Mitteilung3

 誤判定が減る模様 Enhanced Filteringの機能に改善が入って、誤判定でメールが受信できないというケースが減りそうです。 Enhanced Filtering for Connectors - Improving Deliverability and Minimizing False Positives - Microsoft Community Hub Enhanced Filteringは、例えばメールセキュリティサービスなど、EXOに到達するまでに受信メール経路に複数のホップがあって、SPFやDKIMなどの判定が正しく行えるようにする機能ですが、それでも転送・リダイレクトされるケースではARC対応できていないサーバーを経由すると正しく判定できないことがあって、その対応ができたということかな。 Enhanced Filteringとは： Enhanced filtering for connectors in Exchange Online | Microsoft Learn 今回の改善で、compauthヘッダーがfailと判定されていたものがnoneになるらしいです。 てかEXOが付与するメールヘッダーの説明って公開されているんですね知らんかった。 Anti-spam message headers - Microsoft Defender for Office 365 | Microsoft Learn 以下ARC関連： メール認証における ARC の仕組みと DMARC fail の対策 - NFLabs. エンジニアブログ ARC について | なりすまし対策ポータル ナリタイ (naritai.jp) メールのARCとは？ ARCの仕組み、設定が必要なケースを解説 - ベアメールブログ (baremail.jp) Googleの送信ガイドラインが更新されるのでSPF/DKIM/DMARC/ARCをpostfixで署名+検証できるようにしたメモ #spf - Qiita

External Recipient Rate Limitが2025年1月から適用 Exchange Online上にあるメールボックスから 、24h以内に送信できる外部受信者数が2,000に制限されるようです。 Exchange Online to introduce External Recipient Rate Limit - Microsoft Community Hub Phase1: 2025/1から新規メールボックスに対してこの制限が適用 Phase2: 2025/7 - 12の間で既存のメールボックスにも適用 普通に使っていればあまり関係なさそうですが、引っかかって困る場合にはAzure Communication Services for Emailという別サービスを利用する必要がありそう。 Overview of Azure Communication Services email - An Azure Communication Services concept article | Microsoft Learn 大量にメールを送信するサービスにはHVE (High volume email) serviceというものもありますが、こちらも一日に2,000の外部受信者宛という同じ制限があるので、これは代替にならなそう。 Manage high volume emails for Microsoft 365 in Exchange Online Public preview | Microsoft Learn HVEについてはいつもお世話になっているこちらのブログにも紹介がありました。 Microsoft 365 メール送信方法に新たな方式が加わるようです - （）のブログ (hatenablog.com)

 RBACでの権限分割時の参考に Find the permissions required to run any Exchange cmdlet | Microsoft Learn

オンラインアーカイブの裏側にあるのは複数のメールボックス Exchange Onlineの オンラインアーカイブ（インプレースアーカイブ）は容量が一杯に近づくと自動で拡張がなされます。 一個のオンラインアーカイブがどんどん大きくなるイメージがありますが、実際は複数のメールボックスが増えていくようです。 Get-MailboxLocation -User aaa |sort mailboxlocationtype -Descending|%{ Get-MailboxStatistics  $_.id} |ft mailboxguid,TotalItemSize,*Delete* 自動拡張がされていると複数のメールボックスがあるのが分かります。 Get-MailboxLocation -User aaa   |sort mailboxlocationtype -Descending |ft mailboxlocationtype,mailboxguid -a   自動拡張がされているとPrimary, MainArchiveに加えて、AuxArchiveというMailboxLocationTypeのMailboxが確認できます。

 オンラインアーカイブ内のDeletedItemsにフォルダーがある状態で自動拡張するとそのフォルダーが消せない仕様、らしいです。 Can't delete folders in the Deleted Items folder of an archive mailbox in Exchange Online - Office 365 | Microsoft Learn

