ハイブリッド展開には、オンプレミスの Exchange organization内のメールボックスと、Exchange Online organization内のメールボックスが含まれます。 ハイブリッドの詳細については、「ハイブリッドデプロイのExchange Server」を参照してください。
これら 2 つの別個の組織を 1 つとして表示する重要なコンポーネントは、ハイブリッド トランスポートです。 いずれかのorganizationの受信者間で送信されたメッセージは、トランスポート層セキュリティ (TLS) を使用して認証、暗号化、転送されます。 これらのメッセージは、Exchange コンポーネントの "内部" として表示されます (たとえば、トランスポート ルール、ジャーナリング、スパム対策ポリシーなど)。 ハイブリッド構成ウィザードでは、Exchange 2013 でハイブリッド トランスポートが自動的に構成されます。
ハイブリッドトランスポートをハイブリッド構成ウィザードで動作させるには、Exchange Onlineからの接続を受け入れるオンプレミスの SMTP エンドポイントは、次のいずれかの Exchange サーバーである必要があります。
- Exchange 2016 累積的な更新プログラム 8 (CU8) 以降:
- メールボックス サーバー
- エッジ トランスポート サーバー。
- Exchange 2013 累積的な更新プログラム 15 (CU15) 以降:
- クライアント アクセス サーバー。
- エッジ トランスポート サーバー。
- Exchange 2010 Service Pack 3 (SP3) と更新プログラムロールアップ 11 (RU11) 以降:
- ハブ トランスポート サーバー。
- エッジ トランスポート サーバー。
重要
Microsoft 365 とオンプレミスの Exchange organization エンドポイントの間に SMTP ホストまたはサービスを配置しないでください。 ハイブリッド トランスポートに不可欠な情報は、サポートされていないバージョンの Exchange または汎用 SMTP ホストを実行しているエンドポイントを通過するメッセージから削除されます。
ハイブリッド ルーティング オプション
ハイブリッド展開を計画して構成するときに、受信メールと送信メールをルーティングする方法を選択する必要があります。
外部インターネット送信者からの受信メールを、Microsoft 365 経由またはオンプレミスの Exchange organization経由でオンプレミスおよびクラウドの受信者にルーティングしますか? 構成は、さまざまな要因によって異なります。
- ほとんどのメールボックスはクラウドまたはオンプレミスの Exchange にありますか?
- オンプレミスの Exchange organizationを保護するために、オンプレミスのメールボックスに組み込みのセキュリティ アドオンを使用しますか?
- コンプライアンス インフラストラクチャはどこに構成されていますか?
両方の組織への受信メッセージのルートは、ハイブリッド展開で一元化されたメール トランスポートを有効にするかどうかによって異なります。
Exchange Online送信者からの送信メールを、オンプレミスのorganization (一元化されたメール トランスポート) を介して外部受信者にルーティングするか、インターネットに直接ルーティングしますか?
一元化されたメール トランスポートは、インターネットに配信される前に、Exchange Online送信者からオンプレミスのorganizationを介してすべてのメールをルーティングします。 このアプローチは、オンプレミス サーバーがインターネットとの間で送受信されるすべてのメールを処理する必要があるコンプライアンス シナリオで重要です。 または、Exchange Online送信者から外部受信者に直接インターネットにメッセージを送信することもできます。
注:
一元化されたメール トランスポートは、特定のコンプライアンス関連のトランスポート ニーズを持つ組織にのみお勧めします。 一般的な推奨事項は、オンプレミスのorganizationで帯域幅とメール処理のオーバーヘッドが増加するため、一元化されたメール トランスポートを使用しないことをお勧めします。
社内組織にエッジ トランスポート サーバーを展開するか。
ドメインに参加している内部 Exchange サーバーをインターネットに直接公開したくない場合は、境界ネットワークにサポートされているエッジ トランスポート サーバーを展開できます。 詳細については、「ハイブリッド展開でのエッジ トランスポート サーバー」を参照してください。
選択に関係なく、オンプレミスの Exchange organizationとExchange Online organizationの間で送信されるすべてのメッセージは、セキュリティで保護されたトランスポートを使用します。 詳細については、この記事の後半の 「信頼された通信 」を参照してください。
これらのオプションが組織内でのメッセージのルーティングにどのように影響するかについては、「Exchange ハイブリッド展開でのトランスポート ルーティング」を参照してください。
ハイブリッドデプロイでの組み込みのクラウド セキュリティ機能
クラウド メールボックスを持つすべての Microsoft クラウド組織には、ウイルス、スパム、フィッシング詐欺、ポリシー違反から受信者を保護するための組み込みのセキュリティ機能が含まれています。 これらの同じ組み込みのセキュリティ機能は、オンプレミス のメールボックスの組み込みセキュリティ アドオンでオンプレミスの電子メール環境 (Exchange だけでなく) を保護するためにも使用できます。
すべてのクラウド メールボックスの組み込みのセキュリティ機能は、Exchange Online organizationのフロント ドアです。 (配信元に関係なく) すべての受信メッセージは、クラウド organizationの受信者に到達する前に、これらの組み込みのセキュリティ機能を通過します。 Exchange Online organizationから送信されたすべてのメッセージは、インターネットに到達する前に、これらの組み込みのセキュリティ機能を通過します。
信頼された通信
オンプレミスのorganizationとExchange Online organizationの間のメール フローは、強制 TLS を使用するように構成されています。 この構成は、組織間で送信されたメッセージが傍受されないようにするのに役立ちます。 セキュリティで保護されたメール トランスポートでは、信頼された商用証明機関 (CA) によって提供される TLS 証明書が使用されます。
強制 TLS トランスポートでは、送受信サーバーは互いの証明書を調べます。 証明書の サブジェクト または サブジェクトの別名 (SAN) フィールドには、他のサーバーを識別する FQDN が含まれている必要があります。
たとえば、EXCHANGE ONLINE ORGANIZATIONは FQDN mail.contoso.com から送信されたメッセージを受け入れてセキュリティで保護するように構成されます。 ソースオンプレミスのクライアント アクセス サーバーまたはエッジ トランスポート サーバー上の TLS 証明書には、[ サブジェクト または サブジェクトの別名 (SAN)] フィールドに mail.contoso.com が含まれている必要があります。 それ以外の場合、Microsoft 365 は接続を拒否します。
ヒント
FQDN は、受信者のメール ドメイン名と一致する必要はありません。 証明書の サブジェクト または サブジェクトの別名 (SAN) フィールドには、受信サーバーまたは送信サーバーが受け入れるように構成されている FQDN が含まれている必要があります。
TLS の使用に加えて、オンプレミスとクラウド組織の間のメッセージは "内部" として扱われます。この方法により、メッセージは脅威保護のフィルター処理やその他のサービスをバイパスできます。
詳細については、「 ハイブリッド展開の証明書要件 」および「 TLS 証明書について」を参照してください。