スパム対策とマルウェア対策の保護
オンプレミスでメールボックスを実行する組織のアドオンとしての組み込みのセキュリティ機能は、受信メールと送信メールを保護するクラウドベースのスパムとマルウェアフィルタリングを提供します。 これらの保護は既定で有効になっているため、管理者はオンプレミスのフィルター エンジンをデプロイまたは保守する必要はありませんが、organizationのニーズに合わせてフィルターポリシーを調整することもできます。
組み込みのすべてのセキュリティ機能に関する情報をお探しですか?
「クラウド メールボックス サービスの組み込みのセキュリティ機能」の説明を参照してください。
マルウェア対策保護
当社の組み込みのセキュリティ機能は、複数のマルウェア対策エンジンを利用して、既知のすべての形式のマルウェアに対して包括的で多層的な保護を提供します。 サービスを介して転送されたメッセージは、ウイルスやスパイウェアを徹底的にスキャンされ、感染が見つかったメッセージはすぐに削除されます。 さらに、感染したメッセージが削除され、配信されない場合は、送信者または管理者に通知が発行される場合があります。 管理者は、感染した添付ファイルを、マルウェアの存在を受信者に通知する既定またはカスタムの通知メッセージに置き換えるオプションもあります。
注:
マルウェア対策スキャンを無効にすることはできません。
オンプレミスメールボックスのアドオンとして、サービスによってルーティングされる受信メッセージと送信メッセージのみがスキャンされ、organizationの送信者からorganizationの受信者に送信されたメッセージはスキャンされません。 ただし、別の防御層では、内部メッセージのマルウェアをスキャンするExchange Serverの組み込みのマルウェア対策保護機能とサービスをペアリングできます。
Exchange Onlineのお客様と、オンプレミスの Exchange 顧客向けのサービスに含まれる Exchange Enterprise CAL に含まれる組み込みのセキュリティ機能については、サービスによってルーティングされる受信メッセージと送信メッセージ、およびorganizationの送信者からorganizationの受信者に送信された内部メッセージがスキャンされます。
詳細については、「 Microsoft 365 の電子メールのマルウェア対策保護 」および「 マルウェア対策保護に関する FAQ」を参照してください。
マルウェア対策ポリシーのカスタマイズ
既定のポリシーを企業全体の設定に合わせて構成することができます。 細分性を高めるために、カスタムマルウェア対策ポリシーを作成し、organization内の指定されたユーザー、グループ、またはドメインに適用することもできます。 カスタム ポリシーは既定のポリシーより常に優先されますが、カスタム ポリシーの優先度 (つまり、実行順序) を変更できます。 詳細については、「 電子メールのマルウェア対策ポリシーを構成する」を参照してください。
スパム対策保護
組み込みのセキュリティ機能では、独自のスパム対策テクノロジを使用して、高精度のレートを実現します。 これは、すべての受信メッセージに対して強力な接続フィルタリングとスパムフィルタリングを提供します。 送信メールの送信にサービスを使用する場合は、送信スパム フィルター処理も常に有効になり、サービスとその目的の受信者を使用して組織を保護するのに役立ちます。
詳細については、「 スパム対策保護 と スパム対策の保護に関する FAQ」を参照してください。
スパム対策ポリシーのカスタマイズ
クラウド メールボックスの組み込みのセキュリティ機能によって処理されるすべての受信および送信メール メッセージに対して、スパム フィルター処理が自動的に有効になります。 スパム フィルタリングを完全に無効にすることはできませんが、既定のスパム対策ポリシーで特定の会社全体の設定を変更できます。 細分性を高めるために、カスタムスパム対策ポリシーを作成し、organization内の特定のユーザー、グループ、またはドメインに適用することもできます。 既定では、カスタム ポリシーが既定のポリシーよりも優先されますが、必要に応じてカスタム ポリシーの優先順位 (実行順序) を変更できます。
詳細については、次のトピックをご覧ください。
スプーフィング対策保護
ベースライン セキュリティ機能のなりすまし対策テクノロジは、メッセージ本文の From ヘッダーの偽造を具体的に調べます (電子メール クライアントでメッセージ送信者を表示するために使用されます)。 From ヘッダーが偽造されているという高い信頼度がある場合、メッセージはスプーフィングとして識別されます。