 直前のIPじゃなくて本当の送信元IPで評価したい そんなときはEnhanced Filteringです、Inbound Connector毎に評価をスキップするIPを定義できます。 EXOじゃなくてDefenderポータルにいます。 In the Microsoft 365 Defender portal, go to  Email & Collaboration  >  Policies & Rules  >  Threat policies  page >  Rules  section >  Enhanced filtering . Enhanced filtering for connectors in Exchange Online | Microsoft Learn

全メールボックスに対して権限を持たせたくない Exchange Onlineのメールボックスに対して権限を持つ、AAD Applicationを委任ではなくApplication権限で作成すると、そのままでは組織内の全メールボックスに対して権限を持つことになります。 意図してそういていれば問題はないですが、実際は一部のメールボックスだけ触れればいいケースもあり、そういった場合は当然権限の範囲をスコーピングして、定義したメールボックスだけ触れるようにしたいです。 そのための方法がApplication Access Policyの設定、Exchange Online PowerShellモジュールが要ります。 Application Access Policy cmdlet 新規作成： New-ApplicationAccessPolicy -AppId e7e4dbfc-046f-4074-9b3b-2ae8f144f59b -PolicyScopeGroupId EvenUsers@contoso.com -AccessRight RestrictAccess -Description "Restrict this app to members of distribution group EvenUsers." スコープを設定するためのDLが必要になります。 テスト： Test-ApplicationAccessPolicy -Identity user1@contoso.com -AppId e7e4dbfc-046-4074-9b3b-2ae8f144f59b Limiting application permissions to specific Exchange Online mailboxes - Microsoft Graph | Microsoft Learn

メールが一切削除できなくなったとき ユーザーからOutlookのゴミ箱からメールが削除できないという問い合わせがあった場合、RecoverableItemsQuotaの上限に達しているかもしれません。 LitiagtionHold（訴訟ホールド）がメールボックスで有効化されている場合、ユーザーが削除したアイテムは実は削除されず、Recoverable Items folderに格納されます。 これはメールボックスのアイテムの保全と、管理者が必要になった際にアイテムを取り出せるようにするための仕組みです。 このRecoverable Items folderの容量がいっぱいになってしまうと、ユーザーはそれ以上アイテムを削除することができなくなったり、見た目上空き容量はあるのにメールボックスが一杯ですという警告が出たりします。 確認 確認方法は以下の通りExchange PowerShell moduleのcmdletから。 Get-MailboxStatistics abc |fl TotalDeletedItemSize, TotalItemSize TotalDeletedItemSize                 : 30 GB (32,215,605,650 bytes) TotalItemSize                        : 8.5 GB (9,127,218,376 bytes) Get-Mailbox abv |fl ProhibitSendReceiveQuota, RecoverableItemsQuota, RecoverableItemsWarningQuota ProhibitSendReceiveQuota     : 12 GB (12,884,901,888 bytes) RecoverableItemsQuota        : 30 GB (32,212,254,720 bytes) RecoverableItemsWarningQ...

何個かだけ原因がよくわからないけど失敗する、けど他の同期済みメールボックスはとりあえず先に移行させたいとき、とか Exchange Sever – Exchange OnlineでHybrid構成をとっていると、オンプレミスからオンラインへのメールボックス移行はしばしば必要になりますし、移行過渡期だからHybrid構成であることも多いと思います。 メールボックスをオンプレミスからオンラインへ移行する際は移行バッチを作成し、そこに多くのメールボックスを含めて移行させることが多いです。 その際、例えば100メールボックス入った移行バッチのうち2個だけが原因がよくわからないエラーが繰り返し起こり、”同期済み”の状態にならないとします。 移行バッチを完了させるためにはそこに含まれるメールボックスがすべて”同期済み”になっている必要がある ため、この状態だといつまで経っても100メールボックスの移行を完了させることができません。 エラーの発生している2メールボックスだけバッチから削除しても良いのですが、そうするとその2つのメールボックスを移行するためには0からメールボックスの同期を行う必要があるため、サイズによっては結構な時間がかかります。 そんなときに使えそうなエラーの発生している2メールボックスだけを、アイテム同期のステータスはそのままに別のバッチに移す方法があり、以下のサイトに記載されています。 The 100 migration batches limit and how to not run into it – Microsoft Tech Community New-MigrationBatch -Name CompletionABC -UserIds EmailAddressOfUserA, EmailAddressOfUserB, EmailAddressOfUserC -DisableOnCopy -AutoStart New-MigrationBatchのオプションで既に他の移行バッチに含まれている移動要求を、新規移行バッチに移す New-MigrationBatch (ExchangePowerShell) | Microsoft Docs メールボックスを移す新規移行バッチ名が...

