メニュー 日本語 Čeština Dansk Deutsch English (US) Español (Latinoamérica) Español (España) Suomi Français (Canada) Français (France) हिंदी Magyar Bahasa Indonesia Italiano 한국어 Bahasa Melayu Nederlands Norsk Polski Português do Brasil Português (Portugal) Română Русский svenska ไทย Türkçe Українська Tiếng Việt 简体中文 繁體中文

ダイレクトメッセージインジェクション(DMI)構成ガイド

更新:

作成日時:

DMIとは?

ダイレクトメッセージインジェクション(DMI)機能を使用すると、模擬フィッシングメールをホワイトリストに登録する必要がありません。DMIは、メールフィルタリングのルールを回避し、ユーザーの受信箱にメールを送信します。この機能は、KMSATコンソールとMicrosoft 365またはGoogle Workspaceアカウントの間に安全なリンクを作成することで機能します。

注:DMIは、Microsoft Azureのパブリックインスタンスにのみ対応しています。必要な権限があるため、DMIはMicrosoft GCC HighおよびDoDでは使用できません。

Microsoft 365を使用している場合、AzureでDMIアプリケーションを認証して、KMSATとMicrosoft 365間で安全な接続を作成できます。DMIは、エンタープライズアプリケーションとしてMicrosoft 365アカウントに接続されます。認証されると、DMIはMicrosoft Exchange Web サービス(EWS)APIを使用して、模擬フィッシングメールをユーザーの受信箱に送信します。

注:Microsoft 365を使用している場合、DMIを使用する前に、Microsoftの高度な配信ポリシーを使用してホワイトリストを登録することをお勧めします。ただし、高度な配信ポリシーとDMIの両方を使用することは推奨されません。詳細については、「Microsoft 365での高度な配信ポリシーの使用方法」の記事を参照してください。

Google Workspaceを使用している場合、Google WorkspaceでDMIアプリケーションを認証して、セキュアな接続を作成できます。認証されると、DMIはGoogle Workspace APIを使用して、模擬フィッシングメールをユーザーの受信箱に送信します。

注:Google WorkspaceのDMI接続を使用して、エイリアスメールアドレスにメッセージを送信することはできません。
注:一部のホワイトリスト機能については、KMSATコンソールを使用するときに問題を引き起こす恐れのある米国以外の顧客のみが利用できる場合があります。

リンク先:

必要な管理者ロール

KMSATへのDMIの接続

KMSATでのDMIの有効化

トラブルシューティング

DMI接続の切断

 

必要な管理者ロール

DMIを設定するには、特定の管理者ロールが必要になります。詳細については、以下のサブセクションを参照してください。

注:多要素認証(MFA)が有効になっていないサービスアカウントを使用することを推奨します。MFAによって、DMIが失敗する場合があります。二要素認証を有効にしたMicrosoft 365アカウントを使用している場合、DMIを使用して送信されたメールは、フィッシングキャンペーンの[バウンス]タブでなりすましエラーとして表示されます。

 

Google Workspaceで必要な管理者ロール

Google Workspace DMIを設定するには、スーパー管理者ロールのアカウントが必要になります。詳細については、Googleの「API アクセスをドメイン全体の委任で制御する」の記事を参照してください。

トップに戻る

 

Microsoft 365で必要な管理者ロール

Microsoft 365アカウントにDMIを設定する前に、DMI認証専用のMicrosoft 365の管理者アカウントを作成することをお勧めします。DMI認証アカウントには、以下のロールを割り当てる必要があります。

  • Microsoft 365 Exchange管理センターのApplicationImpersonation
  • Microsoft Azureポータルのアプリケーション管理者
注:既存のアカウントにグローバル管理者などの高位のロールがすでに割り当てられている場合でも、上記の権限を割り当てる必要があります。

以下のタブを選択すると、各Microsoft 365アプリケーションでこれらの権限を有効にする方法を確認できます。

ApplicationImpersonationロールを追加して有効にするには、以下のステップに従って操作します。

  1. Microsoft 365 Exchange管理センターにログインします。
  2. 左側のメニューから[Roles(ロール)]をクリックし、[Admin Roles(管理者​ロール)]を選択します。
  3. [ロールグループの追加(Add Role Group)]ボタンをクリックします。
  4. 新しいロールグループの名前と説明を入力します。[次へ]をクリックします。
  5. [アクセス許可の追加(Add Permissions)] ページで、[Application Impersonation]を選択して、[次へ]をクリックします。
    ヒント:このオプションが表示されない場合は、表示を切り替えてみてください。例えば、[新しいExchange管理センター]を表示している場合は、[従来のExchange管理センター ]に切り替えます。
  6. DMI認証を担当するユーザーアカウントを選択して、[次へ]をクリックします。
  7. 選択した内容を確認し、[ロールグループの追加(Add Role Group)]をクリックします。
また、既存のロールグループにこの権限を追加することもできます。

