多くのサード パーティのクラウド サービス ソリューションでは、Exchange Online用のアドオン サービスが提供されています。 セキュリティ上の理由から、サード パーティのメール アドオン サービスをExchange Onlineにインストールすることはできません。 ただし、サービス プロバイダーと連携して、サービスを使用できるように、Exchange Online organizationの設定を構成できます。
このトピックでは、サード パーティの電子メール アドオン サービスを組織が使用する際のベスト プラクティスを説明するために、Contoso Signature Service という架空のサービスについて考察します。 この架空のサービスは Azure で実行され、カスタム電子メール署名を提供します。
注:
このサービスは、Azure 以外のクラウド環境にデプロイできます。
次の図に、このサービスのメール フローと大まかな概要を示します。
Exchange Online organizationのユーザーがメッセージを作成して送信すると、作成したコネクタとメール フロー ルール (トランスポート ルールとも呼ばれます) を使用して、メッセージが Contoso Signature Service に転送されます。
Exchange Onlineから Contoso Signature Service へのConnectionsは、コネクタ設定 (smtp.contososignatureservice.com など) でサービスの証明書ドメイン名を構成するため、TLS によって暗号化されます。
Contoso Signature Service は、メッセージを受け入れて、そのメッセージに電子メール署名を追加します。 このサービスは、メッセージが処理されていることを示すために、メッセージにカスタムのヘッダーをスタンプします。
Contoso Signature Service はメッセージをExchange Onlineにルーティングします。 Contoso Signature Service からの受信メッセージは、ユーザーが作成するコネクタで受け入れます。
- Contoso Signature Service では、スマート ホスト ルーティングを使用して、Exchange Online organizationがあるリージョンにメッセージをルーティングします。 たとえば、Exchange Online ドメインが fabrikam.onmicrosoft.com されている場合、宛先スマート ホストは fabrikam.mail.protection.outlook.com。
- Contoso Signature Service は、顧客ごとに固有の証明書ドメイン名を提供します。 このドメイン名は、Exchange Online organizationとコネクタ設定 (S5HG3DCG14.smtp.contososignatureservice.com など) で承認済みドメインとして構成します。
Exchange Onlineは、カスタマイズした署名を含むメッセージを元の受信者に送信します。
このトピックの残りの部分では、Exchange Onlineでメール アドオン サービスを操作するようにメール フローを構成する方法について説明します。
注:
これらの要素は、Exchange Online organizationと統合する電子メール アドオン サービスに必要です。 電子メール アドオン サービス プロバイダーと連携して、Exchange Onlineで必要な設定を構成する必要があります。
重要
この記事では、Exchange Onlineと電子メール アドオン サービスの統合について説明します。 Microsoft 以外のセキュリティ サービスと Microsoft 365 の統合を検討している場合は、「Microsoft 以外のセキュリティ サービスと Microsoft 365 の統合に関する考慮事項」を参照してください。
事前に必要な知識
予想所要時間: 15 分
この手順または手順を実行するには、アクセス許可が必要です。 必要なアクセス許可を確認するには、Exchange Onlineトピックの「機能のアクセス許可」の「メール フロー」エントリを参照してください。
Exchange 管理センター (EAC) を開くには、「Exchange Online での Exchange 管理センター」を参照してください。 Windows PowerShell を使って Exchange Online に接続する方法については、「Exchange Online PowerShell に接続する」を参照してください。
このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。
ヒント
問題がある場合は、 Exchange のフォーラムで質問してください。 次のフォーラムにアクセスしてください: 「Exchange Online」または「Exchange Online Protection」。
手順 1: Office 365からメール アドオン サービスにメッセージをルーティングするコネクタを作成する
