M365 のジャーナリングの設定

メールのコピーを Sophos EMS (Email Monitoring System) に送信するように Microsoft 365 でジャーナリングを設定する方法をご覧ください。

ジャーナリングは、スキャンのためにすべての送受信メールのコピーを Sophos EMS に送信します。Microsoft 365 では、Microsoft PurView でジャーナルルールを作成することで、ジャーナルを有効にできます。

ジャーナリングの詳細については、Exchange Online でのジャーナリングを参照してください。

別のメールセキュリティソリューションを使用している場合は、コネクタまたはトランスポートルールを設定して、Sophos EMS と統合します。

重要

Microsoft 365 テナントがサードパーティのメールセキュリティゲートウェイ (Barracuda など) を使用している場合は、ジャーナルメッセージを Microsoft 365 から Sophos EMS に直接送信する必要があります。

ゲートウェイ経由でジャーナルメッセージをリレーしないでください。リレーされる場合、Sophos EMS は Microsoft 365 ではなくゲートウェイ IP アドレスから受信します。これにより、ジャーナル配信の失敗、メッセージの履歴データの欠落、またはヘッダーベースの検出の問題につながる可能性があります。

はじめに

以下のアカウントを持っていることを確認します。

Microsoft PurView 管理者アカウント
Microsoft 365 管理者アカウント

Microsoft 365 での Sophos EMS の設定

Microsoft 365 で Sophos EMS をセットアップするための主な手順は次のとおりです。

Microsoft Purview でジャーナルルールを作成する
Sophos EMS をサードパーティのメールセキュリティと統合する
メールフローのテストと確認

Microsoft Purview でジャーナルルールを作成する

Microsoft PurView でジャーナルルールを作成して、受信メールを Sophos EMS にルーティングする必要があります。

ジャーナルルールを作成するには、次の手順を実行します。

Sophos Central にサインインします。
「マイプロダクト > Email Security > 設定 > EMS ドメイン」に移動します。
ドメインを選択し、「外部依存関係の設定」をクリックします。
「M365」タブの手順 1 で、提供されたメールアドレスをコピーし、後で使用できるように保存します。

次のメールアドレスは、ジャーナルレポートを Sophos EMS に送信するために使用されます。1つは配信不能なジャーナルレポート用で、もう 1つは通常のジャーナルレポート用です。各アドレスは異なる目的を持っているため、ジャーナル配信を完全に行うには、個別に設定する必要があります。
Microsoft PurView にサインインします。
「設定 > データライフサイクル管理 > Exchange (従来版)」の順に選択します。
「配信できないジャーナルレポートの送信先」で、「置換」をクリックし、Sophos Central からコピーした配信できないジャーナルレポートのメールアドレスを入力して、「保存」をクリックします。

注

「配信できないジャーナルレポートの送信先」が空の場合にのみ設定します。既存のアドレスは変更しないでください。次の手順に進んでください。

ジャーナル処理されたメールを目的の送信先に配信できない場合、メールボックスは NDR (未配信レポート) を受信します。
「ソリューション > データライフサイクル管理 > Exchange (レガシー) > ジャーナルルール」の順に選択して「新規ルール」をクリックし、新しいジャーナルルールを作成します。
「ジャーナルレポートの送信先」に、Sophos Central からコピーした通常のジャーナルレポートのメールアドレスを入力します。
「ジャーナルルール名」に、ルールの名前を入力します。

例：EMS scan for external emails。
「送信元または受信先」で、次のいずれかのオプションを選択します。
- すべてのユーザー:すべての M365 ドメインが Sophos EMS でオンボーディングされている場合は、次の手順を実行します。
- 特定のユーザーまたはグループ:Sophos EMS で選択したユーザーとドメインのみをスキャンする場合は、次の手順を実行します。
注

