Monthly Office 365 Update (10月分)

Office 365のアップデートを定期的にチェックして気になったものをピックアップするシリーズ。飽きたらやめます。

チェックソース

TechPlusライブラリはMSパートナーじゃないとアクセス出来ないので、いけてる情報があったら内容を紹介する事にします。Office 365 Roadmapは見るの大変なのでやめるかも。結果、Office 365 メッセージセンターだけの紹介に…。

Office 365 メッセージセンター

MC123071 Updated feature: Exchange Online Protection

RFC 5322 に準拠しないメールアドレスはスパム扱いしちゃうぜ!って話らしいです。具体的にはこんなメールアドレスです。

How Office 365 validates the From: address to prevent phishing – Outlook

実際、どの程度スパム判定されるか分かりませんが、11月9日(木)から有効との事で、その日はメールログを要チェックです。

MC123714 New feature: Group insights in Yammer

Yammer上でグループの分析機能が有効になりました。これ、うちにも来ててメンバーだけ多くて活動していないグループも一目でわかっちゃいます…。こういうグラフはコミュニティ運営で励みになりますね。

MC124248 New feature: Client Access Rules for Exchange Online

今まで、Exchange OnlineではMAPIやOWA,POPなどプロトコルレベルでのアクセス制御は出来ましたが、これからは

  • ユーザー名 / アクセス元IPレンジ / 認証タイプ / 受信者属性を条件に
  • プロトコル / アプリケーション / サービス / リソースを使用できるか

アクセス制御が出来るようです。IntuneのExhange Online限定版といったところでしょうか。11月初めから展開を開始し、12月終わりには展開を終了する予定だそうです。

いやーマジか。OneDrive for BusinessでIPレベルのアクセス制御が出来るので、Exchange Onlineでも問題なく動くんだろうな~。

機能が便利になるのはいいですが、調子に乗って社内IPからしかアクセス出来ないように制限すると実は3rdパーティー製メールシステムからアクセスありました、とかなりそうなので、実装は慎重にしたい所。あとSIer的には”Exchange Onlineでのアクセス制御は構築対象外です”って入れとかないと大変そうです。

その他、SharePointGUI関係の投稿が多数

いろいろありますが、SPOはただいま大工事中なので出来上がったサイトを見たほうが早いかもしれません。

MC117085 Changes to the Token Lifetime Default in Azure Active Directory

リフレッシュトークンを使用していない際の失効期間が14日から90日に伸びるそうです。

Changes to the Token Lifetime Defaults in Azure AD – Enterprise Mobility + Security

※ 既定の14日から変更している組織は対象外だそうです。

自分用に整理すると、Azure ADの代表的なトークンは2種類あり…

  • アクセストークン(Access Token)
    • アクセス先のシステムに渡すためのクレデンシャル。既定の有効期間は10分。ユーザー、クライアント、リソースの組み合わせ毎に発行される
  • 更新トークン(あるいはリフレッシュトークンと呼ばれる)(Refresh Token)
    • 上記アクセストークンとセットで発行され、PCにキャッシュされるクレデンシャル。更新トークンの有効期間中は更新トークンよりアクセストークンを生み出せるため、認証基盤に対しての再認証は不要である。

今までリフレッシュトークンの有効期間が14日だったので、長期休暇で14日間Office 365にアクセスしないと、15日目に再認証が求められていて、これがユーザー利便性を妨げていた、よって90日にした…との事。

ここからは余談で、私が良く分かってないのですが「Office 365への認証っていつ頃切れるの?(再認証されるの?)」って聞かれて、「14日間間を空けずに使い続ければ、最大90日間使えるよ」って説明しています。

参考:Office 365 のセッション タイムアウト – Office 365

これ、14日間というのが”Refresh Token Max Inactive Time”のプロパティであり、90日間というのが”Refresh Token Max Inactive Time (Confidential クライアントに発行)”なんですね。

Azure Active Directory における構成可能なトークンの有効期間 | Microsoft Docs

けど一方、上記ドキュメントの中に”更新トークンを使用して、現在のアクセス トークンの有効期限が切れたときに、新しいアクセス トークンと更新トークンのペアを取得します。”と書いてあます。これが正しいなら、アクセストークンは10分くらいで切れるため、キャッシュされたリフレッシュトークンを元に新しいアクセストークンを作成して認証に行くのですが、このタイミングで新しいリフレッシュトークンをゲットし、リフレッシュトークンの有効期限が更新されるんじゃないかな…と思ってたのです。

まぁこの”新しいリフレッシュトークン”によって更新されるのは、リフレッシュトークンの最終使用日時であり、これとは別にリフレッシュトークンの新規作成日時、みたいなデータを持っており、90日縛りは新規作成日時を元に確認されてるのかな…と無理やり納得してみます。