詳細については、「なりすまし対策保護」を参照してください。
検疫する
既定では、組み込みのセキュリティ機能により、マルウェアを含むフィッシング メッセージとメッセージが検疫に直接送信されます。 管理者が代わりにこれらのメッセージを検疫に送信するようにスパム対策ポリシーを構成しない限り、スパムと一括メールはユーザーの迷惑メール Email フォルダーに送信されます。 メッセージが検疫された理由に応じて、管理者とエンド ユーザーは検疫中のメッセージを表示および管理できます。
詳細については、「 検疫済みメール メッセージ」を参照してください。
分析のためにメッセージを Microsoft に報告する
申請機能を使用すると、管理者とエンド ユーザーは、誤って迷惑メール (誤検知) として分類されたか、フィルター (偽陰性) によって見逃されたと思われるアイテムを簡単に報告できます。 分析の結果に応じて、フィルター処理スタックを調整して、サービスによってフィルター処理または許可される迷惑メール メッセージの数と影響を減らすことができます。
詳細については、「メッセージとファイルを Microsoft に報告する」を参照してください。
機能の可用性
プラン、スタンドアロン オプション、およびオンプレミス ソリューション間の機能の可用性を表示するには、「 クラウド メールボックス サービスの組み込みセキュリティ機能」の説明を参照してください。
その他のリソース
ドキュメント
トレーニング モジュール
組み込みのセキュリティ機能のメール フロー
Microsoft を使用するほとんどの組織では、メールボックスをホストし、メール フローを処理します。 これは最も簡単な構成であり、Microsoft がすべてのメールボックスとフィルター処理を管理することを意味します。 ただし、自分たちのメールボックスすべてをオンプレミスで保持するという業務上のニーズがある組織もあります。 組み込みのセキュリティ機能を使用すると、それを行い、クラウドでウイルス対策とスパム対策のメール処理を提供します。 クラウド メールボックスの組み込みセキュリティの詳細と購入については、「セキュリティのEmail」を参照してください。
ドメイン管理またはディレクトリ ベースのエッジ ブロッキング (DBEB) に関する情報をお探しですか? 「 受信者、ドメイン、および会社の管理」を参照してください。 すべての組み込みセキュリティ機能の詳細については、「 クラウド メールボックス サービスの組み込みセキュリティ機能」の説明を参照してください。
Microsoft と独自の電子メール サーバー間で電子メールをルーティングする
コネクタを構成して、Microsoft (Exchange Onlineまたは組み込みのセキュリティ機能を含む) と Exchange などの SMTP ベースの電子メール サーバー間のメール フローを有効にすることができます。 この詳細については、「 コネクタが必要ですか?」を参照してください。 また、 Microsoft と独自のメール サーバー間でメールをルーティングするコネクタを設定します。
Secure messaging with a trusted partner
組み込みのセキュリティ機能を使用しているお客様は、Microsoft コネクタを使用して、信頼されたパートナーとセキュリティで保護されたメール フローを設定できます。 Microsoft では、トランスポート層セキュリティ (TLS) を介したセキュリティで保護された通信がサポートされており、TLS ベースの暗号化を適用するコネクタを作成できます。
TLS は、インターネット経由の通信にセキュリティを提供する暗号化プロトコルです。 コネクタを使用すると、自己署名証明書または証明機関 (CA) 検証の証明書を使用した受信 TLS と送信 TLS の両方を強制するよう構成できます。 パートナー組織のメールの送信元のドメイン名または IP アドレスの範囲を指定するなど、他のセキュリティ制限を適用することもできます。
詳細については、「パートナー組織とのセキュリティで保護されたメール フロー用のコネクタを設定する」をご覧ください。
パートナーの IP アドレスのセーフ リスト
信頼できるパートナーの IP アドレスをセーフ リストに追加して、そこから自分宛てに送信されるメッセージにスパム フィルター処理を施さないようにすることができます。 そのためには、接続フィルターの IP 許可一覧を使います。 詳細については、「接続フィルター ポリシーを構成する」を参照してください。
