Microsoft 365 グループの隠しメンバーシップの使用

2022年10月5日

グループメンバーシップを秘密にする

お客様は、マイクロソフトが 2014 年 11 月に Office 365 グループを立ち上げた直後に、Microsoft 365 グループのメンバーシップを非表示にしたいという要望を表明しました。マイクロソフトは2015年初頭にこの機能を正式に出荷しました。

グループのメンバーシップを隠すために、多くのシナリオが存在します。一部の教育機関は、クラスの完全なメンバーシップを明らかにすることを好まない。機密活動(合併買収プロジェクトなど)に従事する企業は、外部アドバイザーが内部チームに加わったという事実を隠したいかもしれません。他の組織は、いくつかの委員会のメンバーシップなどを隠すのが好きです。

非表示のメンバーシップを持つグループの作成

PowerShell のみが、非表示のメンバーシップを持つ Microsoft 365 グループの作成をサポートしています。このコードは、 新統一グループ コマンドレットを実行し、いくつかのメンバーと 2 番目の所有者を Add-UnifiedGroupLinks コマンドレット。を実行するアカウント 新統一グループ コマンドレットは自動的に所有者になります。

"Super.Secret.Team" -PrimarySmtpAddress Super.Secret.Team@office365itpros.com -HiddenGroupMembershipEnabled:$True -Name "Super Secret Team"
Add-UnifiedGroupLinks -Identity Super.Secret.Team -LinkType Member -Links Sean.Landy, Terry.Hegarty, James.Ryan, Jackson.Hoare, Jane.Sixsmith, Michael.King
Add-UnifiedGroupLinks -Identity Super.Secret.Team -LinkType Owner -Links Michael.King

グループに非表示のメンバーシップがある場合、Exchange Online は、そのメンバー (クライアントインターフェイス経由) とテナント管理者 (管理インターフェイス経由) にのみグループメンバーシップの詳細を表示することを意味します。この声明は100%真実ではありません。図 1 に示すように、ユーザーがアドレス一覧を参照すると、グループメンバーシップは表示されませんが、グループ所有者の 1 人 (グループメンバーでもある) は表示されます。これは、グループメンバーシップの一部が公開されていることを意味します。

配布リストは、非表示のメンバーシップもサポートしています。Microsoft 365 グループと同様に、新しい配布リストを作成するときに非表示のメンバーシップを設定することも、既存の配布リストのメンバーシップを非表示にすることもできます。たとえば、このコマンドは、非表示のメンバーシップを持つ新しい配布リストを作成します。

New-DistributionGroup -Alias "SecretDL" -Name "Secret Distribution List" -DisplayName "Secret Distribution List" -PrimarySmtpAddress SecretDl@office365itpros.com -HiddenGroupMembershipEnabled:$True

Microsoft 365 グループに非表示のメンバーシップがある場合、グループのプロパティを更新してもそのメンバーシップを明らかにすることはできません。ザ 統合グループの設定 コマンドレットは、 非表示のグループメンバーシップ有効 設定。ただし、配布リストの可視メンバーシップを復元することはできます。例えば：

Set-DistributionGroup -Identity SecretDL -HiddenGroupMembershipEnabled:$False

そして、あなたが間違いを犯した場合、あなたはコースを逆転させ、再びメンバーシップを隠すことができます。

Set-DistributionGroup -Identity SecretDL -HiddenGroupMembershipEnabled:$True

Exchange Online は、メンバーシップの可視性に対する変更が Outlook デスクトップで完全に有効になる前に、Outlook がダウンロードして適用するための更新された OAB ファイルを生成する必要があることに注意してください。

機密ラベルと隠しグループのプライバシー

プライベートな Microsoft 365 グループのみが非表示のメンバーシップを持つことができます。PowerShell およびその他の管理インターフェイスは、管理者がアクセスの種類をプライベートからパブリックに変更するのを停止します。考慮すべきもう 1 つのことは、新しいグループが受け取る必要がある機密ラベルです。機密ラベルは、グループのプライバシーの種類を制御できることに注意してください。コンテナー管理設定を適用する機密ラベルを割り当てる場合、ラベルによって設定されるアクセスの種類は[プライベート]である必要があります。そうでない場合は、エラーが表示されます。

図 2 は、Microsoft 365 管理センターのグループ設定を示しています。グループ機密ラベルは[機密アクセス]ですが、アクセスの種類を[プライベート]に設定するため問題ありません。アクセスの種類を Public に設定するラベルを使用しようとすると、あまり明確ではないわかりやすいエラーメッセージが表示されます。

Microsoft 365 管理センターで非表示のメンバーシップを持つ Microsoft 365 グループのプロパティを管理する — 図 2: Microsoft 365 管理センターでの非表示のメンバーシップを持つ Microsoft 365 グループのプロパティの管理

さらに、このインターフェイスを使用してプライバシー (アクセスの種類) を変更しようとすると、"非表示のメンバーシップを持つグループの可視性は更新できません."