ここらへんの話、認証トークンの期限だけではなくアプリの作りにもよると思うので(OneDrive同期ツールなんて、一度設定したら90日経ってもパスワード変わっても再認証不要ですよね?)理解しづらい所だな、と思います。

第20回 Office 365 勉強会:感想

行ってきました。三連休のど真ん中で大丈夫?という話でしたが、私は前後仕事だったので大丈夫です。

セッションその1.NPOにOffice365Nonprofit版導入してみました

団体概要 | NPO法人 日本ジオパークネットワークさん?に導入したとの話です。以前、シャルマン火打に行ったときにNPO法人さんが糸魚川らへんに絡んでる、ってポスターを見かけましたが、その法人さんなんですね。

Office 365をNPOで採用した理由

  • 原則無料。
    • E1 0円
    • E3 410円
  • サービス継続性
    • サービス終了する可能性のあるサービスは採用できない
  • 知っている人が多いツールだから

です。GoogleもNonprofit版あるようなので、O365に価格優位性があるかはびみょーだと思いますが、サービス継続性という点では信頼性あると思います。知っている人が多い、というのは、転職の多い米国の会社は新入社員の教育コストを減らすためにWindows + Officeを導入するって話と似てるかなと思います。そこまでO365触った事がある管理者が増えればいいですけど…。

ポイント1. NPOライセンスの入手に手間取る

NPOであることを証明したり、直近の活動をまとめてTechSoup Japanに申請したりいろいろで、リードタイムが最大50日くらいかかるそう。よって試用版ライセンスで構築をはじめ、ライセンスが有効になった時点で付け替えを行ったそうです。ただ、Office365の試用版ライセンスはゴネれば90日まで伸ばせるので、リードタイムを考慮に入れておくだけで問題なさそうです。一般の企業でもライセンス購入の時期を遅らせたいがゆえに、あえて試用版をギリギリまで有効にすることはあると思います。

ポイント2. 片手間でやるのは大変だった

NPO法人は中小企業のようなもので、専任のIT管理者いない。また、以下の理由で複雑なシステム構成となってしまったので、片手間でやるのは大変だった、とのこと。総務兼IT担当のような方がOffice 365をとりあえず導入したってのはたまに聞くので(担当のPCスキルによっては)出来ない事はないと思うけど、以下のシステム構成では片手間では難しいよな…と思いました。

システムその1.連番メーリングリスト

連番メーリングリストとは何かというと

  • とあるメーリングリストアドレス(list01@ml.test.com)に送る
  • メールの件名が[list01:000001]件名となる
  • その後、同じメーリングリストアドレスに送ると、000001の部分がカウントアップする

システムであり、旧来的な日本企業で愛されているシステムである。Exchange Onlineにはこの機能がないので、別途メーリングリストサーバーを立てて、Exchange Onlineとあわせてメールフローを構築する必要がある。

これ、一応構築は出来て、僕自身、IIJのSecureMXを使うパターンとAzure上にmailman立ててIaaSで組むパターンの両方を検証(後者はどっかの案件で採用されてた)したのですが、いかんせんメールフローが複雑でSI費結構頂いた気がします。数百万だったかな…。別のメールドメインだったかな…。同一メールドメインけどいけた気がするけども。

話変わりますけど、せっかくExchange Onlineに移行するのに旧来の業務変えられないがために余計なコストかかるのはなんだかなぁと思うし、そこは業務変えろよ…と思いましたが、そのおかげで我々のお仕事があるわけです。

システムその2.SharePointの権限の話

支社毎に権限を分けたサイトを作成して、お互いが見れないような構成としたい。この時にSPOの権限設定を正しく構成するのに苦労した。具体的には、SharePointを2サイト目、3サイト目と作成していくと、気づかずに権限が付与され、2サイト目の人が3サイト目のサイトを見れるようになってしまう…。Office 365 高専高校情報漏洩事件もこのパターンで情報漏えいしちゃったんじゃないかとの話。

SharePoint権限はやり方を知ってるか知らないかだけの話だと思うけど(※私は知らない)、そういった要件に対応できる会社、エンジニアを探すのは大事なのかな、と思います。

セッションその2. Exchange Onlineの設計要素を抑える

このセッションは納得でした。Exchangeエンジニアなので…。やっぱり設計大変なところはみんな同じだな、と思いました。

LT

おかし

パステルのプリンです!

トイレ行って戻ってたらなくなってました。かなしいです。

LT1:PowerQueryって何なの?

Power QueryでJSONを簡単にパース出来る!しゅごい!

