Microsoft 365 を介して電子メール メッセージを中継するように証明書ベースのコネクタを構成する

  • [アーティクル]
  • 適用対象:
    Exchange Online

概要

organizationにハイブリッド展開 (オンプレミスと Microsoft 365) がある場合は、頻繁に Microsoft 365 を介して電子メール メッセージをインターネットに中継する必要があります。 つまり、オンプレミス環境 (メールボックス、アプリケーション、スキャナー、FAX マシンなど) からインターネット受信者に送信するメッセージは、最初に Microsoft 365 にルーティングされ、送信されます。

図は、オンプレミスのメール サーバーから Microsoft 365 経由でインターネットに中継されるメールを示しています。

図: Emailオンプレミスのメール サーバーから Microsoft 365 経由でインターネットに中継される

このリレーを正しく機能させるには、組織は次の手順に従う必要があります。

  1. Microsoft 365 で 1 つ以上のコネクタを作成し、送信 IP アドレスまたは証明書を使用して、オンプレミスのメール サーバーからの電子メール メッセージを認証します。

  2. Microsoft 365 経由で中継するようにオンプレミス サーバーを構成します。

  3. 次のいずれかの条件に該当するように構成します。

    • 送信元ドメイン

      送信者ドメインは、organizationに属しています (つまり、Microsoft 365 でドメインを登録しています)。

      メモ 詳細については、「 Microsoft 365 でのユーザーとドメインの追加」を参照してください。

    • 証明書ベースのコネクタ構成

      オンプレミスのメール サーバーは、証明書を使用して Microsoft 365 に電子メールを送信するように構成されており、証明書の Common-Name (CN) またはサブジェクト代替名 (SAN) には、Microsoft 365 で登録したドメイン名が含まれており、そのドメインを持つ Microsoft 365 で証明書ベースのコネクタを作成しました。

手順 3 のどちらの条件も当てはまらない場合、Microsoft 365 は、オンプレミス環境から送信されたメッセージがorganizationに属しているかどうかを判断できません。 そのため、ハイブリッド展開を使用する場合、手順 3 のどちらかの条件が満たされていることを確認するようにお勧めします。

概要

2017 年 7 月 5 日以降、Microsoft 365 では、ハイブリッド環境のお客様がいずれかの手順 3 条件に対して環境を構成していない場合、電子メール メッセージのリレーはサポートされなくなりました。 そのようなメッセージは拒否され、次のエラー メッセージをトリガーします。

550 5.7.64 Relay Access Denied ATTR36。 詳細については、「 KB 3169958」を参照してください。

さらに、組織が 2017 年 7 月 5 日以降に次のすべてのシナリオにおいて正常に動作することを必要とする場合、「はじめに」セクションの手順 3 にある 2 番目の条件 (「証明書ベースのコネクタ構成」) を満たす必要があります。

注:

この新しい処理の当初の期限は 2017 年 2 月 1 日でしたが、お客様が十分な時間をもって必要な変更を行うことができるように 2017 年 7 月 5 日に延期されました。

Microsoft 365 が既定で電子メール メッセージのリレーをサポートしないシナリオ

  • organizationは、オンプレミス環境からインターネット上の受信者に配信不能レポート (NDR) を送信する必要があり、Microsoft 365 経由でメッセージを中継する必要があります。 たとえば、だれかが john@contoso.com (以前に組織のオンプレミス環境に存在していたユーザー) に電子メール メッセージを送信したとします。 これにより、送信元に NDR が送信されます。

  • organizationは、organizationが Microsoft 365 に追加していないドメインから、オンプレミス環境のメール サーバーからメッセージを送信する必要があります。 たとえば、組織 (contoso.com) が自分に属していない fabrikam.com をドメインとして電子メールを送信する場合です。

  • 転送規則はオンプレミス サーバーで構成され、メッセージは Microsoft 365 経由で中継されます。

    たとえば、組織のドメインが contoso.com であるとします。 組織のオンプレミス サーバー上に存在するユーザーである kate@contoso.com は、すべてのメッセージを kate@tailspintoys.com に転送できます。 john@fabrikam.com が kate@contoso.com にメッセージを送信する場合、メッセージは自動的に kate@tailspintoys.com に転送されます。

    Microsoft 365 の観点から、メッセージは から john@fabrikam.com に kate@tailspintoys.com送信されます。 Kate の電子メールは転送されるため、送信者ドメインや受信者ドメインのどちらも組織に属していません。

図は、Microsoft 365 経由で中継できる contoso.com からの転送されたメッセージを示しています。

図: 手順 3 の "証明書ベースのコネクタ構成" 条件が満たされているため、Microsoft 365 経由で中継できる contoso.com からの転送されたメッセージ