コネクタの主要な設定は次のとおりです。
- Office 365 から電子メール アドオン サービスに向ける。
- 電子メール アドオン サービスへのスマート ホスト ルーティングを使用する。
- 電子メール アドオン サービスのドメイン名 (スマート ホスト) に基づいて、TLS を使用して接続を暗号化する。
EAC を使用して、Office 365から電子メール アドオン サービスにメッセージをルーティングするコネクタを作成する
新しい EAC で送信コネクタを作成する
EAC で、 メール フロー>Connectors に移動し、[ コネクタの追加
をクリックします。
コネクタの新規作成ウィザードが開きます。 最初のページで、次の設定を構成します。
- [接続元]: [Office 365] を選択します。
- への接続: organizationのメール サーバー
完了したら、[次へ] をクリックします。
次のページで、次に示す設定を構成します。
- [名前]: わかりやすい名前を入力します (たとえば、Contoso Signature Service にOffice 365)。
- 説明: 省略可能な説明を入力します。
-
コネクタを保存した後の操作:次の設定を構成します。
- オンにすると、 この値は選択したままになります。
-
内部 Exchange メール ヘッダーを保持する (推奨) : 次のいずれかの値を構成します。
- オン: 電子メール アドオン サービスに送信されるメッセージの内部ヘッダーを保持します。つまり、メッセージは信頼された内部メッセージとして扱われます。 この値を選択した場合は、手順 4 で作成した受信コネクタにもこの設定で同じ値を使用する必要があります (それ以外の場合、受信コネクタは、返されるメッセージから内部 Exchange ヘッダーを削除します)。
- オフ: 電子メール アドオン サービスに送信される前に、メッセージから内部ヘッダーを削除します。 この値を選択した場合は、「手順 4」で作成する受信コネクタ用のこの設定の値は無意味になります (定義により、返されるメッセージに保持または削除の対象になる内部の Exchange のヘッダーは存在しません)。
完了したら、[次へ] をクリックします。
[ コネクタの使用 ] ページで、[ このコネクタにメッセージをリダイレクトするトランスポート ルールが設定されている場合にのみ] を選択し、[ 次へ] をクリックします。
[ルーティング] ページで、スマート ホスト値のクリックまたは電子メール アドオン サービス (たとえば、smtp.contososignatureservice.com) を入力し、[アイコンの
] をクリックし、[次へ] をクリックします。
[ セキュリティ制限 ] ページで、次の設定を構成します。
- [常にトランスポート層セキュリティ (TLS) を使って接続をセキュリティで保護する (推奨)] がオンになっていることを確認します。
- [信頼された証明機関 (CA) によって発行済み] がオンになっていることを確認します。
- [また、件名またはサブジェクトの別名 (SAN) がこのドメイン名に一致している] をオンにして、前の手順で使用したスマート ホストを入力します (たとえば、smtp.contososignatureservice.com)。
完了したら、[次へ] をクリックします。
[ 検証メール ] ページで、次の手順を実行します。
- organizationのメール サーバーに有効なメール アドレスを入力し、[アイコンの
] をクリックします。
- [ 検証 ] をクリックして検証プロセスを開始します。
検証プロセスが完了したら、[ 次へ] をクリックします。
- organizationのメール サーバーに有効なメール アドレスを入力し、[アイコンの
[ コネクタの確認 ] ページで、新しいコネクタの設定を確認します。 特定のセクションで [編集 ] をクリックすると、それらの設定を編集できます。
完了したら、[ コネクタの作成] をクリックします。
クラシック EAC で送信コネクタを作成する
[メール フロー>Connectors] に移動し、[新しい
] をクリックします。
コネクタの新規作成ウィザードが開きます。 [メール フローのシナリオを選択] ページで、次に示す設定を構成します。
- From: [Office 365] を選択します。
- [To] :organizationの電子メール サーバーを選択します。
完了したら、[次へ] をクリックします。
次のページで、次に示す設定を構成します。
- [名前]: わかりやすい名前を入力します (たとえば、Contoso Signature Service にOffice 365)。
- 説明: 省略可能な説明を入力します。
-
コネクタを保存した後の操作:次の設定を構成します。
- オンにすると、 この値は選択したままになります。
-
内部 Exchange メール ヘッダーを保持する (推奨) : 次のいずれかの値を構成します。