条件付きメール ルーティング
条件に基づいてメールを特定のサイトにルーティングするためのトランスポート ルールを使ってコネクタを構成できます。 詳しくは、「Scenario: Conditional email routing」をご覧ください。
ハイブリッド メール ルーティング
ハイブリッドとは、メールボックスの一部は社内でホストし、一部はクラウド (Exchange Online) でホストすることを意味します。 (オンプレミスの) スタンドアロン展開からハイブリッド展開に移行できます。
ハイブリッド展開がある場合は、組み込みのセキュリティ機能を使用してクラウドとオンプレミスのメールボックスを保護できます。 これらの組み込みのセキュリティ機能によって保護されている場合、オンプレミスのメールボックスにはスタンドアロン ライセンスが必要です。 ハイブリッド展開でのメール ルーティングの詳細については、ハイブリッド メール フローのガイダンスを参照してください。 「Exchange ハイブリッド展開でのトランスポート ルーティング」を参照してください。
「Microsoft Exchange Server 展開アシスタント」でも、ハイブリッド展開のプロビジョニングとハイブリッド メッセージ トランスポートの詳細なガイダンスを参照できます。
機能の可用性
プラン、スタンドアロン オプション、およびオンプレミス ソリューション全体の機能の可用性を表示するには、「 クラウド メールボックス サービスの組み込みセキュリティ機能」の説明を参照してください。
クラウド メールボックスの組み込みセキュリティ機能の管理と管理
この記事では、クラウド メールボックスの組み込みのセキュリティ機能の管理者が使用できる管理インターフェイスについて説明します。
組み込みのすべてのセキュリティ機能に関する情報をお探しですか?
クラウド メールボックス サービスの組み込みセキュリティ機能の説明を参照してください。
Microsoft 365 管理センターにアクセスする
Microsoft 365 管理センターは、各organizationのサービス管理者がサブスクライブしている Microsoft サービスのユーザー アカウントと設定を管理する Web ポータルです。 管理者は、Microsoft 365 管理センター内から Exchange 管理センター (EAC) へのリンクに従って、組み込みのセキュリティ機能に固有の設定を管理できます。
Exchange 管理センターへのアクセス
Exchange 管理センター (EAC) は、使いやすさを考慮して設計され、あらゆる種類の展開用に最適化された統合された管理コンソールです。 更新された EAC によって、従来の Forefront Online Protection for Exchange 管理センターが置き換えられます。 Microsoft 365 との緊密な統合と、Microsoft Exchange Onlineや Microsoft Exchange Server 2013 など、Exchange 製品全体で一貫したシームレスな UI が提供されます。
EAC の詳細については、「Exchange 管理 Center in built-in-premises security add-on for オンプレミス メールボックス」を参照してください。
リモート Windows PowerShell へのアクセス
管理者は、リモート Windows PowerShell を使用して、コマンド ラインから管理タスクを実行できます。 コマンドレットごとのリモート シェル セッションとドキュメントの作成に関する情報を含む、Windows PowerShell の使用方法に関する詳細については、「Exchange Online による PowerShell の使用」を参照してください。
機能の可用性
プラン、スタンドアロン オプション、およびオンプレミス ソリューション間の機能の可用性を表示するには、「 クラウド メールボックス サービスの組み込みセキュリティ機能」を参照してください。
その他のリソース
ドキュメント
メッセージング ポリシーとコンプライアンス
組み込みのセキュリティ機能は、メール データの管理に役立つメッセージング ポリシーとコンプライアンス機能を提供します。
組み込みのすべてのセキュリティ機能に関する情報をお探しですか?
