仙台IT文化祭で登壇しました

2017/10/28~2017/10/29の2日間で仙台にある東北大学にて「仙台IT文化祭」が開催されています。

Office 365とGSuite で働き方改革をすすめるにあたり、機械学習の力をつかってより生産性をたかめることができます。

そんな話をしてきました。

資料はここにアップしてありますのでぜひご覧ください!

 

 

.NET Lab 勉強会で登壇してきました

少し間が空いてしまいました。

秋は登壇が続きます。

本日は.NET Lab 9月度勉強会に登壇してきました。

様々なテーマで勉強会を開催されておられますが今回は「Office 365」がテーマでした。

ですので、「Office 365 管理者が押さえておきたい PowerShell コマンド」というテーマお話しさせていただきました。

資料はこちらにも、上記の.NET Labさんのサイトにも掲載されておりますのでご興味ありましたらご覧ください。

ちなみに、来月は仙台で行われる「仙台IT文化祭」で登壇してきます。セッション情報やタイムテーブルなどはまもなく公開されます。Microosft MVP やMicrosoft エバンジェリストも多数登壇いたしますのでご期待ください。

仙台近郊のかたもそうでないかたもご都合よろしければぜひご来場ください。

 

 

 

 

 

Microsoft 365 が発表されました

ワシントンDCではグローバールなMicrosoft パートナー向けイベント「Inspire 2017」が開催されています。昨晩 (日本時間) の Keynoteでは「Microsoft 365」の発売が発表されました。

Office 365が名称変更?というわけではありません。

microsoft365-1

「Office 365」+「Windows 10」+「Enterprise Mobility +Security」の製品・サービスから「Creativity」・「Teamwork」・「Simplicity」・「Security」をテーマとして統合されたパッケージサービスのようです。

microsoft365-2

たとえば、「TeamWork」というキーワードには Office 365 で最近話題の Teams  やSkype for Business。当然Exchange online も含まれます。Security には Intune や AIP も入っています。

Office 365、Windows 10、EMSはこれまでも合わせてご利用いただけるとより効果を発揮できる・・とご紹介をしていたものなので、それをパッケージとしてよりご案内しやすくなった感じですね。

また、ただセットにしただけではなく、最近話題の「AI」の要素も組み込まれています。

今までもMyAnalyticsではAIが組み込まれていますが、Keynoteでは「Outlookで重要なメールを 「AI」 が選別して強調表示するという紹介がされていました。今後、ExcelなどOffice アプリケーションにもAI要素が含まれるようです。もう「AIは他人事・・」という訳にはいきません。

さて、販売されるMicrosoft 365のプランは EnterpriseとBusinessの2種類です。

Enterpriseが大企業向け(300名以上)、Businessが中小企業(300名以下)という区分けになっています。

詳細な情報はこれから増えてくると思われますが、現時点の情報は以下のサイトでも確認できます。

Microsoft 公式Blog(英語)

https://blogs.office.com/en-us/2017/07/10/introducing-microsoft-365/

Public Key(オンライン記事 日本語)

まずは8月からEnterpriseプランが提供されるようです。楽しみですね。

シチュエーション別 Active Directory デザインパターン

先月行われた Microsoft de:code 2017 の登壇資料と動画が公開されました。

こちらになります。

今回は認証基盤をAzure ADで一本化するとどんなメリットがあるのか?ということを主体にお話ししています。

登壇の後、この構成を検討しているという企業の方からご相談もいただきました。その企業では社内 (オンプレ) にはファイルサーバーと Active Directory 環境のみだそうです。また Office 365 などの SaaS をご利用されているとのこと。

徐々にこういう構成を検討される企業は増えているようですね。

 

 

 

 

 

Office 365 で予約管理- Stuff Hub と Microsoft Bookings

Stuff HubとMicrosoft Bookingsは、順次テナントに配信されておりますが「先行リリース」をオンにしておくと、配信が早くなります。(Stuff  Hub はまだパブリックプレビューのようです)

