.対象者のグループメンバーシップを取得して保存
$dn = (Get-User -Identity $user).DistinguishedName ; Get-Group -Filter "members -eq '$dn'"| Select-Object WindowsEmailAddress,DisplayName,GroupType
3.すべてのグループから解除する
$dn = (Get-User -Identity $user).DistinguishedName ; Get-Group -Filter "members -eq '$dn'"| Remove-DistributionGroupMember -Member $user
4.連絡先を非表示にする
Set-Mailbox -Identity $user -HiddenFromAddressListsEnabled $true
5.対象者のメールボックス配信制限
Set-Mailbox -Identity $user -AcceptMessagesOnlyFrom $user
6.対象者のメールを転送(配信あり)
Set-Mailbox -Identity "転送元" -DeliverToMailboxAndForward $true -ForwardingAddress "転送先"
7.対象者のメールを転送(配信なし)
Set-Mailbox -Identity "転送元" -DeliverToMailboxAndForward $false -ForwardingAddress "転送先"
8.最後にActive Directoryのアカウントを無効化
3の「すべてのグループから解除する」ですが、配布グループに権限がない場合は監理者に連絡して実行してもらいます。
Office 365グループの場合はEACから監理者として追加し、メンバーシップから対象者を削除します。
配布リストは、グローバル監理者であっても対象のリストの監理者でない場合は、メンバーの削除ができないためです。
Office 365グループは、監理者でない場合でも、グローバル監理者であればEACから監理者として追加できるので、いったん監理者として登録後にメンバーから対象者を削除する流れになります。