Microsoft Intune 入門編③ ~Microsoft IntuneへのWindows PC登録 ~(Windows 10)

2016年8月2日より、Windows 10 Anniversary Update が提供予定だそうです。

ということで、今回は Windows 10 の Microsoft Intune へのデバイス登録を確認してみましょう。(Windows 10 Insider Program OS Version 1607 ,OS ビルド14393.5 を利用しています)

Windows 10 には [Azure AD へ参加] をクリックすることで、PC を Azure AD へ登録することができます。手順は非常に簡潔です。

①Windows 10 スタートメニューから [設定] -[システム] – [バージョン情報] から [Azure AD へ参加] あるいは、 [設定] – [アカウント] – [職場または学校へのアクセス] – [接続] – [Azure AD へ参加] をクリックします。

②サインイン情報を入力します。

signin

③[これがあなたの組織ネットワークであることを確認してください] で、[参加する] をクリック。

check

④[これで完了です] で[完了] をクリックします。

end

⑤ Azure ポータル(Azure AD )を確認すると、サインインしたユーザーのデバイス情報としてWindows 10 が登録されていることが確認できます。

azuread

⑥Microsoft  Intune 管理画面にも登録されていることが確認できます。※一覧に表示されるのに数時間かかる場合があります。

ichiranall

Windows 10 の登録手順は非常に簡単です。でも結果をすぐに確認する必要がある場合は、前回投稿した旧バージョンのWindows PCの登録方法も利用可能ですので、状況に応じて使い分けてください。

 

 

 

 

 

 

 

 

 

 

 

Microsoft Intune 入門編② ~Microsoft IntuneへのWindows PC登録 ~(Windows 7 / 8/8.1)

前回に引き続き今回はMicrosoft Intuneへのデバイス(Windows 7 / 8 / 8.1) の登録方法を確認します。

方法としては、[管理者が登録する]方法と、[PC利用ユーザーが自分で登録する]方法 のどちらかを選択することができます。

 [管理者が登録する]

  1. Microsoft Intune 管理コンソールで、[管理者] > [クライアント ソフトウェアのダウンロード] をクリックします。

client

 

2.[クライアント ソフトウェアのダウンロード] ページで、[クライアント ソフトウェアのダウンロード] をクリックし、ソフトウェアを含む Microsoft_Intune_Setup.zip パッケージをコンピューター上へ保存し、展開します。Microsoft_Intue_Setup.exe をダブルクリックし、セットアップウィザードの指示に従ってインストールを実行します。

3.Microsoft Intune 管理コンソールから左ペイン [グループ] – [すべてのコンピューター] – [デバイス] の一覧にインストールを実行したコンピューター名が表示されていることが確認できます。(数分時間がかかる場合があります)

ichiran

このままでは、だれがこのデバイスの利用者か判断ができません。

よって一覧から該当するPCを選択し、[ユーザーの関連付け] をクリックし該当するユーザーを選択します。

これで登録が完了しました。

[PC利用ユーザーが自分で登録する]

1.登録するユーザーアカウントでポータルサイト(https://portal.manage.microsoft.com)にアクセスします。

2.ポータルサイトで、[別のデバイスを選択するにはここをタップしてください]をクリックします。

apli

3.[このデバイスの登録または特定] 画面で [登録] をクリックします。

complite

この方法は、ポータルサイトにログインした時点で、すでにそのPC利用者が識別できているので、登録作業はこれで完了となります。

社内ユーザーの状況に応じて、いずれかの手段でデバイスの登録を行って下さい。

Windows 10 の場合はまたほかの登録手法がありますので、次回はそちらをご紹介します。

 

 

 

 

Microsoft Intune 入門編① ~Microsoft Intuneへのユーザー登録~

Office 365 とともに MDM / MAM といった観点から、Microsoft Intune のトレーニングを実施する機会が増えているのですが、まず最初に戸惑うポイントは「どうやってユーザーを登録するか?」という部分のようです。

