どうもミツシマです。

今回はExchange Onlineのメールフロールール(トランスポートルール)機能を用いて、組織外(社外)にメールを送信する際に上司の承認を得る必要がある環境を構築してみたいと思います。
いわゆる「上長承認」と呼ばれているものですね。

以下のサイトを参考に構築・検証してみました。
Exchange Online でメッセージの承認を管理する

Exchange Online での一般的なメッセージの承認シナリオ


〜検証〜

設定手順としては
  1. 対象ユーザーに上司を設定する
  2. メールフロールール(トランスポートルール)を設定する
となります。

まずは対象ユーザーに上司の設定を行います。
GUIでやる場合には、Exchange 管理センターから実施します。
対象ユーザーをダブルクリックし、「組織」-「上司」から設定します。
01-コマンド実行後確認GUI
(注)当たり前ですが、上司は1人しか設定出来ません。


また、複数人の上司を一括で設定することも可能です。
ユーザーを複数選択し、画面右にある「組織」-「更新」から実施します。
※以下の例では「test04」・「test05」・「test06」の3人に対して一括変更しています。 
02-一括変更

03-一括変更

04-一括変更

上司となるユーザー(ここでは「test01」)を確認すると「部下」として確認が可能です。
05-一括変更後確認
※「test02」と「test03」は既に別で追加済みの為、表示されています。


GUIだけでなくPowershellコマンド(CUI)でも設定可能でした。
コマンドとしては以下の通りです。
#上司を確認するコマンド
Get-User | Select Name,UserPrincipalName,Manger | Sort Name

#上司を設定するコマンド
Set-User -Identity (対象ユーザー) -Manager (上司に設定するユーザー)

(注)Exchange OnlineのPowershellコマンドレットの為、事前接続とコマンドレットのインポートが必要ですが、今回それらのコマンドは省略しています。
 詳しくは「(Office365)Exchange OnlineへPowershellで接続する方法」を参照ください。

↓↓コマンド実行した場合こんな感じになります↓↓
00-Powershellコマンド

コマンドについては最初「Get-Mailbox」や「Set-Mailbox」かな〜〜と予想していたのですが、違うコマンドが用意されているようでした。
それにしてもこの辺りはコマンドまとめてくれないかな〜〜と少し思ってしまった次第です、、、(^_^;)


とこんな感じで上司の設定は完了です。


次にメールフロールール(トランスポートルール)を設定していきます。
Exchange 管理センターの「メールフロー」-「ルール」から新規作成します。
テンプレートが用意されているので、「モデレーターにメッセージを送信する」を選びます。
10-ルール設定

「このルールを適用する条件」は「受信者の場所が 組織外」、実行する処理を「送信者の上司に転送して承認を受ける」とします。
11-ルール設定


画面の「その他オプション」をクリックすると以下のような表示になりますので、必要に応じて変更します。今回は特に変更してないですが。
12-ルール設定(詳細設定)

13-ルール設定(詳細設定)

設定完了後は「保存」します。
これでルールの作成も完了です!


では実際にどんな動作をするのかテストメールして確認してみたいと思います!!
部下(test05)が外部へメールを送ると上司(test01)には以下のようなメールが届きます。
20-外部へのテストメール

これを仮に「拒否」すると部下(test05)へは以下のようなメールが届きます。
21-外部へのテストメール(上長拒否)
英語表記ですが、上司に拒否されたことを示すメールが届くようです!!


仮に上司が「送信前に編集(コメント付きで拒否)」すると
22-外部へのテストメール(コメント拒否)

23-外部へのテストメール(コメント拒否)
部下には上司のコメント付きで拒否された事がわかるメールが届きます。
これだと拒否した理由がわかるのでいいですね!


ちなみに上司がそのまま「承認」した場合は部下に対しては承認したことがわかるメール等は来ないようです。
そして、上司の「送信済みメールボックス」には「承認」・「拒否」いずれかの対応をしたことを示すメールが残されるようです。
24-外部へのテストメール(上長の送信済みメールボックス


当たり前ですが、部下の「送信済みメールボックス」は仮に「拒否」されたとしてもメールが送信済みとして残されます。
25-外部へのテストメール(部下の送信済みメールボックス


ちなみに色々なパターンで検証してみると以下のような感じでした。
  • 上司が設定されていないユーザーから組織外(社外)ユーザーへメールした場合には、上長承認は動作せずにそのままメールが届く(⇒上司設定されていないので、ルールが機能していない)
  • 組織内のユーザーに対してメールした場合には、上長承認は動作せずにそのままメールが届く(⇒今回は組織外を対象としている為)
  • 自社テナントにゲストユーザーとして登録したアドレス宛にメールした場合には、上長承認が動作した(⇒ゲストユーザーとして登録しても組織外であることには変わりないから)
  • ToとCcで複数の組織外(社外)ユーザーへ一斉メールした場合でも、上司の承認は1度でOKだった。
  • ToとCcで組織内ユーザーと組織外(社外)ユーザーが混在していた場合は、組織内ユーザーにはそのままメールが届き、組織外(社外)ユーザー宛には上長承認が動作した。


最後にExchange 管理センターの「メールフロー」から「メッセージ追跡」という機能があるので、どんな感じで処理されているのか確認してみると、

上司設定されているユーザーのテストメールの追跡
30-テストメールのメッセージ追跡
トランスポートルールが動作し、外部宛に送信するメールは一旦「削除」されている動きをしているようです。
※その代わり上司宛にメールが転送されていることを示すログが別途確認出来ました。


反対に上司設定がされていないユーザーのメールを追跡してみると
31-テストメールのメッセージ追跡(上司なし)
トランスポートルールが動作していますが、ルールに該当しないと判断されているようでそのまま「外部に送信」されていることがわかります。
上司いないんだから転送しようがないので、当たり前ですが、、、^^;



と、色々と動きは確認出来たので今回の検証はこんなところで終了したいと思います。


P.S.外部送信メールの二重チェックという点では「上長承認」は良いかもしれませんが、やっぱり上司やシステム管理者の負担が大きい感じがしますね。
人事異動の度にメンテが必要ですし。。。(汗)
スポンサードリンク