作者別: Mari Miyakawa

Microsoft 認定トレーナー (ITPro) です。 Office Servers and Services for Microsoft MVP (2015)を受賞いたしました。

de:code 2017 に登壇します

お知らせです。

2017年5月23-24日に開催されるMicrosoft 大型イベントであるde:code 2017 にSecurity トラックにて登壇させていただきます。

de:code 2017

私は以下の登壇をいたします。

SC02「シチュエーション別 Active Directory デザイン パターン」

Active Directory を中心としたアイデンティティ プロバイダはオンプレミスからハイブリッドやクラウドまで様々な構成が実現され飛躍的な進化を遂げています。
多様化する選択肢のなかからどれを選択しどのように設計すべきなのか?
Windows Server 2016 の認証新機能から Azure AD、Azure Active Directory Domain Services まで、それぞれの特徴を理解し企業にとっての Best Practice を見極めましょう!

Securityトラックは16セッション用意されており、個性豊かな面々が非常に濃いお話しをいたします。
お申込みは今週末で締め切りのようです。
検討中のかたはお早めに…

開発者向け、インフラエンジニア向けのおすすめセッション情報はこちら

de:code 2017 の歩き方公開!「開発者編」&「インフラエンジニア編」

資料は後日公開されるようです。
参加されていないかたもPDFで参照できるはずですので、アップされましたらまたお知らせいたします。

Office 365 システム要件が変更されます

2020年は東京オリンピック開催の年なのですが、ITの世界でも色々なことが起こるようです。
Microsoftの製品では、以下の製品が延長サポート期限が終了になります。

Windows Server 2008 / 2008 R2

Windows 7

Microsoft Office 2010

これらの製品の組み合わせって多いですよね。お客様先でもWindows 7をよく見かけます。ADもWindows Server 2008 R2で動いてたりして。
そして、先日こんな発表がありました。

Office 365 のシステム要件が変わります。

2020年10月13日までの Office 365 システム要件

Office 365 は、最新のブラウザーと最新バージョンの Office (Office 365 ProPlus およびメインストリームサポートフェーズの Office) で動作します
延長サポートフェーズの Office からも接続はできますが、パフォーマンスは徐々に低下します

2020年10月13日移行のOffice 365 システム要件

Office 365 は Office 365 ProPlus およびメインストリームサポートフェーズの Office からのみ接続できます (推奨は Office 365 ProPlus)
延長サポートフェーズの Office からの接続はできません

システム要件変更には以下のような要因があったようです。

  • 従来のように多くのバージョンが混在することでOffice 365の最新機能を利用する際にクラウド連携部分などでトラブルが起こるケースがふえていること
  •  延長サポートフェーズのOffice クライアントでも接続は可能だったが、徐々にパフォーマンスが低下する仕様であることから管理者の負荷が高くなること(この仕様は気づきませんでした)
  •  セキュリティ対応が遅れる可能性が高いこと
  •  延長サポートフェーズのOffice クライアントのプロトコルは古いためクラウドサービスの機能制限がでてしまうこと(ADAL使えないですもんね)

<参照>
Office 365 Blog

2020年だからまだまだ先…と思っていませんか?
Windows 7 やWindows Server 2008 / R2をご利用の場合はそちらの移行対応もありますよ

スムーズな移行を行うために移行計画を早めに立てましょう

Office 365 で予約管理- Stuff Hub と Microsoft Bookings

Stuff HubとMicrosoft Bookingsは、順次テナントに配信されておりますが「先行リリース」をオンにしておくと、配信が早くなります。(Stuff  Hub はまだパブリックプレビューのようです)

さて、これら2つのサービスですが、どちらも「予定、スケジュール」を管理することができます。
それぞれの特徴を比べてみたいと思います。

利用できるプラン

Stuff Hub:Office 365 K1、Enterprise E1/E3/E5
Microsoft Bookings:Office 365 Business Premium

利用方法

Stuff Hub

Stuff Hub:現在は以下のURLから利用します。Teams もそうだったように、じきにメニュー画面に登場すると思います。
https://staffhub.ms/

Office 365アカウントでサインインを行います(事前にライセンスは割り振っておいてください)
「チーム」、「スケジュール」、「ファイル」の3つのタブが確認できます。

