В предыдущих статьях мы уже обсуждали, что должен предпринять администратор в случае увольнения сотрудника, если необходимо защитить от изменений содержимое почтовых ящиков на локальных серверах Exchange. Теперь настала очередь «облака», и, как вы, наверное, догадались, здесь все немного по-другому. , некоторые из используемых условий и механизмов недоступны администраторам в системе Office 365. Поэтому необходим несколько иной подход.
Локальная служба каталога, как правило, является управляющей службой и в гибридной организации, так что, если вы находитесь в такой ситуации, шаги, описанные для обеспечения защиты локальных почтовых ящиков, вероятно, подойдут для решения ваших задач.
В локальных окружениях почтовые ящики можно сохранять в полностью работоспособном состоянии столько, сколько необходимо. Такая возможность есть и в системе Office 365, но вы, вероятно, не захотите платить за почтовый ящик, который не используется, а только хранится на тот случай, если часть его содержимого потребуется в будущем. Поэтому, когда сотрудник увольняется и его почтовый ящик должен быть защищен от изменений, необходимо обеспечить защиту доступа к такому ящику, чтобы остановить любые манипуляции с его содержимым, а затем перевести почтовый ящик в состояние, подходящее для долгосрочного хранения.
Первый шаг — изменение пароля для учетной записи пользователя:
Set-MsolUserPassword -UserPrincipalName Rob.Young@contoso.com -NewPassword "Testing123" -ForceChangePassword $False
Затем мы ставим почтовый ящик на удержание, чтобы гарантировать невозможность удаления из него информации. Данная команда записывает текущую дату и имя пользователя в качестве примечания в поле комментария к процедуре удержания, чтобы администраторы знали, кто инициировал удержание почтового ящика. Когда есть подозрение, что увольняемый сотрудник может попытаться удалить данные, вы можете поставить ящик на удержание заранее. Логично предположить, что сотрудники отдела кадров не станут заранее сообщать администраторам Exchange о своих планах. Эта проблема может быть решена путем создания роли RBAC, позволяющей сотрудникам отдела кадров при необходимости самим переводить почтовый ящик на удержание.
Set-Mailbox -Identity 'Rob Young' -LitigationHoldEnabled $True
-RetentionComment ("Employee Terminated on " + (Get-Date) +
" by " [System.Security.Principal.WindowsIdentity]::
GetCurrent ().Name))
Чтобы помешать сотруднику воспользоваться мобильным устройством, которое по-прежнему находится у него и на котором настроен доступ к почтовому ящику, мы инициируем удаленный сброс всех устройств ActiveSync, зарегистрированных для почтового ящика. Такой шаг гарантирует, что ни одна попытка получить доступ к почтовому ящику с использованием кэшированных учетных данных не увенчается успехом.
Get-MobileDevice -Mailbox 'Rob Young' | Clear-MobileDevice
Существует два подхода к хранению почтового ящика. Его можно преобразовать в общий почтовый ящик или перевести в неактивное состояние.
Преобразовать почтовый ящик пользователя в общий почтовый ящик легко (функция доступна из центра администрирования EAC). Данный шаг устраняет необходимость в использовании лицензии Office 365 и оставляет содержимое почтовых ящиков доступным, так что почтовый ящик может быть открыт любым сотрудником, которому необходимо получить доступ к его содержимому. Чтобы пользователи могли открыть почтовый ящик, им необходимо делегировать разрешения полного доступа. Также не помешает включить аудит почтового ящика, чтобы записывать действия сотрудников, которым предоставлен доступ. Это простой и эффективный способ защитить от изменений содержимое почтовых ящиков, он предпочтителен в тех случаях, когда вы считаете, что информация из почтового ящика потребуется в ближайшем будущем.
С другой стороны, если в скором времени доступ не потребуется, возможно, стоит переместить почтовый ящик «на складское хранение», переведя его в неактивное состояние путем удаления учетной записи пользователя Office 365. Никто не сможет авторизоваться под учетной записью, и для хранения ящика не требуется лицензия Office 365. Так как почтовый ящик находится на удержании, система Exchange понимает, что не должна удалять его из своей базы данных. Сразу после удаления учетной записи пользователя из системы Office 365 почтовый ящик становится неактивным.
Для удаления учетной записи из системы Office 365 используется команда Remove-MsOlUser. В данном случае параметр RemoveFromRecycleBin сообщает системе Office 365, что учетная запись должна быть удалена немедленно и не следует хранить ее в течение 30 дней.
Remove-MsolUser -userPrincipalName 'Rob.Young@contoso.com' -RemoveFromRecycleBin
Почтовый ящик может оставаться в неактивном состоянии в течение длительного времени. При необходимости из неактивного состояния он может быть возвращен в исходное состояние (recover) или восстановлен (restore) в другой существующий почтовый ящик (https://technet.microsoft.com/en-us/library/dn894100 (v=exchg.150).aspx), а информация, содержащаяся в почтовом ящике, останется доступной для механизма поиска eDiscovery. Если вы хотите экспортировать информацию из почтового ящика в файл PST (для долгосрочного хранения или передачи независимому эксперту), то можете решить задачу, запустив операцию Compliance Search в консоли Compliance Center, указав в качестве источника только этот почтовый ящик.
