対象: 新Office365 Office 365 Enterprise, Office 365 Small Business, Office 365 Midsize Business
(この投稿は 2014 年 1 月 27 日に The Exchange Team Blog に投稿された記事の翻訳です)
ディレクトリベースのエッジ ブロックとは?
Exchange Online Protection (EOP) のディレクトリベースのエッジ ブロック (DBEB) 機能は、サービス ネットワーク境界で無効な受信者宛てのメッセージを拒否する機能です。管理者は、メールが有効な受信者を Azure Active Directory に追加し、Azure Active Directory 内に存在しないメール アドレス宛てのすべてのメッセージをブロックすることができます。
Azure Active Directory 内に存在する有効なメール アドレス宛てのメッセージは、後続のサービス フィルター層 (マルウェア対策、スパム対策、トランスポート ルールなど) に渡されます。宛先のアドレスが存在しない場合、メッセージはフィルタリング前にブロックされ、送信者には、メッセージが配信されなかった旨を通知する配信不能レポート (NDR) が送信されます。
DBEB を有効にするには?
管理者は、Exchange 管理センター (EAC) でドメインの種類を設定することにより、DBEB 機能を管理できます。EAC では次の 2 種類のドメインが設定可能です。
- [Authoritative] - メールは組織内の有効な受信者 (ローカル受信者と、メッセージを共有環境にルーティングしている受信者) に送信され、不明な受信者宛てのメールはすべて拒否されます。DBEB を有効にするには、こちらを選択します。
- [Internal relay] - メールは組織内の受信者に配信されるか、別の物理的または論理的な場所に配置されたメール サーバーに中継されます。
この機能の使用方法は?
Exchange Online Protection (EOP) サービスには、次の 3 通りの使用方法があります。大部分は共通していますが、たとえば新機能をデプロイする方法など、いくつか異なっている点もあります。
スタンドアロン シナリオで
組織への EOP のデプロイメントが完了すると、EAC でドメインの種類を変更できるようになります。
スタンドアロン シナリオでは、新規ドメインの種類は既定で [Internal relay]になっています。この場合、メッセージは EOP によってルーティングされ、各ドメインのすべての受信者宛てのメッセージに、すべてのルールとフィルタリングが適用されます。
DBEB を有効にするには、ディレクトリ同期をセットアップし、メールが有効なオブジェクトがすべて存在することを確認した後、ドメインの種類を [Authoritative]に変更する必要があります。この変更を行うと、Windows Azure Active Directory 内に存在しない受信者宛てのメッセージはすべてネットワーク境界で拒否されるようになります。ディレクトリ同期のセットアップ方法については、「EOP で受信者を管理する」の「ディレクトリ同期を使って受信者を管理する」の項を参照してください。
サービス付きの Exchange Enterprise CAL の一部として、または Exchange Online の一部として
ドメインの種類は、EAC でいつでも変更できます。つまり、EOP で特定の受信者宛てのメッセージをブロックできるように、既にユーザーが同期され、ドメインが [Authoritative]に設定されているということです。既にユーザーが同期されていたとしても、ユーザーにとってはわずかな違いしかありません。
現時点では、無効な受信者宛てのメッセージはフィルタリング ネットワークに渡され、トランスポート ルールの処理と同じプロセスの最中に拒否されますが、DBEB を活用する場合は、メッセージング パイプライン内でトランスポート ルールよりも先にメッセージがブロックされるようになります。
組織へのデプロイメントが完了すると、受信スパム レポートの [SMTP blocked]のメッセージ数が増加します。近日中に、DBEB によるブロックとその他の SMTP によるブロックをレポート内で区別する機能が公開される予定です。DBEB のデプロイメントが完了する前にレポートの新機能が導入された場合、受信スパム レポートの DBEB セクションにメッセージ数が表示されます。
アップグレード済み FOPE ユーザー向けの情報
FOPE のディレクトリベースのエッジ ブロック (DBEB) 機能では、正規の SMTP アドレスのリストをアップロードし、このリストに基づいて処理することができます。EOP の DBEB には、"拒否" に相当する操作が追加されます。