「特定のユーザーまたはグループ」を選択した場合は、そのユーザーまたはグループが Microsoft 365 に存在することを確認します。
「ジャーナル対象のメッセージの種類」で、「外部メッセージのみ」を選択します。
「次へ」をクリックし、設定を確認して「送信」をクリックします。

Microsoft 365 のジャーナルルールが作成されました。

Microsoft Purview でジャーナリングの設定を完了したら、Sophos Central に戻ってオンボーディングプロセスを完了します。詳細は、ドメインの追加を参照してください。

設定後、次の条件を確認します。

ジャーナルメッセージは、Microsoft 365 から Sophos EMS に直接配信されます。
メッセージの履歴に表示される送信元 IP アドレスは、サードパーティのゲートウェイではなく Microsoft 365 に属しています。
SMTP From (エンベロープ送信者) および From ヘッダーの値は変更されません。

Sophos EMS をサードパーティのメールセキュリティと統合する

このセクションは、通常の受信および送信メールフローにのみ適用されます。

Sophos EMS は、メールの処理方法に基づいて、サードパーティのメールセキュリティソリューションと統合できます。

設定に適した方法を選択します。

ゲートウェイベースのソリューション

メールは、Barracuda などのサードパーティ製メールセキュリティゲートウェイを通過します。

ゲートウェイベースのソリューションに移動
メールフローベースのソリューション

メールは Microsoft 365 メールフロールールを使用して処理されます。

メールフローベースのソリューションに移動

注

Microsoft 365 ジャーナルメッセージは別の配信パスを使用し、常に Microsoft 365 から Sophos EMS に直接送信する必要があります。サードパーティのゲートウェイを通過することはできません。

ジャーナリングがオンになっており、ゲートウェイを使用している場合は、ジャーナル配信用に別のコネクタを設定する必要があります。

注

サードパーティのメールセキュリティソリューションと Sophos EMS を統合する際は、常に新しいコネクタまたはルールを作成します。既存のコネクタやルールを編集したり再利用したりしないでください。これはメールフローを混乱させる可能性があります。

ゲートウェイベースのソリューション{#gateway-based-solution}

メールがサードパーティのメールセキュリティゲートウェイを通過する場合に使用します。

受信メールフローのコネクタの設定

この手順は、サードパーティのメールセキュリティソリューションがゲートウェイベースの場合にのみ適用されます。

Sophos EMS と Microsoft 365 の間に安全なコネクタを作成するには、次の手順を実行します。

Sophos Central にサインインし、サードパーティのメールセキュリティソリューションを次のように設定します。
1. 「マイプロダクト > Email Security > 設定 > EMS ドメイン」に移動します。
2. ドメインを選択し、「外部依存関係の設定」をクリックします。
3. 「M365」タブを開いていることを確認します。
4. 「メールセキュリティとしてゲートウェイを使用している」で、メールセキュリティソリューションの IP アドレスまたは IP 範囲を準備します。
Microsoft Exchange 管理センターにサインインし、次のようにセキュアコネクタを作成します。

注

この手順を使用して、サードパーティのメールセキュリティゲートウェイを通過する通常の受信メールフローのコネクタを設定します。

ジャーナルメッセージの配信については、ジャーナルメッセージ配信を参照してください。
1. 「メールフロー > コネクタ」に移動し、「コネクタの追加」をクリックします。
2. 「接続元」で「パートナー組織」を選択し、「次へ」をクリックします。
3. コネクタの名前を入力します。
  
  例：Accept email from third-party mail filtering solution。
4. 「オンにする」を選択し、「次へ」をクリックします。
5. 「送信サーバーの IP アドレスが、パートナー organization に属する次のいずれかの IP アドレスと一致することを確認する」を選択し、受信配信 IP アドレスを追加して、「次へ」をクリックします。
6. (任意) メールセキュリティソリューションが TLS 経由ですべてのメールを M365 に送信する場合にのみ、「TLS経由でない場合はメールメッセージを拒否する」を選択します。
7. 「次へ」をクリックし、コネクタ設定を確認して「コネクタの作成」をクリックします。
8. 「完了」をクリックします。
Microsoft Defender にサインインし、次のようにスキップリストを実装します。
1. 作成したコネクタを選択します
2. 「このコネクタに関連付けられている IP アドレスをスキップする」を選択します。
3. 受信配信 IP アドレスを追加します。
4. IP アドレスを追加リストに追加するには、各 IP アドレスの後に Enter キーを押してください。
  