チーム

ここからスケジュール(シフト)管理するメンバーを招待していきます。利用ユーザーも前述のライセンスが必要になります。

ファイル

ここではチームメンバーとのファイル共有が可能です。マニュアルなど共有しておけますね。

スケジュール

スタッフメンバーのシフト管理が可能です。
公開されたスケジュールはモバイルアプリからも確認できます。メンバー同士でシフトの確認、交換なども可能です。

Stuff Hubについては、利用者全員にライセンスが必要なことから、文字通りスタッフ間でのスケジュール管理という位置づけになります。

Microsoft Bookings

こちらはOffice 365 メニューから起動することができます。

最初にセッティング画面が表示され、次へ進むとメイン画面が表示されます。

Microsoft Bookingsは、「病院や美容院など店舗(施設)の担当者に対して予約を取る」という考え方です。
なので、予約をとる顧客側は不特定多数であり、Office 365 ライセンスは必要ありません。

予約操作

顧客はWeb、あるいはモバイルデバイスから公開されたWebページを利用して担当者に対して予約を入れます。


予約をすると入力したメールアドレスに確認メールや予約日近くにリマインダも送信されます。
そのメールからスケジュール変更やキャンセル画面へのリンクボタンがついてきます。

 

すでに予約された日時は選択画面に表示されなくなるのでダブルブッキングを防げぐことができます。

※ Microsoft Bookingsは、「担当者に対する予約」という考え方なので、「20人まで受け付け可能」という人数による制御は現時点では不可能です。(担当者を20人分登録しておく・・というやり方ならば可能ですが)

管理画面

管理画面からは、予約時間間隔(30分、15分など)や担当者の登録、FaceBookやTwitterと連携し、予約ボタンを表示させるなどの設定が可能です。また、予約不可能時間や担当者の休暇なども設定できます。

顧客同士はだれがどの時間を予約しているかは確認できないので、プライバシーも保たれます。

 
どちらもUIからの簡単な操作ですぐに利用できます。
試用版からもご利用できますので、ぜひお試しください。

Office 365とAzure Information Protectionでメール自動暗号化

最近、Office 365をご利用のお客様がAzure Information Protection(以下、AIP)をご契約されることが増えてきています。
あるOffice 365をご契約のお客様がAIPをご検討されており、以下のようなご質問をいただいました。

「社員に社外へメールを送るときには暗号化をするように言ってもきっと忘れちゃうんだよね‥。メール送るときに自動で暗号化させたいんだけど」

自動暗号化というキーワードでAIPの機能を見ていると実装不可能?と思いがちなのですが、今回のようにOffice 365(Exchange Online)をご利用いただいていれば実現可能なんです。

事前準備

必要なライセンス:Exchange Online およびAIP P1

最初に行う設定:AIPの有効化のため以下のPowerShellを実行します。

Set-ExecutionPolicy RemoteSigned
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session
Set-IRMConfiguration -RMSOnlineKeySharingLocation “https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc”
Import-RMSTrustedPublishingDomain -RMSOnline -Name “RMS Online”
※アジア以外の地域の場合や詳細は以下のURLをご参照ください。
※PowerShellが反映されるまでにタイムラグが(けっこう)必要な場合もあります

Exchange 管理センターからルールを設定

[メールフロー]-[ルールの新規作成]で新しいルールを作成します。「メッセージのセキュリティを変更する」からメッセージの暗号化を選択できます。

また、どのようなときに暗号化するかという設定も状況に応じて選択できます。

管理者が設定さえしておけば、社員は無意識に暗号化されたメールを送信することができます。
送信先のメールアドレスはとくに選ぶことがないので、安心ですね。

送信者の対応

では送信者にはどのように届くかというと、暗号化されているというメッセージとともにHTMLファイルが添付されたメールが届きます。

HTMLファイルをクリックすると、マイクロソフトアカウントでサインインする画面が表示されます。もしマイクロソフトアカウントがなく、作成したくない場合にはワンタイムパスコードでの利用も可能です。


これなら送信された側もユーザーも大きな負担はかかりませんね。
Office 365 同様、AIPも試用版の利用が可能ですので、ぜひお試しください。

Azure Information Protection Client の新バージョン

先日、新バージョン(Ver 1.3.155.2) がリリースされました。
https://docs.microsoft.com/en-us/information-protection/rms-client/client-version-release-history#version-131552

いつものようにMicrosoft Download Centerよりダウンロード可能です。
※こちらをインストールするには.NET Framework 4.5.2 以上が事前にインストールされている必要がありますのでご注意下さい。

エクスプローラーから右クリックで暗号化できたりとか、ラベルを使用した場合のログを残せたりとか。UIも若干変わりましたね。
利用イメージです。

暗号化したいファイルをエクスプローラーから右クリック。

編集画面がひらきます。

適用ボタンをクリックすると完了です。

また、Sharepoint Online サイト上から暗号化されたPDFをAIPビューアーでそのまま閲覧することもできます。
Sharepointサイト上の暗号化されたPDFファイルを [保存] -[ファイルを開く]をクリックします。

