ブログ終了のお知らせ

定期的な更新ができておらず、心苦しい限りでおりましたが、
2020年5月末を目途に、本ブログを終了させていただくことにいたしました。

来月より、また新たな形で情報配信に努めてまいりたいと思います。
今まで本ブログをご愛顧いただきありがとうございました。

イベントなどで見かけられた際には、お気軽にお声がけください。

2020.05.01
Mari Miyakawa

 

ProPlusのセキュリティ強化

この記事はOffice 365 Advent Calendar 2019  に参加しています。

先日のIgnite Tour Tokyo でもお話したのですが、最近はかならずしも社内にActive Directoryが存在するわけではないようです。Azure AD で認証管理を行うことを検討されている企業様からご相談をうけることも増えてきています。

ただ、一番のネックはグループポリシーの問題ですね。

ProPlus では Security Policy Advisor によって、従来 Active Directory のグループポリシーで行っていたような、Office アプリケーションのインストール構成についての制御が可能です。

 

 

 

 

セキュリティポリシーを作成し、Azure AD セキュリティグループに割り当てることで設定したポリシーを評価しアドバイスを得ることができます。たとえば、Excelマクロやアドインの有効化や無効化などがそれにあたります。

指摘をうけたアドバイスはその画面上からポリシーをAzure AD のセキュリティグループ に対して構成を変更し、ポリシーを強制することができます。

Security Policy Advisor はOffice 365 ProPlus カスタマイズツールにて構成可能です。

無料でご利用になれる機能ですので、ぜひお試しください。

 

 

 

 

 

Active Directory Lost And Found コンテナ

昨日、自分の所属しているWorking GroupであるSystem User Group Japan の
第20回勉強会でTipsをお話ししてきました。

まだまだ世の中にはWindow Server 2008 ./ 2008 R2 が老体に鞭打って稼働しているようです。あと半年でEOSを迎えますのでその以降に関するTipsです。
ActiveDirectory Federation Service EOSに向けたTips

さて、標題の件です。先日お客様から以下のようなご連絡がありました。「AADConnectの同期を調べていたら、作成した覚えのないOUがあるんだけど…」

お客様環境を確認してみたら「Lost And Found コンテナ」でした。
このコンテナは「拡張機能」にすると表示されてきます。

 

 

 

 

 

 

このコンテナはレプリケーションで整合性が取れなくなった際にオブジェクトが格納されます。

例えば、ドメインコントローラーDC1でOU1を作成するとドメインコントローラーDC2にレプリケーションされます。そのあとで、DC1のOU1でドメインユーザーUser1を作成し、ドメインコントローラーDC2へレプリケーションされる前にDC2のOU1を削除すると、その情報がDC1にも伝わるのでDC1からもOU1が削除されてしまいます。すると、行き場をなくしたUser1が「LostAndFound」コンテナへ格納されることになります。
複数の管理者が複数のドメインコントローラー上で操作を行っている環境ではオブジェクトの削除には十分ご注意ください。

※2019年7月に「Microsoft MVP for Office Apps & Services」 を継続受賞させていただきました。引き続きより良い情報を配信できるよう精進いたします。

 

 

Office 365 のアドオン利用時の注意ポイント

Office 365には多くのベンダーからアドオンサービスが提供されています。

シングルサインオンやパスワードポリシー強化の実装のためにアドオンを利用される場合もあるでしょう。

ですが、認証系のアドオンを社内のActive Directoryと連携せずに利用する場合には注意が必要です。

そのままアドオンサービスの利用をつづけるならばよいのですが、他サービスへ切り替える場合には「immutable Id」の値を更新してあげる必要があります。

Active Directoryとの連携をせず認証系のアドオンのみ利用していると「immutable Id」の値はベンダーの認証サービスによって独自の値がセットされます。解約予定のアドオンサービスとご利用のOffice 365テナントのフェデレーションをはずすだけでは「immutable Id」の値は元に戻りませんので注意しましょう。

そのまま他のアドオン認証サービスと新たにフェデレーションを構成しても、すでに存在するユーザーは認識されずエラーとなったり、同一アカウントをもつ別ユーザーが作成されてしまいます。

※このあたりのユーザーのマッチングについてのお話しは以下のマイクロソフトのサイトが参考になります。

「Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法について」

そのため、旧アドオンとのフェデレーションを外した後で、新たなアドオンの「immutable Id」に合わせてあげる必要があります。

現在の「immutable Id」を確認するのは以下のPowershell コマンドレットを利用します。

Get-MsolUser -UserPrincipalName “対象ユーザーの UPN” | fl

新たな「Immutable Id」に値をセットするにはこちらのコマンドレットになります。

Set-MsolUser -UserPrincipalName 対象ユーザのUPN -ImmutableId 更新したいimmutableID

新たなベンダーの利用している「Immutable Id」については、切り替えを始める前に事前に確認をしておきましょう。また、検証環境でいったん試してみることをお勧めいたします。

Office 365 サインイン履歴

この投稿はOffice 365 Advent Calendar 2018に参加しています

気が付けばもう師走・・ということで、2018年にお客様によく聞かれてOK「へー」と思ったことを投稿しておこうと思います。

管理者が自社のユーザーのサインイン(ログイン)の履歴を取得したいというのはよく聞くのですが、今年は「ユーザー自身がそれを取得するにはどうしたらよいか?」というものでした。

方法はいくつかあって、予算と管理者にPower BI(PowerAppsなど)を扱える(学習する余力がある?)のであれば、Azure AD P1のライセンスを購入し管理者が取得した履歴情報をPower BI(Power Apps)で配布というやり方が想像できます。

ですが、今は師走。時間もお金もない!という方に(期間限定?)の朗報があります。

パブリックプレビューなのですがMy Sign-Ins という機能が利用できます。

ブラウザでURLにアクセスしOffice 365 アカウントでサインインするだけ。もちろんユーザー権限で利用できます。

アクセス日時の他、詳細画面ではOSやブラウザ、アクセスしたサービスやアクセス場所の情報も記載されています。

 

 

 

 

現在は無料で利用できます。

※もしかするとパブリックプレビューが終了した段階でAzure AD P1のライセンスが必要になるのかも・・・?(状況が変わることがあればまたこのBlogでお知らせします)

非常に便利だと思います。ぜひご確認ください。

Microsoft MVP 再受賞いたしました

今年も無事にOffice Servers and Services (Office 365)のカテゴリでMicrosoft MVP(2018-2019)を再受賞させていただきました。

これで4年目の受賞となります。これもみなさまのおかげです。本当にありがとうございます。

これからも有益な情報を配信できるよう登壇、執筆など続けてまいります。よろしくお願いいたします。

 

 

Microsoft Teams について登壇してきました

昨日、日本マイクロソフトで行われた「Interact2018」に登壇してきました。

今年で5年目となるイベントでMVP有志が中心となり運営されています。

こちらで1セッション担当させていただきMicrosoft Teams の展開・管理ポイントや最新動向、Skype for Businessからの移行についてのポイントなどをお話ししてきました。

こちらに登壇資料をアップしております。

ぜひご覧ください。

 

Azure AD Domain Services Azure Resource Manager 利用の状況

先日の de:code 2017 でご紹介した 「Azure Active Directory Domain Services)」。PaaS としてAzureにドメインコントローラーを実装しKerberos認証が利用できるサービスです。

 

 

Azure AD  Domain Services (以下、AADDS) が、Azure Resource Manager(Azure New ポータル)(以下、ARM)でプレビューとなりました。以下のようにARM画面で表示されます。

 

 

 

 

 

 

これまではクラシックポータルのみで作成可能。作成したAADDSにドメイン参加するマシンもクラシックポータルで作成されたものに限られていました。よって、ARMで作成されたマシンをAADDSのドメインへ参加させるにはvNet ピアリングを利用するなどの工夫が必要でした。

ようやくARMでAADDSが作成できるようになりましたが、やはり一筋縄ではいかない「プレビュー版」。残念ながら現時点(2017.07.中旬時点)では動作が不完全のようです。

そもそも、上記画面から作成したAADDSをARM画面上で確認することができません。

 

 

 

 

詳細リンクを確認してみると、「ARMではまだ対応できてないからクラシックポータルでみてね」と記載されています。

※作成して15分経過後にクラシックポータルをみましたが作成された情報は確認できませんでした。(本当に作成されたんだろうか・・・)

また、ネットワークについてもまだARM対応ができていないとのこと。これが一番肝なのですが。残念。

詳細はこちらをご参照ください。

「New Public Preview: Azure AD Domain Services admin UX in the new Azure Portal」

つまり、今回は「予告編」といった印象ですね。また更新情報あれば掲載したいと思います。

 

 

 

Microsoft 365 が発表されました

ワシントンDCではグローバールなMicrosoft パートナー向けイベント「Inspire 2017」が開催されています。昨晩 (日本時間) の Keynoteでは「Microsoft 365」の発売が発表されました。

Office 365が名称変更?というわけではありません。

microsoft365-1

「Office 365」+「Windows 10」+「Enterprise Mobility +Security」の製品・サービスから「Creativity」・「Teamwork」・「Simplicity」・「Security」をテーマとして統合されたパッケージサービスのようです。

microsoft365-2

たとえば、「TeamWork」というキーワードには Office 365 で最近話題の Teams  やSkype for Business。当然Exchange online も含まれます。Security には Intune や AIP も入っています。

Office 365、Windows 10、EMSはこれまでも合わせてご利用いただけるとより効果を発揮できる・・とご紹介をしていたものなので、それをパッケージとしてよりご案内しやすくなった感じですね。

また、ただセットにしただけではなく、最近話題の「AI」の要素も組み込まれています。

今までもMyAnalyticsではAIが組み込まれていますが、Keynoteでは「Outlookで重要なメールを 「AI」 が選別して強調表示するという紹介がされていました。今後、ExcelなどOffice アプリケーションにもAI要素が含まれるようです。もう「AIは他人事・・」という訳にはいきません。

さて、販売されるMicrosoft 365のプランは EnterpriseとBusinessの2種類です。

Enterpriseが大企業向け(300名以上)、Businessが中小企業(300名以下)という区分けになっています。

詳細な情報はこれから増えてくると思われますが、現時点の情報は以下のサイトでも確認できます。

Microsoft 公式Blog(英語)

https://blogs.office.com/en-us/2017/07/10/introducing-microsoft-365/

Public Key(オンライン記事 日本語)

まずは8月からEnterpriseプランが提供されるようです。楽しみですね。

シチュエーション別 Active Directory デザインパターン

先月行われた Microsoft de:code 2017 の登壇資料と動画が公開されました。

こちらになります。

今回は認証基盤をAzure ADで一本化するとどんなメリットがあるのか?ということを主体にお話ししています。

登壇の後、この構成を検討しているという企業の方からご相談もいただきました。その企業では社内 (オンプレ) にはファイルサーバーと Active Directory 環境のみだそうです。また Office 365 などの SaaS をご利用されているとのこと。

徐々にこういう構成を検討される企業は増えているようですね。