Exchange 管理センターにおけるセキュリティ関連の設定項目

管理センターには設定項目が膨大にありますが、その中でセキュリティ関連の設定項目を抜粋して紹介させていただきます(とりあえず、セキュリティ確保して、M365をユーザに使わせたいと考えられている管理者の方向けの記事となります)

何をもって、セキュリティ関連としているかは、個人の主観となっております(セキュリティ自体の定義/範囲が曖昧ですので)

(セキュリティ関連度:★★★)メールフロー関連

ルール(設定箇所:メールフロー > ルール)

Exchange Online のユーザーの送受信するメールについてアクションを起こすテナント内のルール付けです。

設定により、条件で指定した特定のメッセージに対してブロックの動作や、迷惑メール判定の回避、インシデントレポートを任意のユーザーに送信などができます。

<参考情報>

Title : Exchange Online のメール フロー ルール (トランスポート ルール)

URL : https://learn.microsoft.com/ja-jp/exchange/security-and-compliance/mail-flow-rules/mail-flow-rules

Title : Exchange Online のメール フロー ルールでの条件と例外 (述語)

URL : https://learn.microsoft.com/ja-jp/exchange/security-and-compliance/mail-flow-rules/conditions-and-exceptions

Title : Exchange Online でのメール フロー ルールの処理

URL : https://learn.microsoft.com/ja-jp/exchange/security-and-compliance/mail-flow-rules/mail-flow-rule-actions

コネクタ(設定箇所:メールフロー > コネクタ)

Exchange Online が外部とメールを送受信をする場合に、特定サーバーを指定して行う設定です。

対象のドメインや 配送先 IP アドレス等を設定することでカスタマイズできます。

送受信するメールに対して、以下のようなセキュリティ制限を適用することもできます。

<参考情報>

Title : Exchange Online でコネクタを使用してメール フローを構成する

URL : https://learn.microsoft.com/ja-jp/exchange/mail-flow-best-practices/use-connectors-to-configure-mail-flow/use-connectors-to-configure-mail-flow

Title : Set-InboundConnector

URL : https://learn.microsoft.com/ja-jp/powershell/module/exchangepowershell/set-inboundconnector?view=exchange-ps

Title : Set-OutboundConnector

URL : https://learn.microsoft.com/ja-jp/powershell/module/exchangepowershell/set-outboundconnector?view=exchange-ps

メールフローのレポート(確認箇所:レポート > メールフロー)

Exchange Online の各情報をレポートとして集約した情報を確認できます。

Title : Exchange Online での監視、レポート、メッセージ追跡

URL : https://learn.microsoft.com/ja-jp/exchange/monitoring/monitoring

メールフローのインサイト(確認箇所:インサイト)

Exchange Online でのメールの情報を集計し、是正が必要と考えた問題が表示される項目です。

Title : Exchange Onlineの新しい Exchange 管理センターのメール フローの分析情報

URL : https://learn.microsoft.com/ja-jp/exchange/monitoring/mail-flow-insights/mail-flow-insights

メールフロー全体設定(設定箇所:設定 > メールフロー)

メッセージの送受信に関する組織の設定を管理する項目です。

「組織でSMTP AUTHプロトコルを無効にする」「レガシーTLSクライアントの使用を有効にする」といったセキュリティ関連の設定項目があります。

(セキュリティ関連度:★★)役割

管理者の役割(設定箇所:役割 > 管理者の役割)

Exchange Online関連の管理者権限を付与できます。

Entra IDロールにも同名のロールがいくつかあります(例えば、Security Administrator)が、この項目で設定できるロールは、Entra ID ロールとは別ものになります(権限として類似しているものも多数ありますが、一応別物です)

そのため、この項目で権限を設定しても、Entra ID ロールが付与されるということはありません(Entra 管理センターのロール画面にも反映されません)

少し補足(マニアックな内容なので読み飛ばしていただいて問題ありません)

Entra ID の一部ロールを、Entra 管理センターで設定した場合、 Exchange  管理センターのこの項目に表示されるものがあります。

例として、Entra ID の “セキュリティ管理者" にユーザーを割り当てるなどにより、Exchange 管理センター側に " SecurityAdmins_123456789″(数字はランダム) という役割グループが生成され、Exchange 管理センターの役割である Security Administrator に、当該 “SecurityAdmins_123456789" という役割グループがメンバーとして追加されます。

