今日も元気にIT屋さん

こんにちわ。個人的にATPライセンスを購入している変わり者です。最近、ATPのライセンス適用状態に変化があったので分かっている事を書きます。簡単に言うとOffice 365 ATPのライセンスがユーザーに対して明示的に割り当て可能になりそうです。

今まで

• ATPのライセンスを保有していれば”紳士協定”で利用できた。
• そもそも、ライセンス割り当て画面にATPが存在せず、物理的に割り当て不能だった。
• “紳士協定”を守るために、Exchange Online ATPの設定画面より、ATP除外グループを指定して、適切なユーザーがATPを利用できるようにしていた。

現在確認できている事

• ライセンス付与画面に、「Office 365 ATP」というカテゴリが増えている
• ユーザーへの割り当て画面にも表示され、ライセンスが割り当てられてない状態である
• 動作確認を行ったところ、どうやらライセンスを割り当ててなくても、ATPは動いている様子である

これからの予想

• E3やE5ライセンスと同じく、ユーザーにライセンスを適用する事でATPが利用可能となる
• ライセンスを付与していない場合、ATPが動作しない

疑問

• 共有メールボックスなど、無料ライセンスで作成できるリソースに対するATPの割り当て方
• SharePointなど、複数ユーザーが共有するリソースに対するATPライセンスの考え方はどうなる?
  　　- 相変わらず紳士協定?

まとめ

ATPは当初、Exchange Online ATPとしてリリースされ、受信メールに対する振る舞い検知として導入されてきました。この時点ではユーザーオブジェクトにライセンスを付与する、という行為は不要であり、ATP管理画面より適用ユーザーを選択する仕様でした。しかしながら、ATPライセンスを持たなくてもATPを使用できてしまう状態であり、よく言えば便利、悪く言えば意図せずライセンス違反を誘発する仕様でした。(E5系の機能もこういうの多いです)

この状態は2,3年?変わらなかったですが、Office 365 ATPと名前が変更され、SharePoint OnlineやTeamsにもATPの範囲が広まったこともあり、適切にライセンスを管理する方針に変更される流れも自然かな、と思います。

現状はMSからアナウンスがない事もあり猶予期間なのか、ライセンスを付与せずともATPが動作する状況です。自分のテナントで、ユーザーにATPライセンスを付与せずとも”Exchange Online ATP 安全なURL機能”が動作する事を確認しました。

ということで今のところ何もしなくても大丈夫そうですが、今後はMSからのアナウンスに注目する必要がありそうです。

画像など

ライセンス画面で「割り当ててください」と表示される。

ユーザー画面を見るとATPが割り当て可能になっており、割り当てられていない状態である。

実際にはATPのsafelinkが動作する。

Global Office 365 Developer Bootcamp 2018 – Japan – connpass

です。twitterのまとめはこちら↓

Global Office 365 Developer Bootcamp 2018 – Tokyo, Japan #Office365Dev まとめ – Togetter

LTの資料はこちら(見つかった分だけ)↓

LT スライドうｐしました。https://t.co/uH2C1ZfdLk #Office365Dev

— まつこ (@matsuko365) October 27, 2018

2番目にライトニングトークします。
資料は↓こちらにアップしてあります。https://t.co/S28XoqTWBQ
Demoをお見せします。
よろしくお願いいたします。
#office365dev

— y__na_ka_ya_ma (@y__na_ka_ya_ma) October 27, 2018

LTのスライド上げました~ → GraphAPIのスロットリング(20181027 office365 developersday) https://t.co/uCDgrAtos8 #Office365dev

— 外資系コンサルに学ぶスノーボード上達術 (@teraco) October 27, 2018

本日のライトニングトークの #PowerApps の資料です。https://t.co/gjpaLWVqoQ#office365dev #MicrosoftFlow #o365jp pic.twitter.com/euNclS70gi

— Taiki Yoshida (@TaikiYoshidaJP) October 27, 2018

ハンズオンの資料はGlobal Office 365 Developer Bootcamp 2018 – Japan – connpassのリンクからたどれます。

まずは前準備含めたいろいろな調整を行って頂いた運営のみなさま、膨大な資料を分かりやすく説明頂いた登壇者の皆様、みんな面白かったLTの皆様、そして参加者のみなさんありがとうございました。あと会場を無料で貸し出して頂いた日本MSさんと、とんかつプレゼントしてくれた米MSさん！

お弁当。無料の勉強会ですよ今日？ #Office365dev pic.twitter.com/TjPlYN3l3K

— こまぎれ♡ぶたさん (@aetos382) October 27, 2018

#Office365Dev
とんかつ まい泉だと…… pic.twitter.com/VkSkBOMQ7u

— ktk (@ktk_errr) October 27, 2018

最高かよ…(もぐもぐ)

私のLTちょい補足

GraphAPIのスロットリング(20181027 office365 developersday)についてしゃべりました。資料以上の事は話してないので詳しくは資料参照なのですが、中にURLをいろいろ埋め込んだのにslideshareじゃリンクに飛べないという事に気づいたので、ここに記載します。

• Throttling – Documentation – Microsoft Graph
  • Microsoft Graphの公式ページ
• MyIgnite – How to perform large scale operations efficiently using Microsoft Graph
  • IgniteというイベントでのGraphのセッション。タイトルに反して「結論：どうにもならない」だったので、最後の5分くらいでちょっと紛糾してますw

余談ですが、LTが終わった後に同じようにスロットリングに引っかかった経験のある方に声をかけていただき、盛り上がりましたw やっぱりみんな苦労してるんですね…。これについては本当に改善を望みます…。

4つのセッションのイメージと私が選んだセッション

今回は4つのテーマに分かれてのハンズオンでした。つまり4つのうち1つを選ばなければいけません。会場に行くまでの私の心境。

• テーマ: SharePoint Framework
  • 怖そう…
• テーマ: Microsoft Graph
  • これやろ！
• テーマ: Office アドイン
  • 不要ぽい
• テーマ: Microsoft Teams
  • 一応興味あり

SharePointは、周りに猛者がたくさんいそうなイメージがあるのでちょっと及び腰になっちゃいます。Graphはいろいろと応用がきくのでやってみたい！Office アドオンはまぁ不要ぽいし、Teamsって聞くとひとまず「おっ！」ってなりますよね。

