Windows 10 Enterprise へのアップグレード (CSP 編)

新しい年となりました。2020年もよろしくお願いします。

いよいよWindows  7 の延長サポート期限が終了しましたね。これを機にWindows 10をご利用いただくと思います。さらに、Microsoft 365 ライセンスとしてWindows 10をご利用になる企業も多いのではないでしょうか?そうすると、Windows 1 0 Enterprise  エディションが利用できる権利がついていますね。

おさらいですが、Windows 10 をいきなりEnterprise エディションでご利用いただくことはできません。Professional エディションからアップグレードする必要があります。

ライセンスをマイクロソフトCSPパートナーから購入されている場合には、提供されるWindows 10 のライセンスもユーザーライセンスとなります。

その場合のアップグレードのポイントは、以下の2点です。

  1. ご利用になるユーザーのアカウントがAzure AD に登録されていること。
  2. デバイスがAzure AD に参加していること。

気になるのが2番ですね。お気づきのとおり、オンプレミスのドメインにすでに参加している場合には、「ハイブリッド Azure AD 参加」をさせる必要があります。
マイクロソフトから公式の手順が公開されています。

また、ADFS によるフェデレーションドメインを構成されている環境でもこちらの手順によりハイブリッド参加構成が可能です。

問題は、ADFS ではなく、サードパーティ製によりOffice 365(Azure AD) をご利用になっている場合です。
その場合は、サードパーティのベンダーへ「ws-trustのエンドポイントがサポートされるか?」を確認する必要があります。
また、それらがMetadata Exchangeファイルを通じて公開されている必要があります。

こちらに公式な記載が掲載されています。

Office 365 (Azure AD ) 環境をどのように構成されているかによって方式がかわってきますので、ご注意ください。

 

ProPlusのセキュリティ強化

この記事はOffice 365 Advent Calendar 2019  に参加しています。

先日のIgnite Tour Tokyo でもお話したのですが、最近はかならずしも社内にActive Directoryが存在するわけではないようです。Azure AD で認証管理を行うことを検討されている企業様からご相談をうけることも増えてきています。

ただ、一番のネックはグループポリシーの問題ですね。

ProPlus では Security Policy Advisor によって、従来 Active Directory のグループポリシーで行っていたような、Office アプリケーションのインストール構成についての制御が可能です。

 

 

 

 

セキュリティポリシーを作成し、Azure AD セキュリティグループに割り当てることで設定したポリシーを評価しアドバイスを得ることができます。たとえば、Excelマクロやアドインの有効化や無効化などがそれにあたります。

指摘をうけたアドバイスはその画面上からポリシーをAzure AD のセキュリティグループ に対して構成を変更し、ポリシーを強制することができます。

Security Policy Advisor はOffice 365 ProPlus カスタマイズツールにて構成可能です。

無料でご利用になれる機能ですので、ぜひお試しください。

 

 

 

 

 

Microsoft Cloud App Security ご利用前の準備について

しばらく更新が滞りまして申し訳ございません。以下のイベントに複数セッション登壇しており、その準備に追われておりました。(言い訳です。)

Microsoft Ignite the tour

こちらへご登録いただいた方は、登壇時の資料がダウンロード可能になっているようです。ご参照ください。
また、来月1月23日-24日には大阪でも開催されます。大阪へも登壇いたしますので、関西方面の方はぜひご登録いただきご参加ご検討お願いします。(参加費無料です)

さて、本題に入ります。本イベントでMicorosoft 365によるセキュリティについてお話をいたしました。そのなかでMicorosoft Cloud App Security (通称 MCAS)についてもご紹介しました。

Microsoft Cloud App Security の概要

シャドーIT検出・制御や他セキュリティソリューションと連携し一元管理が行えます。
こちらをご利用いただく前にはOffice 365 ではおなじみのIPやファイアウォール許可などが必要です。

このMCASですが、データセンターで利用されているのはUSおよびEUです。自社のテナントがMCASについてどこのテナントを利用しているかをあらかじめ確認します。
ダッシュボードより「バージョン情報」で確認可能です。

