Microsoft 365 外部向け暗号済みメッセージのアクセス履歴を確認できるようになるようです

Exchange 周りの改善がここにきて増えてきた感があるのですが、次は監査の観点で更新が入ります。

暗号化されたメッセージを外部ユーザーが受け取った際、以下のようなメールが送付されるのですが、そこに記載されている URL からメッセージを見る流れとなっています。

この中で利用される URL へのアクセス状況を監査対象に含めることができるようになる。という話のようです。

以下のメール文のメッセージを読むという部分へのアクセスですね。

f:id:mohessu:20220319231248p:plain

実際は以下のアドレスにパラメータが付与された URL となっており、このサイトへのアクセスがどれだけあったのかという点を監査できる見込みです。

https://outlook.office365.com/Encryption/authenticationpage.aspx

2022 年 4 月中頃までには利用できるように鋭意対応中とのこと。

この案内はメッセージセンターに来ていたのですが、監査の対象となるのは以下の 5 項目となっているので、監査としては問題ないかなという感じでしょうか。(内容がどこまで見ることができるのか。という点には注目しておいたほうがよさそうですね。)

  • メッセージを開く
  • 返信転送を行った
  • 添付のダウンロード
  • 添付のプレビュー
  • 認証要求

f:id:mohessu:20220319232255p:plain

この機能を有効化するにはPowerShell から Set-IrmConfiguration コマンドレットを実行し、有効化する必要があります。

流れとしてはこんな感じですね。設定前に Get-IrmConfiguration コマンドレットで現在の状態を見ておくのが良いでしょう。

Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName UPN

Get-IrmConfiguration

f:id:mohessu:20220319221745p:plain

なお、この機能が利用できるようになるまでは Set コマンドレットは動作しないようでした。手元の環境では Get できるものの Set ではエラーとなる流れに、、、

Set-IrmConfiguration -EnablePortalTrackingLogs $true

f:id:mohessu:20220319222710p:plain

ちなみにこの機能、監査ログの取得が有効となっている必要があります。

コンプライアンスセンターで監査ログを有効化してあれば OK ですが、設定したかわからない場合は Exchange PowerShell で以下のコマンドレットを実行してください。

Get-AdminAuditLogConfig

中ほどにある UnifiedAuditLogIngestionEnabled が True となっていれば監査ログの取得は設定済みということになります。

f:id:mohessu:20220319224823p:plain

ここのところコマンドレットの利用が増えてきた感がありますが、うまく活用していきたいところですね!

音楽:Mugen