Microsoft 365でユーザーによるメール転送設定を制限する方法
Microsoft 365 のユーザーが onmicrosoft.com に届いたメールを任意の外部アドレスへ転送してしまうと、情報漏えいリスクが高まります。
管理者として、こうした設定をユーザーに変更させない制限をかけるには「RBAC(役割ベースのアクセス制御)」の利用が有効です。
なぜRBACが必要なのか
Microsoft 365 管理センターでの転送設定と、Outlook on the Web(OWA)での転送設定は基本的に同じであるため、ユーザーはOWA上から転送先を自由に変更できてしまいます。
これを制限するには、RBACによって該当機能そのものを非表示にする必要があります。
RBACで転送設定を制限する全体の流れ
- Exchange Online に PowerShell で接続
- 既存の役割をコピーしてカスタムロールを作成
- カスタムロールから転送関連のパラメータを削除
- ポリシーを全体に割り当て
手順1:Exchange Online に PowerShell で接続
# Exchange Online PowerShell v2 モジュールが必要です
Connect-ExchangeOnline -UserPrincipalName 管理者ユーザー名手順2:カスタムのユーザー役割を作成
既存の MyBaseOptions をコピー
New-ManagementRole -Parent "MyBaseOptions" -Name "CustomMyBaseOptions"手順3:転送関連の設定パラメータを削除
以下のコマンドで転送関連の設定(DeliverToMailboxAndForward、ForwardingAddress、ForwardingSmtpAddress)をユーザー操作から除外します。
Set-ManagementRoleEntry "CustomMyBaseOptions\Set-Mailbox" `
-Parameters DeliverToMailboxAndForward,ForwardingAddress,ForwardingSmtpAddress `
-RemoveParameter手順4:デフォルトポリシーにカスタムロールを割り当て
- Exchange 管理センターにアクセス
- [役割] > [ユーザーの役割] をクリック
- [Default Role Assignment Policy] を開く
- (アクセス許可の管理>)[MyBaseOptions] のチェックを外し、[CustomMyBaseOptions] にチェック
- 保存して反映
※ 反映には時間がかかる場合があります。テストは一般ユーザーアカウントで行ってください。
確認方法:各ユーザーに割り当てられているロールの確認
以下のコマンドで、ユーザーメールボックスに割り当てられている「ユーザーの役割ポリシー」を一覧で出力できます。
Get-MailBox -ResultSize Unlimited -RecipientTypeDetails UserMailbox |
Select Name,PrimarySmtpAddress,RoleAssignmentPolicy |
Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\UserRoleAssignmentPolicy.csv"注意事項と補足
- RBAC設定はすべてのユーザーに影響するため、変更前にテスト環境で検証を推奨します
- 管理者アカウントはこの制限の対象外です
- 既存の転送設定をすでに持っているユーザーの設定は削除されません。別途確認が必要です
まとめ:RBACでユーザーによる転送設定をブロック
ユーザーによるメール転送の制限は、セキュリティの観点からも非常に重要です。
RBAC を活用することで、OWA 上の転送オプションを非表示にし、管理者以外の変更を防ぐことが可能です。
最新の公開情報を確認しつつ、組織の情報保護体制を強化する一環として、導入をぜひご検討ください。
コメント