При преобразовании почтового ящика пользователя в общий почтовый ящик он сохраняет все назначенные адреса электронной почты и может продолжать получать сообщения, отправленные на него. Очевидно, кто-то должен обрабатывать сообщения, поступающие в почтовый ящик, чтобы дать отправителям знать, что указанный получатель уже не работает в компании. Или же вы можете изменить назначенные адреса электронной почты, чтобы любые новые сообщения, отправленные на почтовый ящик, отбрасывались системой.
Любые входящие сообщения, отправленные на неактивный почтовый ящик, будут отброшены автоматически, потому что адреса, ранее назначенные на данный почтовый ящик, будут удалены из каталога, как только учетная запись пользователя будет удалена и потеряет права на регистрацию в системе. Вы можете дать пользователям, которые пытаются связаться с уже уволенным сотрудником, возможность получать обычные уведомления о невозможности доставки или попытаться усовершенствовать механизм взаимодействия, сообщая им, почему человек, с которым они пытались связаться, более недоступен.
В системе Exchange Online нет возможности сообщить корреспондентам, что почтовый ящик теперь неактивен, но мы можем решить задачу путем создания общего почтового ящика для хранения адресов электронной почты, ранее назначенных неактивным почтовым ящикам, или старых адресов почтовых ящиков пользователей, преобразованных в общие почтовые ящики. В сущности, вы используете общий почтовый ящик (для которого не требуется лицензия Office 365) для перенаправления входящих сообщений, поэтому отправители будут получать определенную информацию о сотруднике, которому должны были принадлежать ныне несуществующие адреса электронной почты. Общему почтовому ящику можно присвоить более 40 адресов электронной почты, а если необходимо работать с большим количеством адресов, то вы можете использовать несколько почтовых ящиков.
Если к общему почтовому ящику вы просто добавите адреса электронной почты, то он будет работать по принципу «черной дыры». Система Exchange будет доставлять входящие сообщения, но пока кто-нибудь не откроет общий почтовый ящик, чтобы изучить письма и отреагировать на них, отправитель не будет знать, что их его корреспондент покинул компанию. Поэтому нам нужен механизм автоматического отбрасывания писем, который формируется путем сочетания группы рассылки и правила транспорта. Это делается следующим образом.
- Создайте обычную группу рассылки и сделайте общий почтовый ящик (или, если необходимо, почтовые ящики) ее членом. Убедитесь, что владелец группы (по умолчанию администратор, который создает группу) не является ее членом, в противном случае он перестанет получать электронную почту, как только будет активирован механизм перенаправления.
- Создайте правило транспорта, перехватывающее письма, отправленные членам группы рассылки, и возвращающее отправителям уведомление об отказе в доставке. Мы зададим подходящий текст, объясняющий, почему сообщения отклонены правилом.
New-TransportRule "Block Email to Disabled Mailboxes" -SentToMemberOf "Disabled Mailboxes" -RejectMessageReasonText "К сожалению сотрудник, с которым вы хотите связаться, больше не является сотрудником нашей компании" -Enabled $True
Сразу после включения правило будет отклонять любое сообщение, отправленное на один из SMTP-адресов, привязанных к общим почтовым ящикам, входящим в группу рассылки. Это простой, но эффективный способ улучшить взаимодействие с пользователем.
Шаги, необходимые для отключения и защиты от изменения учетной записи сотрудника в гибридном развертывании, отличаются от описанных выше. Помните, что в этом случае управляющей является локальная служба Active Directory, и все изменения в учетных записях и почтовых ящиках выполняются локально, а затем синхронизируются с системой Office 365, которая, как правило, создает задержку перед тем, как учетная запись будет гарантированно заблокирована. Шаги, описанные в статье, посвященной защите от изменений почтового ящика увольняемого пользователя локальной системы, будут полезны при создании контрольного списка для защиты от изменений гибридных почтовых ящиков.
Наконец, нужно иметь в виду, что бывшие сотрудники могли накопить информацию в других хранилищах системы Office 365, и такие места должны быть идентифицированы и защищены. Они могли владеть несколькими общими папками или сайтами SharePoint и, возможно, использовали продукт OneDrive for Business для хранения файлов. Несколько полезных советов по теме можно найти в статье Microsoft по адресу: https://support.office.com/en-us/article/How-to-block-employee-access-to-Office-365-data-44d96212-4d90-4027-9aa9-a95eddb367d1.
Все сказанное выше означает, что защита информации после увольнения сотрудника — это задача, в которой лучше попрактиковаться заранее, так как в противном случае велик риск того, что важные детали будут упущены из виду.