M365 のジャーナリングの設定

メールのコピーを Sophos EMS (Email Monitoring System) に送信するように Microsoft 365 でジャーナリングを設定する方法をご覧ください。

ジャーナリングは、スキャンのためにすべての送受信メールのコピーを Sophos EMS に送信します。Microsoft 365 では、Microsoft PurView でジャーナルルールを作成することで、ジャーナルを有効にできます。

ジャーナリングの詳細については、Exchange Online でのジャーナリングを参照してください。

既に別のメールセキュリティソリューションを使用していて、それを Sophos EMS に接続する場合は、それらの間にセキュアコネクタまたはトランスポートルールを設定する必要があります。

はじめに

以下のアカウントを持っていることを確認します。

• Microsoft PurView 管理者アカウント
• Microsoft 365 管理者アカウント

Microsoft 365 で Sophos EMS をセットアップするための主な手順は次のとおりです。

• Microsoft Purview でジャーナルルールを作成する
• Sophos EMS をサードパーティのメールセキュリティと統合する
• メールフローのテストと確認

Microsoft Purview でジャーナルルールを作成する

Microsoft PurView でジャーナルルールを作成して、受信メールを Sophos EMS にルーティングする必要があります。

ジャーナルルールを作成するには、次の手順を実行します。

1. Sophos Central にサインインします。
2. 「マイプロダクト > Email Protection > 設定 > EMS ドメイン設定/状態」を参照します。
3. ドメインを選択し、「外部依存関係の設定」をクリックします。

4. 「M365」タブ の手順 1 で、提供されたメールアドレスをコピーし、後で使用できるように保存します。

   次のメールアドレスは、ジャーナルレポートを Sophos EMS に送信するために使用されます。1つは配信不能なジャーナルレポート用で、もう 1つは通常のジャーナルレポート用です。各アドレスは異なる目的を持っているため、ジャーナル配信を完全に行うには、個別に設定する必要があります。

5. Microsoft PurView にサインインします。

6. 「設定 > データライフサイクル管理 > Exchange (従来版)」の順に選択します。

7. 「配信できないジャーナル レポートの送信先」で、「置換」をクリックし、Sophos Central からコピーした配信できないジャーナルレポートのメールアドレスを入力して、「保存」をクリックします。

   Note

   「配信できないジャーナル レポートの送信先」が空の場合にのみ設定します。既存のアドレスは変更しないでください。次の手順に進んでください。

   ジャーナル処理されたメールを目的の送信先に配信できない場合、メールボックスは NDR (未配信レポート) を受信します。

8. 「ソリューション > データ ライフサイクル管理 > Exchange (レガシー) > ジャーナル ルール」の順に選択して新しいジャーナルルールを作成します。

9. 「ジャーナル レポートの送信先」に、Sophos Central からコピーした通常のジャーナルレポートのメールアドレスを入力します。

10. 「ジャーナル ルール名」に、ルールの名前を入力します。

    例:外部メールの EMS スキャン。

11. 「送信元または受信先」で、次のいずれかのオプションを選択します。

    • すべてのユーザー:すべての M365 ドメインが Sophos EMS でオンボーディングされている場合は、次の手順を実行します。
    • 特定のユーザーまたはグループ:Sophos EMS で選択したユーザーとドメインのみをスキャンする場合は、次の手順を実行します。

    Note

    「特定のユーザーまたはグループ」を選択した場合は、そのユーザーまたはグループが Microsoft 365 に存在することを確認します。

12. 「ジャーナル対象のメッセージの種類」で、「外部メッセージのみ」を選択します。

13. 「次へ」をクリックし、設定を確認して「送信」をクリックします。

Microsoft 365 のジャーナルルールが作成されました。

Microsoft Purview でジャーナリングの設定を完了したら、Sophos Central に戻ってオンボーディングプロセスを完了します。詳細は、ドメインの追加を参照してください 。

設定後、次の条件を確認します。

• ジャーナル メッセージは、Microsoft 365 から Sophos EMS に直接配信されます。
• メッセージの履歴に表示される送信元 IP アドレスは、サードパーティのゲートウェイではなく Microsoft 365 に属しています。
• SMTP From (エンベロープ送信者) および From ヘッダーの値は変更されません。

Sophos EMS をサードパーティのメールセキュリティと統合する

Sophos EMS は、ゲートウェイベースまたはメールフローベースのサードパーティのメール セキュリティ ソリューションと統合できます。これらの方法のいずれかを使用している場合にのみ、このセクションの説明に従って設定してください。ここでの手順に従っていない場合、Sophos EMS は期待通りに動作しない可能性があります。

設定に最も適した方法を選択します。

• ゲートウェイベースのソリューション用の安全なコネクタの作成
• メールフローベースのソリューションのトランスポートルールの作成

Microsoft 365 ジャーナル メッセージは別の配信パスを使用し、Microsoft 365 から Sophos EMS に直接ルーティングする必要があります。ジャーナルの配信は、ゲートウェイベースのコネクタやトランスポートルールに依存させることはできません。

