SaaS

mxHERO メールアカウントとグループの設定 − 新ダッシュボード検証ブログ

こんにちわ、セキュリティチームのむろです。

先日にブログでもご案内しましたが、mxHEROの管理ダッシュボードのデザインや機能に対する大幅アップデートが行われています。

mxHEROの新ダッシュボードが公開されたよ!
はじめに こんにちわ、セキュリティチームのむろです。 mxHEROの管理ダッシュボードのデザインや機能に対する…
blog.cloudnative.co.jp

当社ブログでも刷新後の管理ダッシュボードの設定方法に関して連載形式で紹介していこうと思います。

今回はmxHEROで処理対象とするアカウントやグループの登録や管理方法についてご紹介します。

設定作業の全体像は以下の通りです。

前提

本作業を行うには以下のアカウントが必要です

  • mxHERO管理者権限アカウント
  • ディレクトリ ソースのSaaS(Microsoft 365 または Google Workspace)の管理者アカウント
    • 上記は「自動登録(ディレクトリ ソース設定)」を行わない場合は不要
ご注意

本ブログの内容は、2023年4月27日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。

mxHERO上の「アカウントとグループ」管理とは

管理する対象としてはメールアカウントとグループの2種類存在します。

メールアカウント

mxHEROでは処理対象とするメールアカウントを管理ダッシュボードの「アカウントとグループ」のメニューから登録する必要があります。

登録されていないメールアドレスはmxHEROでは処理されません。

ここで登録されているメールアカウント数がライセンスの課金カウント対象となります。

グループ

メールシステム側のグループをmxHERO上で利用するグループとして登録する事が可能です。

グループは後ほど設定するFusionルールで「グループのメンバー」であることを条件として利用することができます。

グループはライセンスの課金カウント対象となります。

グループはこの後の説明する「自動登録(ディレクトリ ソース設定)」でのみ登録が可能です。

管理方法の違い

登録・管理方法は「手動登録」と「自動登録(ディレクトリ ソース設定)」の2種類があります。

手動登録の特徴

管理ダッシュボードより手動で登録する方法となります。

CSVを用いた一括インポートの機能を利用する事が可能です。

自動登録(ディレクトリ ソース設定)の特徴

ユーザーやグループの情報をMicrosoft 365やGoogle Workspaceテナント内からmxHEROに対して定期的(12時間毎)に自動更新する設定が可能です。

また、手動で更新を実行することができます。

なお「ディレクトリ ソースの設定」は従来では「ディレクトリ同期」と表現されていました。

ディレクトリ ソースで管理されているメールアカウントやグループはmxHEROの管理ダッシュボードからは削除は行えません。

同期の方向はディレクトリソースからmxHEROへの片方向のみとなります。

クエリを記述して同期対象のユーザーやグループを指定または除外するフィルタする事ができます。

従来のダッシュボードでは同期対象を制御できず、「全て同期する」か「ディレクトリ同期機能を利用しない」かどちらか選択する必要がありましたが、新管理ダッシュボードではクエリを利用して、同期対象を指定または除外する事ができるようになりました。
また、クエリで「フィルタ後のグループ」を条件に同期対象のユーザーアカウントを制御することが可能となっています。

原則はソースに利用する情報はメールシステム側のメールアドレスと整合制を取るために、メールシステムのSaaSを利用する事になります。

  • Exchange Online :Microsoft 365(Azure AD)をソースに利用
  • Google Workspace:Google Workspaceをソースに利用

登録情報の項目

メールアドレス

  • そのままメールアドレスです。
  • 必須項目となり、登録後は編集不可となります。
    • 「手動登録」の場合に変更する際は削除して再登録が必要になります。
    • 「自動登録(ディレクトリ ソース設定)」の場合はソース側で情報を変更すると、同期時に反映されます。

エイリアス

  • メールアドレスのエイリアスの設定が可能です。
  • なお、従来のダッシュボードでは利用できなかった設定項目となります。

タグ

従来のダッシュボードではグループと表現されていた機能です。

従来のダッシュボードでは1つのアカウントに対して1グループしか関連付けが行えませんでしたが、タグになってからは1つのアカウントに対して複数設定が可能なっています。