さて、これら2つのサービスですが、どちらも「予定、スケジュール」を管理することができます。
それぞれの特徴を比べてみたいと思います。

利用できるプラン

Stuff Hub:Office 365 K1、Enterprise E1/E3/E5
Microsoft Bookings:Office 365 Business Premium

利用方法

Stuff Hub

Stuff Hub:現在は以下のURLから利用します。Teams もそうだったように、じきにメニュー画面に登場すると思います。
https://staffhub.ms/

Office 365アカウントでサインインを行います(事前にライセンスは割り振っておいてください)
「チーム」、「スケジュール」、「ファイル」の3つのタブが確認できます。

チーム

ここからスケジュール(シフト)管理するメンバーを招待していきます。利用ユーザーも前述のライセンスが必要になります。

ファイル

ここではチームメンバーとのファイル共有が可能です。マニュアルなど共有しておけますね。

スケジュール

スタッフメンバーのシフト管理が可能です。
公開されたスケジュールはモバイルアプリからも確認できます。メンバー同士でシフトの確認、交換なども可能です。

Stuff Hubについては、利用者全員にライセンスが必要なことから、文字通りスタッフ間でのスケジュール管理という位置づけになります。

Microsoft Bookings

こちらはOffice 365 メニューから起動することができます。

最初にセッティング画面が表示され、次へ進むとメイン画面が表示されます。

Microsoft Bookingsは、「病院や美容院など店舗(施設)の担当者に対して予約を取る」という考え方です。
なので、予約をとる顧客側は不特定多数であり、Office 365 ライセンスは必要ありません。

予約操作

顧客はWeb、あるいはモバイルデバイスから公開されたWebページを利用して担当者に対して予約を入れます。


予約をすると入力したメールアドレスに確認メールや予約日近くにリマインダも送信されます。
そのメールからスケジュール変更やキャンセル画面へのリンクボタンがついてきます。

 

すでに予約された日時は選択画面に表示されなくなるのでダブルブッキングを防げぐことができます。

※ Microsoft Bookingsは、「担当者に対する予約」という考え方なので、「20人まで受け付け可能」という人数による制御は現時点では不可能です。(担当者を20人分登録しておく・・というやり方ならば可能ですが)

管理画面

管理画面からは、予約時間間隔(30分、15分など)や担当者の登録、FaceBookやTwitterと連携し、予約ボタンを表示させるなどの設定が可能です。また、予約不可能時間や担当者の休暇なども設定できます。

顧客同士はだれがどの時間を予約しているかは確認できないので、プライバシーも保たれます。

 
どちらもUIからの簡単な操作ですぐに利用できます。
試用版からもご利用できますので、ぜひお試しください。

Office 365とAzure Information Protectionでメール自動暗号化

最近、Office 365をご利用のお客様がAzure Information Protection(以下、AIP)をご契約されることが増えてきています。
あるOffice 365をご契約のお客様がAIPをご検討されており、以下のようなご質問をいただいました。

「社員に社外へメールを送るときには暗号化をするように言ってもきっと忘れちゃうんだよね‥。メール送るときに自動で暗号化させたいんだけど」

自動暗号化というキーワードでAIPの機能を見ていると実装不可能?と思いがちなのですが、今回のようにOffice 365(Exchange Online)をご利用いただいていれば実現可能なんです。

事前準備

必要なライセンス:Exchange Online およびAIP P1

最初に行う設定:AIPの有効化のため以下のPowerShellを実行します。

Set-ExecutionPolicy RemoteSigned
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session
Set-IRMConfiguration -RMSOnlineKeySharingLocation “https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc”
Import-RMSTrustedPublishingDomain -RMSOnline -Name “RMS Online”
※アジア以外の地域の場合や詳細は以下のURLをご参照ください。
※PowerShellが反映されるまでにタイムラグが(けっこう)必要な場合もあります

