Mitteilung3

リモートワーク環境の早急な整備 新型コロナウィルス（COVID-19）の影響が日に日に深刻化していっている中、リモートワーク環境の早急な用意が各企業に求められているように感じます。 既存のVPN設備のみで業務が回ればそのままフルリモートで構わないと個人的には思いますが、VPN設備自体が全社員一斉のリモートワークや、Office 365をはじめとしたクラウドサービスへの接続を考慮に入れた設計になっていないことが多いと思います。 結果、VPNやネットワーク機器のキャパシティ不足、Web会議のようなリアルタイム通信系の通話やビデオのシステムで社内ほどのパフォーマンスが出ない、などのユーザークレームがあがり課題となることも多いかと存じます。 以前紹介したVPN利用時にいくつかのURLやIPレンジ、ポートをスプリットトンネリングすること（ こちら ）でこれらの問題を解消できる可能性はありますが、そもそもVPNを使わせずに各社員にインターネットを通してクラウドサービスにアクセスさせたい場合はAzure ADの条件付きアクセスを使うことになります。 Azure AD条件付きアクセスをすぐに展開するためのTips集 FAQ形式で、Microsoftが条件付きアクセスを迅速に展開するためのヒント集を公開しました。 Frequent questions about using Conditional Access to secure remote access Industry trends and changes in the way we work usually span years, with organizations evolving at their own pace. But we’re living in unusual times. Organizations asking employees to work from home to slow the spread of COVID-19 are making huge organizational and process changes in a matter of we… 実際に条件付きアクセスのサンプル設定やトラブルシュート方法も併せて記載されているので条件付きアクセスをすぐに展開したい...

クラウドサービスなのにVPNで全部社内ネットワーク通してアクセスするの違和感半端ない・・ Office 365だけでなく、様々なクラウドサービスが基幹システムやアプリケーションとして社内利用されているところが多いと思います。 しかしながら、外出先や自宅などからインターネット上にあるクラウドサービスへアクセスするのに、昔からあるVPNを通して社内ネットワーク経由でアクセスする形態であるところが多いのではないでしょうか。 私もそうなのですが、なんかこの使い方って違和感があるというかなんかもったいない気がしませんか。笑 もちろんそもそもクラウドサービスが業務に欠かせないシステムに採用されることは昔は想定されていなかったでしょうし、インターネット出口を監視、ログするためという理由は理解できますが・・。 VPN環境でも4つのURLをスプリットトンネリングするだけでOffice 365を高速化する！ Microsoftが上記のようなVPN環境下でも、特定URL/IPサブネットだけをVPN回線ではなくインターネット直接アクセスするように構成すること（VPNスプリットトンネリング）でパフォーマンスが最大化できるよ、と紹介されています。 How to quickly optimize Office 365 traffic for remote staff & reduce the load on your infrastructure Over the past few weeks, Microsoft, and more specifically the Office 365 Network team have seen a large influx of questions from customers around how best to optimize their Office 365 connectivity as they work diligently to plan for a large amount of their userbase suddenly working from home. We’ve … 具体的にインターネット直接アクセスにすべきURL/IPサブネットが書かれているので非常に分かりやすいですね。 別のサイトで公開さ...

デバイスをAADに登録することとIntuneと条件付きアクセス すごく今更な感はありますがこれらの関係性を少しまとめてみました。言葉として参加と登録ってややこしいですよね。 Azure ADへのWindows 10登録手法 Azure AD参加 感覚的にはAADにマシンをドメイン参加するイメージ。 AADアカウントでPCにログイン。 オンプレミスのADドメインに参加しているとできない。 Azure AD参加可能ユーザーを制限するか事前にデバイス情報を登録することでBYODの参加を防げる。 Intuneにも自動登録される。（自動登録できる） オンプレミスのADに参加していると選択できない方法なので既にADを使って歴史が長い会社がすぐにAAD参加に切り替えるのはハードルが高そうです。逆に既存のオンプレミスAD資産がない組織はこちらが最有力選択肢です。 Hybrid Azure AD参加 オンプレミスADに参加したコンピューターの情報がAADCを通してAADにも参加される。 今まで通りADユーザーアカウントでPCにログインし、オンプレミスADリソースにも今まで通りにアクセス可能。 AADCでユーザーとコンピューター両方同期していないとならない。 Intuneにも自動登録される。（できる） 多分既存オンプレミスのADリソースはそのまま利用したい会社はこちらが検討の筆頭になると思います。 Azure AD登録 オンプレADドメインに参加しててもできる。 マシンの情報をAADに”登録”だけするイメージ。 ローカルアカウントかADアカウントでPCにログインする。 条件付きアクセスでIntune Enrollmentを特定IPから以外ブロックすることである程度はBYODの登録を防げる。 Android, iOS Intuneにも自動登録される。（できる） スマートフォンが主たる対象ですかね。オンプレミスADに参加しているけどAADCで同期していない環境はハイブリッドAAD参加できないのでこちらを選択かな？ Intuneに登録されることのメリット 上記いずれの方法でもIntune（クラウド）にもデバイスが自動登録がされます（少し設定は要ります）。 そうすることのメリットはIntuneからデバイスの設定を管理やアプリケーションの配布などを行えることに加え、Intune管理下にあることを...

