Exchange Online でのジャーナリング

  • [アーティクル]

重要

Exchange のセキュリティとコンプライアンス機能については、Microsoft 365 セキュリティ センターMicrosoft Purview コンプライアンス ポータルを参照してください。 新しい Exchange 管理センターでは使用できなくなります。

可能であれば、 Microsoft 365 リテンション期間 を使用して、コンプライアンス要件を満たすためにデータをインプレースでアーカイブおよび管理することをお勧めします。 ただし、一部の組織では、サード パーティのソリューションを使用して、ストレージやその他のシナリオ用の電子メールのコピーを受け取る必要がある場合があります。 Exchange の外部にそのデータを格納するようにジャーナリングを構成します。

ジャーナリングに関する考慮事項

ジャーナリングは、Microsoft 365 の外部でデータを移動する Exchange の古い機能であるため、セキュリティで保護し、このソリューションの結果として生じる可能性のある重複を解決するために、追加の予防措置を講じる必要があります。 外部サービスと依存サービスが原因で発生する可能性があるジャーナリング メールボックスへの配信不能レシートを監視およびフォローアップするのは、お客様の責任となります。

Microsoft 365 リテンション期間や、テナント内にデータを保持するその他 の Microsoft Purview コンプライアンス ソリューション を使用する場合、これらの追加の管理オーバーヘッドはありません。 より最新のコンプライアンス ソリューションとして、メールだけに限定されるのではなく、Microsoft Teams などの今日のコミュニケーションアプリや生産性アプリを管理することもできます。

ジャーナル ルール

ジャーナル ルールの主な側面を次に示します。

  • ジャーナル ルール スコープ: ジャーナリング エージェントによってジャーナル処理されるメッセージを定義します。
  • [ジャーナル受信者]: ジャーナルする受信者の SMTP アドレスを指定します。
  • [ジャーナリング メールボックス]: ジャーナル レポートの収集に使用する 1 つ以上のメールボックスを指定します。

Exchange Online では、作成できるジャーナル ルールの数に制限があります。 詳細については、「 ジャーナル、トランスポート、受信トレイのルールの制限」を参照してください。

ジャーナル ルールのスコープ

ジャーナル ルールは、内部メッセージのみ、外部メッセージのみ、またはその両方をジャーナル処理するために使用できます。 次に、これらの 3 つのスコープについて説明します。

  • 内部メッセージのみ: スコープが Exchange organization内の受信者間で送信された内部メッセージをジャーナルするように設定されたジャーナル ルール。
  • 外部メッセージのみ1: スコープが受信者に送信された外部メッセージまたは Exchange organization外の送信者から受信した外部メッセージをジャーナル処理するように設定されたジャーナル ルール。
  • すべてのメッセージ: 配信元または宛先に関係なく、organizationを通過するすべてのメッセージをジャーナル処理するようにスコープが設定されたジャーナル ルール。 これには、内部および外部のスコープのジャーナル ルールで既に処理されているメッセージも含まれます。

1送信者と受信者の両方が同じorganizationの承認済みドメイン内にある場合、メッセージのヘッダーの値anonymousが である場合x-ms-exchange-crosstenant-authasでも、メッセージは外部として受け入れされません。 したがって、これらのメッセージは外部としてジャーナル処理されません。

ジャーナルの受信者

ジャーナル対象となる受信者の SMTP アドレスを指定することで、ジャーナリング ルールの対象を追加できます。 受信者は、メールボックス、配布グループ、動的配布グループ、メール ユーザー、または連絡先のいずれかです。 これらの受信者は、規制要件の制約を受けたり、証拠として電子メール メッセージや他の通信が収集される法的手続きに関与する場合があります。 特定の受信者または受信者グループを対象にすることで、組織のプロセスに適合し法規制の要件を満たすジャーナリング環境を容易に構成できます。 ジャーナル処理する必要のある特定の受信者のみを対象にすることで、大量のデータの保持に伴うストレージおよびその他のコストも最小限に抑えられます。

ジャーナリング ルールで指定されたジャーナリングの受信者が送受信したすべてのメッセージがジャーナル処理されます。 ジャーナリングの受信者として配布グループを指定すると、その配布グループのメンバーが送受信したすべてのメッセージがジャーナル処理されます。 ジャーナリングの受信者を指定しない場合、ジャーナル ルールのスコープに一致する受信者が送受信したすべてのメッセージがジャーナル処理されます。

注:

ジャーナリング受信者に指定された SMTP アドレスにワイルドカード文字を含めることはできません。 たとえば、SMTP アドレスを として *@contoso.com一覧表示することはできません。

ジャーナリング メールボックス

ジャーナリング メールボックスは、ジャーナル レポートの収集に使用されます。 ジャーナリング メールボックスの構成方法は、組織のポリシー、規制要件、および法的要件によって異なります。 組織で構成されたすべてのジャーナル ルールに対するメッセージの収集に 1 つのジャーナリング メールボックスを指定するか、異なるジャーナル ルールや一連のジャーナル ルールに対して異なるジャーナリング メールボックスを使用できます。