クラウド メールボックス サービスの組み込みセキュリティ機能の説明を参照してください。
メール フロー ルール
メール フロー ルール (トランスポート ルールとも呼ばれます) を使用すると、独自の会社固有のポリシーを電子メールに柔軟に適用できます。 メール フロー ルールは柔軟な条件で構成され、条件に基づいて実行する条件、例外、アクションを定義できます。 詳細については、「Mail flow rules (transport rules) in Exchange Online」を参照してください。
監査ログ
監査ログを使用すると、組織に対して管理者が行った変更を追跡できます。 これらのレポートは、法規制、法令遵守、訴訟の要件を満たすために役立ちます。 詳細については、「 オンプレミス メールボックスの組み込みセキュリティ アドオンでのレポートの監査」を参照してください。
Microsoft Purview データ損失防止
組み込みのセキュリティ機能を使用しているお客様は使用できません。 データ損失防止 (DLP) では、詳細なコンテンツ分析によって、組織内の機密情報を特定、監視、保護できます。 ビジネスクリティカルな電子メールには保護が必要な機密データが含まれているため、企業のメッセージ システムでの DLP の重要性がますます高まっています。 DLP 機能を使用すると、作業者の生産性に影響を与えることなく機密データを保護できます。
EAC で DLP ポリシーを構成することにより、次のことが可能になります。
PCI DSS データ、グラム リーチ ブライリー法データ、またはロケール固有の個人情報 (PII) などの特定の種類の機密情報を検出するのに役立つ構成済みのポリシー テンプレートを利用することができます。
既存のメール フロー ルールの条件とアクションを最大限に活用し、新しいメール フロー ルールを追加します。
DLP ポリシーを完全に実施する前にその効果をテストできます。
独自のカスタム DLP ポリシー テンプレートや機密情報の種類を組み込むことができます。
メッセージの添付ファイル、本文テキスト、または件名に含まれる機密情報を検出し、サービスで処理を実行する信頼レベルを調整できます。
ドキュメントのフィンガープリント機能を使って機密性の高いフォーム データを検出できます。 ドキュメントフィンガープリントを使用すると、メール フロー ルールと DLP ポリシーを定義するために使用できるテキスト ベースのフォームに基づいて、カスタムの機密情報の種類を簡単に作成できます。
Outlook 2013、Outlook on the web、OWA for Devices ユーザーに通知を表示することでデータ損失を減らすのに役立つポリシーヒントを追加し、誤検知レポートを許可することでポリシーの有効性を向上させることができます。
インシデント レポートの生成アクションを使用して、DLP レポートでのインシデント データの確認や独自のレポートの追加を行うことができます。
注:
DLP ポリシーは、組織と外部との間で送受信されるメールにのみ適用されます。 社内で Exchange Server 2013 と DLP を実行していない場合、組織内 (内部) メールに DLP ポリシーは適用されません。 このことは、許可されていない受信者に機密データを誤って送信する前に、潜在的なポリシー違反をユーザーに通知する DLP ポリシー ヒントにも当てはまります。
DLP の詳細については、Exchange Onlineの「データ損失防止 (DLP)」を参照してください。
Microsoft Purview のメッセージの暗号化
Azure Information Protectionの一部であるMicrosoft Purview Message Encryptionは、電子メール ユーザーが暗号化された電子メール メッセージを誰にでも送信できるようにするオンライン サービスです。 オンプレミスのお客様は、Azure Information Protectionを購入し、組み込みのセキュリティ機能を使用してExchange Online経由でメール フローを設定することで、Microsoft Purview Message Encryptionにアクセスできます。 Exchange OnlineでのMicrosoft Purview Message Encryptionの詳細については、Exchange Online サービスの説明の「Microsoft Purview Message Encryption」を参照してください。
EOP オプション間のメッセージング ポリシーとコンプライアンス機能
| 機能 |
オンプレミスメールボックスアドオンの組み込みセキュリティ |
クラウド メールボックスの組み込みのセキュリティ機能 |
Exchange Enterprise
サービスを使用した CAL |
| メール フロー ルール |
はい1 |
はい1 |
はい1、3 |
| 監査ログ |
はい2 |
はい |
はい |
| データ損失防止 (DLP) |
不要 |
はい |
はい3 |
| Microsoft Purview のメッセージの暗号化 |