[アプリケーション管理者(Application Administrator)]ロールを有効にするには、以下のステップに従って操作します。

  1. Azure Portalにログインします。
  2. [Azure サービス]ヘッダーの下で、[ユーザー]を選択します。
  3. DMIの認証を担当するユーザーアカウントを選択します。
  4. 左側のメニューから、[割り当てられている役割]をクリックします。
  5. [適格な割り当て(Eligible Assignments)]タブで、[アプリケーション管理者(Application Administrator)]を見つけ、このロールを有効に設定します。[アプリケーション管理者(Application Administrator)]が表示されていない場合は、以下のステップに従って操作します。
    1. ページの上部にある[割り当ての追加]ボタンをクリックします。
    2. ドロップダウンメニューから[アプリケーション管理者(Application Administrator)]を選択します。
    3. スコープタイプには、[ディレクトリ]を選択し、[次へ」をクリックします。
    4. 割り当てタイプには、[アクティブ]を選択します。
    5. [割り当て]をクリックして、選択したユーザーにこのロールを割り当てます。

トップに戻る

 

必要な権限

Microsoft 365のDMI接続を設定するときには、以下のような権限が要求されます。

安全な接続を保証するために、DMIはEWSを使用してユーザーの受信箱に接続する必要があります。EWS接続の権限には、メールの読み取り、送信、削除する能力が含まれます。EWS接続では、メールボックスの設定も変更できます。DMIはこれらの権限を、ユーザーの受信箱にメールを配信するためにのみ使用します。

重要:DMIは、メールの読み取り、削除、組織のメールボックス設定の変更などは一切行いません。これらの権限を受け入れると、KnowBe4のサービス利用規約およびプライバシーステートメントを理解して同意したものと見なされます。

トップに戻る

 

KMSATへのDMIの接続

DMIを使用するには、メールクライアントアカウントをKMSATコンソールに接続する必要があります。詳細については、以下のサブセクションを参照してください。

 

Microsoft 365へのDMIの接続

以下の手順で、KMSATコンソールをMicrosoft 365アカウントに安全に接続します。

  1. KMSATコンソールにログインします。
  2. ページの右上隅のメールアドレスをクリックし、[アカウント設定]を選択します。
  3. [ダイクレトメッセージインジェクション]セクションに移動します。
  4. [DMI接続の追加]ドロップダウンメニューをクリックします。[DMI接続の追加]ドロップダウンメニュー
  5. ドロップダウンメニューから[Microsoft 365]を選択します。Microsoftのログインページが表示されます。
  6. DMIの認証を担当するMicrosoftアカウントにログインします。[必要な管理者ロール]が割り当てられたMicrosoftアカウントを必ず使用してください。
  7. KnowBe4がユーザーのMicrosoft 365情報にアクセスすることを許可するために必要な権限を確認します。詳細については、上記の「必要な権限」のセクションを参照してください。
  8. これらの権限に同意する場合は、[承諾]をクリックします。
    DMI権限Microsoft 365
  9. ウィンドウが閉じたら、以下の「DMIの有効化」のセクションを参照して操作を続けます。
注:Microsoft 365のAdvanced Threat Protection(ATP)を使用している場合は、リンクの書き換えを防止するためにATPリンクポリシーを編集する必要があります。詳細については、「Microsoft 365 ATPによるKnowBe4フィッシングリンクの書き換えを防止する方法」の記事を参照してください。

トップに戻る

 

Google WorkspaceへのDMIの接続

DMIをGoogle Workspaceに接続するには、Google Workspaceの管理コンソールにクライアントIDとスコープを追加する必要があります。クライアントIDとスコープを追加するには、以下のステップに従って操作します。

  1. admin.google.comに移動します。
  2. Google Workspace管理コンソールで、[セキュリティ]セクションを選択します。
    注:[セキュリティ]が表示されていない場合は、ページ下部の[More controls(その他のコントロール)]をクリックします。
    Google Workspace管理コンソールの[セキュリティ]セクション
  3. [概要]をクリックします。
  4. [APIコントロール]セクションを選択します。
  5. [ドメイン全体の委任]セクションで、[ドメイン全体の委任を管理]ボタンをクリックします。[ドメイン全体の委任を管理]ボタン
  6. [新しく追加]ボタンをクリックします。 [新しく追加]ボタン
  7. [クライアントID]フィールドに、「117081416267426756182」と入力します。 
    [クライアントID]フィールド
  8. [OAuthスコープ]フィールドに、以下のURLを入力します。
  • https://mail.google.com
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.modify
  • [承認]ボタンをクリックします。

