Active Directory Lost And Found コンテナ

昨日、自分の所属しているWorking GroupであるSystem User Group Japan の
第20回勉強会でTipsをお話ししてきました。

まだまだ世の中にはWindow Server 2008 ./ 2008 R2 が老体に鞭打って稼働しているようです。あと半年でEOSを迎えますのでその以降に関するTipsです。
ActiveDirectory Federation Service EOSに向けたTips

さて、標題の件です。先日お客様から以下のようなご連絡がありました。「AADConnectの同期を調べていたら、作成した覚えのないOUがあるんだけど…」

お客様環境を確認してみたら「Lost And Found コンテナ」でした。
このコンテナは「拡張機能」にすると表示されてきます。

 

 

 

 

 

 

このコンテナはレプリケーションで整合性が取れなくなった際にオブジェクトが格納されます。

例えば、ドメインコントローラーDC1でOU1を作成するとドメインコントローラーDC2にレプリケーションされます。そのあとで、DC1のOU1でドメインユーザーUser1を作成し、ドメインコントローラーDC2へレプリケーションされる前にDC2のOU1を削除すると、その情報がDC1にも伝わるのでDC1からもOU1が削除されてしまいます。すると、行き場をなくしたUser1が「LostAndFound」コンテナへ格納されることになります。
複数の管理者が複数のドメインコントローラー上で操作を行っている環境ではオブジェクトの削除には十分ご注意ください。

※2019年7月に「Microsoft MVP for Office Apps & Services」 を継続受賞させていただきました。引き続きより良い情報を配信できるよう精進いたします。

 

 

Teamsのセキュリティと利活用

昨日、「.NET ラボ勉強会」に登壇してきました。

Azure AD やSQL Server など様々なテーマがありましたが、私は標題の「Microsoft Teams」の主な新機能などについてお話してきました。

Skype for Business Plan 2 が来週で新規販売終了ということもあり、参加者の中にもこれからTeamsを導入していくという方もいらっしゃいました。

資料はここに公開しています。

ご紹介した機能の中にはこれから実装されるものも多く含まれておりますので、詳細については今後ブログの中でご紹介してきます。

 

Teams に既読機能が追加されます

とうとうTeamsに「既読」(開封確認)機能が追加されることになりました。LINEではすっかりおなじみですね。これで、相手がチャットを読んだかわかります。

Micosoft 365 管理センター – 「メッセージング」に新機能情報として掲載されています。

 

既定値が「ユーザーが設定できる状態」になっているようです。
それ以外のオプションは「ユーザーが機能を有効にできる」「ユーザーが機能を無効にできる」が選択できます。

ユーザーが設定できるのは便利ですね。

この機能を熱望していたものの、業務多忙の際には「既読」がつかない方が都合がよかったりもします。とりあえず読んだけれどすぐに返事ができない状況は多々あるので・・・。

6月から展開が開始され7月末には展開が完了するそうです。楽しみですね。

 

 

Skype for Business Plan 2 購入について

少し間があいてしまいました。気が付けば平成最後の投稿です。

このブログをMicrosoftのパートナーさんがご覧になることもあると思います。Teamsへの移行も佳境になってきましたが、とうとうSkype for business Plan 2の販売が2019年6月30日をもって終了するとのアナウンスが出ました。

Skype for Business Plan 2 の単体プランを新規やID増加など購入は2019年7月以降できなくなります。ただし、E1 、E3、E5などのスイートプランでSkypeを利用していた場合はまだ継続利用は可能だそうです。

単体プランでご利用いただいていた企業様は「単体プランでTeams」ということはできず、今後はスイートプラン(上記に加え、Business Essential 、Business Premium、あるいはMicrosoft 365 business 、Enterprise)などをご検討いただく必要がありますのでご注意ください。

 

 

 

