はじめに
この記事では、AsyncOS 13.0 for Email Securityで導入された新しく追加されたメールボックス自動修復(MAR)機能について説明します。
前提条件
- ESAのAsyncOS 13.0以降
- ファイルレピュテーションとファイル分析のライセンスキー
- MS Office 365またはMS Exchangeのオンプレミス実装
背景説明
MARはAsyncOS 10.0で導入され、Office 365 Onlineのみをサポートしていました。
13.0以降のAsyncOS機能:
- Microsoft Exchange Online - Microsoft Office 365でホストされるメールボックス
- Microsoft Exchangeオンプレミス:ローカルのMicrosoft Exchangeサーバ
- ハイブリッド/マルチテナント構成:Microsoft Exchange OnlineとMicrosoft Exchangeのオンプレミス展開全体で構成されたメールボックスの組み合わせ
初期設定の手順は、O365のオリジナルのMAR設定ガイドと、O365の13.0以降の変更に関する追補にあります。
元の記事は引き続き有効で、機能の説明と、O365 Azure実装の証明書を生成する手順、ESA設定、および一般的なトラブルシューティングについて説明します。
ESA用にAzure ADおよびOffice 365メールボックス設定を構成する方法
13.0のAzure側のAPIアクセス許可に対する新しい変更
自動修復機能の詳細については、最新の『ユーザガイド』を参照してください。
章:メールボックス内のメッセージの自動修復
複数の「アカウントプロファイル」を設定します。
ESA 13.0以降では、Exchange Online、Exchange On-Premise、またはその両方で作成された複数のアカウントプロファイルがサポートされます。
- ドメインが分離され、異なる導入環境に存在する複雑な設定がある場合
- 新しい買収を吸収する企業が、MAR機能を使用するドメインを追加する場合
- その後、複数のアカウントプロファイルを作成すると、以前のESA機能よりも柔軟性が向上します
Exchange Online/O365プロファイルの構成
- O365/Azureのアカウントプロファイルの作成は、上記の「背景説明」セクションの2つのリンクに含まれています。
Office 365/ハイブリッド(グラフAPI):Exchange Onlineに展開されているメールボックスを構成する場合はこれを選択し、次の詳細を入力します:
- Azure管理ポータルで登録したアプリケーションのクライアントIDとテナントID。
- 証明書の拇印($base64Thumbprintの値)。
- 証明書の秘密キーをアップロードします。Choose Fileをクリックし、.pemファイルを選択します。
O365に接続するサンプルプロファイル
Exchangeオンプレミスプロファイルの構成
- オンプレミスのExchangeインスタンスのアカウントプロファイルの作成は、はるかに簡単です。
- このメソッドには、ApplicationImpersonationを持つユーザーアカウントが必要です。
- 次の形式を使用してExchange管理センターを参照し、自分の値に置き換えます。https://mail.yourdomain.com/ecp/
- ログインしたら、Permissions > Admin Roles > +に移動して、新しいプロファイルを追加します。既存のロールがある場合は、指定したユーザアカウントをメンバーに追加できます。
- 名前と説明を作成します。「Roles: +」までスクロールダウンして、ロールを追加します。下にスクロールし、「ApplicationImpersonation」を強調表示し、「追加」、「Ok」を選択します。
- 新しく作成したプロファイルに戻り、「Members: +」を選択し、ESAで使用するように指定したユーザアカウントを検索して追加します。
- すべての変更を確定します。
- 詳細な手順については、管理者によるMSサポートページでの調査が必要になります。
- 次に、ESA WebUIにログインし、アカウント設定に移動します。
- アカウントプロファイル、名前、説明を作成します。
- ドロップダウン・オプションから「Profile Type: Exchange On-Premise」を選択します。
- ユーザ名/パスワードとHost:値を入力します。
- Host:値に許容されるパラメータがイメージに含まれている。
- 送信し、変更を確定します。
サンプルExchangeオンプレミスプロファイル
MARアカウントプロファイルの例
ドメインマッピングの設定
ドメインマッピングは、アカウントプロファイルへのドメインの割り当てです。
すべての実装で、少なくとも1つのドメインマッピングが必要です。
- WebUI System Administration > Account Settings > Create Domain Mappingの順に移動します。
- ドメイン名をカンマで区切って入力します(使用できるドメイン形式の完全なリストはイメージ1に記載されています)。
- 構成全体にアカウントプロファイルが1つしかない場合は、ドメイン名ALLを入力します。
- ドメインは1回のみ使用できます。
ドメインマッピングサンプル画像 1.許容されるドメイン形式
ドメインマッピングサンプル
チェーンプロファイルの設定
このアクションが必要となるのは、ハイブリッド展開またはマルチテナント展開でメールボックス内のメッセージを修復する場合のみです。
プロファイルは、最も高い優先順位で最初に追加する必要があります。最も使用率の高いドメインプロファイルが最初に表示されます。
- WebUI >移動>システム管理>アカウント設定>チェーンプロファイルの作成。
- プロファイル名と説明を追加します。
- 「Mar Profile:」ドロップダウンリストからドメインを選択します。
- 選択が完了するまで、別のドメインプロファイルを追加するには、[アカウントプロファイルの追加]を選択します。
- 送信し、変更を確定します。
チェーンプロファイルの作成。
各アカウントプロファイルの確認
個々のプロファイルで「プロファイルのテスト」ボタンを選択して、各アカウントプロファイルを確認します。
- 「WebUI」>「ナビゲート」>「システム管理」>「アカウント設定」>「アカウントプロファイル」のいずれかを選択
- 左下のボタン「接続のテスト」を選択します。
- 「Email Address:」フィールドに入力し、「Test Connection」を選択します。
各プロファイルをテストして、正常な接続を確認します
トラブルシューティング
ログの内容:
- mail_logs:最終修復アクションおよびサマリー
- mar_logs:修復の実行順序
- UIの[接続のテスト]オプション:接続とアクセス許可を確認するために使用します。
アカウント設定から電子メールテストによって決定できる多くの情報があります。
