Ignite 2019 Exchange Online編

  • このエントリーをはてなブックマークに追加

11月に開催されたIgniteの動画をせこせこ見ています。全部見終わった後に感想を書こうかと思いましたが、見たい動画が50本くらいあっていつ終わるか分からないので、切りのいいところで感想をリリースしていきます。

てことでExchange Online編。

BRK3312 Office 365 email enhancements that makes your organization smart, safe, and secure

これはプレゼンが面白かったのでお勧めです!特に17:11~ 観客煽って歌わせてるのが良かったですw 内容はExchange Onlineの新機能。

"+"アドレスによる、受信アドレス追加

Gmailでは10年以上前に実装されている機能で、myaddress+[任意の文字列]@gmail.comとかで受信アドレスを無限に作成できる機能。当時のテクとしては、myaddress+rakuten@gmail.comで楽天からのメールを全部フィルタする、って技がありました。

Gmailエイリアスの活用 – 受信トレイから楽天等の業者メルマガを自動で移動させる方法 | 風標 (new!)

セカンダリアドレスでのメール送信

その名の通りですが、メールシステム構築時の設計要素が増える。例えば、3rdパーティー製のMTAにメールを投げていてMTAがメールアドレス課金の場合、セカンダリアドレスがでユーザーがメールを送信する事で、課金が発生してしまう。Exchange Onlineは既定でonmicrosoft.comのアドレスをセカンダリに持つため、onmicrosoft.comのアドレスを使ってユーザーが外部にメールを送信できてしまう。メールでの監査検索などでひっかける時の条件が増えそうで心配です。つーか、3rdパーティー製MTGでメールアーカイブしてたら、1人のユーザーのメールを抽出するのにプロキシアドレス分検索しないといけないから辛い。

この仕様が防げないなら、プライマリアドレス以外では外部にメールが送信できないようなトランスポートルールを作成するしかないのかな。

Outlook メッセージの取り消し

OutlookにRecall機能というのがありますが、相手がRecallメッセージをクリックしないと取り消せなかった(なので、相手はメッセージを必ず読むことができた)のが、相手がO365を利用している場合、サーバー内部で取り消し動作が入るので、取り消し処理の強制力が強力になった。また、実際に取り消しできたかレポートも出る。

相手がO365外の場合に機能しないとはいえ、これはうれしい変更。

Replay-All Stormの抑制

1時間以内に5000以上のアドレスに対するReply-Allのメッセージが30以上発生した時に、一時的にメール送信が禁止される機能。ほぼ発生しなさそうですが。

新しいExchange Online 管理センターでメールフローの確認がよりやりやすくなる

GUIが変わっただけっぽいが、HistoricalSearchやGet-MessageTraceなど、複数のコマンドを使い分けで取得していたのがGUIから指定できるぽいのはいいかも。

よくわかる Exchange Online のメッセージ追跡 ~ Part 1 取得編 ~ – Exchange ブログ JAPAN

現状、あて先の最大数は500だが、1~1000アドレスとなる

1000になってうれしい!と思いきや、実際の案件だと「3rdパーティーのアーカイブの処理能力を超えるから、少ない宛先にしか送れないようにしたい」「外部向けのメールの宛先数は絞りたい」とか言われるので、小さくできるのがうれしい機能。

SMTP AUTH Client Submittionが既定で無効になる

サブミッションポート(587番ポート)の事。OutlookからはMAPIで接続しているからいいとして、Exchange Onlineにメールボックスを作って、通常のSMTPクライアントでメール送信している場合はNGになる。現状のオブジェクトはそのままの設定で、新規のオブジェクトも設定をONにすれば使えるようになる。

BRK2001 What’s amazing and new in calendaring in Outlook

Outlookカレンダーチームによるセッション。去年は2人ペアだったが今年は1人が妊娠→出産中なので1人でやるぜいぇーい!と元気にスタート。(このチームは楽しい雰囲気で好きです)

モバイルをデスクトップと同等にって事で、Outlook for iOSで以下が出来るようになる。中にはデスクトップ版でも使わないようなマニアック機能がありますが。

  • 会議辞退時の新会議時間提案
  • 会議辞退時にコメント記載
  • 予定表の分類定義時の色追加
  • 週view
  • グループカレンダーの表示
  • 予定の検索

その他、既にリリース済みですが、大きなアップデートとしては共有メールボックスの追加が可能になった事。

予定調整がさらにしやすく。Web限定ですが、部屋名をインクリメンタルっぽく入力するだけで、空いている部屋を提示してくれる。単一予定だと既に実装済みだが、これを繰り返しの予定もサポート。

会議室にメタデータを設定する事で、会議室を探すときにより詳細な情報を閲覧できる。

カレンダー共有の新ロジックがベータテスト中。同期が早くなるのとMAPIやRESTでいじりやすくなるのがメリットだが現時点ではバグあり。

会議送付時に参加者自身が"場所"やTeamsMTGを追加できるようにしたこと。参加者が予定を変更する権限は今までなかったので大きな変化。

SIer的には大きく話その1。個人アカウントの予定表データをOffice 365にSyncすることができる。便利な一方、嫌がるお客さんから禁止してくれとか言われそう。

