MicrosoftのHigh Volume Emailを使う

現在ベータで提供されているMicrosoft 365のHigh Volume Emailの設定を行います。

Security Defaultsを無効化する

Microsoft Entra admin centerにて、Security defaultsを無効化し、 Conditional Accessを代わりに利用するようにします。

Entra admin centerのIdentityセクションにあるOverviewを選択し、 Propertiesタブを開きます。

一番下にSecurity defaultsの設定がありますので、ここから無効にしてください。 無効にする際に、Conditional Accessを代わりに利用する設定にすることを推奨します。

また、削除理由にHigh Volume Emailを使うためであることを記述すると、 将来的にMicrosoftが何かしらの方法を作ってくれるかもしれません。 是非記述しましょう。

詳しい設定の意味等はMicrosoft DocsのSecurity defaults in Microsoft Entra IDに記述されています。

High Volume Emailを利用するアカウントのグループを作成

次のConditional Accessで例外設定をするためにMicrosoft Entra admin CenterでSecurity Groupを作成します。

High Volume Emailで独自のメールドメインから送信する場合は、 下記のMembership ruleがそのまま利用できます。

(user.mail -contains "@domain.to.use.invalid")

このルールはセキュアでは無いことに注意してください。 本来であればendsWith等で明示的にこのメールがドメイン部であることを示すべきですが、 悲しいことにMembership ruleではstartsWithのみ対応のようです。

もしメールのプレフックスでHVEメールを示す場合は、startsWithでよりセキュアに設定できるでしょう。

下記のコードは動作検証していませんが、おそらく使えるはずです。

(user.mail -startsWith "system.hve.")

Conditional Accessの設定

Security Defaultsの設定画面まで移動すると、 Manage Conditional Accessというリンクが見えるようになっているはずです。 これをクリックし、Conditional Accessの設定に入ります。

本来であればBlock legacy authenticationの例外に先ほど作成したグループを設定すればいいはずですが、 念のためにMultifactor authentication for all usersにも同様に例外設定をし、 同時にStateをReport-onlyに設定しています。

この設定はとても危険ですので、一度例外設定を投入したのち、 しばらく放置して動くか確認すべきです。 もし動いたらIssueページから教えてもらえると助かります。

ドメインの追加

Microsoft Docs - Add a domain to Microsoft 365を参考に、 ExchangeとDKIMの設定を投入したドメインの追加を行います。

ここはおそらくExchangeを使っているテナントの場合は過去に設定している場合がほとんどだと思いますので、特に躓くことなく設定できるかと思います。

また、現在利用しているドメインからそのままメールを送信する場合、この手順はスキップできます。

HVEアカウントの作成

Exchange admin centerのMail flowセクションの中にあるHigh volume mailからHVEアカウントを作成します。

プライマリメールアドレスがメールの送信元になります。 また、同一テナント内に送信する場合は、表示名がFromの表示名より優先されるため、 わかりやすい名前を指定することを推奨します。

AllowBasicAuthSmtpポリシーの適用

Exchange admin centerのCloud Shellで下記のコマンドを実行し、 Exchangeの設定をコマンドでできるようにします。

Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline

最初にAllowBasicAuthSmtpの設定を持つポリシーの作成を行います。 下記のようなコマンドが利用できます。 また、一度ポリシーを作成した後は複数のHVEアカウントや一般のアカウントで使いまわすことができるため、この作業は最初の1回のみで大丈夫です。

New-AuthenticationPolicy -Name "AllowBasicAuthSmtp" -AllowBasicAuthSmtp

作成したHVEアカウントに作成したポリシーを割り当てます。 下記のようなコマンドを実行します。

Set-User -Identity "[email protected]" -AuthenticationPolicy "AllowBasicAuthSmtp"

メーラーへの設定

Microsoft DocsのManage high volume emails for Microsoft 365 Public previewに記述されている接続先をSMTPクライアントに設定します。

日本語版ドキュメントでは、smtp-hve.office365.comとなるべきホスト名がsmtp-have.office365.comと誤訳されているので注意してください。

また、ユーザ名とパスワードは送信元メールアドレスとHVEアカウント作成時に設定したパスワードとなります。

この記事の最後にはエラーコードとその原因が書いてありますので、必要に応じて参照してください。

最終更新 Oct 18, 2024 02:28 AM JST
© 2021 - 2024 mkarakiのブログ
Built with Hugo
テーマ StackJimmy によって設計されています。