しかしながら、登壇者の皆様のショートセッションを聞いた後の私の心境↓

• テーマ: SharePoint Framework
  • 凄そう…！
• テーマ: Microsoft Graph
  • ちょっとローレベル?
• テーマ: Office アドイン
  • 面白そう！
• テーマ: Microsoft Teams
  • Ci/CDかぁ～。

SharePointはもう内容からして凄そうな感じがしたので、もう少しSharePointと仲良くなってから取り組みたいかな…。Graphは意外と知ってることが多そう?少なくともGraph Explorerとアプリケーション権限つける部分は知ってるしな～。知らない所もありそうだから聞きたいんだけど。Office アドインは、ダルいマクロの話かと思ってたらWebの仕組みを使って開発できるってことで俄然興味沸いたのと。管理者視点でどういう事が出来るのか、技術的な所を抑えたかったです。Teamsは内容的に面白そうだけど、実際に自分がTeams開発担当になってサービス改善を続けていくことは今の所なさそうかな(ちょっとTeamsアプリ作りたい、とかそのレベルの興味だった)と思いました。

てことで、Office アドインのセッションに参加しました。

Office アドインのセッションについて

めちゃくちゃ良かったです！恥ずかしながら私、Office アドインについては全く知識がなかったのですが、講師のきぬあささんのお話と資料の作りがすごく良くて、「なぁ～るほど！」と唸りながらハンズオンしてました。また、資料の作りがすごく良くて(2回目)ある程度自分で分かってきたらセルフハンズオンでどんどん進めていけます。実際、当日、説明されなかった章もありましたが、私は自分で手順を進めてその部分を進めることが出来ました。

Office アドインのセッションに出ようと思って出れなかった皆さん、本当に資料の作りがすごく良いので(3回目)後からでもよいのでぜひやってみてください。

Office アドインの将来?を考えてみる

今回初めてOffice アドインという存在を知り、仕組みもある程度わかりました。SIer的には、これが今後メジャーになっていくのか?注力したほうがいいのか?とかを考えてしまうのですが…。Office 2013の時は基本的な事しかできず、Office 2016になっていろいろできるようになった、という事もあり、(まだ古いOfficeが多い現状では)いきなり覇権を取る、というのは難しそうです。一方、Office Onlineでも同じように使えるというのはvbマクロにはないメリットだと思います。

最低限、エンタープライズ環境がOffice ProPlusに統一され、基本的にみんな最新のOfficeです、という時代になってからが勝負じゃないでしょうか。

一方、昔ながらのvbaを10年以上も使い続けている現場も知っているので、そういう現場は粘ってこういうのを一生使うかも。昔は、超いけてるvbマクロを無料でホームページで公開している人も多くそれが業務利用されていたりするけど、今は無料公開文化が減って、ビジネスで使えるソフトウェアは何らか収益化を目指すから、そこは昔の無料マクロが強かったり。

きぬあささんがおっしゃっていた通り、今は本屋にExcelマクロ本が並び技術者もたくさんいますが、将来的にマクロ技術者が少なくなり、Officeバージョンも統一され、Webが重視され…といったいろんなファクターが重なりあい、

昔ながらのExcelマクロを使うメリット ＜ Office アドオンを使うメリット

となれば、徐々にOffice アドオンがメジャーになる…かな?あ、けどマクロだけじゃなくRPAとかも競合になるんだよなぁ。

まとめ

凄く価値のあるイベントだったので来年も出たいと思います！

E5なくても使えるようになったやつについてです。

Set up Office 365 ATP anti-phishing policies | Microsoft Docs

ATP Anti Spoofingとは

新GUI(セキュリティ&コンプライアンスセンター)で新たに設定可能となったATP フィッシング対策機能となります。

動作ポイント

今までのスパムフィルターの位置で動作します。名前は”ATP”とついていますが、動作ベースで理解するならEOPの一部として理解したほうがいいかもしれません。

設定検討項目

• 偽装対策(Anti-phishing protection)
• なりすまし対策(Anti-spoofing protection)
• フィッシング対策(Anti-phishing protection)

の3つを設定します。設定箇所は3つですが、英語ページだと、Anti-phishing protectionとAnti-spoofing protectionの2種類と定義されています。

https://docs.microsoft.com/en-us/office365/securitycompliance/anti-spoofing-protection
https://docs.microsoft.com/en-us/office365/securitycompliance/anti-phishing-protection

偽装対策(Anti-phishing protection)設定項目

なりすまし対策(Anti-spoofing protection)設定項目

フィッシング対策(Anti-phishing protection)設定項目

利用方針

いろいろいじって楽しむ分には問題ないですが、世の中的な実績が少ないためエンタープライズ向けの適用は慎重に行うのが良いと思います。ポリシーを限定したユーザーに適用する事が出来るので、まずはそこから試すのがいいでしょう。

余談

分かりやすくセキュリティリスクあり・なしで語りましたが、必ずしも”なし”なわけではありませんので注意。

まとめ

• “会議で発言した人物を自動検出してくれる機能”はMicrosoft Streamに実装された映像検知AIの機能であり、Teamsで録画したかどうかは関係ない
• Teamsで会議をしたとしても、映像内に人物が十分に拡大できていないとMicrosoft Streamで検知できない。

TeamsでMTGした録画をStreamの人物検出するロジック、音声とか全然拾ってなくて、単純に画面内の"人"っぽい人が"しゃべってる"動きを検出して、人物検出としている様子。最初、インカメで会議しているときは検知できてたけど、Excelで画面共有したら検知しなくなった。 pic.twitter.com/kx8qQiKFdc

— 外資系コンサルに学ぶスノーボード上達術 (@teraco) 2018年10月5日

詳しく

表題のようなシナリオでIgniteで発表があり、実際の製品でも既に使用できるようになっています。

で、これがうまく機能するなら、自分が出席しない会議の録画を後から見直して、キーマンがしゃべった所だけ重点的に聞く、という事が出来るのでよいと思いました。あと、複数人の会話が含まれる議事録を自動で文字起こしで作りたい(別ブログ)でも調べましたが、現状の音声認識ソフトだと複数人が参加する議事録を自動で文字起こしするのは難しいので、これも会議の録画を見ながらしゃべった人を特定する事で、議事録を楽に、正確に書き起こすことが出来ればいいなと思いました。