- オン: 電子メール アドオン サービスに送信されるメッセージの内部ヘッダーを保持します。つまり、メッセージは信頼された内部メッセージとして扱われます。 この値を選択した場合は、手順 4 で作成した受信コネクタにもこの設定で同じ値を使用する必要があります (それ以外の場合、受信コネクタは、返されるメッセージから内部 Exchange ヘッダーを削除します)。
- オフ: 電子メール アドオン サービスに送信される前に、メッセージから内部ヘッダーを削除します。 この値を選択した場合は、「手順 4」で作成する受信コネクタ用のこの設定の値は無意味になります (定義により、返されるメッセージに保持または削除の対象になる内部の Exchange のヘッダーは存在しません)。
(定義上、メッセージを返す場合に保持または削除する内部 Exchange ヘッダーはありません)。
完了したら、[次へ] をクリックします。
[ このコネクタを使用しますか? ] ページで、[このコネクタに メッセージをリダイレクトするトランスポート ルールが設定されている場合のみ] を選択し、[ 次へ] をクリックします。
[ メール メッセージのルーティング方法] ページで 、[ 追加
] をクリックします。 表示される [ スマート ホストの追加 ] ダイアログで、メール アドオン サービスのスマート ホストの値 (たとえば、smtp.contososignatureservice.com) を入力し、[ 保存] をクリックし、[ 次へ] をクリックします。
[メール サーバーに Office 365 を接続するにはどうすべきですか?] ページで、次に示す設定を構成します。
- [常にトランスポート層セキュリティ (TLS) を使って接続をセキュリティで保護する (推奨)] がオンになっていることを確認します。
- [信頼された証明機関 (CA) によって発行済み] がオンになっていることを確認します。
- [また、件名またはサブジェクトの別名 (SAN) がこのドメイン名に一致している] をオンにして、前の手順で使用したスマート ホストを入力します (たとえば、smtp.contososignatureservice.com)。
完了したら、[次へ] をクリックします。
[設定の確認] ページ で、設定 を確認します。 [ 戻る ] をクリックして、必要に応じて設定を変更します。
完了したら、[次へ] をクリックします。
[ このコネクタの検証 ] ページで、[ 追加
をクリックします。 表示される [電子メールの追加] ダイアログで、コネクタをテストするためにExchange Onlineに含まれていないメール アドレスを入力して (たとえば、admin@fabrikam.com)、[OK] をクリックし、[検証] をクリックします。
進行状況インジケーターが表示されます。 コネクタの検証が完了したら、 [閉じる] をクリックします。
[検証結果] ページで、 [保存] をクリックします。
PowerShell Exchange Online使用して、電子メール アドオン サービスへの送信コネクタを作成する
Exchange Online PowerShell で電子メール アドオン サービスへの送信コネクタを作成するには、次の構文を使用します。
New-OutboundConnector -Name "<Descriptive Name>" -ConnectorType OnPremises -IsTransportRuleScoped $true -UseMxRecord $false -SmartHosts <SmartHost> -TlsSettings DomainValidation -TlsDomain <SmartHost> [-CloudServicesMailEnabled $true]
この例では、次に示す設定で送信コネクタを作成します。
- 名前: Contoso Signature Service にOffice 365
- 電子メール アドオン サービスのスマート ホストの送信先: smtp.contososignatureservice.com
- ドメイン検証用の TLS ドメイン: smtp.contososignatureservice.com
- 内部としてメッセージを識別する内部の Exchange メッセージ ヘッダーは送信メッセージで保持する。
New-OutboundConnector -Name "Office 365 to Contoso Signature Service" -ConnectorType OnPremises -IsTransportRuleScoped $true -UseMxRecord $false -SmartHosts smtp.contososignatureservice.com -TlsSettings DomainValidation -TlsDomain smtp.contososignatureservice.com -CloudServicesMailEnabled $true
構文およびパラメーターの詳細については、「New-OutboundConnector」を参照してください。
送信コネクタが正常に作成されたことを確認する
電子メール アドオン サービスにメッセージをルーティングする送信コネクタの作成が成功したことを確認するには、次に示す手順のいずれかを使用します。