サードパーティのゲートウェイを使用しており、Microsoft 365 ジャーナリングがオンになっている場合は、ジャーナル配信用の専用コネクタを作成する必要があります。詳細は、カスタムゲートウェイ用の安全なコネクタの作成を参照してください 。

カスタムゲートウェイ用の安全なコネクタの作成

この設定は、メールフローにサードパーティのゲートウェイが存在する場合にジャーナルメッセージの配信をサポートするために存在します。サードパーティのメール セキュリティ ソリューション自体を設定または変更しません。

環境にサードパーティのゲートウェイが存在する場合は、ジャーナル用の別の Microsoft 365 コネクタを作成して、ジャーナルメッセージがゲートウェイをバイパスできるようにする必要があります。

Microsoft Exchange 管理センターの「メールフロー > コネクタ」でコネクタを作成します。

ジャーナル配信の場合、次のコネクタを設定する必要があります。

• 接続元：Office 365
• 接続先：パートナー組織

• コネクタの使用：メールメッセージが Sophos EMS ジャーナルドメインに送信される場合のみに適用されるようにコネクタを設定します。

  Sophos EMS ジャーナルドメインの例

  use2.external.sophosems.com

• ルーティング:顧客のメールメインの MX レコードを検索し、値をメモします。これらの MX レコードは、後で Sophos Central でカスタムゲートウェイを設定する際に使用します。

ゲートウェイベースのソリューション用の安全なコネクタの作成

Sophos EMS と Microsoft 365 の間に安全なコネクタを作成するには、次の手順を実行します。

1. Sophos Central にサインインし、サードパーティのメールセキュリティソリューションを次のように設定します。

   1. 「マイプロダクト > Email Protection > 設定 > EMS ドメイン設定/状態」を参照します。
   2. ドメインを選択し、「外部依存関係の設定」をクリックします。
   3. 「M365」タブを開いていることを確認します。
   4. 「メールセキュリティとしてゲートウェイを使用している」で、メール セキュリティ ソリューションの IP アドレスまたは IP 範囲を準備します。

2. Microsoft Exchange 管理センターにサインインし、 次のようにセキュアコネクタを作成します。

   Note

   この手順は、サードパーティのメール セキュリティ ゲートウェイを通過する通常の受信メール フローのコネクタを設定する場合に使用します。

   Microsoft 365 ジャーナルメッセージをサードパーティのゲートウェイをバイパスして Sophos EMS に直接配信する場合は、カスタムゲートウェイ設定を使用する専用コネクタを設定します。詳細は、カスタムゲートウェイ用の安全なコネクタの作成を参照してください。

   1. 「メール フロー > コネクタ」に移動し、「コネクタの追加」をクリックします。
   2. 「接続元」で「パートナー組織」を選択し、「次へ」をクリックします。

   3. コネクタの名前を入力します。

      例:サードパーティのメールフィルタリングソリューションからのメールを受け入れる。

   4. 「オンにする」を選択し、「次へ」をクリックします。

   5. 「送信サーバーの IP アドレスが、パートナー organization に属する次のいずれかの IP アドレスと一致することを確認する」を選択し、受信配信 IP アドレスを追加して、「次へ」をクリックします。
   6. (任意) メール セキュリティ ソリューションが TLS 経由ですべてのメールを M365 に送信する場合にのみ、[TLS経由でない場合はメールメッセージを拒否する]を選択します。
   7. 「次へ」をクリックし、コネクタ設定を確認して「コネクタの作成」をクリックします。
   8. 「完了」をクリックします。

3. Microsoft Defender にサインインし、次のようにスキップリストを実装します。

   1. 作成したコネクタを選択します
   2. 「このコネクタに関連付けられている IP アドレスをスキップする」を選択します。
   3. 受信配信 IP アドレスを追加します。

   4. IP アドレスを追加リストに追加するには、各 IP アドレスの後に Enter キーを押してください。

      Note

      Enter キーを押さない場合、「保存」をクリックしても IP アドレスは保存されません。

   5. 「次のユーザーに適用」で、「組織全体に適用」を選択します。

   6. 「保存」をクリックします。

コネクターで拡張フィルター処理がオンになりました。

メールフローベースのソリューションのトランスポートルールの作成

タブをクリックすると、受信および送信トランスポートルールの作成手順が表示されます。

1。 「**マイプロダクト** > **Email Protection** > **設定** > **EMS ドメイン設定/状態**」を参照します。
1。 ドメインを選択し、「**外部依存関係の設定**」をクリックします。
1。 「**M365**」タブを開いていることを確認します。
1。 「**メール セキュリティは Microsoft 365 のメール フローに基づいています**」で、メール セキュリティ ソリューションの IP アドレスまたは IP 範囲を準備します。
1。 「**M365 メールフローの設定を有効にする**」をオンにし、 後で使用するために「**ヘッダー名前**」と「**ヘッダーの値**」をコピーします。
1。 「**保存**」をクリックします。

