2018年 11月 の投稿一覧

GraphAPI経由でのOffice 365 レポートをFlowで取得する

第23回 Office 365 勉強会で発表した内容の続きです。発表した内容はこちら。

このブログエントリではFlowによる情報収集を説明します。

  • GraphAPI経由でのレポートが一番有用だが、レポート取得するのにひと手間かかる
  • Flowで取得する事で、日次データ取得が簡易になる

作業1. アプリケーション登録

Azure AD Portalからアプリケーションを登録し、GraphAPI経由でデータを取る準備をします。手順は割愛…。リファレンスの通り、レポートを取得する際はReports.Read.All権限でOKです。

作業2. Flowでの取得

本題。レポート取得のためのFlowを作成します。

1. GraphAPIにアクセス

URI欄に取得対象のGraphAPIのURLを入力します。FlowでHTTPリクエストアクションを追加し、Active Directory Oauthを選択。作業1. で登録したアプリケーションの情報を登録します。

2. 戻り値の解析
  1. で指定したAPIの戻り値がJSON形式となるので解析します。スキーマはこちら。

{
“type”: “object”,
“properties”: {
“Transfer-Encoding”: {
“type”: “string”
},
“request-id”: {
“type”: “string”
},
“client-request-id”: {
“type”: “string”
},
“x-ms-ags-diagnostic”: {
“type”: “string”
},
“Duratio”: {
“type”: “string”
},
“Strict-Transport-Security”: {
“type”: “string”
},
“Cache-Control”: {
“type”: “string”
},
“Date”: {
“type”: “string”
},
“Location”: {
“type”: “string”
},
“Content-Type”: {
“type”: “string”
},
“Content-Length”: {
“type”: “string”
}
}
}

自分で調べるときは、GraphAPIのリファレンスを見る、GraphExplorerから動かしてみる(一番かんたん、おすすめ)、ひとまずFlowでGraphAPIをたたいて戻り値を全部確認するなどの方法があります。

3. 実データにアクセス

戻り値内にあるLocationに実データへのアクセスURLが記載されているので、HTTPアクセスを行います。

4. Flow実行条件の修正

“OAuth認証してトークン取得”のHTTPステータスコードは302だが、Flowの仕様としてエラー扱いとなるので、エラーでも次のステップを実行するよう設定を変更します。

GraphAPIの仕様上、データへのアクセスを試み、認証が成功した場合、直接データはダウンロードできず、HTTPステータスコード302とともに“データがダウンロード可能な一時的なURL”が生成される。PowerShellやPostman、ブラウザは302に対応して自動的にリダイレクトされるが、Flowはしていないため、今回のような手順を作成している。

5. 動作確認

Flowで設定した定期的なスケジュールでユーザーデータのダウンロードが可能となりました。

参考にしたページ

Monthly Office 365 Update (2018年9月分,10月分,11月分)

Office 365のアップデートを定期的にチェックして気になったものをピックアップするシリーズ。ブログタイトルはMonthlyですが例によって3か月分。8月からやってないので微妙なんですけど、継続は力なので。

チェックソース

メッセージセンター

MC147699 New features: Outlook for Windows user experience updates and Coming Soon preview pane

Outlook for Windowsでリリース予定の新機能をユーザーが試用できる機能。私の環境では先日有効になってました。

MC147874 New feature: Insight Services in Excel (Win32) / MC149159 New feature: Ideas in Excel and PowerPoint Online

ってのが有効になるようです。設定を行う事でOFFにできる…ようですが、記事を見た感じだと、ONのままでも問題ないような気がしますね。インターネットに情報を取りに行ってしまうので、エンタープライズ要件では嫌がられる可能性がありますが。

MC149276 Outlook for Windows now blocks external content in S/MIME messages by default

S/MIME署名付きメッセージに含まれる外部コンテンツをブロックするようにする。例えば、悪意のある画像やコンテンツへのリンクが張られた場合でも表示してしまっていたわけで、本来こういう動作になるべきで、バグ修正との位置づけです。業務上困る場合は、レジストリ設定で回避できる様子。S/MIME署名付きメッセージとかそんなに見かけないですけどね…。