今回は、まずユーザー登録の手順を確認してみます※あくまで2016.07現在の仕様であることをご承知おきください。

1.管理ポータルへサインイン

Microsoft Intune管理ポータルへ管理者権限でサインインします。左ペインから [グループ] を選択し右サイド  [タスク] – [ユーザーの追加] をクリックします。

adduser

[ユーザーの追加] をクリックすると、Office 365管理センター画面へ遷移します。

※以前はユーザー登録用のアカウントポータル画面が別途用意されていましたが、現在はOffice 365管理センターによるユーザー管理に統合されています。Office 365 とともに利用されることが多いと思いますが、Microsoft Intune のみのサブスクリプションでもOffice 365 管理ポータルからのユーザー登録機能はご利用いただけます。詳細は以下のサイトでご確認ください。

Japan Microsoft Intune & MDM for Office 365 Support Team Blog

 2.ライセンス割り当て

Office 365 管理センター ユーザー管理メニューから、該当するユーザーを選択し、ライセンス[Intune A Direct] を割り当てます。画像ではEMS(Enterprise Mobility Suite)内の [Intune] ライセンスを割り当てていますが、Intune単体のライセンスをご利用いただくことも可能です。(※いずれも無料試用版あり)

addlicense

 3.ユーザー登録の確認

Microsoft Intune 管理ポータルに戻り [グループ] – [すべてのユーザー] をクリックします。一覧にはまだユーザーが表示されていません。その場合、いったんグループを作成し、手動でユーザーを追加することができます。

nouser1

4.グループの作成

Microsoft Intune 管理ポータルで、[ダッシュボード] – [グループの作成] をクリックします。

グループ作成画面で、[全般] 画面で、任意のグループ名を入力します。次に [ダイレクトメンバーシップ] 画面で、[参照] ボタンをクリックします。下部にある[ユーザーを手動で追加する] リンクをクリックし、[未登録デバイスをもつユーザーを追加する] 画面で登録するユーザーをクリックします。

updusers1

[OK] -[完了] をクリックし、グループの作成を完了します。Microsoft Intune 管理ポータルに戻り [グループ] – [すべてのユーザー] をクリックします。一覧にユーザーが表示されていることが確認できます。

userlist

次回以降でご紹介しますが、ポリシーを割り当てる際に部署ごとなど、グループ単位で行うことも多いと思います。まずはこの手順を把握しておきたいですね。

 

 

 

 

 

 

Azure RMS と Office 365 RMS の相違点

先日、お客様から標題の件についてご質問を受けました。そのお客様は Office 365 Business PremiumとEMSをご契約されたばかりの会社の方です。

営業担当の方から「Office 365 Business Premium なので、Office 365 のRMSは利用できません」と言われて、EMS(Enterprise Mobility Suite) を契約しても使えないのか?と疑問に思われたようです。

結論からいうと、Office 365 で利用するRMSはEnterPrise 3以上とEducation、およびオプションでのご契約となります。今回のお客様はBusiness Premiumをご契約なので、Office 365に付随するRMSは利用できません。

ですが、EMSの契約をされているので、こちらのAzure RMSをご利用いただけます。ただし、この場合は、RMS 共有アプリ(RMS Sharingツール)をダウンロードしてインストール後にご利用いただく必要があります。

ダウンロード先:RMS共有アプリ

このツールを利用して暗号化かけたものをメールに添付したり、Onedrive for Businessにアップロードして利用することができます。

RMSSharingdump

もし、Office 365のRMSを利用するにしても、Exchange OnlineではPowershellを利用する必要があります。利用するユーザーからしてみたら、GUIのみで管理可能なRMS共有ツールの方が敷居は低いかもしれませんね。

参考URL

Azure RMS の要件: Azure RMS をサポートするクラウド サブスクリプション

 

 

 

 

 

 

 

Microsoft MVP 継続受賞のご報告

MVP今回はご報告です。

このたび、Microsoft MVP for Office Servers and Services を継続受賞させていただきました。

Office 365を中心に周辺技術・サービスの情報発信にますます精進いたします。

今後ともよろしくお願いいたします。

 

Microsoft MVP

 

保護されたドキュメントの追跡

こちらの記事は2016年6月25日に登壇する「Interact×Cloud Samurai 2016 Summer」でご紹介したデモについての設定手順のご紹介です。

