Mitteilung3

現地語のエラーメッセージを送られてきて内容が分からないときとかに Microsoft系製品のエラーメッセージをインターネットで検索するときに日本語よりも英語の方がヒットする件数が当然多いので、日本語のエラーメッセージを検索してもあまり有用な情報が出てこない場合は、以下サイトからそのメッセージの原文を検索できます。 ローカライズされたエラー メッセージの検索 – Microsoft | ランゲージ ポータル 日本語から英語だけでなく、ローカル言語->日本語とかもできる（文字がコピーできれば）はずです。

CSVとかにBoolean型の値を出力すると文字列として”True”や”False”が出力されるので、それを再度インポートしようとすると型が異なるのでエラーになったりします。 文字列なtrue/falseをBooleanやbool型に戻してインポートしましょう。 $HiddenFromAddressListsEnabled = [System.Convert]::ToBoolean($eachline.HiddenFromAddressListsEnabled) Exchangeでアドレス帳への表示・非表示を制御するBooleanなプロパティHiddenFromAddressListsEnabledに出力したCSVから下記戻すようなときの例。 引用・参考： Powershell – Setting Boolean value imported via CSV – Learn Tech Future

Azure AD Connect (AADC) サーバーを利用してオンプレミスのオブジェクトをAAD (365) に同期している環境の場合、既定で30分に一回の同期 (AADC -> AAD) が行われますが、いますぐ同期したいときはAADCサーバー上でこちらを実行。 Start-ADSyncSyncCycle -PolicyType Delta 大きな変更を行っていない限り通常差分同期が30分に一回行われるので、それを上記cmdletにより手動実行できます。 参考・引用： PowerShell Basics: How to Force AzureAD Connect to Sync (microsoft.com)

KB適用後ECPにログインしたら・・ KB4593465 (CU17用)をExchange2016に適用後、Exchange管理センター（admin center）にログインすると以下のエラーが出るようになりました。 対処 以下の対処を該当サーバー上で行うことで解消しました。 参考： https://social.technet.microsoft.com/Forums/en-US/7c36836c-0223-4bfe-8a36-24db8a021507/error-in-ecp-and-owa-after-update IISマネージャーを開き サイト -> Exchange Back End -> ecpを選択し、[アプリケーションの設定]を開く BinSearchFoldersの値に以下のように%ExchangeInstallDir%が含まれており解決できないのがエラーの原因になっているので、 %ExchangeInstallDir%bin;%ExchangeInstallDir%bin\CmdletExtensionAgents;%ExchangeInstallDir%ClientAccess\Owa\bin こうなっていたらこれを、 C:\Program Files\Microsoft\Exchange Server\V15\bin;C:\Program Files\Microsoft\Exchange Server\V15\bin\CmdletExtensionAgents;C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\bin と、こう直す。 環境変数の追加でもいけるかもしれません。 OWA, ECPフォルダーにあるweb.configファイル内も同様に%ExchangeInstallDir%があった場合C:\Program Files\Microsoft\Exchange Server\V15\に置換する。 OWAフォルダー：C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa ECPフォルダー：C:\Program Files\Microsoft\Exchange Server\V15...

パスワードが失効すると困るサービス用のアカウントとかに Azure AD上のクラウドユーザーのパスワードを無期限にする方法、無期限に設定されているか確認する方法のメモです。 オンプレミスのADだとユーザーのプロパティを開いてチェックボックスにチェックを入れるだけで無期限にできますが、365やAADからはできなそうなので手段はPowerShell (+ Azure AD PowerShellモジュール)です。 パスワード無期限化/パスワード無期限確認方法 AAD PowerShellモジュールのインストールについてはこちら https://docs.microsoft.com/en-us/powershell/azure/active-directory/install-adv2?view=azureadps-2.0 PowerShellモジュールのインストールが済んでいれば、まずはAADにつなぎます。 Connect-AzureAD 管理者の認証情報を入力後、以下cmdletで対象ユーザーのパスワードが無期限に設定されているか確認できます。 対象AADユーザーのパスワードが無期限に設定されているか確認する 実行cmdlet Get-AzureADUser -ObjectId <対象ユーザーのUPN> | Select-Object UserprincipalName,@{N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}} 結果 無期限に設定されている場合 UserPrincipalName                                     PasswordNeverExpires-----------------                              ...

