Beveilig e-mail van leerlingen in Exchange Online

In Office 365 is het eenvoudig om elke leerling te voorzien van een eigen mailbox. Hiermee zorg je voor eenduidigheid in de mailvoorziening en ben je niet afhankelijk van externe (privé)mailvoorzieningen. Een ander groot voordeel is dat alle mail binnen de school automatisch gecontroleerd wordt op spam en virussen door Exchange Online Protection.

Toch is het niet altijd gewenst om leerlingen onbeperkt te laten mailen. Met name in het basisonderwijs is het gebruikelijk dat leerlingen alleen onderling en met leerkrachten mogen mailen.

In deze blog laat ik zien hoe je Exchange Online kunt inrichten zodat leerlingen niet naar externen kunnen mailen (uitgaand). Dezelfde methodiek kun je ook gebruiken om inkomende mail van externen te blokkeren.

Security groep met alle leerlingen

Allereerst is het nodig om een groep te maken die alle leerlingen bevat. Om deze groep te kunnen gebruiken voor een mail rule, moet het een zgn. “mail-enabled security group” zijn. Meer info over de verschillende groepen in Office 365 vind je hier.

Veel scholen hebben hiervoor al een groep in een on-premises Active Directory. Deze kan via Azure AD Connect gesynchroniseerd worden naar een mail-enabled group in Azure AD.

Is er nog geen groep waar alle leerlingen in zitten kan deze ook als volgt worden aangemaakt:

  1. Open het Exchange Admin Center (https://outlook.office365.com/ecp)
  2. Kies “Groepen”
  3. Maak een nieuwe Security Group. Doordat deze wordt aangemaakt vanuit Exchange Online wordt deze automatisch mail-enabled.
  4. Geef een duidelijke naam aan de groep en voeg alle leerlingen toe 
  5. Eventueel kun je na het aanmaken van de groep zorgen dat deze niet getoond wordt in de Global Address List

Aanmaken van de groep met Powershell

Het aanmaken van de groep en het toevoegen van de leerlingen kan handmatig gedaan worden zoals hierboven beschreven, maar kan ook met behulp van PowerShell. Zeker bij het toevoegen van veel leerlingen kan Powershell uitkomst bieden.

 
# Naam van de Mail-Enabled Security Group 
$groupName = "Alle leerlingen" 
$groupAlias = "alleleerlingen@tenant.onmicrosoft.com" 

# Maak de nieuwe Mail-Enabled Security Group aan 
New-DistributionGroup -Name $groupName -Type Security -Alias $groupAlias 

# Verwijder de groep uit de Global Address List 
Set-DistributionGroup -Identity $groupName -HiddenFromAddressListsEnabled $true
 

Toevoegen leerlingen met Powershell

Let op dat je de naam van de groep en het filter aanpast aan je eigen situatie.

 
# Naam van de Mail-Enabled Security Group 
$groupName = "Alle leerlingen" 

# Filter om de leerlingen te vinden. Pas deze aan aan je eigen situatie 
$studentFilter = "Department -eq 'Leerling locatie'" 

# Haal de leerlingen op en voeg ze toe aan de Mail-Enabled Security Group 
Get-User -Filter $studentFilter -RecipientTypeDetails UserMailbox | `
   foreach {Add-DistributionGroupMember -Identity $groupName -Member $_.UserPrincipalName}

Aanmaken mail rule

Als de mail groep is aangemaakt, kunnen we voor deze groep leerlingen een mail rule instellen die voorkomt dat leerlingen mail naar externen kunnen sturen.

  1. Open het Exchange Admin Center (https://outlook.office365.com/ecp)
  2. Kies “Mail flow”
  3. Maak een nieuwe rule aan van type “Restrict messages by sender or recipient”
  4. Geef de rule een duidelijke naam
  5. Kies conditie “Recipient is located…” en selecteer “Outside the organization”
  6. Voeg een conditie toe (klik eerst op “more options”)
  7. Kies conditie “The sender is a member of…” en selecteer de zojuist aangemaakte groep (“Alle leerlingen”)
  8. Kies bij “Do the following…” voor “Reject this message with an explantion” en geef een toelichting op. Deze toelichting krijgt de leerling te zien in Outlook als er toch geprobeerd wordt een mail te versturen naar iemand buiten de school.
  9. De rest van de velden kan optioneel nog aangepast worden. Door op Save te klikken wordt de rule geactiveerd.

Hou er rekening mee dat het maximaal 45 minuten kan duren voordat de rule echt actief zal zijn.

Indien een leerling nu een mail verstuurt naar iemand buiten de school, zal deze mail niet bezorgd worden en zal de leerling een foutmelding krijgen.

 

 

Op een vergelijkbare manier kan ook inkomende mail van externen naar leerlingen geblokkeerd worden.

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *