Office 365 のアドオン利用時の注意ポイント

Office 365には多くのベンダーからアドオンサービスが提供されています。

シングルサインオンやパスワードポリシー強化の実装のためにアドオンを利用される場合もあるでしょう。

ですが、認証系のアドオンを社内のActive Directoryと連携せずに利用する場合には注意が必要です。

そのままアドオンサービスの利用をつづけるならばよいのですが、他サービスへ切り替える場合には「immutable Id」の値を更新してあげる必要があります。

Active Directoryとの連携をせず認証系のアドオンのみ利用していると「immutable Id」の値はベンダーの認証サービスによって独自の値がセットされます。解約予定のアドオンサービスとご利用のOffice 365テナントのフェデレーションをはずすだけでは「immutable Id」の値は元に戻りませんので注意しましょう。

そのまま他のアドオン認証サービスと新たにフェデレーションを構成しても、すでに存在するユーザーは認識されずエラーとなったり、同一アカウントをもつ別ユーザーが作成されてしまいます。

※このあたりのユーザーのマッチングについてのお話しは以下のマイクロソフトのサイトが参考になります。

「Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法について」

そのため、旧アドオンとのフェデレーションを外した後で、新たなアドオンの「immutable Id」に合わせてあげる必要があります。

現在の「immutable Id」を確認するのは以下のPowershell コマンドレットを利用します。

Get-MsolUser -UserPrincipalName “対象ユーザーの UPN” | fl

新たな「Immutable Id」に値をセットするにはこちらのコマンドレットになります。

Set-MsolUser -UserPrincipalName 対象ユーザのUPN -ImmutableId 更新したいimmutableID

新たなベンダーの利用している「Immutable Id」については、切り替えを始める前に事前に確認をしておきましょう。また、検証環境でいったん試してみることをお勧めいたします。

Office 365 サインイン履歴

この投稿はOffice 365 Advent Calendar 2018に参加しています

気が付けばもう師走・・ということで、2018年にお客様によく聞かれてOK「へー」と思ったことを投稿しておこうと思います。

管理者が自社のユーザーのサインイン(ログイン)の履歴を取得したいというのはよく聞くのですが、今年は「ユーザー自身がそれを取得するにはどうしたらよいか?」というものでした。

方法はいくつかあって、予算と管理者にPower BI(PowerAppsなど)を扱える(学習する余力がある?)のであれば、Azure AD P1のライセンスを購入し管理者が取得した履歴情報をPower BI(Power Apps)で配布というやり方が想像できます。

ですが、今は師走。時間もお金もない!という方に(期間限定?)の朗報があります。

パブリックプレビューなのですがMy Sign-Ins という機能が利用できます。

ブラウザでURLにアクセスしOffice 365 アカウントでサインインするだけ。もちろんユーザー権限で利用できます。

アクセス日時の他、詳細画面ではOSやブラウザ、アクセスしたサービスやアクセス場所の情報も記載されています。

 

 

 

 

現在は無料で利用できます。

※もしかするとパブリックプレビューが終了した段階でAzure AD P1のライセンスが必要になるのかも・・・?(状況が変わることがあればまたこのBlogでお知らせします)

非常に便利だと思います。ぜひご確認ください。

Microsoft MVP 再受賞いたしました

今年も無事にOffice Servers and Services (Office 365)のカテゴリでMicrosoft MVP(2018-2019)を再受賞させていただきました。

これで4年目の受賞となります。これもみなさまのおかげです。本当にありがとうございます。

これからも有益な情報を配信できるよう登壇、執筆など続けてまいります。よろしくお願いいたします。

 

 

Microsoft Teams について登壇してきました

昨日、日本マイクロソフトで行われた「Interact2018」に登壇してきました。

今年で5年目となるイベントでMVP有志が中心となり運営されています。

こちらで1セッション担当させていただきMicrosoft Teams の展開・管理ポイントや最新動向、Skype for Businessからの移行についてのポイントなどをお話ししてきました。