見に覚えのない未読メールが数千も？ 数千の未読メールが検索フォルダー配下の未読のメールに表示されることがあるそうです。 発生するのはOutlook2013以降。 Outlook の検索フォルダーに、件名が空白の予期しないメール アイテムが表示されます。 – Outlook Outlook 2013、Outlook 2016、Outlook 2019 または Outlook Office 365 ですべてのメール アイテム用の検索フォルダーを作成すると、フォルダーに件名が空白の予期しないアイテムが含まれます。 これらの項目にマウスを移動すると、次の情報が表示されます。 フォルダー内: PersonMetadata PersonMetadata フォルダは、 Outlook Customer Manager (OCM) によって作成および使用されます。 フォルダーは通常、Outlook ユーザー インターフェイスの他の部分から隠されています。 ただし、検索フォルダーには、このフォルダーのメール アイテムが含まれます。 これらの項目には空白の件名がありますが、OCM によってアクティブに使用されているため、削除または変更しないでください。 検索フォルダーの制約により、隠しフォルダー内のメール アイテムが含まれます。 廃止後も、PersonMetaData フォルダーとその中のアイテムは期間限定で使用できます。 このフォルダー内のアイテムを変更または削除すると、アイテムが再作成されたり、新しいアイテムが表示されたりする場合があります。 近い将来にサービスが変更されると、PersonMetaData フォルダーとそのアイテムがサービスから削除されます。 それまでは、次の回避策を使用して、非表示フォルダーのメールアイテムが検索結果に含まれないようにしてください。 [検索フォルダー] を右クリックし、[この検索フォルダーのカスタマイズ] をクリックします。 [参照] をクリックし、[サブフォルダの検索] オプションの選択を解除します。 含めるフォルダを手動で選択します。 要諦 検索フォルダー（Search Folders）下では、通常では見えないPersonMetaDataフォルダーとその中のアイテムが表示されてしまう。これはシステムが利用するものなので消してもまた出てきてしまう...

未だにコマンドプロンプト開くのどうかと思うので。あとPowerShellで調査した方がかっこよさげなので。 トラブルシュートの際にネットワーク情報を収集するためにコマンドプロンプトからコマンドを発行することは結構多いと思いますが、さすがにもう2020年なのでPowerShellコマンドレットに置き換えていきたいです。 ただ使い慣れているとcmdからの方が早いので結局いつもどおりで進歩がないので、意識的に変えていかないとダメですね。 Ping command prompt: Ping ping yahoo.co.jp Pinging yahoo.co.jp [182.22.59.229] with 32 bytes of data: Reply from 182.22.59.229: bytes=32 time=12ms TTL=53Reply from 182.22.59.229: bytes=32 time=12ms TTL=53 Reply from 182.22.59.229: bytes=32 time=12ms TTL=53Reply from 182.22.59.229: bytes=32 time=11ms TTL=53 Ping statistics for 182.22.59.229:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 11ms, Maximum = 12ms, Average = 11ms PowerShell: Test-NetConnection Test-NetConnection -ComputerName 'yahoo.co.jp'ComputerName : yahoo.co.jpRemoteAddress : 183.79.135.206InterfaceAlias : Wi-FiSourceAddress : PingSucceeded : TruePingReplyDetails (RTT) : 22 ms PowerShell: Test-NetConnection -port Test-NetConnectionはポートクエリーのよ...