やってみた

試しに、5,6人の会議で全員Teams会議に参加し、会議を録音してみました。結果、以下が分かりました。Teamsの機能とStreamの機能で分けて書きます。

Teamsの録画機能

• 録画をONにした時の動作
  • Teamsアプリの内部で映し出されている映像と入力されている音声を記録する
• 誰かが資料を共有する前
  • 参加者のアイコンか、参加者が映像をONにしている場合、PCのカメラデバイスでとらえた映像が表示される
  • 参加者が多数の場合、発言した = PCの音声デバイスに入力があった参加者のアイコン(あるいは映像)がフォーカスされる
    • これはSkype時代から存在した機能
• 誰かが資料を共有した後
  • 資料が前面に表示され、参加者のアイコン(あるいは映像)は録画領域の外にはじき出される

Streamの映像検知AIの機能

• 映像の中の”顔”ぽいものを検知し、口の動きが”発言”していれば、発言しているとみなす
• “顔”が小さすぎる場合、検知しない
• 資料が前面に表示され、参加者のアイコン(あるいは映像)は録画領域の外にはじき出される場合、検知しない

検証結果

社内の会議と、youtubeの映像で確認しました。社内の会議は冒頭のtwitterで張り付けた通りですが、Excelで資料共有した瞬間に参加者のアイコンが録画画面外に移動してしまったので人物検知ができなくなってしまいました。

youtubeの映像はこちらを利用させていただきました。

Password-less Auth using Azure AD | Best of Microsoft Ignite 2018

例えば1:21の時点で女性が発言をしていますが、カメラワークが切りかわった1:28では人物を検知しなくなっています。

結論

• PCの画面共有をすると、Teamsの画面がPCの画面(ExcelやPPTなど)に切り替わるので、結果的に人物検知しなくなる

ということでダメじゃね?ということになりました。普通、Teams会議する時は資料共有しますしね。もしこれを解決するなら、資料共有はSkype for Business、会議音声録画だけTeamsでやればうまくいきます(死

Ignite2018に行ってきました。技術的な発表は頭がオーバーフローしてまとめきれないので…ひとまず旅行記だけ書いていきます(‘ω’)

会場までの所要時間

行き

• 家→成田まで：2時間 + 待ち2時間 = 4時間
• 成田→ダラス→オーランド：10時間 + Transit待ち3時間 + 3時間 = 16時間
• オーランド → 会場 = 30分

合計：20時間30分

帰り

• 会場 → オーランド = 30分 + 待ち2時間 = 2時間30分
• オーランド → シカゴ → 成田：3時間 + Transit待ち2時間 + 13時間 = 18時間
• 成田→家まで：+ 2時間

合計：22時間30分

でした。

遠いですね(白目)
品川は近くてありがたいです。

会場について

大きさ

デカい。広い。具体的には、1日終わった時点で万歩計が15,000とかになってました。セッションを聞きながら運動もできるイベント…?会場の端→端の移動だと5分～10分歩くので、次のセッションまでの時間計算重要。ちゃんとしたスニーカーを履いていくとよいです。

googlemapsで計ったら端→端は700mくらいでした…。会場が広いので、迷う人は迷うと思います。私は地図感覚が良いので、2日目くらいには名前をきけば大体の場所とそこへの最短ルートが思い浮かびましたが、そうじゃない人は紙で地図を印刷して行くとよいと思います。

寒さ

比較的寒かったですが、想像していたほどではなかったです。私は寒さに強いので、ほとんどのセッションは半袖長ズボンでしたが、寒さに耐えられないセッションは、持参のダウンを羽織ってました。軽くて小さいユニクロウルトラライトダウンは有能でした…。

あと、Tipsとして、寒いときはアメリカナイズなおデブちゃんの隣に座ると、熱気であったかいという事が分かりました…。

こんだけ密度高いとあったかいです。

無線LAN

比較的繋がりました。特にPCで無線LANを拾えなかったことはなかったと思います。スマホだと途切れることもありましたが、単純にスマホの調子が悪かっただけだと思います。環境は良かったです。

電源

潤沢でした。事前情報だと、コンセントの取り合いになると聞いていましたが、ホテルの壁から直接取れるし、会場に設置されたスペースにも電源が配置されていました。

私個人は、電源が取れなかった時に備えて、PC用のバッテリーと予備のPCも持って行ったのに、全くの無駄でした。そもそもPCをあまり使わなかったのと、Surface Bookのバッテリーの持ちがすごぶる良くて、バッテリーが50%を切ることはありませんでした。

参考までにバッテリーはこんなのです。飛行機の手荷物として持ち込めます。

suaoki ポータブル電源 S270 40540mAh/150Wh 家庭用蓄電池 三つの充電方法 AC(150W) DC(180W) USB出力 急速充電QC3.0 車中泊 キャンプ アウトドア 防災グッズ 地震 停電時に 12ヶ月保証

• 出版社/メーカー: suaoki
• メディア: その他
• この商品を含むブログを見る

イベント環境

ライブ配信の利用

ほとんどのセッションが、MyIgnite(Ignite参加者専用ページ)で同時中継をしてました。よって会場に行かなくても手元のPCでセッションを受講する事が出来ます。もちろん、会場に行った方が臨場感があって面白いです。ライブ動画の利用シーンとしては、移動時間がなくて、歩きスマホ(周りに気をつけましょう)でセッション見ながら、次のセッションに移動するとか。

あと、セッションを12個同時に配信しているサテライト会場があり、手元のイヤホンで見たいセッションに音声を合わせる神スペースがありました。「つまんねーなー」と思ったら手元のスイッチで音声を切り替えられるので、どのセッションに出るか迷ってる時はここでチェックするのがお勧め。英語堪能なら左右で違うセッションを聞くことも可能です(死