この記事ではMicrosoft Rights Managementを利用した、暗号化されたドキュメントをだれたどこで使用したかを追跡する機能についてご紹介します。

登壇時の資料は登壇終了後に以下へアップしておきますので、ご覧ください。

SlideShare

http://www.slideshare.net/marimiyakawa355

<前提条件>

こちらはEMSのライセンスが必要です。(無料試用版あり)

では、設定手順を確認しましょう。

手順①
RMS Sharing のインストール
RMS Sharing ツールは、Microsoft の Web サイトから提供されるツールです。
以下のサイトからダウンロード可能です。
Microsoft Rights Management sharing application for Windows

ダウンロードしたSetup.exe をダブルクリックし、ウィザードに従ってインストールを完了します。

手順②
RMS Sharing ツールのインストールが完了すると、Outlookに[保護ファイルの共有] メニューが追加されます。

[保護ファイルの共有]をクリックすると、[保護の追加] 画面が表示されます。
設定すべきユーザーに対し「レビュー担当者」などの権限を割り当て、メールを送信します。

trac1

送られたユーザーがドキュメントを開くと保護されたドキュメントであることが確認できます。

trac2

手順③
前の手順で権限設定されたドキュメントを右クリックし、[RMSによる保護 – [使用の追跡] をクリックします。trac3

 

 

 

 

 

[Microsoft Right Management] 画面で、全体管理者のユーザー名とパスワードを入力し、[サインイン] をクリックします。

trac7

[共有ドキュメント] 画面で、保護をかけたドキュメントが一覧にあることを確認できます。(数時間かかることもあります)
ドキュメントのリンクをクリックします。

trac4

[リスト] タブをクリックするとドキュメントにアクセスしたユーザーが確認できます。

trac5

[マップ]タブをクリックすると、ドキュメントにアクセスした場所が表示されます。

trac6

 

 

Advanced Security Management

こちらの記事は2016年6月25日に登壇する「Interact×Cloud Samurai 2016 Summer」でご紹介したデモについての設定手順のご紹介です。

Advanced Security Management はリスクの高い、あるいは異常な利用状況を洗い出すための脅威検出機能以外にも、「シャドーIT」の検出や可視化に向けた様々な機能が含まれています。

まだ、すべての機能が利用可能とはなっておらず、ダッシュボードなどは2016年第3四半期の公開予定となります。楽しみですね。

登壇時の資料は登壇終了後に以下へアップしておきますので、ご覧ください。

SlideShare

http://www.slideshare.net/marimiyakawa355

では、設定手順を確認しましょう。

手順①
Office 365  管理センターから Security & Compliance 画面へ移動し、[アラート] - [高度な通知の管理]をクリックします。

AdvancedSecurity1

手順②
ポリシーを作成します。[ポリシー]画面で、[ポリシーの作成] – [異常検出ポリシー] をクリックします。

AdvancedSecurity2

[異常検出ポリシーの作成]画面で、今回は[ポリシーテンプレート]リストから[一般的な異常検出]を選択します。すると、テンプレートて定義されている内容が設定画面に適用されます。

AdvancedSecurity4

アラートエリアで電子メールアドレスを指定します。

AdvancedSecurity5

アラート画面で、新しい場所が表示されることを確認します。以上で設定は完了です。

AdvancedSecurity6

 

Advanced Threat Protection

こちらの記事は2016年6月25日に登壇する「Interact×Cloud Samurai 2016 Summer」でご紹介したデモについての設定手順のご紹介です。

Exchange Online Advanced Threat Protection は一言でいうと、悪意のある攻撃(不正な添付ファイルや怪しいリンク)からユーザーを守るための手段です。

登壇時の資料は登壇終了後に以下へアップしておきますので、ご覧ください。

SlideShare

http://www.slideshare.net/marimiyakawa355

では、設定手順を確認しましょう。

<前提条件>
この機能はOffice 365 E5で標準搭載、他のエディションではオプションで購入が必要です。
Office 365 E5 も無料試用版が用意されています。