AIPビューアーが起動します。

それ以外では、PowerShellにてローカルやネットワーク共有されたファイルを暗号化するモジュールをRMSProtectionモジュールとして提供されたりとかですね。

ドキュメントの暗号化としてAIPの認知度が広まってきていますね。ぜひお試しください。

 

RMS暗号化ファイルのオフラインでの利用

最近お客様より以下の様なご質問をいただくことがありました。

「RMSで暗号化されたファイルを解読するのは常にオンラインである必要があるか?」
ということです。

通常、相手が解読できる相手かどうか認証するためにオンラインである必要がありますが、テンプレートを利用すると指定した日数についてはオフラインでの解読が可能となります。
指定された日数の間は資格情報がキャッシュされた状態が保たれるわけですね。

以下、手順です。
事前にOffice 365管理画面で、Rights Managementを有効化しておきましょう。
※Office 365 管理画面でのActive化とともにPowerShellの実行が必要です。

設定ーアプリーMicrosoft Azure Information Protection ーMicrosoft Azure Information Protection の設定の管理から行います。
Azure クラシックポータルにて該当ディレクトリを選択し、[RIGHTS MANAGEMENT] を選択します。

[管理]ー[新しい権利ポリシーテンプレートを作成する]にてテンプレートを作成します。

[権利テンプレートの管理] より作成したテンプレートを選択し、[ユーザーおよびグループの権限の構成]にて[作業の開始]をクリックします。

[構成]タブをクリックし、[オフライン] – [インターネットに接続せずにコンテンツを利用できる日数]をチェックし、日数を入力します。

[状態]から[発行] をクリックし、[保存]をクリックします。

[権限]タブよりユーザーに該当する権限を付与します。今回はすべての権限(共同所有者の権限を付与しました)

[スコープ]タブより該当するユーザーを追加します。
有効化・反映されるまで数分~数時間かかることもありますので気長にまちましょう。メールを作成する際に作ったテンプレートを指定します。

 

テンプレートを利用したカスタマイズ、ぜひお試しください。

 

Office 365 へのアクセス場所制御

ずいぶん前から、Office 365のアクセス場所について「社内からのみアクセスさせたい」、「社外からのアクセスを制限したい」などご要望を耳にしていました。現在は3つの方法から選択することができます。

①ADFSによる制御

これらの制御を実現する方法として従来までだと、ADFSによる実装が代表的でした。利用状況により懸念(ADFSで認証・認可された状態で外出時など)はありますが…。

②Azure ADによる制御

また、昨年秋ごろからAzureAD側で実装することも可能になっています。(※現在プレビュー)Azure AD から該当ディレクトリを選択し、[構成] 画面をスクロールしていくと「組織のパブリックipアドレス範囲」項目が表示されます。こちらに利用を許可する場所からのパブリックIPを登録します。

③Onedrive(OneDrive for Business)管理画面による制御

外部からのアクセス制御したいサービスに「OneDrive for Business」やSharepoint」があげられます。

現在プレビュー段階(※2017年1月中にGA予定。)ですが、OneDrive for Businessに管理画面ができました。先行リリースを有効にしていると、Onedriveの画面メニューに「OneDrive 管理者プレビュー」というリンクが表示されます。表示されなかった場合は以下のリンクからご利用ください。(テナントにより表示されない可能性もあります)

https://admin.onedrive.com/

管理者プレビュー画面より「デバイスアクセス」をクリックします。「ネットワークの場所に基づいてアクセスを制限する」項目が表示されます。

チェックボックスにチェックをいれるとIPを登録する画面が表示されます。そこへアクセスを許可する場所のパブリックIPを登録します。

 

登録された場所以外からのアクセスは拒否されることが確認できます。

選択肢が増え柔軟に対応できるようになってきましたが、以下のような注意事項もありますので、自社の状況を考慮し適切な選択をする必要がありそうです。

●アクセスの許可/拒否はテナント単位です。

●現在はIPによるアクセスを許可されていない場合は、管理画面へのアクセスも不可能です。

※現在プレビューのため、GAされた際には仕様やUIなど変更されている可能性もあります。ご了承ください。

 

Microsoft Intune によるモバイルデバイスのマルウェア対策(後編)

Intuneと連携するためのLookoutの設定

前回の投稿で、IntuneとLookOutの連携を行うためにLookOutのサポートへ連絡をしました。2営業日後、無事にLookOutのMTPへアクセスが可能になったというメールが届きました。