MC149826 We’re updating the look of Office 365 desktop apps

ProPlusのリボンアイコンが変わるやつ。私は新しいデザインが好きです。

MC150492 Reminder: We’re extending coverage of enhanced anti-spoofing protection to all Exchange Online organizations

ATPの一部の機能がEOPしか使えない顧客にも降りてくる話。以前このブログでも話題に上げました。

ATP AntiSpoofingについて

MC152260 Updated feature: portal.office.com/myapps migrating to the Office 365 gallery

個人用アプリが廃止され、Office 365 Galleryが正になる、という話。SIer的には、AADP案件の動作確認で個人用アプリにアクセス出来る事、というテストケースがあるので、それがこれからはOffice 365 Galleryになるくらいでしょうか。

MC152261 Reminder: Support for TLS 1.0 and 1.1 in Office 365

TLS 1.0,1.1のサポート廃止するよ、というリマインダー。当初はTLS 1.0,1.1をブロックするという話でしたが、MSが日和ってノンサポだけどブロックしないという仕様になったようです。

MC152529 Improving the way we show user’s private OneDrive content in Microsoft Search in SharePoint

SPO使った検索で自分のOneDriveのコンテンツとSharePointの共有コンテンツが分かりやすく表示するよ、という話。

MC152628 Updated: Your users will now receive emails with product training and tips for services in their subscription

Office 365からユーザーに、Office 365 の機能の積極的な利用を促すメールが勝手に配信される様子。MSが製品の利用率を上げたいための施策ですが、管理者側で使わせていない機能の紹介をされるとたまったものではないので、SIer的にはOFFを推奨。

なお、みんなが文句言いまくった結果、リリースが凍結されたらしいです。

MC152814 Microsoft Stream intelligence capabilities available in additional Office 365 plans

Streamの自動字幕機能が、下位のライセンスでも使えるようになる、という話。弊社がE5で普通で使えてたので、他のライセンスで使えないのは知りませんでした。実際に使った結果はこちら。

Teams会議を録画したら自動的にMicrosoft StreamにUPされて、会議で発言した人物を自動検出してくれる機能について

ちょっと期待外れです。

MC152817 New feature: Compliance Control Information Added to Microsoft Secure Score

Microsoft セキュリティスコアにGDPRとかNISTの概念が追加されました。このセキュリティスコアアクションをするとGDPRとかNIST的にナイスですよ~と表示してくれます。よって”全社でGDPR対応するんだ!”って時に使えますね。まぁセキュリティスコアのアクションは可能な限り実行すべきですが。

Enhancing Microsoft Secure Score with Compliance and Service Health Information – Microsoft Tech Community – 280316

MC152952 New feature: New authoring experience for custom sensitive types

全国1,000万人のDLPファンが待ち望んだ、Office 365 へのDLPカスタム定義の追加がサポートされました。今までもPowerShell経由で追加はできたのですが、サポートに聞いてもできるか分からないとか言われるし、自分で追加しても動いているかどうかわからん、ということでかなり怪しい機能でした。今回、GUIからの定義追加がサポートされたから、少しはマシになったのかな。今、一番検証したい機能(だが、顧客ニーズがない)

MC164812 We’re updating presence in Microsoft Teams and Skype for Business

こんなアナウンスあるけど、SfBOとTeamsのプレゼンス、全然リンクしませんわ…。

MC165013 New feature: Scoped Directory Search in Microsoft Teams

Exchange Online のアドレス帳ポリシーに従って、Teamsでコンテンツを探す際のスコープがカスタマイズされる、ということ。正直、ABPをちゃんと設計している会社さんってそこまでいないし、仮に設計していなくてこの機能を知った所でやってみようとう会社は少ないぽいので、現実的に恩恵を受けられる組織は少ないんじゃないかな、と思います。運用大変。

MC165218 Outlook mobile simplifies its sync technology

Outlook for iOS/Androidを使用した時の、Office 365 Exchange Onlineとの同期アーキテクチャが変更になり、より早く、より帯域を食わない形になるそうです。バックエンドの変更なのでわざわざアナウンスするほどでも…と思ったけど、アナウンスするということは何かあるかもしれぬと思い、メモ的に記録。