1。 「**メール フロー** > **ルール**」に移動し、「**ルールの追加**」をクリックしてから「**新しいルールを作成**」を選択します。
1。 受信トランスポートルール名を入力します。

    例：`Add header for EMS scan for inbound emails`。

1。 「**このルールを適用する場合**」で、「**受信者**」と「**外部/内部**」を選択し、「**組織内**」が選択されていることを確認してから、「**保存**」をクリックします。
1。 「+」アイコンをクリックして、2番目の条件を追加します。
1。 「**受信者**」と「**ドメインが次と一致する**」を選択し、メール セキュリティ ソリューションで使用するドメインを追加して、「**保存**」をクリックします。
1。 「+」アイコンをクリックして、3番目の条件を追加します。
1。 「**送信者**」と「**IP アドレスが以下の範囲または完全一致**」を選択し、メール セキュリティ ソリューションで使用される受信配信 IP アドレスを追加して、「**保存**」をクリックします。
1。 「**次を実行する**」で、「**メッセージのプロパティを変更**」と「**メッセージヘッダーを設定**」を選択します。
1。 最初の「**テキストを入力**」リンクをクリックし、「**外部依存関係の構成**」 ページで「**ヘッダー名**」の値を入力して、「**保存**」をクリックします。
1。 2番目の「**テキストを入力**」リンクをクリックし、「**外部依存関係の構成**」 ページで「**ヘッダーの値**」の値を入力して、「**保存**」をクリックします。
1。 「**次へ**」をクリックします。
1。 「**ルールの設定**」で、「**ルール モード**」が「**適用**」に設定され、「**メッセージ内の送信者アドレスを一致させる場所**」 が「**ヘッダー**」に設定されていることを確認します。
1。 「**次へ**」をクリックし、受信トランスポートルールの設定を確認して、「**完了**」をクリックします。

1。 受信トランスポートルールを選択してオンにします。
1。 「**ルールの設定を編集**」をクリックし、「**優先度**」を`0`に設定して、「**保存**」をクリックします。
1。 「**完了**」をクリックします。

1。 「**マイプロダクト** > **Email Protection** > **設定** > **EMS ドメイン設定/状態**」を参照します。
1。 ドメインを選択し、「**外部依存関係の設定**」をクリックします。
1。 「**M365**」タブを開いていることを確認します。
1。 「**メール セキュリティは Microsoft 365 のメール フローに基づいています**」で、メール セキュリティ ソリューションの IP アドレスまたは IP 範囲を準備します。
1。 「**M365 メールフローの設定を有効にする**」をオンにし、 後で使用するために「**ヘッダー名前**」と「**ヘッダーの値**」をコピーします。
1。 「保存」をクリックします。

1。 「**メール フロー** > **ルール**」に移動し、「**ルールの追加**」をクリックしてから「**新しいルールを作成**」を選択します。
1。 送信トランスポートルール名を入力します。

    例：`Add header for EMS scan for outbound emails`。

1。 「**このルールを適用する場合**」で、「**受信者**」と「**外部/内部**」を選択し、「**組織外**」を選択してから、「**保存**」をクリックします。
1。 「+」アイコンをクリックして、2番目の条件を追加します。
1。 「**送信者**」と「**ドメインが次と一致する**」を選択し、メール セキュリティ ソリューションで使用するドメインを追加して、「**保存**」をクリックします。
1。 「+」アイコンをクリックして、3番目の条件を追加します。
1。 「**送信者**」と「**IP アドレスが以下の範囲または完全一致**」を選択し、メール セキュリティ ソリューションで使用される送信配信 IP アドレスを追加して、「**保存**」をクリックします。
1。 「**次を実行する**」で、「**メッセージのプロパティを変更**」と「**メッセージヘッダーを設定**」を選択します。
1。 最初の「**テキストを入力**」リンクをクリックし、「**外部依存関係の構成**」 ページで「**ヘッダー名**」の値を入力して、「**保存**」をクリックします。
1。 2番目の「**テキストを入力**」リンクをクリックし、「**外部依存関係の構成**」 ページで「**ヘッダーの値**」の値を入力して、「**保存**」をクリックします。
1。 「**次へ**」をクリックします。
1。 「**ルールの設定**」で、「**ルール モード**」が「**適用**」に設定され、「**メッセージ内の送信者アドレスを一致させる場所**」 が「**ヘッダー**」に設定されていることを確認します。
1。 「**次へ**」をクリックし、送信トランスポートルールの設定を確認して、「**完了**」をクリックします。

1。 送信トランスポートルールを選択してオンにします。
1。 「**ルールの設定を編集**」をクリックし、「**優先度**」を`1`に設定して、「**保存**」をクリックします。
1。 「**完了**」をクリックします。