SAP NetWeaver から送信される電子メールの Exchange Online 統合

  • [アーティクル]

SAP バックエンドからの電子メールの送信は、バッチ ジョブのアラート、 SAP ワークフローの状態の変更、請求書の配布など、ユース ケース向けに広く配布される標準機能です。 お客様の多くが、オンプレミスの Exchange Server を使用してセットアップを確立しました。 Microsoft 365 および Exchange Online への移行に伴い、そのセットアップに影響を与える一連のクラウドネイティブ アプローチが提供されます。

この記事では、NetWeaver ベースの SAP システムから Exchange Online への送信用の電子メール通信のセットアップについて説明します。 これは、SAP ECC、S/4HANA、SAP RISE マネージド、およびその他の NetWeaver ベースのシステムに適用されます。

概要

既存の実装は SMTP 認証と昇格された信頼関係に依存していました。これは、オンプレミスのレガシ Exchange Server は、 SAP システム自体の近くに存在し、顧客自身によって管理されていたためです。 Exchange Online では、責任と接続のパラダイムに変化があります。 Microsoft はExchange Onlineを、パブリック インターネットを通して世界中のどこからでも安全かつ効果的に使用するために構築された Software-as-a-Service オファリングとして提供しています。

標準ガイドに従って、Microsoft 365 経由で電子メールを送信する "デバイス" の一般的な構成を理解してください。

重要

SMTP 認証は、サポート継続のために基本認証機能の廃止プロセスから除外されました。 ただし、これは資産のセキュリティ上のリスクとなります。 この問題については、Exchange Online チームによる最新の投稿を参照してください。

設定の考慮事項

SMTP 認証のサンセット例外では、SAP NetWeaver でサポートされている 4 つの異なるオプションについて説明します。 最初の 3 つは、この Exchange Online ドキュメントで説明されているシナリオと相関関係があります。

  1. SMTP 認証クライアントの送信
  2. SMTP ダイレクト送信
  3. Exchange Online SMTP リレー コネクタの使用
  4. Exchange Online への仲介として SMTP リレー サーバーを使用

簡単にするために、トランザクション コード SCOT でのみメール サーバーのセットアップに使用される SAP Connect 管理ツールを参照します。

オプション 1: SMTP 認証クライアント送信

組織の内部および外部のユーザーにメールを送信する場合 は、このオプションを 選択します。

SCOT で SMTP 認証エンドポイント Microsoft 365 を使用して、SAP アプリケーション smtp.office365.com に接続します。

Microsoft 365 で認証するには、有効な電子メール アドレスが必要です。 Microsoft 365 での認証に使用されるアカウントの電子メール アドレスが、SAP アプリケーションからのメッセージの送信者として表示されます。

SMTP AUTH の要件

  • SMTP AUTH: 使用するメールボックスに対して有効にする必要があります。 SMTP AUTH は、2020 年 1 月以降に作成された組織では無効になっていますが、メールボックスごとに有効にできます。 詳細については、「Exchange Online において、認証されたクライアント SMTP 送信 (SMTP AUTH) を有効または無効にする」を参照してください。
  • 認証: SAP アプリケーションから電子メールを送信するには、基本認証 (単にユーザー名とパスワード) を使用します。 組織で SMTP AUTH が意図的に無効になっている場合は、以下のオプション 2、 3 または 4 を使用する必要があります。
  • メールボックス: 電子メールの送信元には、 Microsoft 365 ライセンスが付与されたメールボックスが必要です。
  • トランスポート層セキュリティ (TLS): SAP アプリケーションで TLS バージョン 1.2 以上を使用できる必要があります。
  • ポート: ポート 587 (推奨) またはポート 25 が必要であり、ネットワークでブロック解除する必要があります。 一部のネットワーク ファイアウォールまたはインターネット サービス プロバイダーは、電子メール サーバーがメールの送信に使用するポートなので、ポート (特にポート 25) をブロックします。
  • DNS: smtp.office365.com という DNS 名を使用。 IP アドレスはサポートされていないので、Microsoft 365 サーバーには IP アドレスを使用しません。