Teams クライアントが自動インストールされます

Office 365 でProplus をインストールすると、Teamsのクライアントも同時にインストールされるようになります。

従来はTeamsアプリはWeb版のTeamsからインストールをしていたので、今後Proplusを導入するユーザに対して処理が煩雑にならずに済みますね。

※アップデートのタイミングについてはTeamsだけ2週間ごとの更新となるため、他のアプリとは異なるようです。

ただ、企業によってはまだTeamsの展開が進んでいない場合もあると思います。

「Office 展開ツール」をカスタマイズすることで、一旦クライアントは除外した状態でProplusをインストールすることが可能です。

configuration.xml ファイルで、ExcludeApp 要素「 <ExcludeApp ID=”Teams” />」の一行を追記します。

イントールされた後で削除したい場合には、コントロールパネル-プログラムと機能から削除可能です。

詳細は以下のマイクロソフトのサイトをご参照ください

 

 

 

 

 

Office 365 のアドオン利用時の注意ポイント

Office 365には多くのベンダーからアドオンサービスが提供されています。

シングルサインオンやパスワードポリシー強化の実装のためにアドオンを利用される場合もあるでしょう。

ですが、認証系のアドオンを社内のActive Directoryと連携せずに利用する場合には注意が必要です。

そのままアドオンサービスの利用をつづけるならばよいのですが、他サービスへ切り替える場合には「immutable Id」の値を更新してあげる必要があります。

Active Directoryとの連携をせず認証系のアドオンのみ利用していると「immutable Id」の値はベンダーの認証サービスによって独自の値がセットされます。解約予定のアドオンサービスとご利用のOffice 365テナントのフェデレーションをはずすだけでは「immutable Id」の値は元に戻りませんので注意しましょう。

そのまま他のアドオン認証サービスと新たにフェデレーションを構成しても、すでに存在するユーザーは認識されずエラーとなったり、同一アカウントをもつ別ユーザーが作成されてしまいます。

※このあたりのユーザーのマッチングについてのお話しは以下のマイクロソフトのサイトが参考になります。

「Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法について」

そのため、旧アドオンとのフェデレーションを外した後で、新たなアドオンの「immutable Id」に合わせてあげる必要があります。

現在の「immutable Id」を確認するのは以下のPowershell コマンドレットを利用します。

Get-MsolUser -UserPrincipalName “対象ユーザーの UPN” | fl

新たな「Immutable Id」に値をセットするにはこちらのコマンドレットになります。

Set-MsolUser -UserPrincipalName 対象ユーザのUPN -ImmutableId 更新したいimmutableID

新たなベンダーの利用している「Immutable Id」については、切り替えを始める前に事前に確認をしておきましょう。また、検証環境でいったん試してみることをお勧めいたします。

Teams のネットワーク要件

Skype for Businessでもそうだったように、Teamsも利用はじめる前に貴になるが帯域幅の問題です。

推奨とされる帯域幅の情報は以下のマイクロソフトのページをご参照ください。

帯域幅の計画

  • ツールのダウンロード

自社の環境がこの既定値にそっているかを確認するためにNetwork Assessment Toolが利用できます。まずはこのツールをダウンロードしましょう。

ダウンロードし解凍後、作業用のフォルダを作成し、そのフォルダへコピーしてから実行しましょう。

  • 検証期間

ネットワーク状況を確認するためには、取得するデータを日中、および夜間などいくつかのパターンで複数日実行するほうがより正確な状況把握が可能となります。夜間に取得したデータでも推奨値を下回る場合にはNWの増強など検討が必要となるでしょう。検証結果が必要な日からさかのぼりツール実行日数を確保してください。

・実行について

解凍したファイル類のなかに「NetworkAssessmentTool.exe.config」が含まれています。実行回数や結果のファイル出力先など必要に応じてカスタマイズが可能です。

実行するには「NetworkAssessmentTool.exe」を管理者権限で実行します。

・結果

ツールを実行すると「performance_results.tsv」というファイルが作成されます。(上記Configファイルを編集しなかった場合は既定でC:\users\ユーザー名\appdata\Local\microsoft skype for Business Network AssessmentToolに作成されます)

結果のなかから「パケットロス」「パケットジッター」「パケットリオーダー」の値を確認し、上記のマイクロソフト推奨値と比較してみましょう。ひとつの目安になります。

 

 

 

 

 

 

 

 

 

 

 

 

 

Skype for Business から TeamsへのUpgrade(追記)

