ルールに対して、データ取得モードが 2 種類存在します。
•監査モード – Policies for Microsoft 365 は、Microsoft 365 内の監査イベントを収集して、ポリシー外の設定を識別します。
•スキャン モード – Policies for Microsoft 365 は Microsoft 365 内の条件をスキャンして、ポリシー外の設定を識別します。
テナント レベル ポリシーの対応するルールについては、以下の表を参照してください。
|
ルール名 |
ルールの説明 |
データ取得モード |
|
自動転送の制限 |
メールの自動転送を制限します。 |
スキャン モード |
|
スパム対策フィルターのバイパス ルールの制限 |
特定のドメインからメールを受信する際に、スパム対策フィルターをスキップするためのメール フロー ルールの作成を制限します。 |
スキャン モード |
|
管理されていないデバイスからのアクセス制御 |
管理されていないデバイスからの SharePoint および OneDrive コンテンツへのアクセスをブロックまたは制限します。 |
スキャン モード |
|
匿名の予定表共有の制御 |
ユーザーが組織外の匿名ユーザーと予定表を共有できるかどうかを制御します。 |
スキャン モード |
|
非管理者に対する Exchange Online PowerShell アクセスの制御 |
非管理者に対して、Exchange Online PowerShell へのアクセスを制御します。 |
スキャン モード |
|
優先受信トレイの制御 |
優先受信トレイ ビューを有効にするかどうかを制御します。 |
スキャン モード |
|
すべてのユーザーに対するメールボックス監査の制御 |
すべてのユーザーのメールボックス監査を有効にするかどうかを制御します。 |
スキャン モード |
|
プラス アドレス指定の制御 |
プラス アドレス指定を使用して、標準メール アドレスに基づいてカスタム メール アドレスを迅速に作成することを許可するかどうかを制御します。 |
スキャン モード |
|
エイリアスからのメール送信の制御 |
エイリアスからのメール送信を許可するかどうかを制御します。 |
スキャン モード |
|
削除済みアイテムの保持期間の強制 |
完全削除されたメールボックス アイテムを回復可能なアイテム フォルダーに保持する期間を設定します。 |
スキャン モード |
|
DKIM 署名の強制 |
お使いのドメインのメールに、送信者の ID を確認できる DKIM (Domain Keys Identified Mail) 署名を追加します。 |
スキャン モード |
|
ゴースト ゲスト ユーザーの検出 |
SharePoint Online サイト、グループ、チームにメンバーシップを持っていないゲストを検出します。 (Microsoft 365 グループ、配布グループ、動的配布グループ、セキュリティ グループ、メールが有効なセキュリティ グループ、共有グループを含みます。) |
スキャン モード |
|
グループ ゲスト アクセスの制限 |
組織外のユーザーをゲストとして招待できるかどうか、招待したゲストがグループ コンテンツにアクセスできるかどうかを制御します。 |
スキャン モード |
|
グループ / チーム作成の制限 |
グループまたはチームを作成できるユーザーを制御します。 |
監査モード |
|
グループ / チーム削除の制限 |
グループまたはチームの削除権限を持っているユーザーを制御します。 |
監査モード |
|
海外からの迷惑メールのブロック |
特定の言語で書かれたメール メッセージまたは特定の国・地域からのメール メッセージをブロックします。 |
スキャン モード |
|
レガシ メール プロトコルの制限 |
テナントのメールボックスを侵害する可能性のあるパスワード スプレー攻撃を防止するために、POP、SMTP、IMAP プロトコルを含むレガシ メール プロトコルの使用を制限します。 |
スキャン モード |
|
マルウェアの防止 |
マルウェアが検出されたメール メッセージを隔離することで、マルウェアから組織を保護します。 |
スキャン モード |
|
メッセージ サイズの制限 |
メールボックスによって送信・受信するメッセージの最大サイズを制限します。 |
スキャン モード |
|
送信迷惑メールのブロック |
送信迷惑メールから組織を保護します。 |
スキャン モード |
|
Outlook 外部メール タグの強制 |
外部送信者からのメールを識別するためのタグを Outlook の外部メールに追加するかどうかを選択します。 |
スキャン モード |
|
非アクティブなゲスト ユーザーの削除 |
特定の期間内に SharePoint Online サイト、グループ、チームに対するアクティビティを持っていないゲスト ユーザーを削除します。 |
スキャン モード |
|
リッチテキスト形式の制限 |
他のユーザーへの無効な形式のメール送信を回避するため、メールでリッチテキスト形式の使用を制限します。 |
スキャン モード |
|
共有メールボックス サインインの制限 |
関連するユーザー アカウントによる共有メールボックスへのサインインを許可するかどうかを制御します。 |
スキャン モード |
|
テナント レベルのサイト コンテンツの外部共有設定 |
SharePoint および OneDrive のテナント レベル外部共有設定を制御します。 |
スキャン モード |
|
Teams のタグ付け設定 |
組織全体でのタグの使用方法を制御します。 |
スキャン モード |
|
ユーザーの制限 |
特定のユーザーは指定したグループ / チームのメンバーシップのみに割り当てられます。 |
スキャン モード |
以下のことに注意してください。