手順①
Exchange 管理センターから[高度な脅威]を選択します。「高度な通知の管理」画面に遷移されます。

ATP1

手順②

上部メニューより[安全な添付ファイル]をクリックし[+]マークをクリックします。

ATP2

手順③
ポリシー設定メニューより「ポリシー名」、「安全な添付ファイルに不明なマルウェアが検出された場合の対応」、「適応先」を設定し保存ボタンをクリックします。

ATP3

今回の例だと、「miyamoto musashiさんにマルウェアが添付されたEmailが届いたら添付をブロックし、メールの届ける」という結果になります。

いくつかの設定のみでご利用になれますので、ぜひお試しください。

 

 

 

 

 

 

 

 

Azure RMS Premium & FCI

今回の投稿は2016年6月25日にMicrosoft にて行われる「Interact x Cloud Samurai 2016 Summer」の登壇でお話しする内容の手順になります。

Azure RMS Premium と FCI(ファイル分類インフラストラクチャ )を利用して「オンプレミスファイルサーバーに設定した共有フォルダにファイルを格納すると自動暗号化する」という仕組みを設定することができます。

では、設定手順を確認してみましょう。

※現在手順が変更されたようです。2017年3月現在では以下のサイトの手順を参考にしてください。

Windows Server ファイル分類インフラストラクチャ (FCI) での RMS の保護

[前提条件]

この作業には、事前にディレクトリ同期が必要となります。本手順ではすでにその操作が完了しているものとしてご紹介します。

手順①

RMS コネクタをインストールします。「https://www.microsoft.com/en-us/download/details.aspx?id=40839」を入力し Microsoft Download Center へアクセスします。[Microsoft Rights Management connector] 画面で、リストから [Japanese] を選択し、[Download] をクリックし、ファイルをダウンロードします。

手順②

ダウンロードしたRMSコネクタをウィザード形式でインストールします。(途中、資格情報同意などあり)

RMSコネクタ

Microsoft RMS 管理者資格情報 画面で、全体管理者アカウントである ユーザー名とパスワードを入力します。

rms2

次へをクリックして進めていくとインストール完了画面が表示されます。

rms3

手順③

Microsoft Right Management コネクタ管理ツール 画面で、[追加] をクリックします。

rms4

サーバーでコネクタの利用を許可する] 画面で、[ロール] リストから [コネクタインストールサーバー] を選択し、アカウントまたはグループ欄で [参照] をクリックします。

rms4

[サーバーでコネクタの利用を許可する] 画面で、[ロール] リストから [FCI Server] を選択し、アカウントまたはグループ欄で [参照] をクリックしAdministratorsを選択します。

コネクタ用サーバー設定

[コネクタの利用が許可されたサーバー] 画面で選択したサーバーが登録されたことを確認します。

確認画面

手順④

コネクタのインストーラーと同時にダウンロードした [GenConnectorConfig.ps1]を右クリックし、[Power Shell の実行]をクリックします。セキュリティの警告画面が表示されたら「開く」をクリック。

Windows Powershell 画面で、Connector URL に[http://該当するFQDN–SetFCI2012] を入力し、Enter キーを押します。

手順⑤

レジストリを確認します。

[レジストリ エディター] 画面で、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDRM\ServiceLocation\EnterprisePublishing] を展開し、値が設定されていることを確認します。

rms10

※PowerShellがうまく動作しない場合、レジストリに以下の2つのレジストリを設定すればOKです。(操作はくれぐれも慎重に…)

Reg

手順⑥

ファイルサーバーでフォルダーを作成し、RMS 設定を行います。
ファイルサーバーへ適切なアクセス権を設定した共有フォルダを作成しておきます。
次にファイル サーバー リソース マネージャーの設定を行います。(事前にファイルサーバーリソースマネージャー機能を追加しておきます。)サーバーマネージャー画面で、[ツール] メニューから [ファイル サーバー リソース マネージャー] をクリックします。

rms11

[ファイル サーバー リソース マネージャー] 画面で、[分類管理] – [分類プロパティ] を右クリックし、[ローカル プロパティの作成] をクリックします。

rms12

[ローカル プロパティの作成] 画面で、名前欄に適宜名前を入力し、[OK] をクリックします。

rms13

 