トップに戻る

 

KMSATでのDMIの有効化

KMSATコンソールがメールクライアントアカウントに接続されたら、KMSATでDMIを有効にする必要があります。詳細については、以下のサブセクションを参照してください。

 

Microsoft 365のDMIの有効化

Microsoft 365でDMIを有効にするには、以下のステップに従って操作します。

  1. KMSATコンソールにログインします。
  2. ページの右上隅のメールアドレスをクリックし、[アカウント設定]を選択します。
  3. [ダイクレトメッセージインジェクション]セクションに移動します。
  4. [DMI設定を表示]ボタンをクリックします。[DMI設定を表示]ボタン
  5. 構成用のポップアップウィンドウのフィールドに情報を入力します。詳細については、以下のスクリーンショットとリストを参照してください。 Microsoft 365 DMI設定
    1. [接続名]:このフィールドには、接続の名前を入力します。
    2. [選択したドメインでこの接続を有効にする]:ドメイン名を入力するか、ドロップダウンメニューからドメインを選択して、1つまたは複数のドメインを選択します。
      注:プライマリのメールアドレスが選択したドメインと一致するユーザーに対してのみ、DMIは有効になります。
    3. [DMI接続に失敗する場合の通知の送信先]:このフィールドには、接続に失敗した場合に通知を送信するユーザーのメールアドレスを入力します。
  6. [接続設定の保存]ボタンをクリックします。
注:Microsoft 365接続の場合、Microsoft 365の接続を有効にすると、DMIはAzureポータルに[エンタープライズ アプリケーション]として表示されます。付与された権限や使用状況のログは、Azureポータルで確認できます。

トップに戻る

 

Google WorkspaceのDMIの有効化

DMIをGoogle Workspaceに接続した後に、KMSATコンソールでDMIを有効にする必要があります。Google WorkspaceでDMIを有効にするには、以下のステップに従って操作します。

  1. KMSATコンソールにログインします。
  2. ページの右上隅のメールアドレスをクリックし、[アカウント設定]を選択します。
  3. [ダイクレトメッセージインジェクション]セクションに移動します。
  4. [DMI接続の追加]ドロップダウンメニューをクリックして、[Google Workspace]を選択します。[DMI接続の追加]ドロップダウンメニュー
  5. 構成用のポップアップウィンドウのフィールドに情報を入力します。詳細については、以下のスクリーンショットとリストを参照してください。 構成設定
    1. [接続名]:DMI接続の名前を入力します。
    2. [選択したドメインでこの接続を有効にする]:ドメイン名を入力するか、ドロップダウンメニューからドメインを選択して、1つまたは複数のドメインを選択します。

      注:プライマリのメールアドレスが選択したドメインと一致するユーザーに対してのみ、DMIは有効になります。管理者のメールアドレスがこのフィールドで選択されたドメインと一致する場合、[テストメールを自分に送信]を使用して送信されるメールにもDMIが使用されます。このテストメールでは、オリジナルのメールヘッダーのメッセージIDに@injector.psm.knowbe4.comが含まれます。

    3. [DMI接続に失敗する場合の通知の送信先]:DMI接続に失敗した場合に通知を送信するユーザーのメールアドレスを入力します。
      注:このフィールドに入力されたメールアドレスは、[選択したドメインでこの接続を有効にします]フィールドにリストされたドメインと一致する必要はありません。
    4. [Google Workspaceドメインのメールアドレスを入力する]:テストメッセージを受信するメールアドレスを入力します。
  6. [接続設定の保存]ボタンをクリックします。
注:Google Workspace向けにDMIを設定した後でも、配信した後の受信トレイのメールフィルタ機能により、メールの配信や添付ファイルの機能が影響を受ける場合があります。

トップに戻る

 

トラブルシューティング

DMIで発生する可能性のある問題とその解決方法については、以下のサブセクションを参照してください。

 

Microsoft 365での接続エラーの修正方法

KMSATコンソールとMicrosoft 365アカウントを接続するExchange Webサービストークンが無効になると、DMI接続は失敗します。

DMIを利用して配信される予定であったフィッシングキャンペーンメールは、配信されなくなります。

上記の「Microsoft 365へのDMIの接続」で説明した手順に従って、Microsoft 365アカウントを再接続します。再接続で問題が発生する場合は、サポートにお問い合わせください。

