Office 365 メールに関する仕様変更にご注意ください

お知らせです。
以前からアナウンスがありましたが、Office 365 では TLSの脆弱性対策でTLS1.0 / 1.1 を無効化しTLS1.2での接続に統一されます。
2018年3月1日を予定しているそうです。

クライアント版(PCへインストールする)OutlookをWindows 7、Windows 8でご利用の場合、TLS1.2で接続できるようにレジストリの編集が必要になります。
Windows 8.1 やWindows 10 の場合は元々TLS1.2を利用するように設定されているので何の作業も必要ありません。

以下のOutlookサポートチームBlog に情報が掲載されています。
「Outlook 2016/2013/2010 から Exchange Online に接続する際に TLS 1.2 が利用されるようにする方法」

ブラウザからのメール利用は従来とかわりありません。
日数の猶予がありませんので、ご対応の検討をおすすめいたします。

※あくまで現時点(2018.01中旬)での情報です。
なにか変更情報が入手できた場合はまた更新いたします。

Skype for Business のセキュリティ対策

この投稿はOffice 365 Advent Calendar 2017 に参加しています。

さて、前回投稿からだいぶ間が空いてしまいました。気が付けば年末。今回は今年よくお客様と話す機会の多かった話題を。

Microsoft Teams との統合など話題の多い Skype for Business ですが、 Skype for Business を利用する際にどのようなセキュリティ対策ができるかをお話しする機会が増えてきました。

例えば、IM(チャット)では非常に多くの種類のファイルを送ることができます。他ベンダーのIMでは送付できるファイルの種類など限られてしまうことが多く、個人的にはとても便利に利用している機能なのですが…。

企業で利用する場合にはリスクが高いと考えられますね。 ではどうするか?

お勧めとしては、送付機能そのものを制御するのではなく、送付するファイル自体に暗号化をかけていただくことです。

Azure Information Protection(AIP)という暗号化の仕組みがあります。

ただ、別途 AIP のライセンスが必要になることや送付先のお客様へ無料とはいえ、解読のためのツールをインストールしてもらうことでハードルが上がってしまう部分もあるようです。

では、Skype for Business のみで完結できるセキュリティ対策にはどのようなものがあるのでしょうか?

■通信先を特定

Skype for Business では通信先のドメインを許可・禁止設定をすることができます。これで外部との通信を防御できます。(管理者の作業負荷具合にもよりますが)会議が決まったら申請をして許可してもらうというルールにしてしまうのがよいかもしれません。

 

■ファイル転送の無効化

IMでのファイル送付を無効にすることができます。

【コンプライアンスのため、アーカイブされていない機能はオフにする】をチェック。

ファイル共有に関しては OneDrive for Business で統一するのもありですね。管理画面からログが容易にとれるので管理はしやすくなります。

 

以下のように添付が禁止されます。

 

■監査について

アーカイブされていれば Web からのオンライン会議参加でも IM の内容を取得することができます。また、会議で利用したコンテンツに関してもどのコンテンツか確認できるようです。

Skype for Business Online のアーカイブ

アーカイブするには Exchange Online が必要になります。

※セキュリティ・監査といういことを優先される運用ではぜひ単体プランでなくセットプランをご検討ください。

アーカイブ方法としては徐々に「セキュリティ管理センター」 -「検索と調査」 -「電子情報開示」から行うように移行されています。

 

ただし、検索実行には権限を付与する必要があります。

Office‍ 365 セキュリティ/コンプライアンス センターで電子情報開示のアクセス許可を割り当てる

このあたりの操作についてまた別途投稿しようと思います。たとえば以下のような検索結果を取得することができます。

 

何か事故が起きた際に管理者が状況を把握できることはとても大切です。
会社としてもポリシー含めぜひご検討ください。

 

Azure AD Domain Services Azure Resource Manager 利用の状況

先日の de:code 2017 でご紹介した 「Azure Active Directory Domain Services)」。PaaS としてAzureにドメインコントローラーを実装しKerberos認証が利用できるサービスです。

 

 

Azure AD  Domain Services (以下、AADDS) が、Azure Resource Manager(Azure New ポータル)(以下、ARM)でプレビューとなりました。以下のようにARM画面で表示されます。

 

 

 

 

 

 

