Microsoft 365 でグループと予約済みの電子メール エイリアスを使用しての不整合

Microsoft 365 でグループと予約済みの電子メール エイリアスを使用しての不整合

現在の実装では、グループで予約されたエイリアスの一部ではなく、すべて使用がブロックされます。

SMTP 電子メール アドレスは、エイリアス (別名メール ニックネーム) とドメインで構成されます。エイリアスは、メールの受信を許可するために、メールボックスまたはその他のメールが有効なオブジェクトに割り当てられます。ユーザー クライアントは、新しいグループを作成するときに自動的にエイリアスを生成する傾向があります。Microsoft 365 管理センターや PowerShell などの管理インターフェイスを使用すると、新しいメールが有効なオブジェクトに与えられたエイリアスをより詳細に制御できます。

予約済みエイリアスは、通常は特定の目的のために保持される、機密性の高い名前です。 Azure AD は、予約済みまたは高い特権のエイリアスのセットを定義します。 メールが有効なグループの一部は許可されません。これらのエイリアスが、電子メール システムまたは Web サイトの連絡先アドレスである場合を含めて、多くの場合に役立つ目的。明らかに、あなたは人々が別の目的のために使用されていると仮定するかもしれない電子メールアドレスをハイジャックする一般的なまたは庭のグループを望んでいません。

電子メールシステムが予約エイリアスをリングフェンスすることは珍しいことではありません。 グーグルワークスペースは同じことを行います、それを説明する"次の単語は、groups.google.com で作成したグループの電子メールアドレスには使用できません:

  • 濫用
  • 管理者
  • 管理者
  • ホストマスタ
  • マヨルドモ
  • ポストマスタ
  • ssl-admin
  • ウェブマスター

Azure AD は、リストに “セキュリティ" と “セキュリティ" を追加します。

予約済みエイリアスを使用したグループの作成のテスト

Azure AD のドキュメントでは、Azure AD のグローバル管理者は、予約済みのエイリアスを持つグループを作成できることを示しています。これは、Microsoft 365 全体の実装の不整合を示す、使用される管理インターフェイスに依存するので、完全には当てはまりません。表 1 は、予約されたエイリアスを持つグループを作成できるかどうかを確認するために行ったいくつかのテストの結果を示しています。

管理エンドポイント グループの種類 予約済みエイリアスを使用して作成できますか?
マイクロソフト 365 管理センター メールが有効なセキュリティ グループ いいえ
セキュリティグループ はい
配布リスト いいえ
マイクロソフト 365 グループ はい
Exchange 管理センター 配布リスト いいえ
メールが有効なセキュリティ グループ いいえ
動的配布リスト はい
Azure AD 管理センター マイクロソフト 365 グループ はい
パワーシェル
新しい AzureAD グループ		 セキュリティグループ はい
新しい統合グループ マイクロソフト 365 グループ はい
新しい配布グループ 配布リスト いいえ
表 1: 予約済みエイリアスを持つグループを作成する機能の追跡

私はグローバルテナント管理者なので、予約済みエイリアスを持つメールが有効なグループを作成できる 5 つの管理エンドポイントを見つけることで、グローバル管理者がこれらのグループを作成できるドキュメントのアサーションが正しいことを確認します。より徹底的なテストは、特に PowerShell コマンドレットで、より多くを見つけるかもしれません。

しかし、この問題は、グローバル管理者が予約済みエイリアスを持つグループを作成できなかった 5 つの場所です。これらのうち 3 つは配布リストで、他はメールが有効なセキュリティ グループです。そこで矛盾が存在します。マイクロソフトのドキュメントでは、さまざまな種類のグループ オブジェクトをカバーし、特定の種類のグループに焦点を当てていない用語「グループ」について言及しています。これは、配布リストとメールが有効なセキュリティ グループが異なった扱いを受けている理由の問題を提起します。

テストは簡単です。管理インターフェースを選択し、予約済み別名を持つグループを作成できるかどうかを確認します (図 1)。

Microsoft 365 管理センターで予約済みエイリアスを使用して新しいグループを作成する
図 1: Microsoft 365 管理センターで予約済みエイリアスを使用して新しいグループを作成する

Microsoft 365 管理センターまたは Exchange Online 管理センターが、予約済みエイリアスを持つグループの作成に関する問題を検出すると、エラーのフラグを設定します。エラーテキストは決して完璧ではありません。まず、Azure AD と Exchange Online の間の同期の問題を指し示してから、ブロックされた単語が含まれているためエイリアスの値が正しくないと言います。