EAC で、 メール フロー>Connectors に移動し、コネクタを選択し、設定を確認します。
PowerShell Exchange Onlineで、<Connector Name> をコネクタの名前に置き換え、次のコマンドを実行してプロパティ値を確認します。
Get-OutboundConnector -Identity "<Connector Name>" | Format-List Name,ConnectorType,IsTransportRuleScoped,UseMxRecord,SmartHosts,TlsSettings,TlsDomain,CloudServicesMailEnabled
手順 2: 電子メール アドオン サービスに未処理のメッセージをルーティングするメール フロー ルールを作成する
このルールは、メッセージがまだ電子メール アドオン サービスによって処理されていない場合 (カスタム ヘッダーがメッセージにスタンプされていない) 場合に、内部送信者から手順 1 で作成したコネクタにメッセージをルーティングします。
EAC を使用して未処理のメッセージを電子メール アドオン サービスにルーティングするメール フロー ルールを作成する
注:
新しい EAC でのメール フロー ルールの作成は、従来の EAC の場合とまったく同じです。
[メール フロー>Rules] に移動し、[新しい
] をクリックし、[新しいルールの作成] を選択します。
[新しいルール] ページが開きます。このページの下側にある [その他のオプション] をクリックします。
[新しいルール] ページで、次に示す設定を構成します。
- [名前]: わかりやすい名前を入力します (たとえば、メールを Contoso Signature Service にルーティングします)。
- [送信者]、[外部/内部]>、[>[organization内] の順に選択し、[OK] をクリックする場合は、この規則を適用します。
- 次の操作を行います。[メッセージのリダイレクト先] を選択します>次のコネクタ>手順 1 で作成したコネクタを選択し、[OK] をクリックします。
- 場合を除く: [例外の追加] をクリック>メッセージ ヘッダー>Includes、およびこれらの単語を選択します。
- [テキストの入力] をクリックして、電子メール アドオン サービスで適用されるカスタムのヘッダー フィールドの名前 (たとえば、SignatureContoso) を入力してから [OK] をクリックします。
- [Enter words]\(単語の入力\) をクリックし、メール アドオン サービスによってメッセージが処理されたことを示すヘッダー フィールドの値 (true など) を入力し、[アイコンの
] をクリックし、[OK] をクリックします。
- ページの下側で、 [ルールの処理を中止する] を選択します。
完了したら、[保存] をクリックします。
PowerShell Exchange Online使用して、未処理のメッセージをメール アドオン サービスにルーティングするメール フロー ルールを作成する
PowerShell でメール フロー ルールExchange Online作成するには、次の構文を使用します。
New-TransportRule -Name "<Descriptive Name>" -FromScope InOrganization -RouteMessageOutboundConnector "<Connector Name>" -ExceptIfHeaderContainsMessageHeader <HeaderName> -ExceptIfHeaderContainsWords <HeaderValue> -StopRuleProcessing $true
この例では、次に示す設定でメール フロー ルールを作成します。
- 名前: メールを Contoso Signature Service にルーティングする
- 送信コネクタ名: Contoso Signature Service にOffice 365
- 電子メール アドオン サービスで処理されていることを示すヘッダー フィールドと値 値が true の SignatureContoso。
New-TransportRule -Name "Route email to Contoso Signature Service" -FromScope InOrganization -RouteMessageOutboundConnector "Office 365 to Contoso Signature Service" -ExceptIfHeaderContainsMessageHeader SignatureContoso -ExceptIfHeaderContainsWords true -StopRuleProcessing $true
詳細な構文とパラメーターについては、「New-TransportRule」を参照してください。
メール フロー ルールが正常に作成されたことを確認する
電子メール アドオン サービスに未処理のメッセージをルーティングするメール フロー ルールの作成が成功したことを確認するには、次に示す手順のいずれかを使用します。
