[メモ]MS社のEMS講習まとめ

講習を受けてきたので纏めます。なお以下の内容は講習時点のもので、1年後にはきっと変わってます(ボタンの位置とか名称とか)

最初の注意事項

  • IEでAzure走査して調子悪ったらchormeで操作
  • IEならInPrivateモード、Chormeならシークレットモードを利用。
    • 変なcookie残らなくてよいらしい
  • 設定にタイムラグはあるので、焦らない
    • 明示的にエラーが出てなければ操作は正しい
  • Azure仮想マシンはケチらずA3以上で
    • 3台を10時間稼働させても320円

基本準備

Azureアカウントの作成

https://manage.windowsazure.com/からサインアップ。

ストレージアカウントの作成、ディスクイメージのコピー

  1. ストレージを選択し、「新規」を選択。ストレージアカウントを作成する。
  2. ストレージアカウントのアクセスキー(文字列)をコピー。
  3. 講習用のpowershellスクリプトを使用して講習用イメージを自分のストレージアカウントにコピー。

初めて実行しました。こうすると自分が作ったイメージをAzureを通して他人のストレージアカウントにコピーできるんですね。リージョンが同じじゃないと動かない?リージョン跨ぎは試してませんが、コピーを行うなら同じリージョンの方がいいでしょう。

コピーしたディスクイメージを元に、仮想マシン作成

前述の手順でVHDファイルがAzure上に配置してある状態なので、これを利用して仮想マシンを作ります。

  1. 仮想マシンを選択し、「作成」を選択。
  2. 「VHDからイメージを作成する」でVHDのURLを指定

VHDイメージがsysprep済みなら「仮想マシンでSysperpを実行しました」を選択。こうしないと再度Sysprepが走り、いろいろな設定が消えてしまう。

AzureADについて

AzureADとはADをAzure上に持てます。それだけではなく、Azure限定の機能もいろいろ使える。まずはAzureADを使えるように。

1.新規AzureADの構築

ActiveDirectory → アプリケーション サービス → Active Directorより名前を設定してAzureADを立てる。ドメイン名はxxxx(選択した名前).onmicrosoft.comとなる。

2.ユーザーを作成

1.で作成したAzureADのテナントに移動し、画面下にある「ユーザー」をクリック。名前は適当に入力してロールを「グローバル管理者」とする。

3.ログイン

https:portal.office.com/にアクセス。上記アカウント「user@xxxx.onmicrosoft.com」と上記で発行された仮パスワードでログイン。ログイン後、パスワードの変更を求められるので、変更して終了。

EMSを使ってみる

今回の講習のテーマ。

EMS評価版を使用する

  1. AzureポータルのActiveDirectoryを開く
  2. 上部の「ライセンス」よりENTERPRISE MOBILITY SUITEを今すぐ試す、を選択。

簡単。この後Enterprise Mobility Suiteよりユーザーに対して「割り当て」を実行することで該当のユーザーがEMSを利用できるようになります。

  • 試用版状態では100ユーザーに限られます。
  • 試用版の期限は30日です。
  • AzureADのテナントを作成毎に、EMSの試用が可能です(検証目的であればほぼ無限に作成可能)

EMS評価版を有効にすることで、自動的にAzureAD Premium状態となる。
余談:AzureADの種類

  • AzureAD:Office365を契約すると無料でついてくるやつ。
  • AzureAD Basic:有料。グループベースのアクセス制御やユーザーによるパスワードリセット。SLAなど。
  • AzureAD Premium:有料:Basicに加えて不正アクセスレポート、多要素認証などなど。