アドレス一覧からグループを非表示にする

「にチームのメールアドレスを表示しない [見通し]設定は、グループの 非表示のアドレス一覧有効 財産。既定では、プロパティの値は False です。つまり、Exchange Online では、オフラインアドレス帳 (OAB) やグローバルアドレス一覧 (GAL) などのグループをアドレス一覧に含めます。このオプションを選択すると、ユーザーが Outlook アドレス一覧を参照するときに、グループのエントリが見つかる (したがって、その SMTP アドレスを表示できる) のを防ぐことができます。たとえば、Outlook アドレス帳にグループの兆候はありません (図 3)。

GAL に非表示のグループの痕跡がない — 図 3: GAL に非表示グループの痕跡がない

グループを表示するにはアドレス一覧で、管理センターで設定を更新するか、 統合グループの設定 プロパティを更新するには:

Set-UnifiedGroup -Identity Super.secret.team -HiddenFromAddressListsEnabled $False

グループの SMTP アドレスを非表示にしても、ユーザーがグループにメッセージを送信するのを止めることはできません。これは視覚的なブロックであり、トランスポートサービスに課せられたハードブロックではありません。グループにメッセージを送信できるユーザーを制限する場合は、 AcceptMessagesOnlyFromSendersormembers 財産。この例では、グループがグループメンバー以外のユーザーからのメッセージの受け付けを停止します。

Set-UnifiedGroup -Identity Super.secret.team -AcceptMessagesOnlyFromSendersOrMembers "Super.Secret.Team@Office365itpros.com"

チームと隠しメンバーシップ

Teams は、非表示のメンバーシップを持つ Microsoft 365 グループをサポートしています。グループをチームで有効にするには、 チームの追加 オプションは、Microsoft 365 管理センターのグループのプロパティの[全般]タブにあります。または、PowerShell を使用して Teams に接続し、 新チーム コマンドレットと グループ ID Microsoft 365 グループの Azure AD 識別子を指すパラメーター:

Connect-MicrosoftTeams
New-Team -GroupId (Get-UnifiedGroup -Identity Super.Secret.Team | Select-Object -ExpandProperty ExternalDirectoryObjectId)

チームにアクセスできるのはチームメンバーのみであるため、メンバーシップを表示できるのはチームメンバーだけです。

レポートへの影響

管理インターフェイスは常にグループメンバーシップデータにアクセスできるため、グループメンバーシップを非表示に設定すると、PowerShell コマンドレットとグラフ API 要求によって返されるデータに影響する場合と影響しない場合があります。たとえば、Teams メンバーシップのレポートを生成するスクリプトには、コードが各チームにアクセスしてメンバーシップを取得するため、非表示のメンバーシップが含まれています。しかし、 Graph TransitiveMemberOf API は、結果に非表示のメンバーシップを含めず、Microsoft 365 グループ (および Teams) のメンバーシップのレポートを生成するスクリプトには、非表示のメンバーシップデータを持つグループとチームは含まれません。

隠しは一部の人にとっては良いことです

テナントが非表示のメンバーシップを持つグループを使用し、長年にわたってこのトピックについて多くの質問を持っ Office365ITPros.com いない多くの状況に遭遇しません。この機能はそこにあり、動作し、一部の問題を解決します。それについて私たちが言う必要があるのはそれだけです。

Microsoft 365 エコシステムの変化する世界に追いつくには、 IT プロフェッショナル向け Office 365 電子ブック。毎月の更新は、加入者が新しい開発についてその都度知ることを意味します。