Exchange Online でメールボックスの SMTP 認証を有効にする方法

Exchange Online で SMTP AUTH を有効にするには、次の 2 つの方法があります。

  1. テナント全体の設定または
  2. 組織レベルでオーバーライドする 単一のアカウント (メールボックスあたり) の場合。

Note

認証ポリシーで SMTP の基本認証が無効にされている場合、クライアントは、この記事で説明されている設定を有効にした場合でも、 SMTP AUTH プロトコルを使用できません。

SMTP AUTH を有効にするメールボックスごとの設定は、 Microsoft 365 管理センター内または Exchange Online PowerShell を介して使用できます。

  1. Microsoft 365 管理センターを開き、[ユーザー] ->[アクティブ ユーザー] に移動します。

    管理センター - アクティブ ユーザー

  2. ユーザーを選択し、ウィザードに従って [メール] をクリックします。

  3. [電子メール アプリ] セクションで、[電子メール アプリ の管理] をクリックします。

    管理センター - 電子メールの管理

  4. [Authenticated SMTP/(認証済み SMTP)] 設定を確認します (未チェック = 無効、チェック済 = 有効)

    管理センター - SMTP 設定

  5. [変更の保存]

これにより、SCOT に必要な Exchange Online 内の個々のユーザーについて、 SMTP AUTH が有効となります。

SCOT を使用して SMTP 認証を構成します

  1. SAP アプリケーション サーバーからポート 587smtp.office365.com に ping または telnet を実行して、ポートが開いていて、アクセス可能であることを確認します。

    ping のスクリーンショット

  2. インスタンス プロファイルで SAP Internet Communication Manager (ICM) パラメーターが設定されていることを確認します。 以下の例をご覧ください。

    パラメーター (parameter) value
    icm/server-port-1 PROT=SMTP,PORT=25000,TIMEOUT=180,TLS=1

  3. SMICM トランザクションから ICM サービスを再起動し、SMTP サービスがアクティブであることを確認します。

    ICM 設定のスクリーンショット。

  4. SICF トランザクションで SAPConnect サービスをアクティブ化します。

    SICF での SAP Connect の設定

  5. SCOT に移動し、次に示すように [SMTP ノード] (ダブル クリック) を選択して構成を続行します。

    SMTP の構成

    ポート 587 でメール ホスト smtp.office365.com を追加します。 Exchange Onlineドキュメントを参照してください。

    SMTP の構成の続き

    必要に応じて、ポイント 2 で説明したように、 [設定] ボタン ([セキュリティ] フィールドの横) をクリックして、TLS 設定と基本認証の詳細を追加します。 ICM パラメーターが適切に設定されていることを確認してください。

    有効な Microsoft 365 電子メール ID とパスワードを使用してください。 それに加えて、最初に SMTP 認証を有効にしたユーザーと同じユーザーである必要があります。 この電子メール ID が送信者として表示されます。

    SMTP のセキュリティの構成

    前の画面に戻る : [設定] ボタンをクリックし、[サポートされているアドレスの種類] の [インターネット] をオンにします。 ワイルドカード "*" オプションを使用すると、制限なくすべてのドメインに電子メールを送信できます。

    SMTP アドレスの種類

    SMTP アドレス エリア

    次の手順: SCOT で既定のドメインを設定します。

    SMTP 既定のドメイン

    SMTP 既定のアドレス

  6. 送信キューに電子メールを送信するジョブのスケジュールを設定します。 SCOT から [ジョブの送信] を選択します。

    SMTP 送信するジョブのスケジュール

    必要に応じて、ジョブ名とバリアントを指定します。

    SMTP ジョブのスケジュールのバリアント

    トランザクション コード SBWP を使用してメール送信をテストし、SOST トランザクションを使用して状態を確認します。

SMTP AUTH クライアント送信の制限事項

  • SCOT は 1 人のユーザーのログイン資格情報のみを格納します。そのため、この方法で構成できる Microsoft 365 メールボックスは 1 つのみです。 個々の SAP ユーザーを介してメールを送信するには、Microsoft 365 が提供する "送信許可" を実装する必要があります。
  • Microsoft 365 は、いくつかの送信制限を課しています。 詳細については、「Exchange Online の制限 - 受信と送信の制限」に関するページを参照してください。

オプション 2 : SMTP ダイレクト送信

Microsoft 365 は、SAP アプリケーション サーバーからの直接送信を構成する機能を提供します。 このオプションは、有効な電子メール アドレスを持つ独自の Microsoft 365 組織内のアドレスのみにメールをルーティングできるため、外部の受信者 (ベンダーや顧客など) は使用できないという制限があります。

