Office365のオプションの「転送」は、やっぱり隠せ!

office365転送

先日、Office365のオプションの「転送」は隠せ~監査対象外の可能性~の記事を書いた。
日本マイクロソフトのサポートから連絡が入ったので回答する。

office365転送

上記の転送部分。デフォルトでは、誰でも簡単にいじくれる場所だ。

[転送したメッセージのコピーを Outlook Web App に保持する] にチェックがある場合、
    →転送元および転送先の双方がメールを受信するため、アーカイブが行われます。
[転送したメッセージのコピーを Outlook Web App に保持する] にチェックがない場合、
    →転送元にはメールが残らず転送先にメールがリダイレクトされるため、アーカイブが行われません。

すなわち、ユーザーが勝手にチェックを外せば、アーカイブされないわけだ。これはクリティカルな事象に発展しかねない。

そもそもチェックがユーザー側でできないようにする、転送のその項目を非表示にすればいいじゃん!ということで解決するわけだ。その解決策を以前回答があったため、そのままコピペして紹介しておこう。
説明を読んでいると、このMSからの回答は1年前の2013年4月頃の回答のため、再度、この内容に変更が無いか確認してみるため、少々お待ちを。

——-

[接続されているアカウント] にある [転送] を非表示にする方法につきましては、[役割の割り当てポリシー] にある [MyBaseOptions] という既存の役割項目を使用することが必須となります。 そのため、ポリシーを使わずに設定することは非常に困難でございます。何卒ご了承くださいますようお願いいたします。

以下に[接続されているアカウント] にある [転送]を非表示にする手順を記載いたします。

1. [事前準備 : 転送設定の確認および解除] 2. [接続されているアカウント] の機能単位 (転送) で利用不可にする方法
3. [MyMailSubscriptions] を無効にした場合の影響について

==============================================================
1. [転送設定の確認および解除] ==============================================================
1-1. 下記のコマンドレットを実行して、各ユーザーの転送設定の確認を行います。
Get-Mailbox |select DisplayName,ForwardingAddress,ForwardingSMTPAddress

1-2. 下記のコマンドレットを実行して、転送設定の解除を行います。
Set-Mailbox <該当ユーザーのアドレス> -ForwardingSMTPAddress $Null

==============================================================
2. [接続されているアカウント] の機能単位 (転送) で利用不可にする方法==============================================================
2-1. 新しく役割項目を作成する
————————————————————————————————————
2-1-1. 下記のコマンドレットを実行して、[MyBaseOptions] という既存の役割項目をもとに [NoForwardMyBaseOptions] という新規の役割項目を作成します。
※新規の役割項目の名前 (Name パラメーター) は任意のものを入力してください。

New-ManagementRole -Parent MyBaseOptions -Name NoForwardMyBaseOptions

2-1-2. 現時点では、[MyBaseOptions] と、新しく作成した [NoForwardMyBaseOptions] では機能の差異がありません。
そのため、下記のコマンドレットを実行し、[接続されているアカウント] 画面にて設定できる転送機能を、[NoForwardMyBaseOptions] から削除します。
Set-ManagementRoleEntry NoForwardMyBaseOptionsSet-Mailbox -Parameters
DeliverToMailboxAndForward,ForwardingAddress,ForwardingSmtpAddress
-RemoveParameter
————————————————————————————————————
2-2. 新しく作成した役割項目を含めたポリシーを作成する
————————————————————————————————————
2-2-1. 下記のコマンドレットを実行し、新しく作成した [NoForwardMyBaseOptions] を含めた役割の割り当てポリシー [NoDisplayForwardSetting] を作成します。
※新しい役割の割り当てポリシーの名前 (Name パラメーター) は、任意のものを入力してください。

New-RoleAssignmentPolicy -Name NoDisplayForwardSetting -Roles
NoForwardMyBaseOptions,MyContactInformation,MyRetentionPolicies,MyTextMessaging,
MyVoiceMail,MyDistributionGroupMembership,MyDistributionGroups,
Myprofileinformation,MyMailSubscriptions

————————————————————————————————————
2-3. 作成したポリシーをユーザーに適用する
————————————————————————————————————
2-3-A. 組織内のメールボックスを持つユーザー全員に一括で適用する
Get-Mailbox | Set-Mailbox -RoleAssignmentPolicy NoDisplayForwardSetting

2-3-B. 各ユーザーへ個別に適用する
Set-Mailbox <対象ユーザーのメールアドレス> -RoleAssignmentPolicy NoDisplayForwardSetting

※ Microsoft Online ポータルにて、管理者権限を付与されているユーザーには、上記ポリシーのアサインが有効になりませんので、一旦ユーザー権限に変更してから、ポリシーのアサイン作業をしていただく必要がございます。