未分類

Posted by admin

Exchange オンラインアーカイブメールボックスが Purview コンプライアンスポータルから移動

未分類

メールボックスのアーカイブを Exchange 管理センターに戻す

Microsoft 365通知MC433154(8月29日投稿)は、マイクロソフトがアーカイブメールボックスのリストを削除しているという予期せぬニュースをもたらしました。マイクロソフトパービューコンプライアンスポータル (図 1) をクリックし、これらのオブジェクトに対する GUI 単独の責任を Exchange 管理センター (EAC) に移管します。

マイクロソフトは、これにより顧客体験が簡素化されると述べています。古いセキュリティ/コンプライアンスセンター(Purviewポータルとなった)は、MicrosoftがEACをアップグレードしている間、アーカイブメールボックスの便利な休憩場所であったと言います。いずれにせよ、アーカイブメールボックス(Outlookのアーカイブフォルダとは関係ありません)はEACに属しているため、これは正しいことです。2022 年 10 月以降、Purview ポータルのデータライフサイクル管理セクションのアーカイブページにアクセスできなくなります。

図 1: Microsoft Purview コンプライアンスポータルのメールボックスのアーカイブ

EAC メールボックスとアーカイブメールボックス

アーカイブメールボックスに関する情報に関する情報に関する表示の実装は EAC では異なります。EAC では、アーカイブを含むユーザーメールボックスのみを一覧表示する専用ページではなく、EAC にはメールボックスのアーカイブ状態が含まれます。 メールボックスの管理 リスト。状態が[なし]の場合、メールボックスにはアーカイブがありません。[アクティブ]の場合、メールボックスはアーカイブが有効です。EAC は、ユーザーと共有の両方のメールボックスを一覧に含め、エンタープライズ・アーカイブと50 GBに制限されているアーカイブアカウントに割り当てられているライセンスが原因です(図2)。

図 2: Exchange 管理センターに一覧表示されているアーカイブメールボックス (状態)

EAC からメールボックスのアーカイブを管理するには、リストからメールボックスを選択してそのプロパティを表示し、余人タブ(他のサービスと同様)。次に、 メールボックスアーカイブの管理.ここでアーカイブメールボックスを有効または無効にできますが、展開可能なアーカイブを管理することはできません (下記参照)。

アーカイブを作成したら、ユーザーは Outlook からドラッグアンドドロップを使用して、プライマリメールボックスからアーカイブにアイテムを移動できます。ただし、これはめったに発生せず、メールボックスアイテム保持ポリシーで構成され、メールボックスに割り当てられた既定のアーカイブタグは、ほとんどのアイテムをアーカイブメールボックスに移動する役割を担います。アイテムをアーカイブに移動する機能は、メールボックスアイテム保持ポリシーに固有であり、これらのポリシーを Microsoft 365 アイテム保持ポリシーと共に引き続き使用する正当な理由です。.

アーカイブが有効な共有メールボックスには、Exchange Online プラン 2 ライセンスが必要です。

アーカイブの自動拡張

エンタープライズアーカイブは、自動拡張アーカイブと呼ばれます。2015 年 6 月に “ボトムレス" アーカイブの概念を導入したとき、マイクロソフトは、拡大し続けるアーカイブメールボックスは無限に増加し続ける可能性があるとお客様に語った。しかし、運用上および技術上の実質性は少し、 Microsoftは、エンタープライズ・アーカイブに1.5 TBの制限を設けることを決定しました。 2021年に。Exchange Online は、アーカイブに新しい “記憶域チャンク" (補助メールボックス) を追加することによって、拡張可能なアーカイブを構築します。構造を形成するストレージ・チャンクは、論理構造を形成するために互いに接続されます。Exchange Online は、既存のストレージが 90% 占有されていることを検出したときに、新しいストレージチャンクをアーカイブに自動的に追加します。

組織で拡張可能なアーカイブが有効になっている場合でも、メールボックスでこの機能が自動的に使用されることはありません。代わりに、管理者は、 有効化メールボックス コマンドレット。以下に示す最初のコマンドは、アーカイブを有効にします。アーカイブメールボックスは、展開可能なアーカイブに変換する前に、適切な場所にある必要があります。

Enable-Mailbox -Identity Michael.King -Archive
Enable-Mailbox -Identity Michael.King -AutoExpandingArchive

まだ有効になっていないすべてのメールボックスにアーカイブメールボックスを割り当てる場合は、次のようなコマンドを実行できます。

Get-ExoMailbox -RecipientTypeDetails UserMailbox -Properties ArchiveStatus | Where-Object {$_.ArchiveStatus -eq "None"} | Enable-Mailbox -Archive

