条件名「任意の添付ファイルがパスワードで保護されている場合」

この条件を適用することで、パスワードで保護されたファイルがメールに添付されている場合に、メール送受信のブロックなどのアクションを実行できるようになります。
複数のファイルが添付されている場合、1つでもファイルがパスワード保護されていればこの条件に該当します。

懸念点として、検査対象となるファイルがOffice ドキュメント（xlsx, pptx等）、.zip ファイル、.7z ファイルに限られていることが挙げられます。
これら拡張子を持つファイル以外を対象としたルールを設定したい場合には、別途条件を追加する必要があります。

条件名「任意の添付ファイルのコンテンツを検査できない場合」

パスワード保護されたファイルを含む、内容を検査できない添付ファイルの送受信をトリガーに何らかのアクションを実施することが可能となります。

先程のルールと異なり様々な拡張子を検査の対象としていますが、サポートされていない拡張子のファイルを受信した場合にも条件の対象となってしまいます。*2
そのため、予期していないメールがブロックされてしまい、業務等への支障が出てしまう可能性も考えられます。

実際にこの条件を用いて検証を行った際には、Teamsからの通知メールが検知されてしまうなど、誤検知が多く発生してしまいました。

アクション名「説明を示してメッセージを拒否する」

条件に該当するメールをブロックしたうえで、送信者に任意のメッセージを送信することができます。

上記の例の場合、送信者には以下のようなメールが届きます。
この場合、「セキュリティ規定により ~ お願いいたします。」までがルール上で設定した通知メッセージになります。

アクション名「受信者にメッセージを通知する」

上記の設定のみだと受信者側には何の通知も届かないため、メールがブロックされたことを把握できません。
この設定を導入することで、受信者側にもメッセージを送信することができます。

また、通知メッセージには、送受信者や件名、送信日時などの情報を含めることが可能です。
上記のルールの場合、メールがブロックされた際に受信者へ以下のようなメッセージが通知されます。

ここまでの条件・アクションをまとめた、以下のようなルールを作成することでパスワード付き添付ファイルの受信を禁止することが可能となります。

グループアドレスへの受信を許可する場合

Azure ADで管理されたグループに紐づいたアドレスへ送られたパスワード付き添付ファイルの受信を許可したい場合、グループアドレスそのもののほかに、グループに所属するメンバーのアドレスも例外として追加する必要があります。
例外への追加が漏れてしまったメンバーがいた場合には、送信者宛にメールがブロックされた際の通知が送信されてしまうため注意が必要です。

メールの転送を行う場合

別のメールフロールール等でメールの転送を行うよう設定しており、転送元のアドレスでパスワード付き添付ファイルの受信を許可する場合は、グループアドレス同様に転送先のアドレスも明示的に許可する必要があります。