  注
  
  Enter キーを押さない場合、「保存」をクリックしても IP アドレスは保存されません。
5. 「次のユーザーに適用」で、「組織全体に適用」を選択します。
6. 「保存」をクリックします。

コネクターで拡張フィルター処理がオンになりました。

ジャーナルメッセージ配信

ジャーナリングがオンになっている場合は、ジャーナルメッセージがサードパーティゲートウェイをバイパスするように、別のコネクタを設定する必要があります。

この設定では、ジャーナルメッセージが Microsoft 365 から Sophos EMS に直接ルーティングされます。

これを設定するには、次の手順を実行します。

Microsoft 365 で、ジャーナルメッセージを Sophos EMS ジャーナルドメインに直接ルーティングするコネクタを作成します。
EMS ジャーナルドメイン (use2.external.sophosems.com など) のみに適用されるようにコネクタを設定します。
ルーティングがサードパーティのゲートウェイをバイパスすることを確認します。

警告

ジャーナルメッセージをサードパーティゲートウェイ経由でルーティングしないでください。これにより、配信エラーやヘッダーベースの検出問題が発生する可能性があります。

警告

「EMS ドメイン」の「カスタムゲートウェイ」にサードパーティのゲートウェイ IP アドレスを追加することは推奨しません。

この設定ではジャーナルの配信は許可されますが、ヘッダー異常エラーなどのヘッダーベースの検出問題が発生する可能性があります。

メールフローベースのソリューション{#mail-flow-based-solution}

メールが Microsoft 365 メールフロールールを使用して処理される場合に使用します。

メールフローベースのソリューションのトランスポートルールの作成

この手順は、サードパーティのメールセキュリティソリューションがメールフローベースの場合にのみ適用されます。

タブをクリックすると、受信および送信トランスポートルールの作成手順が表示されます。

受信送信

受信トランスポートルールを作成するには、次の手順を実行します。

Sophos Central にサインインし、サードパーティのメールセキュリティソリューションを次のように設定します。
1. 「マイプロダクト > Email Security > 設定 > EMSドメイン」に移動します。
2. ドメインを選択し、「外部依存関係の設定」をクリックします。
3. 「M365」タブを開いていることを確認します。
4. 「メールセキュリティは Microsoft 365 のメールフローに基づいています」で、メールセキュリティソリューションの IP アドレスまたは IP 範囲を準備します。
5. 「M365 メールフローの設定を有効にする」をオンにし、後で使用するために「ヘッダー名前」と「ヘッダーの値」をコピーします。
6. 「保存」をクリックします。
Microsoft Exchange 管理センターにサインインし、次のように受信トランスポートルールを作成します。
1. 「メールフロー > ルール」に移動し、「ルールの追加」をクリックしてから「新しいルールを作成」を選択します。
2. 受信トランスポートルール名を入力します。
  
