メール接続をセキュリティで保護するために、Exchange Online が TLS を使用する方法How Exchange Online uses TLS to secure email connections

Exchange Online と Microsoft 365 がトランスポート層セキュリティ (TLS) と転送秘密 (FS) を使用して電子メール通信をセキュリティで保護する方法について説明します。Learn how Exchange Online and Microsoft 365 use Transport Layer Security (TLS) and Forward Secrecy (FS) to secure email communications. また、Microsoft for Exchange Online によって発行された証明書に関する情報も提供します。Also provides information about the certificate issued by Microsoft for Exchange Online.

Microsoft 365 および Exchange Online の TLS の基本TLS basics for Microsoft 365 and Exchange Online

トランスポート層セキュリティ (TLS) と、TLS に先立つ SSL は、セキュリティ証明書を使用してコンピューター間の接続を暗号化することによって、ネットワークを介した通信のセキュリティを確保する暗号化プロトコルです。Transport Layer Security (TLS), and SSL that came before TLS, are cryptographic protocols that secure communication over a network by using security certificates to encrypt a connection between computers. TLS は、Secure Sockets Layer (SSL) に取ってかわるもので、SSL 3.1 と呼ばれます。TLS supersedes Secure Sockets Layer (SSL) and is often referred to as SSL 3.1. Exchange Online では、TLS を使用して Exchange サーバー間の接続と、Exchange サーバーと、オンプレミスの Exchange サーバーや受信者のメール サーバーなどの他のサーバー間の接続を暗号化します。For Exchange Online, we use TLS to encrypt the connections between our Exchange servers and the connections between our Exchange servers and other servers such as your on-premises Exchange servers or your recipients' mail servers. 接続が暗号化された後、その接続を介して送信されたデータはすべて、暗号化されたチャネルを介して送信されます。Once the connection is encrypted, all data sent through that connection is sent through the encrypted channel. ただし、TLS で暗号化された接続を介して送信されたメッセージを転送する場合、そのメッセージは必ずしも暗号化されません。However, if you forward a message that was sent through a TLS-encrypted connection, that message isn't necessarily encrypted. これは、簡単に言って、TLS はメッセージを暗号化しないので、接続だけだからです。This is because, in simple terms, TLS doesn't encrypt the message, just the connection.

メッセージを暗号化する場合は、メッセージの内容を暗号化する暗号化テクノロジを使用する必要があります (たとえば、メッセージの暗号化Officeなど)。If you want to encrypt the message you need to use an encryption technology that encrypts the message contents, for example, something like Office Message Encryption. Office 365 および Office 365 のメッセージ暗号化 (OME) の電子メールの暗号化を参照してください。Office 365 のメッセージ暗号化オプションについて説明します。See Email encryption in Office 365 and Office 365 Message Encryption (OME) for information on message encryption options in Office 365.

Microsoft とオンプレミス組織、またはパートナーなどの別の組織との間の通信のセキュリティで保護されたチャネルを設定する場合は、TLS を使用することをお勧めします。We recommend using TLS in situations where you want to set up a secure channel of correspondence between Microsoft and your on-premises organization or another organization, such as a partner. Exchange Online は常に最初に TLS を使用してメールをセキュリティ保護しますが、相手が TLS セキュリティを提供していない場合は、必ずしもこれを行う必要があります。Exchange Online always attempts to use TLS first to secure your email but cannot always do this if the other party does not offer TLS security. コネクタを使用して、オンプレミス サーバーまたは重要なパートナーに対してすべてのメールをセキュリティで保護する方法については、次の記事 をご覧くださいKeep reading to find out how you can secure all mail to your on-premises servers or important partners by using connectors.