Exchange 管理センターからルールを設定

[メールフロー]-[ルールの新規作成]で新しいルールを作成します。「メッセージのセキュリティを変更する」からメッセージの暗号化を選択できます。

また、どのようなときに暗号化するかという設定も状況に応じて選択できます。

管理者が設定さえしておけば、社員は無意識に暗号化されたメールを送信することができます。
送信先のメールアドレスはとくに選ぶことがないので、安心ですね。

送信者の対応

では送信者にはどのように届くかというと、暗号化されているというメッセージとともにHTMLファイルが添付されたメールが届きます。

HTMLファイルをクリックすると、マイクロソフトアカウントでサインインする画面が表示されます。もしマイクロソフトアカウントがなく、作成したくない場合にはワンタイムパスコードでの利用も可能です。


これなら送信された側もユーザーも大きな負担はかかりませんね。
Office 365 同様、AIPも試用版の利用が可能ですので、ぜひお試しください。

RMS暗号化ファイルのオフラインでの利用

最近お客様より以下の様なご質問をいただくことがありました。

「RMSで暗号化されたファイルを解読するのは常にオンラインである必要があるか?」
ということです。

通常、相手が解読できる相手かどうか認証するためにオンラインである必要がありますが、テンプレートを利用すると指定した日数についてはオフラインでの解読が可能となります。
指定された日数の間は資格情報がキャッシュされた状態が保たれるわけですね。

以下、手順です。
事前にOffice 365管理画面で、Rights Managementを有効化しておきましょう。
※Office 365 管理画面でのActive化とともにPowerShellの実行が必要です。

設定ーアプリーMicrosoft Azure Information Protection ーMicrosoft Azure Information Protection の設定の管理から行います。
Azure クラシックポータルにて該当ディレクトリを選択し、[RIGHTS MANAGEMENT] を選択します。

[管理]ー[新しい権利ポリシーテンプレートを作成する]にてテンプレートを作成します。

[権利テンプレートの管理] より作成したテンプレートを選択し、[ユーザーおよびグループの権限の構成]にて[作業の開始]をクリックします。

[構成]タブをクリックし、[オフライン] – [インターネットに接続せずにコンテンツを利用できる日数]をチェックし、日数を入力します。

[状態]から[発行] をクリックし、[保存]をクリックします。

[権限]タブよりユーザーに該当する権限を付与します。今回はすべての権限(共同所有者の権限を付与しました)

[スコープ]タブより該当するユーザーを追加します。
有効化・反映されるまで数分~数時間かかることもありますので気長にまちましょう。メールを作成する際に作ったテンプレートを指定します。

 

テンプレートを利用したカスタマイズ、ぜひお試しください。

 

Office 365 へのアクセス場所制御

ずいぶん前から、Office 365のアクセス場所について「社内からのみアクセスさせたい」、「社外からのアクセスを制限したい」などご要望を耳にしていました。現在は3つの方法から選択することができます。

①ADFSによる制御

これらの制御を実現する方法として従来までだと、ADFSによる実装が代表的でした。利用状況により懸念(ADFSで認証・認可された状態で外出時など)はありますが…。

②Azure ADによる制御

また、昨年秋ごろからAzureAD側で実装することも可能になっています。(※現在プレビュー)Azure AD から該当ディレクトリを選択し、[構成] 画面をスクロールしていくと「組織のパブリックipアドレス範囲」項目が表示されます。こちらに利用を許可する場所からのパブリックIPを登録します。

③Onedrive(OneDrive for Business)管理画面による制御

外部からのアクセス制御したいサービスに「OneDrive for Business」やSharepoint」があげられます。

現在プレビュー段階(※2017年1月中にGA予定。)ですが、OneDrive for Businessに管理画面ができました。先行リリースを有効にしていると、Onedriveの画面メニューに「OneDrive 管理者プレビュー」というリンクが表示されます。表示されなかった場合は以下のリンクからご利用ください。(テナントにより表示されない可能性もあります)

https://admin.onedrive.com/

管理者プレビュー画面より「デバイスアクセス」をクリックします。「ネットワークの場所に基づいてアクセスを制限する」項目が表示されます。

チェックボックスにチェックをいれるとIPを登録する画面が表示されます。そこへアクセスを許可する場所のパブリックIPを登録します。

 