リモートワーク環境の早急な整備 新型コロナウィルス（COVID-19）の影響が日に日に深刻化していっている中、リモートワーク環境の早急な用意が各企業に求められているように感じます。 既存のVPN設備のみで業務が回ればそのままフルリモートで構わないと個人的には思いますが、VPN設備自体が全社員一斉のリモートワークや、Office 365をはじめとしたクラウドサービスへの接続を考慮に入れた設計になっていないことが多いと思います。 結果、VPNやネットワーク機器のキャパシティ不足、Web会議のようなリアルタイム通信系の通話やビデオのシステムで社内ほどのパフォーマンスが出ない、などのユーザークレームがあがり課題となることも多いかと存じます。 以前紹介したVPN利用時にいくつかのURLやIPレンジ、ポートをスプリットトンネリングすること（ こちら ）でこれらの問題を解消できる可能性はありますが、そもそもVPNを使わせずに各社員にインターネットを通してクラウドサービスにアクセスさせたい場合はAzure ADの条件付きアクセスを使うことになります。 Azure AD条件付きアクセスをすぐに展開するためのTips集 FAQ形式で、Microsoftが条件付きアクセスを迅速に展開するためのヒント集を公開しました。 Frequent questions about using Conditional Access to secure remote access Industry trends and changes in the way we work usually span years, with organizations evolving at their own pace. But we’re living in unusual times. Organizations asking employees to work from home to slow the spread of COVID-19 are making huge organizational and process changes in a matter of we… 実際に条件付きアクセスのサンプル設定やトラブルシュート方法も併せて記載されているので条件付きアクセスをすぐに展開したい...

デバイスをAADに登録することとIntuneと条件付きアクセス すごく今更な感はありますがこれらの関係性を少しまとめてみました。言葉として参加と登録ってややこしいですよね。 Azure ADへのWindows 10登録手法 Azure AD参加 感覚的にはAADにマシンをドメイン参加するイメージ。 AADアカウントでPCにログイン。 オンプレミスのADドメインに参加しているとできない。 Azure AD参加可能ユーザーを制限するか事前にデバイス情報を登録することでBYODの参加を防げる。 Intuneにも自動登録される。（自動登録できる） オンプレミスのADに参加していると選択できない方法なので既にADを使って歴史が長い会社がすぐにAAD参加に切り替えるのはハードルが高そうです。逆に既存のオンプレミスAD資産がない組織はこちらが最有力選択肢です。 Hybrid Azure AD参加 オンプレミスADに参加したコンピューターの情報がAADCを通してAADにも参加される。 今まで通りADユーザーアカウントでPCにログインし、オンプレミスADリソースにも今まで通りにアクセス可能。 AADCでユーザーとコンピューター両方同期していないとならない。 Intuneにも自動登録される。（できる） 多分既存オンプレミスのADリソースはそのまま利用したい会社はこちらが検討の筆頭になると思います。 Azure AD登録 オンプレADドメインに参加しててもできる。 マシンの情報をAADに”登録”だけするイメージ。 ローカルアカウントかADアカウントでPCにログインする。 条件付きアクセスでIntune Enrollmentを特定IPから以外ブロックすることである程度はBYODの登録を防げる。 Android, iOS Intuneにも自動登録される。（できる） スマートフォンが主たる対象ですかね。オンプレミスADに参加しているけどAADCで同期していない環境はハイブリッドAAD参加できないのでこちらを選択かな？ Intuneに登録されることのメリット 上記いずれの方法でもIntune（クラウド）にもデバイスが自動登録がされます（少し設定は要ります）。 そうすることのメリットはIntuneからデバイスの設定を管理やアプリケーションの配布などを行えることに加え、Intune管理下にあることを...

最新のExchange Hybrid Configuration Wizard (HCW) がリリースされています ビルド番号は17.xで既存の16.xとは共存できるみたいです。 17.xの変更点が説明されているのでさらっとみてみましょう。 March 2020 significant update to Hybrid Configuration Wizard (Apologies for what appears as a duplicate post, we had some publishing issues) We wanted to let you know that we are releasing what we consider a significant update to Exchange Hybrid Configuration Wizard (HCW). Along with a handful of small bug fixes, there are four major changes coming that we wa… 1. HCW will no longer enable Federation Trust by default for all installations. Instead, it will only enable Federation Trust if there are Exchange 2010 servers on premises. Exchange 2010がオンプレミスにいない場合はFederation Trust（フェデレーション信頼）を確立しなくなったそうです。コメント欄にありましたが2013以降である場合はOAuthでオンプレミスとオンラインを結ぶとのこと。 2. When uninstalling the hybrid agent and switching to Classic in the HCW, this action would sometimes fail with a “null reference” error. We have fixed this! HCWアンインストール時にnull referenceのエラーが出るのを直したそうです。ヌルリ。 3. So whi...