クラス最高の暗号化をお客様に提供するために、Microsoft は Office 365 および Office 365 GCCでトランスポート層セキュリティ (TLS) バージョン 1.0 および 1.1 を廃止しました。To provide the best-in-class encryption to our customers, Microsoft has deprecated Transport Layer Security (TLS) versions 1.0 and 1.1 in Office 365 and Office 365 GCC. ただし、TLS なしで暗号化されていない SMTP 接続を引き続き使用できます。However, you can continue to use an unencrypted SMTP connection without any TLS. 暗号化なしで電子メールを送信することをお勧めしません。We don't recommend email transmission without any encryption.

Exchange Online のお客様間で Exchange Online が TLS を使用する方法How Exchange Online uses TLS between Exchange Online customers

Exchange Online サーバーは、TLS 1.2 を使用してデータセンター内の他の Exchange Online サーバーへの接続を常に暗号化します。Exchange Online servers always encrypt connections to other Exchange Online servers in our datacenters with TLS 1.2. 組織内の受信者にメールを送信すると、そのメールは TLS を使用して暗号化された接続を使用して自動的に送信されます。When you send mail to a recipient that is within your organization, that email is automatically sent over a connection that is encrypted using TLS. また、他の顧客に送信する電子メールはすべて、TLS を使用して暗号化され、Forward Secrecy を使用してセキュリティで保護された接続を使用して送信されます。Also, all email that you send to other customers is sent over connections that are encrypted using TLS and are secured using Forward Secrecy.

Microsoft 365 が Microsoft 365 と外部の信頼できるパートナーとの間で TLS を使用する方法How Microsoft 365 uses TLS between Microsoft 365 and external, trusted partners

既定では、Exchange Online は常に日和見 TLS を使用します。By default, Exchange Online always uses opportunistic TLS. つまり、Exchange Online は常に最も安全なバージョンの TLS との接続を暗号化し、その後、両方の当事者が同意できる TLS 暗号を見つけるまで、TLS 暗号のリストを下に移動します。This means Exchange Online always tries to encrypt connections with the most secure version of TLS first, then works its way down the list of TLS ciphers until it finds one on which both parties can agree. Exchange Online を構成して、その受信者へのメッセージがセキュリティで保護された接続のみを介して送信される必要がない限り、既定では、受信者組織が TLS 暗号化をサポートしない場合、メッセージは暗号化されていない状態で送信されます。Unless you have configured Exchange Online to ensure that messages to that recipient are only sent through secure connections, then by default the message will be sent unencrypted if the recipient organization doesn't support TLS encryption. ほとんどの企業では、日和見 TLS で十分です。Opportunistic TLS is sufficient for most businesses. ただし、医療、銀行、政府機関などのコンプライアンス要件があるビジネスの場合は、TLS を要求または強制する Exchange Online を構成できます。However, for business that have compliance requirements such as medical, banking, or government organizations, you can configure Exchange Online to require, or force, TLS. 手順については 、「Configure mail flow using connectors in Office 365」を参照してくださいFor instructions, see Configure mail flow using connectors in Office 365.

組織と信頼できるパートナー組織の間で TLS を構成する場合、Exchange Online は強制的な TLS を使用して信頼できる通信チャネルを作成できます。If you decide to configure TLS between your organization and a trusted partner organization, Exchange Online can use forced TLS to create trusted channels of communication. 強制 TLS では、パートナー組織がメールを送信するためにセキュリティ証明書を使用して Exchange Online に認証する必要があります。Forced TLS requires your partner organization to authenticate to Exchange Online with a security certificate in order to send mail to you. これを行うには、パートナーが独自の証明書を管理する必要があります。Your partner will need to manage their own certificates in order to do this. Exchange Online では、コネクタを使用して、受信者の電子メール プロバイダーに到着する前に、承認されていないアクセスから送信するメッセージを保護します。In Exchange Online, we use connectors to protect messages that you send from unauthorized access before they arrive at the recipient's email provider. コネクタを使用してメール フローを構成する方法については、「Configure mail flow using connectors in Office 365」を参照してくださいFor information on using connectors to configure mail flow, see Configure mail flow using connectors in Office 365.