飯、飲み物

おいしかったです。

写真がおいしくなさそうなのはほっといてください。

事前情報だと飯はクソマズで会場外のフードコートに長蛇の列ができる…と聞いていましたが、そんな事はなく。2日目の昼食だけ冷え冷えの弁当で、それはちょっと微妙だったのですが、後で聞くと去年は全部それだったようです(そりゃキツい。 美味いといっても毎朝ベーコンとエッグとクロワッサン、と代わり映えしないので、飽きはきます。会場の周りも所謂リゾート地でピザにハンバーガーにステーキしかないので、ちょっとキツい。例えば日本で言うと、毎日高速のサービスエリアとかディズニーランドの中の飯だけ食ってろ、と言われているようなもので、5日間ずっとは飽きます。

案内

そこら中にTシャツ来た案内の人が立っているので、迷ったら聞けばよいです。

セッションの選び方

今回、セッションの数は1627個ありました。多すぎます。てことで行く人達で話し合ったのが「(レベル)100とか200のセッションは(エンジニアにとっては)つまらないだろうから、300とか400のセッションを受けよう」です。それで絞り込んでも400～500個にしか減らないので大変。やはり我々、日本の文化圏の人間なので、スピーカーの名前を見て「お、こいつのセッションなら面白い！」と思えないのが厳しいです。

てことで初日は各自で回ったうえで、夜に集まって2日目以降の作戦を話し合いました。結果、20分のセッションの優先度を下げようとなりました。20分のセッションは、日本のイベントだと10分間の”シアターセッション”にあたるもので、エクスポ会場の端でゲリラ的に行われるようなものです。

初日に回ったメンバーの話を総括すると75分とか45分のセッションに比べて、新しい情報が出てくることは少ない事が分かったので、2日目以降は優先度を下げました。とはいえこれも難しく、MS社員じゃないMVPの人がしゃべるセッションはそこでしか聞けない内容が含まれていたりする…。

最終的には、ほとんどのセッションは後でも動画で見れる事を考えて、自分が課題を持っていて、スピーカーに質問したくなるセッションを選んでいました。

ちなみに今回、興味があるセッションをExcelに書き出して纏めました。Ignite公式アプリの調子が悪かったり、いろんな条件でセッションを絞り込みたいときに便利でした。

旅行準備

ホテルや航空券

会場近くのホテルはすぐに埋まってしまうので、Igniteへの参加が決定したら出来るだけ早くホテルを取った方がよいと思います。航空券についても、直前になればなるほど値上がりし、乗り継ぎが多かったり変な時間のものになってしまうので、余裕をもって取った方がいいでしょう。

持ち物

海外だからといってそんなに必要なかったです。基本的にはホテルと会場の往復なので、会社に行く程度の荷物+着替え3泊分で洗濯しながら回してました。現地で参加者特典のかばんも貰えますし、エクスポ会場を回ればメーカーロゴ入りのTシャツももらえるので、ワンチャン服さえも要らない…。夜に遊びに行ったりお土産を買いこんだりする人はそのための準備が必要でしょう。

twitterアカウントやLinkedInアカウントの準備

会場で仲良くなった人と連絡先を交換する際、メールじゃなくてtwitterアカウントを教えあうことが多かったです。もちろん、メールでもOKだと思うのですが、twitterの方が相手とよりカジュアルに繋がれるので私としてはお勧めです。(エンジニアの必携ツールですよね)

まとめ

• 行くことが決まり次第
  • ホテルを抑える(重要！)
  • 航空券を抑える
  • twitterアカウント,Linkedinアカウントを開設
    • 海外の人とつながる時、その場でtwitterアカウントを教えあうことが多かったです。
  • パスポート、ESTAなど海外に行く準備
• 3週間前くらい
  • セッションスケジュール確認&ラボ申し込み
    • ラボ系は早く申し込まないと埋まってしまうので注意！
  • 必要であれば英語の練習
• 前日
  • 持ち物整理

Office 365のアップデートを定期的にチェックして気になったものをピックアップするシリーズ。ブログタイトルはMonthlyですが例によって3か月分。いや、月イチでチェックするほどでもないんですよね～。

チェックソース

• メインソース
  • Office 365 メッセージセンター
• サブソース
  • Office 365 Roadmap | Microsoft
  • TechPlus ライブラリ
  • その他各種ブログ情報

twitterで「O365の更新予定を把握できるサイト」が話題になりましたが、一番情報量が多いのはOffice 365 Roadmapだと思います。しかしながら、

• RSSを吐いていないのでチェックしづらい
• 重要な更新はメッセージセンターとか各種ブログで通知される
• EOPの動作などサイレント修正されるものも多い

ので、最近はあんまり見てないです。まぁ「あの機能、どうなったかなー」って思って能動的に探したりするときですね。そんでリリース中止されてるのを知ったりとか。

Office 365 メッセージセンター

MC141695 New feature: Support for third party storage providers in Outlook on the web

OWAで3rdパーティーのストレージサービス(多分boxとかgoogle drive)からファイルを添付したり受信したメールのファイルを保存したりできる。これ、Teamsでは規定で有効で、何も気にせずONにすると情報漏えいしまくるという鬼設定だったのですが、OWAでは規定でOFFの状態でリリースされるので一安心。会社公式でboxとか契約しているならONにする感じですね。

ここで気になったのは”今流行りのflowでboxやgoogle driveへのデータ保存を禁止するにはどうすればいいの?”ということ。WebプロキシなどでクライアントPCからのアクセスを制御していても、flow(O365 = クラウド) ⇔ box間の通信だからファイルアップロードできちゃうよね～と。

調べてみると、flow管理センターというものはあるものの、ここでboxやgoogle driveを禁止することはできない様子。日本のエンタープライズ向けに展開するなら、こういう所はコントロールしたいなー。あるいは管理者がLogic Appsなどで中央集権的に管理するか。

MC142447 Updated feature: SharePoint Online storage allocation

シェアポで組織に割り当てられるストレージが1TB × (5GB * ユーザー数)から、1TB × (10GB * ユーザー数)に増えた様子です。TeamsやStreamのデータなど、自然に使っているだけでシェアポの容量をどんどん消費してしまう状況なので、これはうれしいっすね。

MC143579 New feature: Known Folder Move is now available for OneDrive for Business

OD4Bの同期ツールで、デスクトップや写真フォルダなど、システム既定のフォルダを同期できるようになりました。Google driveなどでは既に有効になっていたので、機能自体に目新しさはないですが、エンタープライズ要件で「ランサムウェア対策やPCのデータバックアップのために、デスクトップのファイルを自然にクラウドにUPしたい」みたいなのがあるので、使えますね。

MC143715 Updated feature: Multi-Factor Authentication and self-service password reset preview

MFAとSSPRの登録画面が新しくなる様子。企業さんが手順書とか作ってるなら変更しないといけないですね。まーfacebookとかamazonなど、ユーザーとして二要素認証を体験する機会が増えてるので、この手の手順書は必要なのか?と思うけど…(年配の方には必要?)