LT2:動画 + アンケートの話

SharePointサイトに動画を張り付けて、Microsoft Formsを下に配置すればいいよ、という話。

LT3:仙台IT文化祭の話

子供でもIT使っていて面白い気づきがあった、という話。

LT4:Office 365で実現する自己満足システム

ExOL → Functions → ぐるなびAPI → Teams

あーこれ、ほぼノンコーディングで出来るんだ…。実は自分で

  • ExOLの予定表の住所を検知して
  • 自社の住所と行先の住所をgoogle transitに投げて所要時間を算出
  • 前後に移動時間分の予定をオブジェクトを入れる

ってのをシステムでコーディングしたことがあるんですけど、これもFlowで出来そうだな…。

LT5:スタートアップこそOffice365で業務効率化

(経営者として)従業員の興味がDelveで分かるので、間違った方向に興味があるのなら軌道修正が出来るってのが面白かったです。あと、Flowがめちゃ使える!URL監視も出来るとは…。

セッションその3. MFCMapiを使ったExchangeのトラブルシューティング

オンプレ時代にMFCMapi.exe使いまくってたおじさん歓喜のセッションです。しかし最近はOutlookプロファイル再作成で直るトラブルが多いので触ってないですね…。

MFCMapi.exeで見れる全部の属性を把握し影響調査するのは難しいので、現実的にはお客さんの環境でよくある事象について情報を確認し、直す手順を確立し、それ以外のオペレーションはやらないってのがいいと思います。

SIer的な視点で言うと、手順ですぐ出来るからと言って、運用サービスメニュー1回30分とかではやりたくなくて、リスク費積みたいところです。リスク費が算出できなければ、例えばデータ消失・設定消失の可能性があるので、事前にユーザーメールボックスのデータと設定を抜き出すのに3時間かかるから、1回3時間30分です、みたいな立て付けをしないと。

Outlook for iOSの話とMSのサポートを担当されているベンダーさんのお話が面白かったです。確かに、Outlook for iOSから接続できないトラブルシュートはいろいろ大変かと思いますね…。

Microsoft 365 で両立するセキュリティと働き方改革

MSさんが今一押しのMS365の話です。お高いライセンスを買わないと使えないってのはあるものの、セキュリティインシデントが発生した企業さんではトップダウンで導入が決定されたりして急にSIerが呼ばれたりします。ATPは出始めに比べるとほんま良くなったと思います(動的添付ファイル配信とか)。構築コストが少なくSIerが介入する余地がないのがアレですし「いやぁ~ふるまい検知のおかげでイスラエルからのアタックに気づけたよ~」という話をお客様から聞けないので、自信を持って性能の良さを語れないところではあります。。。

※ 途中で気づいたけど、スピーカーの小町さんってde:codeでWindows Hello for Business ハイブリッドのお話しされた方だったのか。Pass-the-Hashの発音が同じだったから気づけました。あのセッションはテクサミの展示作るのにめっちゃ聞きました。

まとめ

今回は4セッション中3セッションが得意分野だったので新しい気づきは少なかったですが、自分の知識を確認するいい機会となりました。LTのFlow大活用術は参考にしたいと思いました。ビジネス面の話だと、E1以上のお客様ならライセンスは持っているので提案環境は整っているが、”メールシステム”や”グループウェア“といったカテゴリでくくれない部分なので、営業も売りづらい・お客さんも使い方のイメージがない。なので、エンジニア側があれこれできまっせ、って事例集を持参して、その中からお客さんのやりたい事引き出して、フローを組んでやるって、感じなのかな…。

あと、フローで出来ない部分はAzure Functionと組み合わせりゃ何でもできるぜしお金ももらえるぜ、って話だったけど、ここまですると、Flowベースの考え方というより、開発する機能の一部としてFlowを組み込む形になるので、Office 365エンジニアじゃなく開発エンジニアがO365のAPI使って何かやる時にFlow使って工数削減しない?とアプローチする感じかな。。。

Flowの話にそれてしまいましたが、主催者のみなさん、定期的な勉強会の開催ありがとうございます。また次回も参加させてください。

Office 365 (Exchange Online)の新しい予定表共有について

support.office.com

2017年9月くらいからひそかにOutlook for iOSで他人の予定が見れてざわざわしたのですが、MSのページを見つけたので読んでみます。

予定表共有の権限種別について

簡単に言うと、今までの”複雑な”予定表権限が、”シンプルな”ものに置き換わり、このシンプルな権限で共有をした場合、Outlook on the webで予定表の共有をした情報がOutlook for iOSなどに同期されるようです。