TLS およびハイブリッド Exchange Server展開TLS and hybrid Exchange Server deployments

ハイブリッド Exchange 展開を管理する場合、メールボックスが Office 365 内にある受信者にメールを送信するには、セキュリティ証明書を使用して Microsoft 365 に対して認証する必要があります。If you are managing a hybrid Exchange deployment, your on-premises Exchange server needs to authenticate to Microsoft 365 using a security certificate in order to send mail to recipients whose mailboxes are only in Office 365. その結果、オンプレミスの Exchange サーバー用の独自のセキュリティ証明書を管理する必要があります。As a result, you need to manage your own security certificates for your on-premises Exchange servers. また、これらのサーバー証明書を安全に保存および保守する必要があります。You must also securely store and maintain these server certificates. ハイブリッド展開での証明書の管理の詳細については、「ハイブリッド展開の 証明書要件」を参照してくださいFor more information about managing certificates in hybrid deployments, see Certificate requirements for hybrid deployments.

Exchange Online の強制 TLS を 365 Officeする方法How to set up forced TLS for Exchange Online in Office 365

Exchange Online のお客様は、送信メールと受信メールのセキュリティを確保するために TLS を強制的に動作させ、TLS を必要とする複数のコネクタをセットアップする必要があります。For Exchange Online customers, in order for forced TLS to work to secure all of your sent and received email, you need to set up more than one connector that requires TLS. ユーザー メールボックスに送信される電子メールには 1 つのコネクタ、ユーザー メールボックスから送信される電子メールには別のコネクタが必要です。You'll need one connector for email sent to your user mailboxes and another connector for email sent from your user mailboxes. これらのコネクタは、Exchange 管理センター (365) Office作成します。Create these connectors in the Exchange admin center in Office 365. 手順については 、「Configure mail flow using connectors in Office 365」を参照してくださいFor instructions, see Configure mail flow using connectors in Office 365.

Exchange Online の TLS 証明書情報TLS certificate information for Exchange Online

Exchange Online で使用される証明書情報については、次の表で説明します。The certificate information used by Exchange Online is described in the following table. ビジネス パートナーがメール サーバーで強制 TLS を設定している場合は、この情報をユーザーに提供する必要があります。If your business partner is setting up forced TLS on their email server, you will need to provide this information to them. セキュリティ上の理由から、証明書は変更される場合があります。Be aware that for security reasons, our certificates do change from time to time. データセンター内で証明書の更新プログラムを展開しました。We have rolled out an update to our certificate within our datacenters. 新しい証明書は、2018 年 9 月 3 日から有効です。The new certificate is valid from September 3, 2018.

2018 年 9 月 3 日から有効な現在の証明書情報Current certificate information valid from September 3, 2018

属性Attribute Value
証明機関のルート発行者Certificate authority root issuer
GlobalSign ルート CA – R1GlobalSign Root CA – R1
証明書名Certificate name
mail.protection.outlook.commail.protection.outlook.com
組織Organization
Microsoft CorporationMicrosoft Corporation
組織単位Organization unit

証明書キーの強さCertificate key strength
20482048

2018 年 9 月 3 日まで有効な非推奨の証明書情報Deprecated certificate information valid until September 3, 2018

スムーズな移行を実現するために、引き続き、参照用の古い証明書情報を提供しますが、今後は現在の証明書情報を使用する必要があります。To help ensure a smooth transition, we will continue to provide the old certificate information for your reference for some time, however, you should use the current certificate information from now on.