MC143889 We’re correcting the Office.com Conditional Access Policy behavior

ExOL条件付きアクセスを設定しているときに、Office.comにログインした際にアクセスできないアプリが表示され、クリックするとアクセス不可となってしまうので、そもそもパネルを表示しないようにした、という変更のようです。

MC144247 New feature: Idle Session Signout is now available for SharePoint and OneDrive for Business

シェアポとOD4Bでも、OWAのようなセッションタイムアウト値が指定できるようになりました。OWAの場合、デフォルト6時間だけど、シェアポ/OD4Bは規定でこの機能がオフのようなので、O365に対する認証要件を検討した後、オンにすればいいでしょう。

MC145014 Updated feature: Audit features in Exchange

ExOLのメールボックスに対する監査ログが規定で有効となる様子。前からやれよ、な変更なのですが、監査ログを記録できるほどExOLの基盤が強化された(?)ので規定で有効になったのかな。SI案件の時はやらないと後から問題になるので気を付けポイントなのですが、こーいう設定忘れに期待する規定値OFFはやめてほしい。

MC145909 Updated feature: OneDrive for Business admin center setting is now honored by Outlook Desktop

OD4B管理センターでどんなポリシーを設定しても、OutlookでOD4Bのファイルを添付する際、既定で”組織のユーザーは編集可”で共有されるのですが、実はこれはバグ(仕様)で、OD4B管理センターで設定したポリシーがちゃんと効くようになりましたよ、とのこと。正直、この機能を使いこなしている会社はいないのでほぼ問題ないんじゃないかなと。

MC146001 A new TLS certificate is coming to Exchange Online

ExOLで使っているTLS証明書が変わるので、オンプレサーバーなど中継でURL指定している場合は注意してください、とのこと。

Exchange Online が TLS を使って Office 365 でのメール接続をセキュリティ保護する方法 – Office 365

その他情報

O365ロードマップより。

Feature ID: 31459 Disable Basic Authentication in Exchange Online using Authentication Policies

ユーザー単位、テナント単位でBacis認証を禁止できる機能がリリース。リリース予定時期は2018年 Q4(10月-12月)。

Feature ID: 15080 Mailbox Plan Enhancements

今は1通当たりの最大メールサイズくらいしか使い物にならないMailbox Planですが、今後機能を拡張する予定らしいですね。…ってSet-MailboxPlanをチェックしても全然コマンド拡張されてへんやんけ！と思っていたところ、GitHubの過去ログを発見。

Update Set-MailboxPlan.md · MicrosoftDocs/office-docs-powershell@13fb63e · GitHub

確かにここまで設定が出来れば、だいぶ”ポリシー”として使えそうな感じです。

Office 365の機能の1つにMicrosoft Streamってのがあります。動画をUPし社内に共有できるもので、社内限定youtube的な使い方が出来ます。今回、社内で開催した自分主催の勉強会動画をUPしたので、気づいたことの感想です。

UPしようと思った理由

1. 勉強会に参加しない人がいる。
2. 後日その人に「前にやってた勉強会の内容教えて」と言われて教えるのが面倒。
3. 「この動画見てから質問に来てね」と勉強会動画を提示したい

です。フリーのデスクトップ録画ソフトで録画したものをファイルサーバーに置いてもいいんだけど、面白そうなのでStreamを使ってみることにしました。

動画の作成方法

1. 勉強会をTeamsで録画
2. Teams録画が終了次第、自動的にStreamにUPされる。

以上です。めっちゃ簡単。「勝手にUPされちゃうの?映っちゃいけないものが映ってるんだけど」ってなりそうですが、Teams会議に参加した人しか動画を見る権限がないのでOK。内容を確認後、全社公開や、権限を絞って公開します。

なお、映っちゃいけない画面にモザイクをかけて再UPしたい、となると、一度Streamから動画をダウンロードして動画編集ソフトで編集後、新規動画としてUPする形になります。結構めんどくさい。

StreamにUPした時の工夫

せっかく動画をUPしたので、見やすいようにしました。

1. 動画に目次をつける

hh:mm:ss形式で説明文を書くことで、動画の該当時刻にジャンプできるリンクが自動生成されます。

後から動画を見返す人が1時間くらいの動画を最初から見るのは大変だと思うので、必要な動画部分にジャンプできるようにしました。目安として、2,3分に1つ、目次を作りました。

なおこの目次は完全に手動で作成していますが、PPTに記載済みの目次に、話題が切り替わるタイミングの時刻を記録していくだけだったので、20分～30分ほどで作成できました。

2. 動画に字幕を付ける

電車の中など音を出せない環境で動画を見る時に字幕があればいいなぁ…と思って付けましたが、これがめちゃくちゃ大変でした。字幕の元ネタとして、勉強会の音声を自動書き起こししたテキストデータを編集したのですが、まず書き起こし精度が悪い。今回、対面の勉強会なので参加してくれる人を意識したしゃべりにしたのですが、音声書き起こされるように意識してしゃべらないと精度が悪いと思いました。

2点目は、そもそも動画の音声に合わせて字幕を表示するのに、動画編集的なスキルが必要、ということです。

1. 動画でしゃべりだすタイミングで適切に字幕を表示する
2. その字幕を適切なタイミングで消す
3. 長文の場合、動画が見やすいように、適切に字幕を区切って表示する

という調整が難しく…。ざっくり1秒単位の調整だと違和感があり、かといってミリ秒単位でこだわると、いくら時間があっても足りません。

なお、動画ファイルはWebVTTという形式でUPすればよく、UPしたデータはStream側で保存し、後から再UPもできます。WebVTTはただのテキスト形式であり扱いやすく、これは良かったのです。形式は以下の通り、1行目にWEBVTTって書いて、3行目以降に字幕を表示する時間と、テキストの内容を記載していきます。

