最近のOffice365は既存動作の変更が多く入っているように感じますが、Exchange Onlineの転送時のEnvelope Fromアドレスが変更となるようです。

Sender Rewriting Scheme (SRS) coming to Office 365 – You Had Me At EHLO…

詳細は上記にあるように、今までは転送時にEnvelope Fromをそのまま転送していたところ、2018年7月16日以降順次、Envelope Fromのアドレスを特定フォーマットでエンコードして、FromドメインがSPFやDKIM、DMARC的に問題なくなるように変更されるとのことです。

このページに記載されている例は非常にわかりやすいので、これを見るとどうなるのか一目瞭然かと思います。

オリジナルが左側で、転送設定が入った場合のEnvelope Fromが中段の太字ですね。

受信者（Recipient）はOffice365ユーザーの前提として、その受信者のドメインから送付される形に見せかけているというわけです。

この形にすればSPFレコードには送信時のIP、CNAMEが設定されているため問題なく送付される。という考え方ですね。

理にかなった形ですが、Envelope Fromを意識したアドインなどを利用している場合は注意が必要かもしれません。

音楽：説得

Office365 E3/E5を利用している場合Azure RMSが利用できますが、ライセンスを持っていても利用しない場合は以下の図のようにオフにすることができます。

特にAD RMSを利用している場合（オンプレの同様の機能）は、バッティングしないようにオフにしておく必要があります。

しかしながらこの2018年7月1日よりAzure RMSの機能が自動的に有効化される旨の情報が入ってきました。

Prepare the environment for Azure RMS and AD RMS | Microsoft Docs

Azure RMS および AD RMS 用の環境を準備する | Microsoft Docs

なぜか日本語サイトにはその情報は載っていないのですが、7月より自動的に有効化されるようになるので、AD RMS利用者は互換性維持のためにオフに設定するように。という方法が記されています。

AD RMSを利用しているケースでは6月中に以下コマンドをExchange Onlineに設定する必要が出てきます。

Set-IRMConfiguration -AutomaticServiceUpdateEnabled $false

以下に暗号化設定をExchange Onlineに行った際のPowerShellコマンドが記されているので、上記コマンドを最後に入力するようにしておくとよいでしょう。 

Office365 Exchange Onlineの添付暗号化が新しくなったようです - （）のブログ

なお、AD RMSについてはAzure RMSへの切り替えを推奨されていることもあるので、どこかのタイミングでマイグレーションすることを検討しておいた方がよいかもしれません。マイグレーションについては以下にやり方が記載されているので検討を進めておきましょう。

https://support.microsoft.com/ja-jp/help/4023955/an-update-is-available-for-office-to-support-migrations-from-ad-rms-to

音楽：龍馬

半年くらい前に紹介した生産性アプリの検出（Cloud App Security）ですが、久々に覗いたところ、アラートが上がってきていたので紹介します。

Office365 生産性アプリの検出機能について - （）のブログ

こんな感じにアラートにマークが表示されていました。

アラートを押下すると頻度の低い国からのアクセス。ととらえられたようです。

どんな状況だったのか。はアクティビティをクリックすることでわかるようになっているようです。

今回検出された原因は、久々のMCASへのアクセスであったこと。ということのようです。
どのIP帯（おそらく国帯）からのアクセスであったのか、どれくらいの期間アクセスがなかったのか。という観点でもチェックしてくれるようですね。

この粒度で見てもらえると、確かに不審なアクセスがあったのではないか。というところに行きつくことができそうです。

今回は単純に久々に自分自身がアクセスしただけだったため、問題なし。として解決済みととしてマークを付けることができました。
右側にあるアラートを解決するを押下するとどうして解決できたのかコメントを入力することで解決済みにすることができます。

解決済みとなると、このように緑色で先に入力した内容とともに通知がされてきます。

逆に本当に問題が起きていた場合は関連するユーザーのアカウントを停止するなどの処置を即座に行うことができます。

ここまで見ていると、事前の運用設計が非常に難しそうですが、チェックからエスカレーションまでと判断の観点をうまく切り分けて運用設計を行えばかなり有用なセキュアツールとなりそうです。

ライセンス的に利用できる場合（Office 365 Enterprise E5に含まれます）はぜひ積極的に利用していきたいですね。

音楽：Go Dark

RS5が出てきた当初、外部ファイルにはアイコンに大きな盾のマークで外部ファイルであることが分かる印が付いていましたが、Build17686ではその痕跡が跡形もなくなくなってしまいました。

下部のセキュリティ欄には他のコンピューターから取得した旨は表示されていますが、アイコンに盾のマークはなくなっています。

逆に、右クリックした際にはDefenderスキャンの項に盾マークが表示されていますね。
なんだか、アイコンのサイズが大きいので少し不格好です。

このアイコンを押下すると、Windows セキュリティが立ち上がります。
そして一瞬だけカスタムスキャンが実行され、、、

何事もなかったかのようにふるまってくれます汗
スキャンファイルの名前などは表示されないため、スキャンしたのかどうかがわかりにくいですね。上記のスキャン結果も、10回ほどキャプチャを取り直してようやくとれたくらい、一瞬しか表示されませんでした笑
それでもファイル名は記されていないので、想定したものがスキャンされたかはわからない、、、

こういったところは改善の余地があるように思えます。ぜひファイル名が表示されるようになってくれるとよいですね。

音楽：MEMORY OF FANELIA