メール接続をセキュリティで保護するために、Exchange Online が TLS を使用する方法
Exchange Onlineと Microsoft 365 がトランスポート層セキュリティ (TLS) と転送秘密 (FS) を使用して電子メール通信をセキュリティで保護する方法について説明します。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
Microsoft 365 とExchange Onlineの TLS の基本
トランスポート層セキュリティ (TLS)、および TLS より前の Secure Sockets Layer (SSL) は暗号化プロトコルです。 これらのプロトコルは、セキュリティ証明書を使用してコンピューター間の接続を暗号化することで、ネットワーク経由の通信をセキュリティで保護します。 TLS は SSL に取って代わるものであり、SSL 3.1 と呼ばれることがよくあります。 Exchange Onlineでは、TLS を使用して Exchange サーバー間の接続と Exchange サーバーと他のサーバー間の接続を暗号化します。 たとえば、TLS は、Exchange Onlineとオンプレミスの Exchange サーバーまたは受信者のメール サーバー間の接続を暗号化するために使用されます。 接続が暗号化されると、その接続を介して送信されたすべてのデータが暗号化されたチャネルを介して送信されます。
TLS はメッセージを暗号化せず、接続のみを暗号化します。 そのため、TLS 暗号化接続を介して送信されたメッセージを、TLS 暗号化をサポートしていない受信者organizationに転送した場合、そのメッセージは必ずしも暗号化されません。
メッセージを暗号化する場合は、メッセージの内容を暗号化する暗号化テクノロジを使用します。 たとえば、Microsoft Purview Message Encryptionまたは S/MIME を使用できます。 Office 365でのメッセージの暗号化については、「Office 365での暗号化のEmail」と「メッセージの暗号化」を参照してください。
Microsoft とオンプレミスのorganizationまたはパートナーなどの別のorganizationとの通信のセキュリティで保護されたチャネルを設定する場合は、TLS を使用します。 Exchange Onlineは常に最初に TLS を使用してメールをセキュリティで保護しようとしますが、相手が TLS セキュリティを提供していない場合は使用できません。 コネクタを使用して、オンプレミス サーバーまたは重要なパートナーに対するすべてのメールをセキュリティで保護する方法を確認してください。
お客様にクラス最高の暗号化を提供するために、Microsoft は、Office 365 および GCC Office 365でトランスポート層セキュリティ (TLS) バージョン 1.0 および 1.1 を非推奨としました。 ただし、TLS なしで暗号化されていない SMTP 接続を引き続き使用できます。 暗号化なしで電子メールを送信することはお勧めしません。
Exchange Online Exchange Online顧客間で TLS を使用する方法
Exchange Onlineサーバーは、常に TLS 1.2 を使用して、データ センター内の他のExchange Online サーバーへの接続を暗号化します。 organization内の受信者にメッセージを送信すると、EXCHANGE ONLINEは TLS を使用して暗号化された接続経由でメッセージを自動的に送信します。 Exchange Onlineは、転送秘密を使用してセキュリティ保護された TLS を使用して暗号化された接続を介して他の顧客に送信する電子メールも送信します。
Microsoft 365 が Microsoft 365 と外部の信頼できるパートナーとの間で TLS を使用する方法
既定では、Exchange Onlineは常に日和見 TLS を使用します。 日和見的 TLS とは、Exchange Online常に最も安全なバージョンの TLS との接続を最初に暗号化し、その後、両方の当事者が同意できる TLS 暗号の一覧を下に移動することを意味します。 Exchange Onlineを構成して、その受信者へのメッセージがセキュリティで保護された接続を使用するようにする必要がある場合を除き、既定では、受信者のorganizationが TLS 暗号化をサポートしていない場合、Exchange は暗号化なしでメッセージを送信します。 ほとんどの企業では、日和見 TLS で十分です。 ただし、医療、銀行、政府機関などのコンプライアンス要件がある企業の場合は、TLS を要求または強制するようにExchange Onlineを構成できます。 手順については、「Office 365のコネクタを使用してメール フローを構成する」を参照してください。
organizationと信頼されたパートナー organizationの間で TLS を構成する場合、Exchange Onlineは強制 TLS を使用して信頼できる通信チャネルを作成できます。 強制 TLS では、パートナー organizationが、メールを送信するためにセキュリティ証明書を使用してExchange Onlineを認証する必要があります。 パートナーは、独自の証明書を管理する必要があります。 Exchange Onlineは、コネクタを使用して、受信者の電子メール プロバイダーに到着する前に、未承認のアクセスから送信するメッセージを保護します。 コネクタを使用してメール フローを構成する方法については、「Office 365のコネクタを使用してメール フローを構成する」を参照してください。
TLS とハイブリッド Exchange Serverのデプロイ
ハイブリッド Exchange 展開を管理している場合、オンプレミスの Exchange サーバーは、セキュリティ証明書を使用して Microsoft 365 に対して認証を行い、メールボックスがOffice 365しかない受信者にメールを送信する必要があります。 その結果、オンプレミスの Exchange サーバーの独自のセキュリティ証明書を管理する必要があります。 また、これらのサーバー証明書を安全に保存して管理する必要もあります。 ハイブリッド展開での証明書の管理の詳細については、「ハイブリッド展開 の証明書要件」を参照してください。
Office 365でExchange Onlineの強制 TLS を設定する方法
Exchange Online顧客の場合、送信および受信したすべてのメールをセキュリティで保護するために強制的に TLS を機能させるには、TLS を必要とする複数のコネクタを設定する必要があります。 ユーザー メールボックスに送信されるメッセージには 1 つのコネクタ、ユーザー メールボックスから送信されるメッセージには別のコネクタが必要です。 Office 365の Exchange 管理センターでこれらのコネクタを作成します。 手順については、「Office 365のコネクタを使用してメール フローを構成する」を参照してください。
Exchange Onlineの TLS 証明書情報
Exchange Onlineで使用される証明書情報を次の表に示します。 ビジネス パートナーがメール サーバーに強制 TLS を設定している場合は、この情報を提供する必要があります。 セキュリティ上の理由から、証明書は随時変更されます。 現在の証明書は、2020 年 9 月 24 日から有効です。
2020 年 9 月 24 日から有効な現在の証明書情報
属性 | 値 |
---|---|
証明機関のルート発行者 | DigiCert CA - 1 |
証明書名 | mail.protection.outlook.com |
組織 | Microsoft Corporation |
組織単位 | www.digicert.com |
証明書キーの強度 | 2048 |
TLS、証明書、Microsoft 365 の詳細を取得し、証明書をダウンロードする
Microsoft 365 暗号化チェーンと証明書のダウンロード
Microsoft 365 暗号化チェーンと証明書のダウンロード - DOD と GCC High
サポートされている暗号スイートの一覧については、「 暗号化に関するテクニカル リファレンスの詳細」を参照してください。