これまではクラシックポータルのみで作成可能。作成したAADDSにドメイン参加するマシンもクラシックポータルで作成されたものに限られていました。よって、ARMで作成されたマシンをAADDSのドメインへ参加させるにはvNet ピアリングを利用するなどの工夫が必要でした。

ようやくARMでAADDSが作成できるようになりましたが、やはり一筋縄ではいかない「プレビュー版」。残念ながら現時点(2017.07.中旬時点)では動作が不完全のようです。

そもそも、上記画面から作成したAADDSをARM画面上で確認することができません。

 

 

 

 

詳細リンクを確認してみると、「ARMではまだ対応できてないからクラシックポータルでみてね」と記載されています。

※作成して15分経過後にクラシックポータルをみましたが作成された情報は確認できませんでした。(本当に作成されたんだろうか・・・)

また、ネットワークについてもまだARM対応ができていないとのこと。これが一番肝なのですが。残念。

詳細はこちらをご参照ください。

「New Public Preview: Azure AD Domain Services admin UX in the new Azure Portal」

つまり、今回は「予告編」といった印象ですね。また更新情報あれば掲載したいと思います。

 

 

 

シチュエーション別 Active Directory デザインパターン

先月行われた Microsoft de:code 2017 の登壇資料と動画が公開されました。

こちらになります。

今回は認証基盤をAzure ADで一本化するとどんなメリットがあるのか?ということを主体にお話ししています。

登壇の後、この構成を検討しているという企業の方からご相談もいただきました。その企業では社内 (オンプレ) にはファイルサーバーと Active Directory 環境のみだそうです。また Office 365 などの SaaS をご利用されているとのこと。

徐々にこういう構成を検討される企業は増えているようですね。

 

 

 

 

 

de:code 2017 に登壇します

お知らせです。

2017年5月23-24日に開催されるMicrosoft 大型イベントであるde:code 2017 にSecurity トラックにて登壇させていただきます。

de:code 2017

私は以下の登壇をいたします。

SC02「シチュエーション別 Active Directory デザイン パターン」

Active Directory を中心としたアイデンティティ プロバイダはオンプレミスからハイブリッドやクラウドまで様々な構成が実現され飛躍的な進化を遂げています。
多様化する選択肢のなかからどれを選択しどのように設計すべきなのか?
Windows Server 2016 の認証新機能から Azure AD、Azure Active Directory Domain Services まで、それぞれの特徴を理解し企業にとっての Best Practice を見極めましょう!

Securityトラックは16セッション用意されており、個性豊かな面々が非常に濃いお話しをいたします。
お申込みは今週末で締め切りのようです。
検討中のかたはお早めに…

開発者向け、インフラエンジニア向けのおすすめセッション情報はこちら

de:code 2017 の歩き方公開!「開発者編」&「インフラエンジニア編」

資料は後日公開されるようです。
参加されていないかたもPDFで参照できるはずですので、アップされましたらまたお知らせいたします。

Office 365 システム要件が変更されます

2020年は東京オリンピック開催の年なのですが、ITの世界でも色々なことが起こるようです。
Microsoftの製品では、以下の製品が延長サポート期限が終了になります。

Windows Server 2008 / 2008 R2

Windows 7

Microsoft Office 2010

これらの製品の組み合わせって多いですよね。お客様先でもWindows 7をよく見かけます。ADもWindows Server 2008 R2で動いてたりして。
そして、先日こんな発表がありました。

Office 365 のシステム要件が変わります。

2020年10月13日までの Office 365 システム要件

Office 365 は、最新のブラウザーと最新バージョンの Office (Office 365 ProPlus およびメインストリームサポートフェーズの Office) で動作します
延長サポートフェーズの Office からも接続はできますが、パフォーマンスは徐々に低下します

2020年10月13日移行のOffice 365 システム要件

Office 365 は Office 365 ProPlus およびメインストリームサポートフェーズの Office からのみ接続できます (推奨は Office 365 ProPlus)
延長サポートフェーズの Office からの接続はできません

システム要件変更には以下のような要因があったようです。

  • 従来のように多くのバージョンが混在することでOffice 365の最新機能を利用する際にクラウド連携部分などでトラブルが起こるケースがふえていること
  •  延長サポートフェーズのOffice クライアントでも接続は可能だったが、徐々にパフォーマンスが低下する仕様であることから管理者の負荷が高くなること(この仕様は気づきませんでした)
  •  セキュリティ対応が遅れる可能性が高いこと
  •  延長サポートフェーズのOffice クライアントのプロトコルは古いためクラウドサービスの機能制限がでてしまうこと(ADAL使えないですもんね)

