Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un déploiement hybride contient des boîtes aux lettres dans un organization Exchange local et également dans un Exchange Online organization. Pour plus d’informations sur les déploiements hybrides, consultez Exchange Server déploiements hybrides.
Le transport hybride constitue un élément essentiel de l’apparence de ces deux organisations distinctes. Les messages envoyés entre les destinataires dans organization sont authentifiés, chiffrés et transférés à l’aide du protocole TLS (Transport Layer Security). Ces messages apparaissent comme « internes » aux composants Exchange (par exemple, sous forme de règles de transport, de journalisation et de stratégies anti-courrier indésirable). L’Assistant Configuration hybride configure automatiquement le transport hybride dans Exchange 2013.
Pour que le transport hybride fonctionne avec l’Assistant Configuration hybride, le point de terminaison SMTP local qui accepte les connexions à partir de Exchange Online doit être l’un des serveurs Exchange suivants :
- Mise à jour cumulative Exchange 2016 8 (CU8) ou ultérieure :
- Serveur de boîtes aux lettres
- Serveur de transport Edge.
- Mise à jour cumulative Exchange 2013 15 (CU15) ou ultérieure :
- Serveur d’accès au client.
- Serveur de transport Edge.
- Exchange 2010 Service Pack 3 (SP3) avec correctif cumulatif 11 (RU11) ou version ultérieure :
- Serveur de transport Hub.
- Serveur de transport Edge.
Importante
Ne placez pas d’hôtes ou de services SMTP entre Microsoft 365 et le point de terminaison Exchange organization local. Les informations critiques pour le transport hybride sont supprimées des messages qui passent par un point de terminaison exécutant une version non prise en charge d’Exchange ou un hôte SMTP générique.
Options de routage hybride
Vous devez choisir comment acheminer le courrier entrant et sortant lorsque vous planifiez et configurez votre déploiement hybride :
Voulez-vous acheminer le courrier entrant d’expéditeurs Internet externes vers des destinataires locaux et cloud via Microsoft 365 ou via votre organization Exchange local ? La configuration dépend de différents facteurs :
- La plupart de vos boîtes aux lettres sont-elles dans le cloud ou dans Exchange local ?
- Voulez-vous utiliser le module complémentaire de sécurité intégré pour les boîtes aux lettres locales afin de protéger votre organization Exchange local ?
- Où votre infrastructure de conformité est-elle configurée ?
L’itinéraire des messages entrants vers les deux organisations varie selon que vous activez ou non le transport de courrier centralisé dans votre déploiement hybride.
Voulez-vous acheminer le courrier sortant de Exchange Online expéditeurs vers des destinataires externes via votre organization local (transport de courrier centralisé) ou directement vers Internet ?
Le transport de courrier centralisé achemine tous les messages de Exchange Online expéditeurs via le organization local avant la remise à Internet. Cette approche est importante dans les scénarios de conformité où les serveurs locaux doivent traiter tous les messages envoyés vers et depuis Internet. Vous pouvez également envoyer des messages d’expéditeurs Exchange Online à des destinataires externes directement à Internet.
Remarque
Nous vous recommandons de centraliser le transport du courrier uniquement pour les organisations ayant des besoins de transport spécifiques liés à la conformité. Nous vous recommandons généralement de ne pas utiliser le transport de courrier centralisé en raison de l’augmentation de la bande passante et de la surcharge de traitement du courrier sur votre organization locale.
Souhaitez-vous déployer un serveur de transport Edge dans votre organisation locale ?
Si vous ne souhaitez pas exposer vos serveurs Exchange internes joints à un domaine directement sur Internet, vous pouvez déployer des serveurs de transport Edge pris en charge dans votre réseau de périmètre. Pour plus d'informations, consultez Serveurs de transport Edge avec déploiements hybrides.
Quelle que soit votre sélection, tous les messages envoyés entre le organization Exchange local et le Exchange Online organization utilisent le transport sécurisé. Pour plus d’informations, consultez Communication approuvée plus loin dans cet article.
Pour plus d'informations sur la façon dont ces options affectent le routage des messages dans votre organisation, consultez la rubrique Routage de transport dans les déploiements hybrides Exchange.
Fonctionnalités de sécurité cloud intégrées dans les déploiements hybrides
Toutes les organisations cloud Microsoft disposant de boîtes aux lettres cloud incluent des fonctionnalités de sécurité intégrées pour protéger les destinataires contre les virus, le courrier indésirable, les escroqueries par hameçonnage et les violations de stratégie. Ces mêmes fonctionnalités de sécurité intégrées sont également disponibles pour protéger les environnements de messagerie locaux (et pas seulement Exchange) dans le module complémentaire de sécurité intégré pour les boîtes aux lettres locales.
Les fonctionnalités de sécurité intégrées pour toutes les boîtes aux lettres cloud sont la porte d’entrée de votre Exchange Online organization. Tous les messages entrants (quelle que soit leur origine) passent par ces fonctionnalités de sécurité intégrées avant d’atteindre les destinataires de votre organization cloud. Tous les messages envoyés à partir de votre Exchange Online organization passent par ces fonctionnalités de sécurité intégrées avant d’atteindre Internet.
Communication sécurisée
Le flux de messagerie entre le organization local et le Exchange Online organization est configuré pour utiliser tls forcé. Cette configuration permet de s’assurer que les messages envoyés entre les organisations ne sont pas interceptés. Le transport de courrier sécurisé utilise des certificats TLS fournis par une autorité de certification commerciale approuvée.
Dans le transport TLS forcé, les serveurs d’envoi et de réception examinent les certificats des autres. Le champ Objet ou Autre nom de l’objet (SAN) du certificat doit contenir le nom de domaine complet qui identifie l’autre serveur.
Par exemple, le Exchange Online organization est configuré pour accepter et sécuriser les messages envoyés à partir du nom de domaine complet mail.contoso.com. Le certificat TLS sur le serveur d’accès au client local ou le serveur de transport Edge source doit contenir mail.contoso.com dans le champ San (Subject ou Subject Alternative Name ). Sinon, Microsoft 365 refuse la connexion.
Conseil
Le nom de domaine complet n’a pas besoin de correspondre au nom de domaine de messagerie des destinataires. Le champ Objet ou Autre nom de l’objet (SAN) du certificat doit contenir le nom de domaine complet que les serveurs de réception ou d’envoi sont configurés pour accepter.
En plus d’utiliser TLS, les messages entre les organisations locales et cloud sont traités comme « internes ». Cette approche permet aux messages de contourner un filtrage de protection contre les menaces et d’autres services.
Pour plus d’informations, consultez Exigences de certificat pour les déploiements hybrides et Présentation des certificats TLS.