Options de transport dans les déploiements hybrides ExchangeTransport options in Exchange hybrid deployments

Les déploiements hybrides peuvent comporter des boîtes aux lettres qui résident dans votre organisation Exchange locale, mais également dans une organisation Exchange Online. Un composant essentiel conférant à ces deux organisations distinctes l'apparence d'une seule et même organisation pour les utilisateurs et les messages échangés est le transport hybride. Dans un transport hybride, les messages envoyés entre des destinataires d'une organisation sont authentifiés, chiffrés et transférés via le protocole TLS (Transport Layer Security). Ces messages apparaissent comme « internes » à des composants d'Exchange, tels que les règles de transport, la journalisation et les stratégies antispam. Le transport hybride est automatiquement configuré par l'Assistant Configuration hybride.In hybrid deployments, you can have mailboxes that reside in your on-premises Exchange organization and also in an Exchange Online organization. A critical component of making these two separate organizations appear as one combined organization to users and messages exchanged between them is hybrid transport. With hybrid transport, messages sent between recipients in either organization are authenticated, encrypted, and transferred using Transport Layer Security (TLS). These messages appear as "internal" to Exchange components such as transport rules, journaling, and anti-spam policies. Hybrid transport is automatically configured by the Hybrid Configuration wizard.

Pour que la configuration du transport hybride fonctionne avec l'assistant de configuration hybride, le point de terminaison SMTP local qui accepte les connexions depuis Exchange Online doit être un serveur de boîtes aux lettres (Exchange 2016 et versions plus récentes), un serveur d'accès au client (Exchange 2013), un serveur de transport Hub (Exchange 2010 et versions antérieures), ou un serveur de transport Edge (Exchange 2010 et versions plus récentes).For hybrid transport configuration to work with the Hybrid Configuration wizard, the on-premises SMTP endpoint that accepts connections from Exchange Online must be a Mailbox server (Exchange 2016 and newer), Client Access server (Exchange 2013), Hub Transport server (Exchange 2010 and older), or an Edge Transport server (Exchange 2010 and newer).

Important

Ne placez aucun serveur, service ou périphérique entre vos serveurs Exchange locaux et Office 365 traitant ou modifiant le trafic SMTP. Le flux de messagerie sécurisée entre votre organisation Exchange locale et Office 365 dépend des informations contenues dans les messages envoyés au sein de l'organisation. Les pare-feu autorisant le trafic SMTP sur le port TCP 25 sans modification sont pris en charge. Si un serveur, un service ou un périphérique traite un message envoyé entre votre organisation Exchange locale et Office 365, ces informations sont supprimées. Dans ce cas, le message n'est plus considéré comme interne à votre organisation et est soumis à un filtrage anti-courrier indésirable, aux règles de journal et de transport, ainsi qu'à d'autres stratégies ne s'appliquant normalement pas à celui-ci.Don't place any servers, services, or devices between your on-premises Exchange servers and Office 365 that process or modify SMTP traffic. Secure mail flow between your on-premises Exchange organization and Office 365 depends on information contained in messages sent between the organization. Firewalls that allow SMTP traffic on TCP port 25 through without modification are supported. If a server, service, or device processes a message sent between your on-premises Exchange organization and Office 365, this information is removed. If this happens, the message will no longer be considered internal to your organization and will be subject to anti-spam filtering, transport and journal rules, and other policies that may not apply to it.

Les messages entrants envoyés aux destinataires des deux organisations par des expéditeurs Internet externes suivent un itinéraire entrant commun. Les messages sortants envoyés depuis les organisations à des destinataires Internet externes peuvent suivre un itinéraire sortant commun ou bien emprunter des itinéraires indépendants.Inbound messages sent to recipients in both organizations from external Internet senders follow a common inbound route. Outbound messages sent from the organizations to external Internet recipients can either follow a common outbound route or can be sent via independent routes.

Vous devrez choisir le mode d'acheminement du courrier entrant et sortant lors de la planification et de la configuration de votre déploiement hybride. L'itinéraire emprunté par les messages entrants et sortants envoyés à et par des destinataires de l'organisation locale et de l'organisation Exchange Online varie en fonction des facteurs suivants :You'll need to choose how to route inbound and outbound mail when you plan and configure your hybrid deployment. The route taken by inbound and outbound messages sent to and from recipients in the on-premises and Exchange Online organizations depends on the following:

  • Souhaitez-vous router les messages Internet entrants des boîtes aux lettres locales et Exchange Online via Exchange Online ou votre organisation locale ?Do you want to route inbound Internet mail for both your on-premises and Exchange Online mailboxes through Exchange Online or through your on-premises organization?

