Exchange × Outlook によるシャドウ IT 対策の第一歩

社内のメールシステムとして Microsoft 365 の Exchange Online × Outlook を使っている場合、メール クライアント アプリでユーザーが勝手に Gmail などの個人向けメールサービスを設定できないよう対策するのは、割と簡単です。
今回はシャドウ IT 対策の第一歩として、その設定例をご紹介します。
※ Web ブラウザー経由のメール使用は別途対策が必要です。

ファイアウォールによるブロック

Exchange Online - Outlook 間は基本的に MAPI という方法で接続するため、IMAP や POP などは使用しません。
なので、まずはとても原始的 (?) な方法、Microsoft Defender ファイアウォールで IMAP や POP のポートをブロックしてしまいましょう。

Intune でファイアウォール構成例

この手法は、ユーザーが Outlook 以外のメール クライアント アプリを勝手にインストールしたとしても、一般的な個人向けメール サービスを設定できないところがメリットです。

昔は社内ネットワークのファイアウォールで IMAP や POP をブロックするケースもありましたが、PC を持ち出してリモート ワークにも使う現代、万全ではないですよね。
セキュリティの面でも、PC のファイアウォール機能をきちんと構成しておきましょう。(間違ってもオフにしないでくださいね)

Outlook へのアカウント追加ブロック

次は Outlook 自身に対する設定です。
グループ ポリシーや Intune 構成プロファイルなどにより、Outlook に追加できるアカウントの種類を制限することができます。
前述の MAPI しか許可しない構成例は以下のとおりです。

グループ ポリシーによるアカウント追加ブロックの構成例

上記のように「Exchange 電子メール アカウント」だけは追加できるようにしておくわけですが、ここで注意点があります。
現在の個人用 Microsoft アカウント (ざっくりいうと outlook.com や outlook.jp、hotmail.com などのドメイン名を持つメール アカウント) を Outlook に追加する場合、デフォルトで MAPI が選択されます。
つまり、「Exchange 電子メール アカウント」を許可しておくと、個人用 Microsoft アカウントを Outlook に追加できてしまうのです！

というわけで、別に用意されている、個人用 Microsoft アカウントを追加できないようにする設定も適用しておきましょう。

個人用 Microsoft アカウントのブロック構成例

メール / カレンダーアプリの削除

Windows 10 や Windows 11 には、標準でメール アプリがインストールされます。Outlook があれば不要なはずなので、削除しておきましょう。

さいごに

今回はメール クライアント アプリに限定したシャドウ IT 対策についてご紹介しました。Web ブラウザで操作するメール システムなどは Web フィルタリングや CASB など、別の対策が必要です。

メール以外のクライアント アプリで気をつけるべきものとして、OneDrive、Teams などの個人用 Microsoft アカウントを使用できるアプリがあります。
これらへの対策については、また別の機会にご紹介しますのでお楽しみに。

当社では Microsoft 365 を使い倒すためのお手伝いもしていますので、お気軽にご相談ください！

株式会社ティーケーネットサービス（マイクロソフト認定ゴールドパートナー）