①Lookoutダッシュボードへログイン

早速以下のURLへアクセスしLookOutの設定を行います。

https://aad.lookout.com

ディレクトリへのアクセス許可を促すページが表示されます。【承諾】をクリックします。

すると、このようなLookout MTP ダッシュボード画面が表示されます。
ポリシーのカスタマイズも可能です。

 

②Intuneコネクタの設定

システムメニューから「コネクタ」タブへ移動します。「コネクタを設定」画面で、[コネクタを追加]をクリックし、[Intune] を選択します。

「コネクタを設定」画面で、[コネクタを作成]をクリックします。

[変更を保存]メッセージが表示されたら、[閉じる] ボタンから画面を閉じます。コネクタが接続は完了です。Intune管理画面から[Lookoutの状態]メニューが利用できることが確認できます。

 

③デバイスへLookoutアプリを展開

今回はAndroidデバイスへ展開してみます。左メニューから[アプリ] – [アプリの追加]をクリックします。「セキュリティ警告」「画面が表示されたら[続行]をクリックします。ソフトウェアパブリッシャー画面にサインインします。

「開始する前に」画面で[次へ]をクリックします。「ソフトウェアセットアップ」画面で[外部リンク]を選択し、URLを入力し[次へ]をクリックします。

名前に[Lookout for work]、発行元、説明を適宜入力し、カテゴリで[コンピューターの管理]を選択し、[次へ]をクリックします。

概要画面で表示された内容を確認し[アップロード]をクリックします。「Microsoft Intune にデータが正常にアップロードされました」画面で、[閉じる]をクリックします。Intuneの管理コンソールでアップロードしたアプリが表示されていることが確認できます。

表示されたリストを右クリックし、[展開の管理]をクリックします。展開するグループを選択し[次へ]をクリックします。承認欄で[利用可能なインストール]あるいは[必須のインストール]を選択し、[完了]をクリックします。

Intune管理コンソール左メニューから[ポリシー]を選択し、コンプライアンスポリシーを作成します。「デバイスの脅威保護」欄で、「デバイス脅威保護を有効にする」を有効にし、[許容される最大脅威レベル]を高、中、低から選択し[ポリシーの保存]をクリックします。

「条件つきアクセス」ポリシーよりLookoutからマルウェアが検出されたデバイスに対し適応させるポリシーを設定します。

会社から配布したモバイルデバイスに対し、感染状況を把握し社内リソースを守ることが可能になりました。

現在は、Lookout側の設定画面を利用するにはメールによるやり取りが必要となるため、若干のタイムラグが発生することを考慮する必要があります。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Microsoft Intune によるモバイルデバイスのマルウェア対策(前編)

Lookout というモバイルセキュリティに定評のある企業と Microsoft が、2016年秋にパートナー提携を行いました。

<プレスリリース>

その結果、Microsoft Intuneに「Lookout」の製品を組み込みさらなるモバイルデバイスのセキュリティ強化が実現しました。どのような機能があるかをざっくりご紹介します。

Intuneの設定(ポリシー)に「条件付きアクセス」という項目があります。

ここでは、Office 365関連サービスを利用するための条件(どのグループのメンバーか?

どんな状態のデバイスからのアクセスか?などなど)を決めることができます。

Lookout」の機能で、モバイルデバイスにマルウェアなどの感染やマルウェア関連と推測されるアプリが発された場合、Lookout はその検出されたデバイスの情報を Intune へ送ります。

Intune では、「条件付きアクセス」で設定した内容で、例えばそのモバイルデバイスからは、ドキュメントやメール利用などのブロックを即座に行うことができるようになります。

 

[主なブロック例]

・会社のメール(Exchange Online ) の利用をブロック

・共有ドキュメント(Sharepoint Online / Onedrive for Business)へのアクセスをブロック

・社内Wifiへの接続をブロック

など

※利用可能なデバイス

Android 4.1以降  / iOS 8 以降

この機能を利用するには、Lookoutのサポートへ申請が必要です。メールでアカウント作成(サブスクリプション登録)の依頼をします。すると、だいたい2営業日程度で返信が届きます。

Azure AD上の必要な情報を送付する必要があるようです。送付されてくるPDFファイルにどのようにIDを取得すればよいか、詳細な手順が記載されています。

  • AAD Tenant ID

Azure AD からテナントを指定した状態のときに、ブラウザに表示されるURLの中にテナントIDがふくまれています。こちらもご参照下さい。URL で /directoryQuickStart の手前の部分がテナント ID です。