<参照>
Office 365 Blog

2020年だからまだまだ先…と思っていませんか?
Windows 7 やWindows Server 2008 / R2をご利用の場合はそちらの移行対応もありますよ

スムーズな移行を行うために移行計画を早めに立てましょう

Office 365 で予約管理- Stuff Hub と Microsoft Bookings

Stuff HubとMicrosoft Bookingsは、順次テナントに配信されておりますが「先行リリース」をオンにしておくと、配信が早くなります。(Stuff  Hub はまだパブリックプレビューのようです)

さて、これら2つのサービスですが、どちらも「予定、スケジュール」を管理することができます。
それぞれの特徴を比べてみたいと思います。

利用できるプラン

Stuff Hub:Office 365 K1、Enterprise E1/E3/E5
Microsoft Bookings:Office 365 Business Premium

利用方法

Stuff Hub

Stuff Hub:現在は以下のURLから利用します。Teams もそうだったように、じきにメニュー画面に登場すると思います。
https://staffhub.ms/

Office 365アカウントでサインインを行います(事前にライセンスは割り振っておいてください)
「チーム」、「スケジュール」、「ファイル」の3つのタブが確認できます。

チーム

ここからスケジュール(シフト)管理するメンバーを招待していきます。利用ユーザーも前述のライセンスが必要になります。

ファイル

ここではチームメンバーとのファイル共有が可能です。マニュアルなど共有しておけますね。

スケジュール

スタッフメンバーのシフト管理が可能です。
公開されたスケジュールはモバイルアプリからも確認できます。メンバー同士でシフトの確認、交換なども可能です。

Stuff Hubについては、利用者全員にライセンスが必要なことから、文字通りスタッフ間でのスケジュール管理という位置づけになります。

Microsoft Bookings

こちらはOffice 365 メニューから起動することができます。

最初にセッティング画面が表示され、次へ進むとメイン画面が表示されます。

Microsoft Bookingsは、「病院や美容院など店舗(施設)の担当者に対して予約を取る」という考え方です。
なので、予約をとる顧客側は不特定多数であり、Office 365 ライセンスは必要ありません。

予約操作

顧客はWeb、あるいはモバイルデバイスから公開されたWebページを利用して担当者に対して予約を入れます。


予約をすると入力したメールアドレスに確認メールや予約日近くにリマインダも送信されます。
そのメールからスケジュール変更やキャンセル画面へのリンクボタンがついてきます。

 

すでに予約された日時は選択画面に表示されなくなるのでダブルブッキングを防げぐことができます。

※ Microsoft Bookingsは、「担当者に対する予約」という考え方なので、「20人まで受け付け可能」という人数による制御は現時点では不可能です。(担当者を20人分登録しておく・・というやり方ならば可能ですが)

管理画面

管理画面からは、予約時間間隔(30分、15分など)や担当者の登録、FaceBookやTwitterと連携し、予約ボタンを表示させるなどの設定が可能です。また、予約不可能時間や担当者の休暇なども設定できます。

顧客同士はだれがどの時間を予約しているかは確認できないので、プライバシーも保たれます。

 
どちらもUIからの簡単な操作ですぐに利用できます。
試用版からもご利用できますので、ぜひお試しください。

Office 365とAzure Information Protectionでメール自動暗号化

最近、Office 365をご利用のお客様がAzure Information Protection(以下、AIP)をご契約されることが増えてきています。
あるOffice 365をご契約のお客様がAIPをご検討されており、以下のようなご質問をいただいました。

「社員に社外へメールを送るときには暗号化をするように言ってもきっと忘れちゃうんだよね‥。メール送るときに自動で暗号化させたいんだけど」

自動暗号化というキーワードでAIPの機能を見ていると実装不可能?と思いがちなのですが、今回のようにOffice 365(Exchange Online)をご利用いただいていれば実現可能なんです。