有効なすべてのメールボックスが自動展開可能なアーカイブを使用するようにするには、次のコマンドを実行します。

Get-ExoMailbox -RecipientTypeDetails UserMailbox -PropertySets Archive | Where-Object {$_.ArchiveStatus -eq "Active" -and $_.AutoExpandingArchiveEnabled -eq $False} | Enable-Mailbox -AutoExpandingArchive

Exchange Server は、拡張可能なアーカイブをサポートしていません。メールボックスをオンプレミスのサーバーに戻す場合は、展開可能なアーカイブに対して有効にしないでください。

レポート作成アーカイブ・メールボックス

EAC GUI は、アーカイブが有効な少数のメールボックスに関する詳細を検出する場合に使用できますが、PowerShell はアーカイブメールボックスの詳細を報告するためのより良いオプションです。このスクリプトは、アーカイブが有効なすべてのユーザーと共有メールボックスを検索し、各アーカイブメールボックスのアクティブ度を報告します。.

[array]$Mbx = Get-EXOMailbox -PropertySets Archive -Properties DisplayName  -RecipientTypeDetails UserMailbox, SharedMailbox -Filter {ArchiveStatus -eq "Active"} | Sort DisplayName
If (!($Mbx)) { Write-Host "No archive-enabled user or shared mailboxes found - exiting" ; break }
Write-Host ("Processing {0} archive-enabled mailboxes" -f $Mbx.count)

$MbxReport = [System.Collections.Generic.List[Object]]::new()
ForEach ($M in $Mbx) {
  Write-Host "Processing" $M.DisplayName
  $Stats = Get-ExoMailboxStatistics -Identity $M.ExternalDirectoryObjectId -Archive
  [long]$QuotaUsed =  $stats.TotalItemSize.Value.toString().Split("(")[1].Split("bytes")[0]
  [long]$Quota = $M.ArchiveQuota.Split("(")[1].Split("bytes")[0]
  $PercentQuotaUsed = ($QuotaUsed/$Quota).ToString("P")
  $ReportLine = [PSCustomObject][Ordered]@{  
   Mailbox      = $M.DisplayName
   UPN          = $M.UserPrincipalName
   Archive      = $M.ArchiveStatus
   ArchiveItems = $Stats.ItemCount
   ArchiveSize  = $Stats.TotalItemSize.Value.toString().Split("(")[0]
   ArchiveQuota = $M.ArchiveQuota.Split("(")[0] 
   PercentUsed  = $PercentQuotaUsed
   Type         = $M.RecipientTypeDetails
   }
   $MbxReport.Add($ReportLine)  
}
$MbxReport | Out-GridView

出力は PowerShell リストに格納されるため、リストを アウトグリッドビュー コマンドレット (図 3) または CSV ファイル、Excel ブック、または HTML レポートにエクスポートする。

図 3: アーカイブメールボックスの現在の状態のレポート

ご覧のとおり、一部のメールボックスのアーカイブクォータは 110 GB です。これは、アイテム保持ポリシーまたは保持がこれらのメールボックスに適用されるためです。少なくとも、それは何ですマイクロソフトはドキュメントで述べています.ただし、これらのメールボックスのいくつかは 100 GB のアーカイブクォータしか持たず、アイテム保持ポリシーの対象になります。

簡単なテストとして、新しいメールボックスをいくつか作成し、訴訟ホールドの対象にして、アーカイブに対して有効にしてから、アーカイブの自動拡張を有効にしました。すべてのメールボックスが 110 GB のアーカイブクォータを受信しました。拡張可能なアーカイブを受け取った古いメールボックスは、元の 100 GB の割り当てにとどまると結論付けます。おそらく、Exchange Online は、次にアーカイブを拡張するためにチャンクを追加するときにクォータを引き上げます。

移動しても違いはありません

Microsoft Purview コンプライアンスポータルがアーカイブメールボックスを特色にしており、EAC への復帰が報告されても大きな違いがないことを多くの人が知っていたとは思えません。アーカイブメールボックスは、PowerShell が大規模に管理するための優れた方法であっても、ずっと存在していたはずの場所に戻っています。

Microsoft 365 テナント管理者が利用できるデータを利用する方法については、 IT プロフェッショナル向け Office 365 電子ブック。私たちは、物事がどのように機能するかを理解するのが大好きです。

未分類

Posted by admin