ストレージアカウントとのマッピング

アカウントに対するクラウドストレージの保管先のアカウントをマッピングする事ができます。

ただ、一般的には後ほど設定するFusionルール内で

  • 保管先のストレージアカウントを送信メールアドレスから自動判別するケース
  • 特定の保管先のストレージアカウントを指定するケース

が主なため、利用することは稀です。

Fusionルール保管先のストレージアカウントの自動判別の構成を利用しつつも、クラウドストレージアカウントをメールアカウント単位で指定したい場合に利用します。

今回のブログではストレージアカウントのマッピング機能の詳細は割愛します。

手動登録の登録手順

  • mxHEROの左側のメニュー「設定」 > 「アカウントとグループ」を選択し、画面右上の「アカウントを追加」を選択します。
  • 登録画面が表示されるので、各項目を入力します。
  • 「メール」のみ必須項目となります。
    • タグやエイリアスを利用しない場合は入力不要です。
    • メールアカウントに対する各ストレージアカウントの設定はストレージアカウントのマッピング機能を利用しない場合は入力不要です。
      • 前述に記載したように保存先アカウントの設定は原則。後ほど設定するFusionルールで指定します。

CSVの一括インポートの手順

  • mxHEROの左側のメニュー「設定」 > 「アカウントとグループ」を選択し、右上の「一括追加」を選択します。
  • 「サンプルファイルをダウンロード」よりサンプルCSVファイルをダウンロードができます。
  • サンプルCSVファイルの内容を参考にCSVファイルを作成します。
    • 「Email」列のみ必須項目となります。
    • タグやエイリアス、ストレージマッピングを利用しない場合は入力は不要です。
  • 「ファイルをアップロード」を選択し、作成したCSVを選択するとインポート内容が確認できます。
  • インポート内容を確認し、問題がなければ右下の「xx件のアカウントを保存」を選択するとメールアカウント情報がCSVファイルからインポートされます。

ディレクトリ ソースの登録手順

  • mxHEROの左側のメニュー「設定」 > 「アカウントとグループ」を選択し、画面右側の「ソース」内の「ソースを追加」を選択し、ソースとなるSaaSを選択します。
    • 前述のようにメールシステムに合わせて選択してください。
      • Exchange Online :「Office 365」をソースに利用
      • Google Workspace:「Google Apps」をソースに利用
    • 選択したソースに対して接続と設定を行います。

予期せぬアカウントで接続する可能性があるのでクラウドストレージ側のアカウントは作業前にログアウトしておく事をお勧めします。

Office 365(Microsoft 365)の場合

  • Microsoftアカウントのログイン画面が表示されるため、Office365(AzureAD)の管理者権限を持ったアカウントでログインします。
  • mxHEROからのアクセス要求画面が表示されるので「承諾」します。
  • 承諾すると、ユーザーフィルタやグループフィルタ、除外するドメインを設定する画面が開きます。
  • 必要に応じてフィルタを設定します。フィルタが未設定の場合は全てのユーザー、グループが同期対象になります。
    • 「ユーザーフィルタ」
      • 以下のMicrosoft Graph内のfilter クエリを利用して設定します。
        • ユーザーを一覧表示する
        • クエリで利用するユーザーのプロパティについては以下ドキュメントも参考にしてください。
        • サンプルdepartment eq '法務部' or department eq '人事部’ (部門名が法務部または人事部と一致)
        • サンプル:accountEnabled eq true (アカウントステータスが有効である)
    • 「グループフィルタ」
      • 以下のMicrosoft Graph内のquery クエリを利用して設定します。
      • グループの一覧表示
        • クエリで利用するグループのプロパティについては以下ドキュメントも参考にしてください。
        • サンプル:startswith(mail, 'mxHERO') (グループメールアドレスがmxHEROで始まる)
        • サンプル:mailEnabled eq true (メールが有効なグループである)
    • 「ドメインを除く」
      • 除外対象のドメインを指定します。
      • onmicrosoft.comドメインやmxHEROで管理対象外のドメインを除外する際に利用します。
  • 設定を入力したら、「ソースを追加」を選択します。
  • Office365(AzureAD)との同期が開始されます。同期する量によっては時間がかかります。
  • 同期完了後、エラーがないことを確認し、前回の更新が「数秒前」の表示か確認します。
    • 「警告」が表示されている場合は内容を確認し、影響があるか確認します。
  • Office365(AzureAD)のユーザーやグループが同期されていることを確認します。
    • 手動で同期を実行する場合は「同期を更新」を選択します。
    • 設定を変更したい場合は「編集」を選択します。
  • 以後は12時間毎に自動的に更新が実行されます。