Multi Geo環境なExchange Onlineメールボックスの場所 Multi Geoが有効なMicrosoft365テナントだと、Exchange Onlineのメールボックスをどのリージョン（Geo）のデータセンターに配置するかユーザー単位で指定できます。 これはAADユーザーのPreferredDataLocation (通称PDL) にリージョンを表すアルファベット3文字を指定する（EURとかJPNとかNAM）ことで実現でき、別のリージョンに移動させるときも同様の方法です。 ただPDLを編集してから実際にいつメールボックスが移動されるかはコントロールできないので今どのジオにメールボックスがあるのか確認する必要が出てくる場合もあります。 その場合は以下のように確認。 cmdlet 構文： Get-Mailbox -Identity <MailboxIdentity> | Format-List Database,MailboxRegion* 例： Get-Mailbox -Identity chris@contoso.onmicrosoft.com | Format-List Database, MailboxRegion* 実行結果 Database : EURPR03DG077-db007MailboxRegion : EURMailboxRegionLastUpdateTime : 2/6/2018 8:21:01 PM Databaseプロパティが実際のMDB名で、先頭3文字がリージョンを表す。 MailboxRegionがPDLに設定してある管理者が指定したリージョン。 MailboxRegionLastUpdateTimeが最後にリージョン（Geo）情報が更新された年月日。 参考・引用 Administering Exchange Online mailboxes in a multi-geo environment – Microsoft 365 Enterprise | Microsoft Docs

Application Access Policy Support in EWS – Microsoft Tech Community システムで動かすアカウント等からEXOへEWS接続させる時に悩ましいのが、権限の対象を制限できないことでした。 メールボックスに対するフルアクセスをシステム利用ユーザーに対してだけ権限が必要なのに、関係ないその他全員にまで権限が及んでしまいます。 これがなんと制限できるようになったみたいです。Microsoft的にはGraph APIを用いたアクセスに移行させたいようなので、EWS周りはもう何も起こらないと思っていたいのですがこの要望は結構強かったのかもしれませんね。

Teams Roomsシステムとかで使ったり ExchangeやExchange Online上でリソースメールボックスを作り、会議室としてユーザーにOutlookやOWAから予約させたり予定を確認してもらうことがあります。Teams Roomsシステムなど、Teamsと連携した会議室システムの導入も増えてリソースメールボックスの作成も増えてるかもしれません。 Microsoft Teams Rooms 主催者の名前じゃなくて会議のSubject（タイトル）を見せたい デフォルトでリソースメールボックスの予定表は、予約された会議のSubject（タイトル）ではなく、予約者の表示名になります。 これは会議室を確認・予約しようとするユーザーが不特定多数いる場合を考えると、センシティブであったりショッキングな会議タイトルを秘匿できるので有用な設定です。 （”人員削減計画会議”とか”A社買収の計画について”とか見せたくないと思うので） しかし場合によっては予約者ではなく会議のタイトルが見える方がありがたい場合もあります。 そうした場合は会議室であるリソースメールボックスの以下の設定をを変更します。リソースメールボックスとして他にも設定しそうなパラメーターと共に紹介します。 Cmdlet Set-CalendarProcessing <リソースメールボックスの名前> Parameter -BookingWindowInDays 何日後の予定まで予約可能か -MaximumDurationInMinutes 1会議の最長時間を分で -AutomateProcessing 予約を自動で承諾、処理するか 選択肢はNone, AutoUpdate, AutoAccept オンプレミスかExchange Onlineか、GUIかPowerShellでデフォルト値が異なるようです。 -DeleteSubject 予約のSubject（タイトル）を削除するか この値がデフォルトTrueなので作ったまんまだと会議のタイトルはリソースメールボックス上の予定には表示されません。 -AddOrganizerToSubject 予約者の表示名を予約のSubject（タイトル）に追加するか この値がデフォルトTrueなので予約のタイトルには予約...