詳細

Microsoft 365 用の証明書ベースのコネクタを設定して、メッセージをインターネットに中継できます。 そのためには、次の方法に従います。

手順 1: Microsoft 365 で証明書ベースのコネクタを作成または変更する

証明書ベースのコネクタを作成または変更するには、次の手順に従ってください。

  1. Microsoft 365 ポータル (https://portal.office.com) にサインインし、[管理] をクリックし、Exchange 管理センターを開きます。 詳細については、「Exchange Online の Exchange 管理センター」を参照してください。

    Exchange 管理センターを開く手順を示すスクリーンショット。

  2. [メール フロー]、[コネクタ] をクリックして、次のいずれかを行います。

    • コネクタがない場合は、[追加] をクリックしてコネクタを作成します。

      Exchange 管理センターにコネクタがないことを示すスクリーンショット。コネクタを作成するには、[アイコンの例と図形の追加] をクリックします。

    • コネクタが既に存在する場合は、コネクタを選択し、[(編集)] をクリックします

      Exchange 管理センターでコネクタを選択し、[編集] アイコンをクリックするとペンの形が似ているスクリーンショット。

  3. [メール フローシナリオの選択] ページで、[出人] ボックスで [Organizationのメール サーバー] を選択し、[To] ボックスで [Microsoft 365] を選択します。

    注:

    これにより、オンプレミス サーバーがメッセージの送信元であることを示すコネクタが作成されます。

    [差出人] ボックスでorganizationのメール サーバーを選択し、[To] ボックスで [Microsoft 365] を選択する [メール フローシナリオの選択] ページのスクリーンショット。

  4. コネクタ名や他の情報を記入して [次へ] をクリックします。

  5. 新しいコネクタ」または「コネクタを編集」ページで最初のオプションを選択します。これにより、トランスポート層セキュリティ (TLS) 証明書を使用して、組織のメッセージの送信元を特定します。 オプションのドメイン名は、使用している証明書の CN 名や SAN 名と一致する必要があります。

    注:

    このドメインは、organizationに属するドメインであり、Microsoft 365 に追加する必要があります。 詳細については、「 Microsoft 365 でのドメインの追加」を参照してください。

    たとえば、Contoso.com はorganizationに属しており、organizationが Microsoft 365 と通信するために使用する証明書の CN 名または SAN 名の一部です。 証明書のドメインに複数のドメインが含まれる場合 (mail1.contoso.com、mail2.contoso.com など)、コネクタ UI のドメインを "*.contoso.com" にするようにお勧めします。

    注:

    ハイブリッド構成ウィザードを使用してコネクタを構成した既存のハイブリッド顧客は、既存のコネクタをチェックして、mail.contoso.com や<hostname.contoso.com> ではなく *.contoso.com などを使用していることを確認する必要があります。 これは、mail.contoso.com<hostname.contoso.com> が Microsoft 365 に登録されていないドメインである可能性があるためです。

    図は、contoso.com 形式を使用するようにコネクタを設定する例を示しています。

    図: 例として "contoso.com" 形式を使用するようにコネクタを設定

手順 2: Microsoft 365 でドメインを登録する

ドメインを登録するには、次の Office 記事の手順に従ってください。

Microsoft 365 にユーザーとドメインを追加する

Microsoft 365 管理センターで [設定]、[ドメイン] をクリックして、登録されているドメインの一覧を表示します。

登録済みドメインを表示する手順を示すスクリーンショット。

手順 3: オンプレミス環境の構成

オンプレミス環境を構成するには、次の手順を実行します。

  1. 組織がオンプレミス環境向けに Exchange Server を使用している場合、サーバーを構成して TLS 上でメッセージを送信します。 これを行うには、「 Microsoft 365 経由でメールをインターネットに中継するようにメール サーバーを設定する」を参照してください。

    注:

    ハイブリッド構成ウィザードを既に使用している場合、ウィザードを引き続き利用できます。 このセクションにある手順 1 のサブステップ 5 に記載された条件を満たす証明書を使用するようにしてください。

  2. オンプレミス環境に証明書をインストールします。 これを行うには、「手順 6: SSL 証明書を構成する」を参照してください。

関連情報

コネクタの設定要件に対処する方法の詳細については、「コネクタに関する重要な注意事項」(英語情報) を参照してください。

Microsoft 365 経由でメッセージを中継する方法の詳細については、「Exchange Onlineと Microsoft 365 のメール フローのベスト プラクティス」の「一部のメールボックスが Microsoft 365 にあり、一部のメールボックスがorganizationのメール サーバー上にあるメール フローを設定する」セクションを参照してください。

さらにヘルプが必要ですか? Microsoft コミュニティまたは Exchange TechNet フォーラムにアクセスしてください。