•Teams のタグ付け設定 ルールを使用する場合、Policies for Microsoft 365 サービス アプリまたは委任されたアクセス許可を持つカスタム Azure アプリが必要です。Policies for Microsoft 365 サービス アプリは 2024 年 2 月リリースの前に作成された場合、AvePoint Online Services でアプリを再承認する必要があります。
•非アクティブなゲスト ユーザーの削除 ルールを使用する場合は、Microsoft Entra ID P1 または P2 ライセンスが必要になります。
•ゴースト ゲスト ユーザーの検出 ルールでセキュリティ グループのメンバーシップの確認をスキップする場合、ルール設定で セキュリティ グループのメンバーシップによって付与されたユーザー アクセスをスキップする を選択することができます。このオプションを選択すると、ユーザーがセキュリティ グループ以外のいずれの SharePoint Online サイト、チーム、グループに対する直接メンバーシップも持っていない場合、ゴースト ゲスト ユーザーとして報告されます。
•Update your applications to use Microsoft Authentication Library and Microsoft Graph API – Microsoft Tech Community の Microsoft お知らせにより、Policies for Microsoft 365 が使用する MFA 管理関連の API は利用できなくなりました。そのため、2022 年 3 月 6 日から MFA 状態の強制 ルールが削除されました。
•API の制限により、検疫されたメッセージおよび配信されなかったメッセージの通知設定が利用できなくなりました。そのため、マルウェアの防止 ルールの関連ルール設定が削除されました。
Microsoft 365 環境の規模によっては、一部のルールの ポリシー強制 ジョブの完了に長時間がかかる場合があります。これらのルールを含むテナント レベル ポリシーのスケジュールの頻度を低く設定することを推奨します。
|
ルール名 |
ルールの説明 |
|
ゴースト ゲスト ユーザーの検出 |
SharePoint Online サイト、グループ、チームにメンバーシップを持っていないゲストを検出します。 |
|
グループ / チーム作成の制限 |
グループまたはチームを作成できるユーザーを制御します。 |
|
グループ / チーム削除の制限 |
グループまたはチームの削除権限を持っているユーザーを制御します。 |
|
非アクティブなゲスト ユーザーの削除 |
特定の期間内に SharePoint Online サイト、グループ、チームに対するアクティビティを持っていないゲスト ユーザーを削除します。 |
|
ユーザーの制限 |
特定のユーザーは指定したグループ / チームのメンバーシップのみに割り当てられます。 |
Exchange 管理者 ロールが必要なサービス レベル ポリシーのルールについては、以下の表を参照してください。
|
ルール名 |
ルールの説明 |
|
自動転送の制限 |
メールの自動転送を制限します。 |
|
スパム対策フィルターのバイパス ルールの制限 |
特定のドメインからメールを受信する際に、スパム対策フィルターをスキップするためのメール フロー ルールの作成を制限します。 |
|
匿名の予定表共有の制御 |
ユーザーが組織外の匿名ユーザーと予定表を共有できるかどうかを制御します。 |
|
すべてのユーザーに対するメールボックス監査の制御 |
すべてのユーザーのメールボックス監査を有効にするかどうかを制御します。 |
|
非管理者に対する Exchange Online PowerShell アクセスの制御 |
非管理者に対して、Exchange Online PowerShell へのアクセスを制御します。 |
|
優先受信トレイの制御 |
優先受信トレイ ビューを有効にするかどうかを制御します。 |
|
プラス アドレス指定の制御 |
プラス アドレス指定を使用して、標準メール アドレスに基づいてカスタム メール アドレスを迅速に作成することを許可するかどうかを制御します。 |
|
エイリアスからのメール送信の制御 |
エイリアスからのメール送信を許可するかどうかを制御します。 |
|
削除済みアイテムの保持期間の強制 |
完全削除されたメールボックス アイテムを回復可能なアイテム フォルダーに保持する期間を設定します。 |
|
DKIM 署名の強制 |
お使いのドメインのメールに、送信者の ID を確認できる DKIM (Domain Keys Identified Mail) 署名を追加します。 |
|
海外からの迷惑メールのブロック |
特定の言語で書かれたメール メッセージまたは特定の国・地域からのメール メッセージをブロックします。 |
|
レガシ メール プロトコルの制限 |
テナントのメールボックスを侵害する可能性のあるパスワード スプレー攻撃を防止するために、POP、SMTP、IMAP プロトコルを含むレガシ メール プロトコルの使用を制限します。 |
|
マルウェアの防止 |
マルウェアが検出されたメール メッセージを隔離することで、マルウェアから組織を保護します。 |
|
メッセージ サイズの制限 |
メールボックスによって送信・受信するメッセージの最大サイズを制限します。 |
|
送信迷惑メールのブロック |
送信迷惑メールから組織を保護します。 |
|
Outlook 外部メール タグの強制 |
外部送信者からのメールを識別するためのタグを Outlook の外部メールに追加するかどうかを選択します。 |
|
リッチテキスト形式の制限 |
他のユーザーへの無効な形式のメール送信を回避するため、メールでリッチテキスト形式の使用を制限します。 |
|
共有メールボックス サインインの制限 |
関連するユーザー アカウントによる共有メールボックスへのサインインを許可するかどうかを制御します。 |