SIer的に大きい話その2。Office 365 同士なら、管理画面で設定しなくても予定表の共有ができる。これも便利な一方、防ぐ方法は聞かれそう。空き時間の共有だけだからいいと思うんですけどね。

去年予告されて期待された2つの機能「MTGを辞退しつつ、自分の予定表に残す」「MTGの主催者を別の人に交代する」はリリース予定未定に。

あとはバグフィックス。タイムゾーン跨ぎの終日予定が、ちゃんと終日で表示されるようになります。

BRK2002 There is a new Outlook on the web See what’s new, fresh, and exciting

BRK2001に比べれば大したことないセッション。まず、全般的にGmailで先行している機能が付きます。返信文章をサジェストしてくれるとか。

もらったメールの表を編集する事で相手にも反映される機能や…

Teamsからのメッセージに対して、OWA画面から返信できる機能。

それくらいかな。

BRK3013 Modern Exchange IT admin experiences

新しいExchange Onlineコマンドレット。バックエンドの構成を見直したおかげで、従来のコマンドレットに比べて動作が4倍~8倍速くなり、安定する。大量の夜間バッチ処理などで5,000件問題に悩まされていたのも解消される可能性があると思いました。

新しい管理センターの話。基本的には"使いやすくなるよ"なのですが、G Suiteからの移行時にメールだけじゃなく予定表や連絡先も取り込めるようになったのはポイント。

移行ソリューションが死んじゃいますな。

BRK3144 The MVP guide to Office 365 security, Exchange Online edition

全部知ってる内容で大したことなかったです。前半のEOPの設定でマニアックな話をしていますが、実際には効果が未知数なことが多いし静的に定義してもスパムには効果がないので、EOPにお任せが一番いいと僕は思ってます。

中盤のATPあたりは、E3で使える機能とE5で使える機能が混ざってますが、知らないなら見ると勉強になる。特に新しくATPに追加されたSpoofing Intelligenceはメールの専門家ならお客さんに説明可能であるべし。

後半のSPF,DKIM,DMARCは知らない人は見ると勉強になるけど…メールの専門家じゃなきゃ不要です。

全体的にdocs以上の情報がないセッションでした。

BRK3248 Securing Exchange Online from modern threats

サイバーキルチェーンの紹介と、各リスクに対する対策を説明したセッション。

まずは見慣れたキルチェーンの図。

残念ながら、社内のインサイダー(悪者)を見抜くのは難しい。

防ぐには、技術的な観点よりは、インサイダーの振る舞いを予測し、エミュレートし、脆弱でない事・不正なログがない事などを確認。ビジネスプロセスの見直しなどが有効。そもそも、インサイダーが発生する土壌となるような社内の透明性や評価制度などが問題である。

その他、クラウド事業者自身やさまざまな攻撃者に対する対応を検討するようなセッションでした。最後にAzure Sentinelの紹介はあったものの、メールというよりはセキュリティ系のセッションで、セキュリティを語る上でのベースとなる知識をインプットできるセッションです。

BRK3311 Outlook mobile The gold standard for secure communications in the enterprise

Outlook mobileのセッションと見せかけて、実質EM+Sのセッション。条件付きアクセスでApp protection policyってのが登場。こいつですね。

Azure Active Directory の条件付きアクセスを使用してクラウド アプリへのアクセスにアプリ保護ポリシーを要求する | Microsoft Docs

しかし、既存のApp based policyとの違いが良くわからん…。

Azure Active Directory の条件付きアクセスを使用してクラウド アプリへのアクセスに承認されたクライアント アプリを要求する方法 | Microsoft Docs

ここらへん、ミスって設定するとTeamsからのアクセスがブロックされたりするから設計難しく、端末が準拠済みだったらOKとする案件が多かった気がするけど最近は違うのかな。そろそろ差分の知識だけで生きてくのがつらくなってきました。

その他トピックは

  • ロックスクリーンに通知する内容を制限できるポリシーが作成できる
    • Outlook カレンダーの通知で予定の内容がバレてしまうのを防げる
  • Outlook for MobileでAIPラベルが付与できるようになる
  • Outlook for MobileでS/MIMEメッセージが付与できるようになる
  • Outlook for Mobileから、スパム、マルウェア報告が出来るようになる

Intuneチームが頑張ってるのは分かるけど、ロックスクリーン通知を防ぎたい顧客はいるのか?まぁどちらかというと防ぎたいだろうけど…。SIer的には顧客からカネが出づらい機能が増えるのは複雑な心境ですな。「ロックスクリーン経由で情報が漏洩した」って事例がめちゃくちゃ出てくれると助かりますw AIPとかS/MIMEは会場の反応も微妙でした。

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。

コメント

コメントを残す

*