オプション 3: Microsoft 365 SMTP リレーコネクタ を使用する

次の場合にのみ、このオプションを選択します。

  • 使用中の Microsoft 365 環境で SMTP AUTH が無効になっています。
  • SMTP クライアント送信 ( オプション 1) は、ビジネス ニーズや SAP アプリケーションと互換性がありません。
  • 外部受信者に電子メールを送信する必要がある場合は、直接送信 (オプション 2) の使用はできません。

SMTP リレーを利用すると、パブリック IP アドレスまたは TLS 証明書で構成されたコネクタを使用して、 Microsoft 365 がユーザーに代わって電子メールをリレーできます。 他のオプションと比較して、コネクタのセットアップは複雑さを増します。

SMTP リレーの要件

  • SAP パラメーター: オプション 1 で説明したように、構成された SAP インスタンス パラメーターと SMTP サービスがアクティブ化されます。「SCOT で SMTP 認証を構成する」セクションの手順 2 から 4 に従います。
  • 電子メール アドレス: Microsoft 365 で検証済みのドメインの 1 つにあるメール アドレス。 この電子メール アドレスにはメールボックスは必要ありません。 たとえば、「 noreply@*yourdomain*.com 」のように入力します。
  • トランスポート層セキュリティ (TLS): SAP アプリケーションで TLS バージョン 1.2 以上を使用できる必要があります。
  • ポート: ポート 25 が必要であり、ネットワークでブロック解除する必要があります。 一部のネットワーク ファイアウォールまたは ISP はポートをブロックします。特に、スパミングの誤用のリスクが原因でポート 25 がブロックされます。
  • MX レコード: Mail Exchanger (MX) エンドポイント (例: yourdomain.mail.protection.outlook.com)。 詳細については、次のセクションを参照してください。
  • リレー アクセス: リレー コネクタに対する認証には、パブリック IP アドレスまたは SSL 証明書が必要です。 直接アクセスの構成を避けるには、この記事で説明するように、ソース ネットワーク変換 (SNAT) を使用してください。 送信接続での送信元ネットワーク アドレス変換 (SNAT) を使用します

Microsoft 365 での SMTP リレーの段階的な構成手順

  1. 上記の記事に記載されている方法のいずれかを使ってメールを送信するエンドポイントのパブリック (静的) IP アドレスを取得します。 動的 IP アドレスはサポートも許可もされていません。 静的 IP アドレスは他のデバイスやユーザーと共有できますが、社外のユーザーとは IP アドレスを共有しません。 後のために、この IP アドレスを書き留めておいてください。

    Azure portal でパブリック IP の取得方法

Note

SAP アプリケーション サーバーの仮想マシンの概要を使用して Azure portal で上記の情報を参照してください。

  1. Microsoft 365 管理センターにサイン インします。

    Microsoft 365 AC サインイン

  2. [設定 ->Domains] に移動し、ドメイン (例: contoso.com) を選択し、Mail Exchanger (MX) レコードを検索します。

    ドメインの MX レコードの取得方法

    Mail Exchanger (MX) レコードには、yourdomain.mail.protection.outlook.com のような 住所または値のポイントのデータが含まれます。

  3. Mail Exchanger (MX) レコードの住所または値のポイントのデータをメモします。これを、MX エンドポイントと呼びます。

  4. Microsoft 365 で、 [管理] を選択し、次にExchange を選択して、新しい Exchange 管理センターに移動します。

    Microsoft 365 管理センター

  5. 新しい Exchange 管理センター (EAC) ポータルが開きます。

    Microsoft 365 管理センターの [メールボックス]

  6. Exchange 管理センター (EAC) で、[メール フロー] ->[コネクタ] に移動します。 [コネクタ] 画面を次に示します。 従来の EAC を使用している場合は、ドキュメントで説明されている手順 8 に従います。

    Microsoft 365 管理センターの [コネクタ]

  7. [コネクタの追加]をクリックします

    Microsoft 365 管理センターの [コネクタの追加]

    [組織の電子メール サーバー] を選択します。

    Microsoft 365 管理センターの [メール サーバー]