はい4 |
はい |
はい4 |
注:
1 使用できるメール フロー ルールの条件、例外、アクションは、オンプレミスメールボックスの組み込みのセキュリティ機能とExchange Onlineによって若干異なります。 これらの違いは、Exchange Onlineのメール フロー ルールの条件と例外 (述語) と、Exchange Onlineのメール フロー ルール アクションに関するページに示されています。
2 組み込みのセキュリティ機能によって提供される監査レポートは、Exchange Online監査レポートのサブセットであり、メールボックス レベルの情報を除外します。
3 DLP ポリシーのヒントは、Exchange Enterprise CAL とサービスを使用しているお客様には使用できません。
4 これらの機能は、Azure Information Protectionアドオンを購入し、組み込みのセキュリティ機能を使用してメールをExchange Onlineにルーティングするオンプレミスのお客様に対してサポートされています。 デスクトップ エクスペリエンスでは、Azure Information Protection アドオンに加えて、Enterprise 用のMicrosoft 365 Appsも必要です。
組み込みのセキュリティ機能でのレポートとメッセージ トレース
組み込みのセキュリティ機能は、organizationの電子メール環境の状態と全体的な正常性を評価するのに役立つさまざまなレポートを提供します。 Microsoft 365 管理センターで使用できるレポートもあれば、Exchange 管理センター (EAC) からアクセスできるレポートもあります。
すべての組み込み機能に関する情報をお探しですか?
クラウド メールボックス サービスの組み込みセキュリティ機能の説明を参照してください。
Microsoft Office 365 管理センター レポート
Microsoft 365 管理センター内の [レポート] ページでは、メッセージ トラフィック、スパム、マルウェア検出、およびメール フロー ルール (トランスポート ルールとも呼ばれます) またはMicrosoft Purview データ損失防止 (DLP) ポリシーの影響を受けるメッセージに関する包括的な分析情報が提供されます。 保護、ルール、DLP の強化されたレポートにより、管理者は対話型のレポート エクスペリエンスを利用して、組み込みのセキュリティ機能を効果的に管理できます。 これらのレポートには、サマリー分析と、個々のメッセージに関連する詳細情報を調べるオプションの両方が含まれます。
これらのレポートの詳細については、「 メール保護レポートを使用してマルウェア、スパム、ルールの検出に関するデータを表示する」を参照してください。
Reporting using web services
注:
REST ベースのレポート機能と関連するコマンドレットの多くは、2018 年 1 月に非推奨となりました。 Office 365で使用可能な代替 Microsoft Graph レポートの詳細については、「Microsoft Graph での使用状況レポートの操作」のサブトピックを参照してください。
組み込みのセキュリティ機能を使用しているお客様は使用できません。 REST/OData テナント レポート Web サービスを使用して、メッセージング データに関する概要レポートと詳細レポートをプログラムで収集し、カスタム Web 管理ポータルの Web ページにデータを表示できます。
メッセージの追跡
EAC のメッセージ トレース機能を使用すると、管理者は、組み込みのセキュリティ機能を通過するときに電子メール メッセージに従うことができます。 これは、対象の電子メール メッセージがサービスによって受信、拒否、延期、または配信されたかどうかを判断する上で役立ちます。 メッセージが最終的な状態になる前に、メッセージに行われた処理も表示します。 特定メッセージに関する詳細情報を得ることにより、効率良くユーザーの質問に回答したり、メール フローの問題をトラブルシューティングしたり、ポリシーの変更を検証したりすることができるため、テクニカル サポートに支援を求める必要性が減ります。 詳細については、「 メッセージ トレースを実行し、Exchange 管理センターで結果を表示する」を参照してください。
機能の可用性
プラン、スタンドアロン オプション、およびオンプレミス ソリューション全体の機能の可用性を表示するには、「 クラウド メールボックス サービスの組み込みセキュリティ機能」の説明を参照してください。
その他のリソース
ドキュメント
組み込みのセキュリティ機能での受信者、ドメイン、および会社の管理
クラウド メールボックスの組み込みのセキュリティ機能には、受信者、ドメイン、会社の情報を管理するためのいくつかの方法が用意されています。 管理者は、Exchange 管理センター (EAC) 内で特定の管理タスクを実行し、Microsoft 365 管理センターで実行されたその他の管理タスクを確認できます。
組み込みのすべてのセキュリティ機能に関する情報をお探しですか?