 

 

 

 

 

 

[ファイルサーバー リソース マネージャー] 画面で、[分類管理] – [分類規則] を右クリックし、[分類規則の作成] をクリックします。

[分類規則の作成] 画面で、[全般] タブをクリックし、規則名に「RMSコネクタ使用ルール」と入力します。

rms14.gif

[分類規則の作成] 画面で、[スコープ] タブをクリックし、[次の種類のデータを格納するすべてのフォルダーを含めます] 欄で、[ユーザー ファイル] をチェックし、[追加] をクリックします。

rms15

前の手順で作成したフォルダーを選択し、[OK] をクリックします。

次に[分類] タブで、[分類方法] 欄で、[フォルダー分類子] を選択し、[OK] をクリックします。

rms16

[ファイル サーバー リソース マネージャー] 画面で、[分類管理] – [ファイル管理タスク] を右クリックし、[ファイル管理タスクの作成] をクリックします。同様の手順でタスク名、スコープを設定します。

[アクション] タブ画面で、種類で、[RMS 暗号化] を選択し、テンプレートを選択する欄で、カスタム テンプレート (例)[期間限定] を選択します。(※事前にAzure AD で権利テンプレートを作成しておきます。)

rms17

[スケジュール] タブ画面で、実行時期に [毎週] を選択し、適宜スケジュールを設定しOK をクリックします。

rms18

ここまでで設定手順は終了です。

あとは該当フォルダにファイルを格納すると、自動的にRMSポリシーが適用されます。

設定したタスクスケジュール通りに実行されますが、すぐに暗号化処理をかけたい場合は、ファイルサーバーリソースマネージャー] 画面で、前の手順で作成した [RMSコネクタ使用タスク] を右クリックし、[ファイル管理タスクを今すぐ実行する] をクリックします。

rms19

rms20

 フォルダに格納しただけでファイルが暗号化されたことが確認できます。

管理者が設定しておけば、ユーザーはフォルダに格納するだけで、暗号化が可能です。すべて試用版でご利用いただけますので、まずは試してみてください。!

Windows Server 2016 TP4 のActive Directory グループポリシー③

今回は、グループポリシーを利用したOffice アプリケーションの管理についてご紹介します。
まず、Office アプリケーションをグループポリシーで管理するには、管理用テンプレートが必要です。

Microsoft ダウンロードセンターからダウンロードできます。
Office 2016 Administrative Template files (ADMX/ADML) and Office Customization Tool
Microsoft Download Center
ダウンロードセンターで[ダウンロード] ボタンをクリックし、ダウンロードするファイル(64bit)を選択します。

ダウンロードされたファイルを展開し、[admx] フォルダを確認します。
Office 2016 に関する[admx ファイル]とja-jpフォルダ内の[adml ファイル]をコピーし、
ドメインコントローラーのテンプレート格納場所へ貼り付けます。
セントラルストアを形成していない場合は、既定では C:\Windows\PolicyDefinitionsですね。

Office 2016 テンプレートでは、19の項目が追加されています。
Office 2016 Template
グループポリシー管理エディタで注目ポイントを確認してみましょう。

●コンピューターの構成
 コンピューターの構成 – ポリシー – 管理用テンプレート – Microsoft Office 2016(マシン)- 更新
更新メニュー
 確認すると、Office 2016をクイック実行でインストールした場合の更新プログラム取得が制御できます。
 クイック実行でインストールした場合、既定だと更新プログラムは WAN 回線で自動配信となります。
 
 例えば、LAN 回線で社内から配信したい場合、従来までは Office Deployment Tool を使用して、XML形式で記述する必要がありました。
 GUIのグループポリシーで設定できるので、だいぶ楽になりそうです。
Update Path

●ユーザーの構成
 ユーザーの構成 – ポリシー – 管理用テンプレート – Microsoft Office 2016 – DLP
DLP
Office 2016では、「Exchange」「SharePoint」「Outlook」などで採用されているデータ損失防止(DLP)が実装されています。
グループポリシーで、アプリケーション起動時にDLPを適用させることができます。

ぜひご活用ください。