mxHeroのExchange OnlineとOneDrive for Business環境での初期設定

mxHeroのExchange OnlineとOneDrive for Business環境での初期設定

こんにちは。けーすけです。今回もmxHeroの記事になります。今度はExchange OnlineとOneDrive for Business環境での、送信テストが行えるようになるまでの設定を記述しました。検討のご参考にお使いください。

この記事で説明する範囲

  • Exchange OnlineとOneDrive for Business環境でのmxHeroの初期設定(動作確認まで)

注意点

  • 2021年2月22日現在の情報に基づきます。
  • 公式のマニュアルには、現時点で設定順が明記されていません。また、英語のみです。
  • サービスの性質上メールの経路が変更されますので、必ず一度トライアル環境でお試しください。

前提条件

  • 自社保有ドメインのDNSレコードを書き換えられる権限をもっていること
  • Exchange OnlineとOneDrive for Businessを動作させられる検証用テナントが既にあり、管理権限をもっていること
  • Exchange OnlineとOneDrive for Business側に、人に紐づかない認証用アカウントを作成済みであること
  • Exchange Onlineのカスタムドメイン登録が終わり、メールの疎通確認が取れていること

参照したドキュメント

mxHeroサインアップ

まずサインアップを行います。サインアップが完了すると、以下のようなメールが送られてきますので、Registrationを完了します。

このとき、mx-admin@hoge.jpなど、人に紐づかない、オンラインストレージの認証に使用するアカウント(メールアドレス)でサインアップするとスムーズです。

mxHero側準備

Registrationが完了したら、一度mxHero側のダッシュボード上部にある、”Domains”をクリックして開き、TransportAgentを生成します。

生成したあとに、その値をメモしてください。

Exchange Online側設定

適用グループの作成

メールが有効なセキュリティグループを作成し、mxHeroの利用対象とするユーザーをグループに追加します。

コネクタの作成

次にコネクタを作成します。以下のように選択・入力して進めてください。

以下のように入力します。

smtp.mxhero.com

検証メールの宛先を指定し、”検証”をクリックします。検証メールの宛先は以下です。

admin@mxhero.com

検証が完了するまで少々時間がかかります。

検証が完了したら、”コネクタを作成”をクリックします。以上でコネクタの作成は完了です。

ルールの作成

次に、ルールを作成します。以下の画像に沿って進めてください。送信と受信でそれぞれひとつづつ作成している点に注意してください。なお、グループや、送信受信によって適用対象を指定する必要がない場合は、単一のルールのみの指定でも動作します。

※機械翻訳を通しています

参照元 

以下の画像に沿って、送信と受信についてルールを作成してください。

”その他のオプション”をクリックしてください。

その後以下のように作成していきます。

送信ルール

適用条件として、”送信者が”次のメンバーである、を選択し、作成済みのセキュリティグループを指定します。
次に、”実行する処理”として作成したコネクタへの接続と、メッセージヘッダ設定を行います。
ヘッダは、

X-mxHero-Transport-Agent

値は最初に取得した、TransportAgentの値を入力します。

次に、除外条件として、ヘッダー、

X-mxHero-Server

値は同様に、最初に取得した、TransportAgentの値を入力します。

受信ルール

受信についても、手順は同様ですが、適用条件が”受信者が次のメンバーである”となっていることに注意してください。

これでルールの作成も終了です。

接続フィルタ

※2020年2月4日時点では、Exchange管理センターから接続フィルタを設定しようとすると以下のような通知が表示されます。通知のリンクをクリックまたは、Offce365 セキュリティ/コンプライアンスの”ポリシー”にアクセスしてください。

接続ポリシーを編集します。

許可IPとして、以下を設定します。

54.208.111.28
54.236.184.32
54.165.252.128
54.165.253.193
3.211.77.148
52.22.51.97
54.209.222.83
107.23.152.206

ここまででExchange Online側の設定は完了となります。

SPFレコードの設定

対象ドメインのDNSレコードに、以下のTXTレコードを設定してください。

v=spf1 include:_spf.mxhero.com ~all

※ mxHeroを全てのユーザーが利用しない場合など、Exchange Onlineのspfレコードを併記した場合の例は以下になります。

v=spf1 include:_spf.mxhero.com include:spf.protection.outlook.com ~all

Fusionルールの作成(送受信テスト用)

送受信のテストのためのFusionルールの作成を行います。

設定箇所は2箇所です。なお、この設定は送受信テストのための設定です。送受信ともに、添付ファイルをパブリックで保存します。

適用範囲をドメイン全体とします。

オンラインストレージを指定します。

作成済みの、”人に紐づかない認証用アカウント”で認証し、アクセスを許可します。

認証が終わったら、認証用に”人に紐づかない認証用アカウント”を記述します。

ここまで完了したら保存します。

次にAdvanced optionsの”Do not overwrite existing messages”をオンにします。

ここまで設定が終わったら、保存し、Onedriveの設定を行います。

OneDrive固有の設定

Domainsで、以下のように設定します。今回は、Onlineを指定します。

なお、この設定は、以下のSharepointの文字数制限に対応するための設定です。mxHeroのデフォルト値は400文字です。

送受信テスト

送受信のテストを行い、以下のように添付ファイルが置き換えられていれば稼働しています。

また、”OneDrive for organization”を利用している場合は、認証用のアカウントに、以下のような通知が都度届きます。

以降は、保存フォルダの構成や、アクセス権の設定を、公式のユーザーマニュアルを参照しながら都度テストしつつ行ってください。

なお、送受信でルールを分けたい場合は、以下の画像のようにbetweenルールの除外条件に自ドメインを設定し、別途”from”ルールを作成してください。

以上になります。

Office365とのユーザー同期

公式のマニュアル通りで有効化可能ですが、ディレクトリ全体と同期されます。また、2月22日現在、同期によって作成されたゲストユーザーが削除できない不具合を確認しております。改善を確認次第、こちらに追記致します。

https://support.mxhero.com/hc/en-us/articles/115002529266-Synchronize-with-an-Office365-directory

おわりに

今回はOneDriveとExchange Onlineのケースでの設定例でした。少し先になりますが、Secure Emailについても記事を作成する予定です。それでは、けーすけでした。

情報システム部門は企業のコア

CTA-IMAGE 株式会社クラウドネイティブは、情報システム部門のコンサルティング専門家集団です。 ゼロトラストの概念を国内でいち早く取り入れ、現実的に実装できる国内唯一のコンサルティング会社です。 「どの製品選べばいいの?」 「社内インフラ改革はどこから?」 「セキュリティって結局どうすれば?」 その疑問や不安にお応えします。