Office365で利用できるExchange Onlineには、プラン1とプラン2が有ります。大きく言うと、メールボックス容量が無制限で監査アーカイブ機能に対応した物がプラン2という括りになります。
プラン1とプラン2は、定価ベースで倍値段が違く、一般的な利用であればプラン1のメールボック容量の制限25GBを越えるというのは難しい為、プラン1で良いように思えますが、
「30日以上の期間を遡ってメールボックスの監査を運用上(もしくは法令上)実施する必要のある」ユーザーにとっては、プラン2を契約するのが一番の(というか唯一の)選択肢になります。もう少しクラウドサービスが出そろえば、プラン1+クラウドのジャーナルアーカイブなども考えられますが。
というのも、Office365で謳っている「アーカイブ機能」というのは、一般的に言う「ジャーナルアーカイブ」ではなく「個人のメールボックスアーカイブ」になります。つまり、ユーザは自由にメールボックス上にある過去のメールを削除したり変更したりでき、かつ削除したアイテムは14日後にクラウド上から消え去ります。通常メールの監査を行う場合は、短くて半年なり長い場合は3年、5年間にわたり全社員の送受信したメールの記録を取る必要がございますので、ここの保全の機能でプラン2が必要になる訳です。
「高い金出してうちはプラン2を契約しているから監査対応はバッチリです。」
いえいえ、単に契約しただけでは、実際にはプラン1と変わらない状態でデプロイされてますので、プラン2向けの設定をちゃんと入れてあげる必要があります。(デフォルトのポリシー変えてくれれば良いのに…)
とりあえず、やる必要のある工程は、デフォルトの設定を考えると通常の企業だと
- 訴訟ホールドもしくは期間限定訴訟ホールドの有効化
- アーカイブメールボックスの有効化
- メールボックス監査ログの有効化
- メールボックス監査ログの有効期限の設定(任意)
- 必要なプロトコル以外の無効化(任意)
あたりでしょうか? このうち1番と2番のみ(2番が容量無制限)はプラン2の機能、3~5はプラン1でもできる物です。また、1番で期間限定訴訟ホールドを実装するには、SRベースで対応をして貰う必要があります。SRだと時間が掛かるのと、ユーザの追加の度に実施するのは少し面倒なので、今回は訴訟ホールドのONでPowerShellで実装します。(1,2はECPからGUIでも実施できます)
$TarMBX = Get-Mailbox -identity user1 $Name = $TarMBX.DisplayName Enable-Mailbox -identity user1 -Archive Set-Mailbox -identity user1 -LitigationHoldEnabled $true -AuditEnabled $true -AuditLogAgeLimit 183.00:00:00 -ArchiveName "アーカイブ メールボックス - $Name" Set-CASMailbox -identity user1 -ActiveSyncEnabled $false -ImapEnabled $false -PopEnabled $false -EwsEnabled $false
実施するコマンドは3つで、それぞれ以下のような感じでやってるサンプルです。
- Enable-Mailbox…②アーカイブメールボックスの作成
- Set-Mailbox…①訴訟ホールド有効化、③メールボックス監査ログ有効化、④メールボックス監査ログ期間半年に設定、②アーカイブメールボックス名変更(GUIのデフォルト値に)
- Set-CASMailbox…⑤MAPI(Outlook)とOWA以外での接続のプロトコルの無効化
とりあえずこの状態にしておけば、あれば何か有っても大丈夫な気がします。強いて言うなら以下の辺を注意でしょうか
- ユーザーを削除すると過去のメールボックスごと30日後にクラウド上から情報が消え去る
※必要な期間消さないで下さい。もしくは.PSTにダウンロードしてから消して下さい - 管理者監査ログの保持期限が90日なので、それより前の特権利用アクセスの有無の調査ができない
※Set-AdminAuditLogConfigコマンドで設定変更できるとマニュアルには記載がありますが、実装されていません