登録された場所以外からのアクセスは拒否されることが確認できます。

選択肢が増え柔軟に対応できるようになってきましたが、以下のような注意事項もありますので、自社の状況を考慮し適切な選択をする必要がありそうです。

●アクセスの許可/拒否はテナント単位です。

●現在はIPによるアクセスを許可されていない場合は、管理画面へのアクセスも不可能です。

※現在プレビューのため、GAされた際には仕様やUIなど変更されている可能性もあります。ご了承ください。

 

Microsoft Intune によるモバイルデバイスのマルウェア対策(後編)

Intuneと連携するためのLookoutの設定

前回の投稿で、IntuneとLookOutの連携を行うためにLookOutのサポートへ連絡をしました。2営業日後、無事にLookOutのMTPへアクセスが可能になったというメールが届きました。

①Lookoutダッシュボードへログイン

早速以下のURLへアクセスしLookOutの設定を行います。

https://aad.lookout.com

ディレクトリへのアクセス許可を促すページが表示されます。【承諾】をクリックします。

すると、このようなLookout MTP ダッシュボード画面が表示されます。
ポリシーのカスタマイズも可能です。

 

②Intuneコネクタの設定

システムメニューから「コネクタ」タブへ移動します。「コネクタを設定」画面で、[コネクタを追加]をクリックし、[Intune] を選択します。

「コネクタを設定」画面で、[コネクタを作成]をクリックします。

[変更を保存]メッセージが表示されたら、[閉じる] ボタンから画面を閉じます。コネクタが接続は完了です。Intune管理画面から[Lookoutの状態]メニューが利用できることが確認できます。

 

③デバイスへLookoutアプリを展開

今回はAndroidデバイスへ展開してみます。左メニューから[アプリ] – [アプリの追加]をクリックします。「セキュリティ警告」「画面が表示されたら[続行]をクリックします。ソフトウェアパブリッシャー画面にサインインします。

「開始する前に」画面で[次へ]をクリックします。「ソフトウェアセットアップ」画面で[外部リンク]を選択し、URLを入力し[次へ]をクリックします。

名前に[Lookout for work]、発行元、説明を適宜入力し、カテゴリで[コンピューターの管理]を選択し、[次へ]をクリックします。

概要画面で表示された内容を確認し[アップロード]をクリックします。「Microsoft Intune にデータが正常にアップロードされました」画面で、[閉じる]をクリックします。Intuneの管理コンソールでアップロードしたアプリが表示されていることが確認できます。

表示されたリストを右クリックし、[展開の管理]をクリックします。展開するグループを選択し[次へ]をクリックします。承認欄で[利用可能なインストール]あるいは[必須のインストール]を選択し、[完了]をクリックします。

Intune管理コンソール左メニューから[ポリシー]を選択し、コンプライアンスポリシーを作成します。「デバイスの脅威保護」欄で、「デバイス脅威保護を有効にする」を有効にし、[許容される最大脅威レベル]を高、中、低から選択し[ポリシーの保存]をクリックします。

「条件つきアクセス」ポリシーよりLookoutからマルウェアが検出されたデバイスに対し適応させるポリシーを設定します。

会社から配布したモバイルデバイスに対し、感染状況を把握し社内リソースを守ることが可能になりました。

現在は、Lookout側の設定画面を利用するにはメールによるやり取りが必要となるため、若干のタイムラグが発生することを考慮する必要があります。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Azure Information Protection P2 の機能

この投稿は Office 365 アドベントカレンダーに参加しています。

以前の投稿でもお知らせしたようにEMSにはE5という上位プランができました。
その中に Azure Information Protection (以下、AIP)Plan 2 が含まれます。