これにより、Entra ID の “セキュリティ管理者" に、Exchange Online の Security Administrator(役割グループ) の権限が付与されます。

ユーザの役割(設定箇所:役割 > ユーザの役割)

ユーザーが自分で所有する Exchange メールボックスと配布グループを管理するために必要なアクセスレベルをポリシーで定義できます。

作成したポリシーは以下の手順で、ユーザに適用できます。

・役割の割り当てポリシーの設定手順例

—————————————————————————————————-

1.管理者アカウントにて Exchange 管理センター (https://admin.exchange.microsoft.com/) にサインインします。

2.左ペイン [受信者] > [メールボックス] > [任意のメールボックス] をクリック > [メールボックス] タブをクリック > [メールボックス ポリシーの管理] をクリックします。

3.[役割の割り当てポリシー] のプルダウンから任意のポリシーを選択し [保存] をクリックします。

Outlook Web アプリポリシー(設定箇所:役割 > Outlook Web アプリポリシー)

「ユーザがパブリックまたは共用コンピュータをしようしといるときに、メールメッセージに添付されたファイルを開くことができます」 の設定項目

Set-OwaMailboxPolicy 上だと [DirectFileAccessOnPublicComputersEnabled] に該当します。

[DirectFileAccessOnPublicComputersEnabled] の設定項目は、以前の設定項目の名残であり、現在動作していない項目です(MSサポートに確認しました)

「ユーザが個人用コンピュータをしようしといるときに、メールメッセージに添付されたファイルを開くことができます」 の設定項目 ★ExOは、どのようにしてアクセス元のデバイスが、個人用か否か判断しているのかわからなかったので、確認しました。

Set-OwaMailboxPolicy 上だと [DirectFileAccessOnPrivateComputersEnabled] に該当します。

[DirectFileAccessOnPrivateComputersEnabled] の設定項目に関しては、ブラウザ上の Outlook on the Web から添付ファイルをダウンロードできるようになる項目になります。実際に ”False” (無効) に設定し、動作検証を行いました。

確認した結果、Outlook on the Web および 新しい Outlook 上で添付したファイルをダウンロードすることができない動作となり、OneDrive への保存もできず、プレビューのみが可能な状態となります。

※ Outlook on the Web および 新しい Outlook 上でメールを選択して 上部 の [・・・] から 名前を付けて保存を選択してもグレーアウトとなります。

※ Outlook (Classic) では OwaMailboxPolicy の影響は受けません。

[公開情報]

Title : Set-OwaMailboxPolicy

URL : https://learn.microsoft.com/ja-jp/powershell/module/exchangepowershell/set-owamailboxpolicy?view=exchange-ps

上記サイトにて、以下の公開情報が記載されております。

—ここから—

Exchange 2013 以降および Exchange Online では、既定ではすべての Outlook on the web セッションがプライベート コンピューター上にあると見なされます。

—ここまで—

現時点では パブリック コンピューター してのセッションとして検出できる環境は、オンプレミス環境のみです。

Exchange Online ではすべての Outlook on the web セッションがプライベート コンピューター上にあると見なされます。

(セキュリティ関連度:★)その他

予定の共有(設定箇所:組織 > 共有)

複数の Exchange Online テナントで予定を共有する設定に関する項目です。

Title : Exchange Online での共有

URL : https://learn.microsoft.com/ja-jp/exchange/sharing/sharing

モバイル(設定箇所:モバイル)

モバイルデバイスに付属されている標準のメールソフトを利用して、ExchangeActiveSyncというプロトコルで、ExchangeOnlineに接続したいケースで利用します。ExchangeOnlineに接続するための条件を定義できます(例:iPhoneからは接続不可とする)

Title : Exchange Online の Exchange ActiveSync

URL : https://learn.microsoft.com/ja-jp/exchange/clients-and-mobile-in-exchange-online/exchange-activesync/exchange-activesync

パブブリックフォルダ(設定箇所:パブリックフォルダ)

ドキュメントを共有する機能です。レガシー機能として位置づけられているため、TeamsやSPOが利用できる組織ではそちらを利用するのが望ましいです。

情報共有ができる機能であるという点で、セキュリティ関連の項目としています。

ちなみに、以下のようにパブリックフォルダメールボックスという概念も存在します。

パブリックフォルダーメールボックスは、パブリックフォルダを作成するためのストレージ領域と理解するとよいと思います。

Exchange Online

Posted by MITSUAKI TSURUTA