Office 365 のアドオン利用時の注意ポイント

Office 365には多くのベンダーからアドオンサービスが提供されています。

シングルサインオンやパスワードポリシー強化の実装のためにアドオンを利用される場合もあるでしょう。

ですが、認証系のアドオンを社内のActive Directoryと連携せずに利用する場合には注意が必要です。

そのままアドオンサービスの利用をつづけるならばよいのですが、他サービスへ切り替える場合には「immutable Id」の値を更新してあげる必要があります。

Active Directoryとの連携をせず認証系のアドオンのみ利用していると「immutable Id」の値はベンダーの認証サービスによって独自の値がセットされます。解約予定のアドオンサービスとご利用のOffice 365テナントのフェデレーションをはずすだけでは「immutable Id」の値は元に戻りませんので注意しましょう。

そのまま他のアドオン認証サービスと新たにフェデレーションを構成しても、すでに存在するユーザーは認識されずエラーとなったり、同一アカウントをもつ別ユーザーが作成されてしまいます。

※このあたりのユーザーのマッチングについてのお話しは以下のマイクロソフトのサイトが参考になります。

「Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法について」

そのため、旧アドオンとのフェデレーションを外した後で、新たなアドオンの「immutable Id」に合わせてあげる必要があります。

現在の「immutable Id」を確認するのは以下のPowershell コマンドレットを利用します。

Get-MsolUser -UserPrincipalName “対象ユーザーの UPN” | fl

新たな「Immutable Id」に値をセットするにはこちらのコマンドレットになります。

Set-MsolUser -UserPrincipalName 対象ユーザのUPN -ImmutableId 更新したいimmutableID

新たなベンダーの利用している「Immutable Id」については、切り替えを始める前に事前に確認をしておきましょう。また、検証環境でいったん試してみることをお勧めいたします。

Office 365 サインイン履歴

この投稿はOffice 365 Advent Calendar 2018に参加しています

気が付けばもう師走・・ということで、2018年にお客様によく聞かれてOK「へー」と思ったことを投稿しておこうと思います。

管理者が自社のユーザーのサインイン(ログイン)の履歴を取得したいというのはよく聞くのですが、今年は「ユーザー自身がそれを取得するにはどうしたらよいか?」というものでした。

方法はいくつかあって、予算と管理者にPower BI(PowerAppsなど)を扱える(学習する余力がある?)のであれば、Azure AD P1のライセンスを購入し管理者が取得した履歴情報をPower BI(Power Apps)で配布というやり方が想像できます。

ですが、今は師走。時間もお金もない!という方に(期間限定?)の朗報があります。

パブリックプレビューなのですがMy Sign-Ins という機能が利用できます。

ブラウザでURLにアクセスしOffice 365 アカウントでサインインするだけ。もちろんユーザー権限で利用できます。

アクセス日時の他、詳細画面ではOSやブラウザ、アクセスしたサービスやアクセス場所の情報も記載されています。

 

 

 

 

現在は無料で利用できます。

※もしかするとパブリックプレビューが終了した段階でAzure AD P1のライセンスが必要になるのかも・・・?(状況が変わることがあればまたこのBlogでお知らせします)

非常に便利だと思います。ぜひご確認ください。

Microsoft Teams フリー登場

従来はMicrosoft Teams を利用するには、Office 365 のセットプランを契約する必要がありました。
単品プランでの利用すらできなかったのでなかなか試すことができない方も多かったのではないでしょうか。

先日、突如あらわれました。「Microsoft Teams フリー(無料)バージョン」

製品版と比べると、フリー版は1ユーザー1TBのストレージ容量という制限やOffice アプリケーションとの連携が不可(onlineは可能)など機能に差はありますが
「まず利用してみる」というスタンスにはとても良いものだと思います。

Microsoft Teamsの対抗馬としてよくあげられる「Slack」はなんといっても無料なので。
これでMicrosoft Teamsを利用するユーザーがどこまで増えるのか楽しみです。

ただ、個人的に残念なのが機能制限でもよいので簡易的でも監査機能はつけてほしかった。
そういう意味では企業での利用というよりはプライベートでの気軽な利用といった印象に近いようです。

Microsoft Teams フリー版ダウンロードと製品版とのフリー版の比較は以下をご覧ください。

Microsoft Teams を無料で

Microsoft Teams の操作ログ

Microsoft Teams をご利用されている企業が増えていることをお客様との会話のなかで実感することが多くなりました。新年度から利用を計画されている企業もあるのではないでしょうか。

今までなかったのが不思議ですが、まもなく「Teams 管理センター」が展開されるようです。私のテナントにはまだ反映されていませんが、もう間もなくのようです。詳細はこちらでご確認ください。

さて、今回はTeamsの監査方法についてです。IT管理をされる部署で必ずご質問いただくものに「ログの取得」があります。Teamsでは「チームの作成」や「チームの削除」、「変更された設定」など様々なログが取得できます。