(※ちなみに、AIP は従来まで Azure Right Management(RMS)という名前で呼ばれていたものの後継にあたります。旧という表現をしておりますが、RMS が無くなったわけではありません。AIP は RMS の暗号化技術を使ってさらなる保護をかけています。)

Office 365 E3 以上のプランにも RMS が付随していますが、最近は Office 365 E3 をご利用の企業でも、オンプレミスでの利用や Office ドキュメント以外の保護を目的に AIP の導入をご検討いただくことが増えてきています。
なので、ぜひ Office 365 ユーザーの皆様にもこの機能に興味を持っていただきたいと思い Office 365 アドベントカレンダーにこの投稿を参加させています。

前置きが長くなりました。
では、AIP Plan 2 の新機能として登場した「ラベリングと分類」についてご紹介します。この機能を利用すると、社内ユーザーに視覚的にそのドキュメントの機密性を意識させることができ、情報漏洩などのセキュリティ事故を防ぐことができます。もちろん、従来の Azure RMS の機能でもあるそのドキュメントを追跡、アクセスの禁止などの設定も可能です。

まず、利用するための準備ですが、ご契約いただく前に試してみたいと思われますよね。この AIP(P2)も、もちろんお試しいただくことが可能です。

Office 365 の管理画面(もちろん試用版でもOK)メニューで、「サービスを購入」を選択します。
「Azure Infomation Production P2」を選択し、「無料試用版」ボタンをクリックしてください。


あとはユーザーにライセンスを割り当てれば30日間は製品版と同様機能を利用可能です。

あるいは、以下のページから Enterprise Mobility +Security E5 の無料試用版をお申込みください。

AIP P2 の申し込みが完了したら、次にツールの準備をしましょう。

まずは、RMS のころからおなじみの RMS 共有アプリケーションを以下のサイトからダウンロードしてインストールします。

つぎに、AIP P2 のラベリング機能を利用ために、以下の Azure Information Protection クライアントのサイトをブラウザから開きます。

AzInfoProtection.exe を選択し、ダウンロードを実行します。

ダウンロードが完了したら、あとはウィザードに従いインストールを実行します。

これで準備は完了です。

これだけでも標準で用意されているラベルは利用できますが、内容をカスタマイズするための編集画面をみてみましょう。

Azure ポータルサイトへサインインします。

Azure ポータルから、Market Place – セキュリティ+ID – Azure Information Protection を選択します。


表示された画面で「作成」をクリックします。(ライセンスが付与されていないとここでエラーとなりますので、必ず先に試用版  Or  製品版を取得してください。)

ポリシー編集画面が表示されます。

ここでラベルのカスタマイズをしたり、「すべてのドキュメントとメールにラベルを付ける (自動適用またはユーザーによる適用)」、「分類ラベルを低くする、ラベルを削除する、保護を削除する場合、ユーザーは理由を提供する必要があります」などさまざまなオプションの ON / OFF を切り替えることができます。既定値はどちらも「オフ」になっています。今回は、「視覚的なマーキングの設定(ヘッダーやフッターなど)」を ON に設定します。

設定が完了したら「公開」をクリックし展開します。

それでは、デスクトップで Word 文書を作成してみましょう。
作成した文書を開いてみると、ツールバーに「ラベル」が表示されているのが確認できます。

選択したラベル : Secret がフッターにラベルが表示されていることが確認できます。

残念ながら現段階では、まだすべての機能が利用できる状態ではありません。ラベルがつけられたドキュメントをどのように連携させるかという部分のほとんどが機能制限中です。Exchange Online や Sharepoint Online と統合ができないのが一番つらいところなのですが・・・。最近頻繁にアップデートがかかっているので時間の問題と思われます。(RMS ポリシーテンプレートへの反映が現在プレビュー)

ラベルのつけられたドキュメントの活用方法ですが、例えば Exchange Online のトランスポートルールと連携し、つけられたラベルによってルールを振り分けたり、Cloud App Security と連携した監視の強化も行えます。

他サービスと連携した AIP の活用についてはアップデートの状況をみつつ改めて投稿します。