TLS 適用による制限パートナー シナリオ

  • [アーティクル]

 

適用対象: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Forefront Online Protection for Exchange (FOPE) コネクタを使用してメール ルーティングを構成することにより、組織は信頼できるパートナーとの安全なメール フロー チャネルを設定することができます。ビジネス パートナーによっては、組織にトランスポート層セキュリティ (TLS) での通信やサード パーティで検証された証明書を使用したサインインを要求することも考えられます。FOPE コネクタを使用すると、自己署名証明書または CA 検証証明書を使用した TLS が受信と送信の両方に必ず適用されるように構成することができます。TLS はインターネット上の通信を安全に行える暗号化プロトコルです。FOPE での TLS の使用方法の詳細については、「FOPE のトランスポート層セキュリティ (TLS) について」を参照してください。

このサンプル シナリオでは、contoso.com が、fabrikambank.com との間に安全なメール ルーティング チャネルを設定しています。Contoso は、Microsoft Exchange Online クラウドでホストされたメール ソリューションを使用してメールボックスをホストしています。FOPE を介した Fabrikam Bank とのメールのやり取りでは、メールは双方向の TLS 暗号化により保護されています。

**ヒント:**このシナリオおよび FOPE コネクタの構成手順について説明しているビデオを見るには、「TLS 適用による制限パートナー シナリオ」を参照してください。

双方向のメール フロー

クラウドでメールを送受信する場合、制限パートナー アーキテクチャは次のようになります。

ビジネス制限パートナーのシナリオ

このシナリオでは、Contoso の Exchange Online 組織と Fabrikam との間でやり取りされるメールは、受信 TLS と送信 TLS が適用された安全な回線を利用して転送されます。さらに、2 つの組織間のすべてのメールは CA 証明書を使用して検証されます。

制限パートナーの構成

制限パートナー関係を構成するには、FOPE の受信コネクタと送信コネクタを作成する必要があります。

制限パートナー用の FOPE 受信コネクタを構成するには

  1. FOPE 管理センターで [管理] タブをクリックし、[会社] タブをクリックします。

  2. [コネクタ] セクションで、[受信コネクタ] に対する [追加] をクリックします。[受信コネクタの追加] ダイアログ ボックスが開きます。

    次のイメージは、TLS 適用による制限パートナーのサンプル シナリオに使用する受信コネクタの設定を示しています。

    制限パートナーの受信コネクタ

  3. [名前] フィールドに、受信コネクタの内容を示す名前を入力します。

  4. [説明] フィールドに、受信コネクタに関する追加の説明を入力します。

  5. [送信者ドメイン] ボックスに、安全なチャネルを確立する相手組織のドメイン名 (「fabrikambank.com」など) を入力します。

  6. [送信者 IP アドレス] フィールドに、パートナーの IP アドレス (1 つまたは複数) を入力します。IP アドレスは次の形式で指定する必要があります。nnn.nnn.nnn.nnn nnn は 1 ~ 255 の数値です。また、クラスレス ドメイン間ルーティング (CIDR) 範囲を次の形式で指定することもできます。nnn.nnn.nnn.nnn/rr rr は 24 ~ 31 の数値です。複数の IP アドレスを指定する場合は、コンマで区切る必要があります。ここで IP アドレスを指定することが推奨されますが、ドメインに関連付けられている特定の IP アドレスがわからないか、スコープの広いコネクタを作成する場合は、このフィールドを空白のままにできます。

  7. [これらの IP アドレスをセーフリストに追加し、上で指定されているドメインの IP アドレスからのメールのみを受け入れます] を選択します。これにより、指定された送信者ドメインからのメールは、指定された送信者 IP アドレスからのみ送信されるようになります。(前の手順で送信者の IP アドレスを指定しなかった場合、代わりに [上で指定されているドメインのセーフリストに、これらの IP アドレスを追加します] を選択します)。