WEBVTT
0:00:07.000 --> 0:00:14.000
では、○○の講習会を始めたいと思います。
0:00:27.000 --> 0:00:34.000
この講義というかミーティングは、録画する予定です。 これを見てる人はもう録画されてるのを見ているんじゃないかな、と思っています。
0:00:35.000 --> 0:00:42.000
録画の関係でプレゼンモードではなく、パワーポイント普通に表示する方針で行こうと思います。

そんなのもあって、10分の書き起こしをするのに1時間くらいかかりました。ここで、よく考えたら電車の中でみたけりゃイヤホンすればいいんじゃね?と気づいたので、字幕作成はやめました。

今後の改善点

1. 字幕について

一番効果的な改善策は英語でしゃべればStream側で自動テキスト書き起こしして字幕作ってくれるよですが、そりゃ厳しいので…。全文書き起こしは時間がかかるので、重要なところだけ字幕を表示する、などの対応をすることでしょうか。まぁ前述の通り、イヤホンで聞けばいいし、目次作ればある程度話題を選んでジャンプできるので、字幕機能は使わなくてもいいかな、と思いました。

2. しゃべってる人の様子を動画に乗せる

PPTの画面だけを動画で流すより、しゃべってる人の顔やしぐさも一緒に乗せた方が、動画への没入感が高いらしいです。もしこれを実現する場合、PPTの画面としゃべり手の両方を録画して、動画編集ソフトでそれをミックス…としなければならず面倒ですが、Teamsの場合、発表者のアイコンが右下に表示されるので、Teams会議にカメラONで参加して録画すると、自然とPPT画面 + 自分のしゃべってる姿がStreamにUPされるのでよいかな、と思いました。

分かりづらいけど、右下に表示されてる箱っすね。

まとめ

東進衛星予備校が成功してるし、LinkedInLearingやSchoo!、TechAcademyなどの動画学習サイトも盛況。個人的にも、ただ資料を配布するより、動画もまとめて提供するのが効果が高いと思います。今まではハードルが高かったですが、Teams + Streamで簡単に実現できるので、みなさんも試してみてください。

ひょんな事から kenakamuさんとお話しする機会があり、自分なりに整理できたのでメモ。

背景

Azure functionsにも慣れ「これがサーバーレスかー！おもろー！」とコードを書きまくって動かしていたところ、コードの行数が200行を超え、コードから呼び出すためにfunctionsにUPするモジュール(Azure Powershell)なども増え、コードとモジュールの管理が必要となる。「これってバッチサーバー上で動かしているのと、何が違うんだろう…?」と思ったのが、考えるきっかけです。

また、LogicAppsとFlowの違いを説明することが多いので、まとめようと思いました。

比較表

料金

LogicAppsはステップ毎に課金が発生。バッチサーバー、Azure functions、Flowはあえて”無料”と書かせていただきましたが、バッチサーバーはサーバー費用、Azure functionsは実行回数とCPU時間による課金、Flowは500回/日の回数制限があります。

ただ、ちょっと動かすだけならfunctionsとFlowは無料で使え、バッチサーバーも環境がある場合(ほとんどある)は、実質無料で使えます。

簡易さ / 自由度

LogicAppsとFlowはGUI、バッチサーバーとAzure functionsはコードで動かす必要がある。GUIの場合、設計書がなくてもある程度意味が分かるのが大きなメリット。つーかお客さんが設計書なしでもOKと言ってくれる。もちろん、作成の背景を記した要件定義書は残しておいた方がよいが…。一方、コードの場合、プログラムができない顧客に引き渡すとき & 自社管理用にプログラム設計書はほしい。GUIなら気軽に変更でき、それが設計書となることから、Logic Apps、Flowの方が、気軽にあれこれいじれるメリットはある。

その簡易さと引き換えにコードには自由度がある。バッチサーバーはIaaS環境を自分でいじれるので自由度◎、Logic AppsはAzure functionsと連携できるので自由度△としました。

時間制限

これはAzure Functionだけの制約で、1回の実行時間が5分(工夫すれば10分)となる。5分あればある程度の処理は出来るが…。一方他は実質時間制限なし。

基盤

バッチサーバーはIaaSとなり、基盤の再起動タイミングなどを考慮して設計することが必要。

安定性

LogicAppsやFlowは(実績ベースだと)起動に失敗し、うまく動かないことがある。一方、IaaS上でタスクスケジューラーやJP1で動かす場合、ほぼ確実にプログラムがキックする。…という意味で、こういう評価にさせてもらいました。Azure functionsの実績は手元にないので、とりあえず”中”にしました。

権限

Flowだけがユーザー権限であり、ユーザーが自分が出来る範囲のタスクをFlowで実装するもの。よってLogicAppsが元になっているとはいえ、自分ができないことはFlowにも出来ないです。(本当に抜け道がないか自分で確認したわけではないけど、設計思想はそう。)

なので「Flowでいろいろできちゃうかもしれないから、禁止しよう！」はナンセンス。まぁ中には、手動で私用のGmailにメールを送るのはいいが、自動転送はシステム的に禁止する、などのナンセンス運用の企業もあるが…。

管理者が実行するスクリプトのための比較表なので、〇管理者 / ×ユーザーとしてしまったけど、ユーザー権限だから逆にいいこともあり、一概には言えません。

ユースケース

Office 365 ライセンス付与、初期ユーザー設定バッチ

Office 365の運用ではほぼ確実に必要なバッチであり、サーバーレスの概念の登場前はバッチサーバーで動かしていたのがほとんどと思われる。これは引き続きバッチサーバーで動かした方がよいのではないか、と思えてきました。

まず、管理者業務なのでFlowは除外。1ユーザー毎に発行するコマンドが多く、LogicAppsで処理すると処理が長くなりそうな事。AzureADのユーザー属性によって処理内容を変化させる必要があり、分岐のパターンによってはコードで実装したほうがスマートであること。コマンドが通らなかった場合の、エラーハンドリングが必要なこと(例外処理が多い)など。