テスト接続を使用したトラブルシューティング
- SMTPアドレスに関連付けられたメールボックスがありません。
- 使用されているユーザーメールボックスが存在しません。
- Access is denied.(アクセスが拒否されました。)資格情報を確認して、やり直してください。
- Microsoft Azureで構成されたアプリケーションには、Office 365メールボックスへのアクセスに必要なアクセス許可がありません。
- 識別子'<client_id>'のアプリケーションがディレクトリ<tenant_id>に見つかりませんでした。
- アカウントプロファイル設定ページのクライアントIDが無効です。
- '<tenant_id>'という名前のサービス名前空間がデータストアで見つかりませんでした。
- [アカウントプロファイル設定]ページのテナントIDが無効です。
- 資格情報の検証エラーです。資格情報の検証に失敗しました。
- アカウントプロファイルページの証明書の拇印が無効です。
- メールボックスへのアクセスに使用されるプロファイルの種類が正しくない可能性があります。たとえば、Office 365プロファイルを使用してオンプレミスのメールボックスにアクセスします。
- メールボックスにアクセスするために必要なアクセス許可が不足している可能性があります。
- Exchangeサーバに無効なユーザ名またはパスワードが入力されました。
- プロファイルに入力された偽装アカウントのユーザー名とパスワードが無効です。
- アカウントには、要求されたユーザーを偽装するアクセス許可がありません。
- プロファイルで構成されたユーザーアカウントに偽装ロール特権が割り当てられていません。
- host <hostname>が有効なExchangeサーバアドレスであることを確認してください。
- プロファイルに入力されたオンプレミスExchangeサーバーのホスト名が無効です。
- このプロファイルを使用してメールボックスにアクセスできないか、必要なアクセス許可がありません。
- 正しくない種類のプロファイルを使用して有効なメールボックスにアクセスしています。o365プロファイルを使用してアクセスされるオンプレミスメールボックスの例。
単一プロファイルの正常な修復の例:
Fri Aug 30 11:57:30 2019 Info: Process ready for Mailbox Remediation
Fri Aug 30 12:29:54 2019 Info: MID: 782107 Attempting to remediate using `azure-rtptac` profile for recipient testuser@rtprocks.com. Attempt number : 1
Fri Aug 30 12:29:54 2019 Info: MID: 782107 Trying to perform the forward and delete action on Office 365 or Hybrid exchange for SHA256:
1e6f324 982d4eb71ad967e79261a6435aef928b57bc523dbb3e7de4ed65941ab recipient's (testuser@rtprocks.com) mailbox.
Fri Aug 30 12:29:58 2019 Info: MID: 782107 Message forwarded successfully to admin_mar@rtprocks.com.
Fri Aug 30 12:29:58 2019 Info: MID: 782107 Message deleted successfully from testuser@rtprocks.com mailbox.
Fri Aug 30 12:29:58 2019 Info: MID: 782107 Remediation succeeded with `azure-rtptac` profile for recipient testuser@rtprocks.com.
チェーンプロファイルの正常な修復の例:
Mon Oct 14 15:01:01 2019 Info: MID: 24 Attempting gto remediate using 'azurertptac' profile for recipient charella@rtptacsecondary.com . Attempt number : 1
Mon Oct 14 15:01:01 2019 Info: MID: 24 Trying to perfrm the delete action on Office 365 or Hybrid exchange for SHA256: 1e6f324982d4eb71ad967e79261a6435aef928b57bc523dbb3e7de4ed65941ab
recipients (charella@rtptacsecondary.com) mailbox
Mon Oct 14 15:01:09 2019 Info: MID: 24 Unable to read message(s) from the recipient's (charella@rtptacsecondary.com ) mailbox. Error: The mailbox cannot be accessed using this profile or the required
permissions may be missing
Mon Oct 14 15:01:09 2019 Info: MID: 24 Attempting to remediate using 'exchange-mar-2' profile for recipient charella@rtptacsecondary.com . Attempt number : 1
Mon Oct 14 15:01:09 2019 Info: MID: 24 Trying to perform the delete action on On Premise Exchange for SHA256: 1e6f324982d4eb71ad967e79261a6435aef928b57bc523dbb3e7de4ed65941ab
recipient's (charella@rtptacsecondary.com) mailbox.
Mon Oct 14 15:01:16 2019 Info: MID: 24 Message deleted successfully from charella@rtptacsecondary.com mailbox.
Mon Oct 14 15:01:16 2019 Info: MID: 24 Remediation succeeded with 'exchange-mar-2' profile for recipient charella@rtptacsecondary.com. Not trying further profile.
関連情報