ただし、ログ取得するには最初に設定を「有効」にする必要があります。デフォルトでは「無効」になっていますのでご注意ください。ログ取得可能なのは「有効」に設定した時点からになります。

「セキュリティ/コンプライアンス」―「検索と調査」―「監査ログの検索」をクリックし「ユーザーと管理者のアクティビティの記録を開始する」をクリックします。

設定画面

 

 

 

 

 

メッセージが表示されるので「有効」をクリックします。

 

 

 

有効になった時点から以下画面の操作ログが取得できます。

監査内容

ぜひご活用ください。

 

 

 

 

 

 

 

 

Skype for Business のセキュリティ対策

この投稿はOffice 365 Advent Calendar 2017 に参加しています。

さて、前回投稿からだいぶ間が空いてしまいました。気が付けば年末。今回は今年よくお客様と話す機会の多かった話題を。

Microsoft Teams との統合など話題の多い Skype for Business ですが、 Skype for Business を利用する際にどのようなセキュリティ対策ができるかをお話しする機会が増えてきました。

例えば、IM(チャット)では非常に多くの種類のファイルを送ることができます。他ベンダーのIMでは送付できるファイルの種類など限られてしまうことが多く、個人的にはとても便利に利用している機能なのですが…。

企業で利用する場合にはリスクが高いと考えられますね。 ではどうするか?

お勧めとしては、送付機能そのものを制御するのではなく、送付するファイル自体に暗号化をかけていただくことです。

Azure Information Protection(AIP)という暗号化の仕組みがあります。

ただ、別途 AIP のライセンスが必要になることや送付先のお客様へ無料とはいえ、解読のためのツールをインストールしてもらうことでハードルが上がってしまう部分もあるようです。

では、Skype for Business のみで完結できるセキュリティ対策にはどのようなものがあるのでしょうか?

■通信先を特定

Skype for Business では通信先のドメインを許可・禁止設定をすることができます。これで外部との通信を防御できます。(管理者の作業負荷具合にもよりますが)会議が決まったら申請をして許可してもらうというルールにしてしまうのがよいかもしれません。

 

■ファイル転送の無効化

IMでのファイル送付を無効にすることができます。

【コンプライアンスのため、アーカイブされていない機能はオフにする】をチェック。

ファイル共有に関しては OneDrive for Business で統一するのもありですね。管理画面からログが容易にとれるので管理はしやすくなります。

 

以下のように添付が禁止されます。

 

■監査について

アーカイブされていれば Web からのオンライン会議参加でも IM の内容を取得することができます。また、会議で利用したコンテンツに関してもどのコンテンツか確認できるようです。

Skype for Business Online のアーカイブ

アーカイブするには Exchange Online が必要になります。

※セキュリティ・監査といういことを優先される運用ではぜひ単体プランでなくセットプランをご検討ください。

アーカイブ方法としては徐々に「セキュリティ管理センター」 -「検索と調査」 -「電子情報開示」から行うように移行されています。

 

ただし、検索実行には権限を付与する必要があります。

Office‍ 365 セキュリティ/コンプライアンス センターで電子情報開示のアクセス許可を割り当てる

このあたりの操作についてまた別途投稿しようと思います。たとえば以下のような検索結果を取得することができます。

 

何か事故が起きた際に管理者が状況を把握できることはとても大切です。
会社としてもポリシー含めぜひご検討ください。

 

仙台IT文化祭で登壇しました

2017/10/28~2017/10/29の2日間で仙台にある東北大学にて「仙台IT文化祭」が開催されています。

Office 365とGSuite で働き方改革をすすめるにあたり、機械学習の力をつかってより生産性をたかめることができます。

そんな話をしてきました。

資料はここにアップしてありますのでぜひご覧ください!

 

 

.NET Lab 勉強会で登壇してきました

少し間が空いてしまいました。

秋は登壇が続きます。

本日は.NET Lab 9月度勉強会に登壇してきました。

様々なテーマで勉強会を開催されておられますが今回は「Office 365」がテーマでした。

ですので、「Office 365 管理者が押さえておきたい PowerShell コマンド」というテーマお話しさせていただきました。

資料はこちらにも、上記の.NET Labさんのサイトにも掲載されておりますのでご興味ありましたらご覧ください。

ちなみに、来月は仙台で行われる「仙台IT文化祭」で登壇してきます。セッション情報やタイムテーブルなどはまもなく公開されます。Microosft MVP やMicrosoft エバンジェリストも多数登壇いたしますのでご期待ください。

仙台近郊のかたもそうでないかたもご都合よろしければぜひご来場ください。

 

 

 

 

 

Microsoft 365 が発表されました

ワシントンDCではグローバールなMicrosoft パートナー向けイベント「Inspire 2017」が開催されています。昨晩 (日本時間) の Keynoteでは「Microsoft 365」の発売が発表されました。