権限の棚卸しやトラブルシューティングに Exchange OnlineでSend As, Send on Behalf, Full Access（等のメールボックス権限）が割り当てられているユーザーの抽出を行うスクリプトが紹介されています。 Reporting Exchange Online Mailbox and SendAs/On Behalf Of Permissions – Office 365 for IT Pros Shortly after publishing Reporting Exchange Online Mailbox Permissions, I received two notes. One was from Vasil Michev to say that I should have used the REST-based cmdlets from the Exchange Online Management module. The other was a reply to my note in the Microsoft Technical Community to point me to some script snippets covering “the other” mailbox-level permissions that you might assign over mailboxes. Send As Send As権限はその人を送信元として違う人がメールを送信できる権限です。これを用いてメールを送ると受信者は本人から送られてきたかSend As権限を割り振られたユーザーから送信されたのか判別できません。 例えばITサポート部門などの共用メールボックスのアドレスを複数人で共通の窓口として利用し、送信元もそのアドレスにしたい場合とかに利用しますかね。 Send on Behalf Send on Behalf権限はSend Asと同様に送信元を他者が利用できる権限ですが、違いはSend on Behalfの場合は「誰々が代理で送信しました」、と相手に表示されます。 秘書が役職者の代わりにメールを送信する場合などで使われますね。 Full Access Full Access権限は実利用者と同...

最新のExchange Hybrid Configuration Wizard (HCW) がリリースされています ビルド番号は17.xで既存の16.xとは共存できるみたいです。 17.xの変更点が説明されているのでさらっとみてみましょう。 March 2020 significant update to Hybrid Configuration Wizard (Apologies for what appears as a duplicate post, we had some publishing issues) We wanted to let you know that we are releasing what we consider a significant update to Exchange Hybrid Configuration Wizard (HCW). Along with a handful of small bug fixes, there are four major changes coming that we wa… 1. HCW will no longer enable Federation Trust by default for all installations. Instead, it will only enable Federation Trust if there are Exchange 2010 servers on premises. Exchange 2010がオンプレミスにいない場合はFederation Trust（フェデレーション信頼）を確立しなくなったそうです。コメント欄にありましたが2013以降である場合はOAuthでオンプレミスとオンラインを結ぶとのこと。 2. When uninstalling the hybrid agent and switching to Classic in the HCW, this action would sometimes fail with a “null reference” error. We have fixed this! HCWアンインストール時にnull referenceのエラーが出るのを直したそうです。ヌルリ。 3. So whi...

前から思ってたんですがなんでOneNoteって2つあるんだろう・・ 解説ページがありました、カワセミの絵がかわいいです。 What’s the difference between OneNote and OneNote 2016? If you’re using a recent version of Microsoft Office together with Windows 10, you’ve probably noticed more than one version of OneNote on your computer or device. This article provides information about the difference between the two Windows versions of OneNote. OneNote 2016 is the desktop version of OneNote that was originally released as part of Microsoft Office 2016. OneNoteをWindows 10で探すとOneNoteとOneNote 2016、2つのアプリが見つかります。 上記サイトに依るとこの2つは以下の扱いとのことです。 OneNote: Windows 10に標準で入っている。正式名称はOneNote for Windows 10 OneNote 2016: 元々Office 2016に含まれていたもので、今はOffice 365 ProPlus, Office 2019にも含まれている。 だそうです。 一見すると有償であるOfficeに含まれるOneNote2016の方が格上に思えますが、どちらも無料で個別にダウンロードができます。 You can download OneNote 2016 for free, or install it as part of Office. You can download OneNote for Windows 10 for free from the Microsoft Store. さらにこの2つのOneNoteはWindows 10なら1つの端末に同居可能です。 機能の違い...

Exchange Online上でのローカルメールボックス移動（New-MoveRequest）が4/15以降廃止されます Disabling New-MoveRequest for Local Mailbox Moves As many of you might know, we move mailboxes between different databases in the cloud to balance the load. This is done daily through local move requests automatically triggered by our Mailbox Load Balancing service. A few years ago, we launched the GoLocal program, enabling customer data to reside … New-MoveRequestはExchange上のメールボックスを別のサーバーやMDBに移動させるExchange (Online) PowerShellモジュールのcmdletです。 オンプレミスのExchangeでは、例えばユーザーの異動時に最もアクセスが早くなりそうなサーバーにメールボックスを移動してあげたり、メールボックスが集中しているMDBから別のMDBにメールボックスを移すのに使っていました。 Exchangeハイブリッド環境ではオンプレミスからExchange Onlineへメールボックスを移動したり、逆にオンプレミスへ戻すのにも使うcmdletですね。 また、メールボックスやMDB、Exchangeサーバーに起因する何らかの問題発生時にトラブルシュートのために実施することもあります。（移動によりリセットされる値があるため） ローカル移動今までできたんだ・・、廃止になるけど 今回Exchange Onlineの方で、Exchange Online内でのローカルな移動をできなくするそうです。 私は知らなかったのですが、Exchange Online内でのローカルな移動をNew-MoveRequestでできたんですね！引数に移動したいメールボックスのメールアドレスのみを指定し、あとはパラメーターなしとするだけで同一リージョンの適当な...