    L'itinéraire emprunté par les messages entrants pour les deux organisations dépend de différents facteurs, tels que l'emplacement où se situent la plupart de vos boîtes aux lettres, le fait que vous souhaitiez protéger ou non votre organisation locale à l'aide de l'analyse de blocage des courriers indésirables et des programmes malveillants d'Office 365, l'emplacement dans lequel votre infrastructure de conformité est configurée, etc.The route that inbound messages for both organizations take depends on various factors, such as where the majority of your mailboxes are located, whether you want to protect your on-premises organization using Office 365's anti-malware and anti-spam scanning, where your compliance infrastructure is configured, and so on.

  • Souhaitez-vous acheminer le courrier sortant à des destinataires externes provenant de votre organisation Exchange Online par le biais de votre organisation locale (transport de courrier centralisé), ou l'acheminer directement vers Internet ?Do you want to route outbound mail to external recipients from your Exchange Online organization through your on-premises organization (centralized mail transport), or do you want to route it directly to the Internet?

    Avec le transport de courrier centralisé, vous pouvez acheminer l'ensemble du courrier des boîtes aux lettres de l'organisation Exchange Online via l'organisation locale avant qu'il ne soit remis sur Internet. Cette approche est utile dans les scénarios de mise ne conformité, dans lesquels l'ensemble du courrier en provenance et à destination d'Internet doit être traité par des serveurs locaux. Vous pouvez également configurer Exchange Online pour remettre les messages destinés à des destinataires externes directement sur Internet.With centralized mail transport, you can route all mail from mailboxes in the Exchange Online organization through the on-premises organization before they're delivered to the Internet. This approach is helpful in compliance scenarios where all mail to and from the Internet must be processed by on-premises servers. Alternately, you can configure Exchange Online to deliver messages for external recipients directly to the Internet.

    Note

    Le transport de courrier centralisé est recommandé uniquement pour les organisations qui présentent des besoins de transport spécifiques liés à la conformité. Pour les organisations Exchange classiques, nous recommandons de ne pas activer le transport de messagerie centralisé, car cela risque d'entraîner une augmentation significative du nombre de messages traités par vos serveurs locaux, d'augmenter la bande passante utilisée et de créer une dépendance inutile sur vos serveurs locaux.Centralized mail transport is only recommended for organizations with specific compliance-related transport needs. Our recommendation for typical Exchange organizations is not to enable centralized mail transport as it can significantly increase the amount of messages processed by your on-premises servers, increase the bandwidth used, and create an unnecessary dependency on your on-premises servers.

  • Souhaitez-vous déployer un serveur de transport Edge dans votre organisation locale ?Do you want to deploy an Edge Transport server in your on-premises organization?

    Si vous ne souhaitez pas exposer vos serveurs Exchange internes liés à un domaine directement sur Internet, vous pouvez déployer des serveurs de transport Edge dans votre réseau de périmètre. Pour plus d'informations sur l'ajout d'un serveur de transport Edge à votre déploiement hybride, consultez la rubrique Serveurs de transport Edge avec déploiements hybrides.If you don't want to expose your domain-joined internal Exchange servers directly to the Internet, you can deploy Edge Transport servers in your perimeter network. For more information about adding an Edge Transport server to your hybrid deployment, see Edge Transport servers with hybrid deployments.

Indépendamment du mode d'acheminement des messages vers et depuis Internet, tous les messages envoyés entre l'organisation locale et l'organisation Exchange Online utilisent le transport sécurisé. Pour plus d'informations, consultez la section Communication sécurisée plus loin dans cette rubrique.Regardless of how you route messages to and from the Internet, all messages sent between the on-premises and Exchange Online organizations are sent using secure transport. For more information, see Trusted communication later in this topic.

Pour plus d'informations sur la façon dont ces options affectent le routage des messages dans votre organisation, consultez la rubrique Routage de transport dans les déploiements hybrides Exchange.To learn more about how these options affect message routing in your organization, see Transport routing in Exchange hybrid deployments.

Exchange Online Protection dans les déploiements hybridesExchange Online Protection in hybrid deployments

EOP est un service en ligne fourni par Microsoft et employé par de nombreuses entreprises pour protéger leurs organisations locales des virus, du courrier indésirable, des tentatives de hameçonnage et des violations de stratégie. Dans Office 365, EOP est utilisé pour protéger les organisations Exchange Online des mêmes menaces. Lorsque vous vous inscrivez à Office 365, une société EOP liée à votre organisation Exchange Online est automatiquement créée.EOP is an online service provided by Microsoft that's used by many companies to protect their on-premises organizations from viruses, spam, phishing scams, and policy violations. In Office 365, EOP is used to protect Exchange Online organizations from the same threats. When you sign up for Office 365, an EOP company is automatically created that's tied to your Exchange Online organization.