EAC で、[メール フロー>Rules] に移動し、ルールを選択し、[編集]
をクリックして、ルールの設定を確認します。
PowerShell Exchange Onlineで、<Rule Name> をルールの名前に置き換え、次のコマンドを実行してプロパティ値を確認します。
Get-TransportRule -Identity "<Rule Name>" | Format-List Name,FromScope,RouteMessageOutboundConnector,ExceptIfHeaderContainsMessageHeader,ExceptIfHeaderContainsWords,StopRuleProcessing
手順 3: 電子メール アドオン サービスによって提供されるカスタム証明書ドメインを、Exchange Onlineの承認済みドメインとして追加する
https://admin.microsoft.comのMicrosoft 365 管理センターで、[設定>ドメイン] に移動し、[ドメインの追加] をクリックします。
ドメインの追加ウィザードが起動します。 [ ドメインの追加] ページで、メール アドオン サービスがサービスに登録したときに指定したカスタム証明書ドメイン (たとえば、S5HG3DCG14.smtp.contososignatureservice.com) を入力し、[ このドメインを使用する] をクリックします。
注: 値は 48 文字以下にする必要があります。
[ ドメイン検証 ] ページで、次のいずれかの値を選択します。
- ドメインの DNS レコードに TXT レコードを追加する
- TXT レコードを追加できない場合は、ドメインの DNS レコードに MX レコードを追加します
完了したら、[続行] をクリックします
次に表示されるページは、前の選択内容によって異なります。 ページの詳細を使用して、カスタム証明書ドメインに必要な TXT または MX 証明書のドメイン所有権証明レコードを作成します。
ドメイン所有権証明レコードを作成したら、[ 確認 ] をクリックし、結果を待ちます。
[ ドメインの接続 ] ページで、[ 保存して閉じる] をクリックします。
詳細については、「 Microsoft 365 にドメインを追加する」を参照してください。
手順 4: 電子メール アドオン サービスからメッセージを受信するコネクタを作成する
コネクタの主要な設定は次のとおりです。
- 電子メール アドオン サービスから Office 365 に向ける。
- TLS 暗号化と証明書の検証は、前の手順で承認済みドメインとして構成したカスタムの証明書ドメインに基づく。
EAC を使用して、電子メール アドオン サービスからメッセージを受信するコネクタを作成する
新しい EAC で受信コネクタを作成する
[メール フロー>Connectors] に移動し、[
] をクリックします。コネクタを追加します。
コネクタの新規作成ウィザードが開きます。 最初のページで、次の設定を構成します。
- [接続元]: organizationのメール サーバーを選択します。
- [接続先]: Office 365が選択されていることを確認します。
完了したら、[次へ] をクリックします。
[ コネクタ名 ] ページで、次の設定を構成します。
- 名前: わかりやすい名前を入力します (例: Contoso Signature Service to Office 365)。
- 説明: 省略可能な説明を入力します。
-
コネクタを保存した後の操作:次の設定を構成します。
- オンにする: この設定が選択されていることを確認します。
-
内部 Exchange メール ヘッダーを保持する (推奨) : 次のいずれかの値を構成します。
- オン: 電子メール アドオン サービスから返されるメッセージ内の内部ヘッダーを保持します。 手順 1 で作成したコネクタのこの設定でこの値を選択した場合は、ここで同じ値を構成する必要があります。 返されるメッセージの内部 Exchange ヘッダーは保持されます。つまり、電子メール アドオン サービスから返されるメッセージは信頼された内部メッセージとして扱われます。
- オフ: 電子メール アドオン サービスから返されるメッセージから内部 Exchange ヘッダー (存在する場合) を削除します。
完了したら、[次へ] をクリックします。
[ 送信された電子メールの認証 ] ページで、最初のオプションが選択されていることを確認し (証明書で確認します)、サービスに登録したときに電子メール アドオン サービスから提供された証明書ドメイン (たとえば、S5HG3DCG14.smtp.contososignatureservice.com) を入力します。
完了したら、[次へ] をクリックします。
[ コネクタの確認 ] ページで、設定を確認します。 適切なセクションで [編集 ] をクリックして変更を加えることができます。 完了したら、[ コネクタの作成] *をクリックします。
クラシック EAC で受信コネクタを作成する
[メール フロー>Connectors] に移動し、[新しい
] をクリックします。