ログ監視バッチ

一定期間毎にクラウドサービスのログにアクセスしてデータをエクスポートする。これはコマンドは単純ですが、ログが大量の場合、APIからの戻り時間が不安なため、バッチサーバーで実行したほうがいいかもしれません。

使い分け基準

1. 管理者が実施するアクションか、ユーザーが実施するものか

これでFlowかそれ以外かを分けられます。

※ ただし、本来管理者が実施する業務だが、無料のFlowを使いたいため、システムアカウント権限でFlowを動かす方法はあり。”本来すべきではない”かもしれないけど。

2. タイマージョブか、そうではないか

もしタイマージョブ以外、例えばHTTPトリガーの場合、バッチサーバー上で動かすプログラムをHTTPトリガーで動かすのは面倒であるため、バッチサーバーは使わない方がよいと考える。

3. 短時間で終わるかどうか

もし5分以内に終わらない、あるいは終わらない可能性があれば、自動的にAzure functionsは候補から外れる。

4. ミッションクリティカルなアクションであるか

1度くらい失敗して、それに気づかなくてもよいかどうか。もしそれがNGなら安定性の高いバッチサーバー or Azure functionsで動作させるべきである。1回失敗しても、翌日に成功 or ユーザーリトライでOKだったらLogic Appsでよい。

5. Logic Appsの標準パーツで大半のフローを実現可能かどうか?

例えばExchange Onlineのユーザー設定は現状GraphAPIも用意されておらずPowerShellからしか行えないため、多数のコマンドを発行するならLogic Appsを使う意味は少ない。

6. 2～5で判断がつかない場合

タイマージョブで、そこそこ短時間で終わり、1回失敗しても翌日リトライすればOK、Logic Appsと2,3のAzure Functionsを組み合わせれば実現可能の場合。その場合にどの製品を使用するかは会社の開発ポリシーによります。例えば、Azure FunctionsはLogic Appsの部品としてのみ使用を許可、それ単体では動かさない、よって20行以上のコードを書くのは禁止する、など。

おそらく社内にコーディング規約的があるとすると1つの関数に実装する機能は1つまでなど、ある程度のポリシーがあるはずです。それと同じことをクラウド製品でも検討する必要があると思います。

まとめ

kenakamuさんがおっしゃっていたのは「なんでもできるからこそ、製品が生まれたニーズを知り、最適な使い方をする必要がある。」とのこと。

私自身、これだけサーバーレスだiPaaSだともてはやされていたとしても、コードを書いて、バッチサーバーで動かす方がいい場合もあると思いました。

最近がんばってるAzureADチームがナイスな新機能をリリースしてくれました。

Baseline security policy for Azure AD admin accounts in public preview! – Enterprise Mobility + Security

• 全体管理者
• SharePoint 管理者
• Exchange 管理者
• 条件付きアクセス管理者
• セキュリティ管理者

上記権限を保有し、かつMFAが有効になっていないアカウントについて、強制的にMFAが有効になります。これらのアカウントをスクリプトで使用していたり、共用で使用している場合は、運用上支障が出ます。

対処法

その1. 機能を無効化する

この機能はプレビューであり、GAされた段階で強制MFAが発動します。それを防ぐためには以下画面で「ポリシーを使用しない」を選択します。

その2. MFAを有効にしないアカウントを選ぶ

MFAを使わないアカウントが整理できている場合、同じ画面から除外対象アカウントを指定できるので、MFAを有効にしないアカウントを指定します。

なお、他の選択肢として「全ての管理者アカウントでMFA有効化」がありますが、この設定を使用すると後述の通りスクリプトでの管理タスク実行に支障が出るため、現実的には「MFAを除外するアカウント指定」を使用するべきでしょう。MSも「全てのアカウントについてMFAを利用するのではなく、緊急用の管理者アカウントを1つはMFAをオフにする方法」を提示しています。

Manage emergency-access administrative accounts in Azure AD | Microsoft Docs

さらっとしか流し読みしてませんが、パスワード文字列を2つか3つに分けて、別々の人間が知るようにする、などが書かれています。

SIer的な立場として

こんなうざったい機能がリリースされたからオフにしちゃいましょうはアウトな気がします。今までは規定値がMFAオフだったので許されていたかもしれませんが、今後は規定値がオンなのをオフにするので…。

1. SIerが明示的にMFAオフにする
2. 結果、アカウントが乗っ取られる
3. SIerが悪いんじゃね?

という話になりそうな気がします。最低限、説明責任を果たして、顧客の同意を取ってからオフにするべきでしょう。

推奨設定

といってもスクリプトで管理者アカウント使いたい！という人向けに推奨設定が出ていました。

Securely Administrate Exchange Online with Multi-Factor Authentication (MFA) – Microsoft Tech Community – 207160

対話的に使用する管理者アカウント

人間が非定形作業で使用するアカウントは(ちょっと面倒ですが)二要素認証を有効にします。Exchange Onlineの場合はこんな感じ

多要素認証を使用して Exchange Online PowerShell に接続する | Microsoft Docs

「俺はSecurePasswordでパスワードを暗号化してるんだ！」「パスワードも十分強力にしてるんだ！」「だから二要素認証なんて要らなんだ！」という方はご自由にどうぞ。

タスクスケジューラーなどで動かす管理者アカウント

夜間バッチなどに埋め込んでいるアカウントはMFAが使えません。つーかMFAオンにしているとバッチが動きません。なので仕方なくMFAをオフにするのですが、その場合は以下のように注意をしてください、とのこと。

• RDPを禁止する
  • クラウドIDなら問題ないですね
• 管理者作業に用途を限定し、メールなどは有効化しないようにする
  • 着信したマルウェアをクリックしちゃうと大変ですからね
• 居力なパスワードをセットする
• アカウントに対する監査ログを有効化し、定期的にチェックする
• 社内IPからのアクセスに限定する
• 管理役割を厳密に設計し、不要なコマンドレットの実行権限を外す
  • これはさすがにめんどくさい…。

将来的に

タスクスケジューラーで動かす管理者アカウントもセキュアに守りたいやん、ということで、Azure MSI(Managed Service Identity)という仕組みが勧められています。