MC165255 Updated feature: Users can now customize their private discussions in Teams with tabs

プライベートチャット(おそらく、普通のTeamsのチャット)を、チームのタブとして追加できるようになったよ、とのこと。この機能、誰得?とのことですが…。

現在のTeamsの改善要望TOPは”チームの中に、プライベートチャネルを作成できるようにしてくれ”というやつです。具体的には、部のチームを作ったとして、そこの中にマネージャーしか閲覧できないチャネルが欲しい。しかし、現在のTeamsには実装されていないので、別のチームを作成してマネージャーだけそこに召集する、としなければいけません。よってマネージャーは所属チームがめちゃくちゃ増える。

要望TOPなのでとっとと実装すればいいのですが、私の想像ですが、Teamsのアーキテクチャ的に”チームの中に入れ子の権限を実装する”というのが難しいんじゃないでしょうか。仮に可能ならば、すぐに実装していてもよさそうですし。ということで、これがすぐに実装できないので、

  • マネージャー同士でチャットを開始するの
  • そのチャットを、チームのタブに追加する
  • 結果として1つのチーム内でマネージャーだけしか見ることのできない会話ができる

という強引なソリューションな気がします。

Office 365 ATPの適用方法が変更になるかも

こんにちわ。個人的にATPライセンスを購入している変わり者です。最近、ATPのライセンス適用状態に変化があったので分かっている事を書きます。簡単に言うとOffice 365 ATPのライセンスがユーザーに対して明示的に割り当て可能になりそうです。

今まで

  • ATPのライセンスを保有していれば”紳士協定”で利用できた。
  • そもそも、ライセンス割り当て画面にATPが存在せず、物理的に割り当て不能だった。
  • “紳士協定”を守るために、Exchange Online ATPの設定画面より、ATP除外グループを指定して、適切なユーザーがATPを利用できるようにしていた。

現在確認できている事

  • ライセンス付与画面に、「Office 365 ATP」というカテゴリが増えている
  • ユーザーへの割り当て画面にも表示され、ライセンスが割り当てられてない状態である
  • 動作確認を行ったところ、どうやらライセンスを割り当ててなくても、ATPは動いている様子である

これからの予想

  • E3やE5ライセンスと同じく、ユーザーにライセンスを適用する事でATPが利用可能となる
  • ライセンスを付与していない場合、ATPが動作しない

疑問

  • 共有メールボックスなど、無料ライセンスで作成できるリソースに対するATPの割り当て方
  • SharePointなど、複数ユーザーが共有するリソースに対するATPライセンスの考え方はどうなる?
      - 相変わらず紳士協定?

まとめ

ATPは当初、Exchange Online ATPとしてリリースされ、受信メールに対する振る舞い検知として導入されてきました。この時点ではユーザーオブジェクトにライセンスを付与する、という行為は不要であり、ATP管理画面より適用ユーザーを選択する仕様でした。しかしながら、ATPライセンスを持たなくてもATPを使用できてしまう状態であり、よく言えば便利、悪く言えば意図せずライセンス違反を誘発する仕様でした。(E5系の機能もこういうの多いです)

この状態は2,3年?変わらなかったですが、Office 365 ATPと名前が変更され、SharePoint OnlineやTeamsにもATPの範囲が広まったこともあり、適切にライセンスを管理する方針に変更される流れも自然かな、と思います。

現状はMSからアナウンスがない事もあり猶予期間なのか、ライセンスを付与せずともATPが動作する状況です。自分のテナントで、ユーザーにATPライセンスを付与せずとも”Exchange Online ATP 安全なURL機能”が動作する事を確認しました。

ということで今のところ何もしなくても大丈夫そうですが、今後はMSからのアナウンスに注目する必要がありそうです。

画像など

ライセンス画面で「割り当ててください」と表示される。

ユーザー画面を見るとATPが割り当て可能になっており、割り当てられていない状態である。

実際にはATPのsafelinkが動作する。