スタンドアロン EOP サービスを設定する
この記事では、スタンドアロン Exchange Online Protection (EOP) を設定する方法について説明します。 Office 365 ドメイン ウィザードからここに移動してきた場合、Exchange Online Protection を使用する必要がなければ Office 365 ドメイン ウィザードに戻ってください。 コネクタの構成方法の詳細については、「Configure mail flow using connectors in Office 365」をご覧ください。
注:
この記事では、オンプレミスのメールボックスがあり、スタンドアロン シナリオと呼ばれる EOP で保護することを前提としています。 Exchange Online を使用してクラウド内のすべてのメールボックスをホストする場合は、この記事のすべての手順を完了する必要はありません。 [ Exchange Online プランの比較] に移動して、クラウド メールボックスにサインアップして購入します。
社内メールボックスの一部をホストし、一部をクラウド上に置く場合は、ハイブリッド シナリオと呼びます。 この場合、より高度なメール フローの設定が必要です。 Exchange Server ハイブリッド展開 では、ハイブリッド メール フローについて説明し、設定方法を示すリソースへのリンクがあります。
はじめに把握しておくべき情報
このタスクを完了するための推定時間: 1 時間
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Exchange Online Protection のアクセス許可: リモートドメインと承認済みドメイン ロールが必要です。この役割は、既定で 組織の管理 および メール フロー管理者 の役割グループに割り当てられます。
Microsoft Entra のアクセス許可: グローバル管理者 ロールのメンバーシップ。
重要
Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
EOP にまだサインアップしていない場合は、 Exchange Online Protection にアクセスし、サービスの購入または試用を選択します。
この記事の手順に適用される可能性があるキーボード ショートカットについては、「 Exchange Online の Exchange 管理センターのキーボード ショートカット」を参照してください。
手順 1: Microsoft 365 管理センターを使用してドメインを追加して確認する
https://admin.microsoft.comの Microsoft 365 管理センターで、[セットアップ] に移動します>カスタム ドメインを設定してサービスにドメインを追加します。
ドメインの所有権を確認するため、以下の手順に従って、適用可能な DNS レコードを DNS ホスティング プロバイダーに追加します。
ドメインを Office 365 に追加 し、Office 365 の任意の DNS ホスティング プロバイダーで DNS レコードを作成 すると、ドメインをサービスに追加して DNS を構成するときに役立つ参照になります。
手順 2:受信者を追加し、オプションとして DBEB を有効化する
EOP サービスとの間のメール フローを設定する前に、受信者をサービスに追加することお勧めします。 Exchange Online (および EOP) でメール ユーザーを管理するに関するページに記載されているように、受信者を追加する方法は異なります。
また、ディレクトリ ベースのエッジ ブロッキング (DBEB) を有効にして受信者の検証を適用する場合は、ドメインの種類を [権限あり] に設定する必要があります。 DBEB の詳細については、「Use Directory Based Edge Blocking to Reject Messages Sent to Invalid Recipients」を参照してください。
手順 3:EAC を使用してメール フローをセットアップする
Exchange 管理センター (EAC) でコネクタを作成し、EOP とオンプレミスのメール サーバー間のメール フローを有効にします。 詳細な手順については、「 Microsoft 365 と独自のメール サーバー間でメールをルーティングするためのコネクタの設定」を参照してください。
EOP とオンプレミス環境の間のメール フローを確認するには、「 Microsoft 365 コネクタを検証してメール フローをテストする」を参照してください。
手順 4: 受信ポート 25 SMTP アクセスを許可する
コネクタを構成したら、DNS レコード更新プログラムの伝達を許可するまで 72 時間待ちます。 次に、ファイアウォールまたはメール サーバー上の受信ポート 25 SMTP トラフィックを、EOP データセンターからのメールのみを受け入れるように制限します。特に 、Microsoft 365 URL と IP アドレス範囲に記載されている IP アドレスから送信されます。 この手順では、受信できる受信メッセージのスコープを制限することで、オンプレミス環境を保護します。 また、メール リレーへの接続が許可される IP アドレスを制御するようにメール サーバーを設定している場合は、その設定も更新します。
ヒント
SMTP サーバーの設定を、60 秒で接続タイムアウトが発生するように構成します。 この設定は、ほとんどの状況で許容されます。たとえば、大きな添付ファイルを含むメッセージが送信された場合に遅延が発生する可能性があります。
手順 5: スパムが各ユーザーの迷惑メール フォルダーにルーティングされていることを確認する
スパム (迷惑メール) メールがオンプレミス Exchange の各ユーザーの迷惑メール フォルダーに正しくルーティングされるようにするには、EOP スパム判定をオンプレミスの Exchange で使用できる値に変換するための構成手順をいくつか実行する必要があります。 手順については 、「スタンドアロン EOP を構成して、ハイブリッド環境の迷惑メール フォルダーにスパムを配信する」を参照してください。
各ユーザーの迷惑メール フォルダーにメッセージを移動しない場合は、スパム対策ポリシーを編集して別のアクションを選択できます。 詳細については、「Office 365 でのスパム対策ポリシーの構成」を参照してください。
手順 6: Microsoft 365 管理センターを使用して MX レコードを EOP にポイントする
ドメイン構成手順に従ってドメインの MX レコードを更新し、受信メールが EOP 経由で送信されるようにします。 サード パーティのフィルタリング サービスを通して電子メールを EOP に送るのではなく、MX レコードが直接 EOP をポイントするようにします。 詳細については、「Office 365 の DNS レコードを作成する 」を参照してください。
注:
EOP の前にある別のサーバーまたはサービスに MX レコードをポイントする必要がある場合は、「 Exchange Online のコネクタの拡張フィルター処理」を参照してください。
MX レコードが EOP を指していることを知る方法
ここまでに、適切に構成された社内送信コネクタのサービス配信の検証と、MX レコードが EOP を指していることの検証が完了しました。 次に、電子メールがサービスによって社内環境に正常に配信されることを検証する、以下の追加テストの実行を選択します。
- サービスと環境の間のメール フローを確認します。 詳細については、「 Microsoft 365 コネクタを検証してメール フローをテストする」を参照してください。
- Web に基づく電子メール アカウントから、ドメインがサービスに追加したドメインと一致する、組織内のメール受信者に電子メール メッセージを送信します。 Microsoft Outlook または別の電子メール クライアントを使って、社内メールボックスへのメッセージの配信を確認します。
- 送信メール テストを実行する場合は、組織内のユーザーから外部メール サービスに電子メール メッセージを送信できます。
ヒント
この記事のセットアップ手順を完了したら、EOP で組織をスパムやマルウェアから保護するための追加の手順を実行する必要はありません。 ただし、ビジネス要件に基づいて設定を微調整できます。 詳細については、「 Microsoft Defender for Office 365 の概要: 手順 2: 保護ポリシーを構成する」を参照してください。