Google Workspaceの場合

  • ユーザーフィルタやグループフィルタ、除外するドメインを設定する画面が開きます。
  • 「メールアカウント」へ同期に利用するGoogle Workspaceの管理者アカウントを入力します。
  • 必要に応じてフィルタを設定します。フィルタが未設定の場合は全てのユーザー、グループが同期対象になります。
    • 「ユーザーフィルタ」
      • 以下のAPI内のquery クエリを利用して設定します。
        • ユーザーを検索
        • Google側のAPIの仕様となりますが、2023/04/xx時点ではOR条件の指定ができません。
      • サンプル:orgDepartment=法務部 (部門名が法務部と一致)
      • サンプル:mxHERO.User=true(カスタム属性mxHERO.Userがはい)
      • サンプル:isSuspended=false (ユーザーのサスペンド状態がいいえ)
    • 「グループフィルタ」
      • 以下のAPI内のquery クエリを利用して設定します。
        • グループを検索
          • Google側のAPIの仕様となりますが、2023/04/27時点ではOR条件の指定ができません。
      • サンプル:email:mxHERO* (グループメールアドレスがmxHEROで始まる)
    • 「ドメインを除く」
      • 除外対象のドメインを指定します。
      • xxxx.test-google-a.comのようなテストエイリアスドメインやmxHEROで管理対象外のドメインを除外する際に利用します。
  • 設定を入力したら、「ソースを追加」を選択します。
  • 前回の更新が「数秒前」の表示か確認します。
    • 「警告」が表示されている場合は内容を確認し、影響があるか確認します。
  • Google Workspaceのユーザーやグループが同期されていることを確認します。
    • 手動で同期を実行する場合は「同期を更新」を選択します。
    • 設定を変更したい場合は「編集」を選択します。
  • 以後は12時間毎に自動的に更新が実行されます。

同期対象のメールアカウントをグループを条件に制御する

  • 同期設定内の「Only Import email accounts that belong to a filtered group」オプションを有効にすることで「フィルター後のグループ」のメンバーのみをmxHEROへのメールアカウントの同期対象とする制御が可能です。
  • このオプションはOffice 365(Microsoft 365)、Google Workspaceのどちらの同期設定でも利用が可能です。
  • ただし、グループのフィルタ設定を行っている場合にのみ利用することができるオプションとなります。
  • メール側のテナント内で全てのメールアカウントではなく、一部のメールアカウントがmxHEROを利用するユースケースで利用することでmxHERO側のユーザーアカウント管理の負担を軽減することが可能です。

あくまでも「フィルター後のグループ」が条件となり、特定のグループを個別に指定するオプションではありません。
そのため、同期対象のユーザー(メールアドレス)はグループのフィルター結果に依存することになります。

その他、「自動登録(ディレクトリ ソース設定)」に対する補足

「自動登録(ディレクトリ ソース設定)」設定を解除したらどんな状態になる?

  • 最後に同期された状態のメールアカウントが手動管理のアカウントとして残ります。
  • なお、グループは登録上、以下の状態で残りますが、mxHERO内で機能しなくなるためグループの削除やグループを条件に利用しているFusionルールの変更が必要になります。

手動登録ですでに存在しているメールアカウントがある状態で再度同期したらどうなる?

  • 「自動登録(ディレクトリ ソース設定)」から取得された情報に上書きされます。

「自動登録(ディレクトリ ソース設定)」設定が有効な状態でCSVインポートするとどうなる?

  • ストレージアカウントのマッピング情報やタグ情報はCSVから一括で設定・更新することができます。
  • エイリアス(Alieas)情報はCSVから一括で設定・更新がされますが、次回の同期で上書きされます。
  • ストレージアカウントのマッピング情報やタグ情報を設定する目的でCSVインポートした後は作業後に手動で同期をかけておきましょう。

「自動登録(ディレクトリ ソース設定)」が有効な状態で手動登録は併用できる?

  • 可能ですが、グループメールを手動でメールアカウントとして登録しても同期時にグループへマージされます。
    • マージを防止するにはグループのフィルタを利用して該当のグループを同期対象外とする必要があります。
  • ユーザーフィルタの条件とは別管理で個別にメールアカウントを登録したい場合に利用できます。

次のステップ

mxHEROテナント初期設定が終わったら、次はルールの設定に進みます。

おわりに

これからもmxHEROの新管理ダッシュボードに関する記事を書いていくので、ご不明点等があればお気軽にご連絡ください。また、新管理者ダッシュボードに関する記事一覧については、下記ブログにまとめているので、そちらも併せてご覧いただけると嬉しいです。

mxHEROの新ダッシュボードが公開されたよ!
はじめに こんにちわ、セキュリティチームのむろです。 mxHEROの管理ダッシュボードのデザインや機能に対する…
blog.cloudnative.co.jp

むろ

おいしいおつまみとお酒が好きです。
最近ハマっているのは芋焼酎のソーダ割り。

履き物の基本は下駄の人です。
好きな漫画はワールドトリガーです。

記事一覧