ディレクトリ ベースのエッジ ブロックを使用して無効な受信者に送信されたメッセージを拒否する
Directory-Based Edge ブロッキング (DBEB) を使用すると、Exchange Online メールボックスを持つ Microsoft 365 組織のサービス ネットワーク境界および Exchange Online メールボックスのないスタンドアロン Exchange Online Protection (EOP) 組織で、無効な受信者のメッセージを拒否できます。 管理者は DBEB を使用することにより、メールが有効な受信者を Microsoft 365 または Office 365 に追加したり、Microsoft 365 または Office 365 内に存在しないメール アドレスに送信されたすべてのメッセージをブロックしたりすることができます。
メッセージの送信先が Microsoft 365 または Office 365 内に存在する有効なメール アドレスの場合、そのメッセージはサービスの残りのフィルター層 (マルウェア対策、スパム対策、トランスポート ルールとしても知られるメール フロー ルールなど) を通ります。 アドレスが存在しない場合には、サービスはフィルター処理が発生する前にメッセージをブロックし、配信不能レポート (NDR やバウンス メッセージとしても知られる) が送信者へと返信されます。 NDR は、次のようになっています。550 5.4.1 Recipient address rejected: Access denied。
ドメインのすべての受信者が Exchange Online 内にいる場合、DBEB はすでに有効であり、何もする必要はありません。 他のメール システムから Exchange Online へと移行する場合には、このトピックの手順を利用して移行前にドメインの DBEB を有効にすることができます。
注:
- ハイブリッド環境では、DBEB が機能するためにはドメインの MX レコードが Microsoft 365 または Office 365 を指している必要があり、それによりドメインのメールが最初に Microsoft 365 または Office 365 にルーティングされるようになります。
- オンプレミスのメールが有効なパブリック フォルダーで DBEB を使用する場合は、追加の考慮事項があります。 DBEB とメール対応のパブリック フォルダーに関する詳細については、「Office 365 Directory Based Edge Blocking support for on-premises Mail Enabled Public Folders (オンプレミスのメール対応のパブリック フォルダーをサポートする Office 365 のディレクトリ ベースのエッジ ブロック)」を参照してください。
はじめに把握しておくべき情報
推定完了時間: 5 分 から 10 分
Exchange 管理センター (EAC) を開くには、「Exchange Online での Exchange 管理センター」を参照してください。
このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。
ヒント
問題がある場合は、 Exchange のフォーラムで質問してください。 次のフォーラムにアクセスしてください: Exchange Online または Exchange Online Protection。
DBEB の構成
このセクションでは、新しい Exchange 管理センター (EAC) とクラシック EAC の両方に DBEB を構成する手順について説明します。
新しい EAC の場合
Exchange Online の承認済みドメインが [内部の中継] に設定されていることをご確認ください。
a. [ メール フロー>承認済みドメイン] に移動します。 [承認済みドメイン] 画面が表示されます。
b. 承認済みドメインを選択してクリックします。 承認済みドメインの詳細画面が表示されます。
c. ドメインの種類が [内部の中継] に設定されていることを確認します。 [ 権限あり] に設定されている場合は、 内部リレーに変更します。
d. [保存] をクリックします。
ユーザーを Microsoft 365 または Office 365 に追加します。 次に例を示します。
- ディレクトリ同期: オンプレミスの Active Directory 環境からクラウドの Microsoft Entra ID に同期することで、有効なユーザーを Office 365 に追加します。 ディレクトリ同期を設定する方法の詳細については、「ディレクトリ同期を 使用してメール ユーザーを管理する」を参照してください。
- PowerShell または EAC を使用してユーザーを追加する: このタスクを実行する方法の詳細については、「 Exchange Online (および EOP) でメール ユーザーを管理する」を参照してください。
Exchange Online の承認済みドメインを [権限あり] に設定します。
a. [ メール フロー>承認済みドメイン] に移動します。 [承認済みドメイン] 画面が表示されます。
b. 承認済みドメインを選択してクリックします。 承認済みドメインの詳細画面が表示されます。
c. ドメインの種類が [権限あり] に設定されていることを確認します。 [内部リレー] に設定されている場合は、[権限あり] に変更します。
d. [保存] をクリックします。
クラシック EAC の場合
Exchange Online の承認済みドメインが [内部の中継] に設定されていることをご確認ください。
a. [ メール フロー>承認済みドメイン] に移動します。
b. 承認済みドメインを選択し、[ 編集] をクリックします。
c. ドメインの種類が [内部の中継] に設定されていることを確認します。 [ 権限あり] に設定されている場合は、 内部リレーに変更します。
d. [保存] をクリックします。
ユーザーを Microsoft 365 または Office 365 に追加します。 次に例を示します。
- ディレクトリ同期: オンプレミスの Active Directory 環境からクラウドの Microsoft Entra ID に同期することで、有効なユーザーを Office 365 に追加します。 ディレクトリ同期を設定する方法の詳細については、「ディレクトリ同期を 使用してメール ユーザーを管理する」を参照してください。
- PowerShell または EAC を使用してユーザーを追加する: このタスクを実行する方法の詳細については、「 Exchange Online (および EOP) でメール ユーザーを管理する」を参照してください。
Exchange Online の承認済みドメインを [権限あり] に設定します。
a. [ メール フロー>承認済みドメイン] に移動します。
b. 承認済みドメインを選択し、[ 編集] をクリックします。
c. ドメインの種類を [権限あり] に設定します。
d. [保存] をクリックします。
[保存] を選択して変更内容を保存し、DBEB を有効にすることを確定します。
注:
- 動的配布グループは Microsoft Entra ID に同期されないため、DBEB によってブロックされます。 ハイブリッド環境での回避策として、ブロックされた動的配布グループの外部メール アドレスと同じメール連絡先を作成することができます。
- 有効な受信者のすべてが Exchange Online に追加されシステムによってレプリケートされるまで、承認済みドメインを構成されている [内部の中継] のままにしてください。 ドメインの種類が [権限あり] に変更されると、DBEB は、サービスに追加された SMTP アドレスを許可するように設計されています。 Microsoft 365 または Office 365 組織に存在しない受信者アドレスがサービス経由で中継できるインスタンスがまれにある可能性があります。