前から思ってたんですがなんでOneNoteって2つあるんだろう・・ 解説ページがありました、カワセミの絵がかわいいです。 What’s the difference between OneNote and OneNote 2016? If you’re using a recent version of Microsoft Office together with Windows 10, you’ve probably noticed more than one version of OneNote on your computer or device. This article provides information about the difference between the two Windows versions of OneNote. OneNote 2016 is the desktop version of OneNote that was originally released as part of Microsoft Office 2016. OneNoteをWindows 10で探すとOneNoteとOneNote 2016、2つのアプリが見つかります。 上記サイトに依るとこの2つは以下の扱いとのことです。 OneNote: Windows 10に標準で入っている。正式名称はOneNote for Windows 10 OneNote 2016: 元々Office 2016に含まれていたもので、今はOffice 365 ProPlus, Office 2019にも含まれている。 だそうです。 一見すると有償であるOfficeに含まれるOneNote2016の方が格上に思えますが、どちらも無料で個別にダウンロードができます。 You can download OneNote 2016 for free, or install it as part of Office. You can download OneNote for Windows 10 for free from the Microsoft Store. さらにこの2つのOneNoteはWindows 10なら1つの端末に同居可能です。 機能の違い...

Exchange Online上でのローカルメールボックス移動（New-MoveRequest）が4/15以降廃止されます Disabling New-MoveRequest for Local Mailbox Moves As many of you might know, we move mailboxes between different databases in the cloud to balance the load. This is done daily through local move requests automatically triggered by our Mailbox Load Balancing service. A few years ago, we launched the GoLocal program, enabling customer data to reside … New-MoveRequestはExchange上のメールボックスを別のサーバーやMDBに移動させるExchange (Online) PowerShellモジュールのcmdletです。 オンプレミスのExchangeでは、例えばユーザーの異動時に最もアクセスが早くなりそうなサーバーにメールボックスを移動してあげたり、メールボックスが集中しているMDBから別のMDBにメールボックスを移すのに使っていました。 Exchangeハイブリッド環境ではオンプレミスからExchange Onlineへメールボックスを移動したり、逆にオンプレミスへ戻すのにも使うcmdletですね。 また、メールボックスやMDB、Exchangeサーバーに起因する何らかの問題発生時にトラブルシュートのために実施することもあります。（移動によりリセットされる値があるため） ローカル移動今までできたんだ・・、廃止になるけど 今回Exchange Onlineの方で、Exchange Online内でのローカルな移動をできなくするそうです。 私は知らなかったのですが、Exchange Online内でのローカルな移動をNew-MoveRequestでできたんですね！引数に移動したいメールボックスのメールアドレスのみを指定し、あとはパラメーターなしとするだけで同一リージョンの適当な...

Edgeに個人アカウントでのサインインをブロックする Block personal accounts from syncing in Microsoft Edge with Microsoft Intune | Peter Klapwijk – In The cloud 24-7 Today another blog post related to the new Microsoft Edge Chromium based browser and managing the browser with Microsoft Intune (Microsoft Endpoint Manager). This time about blocking personal accounts from syncing in Microsoft Edge. In the new Edge browser we have to option to sign-in to the browser and sync data like Favorites, Passwords and more. Chromium版Edge Chromium版のEdgeが数ヶ月前に正式リリースされました。Chromium版になってから動作が速くなったり、シンプルなUIでわりといいんじゃないでしょうか。特に自社Office 365内をインターネットと同じ感覚で検索できるMicrosoft Searchは便利ですね。 こうなってくると社内標準ブラウザーを定めている企業で標準のEdgeへの変更も大分視野に入ってくるのではないでしょうか、特に標準がまだIEだったりすると先がなさそうですからね。 個人的には依然EdgeよりChromeが好きなんですが、Office 365などと使うのにMicrosoft製のブラウザーの方が将来的に安心な気もするので業務利用ならEdgeでもいいかなと思います。 Edgeはサインインできます このEdgeですが、AADアカウントや個人のマイクロソフトアカウントでサインインができます。 ChromeやFirefoxをお使いなら想像がつくかと思いますが、お気に入り、アクセス履歴、パスワードなどをアカウントごとに同期できるので、同一アカウントでサインインすれば会社のEdgeでお気に入りに...