  8. [コネクタ設定] セクションの [トランスポート層セキュリティ (TLS)] オプションで、[TLS の適用] を選択します。このオプションを選択すると、パートナーがクラウドでホストされたユーザーに電子メールを送信するときに、TLS 接続が使用されます。接続が TLS ベースでない場合、FOPE は電子メール メッセージを拒否します。

    FOPE での TLS の使用方法の詳細については、「FOPE のトランスポート層セキュリティ (TLS) について」を参照してください。

  9. [コネクタ設定] セクションでチェック ボックスを使用すると、次の [フィルター] 操作を適用またはスキップするように指定できます。これらのフィルター オプションは、既定では有効 (適用) になっています。

    [IP 評価フィルターの適用]: 受信電子メール メッセージに対する IP 評価フィルターを適用するかどうかを示します。このシナリオでは、このオプションに実用的な意味はありません。

    [スパム フィルターの適用]: 受信電子メール メッセージに対するスパム フィルターを適用するかどうかを示します。

    [ポリシー ルールの適用]: 受信電子メール メッセージに対するポリシー ルールを適用するかどうかを示します。

  10. [保存] をクリックします。

これで、コネクタが [受信コネクタ] の下に表示されます。コネクタを展開すると、設定を表示できます。[編集] をクリックすると、このコネクタの設定を変更することができます。

このコネクタの構成を会社全体または会社内の特定のドメインに適用する方法や、コネクタを削除する方法については、「FOPE コネクタの関連付けの適用と削除」を参照してください。

制限パートナー シナリオで FOPE 送信コネクタを構成するには

  1. FOPE 管理センターで [管理] タブをクリックし、[会社] タブをクリックします。

  2. [コネクタ] セクションで、[送信コネクタ] に対する [追加] をクリックします。[送信コネクタの追加] ダイアログ ボックスが開きます。

    次のイメージは、TLS 適用による制限パートナーのサンプル シナリオに使用する送信コネクタの設定を示しています。

    制限パートナーの送信コネクタ

  3. [名前] フィールドに、送信コネクタの内容を示す名前を入力します。

  4. [説明] フィールドに、送信コネクタに関する追加の説明を入力します。

  5. [受信者ドメイン] ボックスに、安全なチャネルを確立する相手組織のドメイン名を入力します。

  6. [すべてのメッセージを次の宛先に配信] チェック ボックスをオンにし、[完全修飾ドメイン名] を指定します。このフィールドでは、FOPE が電子メールを送信する先の完全修飾ドメイン名 (「fabrikambank.com」など) を指定します。

  7. [トランスポート層セキュリティ (TLS) 設定] セクションでは、いくつかの TLS 証明書オプションのいずれかを選択できます。

    • [自己署名証明書に対する検証]: この証明書は組織内で作成され、チャネルの暗号化に使用されます。

    • [発行元の証明機関 (CA) は、Microsoft によって信頼されています]: 受信者の証明書が、承認された証明機関によって発行されていることを検証します。たとえば、証明書が期限切れでなく正規のものであることを検証します。

    • [受信者の証明書が宛先ドメインと一致しています]: [発行元の証明機関 (CA) は、Microsoft によって信頼されています] オプションの内容に加えて、証明書のサブジェクトの別名が受信者ドメイン名と一致していることも検証します。

    • [受信者の証明書が次のドメインと一致しています]: [発行元の証明機関 (CA) は、Microsoft によって信頼されています] オプションの内容に加えて、証明書上のサブジェクトの別名がテキスト ボックスに入力した内容と一致していることも検証します。

  8. [保存] をクリックします。

これで、コネクタが [送信コネクタ] の下に表示されます。コネクタを展開すると、設定を表示できます。[編集] をクリックすると、このコネクタの設定を変更することができます。

このコネクタの構成を会社全体または会社内の特定のドメインに適用する方法や、コネクタを削除する方法については、「FOPE コネクタの関連付けの適用と削除」を参照してください。