Office 365が名称変更?というわけではありません。

microsoft365-1

「Office 365」+「Windows 10」+「Enterprise Mobility +Security」の製品・サービスから「Creativity」・「Teamwork」・「Simplicity」・「Security」をテーマとして統合されたパッケージサービスのようです。

microsoft365-2

たとえば、「TeamWork」というキーワードには Office 365 で最近話題の Teams  やSkype for Business。当然Exchange online も含まれます。Security には Intune や AIP も入っています。

Office 365、Windows 10、EMSはこれまでも合わせてご利用いただけるとより効果を発揮できる・・とご紹介をしていたものなので、それをパッケージとしてよりご案内しやすくなった感じですね。

また、ただセットにしただけではなく、最近話題の「AI」の要素も組み込まれています。

今までもMyAnalyticsではAIが組み込まれていますが、Keynoteでは「Outlookで重要なメールを 「AI」 が選別して強調表示するという紹介がされていました。今後、ExcelなどOffice アプリケーションにもAI要素が含まれるようです。もう「AIは他人事・・」という訳にはいきません。

さて、販売されるMicrosoft 365のプランは EnterpriseとBusinessの2種類です。

Enterpriseが大企業向け(300名以上)、Businessが中小企業(300名以下)という区分けになっています。

詳細な情報はこれから増えてくると思われますが、現時点の情報は以下のサイトでも確認できます。

Microsoft 公式Blog(英語)

https://blogs.office.com/en-us/2017/07/10/introducing-microsoft-365/

Public Key(オンライン記事 日本語)

まずは8月からEnterpriseプランが提供されるようです。楽しみですね。

シチュエーション別 Active Directory デザインパターン

先月行われた Microsoft de:code 2017 の登壇資料と動画が公開されました。

こちらになります。

今回は認証基盤をAzure ADで一本化するとどんなメリットがあるのか?ということを主体にお話ししています。

登壇の後、この構成を検討しているという企業の方からご相談もいただきました。その企業では社内 (オンプレ) にはファイルサーバーと Active Directory 環境のみだそうです。また Office 365 などの SaaS をご利用されているとのこと。

徐々にこういう構成を検討される企業は増えているようですね。

 

 

 

 

 

Office 365 で予約管理- Stuff Hub と Microsoft Bookings

Stuff HubとMicrosoft Bookingsは、順次テナントに配信されておりますが「先行リリース」をオンにしておくと、配信が早くなります。(Stuff  Hub はまだパブリックプレビューのようです)

さて、これら2つのサービスですが、どちらも「予定、スケジュール」を管理することができます。
それぞれの特徴を比べてみたいと思います。

利用できるプラン

Stuff Hub:Office 365 K1、Enterprise E1/E3/E5
Microsoft Bookings:Office 365 Business Premium

利用方法

Stuff Hub

Stuff Hub:現在は以下のURLから利用します。Teams もそうだったように、じきにメニュー画面に登場すると思います。
https://staffhub.ms/

Office 365アカウントでサインインを行います(事前にライセンスは割り振っておいてください)
「チーム」、「スケジュール」、「ファイル」の3つのタブが確認できます。

チーム

ここからスケジュール(シフト)管理するメンバーを招待していきます。利用ユーザーも前述のライセンスが必要になります。

ファイル

ここではチームメンバーとのファイル共有が可能です。マニュアルなど共有しておけますね。

スケジュール

スタッフメンバーのシフト管理が可能です。
公開されたスケジュールはモバイルアプリからも確認できます。メンバー同士でシフトの確認、交換なども可能です。

Stuff Hubについては、利用者全員にライセンスが必要なことから、文字通りスタッフ間でのスケジュール管理という位置づけになります。

Microsoft Bookings

こちらはOffice 365 メニューから起動することができます。

最初にセッティング画面が表示され、次へ進むとメイン画面が表示されます。

Microsoft Bookingsは、「病院や美容院など店舗(施設)の担当者に対して予約を取る」という考え方です。
なので、予約をとる顧客側は不特定多数であり、Office 365 ライセンスは必要ありません。

予約操作

顧客はWeb、あるいはモバイルデバイスから公開されたWebページを利用して担当者に対して予約を入れます。


予約をすると入力したメールアドレスに確認メールや予約日近くにリマインダも送信されます。
そのメールからスケジュール変更やキャンセル画面へのリンクボタンがついてきます。

 

すでに予約された日時は選択画面に表示されなくなるのでダブルブッキングを防げぐことができます。

※ Microsoft Bookingsは、「担当者に対する予約」という考え方なので、「20人まで受け付け可能」という人数による制御は現時点では不可能です。(担当者を20人分登録しておく・・というやり方ならば可能ですが)

管理画面

管理画面からは、予約時間間隔(30分、15分など)や担当者の登録、FaceBookやTwitterと連携し、予約ボタンを表示させるなどの設定が可能です。また、予約不可能時間や担当者の休暇なども設定できます。

顧客同士はだれがどの時間を予約しているかは確認できないので、プライバシーも保たれます。

 
どちらもUIからの簡単な操作ですぐに利用できます。
試用版からもご利用できますので、ぜひお試しください。