EMSを使用せずともAzureAD Premiumを使うことは可能だが、EMSを使うにはAzureAD Premiumが必須、と。

Azure Rights Management

  1. AzureADのトップページより「Right Management」をクリック。
  2. テナントを選択しアクティブ化。

これでOK。あとはRMSを有効化したユーザーでRMSが使用できます。
で、このRMSというやつ。ファイルを暗号化するソリューションなのですが、僕のイメージではいまいち使いづらい印象。暗号化するのは簡単なんだけど、ADで連携している組織=身内の中でしか閲覧ができない→身内同士でファイルを暗号化することなんかなくね?というやつ。
しかしAzure RMSでは新たに社外ユーザーに対してもRMS制御ができるRMS for Individualsという機能が追加されたのだ!仕組みとしてはインターネットからアクセス可能なAzure上のRMS認証基盤に社外ユーザーのメアドを登録する。受け取ったユーザーは自分のメアドでインターネット上のRMS認証基盤に認証に行く。
そういえば先日のIgnite 2015で「Azure RMS Document Tracking」って機能が追加された様子。これは各RMSファイルが地球上のどの場所で認証、認証NGされたかを追跡できるシステム。RMSファイルが不正利用されてそうダナーと思ったらファイルに対する権限を取り消せばその瞬間からそのファイルは閲覧できなくなる。
ってことでここら辺のエコシステムが整ってくれば、ワンチャンRMSがデファクトスタンダードになる…のか。知らんけど。

多要素認証

RMS/EMSとは全然関係ない話。AzureAD Premiumが有効になったので、Office 365に対して多要素認証をかけることができます。
1.Azure ADのトップページより「多要素認証プロバイダー」を選択。
2. 新しいMulti-Factor Authenticationプロバイダーの作成を選択
3. 多要素認証プロバイダーの名前を指定。使用モデルは「有効化されたユーザーごと」を選択
後は下部の「管理」から構成の管理が行えます。多要素認証のON/OFFはユーザー毎に管理。

  1. Azure ADでテナントを選択、[ユーザー]タブをクリックし、画面下から「多要素認証の管理」をクリック。
  2. 有効化したいユーザーを選択し「有効にする」をクリック。

これでログイン時に電話番号認証も必要になる。構成を変更することで、再認証が必要な機関などをコントロール可能。

Intune

MS版のMDM。ぶっちゃけ機能は他のMDMに劣ってますが、Azure ADと上手い事連携させればメリットはある?
http://account.manage.microsoft.com にテナントのアカウント(user@xxxx.onmicrosoft.com)でログインし、Intune評価版が有効になっていることを確認。EMS試用版を有効にした時に、Intuneも有効になっているはず。
使い方は割愛しますが、デバイスに対してアプリをプッシュインストール、リモートワイプなど、MDMっぽい機能は一通り使えます。繰り返しますが、30日間の試用期間で、テナントに紐づけられるので、何回でも構築・テストが可能。
にしてもこのIntuneっぽくないURLなんとかならんの…。

アクセスパネルとSaaSアプリ連携

EMSとは関係ない話。AzureADではサードパーティー製のアプリにワンクリックでログインできる機能があります。具体的には

  1. 各ユーザー毎にWebブラウザ上で開けるランチャーみたいな画面が用意され
  2. そこにサードパーティーのアプリ(Gmailやfacebookなど)へのリンクを追加
  3. 初回ログイン時にID/PasswordをAzureADに保存すれば、次回以降はクリックだけでアプリにアクセス可能

となる。連携アプリはGoogleApps/Facebookからdropbox/Githubなど2500なので有名どころはまず対応しているかと。企業などで既にDropboxの企業向けプランとか使っていると非常に有効ですね。

その他

演習ではオンプレADとAzureADのID連携(Not FIM)も実施しました。これも

  • ネットワークサービス – 仮想ネットワーク – カスタム作成より、仮想ネットワークを作成
  • 管理ポータル – クラウドサービスより負荷分散のための仮想名を作成
  • カスタムのデータディスクを追加

と新しい事を習えて楽しかったです。EMSと関係ないので手順は割愛。

まとめ

自分用に講習の内容を纏めましたが、足りない手順はたくさんあります。が、手順はすぐ変更されるしこれだけ書いときゃコンセプトは思い出せるから、調べながらなんとかなると思います。
プロダクトとしてはまだ発展途上だけど未来は明るいので、有効な導入事例が発表され始めてくると広まるのかなと思います。