Exchange Onlineのドメイン設定とメール配送の挙動【M365フルクラウド検証環境 その11】

by

シリーズ記事の11個目です。M365フルクラウド環境を検証目的で構築しています。下記の記事も合わせてどうぞ!

  1. Windows10をAzure ADに参加させる!【M365フルクラウド環境検証 その1】 | Microsoft Cloud Administrators
  2. Azure ADにドメインを追加してユーザーIDをわかりやすくする!【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administrators
  3. M365 E5検証ライセンスを申し込む【M365フルクラウド環境検証 その3】 | Microsoft Cloud Administrators
  4. Intuneへの登録を行う【M365フルクラウド環境検証 その4】 | Microsoft Cloud Administrators
  5. Windows10のデバイス構成プロファイルを作成して割り当てる!BitLockerでディスク暗号化【M365フルクラウド環境検証 その5】 | Microsoft Cloud Administrators
  6. コンプライアンスポリシーを作成して割り当てる!【M365フルクラウド環境検証 その6】 | Microsoft Cloud Administrators
  7. 「条件付きアクセス」で「ベースラインポリシー」を設定する!【M365フルクラウド環境検証 その7】 | Microsoft Cloud Administrators
  8. 条件付きアクセスポリシーを設定してMFAとポリシー準拠デバイスを必須とする!【M365フルクラウド環境検証 その8】 | Microsoft Cloud Administrators
  9. Microsoft Defender ATPを実装する!【M365フルクラウド環境検証 その9】 | Microsoft Cloud Administrators
  10. Office Pro PlusをIntuneから配布する!【M365フルクラウド検証環境 その10】 | Microsoft Cloud Administrators

ここまで触れていなかったのですが、読者の方から「Exchange Onlineで使うドメインの設定はどうなっているか?既存のメールシステムとの関係はどうなっているのか?」という質問を頂きました。ここまでの記事の内容と同じことを自分の環境で行ったときに、メール配送はどうなっているのか?という話ですね。

というわけで今回はExchange Online側の話を少し確認します。

Exchange Onlineの「ドメイン」設定

下記の図はAzure ADにドメインを追加してユーザーIDをわかりやすくする!【M365フルクラウド環境検証 その2】 | Microsoft Cloud Administratorsの記事の操作でAADにドメインを追加し、規定のドメインとしたときの、Exchange管理センターの状態です。


Exchange Online側でも追加した「tm-plan.net」というドメインが追加され、規定のドメインとなっています。

この時、一番注目すべきは一番右の「ドメインの種類」です。この「ドメインの種類」には2種類の設定があります。

権限あり: メールはこの Exchange 組織内の有効な受信者にのみ配信されます。不明な受信者宛てのすべてのメールが拒否されます。
内部の中継: メールはこの Exchange 組織内の受信者に配信されるか、別の物理的または論理的な場所のメール サーバーに中継されます。

これはつまり「権限あり」であればExchange Online内でユーザーが見つからなければNDR(配信不能レポート)を生成する。「内部の中継」であればNDRを生成せずに他のメールサーバーにメールを送信する。という意味です。

そして、さらにMXレコードがどこを指しているか、ユーザーはどのメールアドレスを保持しているのか?ということが効いてきます。

結局どういう挙動になるのか?

かなり複雑なので、全パターンは網羅できません。いくつか例をあげておきます。

Exchange Onlineだけでメールを利用する場合

  • 承認済みドメインに利用するドメインを追加し「権限あり」に設定する。
  • MXレコードはOffice 365を指す
  • ユーザーは利用するドメインのメールアドレスを保持する。

既存メールシステムからExchange Onlineに移行していくがまだ数名のテストユーザーのみがExchange Onlineを利用している状態

  • 承認済みドメインに利用するドメインを追加し「内部の中継ドメイン」に設定する。
  • 一部のテストユーザーのみExchange Onlineにメールボックスを作成する。
  • MXレコードは既存のメールボックスに向けるパターンとOffice 365に向けるパターンの2種類どちらもとれます。
    • MXレコードが指しているメールシステム側ではもう1つのメールシステム上に存在するメールアドレス宛のメールがきちんと届くように設定します。
      • この時利用するメールアドレスは本来のメールアドレスでもよいですし、転送専用の別ドメインを利用しても良いです。
  • 全体的にメールがループしてしまわないようにきちんと構成しつつ、存在しないメールアドレスに対してきちんとNDRが生成されるように構成します。

…、すいません、かなり抽象的ですし、複雑ですね。どうしてもこのあたりは複雑になってしまうので、きちんとした設計が必要です。

コメントを残す