必要なIPアドレスについては以下のサイトでご確認ください。

とても興味深いサービスですので、追ってまた内容について掲載していきたいと思います。

共有PCモードによるProplusとBusinessのインストール条件

自分の備忘録もかねて投稿しておきます。

Office 365 から提供されるOffice アプリケーションであるProPlusおよびBusinessにはいくつかのインストール形態があり、その中のひとつに「共有PCモード」があります。

文字通り会社で複数名で利用されている共有PCにインストールする際のモードです。この「共有PCモード」によるインストールでは、「1 ID によるPCへのインストール制限:5台」を消費することなくOfficeアプリを利用することが可能です。

ただし、この「共有PCモード」でインストールが許可されているのはProPlusのみです。では、Businessの場合は共有PCで利用することができないのか?というと、以下の前提条件がクリアされていれば利用可能だそうです。

  • 前提条件

①共有PCを利用するメンバー(ユーザー)全員にBusinessのライセンスが付与されていること。

②共有PCを利用する際にはユーザープロファイルを切り替えてOfficeを利用すること。

  • Businessの場合のインストールの考え方

インストール時にはインストール作業を実施したユーザーのインストール可能台数からインストールしたPC台数分消費される。

※30日毎の認証については利用するユーザーのだれかが認証を実施すればよい。インストールしたユーザーに限られることはない。

上記の方法であればBusinessを共有PCで利用してもライセンス違反にはなりません。
ご参考まで。

Outlook on the Web (Ootw)管理者による制御

クライアント(デスクトップ)版の Outlook を使用させずに、Web版のOutlook つまり、Outlook on the Web (Ootw) で Office 365 (Exchange Online)を社内展開される企業も決して少なくないようです。
その場合、管理者としてはユーザからの問い合わせを少なくするためにも「余計な機能はあらかじめ制御しておきたい」と考えますね。

今回は「管理者が一括で設定できませんか?」とご質問をいただくことが多い項目をご紹介します。

  1. 優先受信トレイの初期値変更

今まで別のメーラーを利用していたユーザは、優先受信トレイにメールが入らなかった場合に「メールが届かない」と判断してしまうこともあるようです。ならば最初から優先受信トレイを無効にしておいた方が良さそうですね。

ユーザが自身で設定する場合にはOutlook on the Web 画面の設定(歯車マーク)メニューに「優先トレイ」のオン・オフを切り替えることが可能です。(デフォルトはオン)

管理者が一括で行う場合には以下のPowershellで設定します。

Set-OrganizationConfig -FocusedInboxOn $false

※このコマンド利用には、事前にExchange OnlineへPowershellでリモート接続してください。詳細な手順はMicrosoft のサイトをご参照ください。

※管理者が一括設定したあとに、ユーザが設定画面より有効化することも可能です。(よって、完全に無効化することは不可能です)

2.リッチテキスト形式による送信制御

送信先のメーラーによってはHTML形式を受け付けないこともあるため、このあたりも管理者としては制御しておきたいようです。

こちらは「Exchange 管理センター」 - 「メールフロー」 - 「リモートドメイン」のプロパティで「リッチテキスト形式の使用」にて「許可しない」にチェックを変更することで設定可能です。

 

 

 

 

 

 

最近は新機能も増えてきて、Outlook On the Webも以前より使い勝手はよくなってきました。利用者が増えるとその分ご要望も増えてきますね。またの機会に別のご質問とその対応について投稿しようと思います。

TeamsのDNSレコードについて

Microsoft より、とうとうSkype for Business のサービス提供終了が発表されました。2021年7月31日だそうです。
※すでに新規でのサービス購入は不可。ID追加もご利用のサブスクリプション更新までの間のみ可能となっています。

あと約2年ありますので、移行が完了されていない場合でもしっかりと計画いただけるのではないでしょうか?