Exchangeアドレス帳から隠す隠さないとかの運用ってもうしたくないんだけど TeamsやStreamなどバックエンドで365グループが作られ利用されるサービスは沢山あり、GUIから作るとExchange OnlineのGlobal Address List (GAL)にデフォルト表示になっています。GAL表示されているとOWA（OOTW）からそのグループの参加申請ができるので、それが都合悪い場合はPowerShellから非表示にします。 GAL表示されている365グループ一覧の表示・非表示の変更 Exchange OnlineのPowerShellモジュールが要ります。 Get-UnifiedGroup -Filter {hiddenfromaddresslistsenabled -eq $false} -ResultSize unlimited|sort name|ft displayname,hiddenfromaddresslistsenabled -a 上記で取得可能なので一律非表示にするのも簡単です。 Get-UnifiedGroup -Filter {hiddenfromaddresslistsenabled -eq $false} -ResultSize unlimited | %{Set-UnifiedGroup $_ -hiddenfromaddresslistsenabled $true} Get-UnifiedGroup コマンドレットについてはこちら： https://docs.microsoft.com/en-us/powershell/module/exchange/get-unifiedgroup?view=exchange-ps  

[Exchange Online] RecoverableItemをUIから復元可能に メールボックスのゴミ箱から削除したアイテムなどが格納されるRecoverableItems領域からのアイテム復元がUIからできるようになったそうです。 https://techcommunity.microsoft.com/t5/exchange-team-blog/a-new-recoverableitems-experience-comes-to-exchange-online/ba-p/1505353 今までもPowerShellコマンドレットは用意されていたのですが、UIからできるようになるとより簡単にできるようになるので管理者、特にPowerShellに不慣れな管理者には助かりますね。 ユーザーからメールがなくなったと言われて見てみると削除されていたというケースもたまにありますからね。 このUIからRecoverableItemsを復元できる機能は、Exchange Admin Centerのプレビューバージョンに展開されています。 [参考] Recoverable Items folder in Exchange Online https://docs.microsoft.com/en-us/exchange/security-and-compliance/recoverable-items-folder/recoverable-items-folder [参考] Get-RecoverableItems (PowerShellで行う場合) https://docs.microsoft.com/en-us/powershell/module/exchange/get-recoverableitems?view=exchange-ps

OWAなら前からそうだけどね PC版Outlookの一部設定がクラウド（Exchange Online上のメールボックス）に保存できるようになりました。 https://www.microsoft.com/ja-jp/microsoft-365/roadmap?filters=Rolling%20out%2CIn%20development&searchterms=63037 最新のOutlookのオプションに、” Store my Outlook settings in the cloud “という項目が追加されています。デフォルト有効です。 参照元サイト： https://office365itpros.com/2020/06/04/outlook-cloud-settings/ 何がクラウドに保存されるか 今回の機能で、PCリプレース時や代替機使用時もいつものOutlook設定で利用ができることになりました。 となるとどの設定を保存してくれるのかが気になるところですが以下のようです。 General Outlookをデフォルトのメーラーとするか否か Mail メールの書式設定。テキスト形式、HTML形式とかフォントとか。署名も保存されます。 Calendar 予定表の始業時間と終業時間。予定表でグレーになるのはこの就業時間外の時間です。この設定ちゃんとセットしてない人結構多い印象。 Groups グループ宛メールの添付ファイルのオプション People メッセージ閲覧するときに人の顔も一緒に出すかどうか。 Tasks タスクのデフォルトリマインダー時刻。あの予定15分前とかにOutlookが出すポップアップですね。15分前とか出さないとかの設定です。 Search デフォルトのメールアイテム検索範囲。現在のフォルダーとか現在のメールボックスとかすべてのメールボックスとか。 Ease of Use @打ったときに出るアラートしたい名前の候補。 Advanced Outlook起動時にどのフォルダーを見せるか。 リボンのカスタマイズとアドインはEXOのメールボックスに保存しないようです。Outlookの言語についてはOutlookというよりWindowsの問題なのでこちらも保存なしと。 ないよりかは遥かにましな良い機能 なんかこうしてみるとそんなにめちゃめ...