Exchange Online メールボックスをジャーナリング メールボックスとして指定することはできません。 ジャーナル レポートは、オンプレミスのアーカイブ システムまたはサード パーティのアーカイブ サービスに配信できます。 オンプレミスのサーバーとExchange Onlineの間でメールボックスを分割して Exchange ハイブリッド展開を実行している場合は、Exchange Onlineメールボックスとオンプレミス メールボックスのジャーナリング メールボックスとしてオンプレミスメールボックスを指定できます。

ジャーナリング メールボックスには機密情報が含まれています。 ジャーナル メールボックスによって組織内の受信者との間で送受信するメッセージが収集されるため、このメールボックスを保護する必要があります。 これらのメッセージは法的手続きの一部であったり、規制要件の制約を受けたりする場合があります。 さまざまな法律で、メッセージは調査機関に提出されるまで改ざんされない状態であることが要求されます。 組織内でジャーナル用メールボックスにアクセスできるユーザーについては、どうしてもアクセスが必要な個人にアクセスを限定して管理するポリシーを作成することをお勧めします。 法定代理人と相談して、組織に適用されるすべての法規制をジャーナル ソリューションが遵守していることを確認してください。

重要

存在しなかったりコピー先が無効であったりするジャーナル用メールボックスにジャーナル レポートを送信するようにジャーナル ルールを構成してしまった場合、そのジャーナル レポートは Microsoft データセンターのサーバー上のトランスポート キューに残ります。 このような場合は、Microsoft データセンターの担当者が組織に連絡をし、ジャーナル レポートがジャーナル メールボックスに正常に送信されるよう問題の解決を要請します。 連絡後 2 日経っても問題が解決しない場合、Microsoft は問題のあるジャーナル ルールを無効化します。

代替ジャーナリング メールボックス

ジャーナリング メールボックスが使用できないときに、配信できないジャーナル レポートがメールボックス サーバー上のメール キュー内に収集されないようにする必要がある場合があります。 代わりに、これらのジャーナル レポートを格納するための代替ジャーナリング メールボックスを構成できます。 代替ジャーナリング メールボックスは、ジャーナリング メールボックスまたは配置されているサーバーがジャーナル レポートの配信を拒否したり、使用できなくなったりしたときに生成される配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) の添付ファイルとしてジャーナル レポートを受信します。 ジャーナリング メールボックスと同様に、Exchange Online メールボックスを代替ジャーナリング メールボックスとして指定することはできません。

ジャーナリング メールボックスが再び使用できるようになると、Outlook の [もう一度送信 ] 機能を使用して、ジャーナリング メールボックスに配信するためのジャーナル レポートを送信できます。

代替ジャーナリング メールボックスを構成する場合は、Exchange 組織全体で拒否されたジャーナル レポートや配信できなかったジャーナル レポートはすべて、代替ジャーナリング メールボックスに配信されます。 そのため、代替ジャーナリング メールボックスとそのメールボックスが配置されているメールボックス サーバーで多数のジャーナル レポートをサポートできるようにすることが重要です。

注意

代替ジャーナリング メールボックスを構成する場合は、代替メールボックスとジャーナル メールボックスが同時に使用できない状態にならないように監視する必要があります。 代替ジャーナリング メールボックスが利用できなくなった場合、またはジャーナル レポートが同時に拒否された場合、拒否されたジャーナル レポートは失われ、取り戻すことはできません。 Exchange Online メールボックスのメール受信に関する既存の制限のため、代替ジャーナリング メールボックスを Exchange Online メールボックスに構成することはサポートされていません。

代替ジャーナリング メールボックスは、Exchange Online organization全体について拒否されたすべてのジャーナル レポートを収集するため、organizationに適用される法律や規制に違反していないことを確認する必要があります。 法律または規制によって、組織で別のジャーナリング メールボックスに送信されたジャーナル レポートを同じ代替ジャーナリング メールボックスに格納することが禁止されている場合は、代替ジャーナリング メールボックスを構成できないことがあります。 この点について法定代理人と相談し、代替ジャーナリング メールボックスを使用できるかどうかを判断してください。

代替ジャーナリング メールボックスを構成する場合は、ジャーナリング メールボックスを構成したときと同じ条件を使用してください。

重要

代替ジャーナリング メールボックスは、特別な専用のメールボックスとして扱う必要があります。 代替ジャーナリング メールボックスに直接宛てたメッセージはジャーナル処理されません。