FOPE から EOP への移行の一環として、FOPE 移行センター内のすべての有効なユーザーを Office 365 に移行します。アップグレードが完了すると、Windows Azure Active Directory に最新の FOPE ユーザー リストが追加されます。FOPE 内に存在する一部のユーザーを削除したい場合は、アップグレード前に削除することを強くお勧めします。また、Office 365 とのディレクトリ同期の構成は、EOP を参照するように MX レコードをアップグレードするよりも前に行うようにしてください。ディレクトリ同期には、SMTP プロキシ アドレスなどのプロパティに基づいて、Office 365 内の既存のユーザー オブジェクトとオンプレミスのディレクトリ オブジェクトを照合するロジックが組み込まれています。ディレクトリ同期のセットアップ方法については、「EOP で受信者を管理する」の「ディレクトリ同期を使って受信者を管理する」の項を参照してください。
組織内の各ドメインでは、ユーザー リストのソースとディレクトリベースのエッジ ブロック モードに基づいて、アップグレードに使用するドメインの種類が決定されます。
FOPE のユーザー リストのソースが [Admin Center]または [Directory Synchronization Tool]に設定され、[DBEB mode]が [Reject]に設定されている場合、ドメインは [Authoritative]として EOP に追加されます。その他の組み合わせでユーザー リストのソースと DBEB モードが設定されている場合は、すべて [Internal relay]として追加されます。したがって、DBEB を有効にするには、移行の完了後に [Authoritative]に変更する必要があります。
その他の組み合わせで設定されている場合
- ユーザー リストのソースが [Secure FTP] の場合: EOP は SFTP をサポートしていません。現在、PowerShell でユーザーとグループを管理する機能を準備中です。PowerShell を使用してユーザーとグループを更新する方法についてのガイダンスは、後日ご紹介します。これはちょっとした変更ではありますが、長い目で見れば非常に大きな効果をもたらすものとなるでしょう。ユーザーとグループを一括管理できるだけでなく、インポートのスケジュール設定や自動化が可能となり、FOPE の SFTP と同様の機能が実現される見込みです。EOP では、仮想ドメインを利用する代わりに、グループに基づいたトランスポート ルール、スパム ポリシー、条件付きルーティングを定義することができます。最新のユーザー リストのソースが [Secure FTP] の場合、PowerShell を使用して受信者を読み込む機能と、それに関連したガイダンスが公開されるまで、EOP に移行することはできません。この機能は近日中の公開を予定しています。アップグレードが完了したら、ユーザーを Office 365 に追加し、ドメインの種類を [Authoritative] に変更する必要があります。
- ユーザー リストのソースが [Legacy Directory Synchronization Tool] の場合: EOP は従来のディレクトリ同期ツールをサポートしていません。ドメインで DBEB を使用するには、Office 365 でディレクトリ同期を構成し、ドメインの種類を [Authoritative] に変更する必要があります。
- ディレクトリベースのエッジ ブロック モードが [Reject-Test] の場合: [Internal Relay] として移行されます。FOPE で [Reject-Test] に設定されている場合は、有効な受信者宛てのすべてのメッセージがサービスを通過し、無効な受信者宛てのメッセージは特定のメールボックスにリダイレクトされます。この機能は、ユーザー リストがサービスに完全に読み込まれているかどうか自信がない場合に有効です。ただし、一時的な設定として使用することを推奨します。この機能の代わりに、EOP のトランスポート ルールも使用できます。この場合、お客様が求める設定に合わせて、それぞれテストを実施する必要があります。
- ディレクトリベースのエッジ ブロック モードが [Pass-Through] の場合: [Internal Relay] として移行されます。FOPE で [Pass-Through] に設定されている場合、プロビジョニングされた受信者のサブセットのみにフィルタリングを適用し、その他の受信者のフィルタリングを回避することができます。この機能は、メールのルーティングを行っていて、ドメイン内の受信者のサブセットに対するフィルタリングの影響を確認したい場合に有効です。ただし、一時的な設定として使用することを推奨します。この機能の代わりに、EOP のトランスポート ルールも使用できます。この場合、お客様が求める設定に合わせて、それぞれテストを実施する必要があります。
ディレクトリベースのエッジ ブロック モードが [Passive (Virtual Domain Creation Only)] の場合: [Internal Relay] として移行されます。FOPE で [Passive] に設定されている場合、そのドメインに仮想ドメインを構成できます。親ドメインにユーザー リストを提供する必要はありません。EOP では、仮想ドメインを利用する代わりに、グループに基づいたトランスポート ルール、スパム ポリシー、条件付きルーティングを定義することができます。
Wendy Wilkes
Office 365 カスタマー エクスペリエンス担当
シニア プログラム マネージャ���