こちらに登壇資料をアップしております。

ぜひご覧ください。

 

Azure AD Domain Services Azure Resource Manager 利用の状況

先日の de:code 2017 でご紹介した 「Azure Active Directory Domain Services)」。PaaS としてAzureにドメインコントローラーを実装しKerberos認証が利用できるサービスです。

 

 

Azure AD  Domain Services (以下、AADDS) が、Azure Resource Manager(Azure New ポータル)(以下、ARM)でプレビューとなりました。以下のようにARM画面で表示されます。

 

 

 

 

 

 

これまではクラシックポータルのみで作成可能。作成したAADDSにドメイン参加するマシンもクラシックポータルで作成されたものに限られていました。よって、ARMで作成されたマシンをAADDSのドメインへ参加させるにはvNet ピアリングを利用するなどの工夫が必要でした。

ようやくARMでAADDSが作成できるようになりましたが、やはり一筋縄ではいかない「プレビュー版」。残念ながら現時点(2017.07.中旬時点)では動作が不完全のようです。

そもそも、上記画面から作成したAADDSをARM画面上で確認することができません。

 

 

 

 

詳細リンクを確認してみると、「ARMではまだ対応できてないからクラシックポータルでみてね」と記載されています。

※作成して15分経過後にクラシックポータルをみましたが作成された情報は確認できませんでした。(本当に作成されたんだろうか・・・)

また、ネットワークについてもまだARM対応ができていないとのこと。これが一番肝なのですが。残念。

詳細はこちらをご参照ください。

「New Public Preview: Azure AD Domain Services admin UX in the new Azure Portal」

つまり、今回は「予告編」といった印象ですね。また更新情報あれば掲載したいと思います。

 

 

 

Microsoft 365 が発表されました

ワシントンDCではグローバールなMicrosoft パートナー向けイベント「Inspire 2017」が開催されています。昨晩 (日本時間) の Keynoteでは「Microsoft 365」の発売が発表されました。

Office 365が名称変更?というわけではありません。

microsoft365-1

「Office 365」+「Windows 10」+「Enterprise Mobility +Security」の製品・サービスから「Creativity」・「Teamwork」・「Simplicity」・「Security」をテーマとして統合されたパッケージサービスのようです。

microsoft365-2

たとえば、「TeamWork」というキーワードには Office 365 で最近話題の Teams  やSkype for Business。当然Exchange online も含まれます。Security には Intune や AIP も入っています。

Office 365、Windows 10、EMSはこれまでも合わせてご利用いただけるとより効果を発揮できる・・とご紹介をしていたものなので、それをパッケージとしてよりご案内しやすくなった感じですね。

また、ただセットにしただけではなく、最近話題の「AI」の要素も組み込まれています。

今までもMyAnalyticsではAIが組み込まれていますが、Keynoteでは「Outlookで重要なメールを 「AI」 が選別して強調表示するという紹介がされていました。今後、ExcelなどOffice アプリケーションにもAI要素が含まれるようです。もう「AIは他人事・・」という訳にはいきません。

さて、販売されるMicrosoft 365のプランは EnterpriseとBusinessの2種類です。

Enterpriseが大企業向け(300名以上)、Businessが中小企業(300名以下)という区分けになっています。

詳細な情報はこれから増えてくると思われますが、現時点の情報は以下のサイトでも確認できます。

Microsoft 公式Blog(英語)

https://blogs.office.com/en-us/2017/07/10/introducing-microsoft-365/

Public Key(オンライン記事 日本語)

まずは8月からEnterpriseプランが提供されるようです。楽しみですね。

シチュエーション別 Active Directory デザインパターン

先月行われた Microsoft de:code 2017 の登壇資料と動画が公開されました。

こちらになります。

今回は認証基盤をAzure ADで一本化するとどんなメリットがあるのか?ということを主体にお話ししています。

登壇の後、この構成を検討しているという企業の方からご相談もいただきました。その企業では社内 (オンプレ) にはファイルサーバーと Active Directory 環境のみだそうです。また Office 365 などの SaaS をご利用されているとのこと。