Setting Custom Recipient Limits for Exchange Online Mailboxes – Office 365 for IT Pros As a cloud service, Office 365 uses preset limits to protect both Microsoft and its customers from abuse. Although most of the limits are set to reasonable values, in some cases organizations want to be able to modify them and complaints about “loss of control” after the switch to the cloud are not uncommon. 1メールボックスあたり1,000宛先まで許可可能になってました Exchange Onlineではデフォルトで一度に送信できる宛先数は500でしたが、それがメールボックス毎に1 – 1000の間で設定できるようになったんですね。 変更は今の所Powershellからのみのようです。 Set -Mailbox user @ domain . com -RecipientLimits 999 メールボックス毎の設定なので新規に作成されるメールボックスにも事前に設定したい場合はMailboxPlanのRecipientLimitsを変更する必要ありと。 Security & Complianceセンターのアンチスパムの設定には1時間、1日の間に送れる最大件数が定義できるのでそちらも確認しといた方がいいよってことですね。 個人的には1000でも場合によっては足りないのでどうせなら最大は10000くらいにしてほしかったな。

How to restrict to access to o365 from unsupported OS like Ubuntu ,CentOS using Conditional Access | All about Microsoft Endpoint Manager If you are using o365 services ,you might hit requirement to block unsupported OS (Ubuntu,CentOS etc) accessing o365 resources . There are couple of ways that you can restrict unsupported using Azure Active Directory Conditional Access. The only devices that are supported at the moment are iOS,Android,Mac and Windows. 条件付きアクセスでデバイスプラットフォームを条件にして、特定OSからのアクセスの場合のみMFAを強制する、とかできるんですがLinuxとかどうやって指定するのか分かっていなかったのでメモです。 「全部」を指定して除外したいOS（WindowsとかAndroidとか）を選ぶことで選択肢にないOSに適用させるんですね・・。

Find the permissions required to run any Exchange cmdlet You can use PowerShell to find the permissions required to run any Exchange or Exchange Online cmdlet. This procedure shows the role-based access control (RBAC) management roles and role groups that give you access to a specified cmdlet-even if your organization has custom roles, custom role groups, or custom role assignments. Exchange cmdletの実行可能ロールグループを表示するなどの情報がまとまっています。

条件付きアクセスの基本的な考え方 条件付きアクセスで条件が被った時にどうなるか忘れてしまったのですが、以下のように上記サイトに分かりやすくまとまっていました。 どれか１つのポリシーでブロックの対象となった場合、アクセスはブロックされます。 複数のポリシーでアクセスを制限された場合、すべての条件を満たさないかぎり、アクセスはブロックされます。 どのポリシーの対象にもならない場合、あるいはすべての条件を満たした場合、アクセスが許可されます。 被ったら全部の条件が課されるけどブロックがあったらその時点でブロック確定なんですね。 条件付きアクセスってシンプルなケースだけの時はいいんですが、デバイスやネットワーク等複雑な条件で許可をすると、その隙間を埋めるブロック条件が複雑、もしくは多くなってきて抜けてるケースがないか不安になりますね、定義されていないパターンは普通にアクセスできてしまうので。 ただ条件付きアクセスって概念は分かりやすいので技術に疎い人でも設計に口出せるのは良いと思います。

Azure MFA を求められるタイミングについて パスワードの入力とMFAって、一回入れたらいつまで再入力しなくていいの？ あるいは逆にすぐ再入力求められたんだけど、とかの問い合わせがあった際に、やり取りされるトークンの種類と動作などについてまとまっています。