予約済みエイリアスを使用して新しいグループを作成するときにエラーが発生しました
図 2: 予約済みエイリアスを使用して新しいグループを作成するとエラーが発生する

Azure AD とエクスチャの同期を指すngeオンラインは誤解を招くものです。2 つのワークロードは、デュアル書き込みプロセスを使用して、メールが有効なオブジェクトの作成または更新が両方のディレクトリで発生するか、まったく行われないようにします。マイクロソフトは、Azure AD (Microsoft 365 のレコードのディレクトリ) と Exchange Online (メールが有効なオブジェクト用の独自のディレクトリを持つ) との間の同期の問題を回避するために、数年前にダブルライトを導入しました。このテキストを読み、予約済みのエイリアスが原因で新しいグループを作成しようとして Exchange Online が拒否され、Azure AD が書き込みを拒否したとします。

パワーシェルの不整合も

その他の管理インターフェイスでは、異なるエラーが発生します。たとえば、ここでは Azure AD PowerShell を使用して新しいセキュリティ グループを作成します。このグループはメールが有効になっていないため、Azure AD は予約済みエイリアスを受け入れます。グループのメールを有効にしようとすると、エラーが発生します。

New-AzureADGroup -Description "Abuse Group" -DisplayName "Abuse Group" -MailNickName Abuse -MailEnabled $False -SecurityEnabled $True

ObjectId                             DisplayName Description
--------                             ----------- -----------
d347eec5-62f1-4436-af41-e53fa18090be Abuse Group Abuse Group

Set-AzureADGroup -ObjectId d347eec5-62f1-4436-af41-e53fa18090be -MailEnabled $True
Set-AzureADGroup : Error occurred while executing SetGroup
Code: Request_BadRequest
Message: The service does not currently support writes of mail-enabled groups. Please ensure that the mail-enablement
property is unset and the security-enablement property is set.

Microsoft 365 グループと連携する Exchange Online コマンドレットは、予約済みのエイリアスを受け入れます。

New-UnifiedGroup -DisplayName "Majordomo Group" -Alias Majordomo -Members Tony.Redmond@office365itpros.com -Owner Tony.Redmond@office365itpros.com
Set-UnifiedGroup -Identity Majordomo -PrimarySmtpAddress Majordomo@office365itpros.com
Get-UnifiedGroup -Identity Majordomo | fl EmailAddresses

EmailAddresses : {SPO:SPO_720c5dd5-e387-4c93-836d-899466759f64@SPO_b662313f-14fc-43a2-9a7a-d2e27f4f3478, smtp:majordomo@office365itpros.onmicrosoft.com, SMTP:majordomo@office365itpros.com}

ただし、配布リストの Exchange Online コマンドレットは、予約済みエイリアスを割り当てるほどのコンテンツではありません。

New-DistributionGroup -DisplayName "Secure" -Alias "Secure" -PrimarySmtpAddress Secure@Office365itpros.com -Name "Secure Group"
An Azure Active Directory call was made to keep object in sync between Azure Active Directory and Exchange Online.
However, it failed. Detailed error message:
        The value specified for property Alias is incorrect. Reason: ContainsBlockedWord RequestId :
514d14b4-cc5f-4581-b97a-9930dff98542
The issue may be transient and please retry a couple of minutes later. If issue persists, please see exception members
for more information.
    + CategoryInfo          : NotSpecified: (:) [New-DistributionGroup], UnableToWriteToAadException
    + FullyQualifiedErrorId : [Server=DB9PR04MB8445,RequestId=9f8a149c-dc90-4196-9274-7625148d6280,TimeStamp=25/08/202
   1 12:05:53] [FailureCategory=Cmdlet-UnableToWriteToAadException] AEC31773,Microsoft.Exchange.Management.RecipientTasks.NewDistributionGroup
    + PSComputerName        : outlook.office365.com

移動すると、動的配布リストに予約済みのエイリアスを割り当てることができます。

Get-DynamicDistributionGroup "Secure DDL" | fl primarysmtpaddress

PrimarySmtpAddress : Secure@office365itpros.com

一貫性の必要性

これを見る1つの方法は、Microsoft 365内に新しいメールが有効なグループを作成する方法が非常に多く存在し、矛盾が生じないようにすることです。しかし、現在の状況は、細部への注意が不十分な兆候をすべて示しています。グローバル管理者は通常、グループを作成するときに何をしているかを知っています。ユーザーは配布リストと Microsoft 365 のグループ/チームを作成できます (ポリシーで許可されている場合) を使用して、予約済みエイリアスに絶対ブロックを配置する必要があります。

Microsoft が、グローバル管理者が予約済みエイリアスの使用をブロックの対象としない、または予約されたエイリアスを持つグループを作成できる場所とできない場所を正確に文書化するという主張に従っていればよいでしょう。何を期待し、どこでそれを行うかを知ることは、ドキュメントの穴を探るよりもはるかに優れています。

テナント管理者が利用できる Office 365 データを利用する方法を学習します。 IT 担当者向け Office 365 電子書籍。私たちは物事がどのように機能するかを考え出すのが大好きです。


未分類

Posted by admin