What is Managed Service Identity (MSI) for Azure resources | Microsoft Docs

しかしながら現在はAzureの一部コマンドしか対応しておらず、Office 365的には使えないものになっています。なお私はAzure MSIの仕組みを詳しく理解していません。使わなきゃな。

余談：GraphAPI

同僚とこの件に会話していて「もしかしてGraphAPIで適切にアクセス権を振れば、MFA回避できるんじゃね?」という話題が出たので試しました。結果、GraphAPIでもMFAが効いたことをお知らせいたします(当然ですね)。一点注意として、強制MFA有効化前にトークンを取得していれば、継続してアクセスが可能であり、トークンの有効期限が切れた時点でMFAを求められ、スクリプトでのアクセスが不可になります。時限爆弾。

余談：MFAの実装方法とGA時期予想

KBの注意書きに、MFAが有効になった管理者アカウントは、POP/SMTP/レガシーのOutlookクライアントからもアクセスがブロックされるよと書かれていました。これは検証していないですが、この注意書きが正しいとすると、最近Azure AD Premiumのプレビュー機能として実装されたレガシーブロックの機能を利用していると考えられます(旧MFAはレガシーブロックできなかった…はず)。ということは、Azure AD Premiumのレガシーブロック機能がGAされるまで、Baseline security policyも有効にならないのかな?と思いました。

こんなリリース(プレビュー)がありました。

cloudblogs.microsoft.com

機能としては3つで

1. ロックアウト閾値の変更
2. 禁止パスワードの定義
3. オンプレADのパスワード保護

となります。1と2は以前からGraphAPI経由で変更できた機能です。

docs.microsoft.com

3は新しくリリースされました。

1. ロックアウト閾値の変更

Azure ADのロックアウト値は規定で

• 10回連続でパスワードを間違えた場合
• 60秒間ロックアウトがかかる

です。この値を変更できます。

この機能の何がうれしいの?ということですが…。

例えば、社内のセキュリティ部門が定めているポリシーでパスワードは3回連続間違えたら1時間ロックアウトすべし！と決まっていて、Azure ADが導入できない場合など。あるいは、外部からアタックされてもアカウントが即ロックしないように、100回連続でパスワードを間違えてもOKにしたい、など。前者はセキュリティ重視、後者は利便性重視ですね。

余談

MSとしてはAzure ADで提供している

1. ブラックリストIP
2. IPロックアウト
3. スマートロックアウト

の3つの機能で、利益目的の攻撃者のアタックをほぼ防げる、と主張しています。1はそもそも怪しい所からのアクセスは禁止する、2はパスワードスプレー攻撃への対応、3はブルートフォース攻撃への対応です。そこらへんのロジックはMS本社のSIMONSさんの神エントリをご覧ください。

Azure AD and ADFS best practices: Defending against password spray attacks – Enterprise Mobility + Security

てことで、利便性重視の設定にしてしまって問題ないと思われます。

具体的には、NISTのガイドラインに従って、ロックアウト回数を100回にするのがよいです…ってMS日本のセキュリティの方が言ってました。

なお、上で提示したリンク(Azure AD Connect: Pass-through Authentication – Smart Lockout | Microsoft Docs)に、

• The Azure AD lockout threshold is less than the Active Directory account lockout threshold. Set the values so that the Active Directory account lockout threshold is at least two or three times longer than the Azure AD lockout threshold.
• The Azure AD lockout duration (represented in seconds) is longer than the Active Directory reset account lockout counter after duration (represented in minutes).

とあるんですが、パスハードハッシュ同期でAzure ADで認証している場合、この記載は無視してもらって大丈夫、のはずです。パススルー同期でオンプレADを認証基盤としている場合、外部からのアタックによってオンプレADのアカウントがロックアウトしてしまうので、上記のような施策でAzure AD 側を先にロックアウトさせ、オンプレADを継続できるようにする施策のようです。

…とはいえ、パススルー認証で外部からアタック受けた場合、Azure ADのパスワードロック閾値が動作するのか?てのは疑問です。パススルー認証導入したことないから分からんけど。

2. ロックアウト閾値の変更

これは単純で、登録した単語を含むパスワードの設定を禁止できる機能です。面白い所は、「よく置き換えられる文字を自動的に禁止する」こと。例えば

• password

という単語を登録した場合

• p@ssword
• passw0rd
• p@ssw0rd
• p@$$w0rd

などなども、同時に禁止されるようです。

3. オンプレADのパスワード保護

オンプレADに、Azure AD password protection proxyってのをインストールする事で、オンプレADでAzure ADで禁止されているパスワードを使っているユーザーをあぶりだす事が出来るお楽しみ機能です。例えAADCでパスワード同期をしても、Ctrl+ Alt + DeleteでオンプレADに対してパスワード変更をすればAzure ADのパスワードポリシーは無視されるので、P@ssw0rdのような脆弱パスワードがインターネットにさらされることになり危険ですので、有効にしたほうがよい気がします。

この機能を有効にする際に”強制”と”監査”が設定でき、”監査”だと弱いパスワード設定しているユーザー一覧が出力され、”強制”で設定を強制できるようです。”強制”時の挙動は書かれてませんが、次回パスワード変更時までは今のパスワードが使えるのかな?

何にせよ、この機会に脆弱なパスワードを使っている意識低いユーザーを洗い出して、要注意ユーザーリストを作ってセキュリティ教育を強制させるとかの使い方も面白いかもしれません(どこか導入させてくれ～)

必要なライセンス

• ブログ主のSIMONSさんは”全てのAzure ADで使える”と言っている
• 日本のMSに確認した所、v2が必要です、と言われた
• E1テナントだと設定自体が出来なかった
• P1テナントだと設定が可能である

と、現状ではどのライセンスが必要なのかはっきりしません。システムがせいだとするなら、少なくともAADP1以上は必要のようです。

GraphAPIの時も”AADP1で設定は出来るけど、AADP2しか使っちゃいけない機能だから、設定するとライセンス違反”という罠があったので、MSから公式アナウンスが出るまでは触らない方がよさそうです。

2018/6/22 追記

ブログ更新されてました。

• 全てのAzureADで使用可能
  • Custom smart lockout
• P1以上が必要
  • Custom banned passwords
  • Password protection for Windows Server Active Directory

だそうです。