  •  Group Object ID

グループ – プロパティを選択すると、「オブジェクトID」がありますので、その情報をコピーします。

あとはこの情報をLookout Support Team へ送ります。

登録が完了すると、LookOut MTP ポータルにアクセスができるようになりますので、登録完了メールをまちます。

※最初のメールにAzure ADのテナントIDとグループオブジェクトIDを記載しておけば、その分、手続きの手間は省けます。

※年末年始のタイミングなので、通常より日数がかかるかもしれませんが、後編は完了メールが届いたらアップしようと思います。

Azure Information Protection P2 の機能

この投稿は Office 365 アドベントカレンダーに参加しています。

以前の投稿でもお知らせしたようにEMSにはE5という上位プランができました。
その中に Azure Information Protection (以下、AIP)Plan 2 が含まれます。

(※ちなみに、AIP は従来まで Azure Right Management(RMS)という名前で呼ばれていたものの後継にあたります。旧という表現をしておりますが、RMS が無くなったわけではありません。AIP は RMS の暗号化技術を使ってさらなる保護をかけています。)

Office 365 E3 以上のプランにも RMS が付随していますが、最近は Office 365 E3 をご利用の企業でも、オンプレミスでの利用や Office ドキュメント以外の保護を目的に AIP の導入をご検討いただくことが増えてきています。
なので、ぜひ Office 365 ユーザーの皆様にもこの機能に興味を持っていただきたいと思い Office 365 アドベントカレンダーにこの投稿を参加させています。

前置きが長くなりました。
では、AIP Plan 2 の新機能として登場した「ラベリングと分類」についてご紹介します。この機能を利用すると、社内ユーザーに視覚的にそのドキュメントの機密性を意識させることができ、情報漏洩などのセキュリティ事故を防ぐことができます。もちろん、従来の Azure RMS の機能でもあるそのドキュメントを追跡、アクセスの禁止などの設定も可能です。

まず、利用するための準備ですが、ご契約いただく前に試してみたいと思われますよね。この AIP(P2)も、もちろんお試しいただくことが可能です。

Office 365 の管理画面(もちろん試用版でもOK)メニューで、「サービスを購入」を選択します。
「Azure Infomation Production P2」を選択し、「無料試用版」ボタンをクリックしてください。


あとはユーザーにライセンスを割り当てれば30日間は製品版と同様機能を利用可能です。

あるいは、以下のページから Enterprise Mobility +Security E5 の無料試用版をお申込みください。

AIP P2 の申し込みが完了したら、次にツールの準備をしましょう。

まずは、RMS のころからおなじみの RMS 共有アプリケーションを以下のサイトからダウンロードしてインストールします。

つぎに、AIP P2 のラベリング機能を利用ために、以下の Azure Information Protection クライアントのサイトをブラウザから開きます。

AzInfoProtection.exe を選択し、ダウンロードを実行します。

ダウンロードが完了したら、あとはウィザードに従いインストールを実行します。

これで準備は完了です。

これだけでも標準で用意されているラベルは利用できますが、内容をカスタマイズするための編集画面をみてみましょう。

Azure ポータルサイトへサインインします。

Azure ポータルから、Market Place – セキュリティ+ID – Azure Information Protection を選択します。


表示された画面で「作成」をクリックします。(ライセンスが付与されていないとここでエラーとなりますので、必ず先に試用版  Or  製品版を取得してください。)

ポリシー編集画面が表示されます。

ここでラベルのカスタマイズをしたり、「すべてのドキュメントとメールにラベルを付ける (自動適用またはユーザーによる適用)」、「分類ラベルを低くする、ラベルを削除する、保護を削除する場合、ユーザーは理由を提供する必要があります」などさまざまなオプションの ON / OFF を切り替えることができます。既定値はどちらも「オフ」になっています。今回は、「視覚的なマーキングの設定(ヘッダーやフッターなど)」を ON に設定します。

設定が完了したら「公開」をクリックし展開します。

それでは、デスクトップで Word 文書を作成してみましょう。
作成した文書を開いてみると、ツールバーに「ラベル」が表示されているのが確認できます。

選択したラベル : Secret がフッターにラベルが表示されていることが確認できます。

残念ながら現段階では、まだすべての機能が利用できる状態ではありません。ラベルがつけられたドキュメントをどのように連携させるかという部分のほとんどが機能制限中です。Exchange Online や Sharepoint Online と統合ができないのが一番つらいところなのですが・・・。最近頻繁にアップデートがかかっているので時間の問題と思われます。(RMS ポリシーテンプレートへの反映が現在プレビュー)

ラベルのつけられたドキュメントの活用方法ですが、例えば Exchange Online のトランスポートルールと連携し、つけられたラベルによってルールを振り分けたり、Cloud App Security と連携した監視の強化も行えます。

他サービスと連携した AIP の活用についてはアップデートの状況をみつつ改めて投稿します。