ジャーナル レポート

ジャーナル レポートは、メッセージがジャーナル ルールと一致するときにジャーナリング エージェントによって生成されるメッセージで、ジャーナリング メールボックスに送信されます。 ジャーナル ルールと一致した元のメッセージは、ジャーナル レポートの添付ファイルとして未変更のまま含まれます。 ジャーナル レポートの本文には、送信者の電子メール アドレス、メッセージの件名、メッセージ ID、および受信者の電子メール アドレスなど、元のメッセージの情報が含まれます。 これはエンベロープ ジャーナリングとも呼ばれ、Microsoft 365 および Office 365でサポートされている唯一のジャーナリング方法です。

ジャーナル レポートと IRM で保護されたメッセージ

ジャーナリングを実装する場合、ジャーナリング レポートと IRM で保護されたメッセージについて考慮する必要があります。 IRM で保護されたメッセージは、RMS のサポートが組み込まれていないサード パーティのアーカイブ システムの検索機能と検出機能に影響します。 Microsoft 365 および Office 365では、ジャーナル レポートの暗号化解除を構成して、メッセージのクリア テキスト コピーをジャーナル レポートに保存できます。 暗号化がorganizationから送信された場合、メッセージと添付ファイルは暗号化解除されます。 ジャーナリングでは、外部組織によって暗号化されたアイテムは暗号化解除されません。

organizationに対してジャーナル レポートの暗号化解除を有効にするには、次の手順を実行します。

  1. ローカル コンピューターで、organizationでグローバル管理者またはコンプライアンス管理者のアクセス許可を持つ職場または学校アカウントを使用して、Exchange Online PowerShell に接続します

  2. コマンドレットを Set-IRMConfiguration 実行して、ジャーナル レポートの暗号化解除を有効にします。

 Set-IRMConfiguration -JournalReportDecryptionEnabled $true

復号化を JournalReportDecryptionEnabled 有効にするには、 パラメーターを に true 設定します。 復号化を無効にするには、 パラメーターを に false 設定します。

重要

ジャーナル レポートの暗号化解除では、現在、OME ブランド化テンプレートの明示的な使用はサポートされていません。 メール フロー ルール (トランスポート ルールとも呼ばれます) を使用して OME ブランド化テンプレートを適用する場合、ジャーナル レポートにはメッセージの暗号化解除されたコピーは含まれません。 現在、ジャーナル レポートの暗号化解除は、Exchange Onlineによってメール フロー ルールなしで適用される既定の OME ブランド化テンプレートでのみ機能します。 つまり、メッセージに対して OME によって暗黙的に適用されるブランド化テンプレートです。

トラブルシューティング

メッセージが複数のジャーナル ルールのスコープと一致すると、一致するすべてのルールがトリガーされます。

  • 一致するルールが異なるジャーナル メールボックスで構成されている場合は、ジャーナル レポートが各ジャーナル メールボックスに送信されます。
  • 一致するルールがすべて同じジャーナル メールボックスで構成されている場合、ジャーナル メールボックスに送信されるジャーナル レポートは 1 つだけです。

SMTP MAIL FROM コマンドの電子メール アドレスが、Exchange Onlineで承認済みドメインとして構成されているドメイン内にある場合、ジャーナリングは常にメッセージを内部として識別します。 これらのメッセージには、外部ソースからのスプーフィングされたメッセージ ( X-MS-Exchange-Organization-AuthAs ヘッダー値も匿名であるメッセージ) が含まれます。 したがって、外部メッセージをスコープとするジャーナル ルールは、受け入れられたドメイン内の SMTP MAIL FROM メール アドレスを持つスプーフィングされたメッセージによってトリガーされません。

ハイブリッド Exchange 環境でのジャーナル レポートの重複シナリオ

ハイブリッド Exchange 環境では、次のシナリオによってジャーナル レポートが重複することがわかっており、これらは設計上考慮されます。

  1. クラウドからクラウドへ: メールがフォークされる状況では、次のような重複したジャーナリングが発生します。

    • トランスポート チッピング (メッセージの受信者が多すぎます)。
    • 内部受信者と外部受信者は同じメッセージに存在します。スパム/フィッシング目的で 2 つのフォークが作成されます (内部受信者が存在し、もう 1 つは外部受信者が存在します)。
    • クラウドがメッセージをフォークする必要がある将来のニーズ。

  2. オンプレミスからクラウドへ: オンプレミスのジャーナルを実行する場合は 1 回、クラウドでジャーナルを実行する場合は 1 回。 これは、Exchange Online テナントに PreventDupJournaling フライトを実装することで防止できます。 このフライトを有効にするには、Microsoft でサポート チケットを開く必要があります。

問題がある場合は、 Exchange のフォーラムで質問してください。 次のフォーラムにアクセスしてください: 「Exchange Online」または「Exchange Online Protection」。

JournalingReportDNRTo メールボックスで問題が発生した場合は、「Exchange Onlineのトランスポートとメールボックスの規則が期待どおりに機能しない」を参照してください。