トップに戻る

 

Google Workspaceでの接続エラーの修正方法

DMIをGoogle Workspaceに接続する場合に[承認]ボタンをクリックしてエラーメッセージが表示される場合、クライアントIDとスコープが不正である可能性があります。

クライアントIDとスコープを確認するには、以下のステップに従って操作します。

  1. 新しく作成した[ドメイン全体の委任]の権限を見つけます。
  2. [詳細を表示]をクリックします。
  3. すべてのスコープが表示されており、スコープが重複しておらず、クライアントIDが正しいことを確認してください。
  4. スコープが見つからない、またはエラーが含まれる場合には、[編集]をクリックして、見つからないスコープを入力して、[承認]をクリックして変更を適用します。
    注:クライアントIDは変更できません。

トップに戻る

 

Microsoft 365でDMIメールが「その他」のメールボックスに表示されないようにする方法

DMIで送信されたメールが「優先」受信トレイではなく「その他」の受信箱に表示される場合は、以下の手順を実行してこの問題を解決してください。

  1. KMSATコンソールにログインします。
  2. ページの右上隅のメールをクリックし、[アカウント設定]を選択します。
  3. [フィッシング設定]サブタブに移動します。
  4. [カスタムヘッダーの追加]を有効にします。
  5. [ヘッダー名(左のボックス)]で、「MS-Exchange-Organization-BypassFocusedInbox」というテキストを入力します。
  6. [ヘッダー値(右のボックス)]で、「true」というテキストを入力します。
  7. [設定を保存]をクリックします。

トップに戻る

 

フィッシングメールへのバナー、プレフィックス、および署名の追加方法

DMIを有効にすると、KnowBe4のフィッシングメールは、受信メールに表示されるバナー、プレフィックス、および署名を含む、すべてのメールフロールールを回避できます。

プレースホルダを使用して、フィッシングメールにバナー、プレフィックス、および署名を追加するには、以下のステップに従って操作します。

  1. KMSATコンソールにログインします。
  2. ページの右上隅のメールをクリックし、[アカウント設定]を選択します。
  3. [プレースホルダ]セクションに移動します。
  4. [+プレースホルダ]をクリックします。
  5. フィッシングメールに戻すプレースホルダーをドロップダウンメニューから選択します。
  6. 指定されたフィールドにプレースホルダーの情報を入力します。このフィールドには任意のテキストを入力できます。たとえば、メールのバナー、プレフィックス、署名のソースコードなどを入力できます。
  7. [メールバナー]および[件名プレフィックス]プレースホルダで、プレースホルダを表示するフィッシングメールをドロップダウンメニューから選択します。
  8. [プレースホルダの保存]をクリックします。

トップに戻る

 

DMI接続の切断

DMIを無効にする場合、KMSATコンソールとメールクライアントアカウントの接続を解除することをお勧めします。

DMIを切断するには、以下のステップに従って操作します。

  1. KMSATコンソールにログインします。
  2. ページの右上隅のメールをクリックし、[アカウント設定]を選択します。
  3. [フィッシング]の下の[メッセージ直接挿入]セクションに移動します。
  4. 削除するDMI接続を見つけて、[設定を表示]ボタンをクリックします。
    注:このボタンの名前は、使用している接続名によって変わります。例えば、接続名が「DMI 1」の場合、このボタンは[DMI 1設定を表示]と表示されます。
  5. [DMI接続の削除]ボタンをクリックします。
  6. 確認のメッセージが表示されたら、[確認]ボタンをクリックします。
注:DMI接続が削除されたら、アクティブなフィッシングキャンペーンは、標準のメールプロトコル(SMTP)を使用してメールを送信します。キャンペーンを作成するときにDMIを有効にした場合、メールのキャンペーンの[概要]ページに[DMI配信]と表示されます。

将来、DMIを再度有効にする場合は、KnowBe4のアクセス権限を再度付与する必要があります。DMIを再度有効にするには、「KSMATでのDMIの有効化」のセクションのステップに従って操作します。

注:KnowBe4をホワイトリストに正しく登録していることを確認するために、「KnowBe4を正しくホワイトリストに登録していることを検証する方法」の記事を参照してください。

トップに戻る

この記事は役に立ちましたか?
17人中14人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

コメント

0件のコメント

記事コメントは受け付けていません。

関連記事