クラウド メールボックス サービスの組み込みセキュリティ機能の説明を参照してください。
Mail recipients
メールの受信者は、メール ユーザーまたはメール グループに分類され、ディレクトリ同期によって管理することも、EAC またはリモート Windows PowerShell で直接管理することもできます。 オンプレミスで受信者を管理している場合は、メール受信者が EAC に反映されるようにディレクトリ同期を実行する必要があります。 Microsoft 365 管理センターでのみ管理されているユーザーは、EAC では表示できませんが、EAC の管理者ロール グループのメンバーシップに追加したり、メンバーシップから削除したりできます。 組み込みのセキュリティ機能の受信者の詳細については、「 オンプレミス メールボックスの組み込みセキュリティ アドオンで受信者を管理する」を参照してください。
Admin role group permissions
組み込みのセキュリティ機能では、管理ロールのみを構成できます。 EAC では、既定の管理役割グループに対してユーザーを直接、追加または削除できます。 RBAC のカスタマイズはできません。 詳細については、「Exchange Online のアクセス許可」を参照してください。
Domain management
マネージド ドメインは、組み込みのセキュリティ機能によって保護されるドメインです。 EAC では、管理対象ドメインの表示とドメインの種類の編集ができます。 ドメインのプロビジョニングと管理はMicrosoft 365 管理センターで行われ、変更は EAC に反映されます。 詳細については、「 クラウド メールボックスの既定の電子メール保護」を参照してください。
一致サブドメイン
組み込みのセキュリティ機能を使用すると、マネージド ドメインのサブドメインへのメール フローを有効にすることができます。 詳細については、「 クラウド組織のメール フロー」を参照してください。
Directory Based Edge Blocking (DBEB)
ディレクトリ ベースのエッジ ブロック機能では、サービス ネットワーク境界で無効な受信者宛てのメッセージを拒否することができます。 DBEB を使用すると、管理者はメールが有効な受信者を Microsoft に追加し、Microsoft に存在しないメール アドレスに送信されるすべてのメッセージをブロックできます。 Microsoft に存在する有効なメール アドレスにメッセージが送信された場合、メッセージは残りのサービス フィルタリング レイヤー (マルウェア対策、スパム対策、トランスポート ルール) を介して続行されます。 宛先のアドレスが存在しない場合、メッセージはフィルターを適用する前にブロックされ、送信者には、メッセージが配信されなかったことを通知する配信不能レポート (NDR) が送信されます。
DBEB を有効にするには、ユーザーおよびドメインの構成が必要です。 詳細については、「ディレクトリ ベースのエッジ ブロックを使用して無効な受信者に送信されたメッセージを拒否する」を参照してください。
機能の可用性
プラン、スタンドアロン オプション、およびオンプレミス ソリューション全体の機能の可用性を表示するには、「 クラウド メールボックス サービスの組み込みセキュリティ機能」の説明を参照してください。
その他のリソース
ドキュメント