今回はユーザーで設定できる転送設定を禁止する方法について解説します。
よろしくお願いいたします
ユーザーで設定できる転送設定として、Outlook on the web のオプションの転送設定と受信トレイのルールの転送、および、リダイレクト(Outlookクライアントの仕分けルール)があります。
この転送設定を操作できないように禁止したい場合、ユーザーの役割をカスタマイズすることで可能です。
テナントの役割ベースのアクセス制御 (RBAC)といいます。
ユーザーの役割として、既定で[Default Role Assignment Policy]というポリシーが割り当てられており、その中に複数の役割グループが含まれています。
ユーザーの役割については以下の記事をご参照ください。
ユーザーの転送設定については、[MyBaseOptions]という役割グループをカスタマイズすることで禁止することができます。
[MyBaseOptions]をカスタマイズした役割をユーザーに付与することで、転送設定を禁止することができますが、管理者には、別途、管理者の権限が付与されているので、転送を禁止した役割を付与した場合でも、管理者の権限で転送設定ができてしまうので、あくまでユーザーのみ対象とすることしかできないことを注意してください。
また、Outlook on the web 側にのみしか適用できないので、Outlookクライアントの仕分けルールについては、禁止することができません。
なお、役割のカスタマイズはPowershellのコマンドレットでのみ実行可能です。
以下の記事を参考に、ExchangeOnlineに接続してから実行してください。
以下に手順をご紹介していきたいと思います。
◆ Outlook on the web オプションの [転送] を非表示、および 受信トレイルールの転送やリダイレクトを設定不可にする方法
-
以下のコマンドレットを実行し、新しい役割項目を作成します。
<構文>
New-ManagementRole -Parent "<コピー元の役割項目>" -Name "<新しい役割項目名>"
<実行例>
New-ManagementRole -Parent "MyBaseOptions" -Name "NewMyBaseOptions"
※ 実行例では既定の MyBaseOptions の役割をもとに作成しますので、NewMyBaseOptions という名前で作成しております。
-
以下のコマンドレットを実行し、作成した役割項目の機能を制限します。
[構文]
Set-ManagementRoleEntry -Identity "<手順 1. で作成した役割項目>\<コマンド名>" -Parameters <削除するパラメーター名> -RemoveParameter
[実行例]
2-1.
Set-ManagementRoleEntry -Identity "NewMyBaseOptions\Set-Mailbox" -Parameters DeliverToMailboxAndForward,ForwardingAddress,ForwardingSmtpAddress -RemoveParameter
2-2.
Set-ManagementRoleEntry -Identity "NewMyBaseOptions\New-InboxRule" -Parameters RedirectTo,ForwardTo,ForwardAsAttachmentTo -RemoveParameter
2-3.
Set-ManagementRoleEntry -Identity "NewMyBaseOptions\Set-InboxRule" -Parameters RedirectTo,ForwardTo,ForwardAsAttachmentTo –RemoveParameter
2-1.では、Set-Mailboxに含まれるOutlook on the webのオプションの転送設定に必要なパラメーターを削除してます。
2-2.と2-3.では、受信トレイのルールの転送、リダイレクトに必要なパラメーターとして、New-InboxRuleでルールの作成に関するパラメーター、Set-InboxRuleでルールの編集に関するパラメーターを削除してます。
-
作成した役割項目を内包した新しいポリシーを作成します。
3-1. Exchange 管理センターへ管理者でサインインします。
3-2. [アクセス許可] > [ユーザーの役割] をクリックします。
3-3. [+] をクリックします。
3-4. [名前] にて任意の役割グループ名 (本手順では仮に Noforwarding と入力) を入力します。
3-5. 手順 1. で作成した [NewMyBaseOptions] と [MyBaseOptions] 以外のすべての役割をチェックします
3-6. [保存] をクリックします。
作成した[NewMyBaseOptions]にだけチェックをいれるようにしてください。
もし、[MyBaseOptions] にチェックを入れると、カスタマイズされていない役割が付与されてしまうので、転送設定が無効化されません。
-
作成したポリシーをユーザーへ付与します。
作成したポリシーを付与するユーザーの範囲によって、下記の 4-1 ~ 4-3 のいずれかの手順にて、ポリシーを付与してください。
4-1. 特定のユーザーにポリシーを付与したい場合。
Set-Mailbox -Identity <対象ユーザーのメールアドレス> -RoleAssignmentPolicy Noforwarding
4-2. すべてのユーザーにポリシーを付与したい場合。
Get-Mailbox | Set-Mailbox -RoleAssignmentPolicy Noforwarding
4-3. 複数のユーザーにポリシーを付与したい場合。
複数のユーザーに対し一括してポリシーを割り当てる場合は、付与するユーザーの一覧を CSV ファイルで作成いただき、以下のコマンドレットを実行します。
4-4. CSV ファイルの作成
最初の 1 行は固定で、2 行目以降にポリシーを付与するユーザーのメールアドレスを記載します。
-記述
1 行目 : Identity
2 行目 : user01@contoso.com
3 行目 : user02@contoso.com
作成する CSV ファイルは UTF-8 形式で保存してください。
-----------------------
UTF-8形式での保存の手順
-----------------------
(a). CSV ファイルを右クリックし、[プログラムから開く] - [メモ帳] の順にクリックします
(b). 開いたメモ帳で [ファイル] - [名前を付けて保存] の順にクリックします。
(c). ファイルの種類で「すべてのファイル」を選択します。
(e). [保存] をクリックします。
※ 本例での CSV ファイル名は [User.csv] としております。
4-5.作成したCSVファイルを読み込み、一括してポリシーを付与するコマンドレットの実行
<構文>
Import-Csv C:\<CSV ファイルを格納したフォルダパス>\<ファイル名>.csv | Foreach { Set-Mailbox -Identity $_.Identity -RoleAssignmentPolicy "Noforwarding" }
<実行例>
Import-Csv C:\Temp\User.csv | Foreach { Set-Mailbox -Identity $_.Identity -RoleAssignmentPolicy "Noforwarding" }
本設定が反映後、一般ユーザーの Outlook on the web オプション画面では [転送] の表示がなくなります。
また、[受信トレイルール] の転送やリダイレクトルールを作成する際は、[指定されたオプションを更新する権限がありません。] とエラーが発生することにより、一般ユーザーからの転送やリダイレクト設定実施を制限することが可能です。
なお、Outlookクライアントの仕分けルールについては、禁止できないとご説明いたしましたが、別途、トランスポートルールを作成することで転送先への配信を禁止することができます。
設定自体はできますが、転送先にしているメールボックスへの配信を禁止することができます。 なお、MAPI接続であることが前提であるため、POP接続やIMAP接続の場合は禁止することができません。
■ トランスポートルールの設定方法
- Exchange 管理センター (https://outlook.office365.com/ecp/ )にアクセスし、管理者のユーザーでサインインします。
- 画面左側のメニューから [メールフロー] をクリックします。
- [ルール] をクリックし、[+(ルールの新規作成)] をクリックします。
- 画面下部の [その他のオプション...] をクリックします。
- [名前:] にて任意のルール名を入力します。
- [このルールを適用する条件...] にて [メッセージのプロパティ...] > [メッセージの種類を含む] > [自動転送] を選択します。
- [実行する処理] にて [メッセージをブロックする...] > [だれにも通知せずメッセージを削除する] を選択します。
- [保存] をクリックします。
広告
目の疲れを防止するにはPCメガネがオススメです!