徐々にこういう構成を検討される企業は増えているようですね。

 

 

 

 

 

de:code 2017 に登壇します

お知らせです。

2017年5月23-24日に開催されるMicrosoft 大型イベントであるde:code 2017 にSecurity トラックにて登壇させていただきます。

de:code 2017

私は以下の登壇をいたします。

SC02「シチュエーション別 Active Directory デザイン パターン」

Active Directory を中心としたアイデンティティ プロバイダはオンプレミスからハイブリッドやクラウドまで様々な構成が実現され飛躍的な進化を遂げています。
多様化する選択肢のなかからどれを選択しどのように設計すべきなのか?
Windows Server 2016 の認証新機能から Azure AD、Azure Active Directory Domain Services まで、それぞれの特徴を理解し企業にとっての Best Practice を見極めましょう!

Securityトラックは16セッション用意されており、個性豊かな面々が非常に濃いお話しをいたします。
お申込みは今週末で締め切りのようです。
検討中のかたはお早めに…

開発者向け、インフラエンジニア向けのおすすめセッション情報はこちら

de:code 2017 の歩き方公開!「開発者編」&「インフラエンジニア編」

資料は後日公開されるようです。
参加されていないかたもPDFで参照できるはずですので、アップされましたらまたお知らせいたします。

Power BI の共有

本日マイクロソフトで行われた「Power BI 勉強会#3」でLT登壇しました。

なかなかの盛況ぶりでキャンセル待ちも出ていました。Power BI 人気が高まっていますね。ほぼ定期的に実施されておりますので興味ある方はぜひ次回ご参加ください。

本日の登壇資料は以下でご覧いただけます。

SlideShare:「Power BIの共有

Office 365 へのアクセス場所制御

ずいぶん前から、Office 365のアクセス場所について「社内からのみアクセスさせたい」、「社外からのアクセスを制限したい」などご要望を耳にしていました。現在は3つの方法から選択することができます。

①ADFSによる制御

これらの制御を実現する方法として従来までだと、ADFSによる実装が代表的でした。利用状況により懸念(ADFSで認証・認可された状態で外出時など)はありますが…。

②Azure ADによる制御

また、昨年秋ごろからAzureAD側で実装することも可能になっています。(※現在プレビュー)Azure AD から該当ディレクトリを選択し、[構成] 画面をスクロールしていくと「組織のパブリックipアドレス範囲」項目が表示されます。こちらに利用を許可する場所からのパブリックIPを登録します。

③Onedrive(OneDrive for Business)管理画面による制御

外部からのアクセス制御したいサービスに「OneDrive for Business」やSharepoint」があげられます。

現在プレビュー段階(※2017年1月中にGA予定。)ですが、OneDrive for Businessに管理画面ができました。先行リリースを有効にしていると、Onedriveの画面メニューに「OneDrive 管理者プレビュー」というリンクが表示されます。表示されなかった場合は以下のリンクからご利用ください。(テナントにより表示されない可能性もあります)

https://admin.onedrive.com/

管理者プレビュー画面より「デバイスアクセス」をクリックします。「ネットワークの場所に基づいてアクセスを制限する」項目が表示されます。

チェックボックスにチェックをいれるとIPを登録する画面が表示されます。そこへアクセスを許可する場所のパブリックIPを登録します。

 

登録された場所以外からのアクセスは拒否されることが確認できます。

選択肢が増え柔軟に対応できるようになってきましたが、以下のような注意事項もありますので、自社の状況を考慮し適切な選択をする必要がありそうです。

●アクセスの許可/拒否はテナント単位です。

●現在はIPによるアクセスを許可されていない場合は、管理画面へのアクセスも不可能です。

※現在プレビューのため、GAされた際には仕様やUIなど変更されている可能性もあります。ご了承ください。