コネクタの新規作成ウィザードが開きます。 [メール フローのシナリオを選択] ページで、次に示す設定を構成します。
- From: [Your organization's email server]\(organizationの電子メール サーバー\) を選択します。
- To: [Office 365] を選択します。
完了したら、[次へ] をクリックします。
次のページで、次に示す設定を構成します。
- 名前: わかりやすい名前を入力します (例: Contoso Signature Service to Office 365)。
-
説明: 省略可能な説明を入力します。
-
コネクタを保存した後の操作:次の設定を構成します。
- オンにする: この設定が選択されていることを確認します。
-
内部 Exchange メール ヘッダーを保持する (推奨) : 次のいずれかの値を構成します。
- オン: 電子メール アドオン サービスから返されるメッセージ内の内部ヘッダーを保持します。 手順 1 で作成したコネクタのこの設定でこの値を選択した場合は、ここで同じ値を構成する必要があります。 返されるメッセージの内部 Exchange ヘッダーは保持されます。つまり、電子メール アドオン サービスから返されるメッセージは信頼された内部メッセージとして扱われます。
- オフ: 電子メール アドオン サービスから返されるメッセージから内部 Exchange ヘッダー (存在する場合) を削除します。
-
コネクタを保存した後の操作:次の設定を構成します。
完了したら、[次へ] をクリックします。
[電子メール サーバーから電子メールを識別する方法Office 365する方法] ページで、最初のオプションが選択されていることを確認し (証明書で確認)、サービスに登録したときに電子メール アドオン サービスから提供された証明書ドメイン (たとえば、S5HG3DCG14.smtp.contososignatureservice.com) を入力します。
完了したら、[次へ] をクリックします。
[設定の確認] ページ で、設定 を確認します。 [ 戻る ] をクリックして設定を変更できます。
完了したら、[保存] をクリックします。
Exchange Online PowerShell を使用して、電子メール アドオン サービスからメッセージを受信する受信コネクタを作成する
Exchange Online PowerShell で電子メール アドオン サービスから受信コネクタを作成するには、次の構文を使用します。
New-InboundConnector -Name "<Descriptive Name>" -SenderDomains * -ConnectorType OnPremises -RequireTls $true -RestrictDomainsToCertificate $true -TlsSenderCertificateName <CertificateDomainName> [-CloudServicesMailEnabled $true]
- 名前: Contoso Signature Service to Office 365
- Office 365 organizationで認証するために電子メール アドオン サービスの証明書によって使用されるドメイン名: S5HG3DCG14.smtp.contososignatureservice.com
- 内部としてメッセージを識別する内部の Exchange メッセージ ヘッダーは送信メッセージで保持する。
New-InboundConnector -Name "Contoso Signature Service to Office 365" -SenderDomains * -ConnectorType OnPremises -RequireTls $true -RestrictDomainsToCertificate $true -TlsSenderCertificateName S5HG3DCG14.smtp.contososignatureservice.com -CloudServicesMailEnabled $true
構文およびパラメーターの詳細については、「New-InboundConnector」を参照してください。
受信コネクタが正常に作成されたことを確認する
電子メール アドオン サービスからメッセージを受信する受信コネクタが正常に作成されたことを確認するには、次のいずれかの手順を使用します。
EAC で、 メール フロー>Connectors に移動し、コネクタを選択し、設定を確認します。
PowerShell Exchange Onlineで、<Connector Name> をコネクタの名前に置き換え、次のコマンドを実行してプロパティ値を確認します。
Get-InboundConnector -Identity "<Connector Name>" | Format-List Name,SenderDomains,ConnectorType,RequireTls,RestrictDomainsToCertificate,TlsSenderCertificateName,CloudServicesMailEnabled