TeamsはSkype for Business のこれから新規でテナントをご契約・Teamsを利用開始される場合にDNSを設定を考慮されると思います。

従来、Skype for Business を利用するためには「SRVレコード」の設定が必要でしたが、TeamsはDNSの影響を受けないサービスのためTeams独自のDNSレコード登録は不要です。

ただし、TeamsはOffice 365 サービスの「ハブ」のような存在です。完全な機能を利用するためにはSharepoint Online・Exchange Onlineなど、他サービスとの連携が必要です。そのためのDNSレコード登録は必要です。

以下サイトをご確認いただき適切な登録を行ってください。

Office 365 の外部ドメイン ネーム システムのレコード

 

 

 

 

 

 

 

Active Directory Lost And Found コンテナ

昨日、自分の所属しているWorking GroupであるSystem User Group Japan の
第20回勉強会でTipsをお話ししてきました。

まだまだ世の中にはWindow Server 2008 ./ 2008 R2 が老体に鞭打って稼働しているようです。あと半年でEOSを迎えますのでその以降に関するTipsです。
ActiveDirectory Federation Service EOSに向けたTips

さて、標題の件です。先日お客様から以下のようなご連絡がありました。「AADConnectの同期を調べていたら、作成した覚えのないOUがあるんだけど…」

お客様環境を確認してみたら「Lost And Found コンテナ」でした。
このコンテナは「拡張機能」にすると表示されてきます。

 

 

 

 

 

 

このコンテナはレプリケーションで整合性が取れなくなった際にオブジェクトが格納されます。

例えば、ドメインコントローラーDC1でOU1を作成するとドメインコントローラーDC2にレプリケーションされます。そのあとで、DC1のOU1でドメインユーザーUser1を作成し、ドメインコントローラーDC2へレプリケーションされる前にDC2のOU1を削除すると、その情報がDC1にも伝わるのでDC1からもOU1が削除されてしまいます。すると、行き場をなくしたUser1が「LostAndFound」コンテナへ格納されることになります。
複数の管理者が複数のドメインコントローラー上で操作を行っている環境ではオブジェクトの削除には十分ご注意ください。

※2019年7月に「Microsoft MVP for Office Apps & Services」 を継続受賞させていただきました。引き続きより良い情報を配信できるよう精進いたします。

 

 

Teamsのセキュリティと利活用

昨日、「.NET ラボ勉強会」に登壇してきました。

Azure AD やSQL Server など様々なテーマがありましたが、私は標題の「Microsoft Teams」の主な新機能などについてお話してきました。

Skype for Business Plan 2 が来週で新規販売終了ということもあり、参加者の中にもこれからTeamsを導入していくという方もいらっしゃいました。

資料はここに公開しています。

ご紹介した機能の中にはこれから実装されるものも多く含まれておりますので、詳細については今後ブログの中でご紹介してきます。

 

Teams に既読機能が追加されます

とうとうTeamsに「既読」(開封確認)機能が追加されることになりました。LINEではすっかりおなじみですね。これで、相手がチャットを読んだかわかります。

Micosoft 365 管理センター – 「メッセージング」に新機能情報として掲載されています。

 

既定値が「ユーザーが設定できる状態」になっているようです。
それ以外のオプションは「ユーザーが機能を有効にできる」「ユーザーが機能を無効にできる」が選択できます。

ユーザーが設定できるのは便利ですね。

この機能を熱望していたものの、業務多忙の際には「既読」がつかない方が都合がよかったりもします。とりあえず読んだけれどすぐに返事ができない状況は多々あるので・・・。

6月から展開が開始され7月末には展開が完了するそうです。楽しみですね。

 

 

Skype for Business Plan 2 購入について

少し間があいてしまいました。気が付けば平成最後の投稿です。

このブログをMicrosoftのパートナーさんがご覧になることもあると思います。Teamsへの移行も佳境になってきましたが、とうとうSkype for business Plan 2の販売が2019年6月30日をもって終了するとのアナウンスが出ました。

Skype for Business Plan 2 の単体プランを新規やID増加など購入は2019年7月以降できなくなります。ただし、E1 、E3、E5などのスイートプランでSkypeを利用していた場合はまだ継続利用は可能だそうです。

単体プランでご利用いただいていた企業様は「単体プランでTeams」ということはできず、今後はスイートプラン(上記に加え、Business Essential 、Business Premium、あるいはMicrosoft 365 business 、Enterprise)などをご検討いただく必要がありますのでご注意ください。