属性Attribute Value
証明機関のルート発行者Certificate authority root issuer
Baltimore CyberTrust RootBaltimore CyberTrust Root
証明書名Certificate name
mail.protection.outlook.commail.protection.outlook.com
組織Organization
Microsoft CorporationMicrosoft Corporation
組織単位Organization unit
Microsoft CorporationMicrosoft Corporation
証明書キーの強さCertificate key strength
20482048

新しい Exchange Online 証明書の準備Prepare for the new Exchange Online certificate

新しい証明書は、Exchange Online で使用された以前の証明書とは異なる証明機関 (CA) によって発行されます。The new certificate is issued by a different certificate authority (CA) from the previous certificate used by Exchange Online. その結果、新しい証明書を使用するためにいくつかのアクションを実行する必要がある場合があります。As a result, you may need to perform some actions in order to use the new certificate.

新しい証明書では、証明書の検証の一環として、新しい CA のエンドポイントに接続する必要があります。The new certificate requires connecting to the endpoints of the new CA as part of validating the certificate. そうしない場合、メール フローに悪影響が及ぶ可能性があります。Failure to do so can result in mail flow being negatively affected. メール サーバーが特定の宛先に接続できるファイアウォールでメール サーバーを保護する場合は、サーバーが新しい証明書を検証できるのか確認する必要があります。If you protect your mail servers with firewalls that only let the mail servers connect with certain destinations you need to check if your server is able to validate the new certificate. サーバーが新しい証明書を使用できると確認するには、次の手順を実行します。To confirm that your server can use the new certificate, complete these steps:

  1. 次のコマンドを使用Exchange Serverローカル Windows PowerShell接続し、次のコマンドを実行します。Connect to your local Exchange Server using Windows PowerShell and then run the following command:
    certutil -URL https://crl.globalsign.com/gsorganizationvalsha2g3.crl

  2. 表示されるウィンドウで、[取得] を 選択しますOn the window that appears, choose Retrieve.

  3. ユーティリティがチェックを完了すると、状態が返されます。When the utility completes its check it returns a status. 状態が [OK] と表示された 場合、メール サーバーは新しい証明書を正常に検証できます。If the status displays OK, then your mail server can successfully validate the new certificate. 接続が失敗する原因を特定する必要があります。If not, you need to determine what is causing the connections to fail. ほとんどの場合、ファイアウォールの設定を更新する必要があります。Most likely, you need to update the settings of a firewall. アクセスする必要があるエンドポイントの完全な一覧は次のとおりです。The full list of endpoints that need to be accessed include:

    • ocsp.globalsign.comocsp.globalsign.com
    • crl.globalsign.comcrl.globalsign.com
    • secure.globalsign.comsecure.globalsign.com

通常は、Windows Update を使用してルート証明書の更新プログラムを自動的に受信します。Normally, you receive updates to your root certificates automatically through Windows Update. ただし、一部の展開ではセキュリティが強化され、これらの更新プログラムが自動的に発生しなくなります。However some deployments have additional security in place that prevents these updates from occurring automatically. Windows Update でルート証明書を自動的に更新できないロックダウン展開では、次の手順を実行して、正しいルート CA 証明書がインストールされていることを確認する必要があります。In these locked-down deployments where Windows Update can't automatically update root certificates, you need to ensure that the correct root CA certificate is installed by completing these steps:

  1. 次のコマンドを使用Exchange Serverローカル Windows PowerShell接続し、次のコマンドを実行します。Connect to your local Exchange Server using Windows PowerShell and then run the following command:
    certmgr.msc

  2. [ 信頼されたルート証明機関/証明書] で、新しい証明書が一覧に表示されます。Under Trusted Root Certification Authority/Certificates, confirm that the new certificate is listed.

TLS と Microsoft 365 の詳細を取得するGet more information about TLS and Microsoft 365

サポートされている暗号スイートの一覧については、「暗号化に関する テクニカル リファレンスの詳細」を参照してくださいFor a list of supported cipher suites, see Technical reference details about encryption.

パートナー組織とのセキュリティで保護されたメール フロー用のコネクタを設定するSet up connectors for secure mail flow with a partner organization

電子メール セキュリティを強化したコネクタConnectors with enhanced email security

Microsoft 365 での暗号化Encryption in Microsoft 365