  8. [次へ] をクリックします。 [コネクタ名] 画面が表示されます。

    Microsoft 365 管理センターの [コネクタ名]

  9. コネクタの名前を指定し、[次へ] を クリックします。 [送信された電子メールの認証] 画面 が表示されます。

    送信側サーバーの IP アドレスが、組織に排他的に属しているこれらの IP アドレスの 1 つと一致することを確認して選択し、 [Microsoft 365 の SMTP リレーの詳細な構成手順] セクションの手順 1 から IP アドレスを追加します。

    Microsoft 365 管理センターの IP の確認画面

    [コネクタの作成] を確認 してクリックします。

    Microsoft 365 管理センターの確認画面

    Microsoft 365 Admin Center 管理センターのセキュリティ設定の確認画面

  10. これで、Microsoft 365 の設定の構成が完了したので、ドメイン レジストラーの Web サイトに移動して DNS レコードを更新します。 送信者ポリシー フレームワーク (SPF) レコードを編集します。 手順 1 で確認した IP アドレスを含める。 完成した文字列はこのv=spf1 ip4:10.5.3.2 include:spf.protection.outlook.com \~allのようになります。ここで、10.5.3.2 はパブリック IP アドレスです。 この手順をスキップすると、電子メールにスパムのフラグが設定され、受信者の [迷惑メール] フォルダーに入れられる可能性があります。

SAP アプリケーション サーバーでの手順

  1. オプション 1 (手順 2~4) で説明したように、SAP ICM パラメーターと SMTP サービスがアクティブ化されている必要があります
  2. オプション 1 の前の手順に示されているように、SMTP ノードの SCOT トランザクションに移動します。
  3. 手順 4 でメモした Mail Exchanger (MX) レコード値としてメール ホストを追加します (つまり、yourdomain.mail.protection.outlook.com)。

SCOT での SMTP の構成

メール ホスト : yourdomain.mail.protection.outlook.com

ポート: 25

  1. [セキュリティ] フィールドの横にある [設定] をクリックし、可能であれば TLS が有効になっていることを確認します。 また、SMTP AUTH に関する以前のログオン データが存在しないかどうかも確認してください。 それ以外の場合は、対応するボタンが下にある既存のレコードを削除します。

    SCOT での SMTP のセキュリティの構成

  2. トランザクション SBWP を使用して SAP アプリケーションからのテスト 電子メールを使用して構成をテストし、SOST トランザクションの状態を確認します。

オプション 4: Exchange Online への仲介として SMTP リレー サーバーを使用

中間リレー サーバーは、SAP アプリケーション サーバーから Microsoft 365 への直接接続の代わりになります。 このサーバーは、直接認証とリレー サービスを許可する任意のメール サーバーに基づくことができます。

このソリューションには、Azure 環境内のハブスポーク仮想ネットワークのハブまたは DMZ 内にデプロイして、SAP アプリケーション ホストを直接アクセスから保護できるという利点があります。 また、送信ルーティングを一元化して、複数のアプリケーション サーバーから送信するときに、すべてのメール トラフィックをすぐに中央リレーにオフロードすることもできます。

構成手順は、Microsoft 365 SMTP リレー コネクタ (オプション 3) の場合と同じです。唯一の違いは、SCOT 構成では Microsoft 365 に直接ではなく、リレーを実行するメール ホストを参照する必要がある点です。 リレーに使用されているメール システムによっては、サポートされている方法のいずれかとパスワードを持つ有効なユーザーを使用して Microsoft 365 に接続するように直接構成されます。 SAP SCOT の構成とテストを通常通り完了する前に、リレーから直接テスト メールを送信して、Microsoft 365 と正常に通信できることの確認をお勧めします。

中継サーバーのアーキテクチャ

次に示すアーキテクチャの例では、ハブに単一のメール リレー ホストを持つ複数の SAP アプリケーション サーバーを示します。 送信するメールの量に応じて、メール ベンダーがリレーとして使用する詳細なサイズ設定ガイドに従ってください。 これには、Azure Load Balancer で動作する複数のメール リレー ホストが必要な場合があります。

次の手順

Azure Twilio を使用した大量メール送信について理解する - SendGrid

Exchange Online サービス の制限 (添付ファイルのサイズ、メッセージの制限、ネットワーク帯域幅の調整など) について理解する