全社員宛のメールって大概の人にとってはどうでもよかったりしますよね Exchange Onlineでメンバーが沢山いる配布リスト（DL）へ「全員へ返信」が連続で出されるのを防ぐ機能が実装されたようなのでさらっと見てみましょう。 Reply All Storm Protection in Exchange Online 例えば全社員がメンバーとなっているDL宛にメールを出したとして、そのリアクションとして誰かが全員宛に返信をして、それに対してまた誰かが・・・ 少人数の会社ならまだ良いのですが、何万人もいるような会社でこういう状況が続くと受信者にとってはウザったいですし、Exchange Online全体のパフォーマンス低下に繋がる恐れもあります。 特定条件を満たすとNDRを返すようになる 5000人を超える受信者宛のメールに対して1時間以内に10回の全員へ返信 この条件を満たすと、 4時間の間 次の全員へ返信からは以下のようなNDRが返るようです。 管理者による設定変更も今後実装予定 このReply All Storm Protectionは非常にありがたい機能ではありますが、組織によってはNDRになっては困ることもあるかもしれませんし、逆にもっと早くNDRを返すようにしてほしいというところもあるでしょう。 そういった要望を集めつつ今後管理者側で設定の変更をできるようにしてくれるとのことです。 受信者の人数 全員へ返信の回数 NDRを返すか返さないか NDRを出す期間 この辺りは是非コンフィギュラブルにして頂きたいところです。 おわり 管理者側からの設定変更に加えてReply All Stormのレポート作成機能や通知機能も検討されているようです。 Teamsが今後さらに普及していくとExchange Onlineはだんだん枯れていくような気がしますが、まだまだビジネス上メールは必須のツールですしこういう細かいエンハンスメントはありがたいですね。

権限の棚卸しやトラブルシューティングに Exchange OnlineでSend As, Send on Behalf, Full Access（等のメールボックス権限）が割り当てられているユーザーの抽出を行うスクリプトが紹介されています。 Reporting Exchange Online Mailbox and SendAs/On Behalf Of Permissions – Office 365 for IT Pros Shortly after publishing Reporting Exchange Online Mailbox Permissions, I received two notes. One was from Vasil Michev to say that I should have used the REST-based cmdlets from the Exchange Online Management module. The other was a reply to my note in the Microsoft Technical Community to point me to some script snippets covering “the other” mailbox-level permissions that you might assign over mailboxes. Send As Send As権限はその人を送信元として違う人がメールを送信できる権限です。これを用いてメールを送ると受信者は本人から送られてきたかSend As権限を割り振られたユーザーから送信されたのか判別できません。 例えばITサポート部門などの共用メールボックスのアドレスを複数人で共通の窓口として利用し、送信元もそのアドレスにしたい場合とかに利用しますかね。 Send on Behalf Send on Behalf権限はSend Asと同様に送信元を他者が利用できる権限ですが、違いはSend on Behalfの場合は「誰々が代理で送信しました」、と相手に表示されます。 秘書が役職者の代わりにメールを送信する場合などで使われますね。 Full Access Full Access権限は実利用者と同...

