ディレクトリ ベースのエッジ ブロックを使用して無効な受信者に送信されたメッセージを拒否する

Directory-Based Edge Blocking (DBEB) を使用すると、Exchange Online メールボックスを持つ Microsoft 365 組織のサービス ネットワーク境界と、Exchange Online メールボックスのないスタンドアロン Exchange Online Protection (EOP) 組織で、無効な受信者のメッセージを拒否できます。 管理者は DBEB を使用することにより、メールが有効な受信者を Microsoft 365 または Office 365 に追加したり、Microsoft 365 または Office 365 内に存在しないメール アドレスに送信されたすべてのメッセージをブロックしたりすることができます。

メッセージの送信先が Microsoft 365 または Office 365 内に存在する有効なメール アドレスの場合、そのメッセージはサービスの残りのフィルター層 (マルウェア対策、スパム対策、トランスポート ルールとしても知られるメール フロー ルールなど) を通ります。 アドレスが存在しない場合には、サービスはフィルター処理が発生する前にメッセージをブロックし、配信不能レポート (NDR やバウンス メッセージとしても知られる) が送信者へと返信されます。 NDR は、次のようになっています。550 5.4.1 Recipient address rejected: Access denied。

ドメインのすべての受信者が Exchange Online 内にいる場合、DBEB はすでに有効であり、何もする必要はありません。 他のメール システムから Exchange Online へと移行する場合には、このトピックの手順を利用して移行前にドメインの DBEB を有効にすることができます。

注:

• ハイブリッド環境では、DBEB が機能するためにはドメインの MX レコードが Microsoft 365 または Office 365 を指している必要があり、それによりドメインのメールが最初に Microsoft 365 または Office 365 にルーティングされるようになります。

• DBEB をメール対応のパブリック フォルダーで使用する場合には、他にも考慮事項が存在します。 DBEB は、Exchange Online でホストされているメール対応のパブリック フォルダーをサポートしていません。 DBEB は、オンプレミスでホストされているメール対応のパブリック フォルダーのみサポートしています。 DBEB とメール対応のパブリック フォルダーに関する詳細については、「Office 365 Directory Based Edge Blocking support for on-premises Mail Enabled Public Folders (オンプレミスのメール対応のパブリック フォルダーをサポートする Office 365 のディレクトリ ベースのエッジ ブロック)」を参照してください。

はじめに把握しておくべき情報

• 推定完了時間: 5 分 から 10 分

• Exchange 管理センター (EAC) を開くには、「Exchange Online での Exchange 管理センター」を参照してください。

• このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。

ヒント

問題がある場合は、 Exchange のフォーラムで質問してください。 次のフォーラムにアクセスしてください: Exchange Online または Exchange Online Protection。

DBEB の構成

このセクションでは、新しい Exchange 管理センター (EAC) とクラシック EAC の両方に DBEB を構成する手順について説明します。

新しい EAC の場合

1. Exchange Online の承認済みドメインが [内部の中継] に設定されていることをご確認ください。

   a. [ メール フロー>承認済みドメイン] に移動します。 [承認済みドメイン] 画面が表示されます。

   b. 承認済みドメインを選択してクリックします。 承認済みドメインの詳細画面が表示されます。

   c. ドメインの種類が [内部の中継] に設定されていることを確認します。 [ 権限あり] に設定されている場合は、 内部リレーに変更します。

   d. [保存] をクリックします。

2. ユーザーを Microsoft 365 または Office 365 に追加します。 次に例を示します。

   • ディレクトリ同期: オンプレミスの Active Directory環境からクラウド内の Microsoft Entra ID に同期することで、有効なユーザーをOffice 365に追加します。 ディレクトリ同期を設定する方法の詳細については、「EOP でメール ユーザーを管理する」の「ディレクトリ同期を使用してメール ユーザーを管理する」セクションを参照してください。
   • PowerShell または EAC を使用してユーザーを追加する: このタスクを実行する方法の詳細については、「EOP でメール ユーザーを管理する」または「Exchange Onlineでメール ユーザーを管理する」を参照してください。

3. Exchange Online の承認済みドメインを [権限あり] に設定します。

   a. [ メール フロー>承認済みドメイン] に移動します。 [承認済みドメイン] 画面が表示されます。

   b. 承認済みドメインを選択してクリックします。 承認済みドメインの詳細画面が表示されます。

   c. ドメインの種類が [権限あり] に設定されていることを確認します。 [内部リレー] に設定されている場合は、[権限あり] に変更します。

   d. [保存] をクリックします。

クラシック EAC の場合

1. Exchange Online の承認済みドメインが [内部の中継] に設定されていることをご確認ください。

   a. [ メール フロー>承認済みドメイン] に移動します。

   b. 承認済みドメインを選択し、[ 編集] をクリックします。

   c. ドメインの種類が [内部の中継] に設定されていることを確認します。 [ 権限あり] に設定されている場合は、 内部リレーに変更します。

   d. [保存] をクリックします。

2. ユーザーを Microsoft 365 または Office 365 に追加します。 次に例を示します。

   • ディレクトリ同期: オンプレミスの Active Directory環境からクラウド内の Microsoft Entra ID に同期することで、有効なユーザーをOffice 365に追加します。 ディレクトリ同期を設定する方法の詳細については、「 EOP でのメール ユーザーの管理」の「ディレクトリ同期を使って受信者を管理する」を参照してください。
   • PowerShell または EAC を使用してユーザーを追加する: このタスクを実行する方法の詳細については、「EOP でメール ユーザーを管理する」または「Exchange Onlineでメール ユーザーを管理する」を参照してください。

3. Exchange Online の承認済みドメインを [権限あり] に設定します。

   a. [ メール フロー>承認済みドメイン] に移動します。

   b. 承認済みドメインを選択し、[ 編集] をクリックします。

   c. ドメインの種類を [権限あり] に設定します。

   d. [保存] をクリックします。

4. [保存] を選択して変更内容を保存し、DBEB を有効にすることを確定します。

注:

• 動的配布グループは Microsoft Entra ID に同期されないため、DBEB によってブロックされます。 ハイブリッド環境での回避策として、ブロックされた動的配布グループの外部メール アドレスと同じメール連絡先を作成することができます。 クラウド専用の環境では、この回避策は機能しません。 クラウド専用の環境で外部の送信者からのメールを受信する動的配布グループを使用するには、DBEB を無効にする (ドメインを [権限あり] から [内部の中継] に変更する) 必要があります。

• 有効な受信者のすべてが Exchange Online に追加されシステムによってレプリケートされるまで、承認済みドメインを構成されている [内部の中継] のままにしてください。 ドメインの種類が [権限あり] に変更されると、サービスに追加されたどんな SMTP アドレスでも許可するよう DBEB は設計されています (メールが有効なパブリック フォルダーを除く)。 まれに、Microsoft 365 または Office 365 組織に存在しない受信者アドレスが、このサービスを介して中継を行うことを許可される可能性があります。