2019年も本Blogをよろしくお願いいたします。
年があけ、Teamsへの移行も加速されているようです。
昨年にも本ブログにてTeamsへの移行についてご紹介しましたが、今回はその追加情報となります。

自動アップグレードの通知が来たというユーザー企業からよく問い合わせを受けるのが、「他企業からきたSkype for Businessの会議招待にはどう参加すればよいのか?」ということです。以下がその回答です。

・自動アップグレード後でもSkype for Businessの会議に参加できます。

自動アップグレードの前に会議予約されたSkype会議はTeams会議に自動変換されることはありませんので、従来通りSkype会議として実施するということですね。Skype for businessのクライアントは自動アップグレードの際に自動アンインストールされることはありません。よって、従来通りSkype会議が実施可能です。

また、やはりTeamsへのアップグレードに猶予が欲しいという場合、サービスリクエストから「延期申請」の旨を連絡するという方法以外に、Microsoft Teams & Skype for Business管理センターから延期申請ボタンをクリックするという方法も利用できます。

テナントの全体管理者に「アップグレード」に関する通知が届いている場合は、Microsoft Teams & Skype for Business管理センターのダッシュボード上に「Postpone Upgare(アップグレード延期)」ボタンが表示されます。

※アップグレード通知メールが送信されているのもかかわらず、ダッシュボードに上記ボタンが表示されない場合はサービスリクエストへ延期申請いただく方が確実です。

※上記ボタンでの延期申請は1度限りのようです。2回目以降の延期申請についてはサービスリクエスト経由となります。

※マイクロソフトによる延期処理には48時間程度かかるそうです。余裕を持った申請が必要ですね。

また追加情報がありしだいご紹介したいと思います。

 

Office 365 サインイン履歴

この投稿はOffice 365 Advent Calendar 2018に参加しています

気が付けばもう師走・・ということで、2018年にお客様によく聞かれてOK「へー」と思ったことを投稿しておこうと思います。

管理者が自社のユーザーのサインイン(ログイン)の履歴を取得したいというのはよく聞くのですが、今年は「ユーザー自身がそれを取得するにはどうしたらよいか?」というものでした。

方法はいくつかあって、予算と管理者にPower BI(PowerAppsなど)を扱える(学習する余力がある?)のであれば、Azure AD P1のライセンスを購入し管理者が取得した履歴情報をPower BI(Power Apps)で配布というやり方が想像できます。

ですが、今は師走。時間もお金もない!という方に(期間限定?)の朗報があります。

パブリックプレビューなのですがMy Sign-Ins という機能が利用できます。

ブラウザでURLにアクセスしOffice 365 アカウントでサインインするだけ。もちろんユーザー権限で利用できます。

アクセス日時の他、詳細画面ではOSやブラウザ、アクセスしたサービスやアクセス場所の情報も記載されています。

 

 

 

 

現在は無料で利用できます。

※もしかするとパブリックプレビューが終了した段階でAzure AD P1のライセンスが必要になるのかも・・・?(状況が変わることがあればまたこのBlogでお知らせします)

非常に便利だと思います。ぜひご確認ください。

Microsoft Teams の機能追加要望

Microsoft Teamsはまだまだこれから盛り上がると思われるソリューションのひとつです。
Microsoftは、ユーザーの声を反映すべく追加機能要望のWebサイトを用意しています。

英語が書けなくても大丈夫です。
もうすでに要望(リクエスト)があがっており、共感できるものがあれば投票ボタンをポチッとすればOKです。

私は「チャットの既読機能」(LINEではおなじみですね)に投票していたのですが、先日以下のようなメールが届きました。

リクエストが採用されたという連絡です。
Microsoft Teamsにチャットの既読機能が追加されるべく開発作業にはいったということですね。

ちなみに、連絡がきたときの投票数(要望数)は1,332件でした。
一概に投票数の多い順というわけではないみたいですが、多ければ検討にははいってくれるはず。

投票は以下のサイトで行えます。ぜひ活用してよりMicrosoft Teamsを便利に使っていきましょう。

Microsoft Teams FeedBack by uservoice