最新のExchange Hybrid Configuration Wizard (HCW) がリリースされています ビルド番号は17.xで既存の16.xとは共存できるみたいです。 17.xの変更点が説明されているのでさらっとみてみましょう。 March 2020 significant update to Hybrid Configuration Wizard (Apologies for what appears as a duplicate post, we had some publishing issues) We wanted to let you know that we are releasing what we consider a significant update to Exchange Hybrid Configuration Wizard (HCW). Along with a handful of small bug fixes, there are four major changes coming that we wa… 1. HCW will no longer enable Federation Trust by default for all installations. Instead, it will only enable Federation Trust if there are Exchange 2010 servers on premises. Exchange 2010がオンプレミスにいない場合はFederation Trust（フェデレーション信頼）を確立しなくなったそうです。コメント欄にありましたが2013以降である場合はOAuthでオンプレミスとオンラインを結ぶとのこと。 2. When uninstalling the hybrid agent and switching to Classic in the HCW, this action would sometimes fail with a “null reference” error. We have fixed this! HCWアンインストール時にnull referenceのエラーが出るのを直したそうです。ヌルリ。 3. So whi...

Exchange Online上でのローカルメールボックス移動（New-MoveRequest）が4/15以降廃止されます Disabling New-MoveRequest for Local Mailbox Moves As many of you might know, we move mailboxes between different databases in the cloud to balance the load. This is done daily through local move requests automatically triggered by our Mailbox Load Balancing service. A few years ago, we launched the GoLocal program, enabling customer data to reside … New-MoveRequestはExchange上のメールボックスを別のサーバーやMDBに移動させるExchange (Online) PowerShellモジュールのcmdletです。 オンプレミスのExchangeでは、例えばユーザーの異動時に最もアクセスが早くなりそうなサーバーにメールボックスを移動してあげたり、メールボックスが集中しているMDBから別のMDBにメールボックスを移すのに使っていました。 Exchangeハイブリッド環境ではオンプレミスからExchange Onlineへメールボックスを移動したり、逆にオンプレミスへ戻すのにも使うcmdletですね。 また、メールボックスやMDB、Exchangeサーバーに起因する何らかの問題発生時にトラブルシュートのために実施することもあります。（移動によりリセットされる値があるため） ローカル移動今までできたんだ・・、廃止になるけど 今回Exchange Onlineの方で、Exchange Online内でのローカルな移動をできなくするそうです。 私は知らなかったのですが、Exchange Online内でのローカルな移動をNew-MoveRequestでできたんですね！引数に移動したいメールボックスのメールアドレスのみを指定し、あとはパラメーターなしとするだけで同一リージョンの適当な...

Exchange Online Powershell V2 moduleの更新 Faster and more reliable Exchange Online Management using PowerShell V2 Cmdlets Exchange Online Powershell V2 moduleは2019年のIgniteで発表されたもので、大量のメールボックスなどを取得する際にREST APIを利用して高速に処理できることが可能なものとなっています。 特にパイプラインで渡して処理させるとマルチスレッドで高速らしいです。上記サイトにある以下の例では100メールボックスに対するGet-EXOMailboxStatisticsで、foreachが約900秒かかっているのに対しパイプラインでは約50秒です。 Faster and more reliable Exchange Online Management using PowerShell V2 Cmdlets Exchange Online Powershell V2のcmdlet V2はVersion 1も内包していますしV1も現役です。というよりV2はデータ取得時の高速化が目的なので以下の9つのGet系Cmdletしかありません。（Connect入れると10個） Get-EXOMailbox Get-EXORecipient Get-EXOCASMailbox Get-EXOMailboxPermission Get-EXORecipientPermission Get-EXOMailboxStatistics Get-EXOMailboxFolderStatistics Get-EXOMailboxFolderPermission Get-EXOMobileDeviceStatistics 今回このV2モジュールの更新情報が発表されたのでご紹介します。 更新情報 今回の更新は以下の3つ。 管理権限を付与された他テナントへの接続（ゲストとかで管理者指定されたときですかね） アイデンティティにname, aliasも指定できるようになった上で位置指定パラメーター化 エラーハンドリングその他バグフィックス（修正内容は こちら ） アイデンティティが位置指定パラメーター化は地味に嬉しい、ちゃんとしたスクリ...