Une société EOP contient plusieurs paramètres de transport de messagerie pouvant être configurés pour votre organisation Exchange Online. Vous pouvez indiquer quels domaines SMTP doivent provenir d'adresses IP spécifiques, requièrent un certificat SSL (Secure Sockets Layer), contournent les stratégies de filtrage ou de mise en conformité du courrier indésirable, et bien plus. EOP est la porte d'entrée de votre organisation Exchange Online. Tous les messages, quelle que soit leur origine, doivent passer par EOP avant d'atteindre les boîtes aux lettres de votre organisation Exchange Online. De plus, tous les messages envoyés depuis votre organisation Exchange Online doivent transiter par EOP avant d'atteindre Internet.An EOP company contains several of the mail transport settings that can be configured for your Exchange Online organization. You can specify which SMTP domains must come from specific IP addresses, require a TLS and a Secure Sockets Layer (SSL) certificate, bypass anti-spam filtering or compliance policies, and more. EOP is the front door to your Exchange Online organization. All messages, regardless of their origin, must pass through EOP before they reach mailboxes in your Exchange Online organization. And, all messages sent from your Exchange Online organization must go through EOP before they reach the Internet.

Lorsque vous configurez un déploiement hybride à l'aide de l'assistant Configuration hybride, tous les paramètres de transport sont automatiquement configurés dans votre organisation locale et dans la société EOP intégrée à votre organisation Exchange Online. L'assistant Configuration hybride configure tous les connecteurs entrants et sortants et d'autres paramètres de cette société EOP pour sécuriser les messages envoyés entre l'organisation locale et l'organisation Exchange Online et acheminer les messages vers la bonne destination. Si vous souhaitez configurer des paramètres de transport personnalisés pour votre organisation Exchange Online, vous devrez également les configurer dans cette société EOP.When you configure a hybrid deployment with the Hybrid Configuration wizard, all transport settings are automatically configured in your on-premises organization and in the EOP company included in your Exchange Online organization. The Hybrid Configuration wizard configures all inbound and outbound connectors and other settings in this EOP company to secure messages sent between the on-premises and Exchange Online organizations and route messages to the right destination. If you want to configure custom transport settings for your Exchange Online organization, you'll configure them in this EOP company also.

Communication sécuriséeTrusted communication

Afin d'optimiser la protection des destinataires de l'organisation locale et de l'organisation Exchange Online et faire en sorte que les messages envoyés entre ces organisations ne soient pas interceptés et lus, le transport entre l'organisation locale et EOP est configuré pour utiliser TLS forcé. Le transport de messagerie sécurisé utilise les certificats TLS/SSL fournis par une autorité de certification tierce approuvée (CA). Les messages entre EOP et l'organisation Exchange Online utilisent également TLS.To help protect recipients in both the on-premises and Exchange Online organizations, and to help ensure that messages sent between the organizations aren't intercepted and read, transport between the on-premises organization and EOP is configured to use forced TLS. Secure mail transport uses TLS/SSL certificates provided by a trusted third-party certificate authority (CA). Messages between EOP and the Exchange Online organization also use TLS.

Lorsque le transport TLS forcé est utilisé, les serveurs d’envoi et de réception examinent le certificat configuré sur l’autre serveur. Le nom de l’objet, ou l’un des autres noms d’objets (SAN), configurés sur les certificats doit correspondre au nom de domaine complet qu’un administrateur a explicitement spécifié sur l’autre serveur. Par exemple, si EOP est configuré pour accepter et sécuriser les messages envoyés depuis le nom de domaine complet mail.contoso.com, le nom de l’objet ou l’autre nom d’objet du serveur de transport Edge ou d’accès au client local entrant doit avoir un certificat SSL avec mail.contoso.com. Si cette condition n’est pas remplie, la connexion est refusée par EOP.When using forced TLS transport, the sending and receiving servers examine the certificate configured on the other server. The subject name, or one of the subject alternative names (SANs), configured on the certificates must match the FQDN that an administrator has explicitly specified on the other server. For example, if EOP is configured to accept and secure messages sent from the mail.contoso.com FQDN, the sending on-premises Client Access or Edge Transport server must have an SSL certificate with mail.contoso.com in either the subject name or SAN. If this requirement isn't met, the connection is refused by EOP.

Note

Il n’est pas nécessaire que le nom de domaine complet utilisé corresponde au nom de domaine de messagerie des destinataires. La seule condition est que le nom de domaine complet du nom d’objet du certificat ou de l’autre nom de l’objet corresponde au nom de domaine complet que les serveurs de réception ou d’envoi doivent accepter.The FQDN used doesn't need to match the email domain name of the recipients. The only requirement is that the FQDN in the certificate subject name or SAN must match the FQDN that the receiving or sending servers are configured to accept.

Outre l'utilisation de TLS, les messages échangés entre les organisations sont traités comme des messages « internes ». Cette approche permet aux messages de contourner les paramètres anti-courrier indésirable et d'autres services.In addition to using TLS, messages between the organizations are treated as "internal." This approach allows messages to bypass anti-spam settings and other services.

Pour plus d'informations sur les certificats SSL et la sécurité de domaine, consultez les rubriques Conditions requises pour les certificats dans le cadre de déploiements hybrides et Présentation des certificats TLS.Learn more about SSL certificates and domain security at Certificate requirements for hybrid deployments and Understanding TLS Certificates.