  例：Add header for EMS scan for inbound emails。
3. 「このルールを適用する場合」で、「受信者」と「外部/内部」を選択し、「組織内」が選択されていることを確認してから、「保存」をクリックします。
4. 「+」アイコンをクリックして、2番目の条件を追加します。
5. 「受信者」と「ドメインが次と一致する」を選択し、メールセキュリティソリューションで使用するドメインを追加して、「保存」をクリックします。
6. 「+」アイコンをクリックして、3番目の条件を追加します。
7. 「送信者」と「IP アドレスが以下の範囲または完全一致」を選択し、メールセキュリティソリューションで使用される受信配信 IP アドレスを追加して、「保存」をクリックします。
8. 「次を実行する」で、「メッセージのプロパティを変更」と「メッセージヘッダーを設定」を選択します。
9. 最初の「テキストを入力」リンクをクリックし、「外部依存関係の構成」ページで「ヘッダー名」の値を入力して、「保存」をクリックします。
10. 2番目の「テキストを入力」リンクをクリックし、「外部依存関係の構成」ページで「ヘッダーの値」の値を入力して、「保存」をクリックします。
11. 「次へ」をクリックします。
12. 「ルールの設定」で、「ルールモード」が「適用」に設定され、「メッセージ内の送信者アドレスを一致させる場所」が「ヘッダー」に設定されていることを確認します。
13. 「次へ」をクリックし、受信トランスポートルールの設定を確認して、「完了」をクリックします。
次のように、受信トランスポートルールをオンにします。
1. 受信トランスポートルールを選択してオンにします。
2. 「ルールの設定を編集」をクリックし、「優先度」を0に設定して、「保存」をクリックします。
3. 「完了」をクリックします。

これで、受信トランスポートルールが適用されます。

送信トランスポートルールを作成するには、次の手順を実行します。

Sophos Central にサインインし、サードパーティのメールセキュリティソリューションを次のように設定します。
1. 「マイプロダクト > Email Security > 設定 > EMSドメイン」に移動します。
2. ドメインを選択し、「外部依存関係の設定」をクリックします。
3. 「M365」タブを開いていることを確認します。
4. 「メールセキュリティは Microsoft 365 のメールフローに基づいています」で、メールセキュリティソリューションの IP アドレスまたは IP 範囲を準備します。
5. 「M365 メールフローの設定を有効にする」をオンにし、後で使用するために「ヘッダー名前」と「ヘッダーの値」をコピーします。
6. 「保存」をクリックします。
Microsoft Exchange 管理センターにサインインし、次のように送信トランスポートルールを作成します。
1. 「メールフロー > ルール」に移動し、「ルールの追加」をクリックしてから「新しいルールを作成」を選択します。
2. 送信トランスポートルール名を入力します。
  
  例：Add header for EMS scan for outbound emails。
3. 「このルールを適用する場合」で、「受信者」と「外部/内部」を選択し、「組織外」を選択してから、「保存」をクリックします。
4. 「+」アイコンをクリックして、2番目の条件を追加します。
5. 「送信者」と「ドメインが次と一致する」を選択し、メールセキュリティソリューションで使用するドメインを追加して、「保存」をクリックします。
6. 「+」アイコンをクリックして、3番目の条件を追加します。
7. 「送信者」と「IP アドレスが以下の範囲または完全一致」を選択し、メールセキュリティソリューションで使用される送信配信 IP アドレスを追加して、「保存」をクリックします。
8. 「次を実行する」で、「メッセージのプロパティを変更」と「メッセージヘッダーを設定」を選択します。
9. 最初の「テキストを入力」リンクをクリックし、「外部依存関係の構成」ページで「ヘッダー名」の値を入力して、「保存」をクリックします。
10. 2番目の「テキストを入力」リンクをクリックし、「外部依存関係の構成」ページで「ヘッダーの値」の値を入力して、「保存」をクリックします。
11. 「次へ」をクリックします。
12. 「ルールの設定」で、「ルールモード」が「適用」に設定され、「メッセージ内の送信者アドレスを一致させる場所」が「ヘッダー」に設定されていることを確認します。
13. 「次へ」をクリックし、送信トランスポートルールの設定を確認して、「完了」をクリックします。
次のように、送信トランスポートルールをオンにします。
1. 送信トランスポートルールを選択してオンにします。
2. 「ルールの設定を編集」をクリックし、「優先度」を1に設定して、「保存」をクリックします。
3. 「完了」をクリックします。

これで、送信トランスポートルールが適用されます。