==============================================================
3. [MyMailSubscriptions] を無効にした場合の影響について
==============================================================
資料の情報および検証の結果より、[MyMailSubscriptions] を無効にすることにより、[接続されているアカウント] 部分を非表示とし、外部のメールボックスへの接続を行う機能が利用不可となります。

– 参考資料
Title: 組み込みの RBAC 役割 URL: http://help.outlook.com/ja-jp/140/dd207272.aspx
 –抜粋——————————————–
MyMailSubscriptions  [Outlook Web App]、[オプション]、[アカウント]、[接続されているアカウント] の順にクリックして、外部のメールボックスへの POP、IMAP、または Hotmail サブスクリプションを作成します。 —————————————————–

<補足情報>
4. [接続されているアカウント] の機能単位 (接続されているアカウント) で利用不可にする方法
5. [接続されているアカウント] の機能全体を利用不可にする方法

==============================================================
4. [接続されているアカウント] の機能単位 (接続されているアカウント) で利用不可にする方法
==============================================================
4-1. 役割項目をカスタマイズしたポリシーを作成する 4-1-1. 下記のコマンドレットを実行し、[MyMailSubscriptions] 役割項目を除外した役割の割り当てポリシー [NoDisplayConnectedAccount01] を作成します。
※新しい役割の割り当てポリシーの名前 (Name パラメーター) は、任意のものを入力してください。

New-RoleAssignmentPolicy -Name NoDisplayConnectedAccount01 -Roles
MyBaseOptions,MyContactInformation,MyRetentionPolicies,MyTextMessaging,
MyVoiceMail,MyDistributionGroupMembership,MyDistributionGroups,Myprofileinformation

4-2. 作成したポリシーをユーザーに適用する 4-2-A. 組織内のメールボックスを持つユーザー全員に一括で適用する        Get-Mailbox | Set-Mailbox -RoleAssignmentPolicy NoDisplayConnectedAccount01

4-2-B. 各ユーザーへ個別に適用する
Set-Mailbox <対象ユーザーのメールアドレス> -RoleAssignmentPolicy
NoDisplayConnectedAccount01

※ Microsoft Online ポータルにて、管理者権限を付与されているユーザーには、上記ポリシーのアサインが有効になりませんので、一旦ユーザー権限に変更してから、ポリシーのアサイン作業をしていただく必要がございます。

==============================================================
5. [接続されているアカウント] の機能全体を利用不可にする方法
==============================================================
5-1. 新しく役割項目を作成する
————————————————————————————————————-
5-1-1. 下記のコマンドレットを実行して、[MyBaseOptions] という既存の役割項目をもとに [NoForwardMyBaseOptions] という新規の役割項目を作成します。
※新規の役割項目の名前 (Name パラメーター) は任意のものを入力してください。

New-ManagementRole -Parent MyBaseOptions -Name NoForwardMyBaseOptions

5-1-2. 現時点では、[MyBaseOptions] と、新しく作成した [NoForwardMyBaseOptions] では機能の差異がありません。
そのため、下記のコマンドレットを実行し、[接続されているアカウント] 画面にて設定できる転送機能を、[NoForwardMyBaseOptions] から削除します。

Set-ManagementRoleEntry NoForwardMyBaseOptionsSet-Mailbox -Parameters
DeliverToMailboxAndForward,ForwardingAddress,ForwardingSmtpAddress -RemoveParameter

————————————————————————————————————-
5-2. 新しく作成した役割項目を含めたポリシーを作成する
————————————————————————————————————-
5-2-1. 下記のコマンドレットを実行し、新しく作成した [NoForwardMyBaseOptions] を追加、[MyMailSubscriptions] を除外した役割の割り当てポリシー [NoDisplayConnectedAccount] を作成します。
※新しい役割の割り当てポリシーの名前 (Name パラメーター) は、任意のものを入力してください。

New-RoleAssignmentPolicy -Name NoDisplayConnectedAccount -Roles
NoForwardMyBaseOptions,MyContactInformation,MyRetentionPolicies,MyTextMessaging,
MyVoiceMail,MyDistributionGroupMembership,MyDistributionGroups,Myprofileinformation

————————————————————————————————————-
5-3. 作成したポリシーをユーザーに適用する
————————————————————————————————————-
5-3-A. 組織内のメールボックスを持つユーザー全員に一括で適用する
Get-Mailbox | Set-Mailbox -RoleAssignmentPolicy NoDisplayConnectedAccount

5-3-B. 各ユーザーへ個別に適用する
Set-Mailbox <対象ユーザーのメールアドレス> -RoleAssignmentPolicy
NoDisplayConnectedAccount

※ Microsoft Online ポータルにて、管理者権限を付与されているユーザーには、上記ポリシーのアサインが有効になりませんので、一旦ユーザー権限に変更してから、ポリシーのアサイン作業をしていただく必要がございます。

Title: 接続されているアカウントについて URL: http://help.outlook.com/ja-jp/140/dd181953.aspx