事前準備

必要なライセンス:Exchange Online およびAIP P1

最初に行う設定:AIPの有効化のため以下のPowerShellを実行します。

Set-ExecutionPolicy RemoteSigned
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session
Set-IRMConfiguration -RMSOnlineKeySharingLocation “https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc”
Import-RMSTrustedPublishingDomain -RMSOnline -Name “RMS Online”
※アジア以外の地域の場合や詳細は以下のURLをご参照ください。
※PowerShellが反映されるまでにタイムラグが(けっこう)必要な場合もあります

Exchange 管理センターからルールを設定

[メールフロー]-[ルールの新規作成]で新しいルールを作成します。「メッセージのセキュリティを変更する」からメッセージの暗号化を選択できます。

また、どのようなときに暗号化するかという設定も状況に応じて選択できます。

管理者が設定さえしておけば、社員は無意識に暗号化されたメールを送信することができます。
送信先のメールアドレスはとくに選ぶことがないので、安心ですね。

送信者の対応

では送信者にはどのように届くかというと、暗号化されているというメッセージとともにHTMLファイルが添付されたメールが届きます。

HTMLファイルをクリックすると、マイクロソフトアカウントでサインインする画面が表示されます。もしマイクロソフトアカウントがなく、作成したくない場合にはワンタイムパスコードでの利用も可能です。


これなら送信された側もユーザーも大きな負担はかかりませんね。
Office 365 同様、AIPも試用版の利用が可能ですので、ぜひお試しください。

Azure Information Protection Client の新バージョン

先日、新バージョン(Ver 1.3.155.2) がリリースされました。
https://docs.microsoft.com/en-us/information-protection/rms-client/client-version-release-history#version-131552

いつものようにMicrosoft Download Centerよりダウンロード可能です。
※こちらをインストールするには.NET Framework 4.5.2 以上が事前にインストールされている必要がありますのでご注意下さい。

エクスプローラーから右クリックで暗号化できたりとか、ラベルを使用した場合のログを残せたりとか。UIも若干変わりましたね。
利用イメージです。

暗号化したいファイルをエクスプローラーから右クリック。

編集画面がひらきます。

適用ボタンをクリックすると完了です。

また、Sharepoint Online サイト上から暗号化されたPDFをAIPビューアーでそのまま閲覧することもできます。
Sharepointサイト上の暗号化されたPDFファイルを [保存] -[ファイルを開く]をクリックします。

AIPビューアーが起動します。

それ以外では、PowerShellにてローカルやネットワーク共有されたファイルを暗号化するモジュールをRMSProtectionモジュールとして提供されたりとかですね。

ドキュメントの暗号化としてAIPの認知度が広まってきていますね。ぜひお試しください。

 

RMS暗号化ファイルのオフラインでの利用

最近お客様より以下の様なご質問をいただくことがありました。

「RMSで暗号化されたファイルを解読するのは常にオンラインである必要があるか?」
ということです。

通常、相手が解読できる相手かどうか認証するためにオンラインである必要がありますが、テンプレートを利用すると指定した日数についてはオフラインでの解読が可能となります。
指定された日数の間は資格情報がキャッシュされた状態が保たれるわけですね。

以下、手順です。
事前にOffice 365管理画面で、Rights Managementを有効化しておきましょう。
※Office 365 管理画面でのActive化とともにPowerShellの実行が必要です。

設定ーアプリーMicrosoft Azure Information Protection ーMicrosoft Azure Information Protection の設定の管理から行います。
Azure クラシックポータルにて該当ディレクトリを選択し、[RIGHTS MANAGEMENT] を選択します。

[管理]ー[新しい権利ポリシーテンプレートを作成する]にてテンプレートを作成します。

[権利テンプレートの管理] より作成したテンプレートを選択し、[ユーザーおよびグループの権限の構成]にて[作業の開始]をクリックします。

[構成]タブをクリックし、[オフライン] – [インターネットに接続せずにコンテンツを利用できる日数]をチェックし、日数を入力します。

[状態]から[発行] をクリックし、[保存]をクリックします。

[権限]タブよりユーザーに該当する権限を付与します。今回はすべての権限(共同所有者の権限を付与しました)

[スコープ]タブより該当するユーザーを追加します。
有効化・反映されるまで数分~数時間かかることもありますので気長にまちましょう。メールを作成する際に作ったテンプレートを指定します。

 

テンプレートを利用したカスタマイズ、ぜひお試しください。