  • 現在PC版Outlookで選択できる予定表閲覧権限は”レガシーであり複雑”な共有方法である
    • 確かに、従来Outlookから選択できる予定表権限は”参照者”やら”寄稿者”やらパッと見意味が分からないものが多かった。
  • Outlook for iOSOutlook on the webで選択できる予定表閲覧権限をシンプルな共有方法としている(記事中では”Simplified permissions”と呼ばれている)
    • Outlook on the webからsharing invitation送ろうとするとシンプルな権限しか表示されないけど、今後はこれがデフォルトとなるようです。

これ以降、前者を”旧権限”、後者を”新権限”と呼ぶ。

PC版Outlookでは2017年4QのUpdateで新権限による予定表共有が出来るようになり、新権限による予定表共有を行う事で、PC版Outlookで閲覧した他人の予定表をOutlook for iOS,Outlook on the Webで閲覧できるようになる…ようです。

なお、既に旧権限で予定表を共有しているユーザーを新権限で上書きする場合、以下の方法が必要となる

  • 予定表オーナーに再度予定表共有インビテーションを出してもらい、OKボタンをクリックする
  • (過去に予定表共有インビテーションをもらっている場合)そのメールのOKボタンをOutlook for iOSからクリックする。この時、PC版Outlookからクリックすると無効なので注意

シンプルに、削除→再度共有依頼がよいのではないかと。

予定表共有の権限種別について:疑問

新権限での共有はユーザー個人を対象にしか出来ないのか?

  • 旧権限による予定表共有は、”既定”の権限を”参照者”などにして、自分が許可せずとも他人が勝手に自分の予定を見れる仕組みであった。新権限による予定表共有はsharing invitationを飛ばさなければならず、いちいち自分が許可する必要があるし、他人の予定を見る時にも許可を得る必要がある。よってユーザー利便性が低下する
  • これを防ぐためには、powershellか何かで事前に新権限による共有権限を管理者側でセットすれば回避できるのか検討する必要がある。例えば、A,B,C,D,Eが同じ部署なら、AにはB,C,D,Eへの予定表閲覧権限、BにはA,C,D,Eの…といった具合
    • ただ、システム的に上記が可能だとしても運用はとても回らない
    • よって、やはり”既定”やセキュリティグループ単位で”新権限”の付与を管理者側でしたい
  • “旧権限”は必要以上に細かい権限設定が出来きるため混乱の元であり、大半の要件は新権限で満たせると思いますが、細かい権限設定を利用して運用している現場があれば検討をする必要がある。

新しい予定表同期ロジック(instant syncing)

権限種別もリセットされるらしいが、予定表同期ロジックも変更になる様子。現状、Outlook on the web,Outlook for iOSで使用でき、PC版Outlookは2018年夏にリリース予定。

※ 分かりやすいよう、これ以降は旧方式・新方式と呼びます。

詳しくは”Technical details of the shared calendar improvements”以降を読めばわかるが、旧方式に比べて新方式の方がよくなっているよ…と主張している。が、エンジニア的には挙動が変わるから要チェック、くらいの意識がよい。例えば、新方式の特徴として、共有相手のカレンダー情報をローカルに保有するため、データへのアクセスが早くなる、などいろいろあるが、ネットワーク負荷が増えないか?共有相手のカレンダーに添付ファイルがめちゃくちゃついてたらどうなるのか?など気になります。

共有カレンダーのリマインダーの挙動も変わる様子。理由として、旧方式では共有カレンダーに毎回アクセスしていたが、新方式だとローカルコピーを持つようになるためと書いています。すんません、共有カレンダーあんまり使ってないので感覚が分かりませんが、使っているところは大きな変更になるのかな?

一番気になる所、というかよくわからないはPC版Outlookの対応が2018年夏ということ。

“Summary of experiences across clients”に今後のリリース予定が書かれています。

つまり”PC版Outlookで共有した予定をOutlook for iOSでも閲覧できるようになる”というのは、このinstant syncingがリリースされてから?それとも、instant syncingはあくまで同期ロジックの話で、カレンダー共有については2017年4QのUpdateで使えるようになる?

とにかく今は2017年4QのPC版Outlookへの実装待ちであり、その時いろいろ確認するしかなさそう。

Monthly Office 365 Update (9月分)

Office 365のアップデートを定期的にチェックして気になったものをピックアップするシリーズ。飽きたらやめます。

チェックソース

※ TechPlusライブラリはMSパートナーじゃないとアクセス出来ないので注意

Office 365 メッセージセンター

  • MC118065:更新された機能: # および SharePoint Online で OneDrive % のサポート
    • ファイル名に#や%が付与されたファイルをアップロードできないという致命的な欠陥があったが、サポート対象に。実態参照に置き換えてくれるのでしょうか?確か7月くらいから一部のテナントでは有効になっていた気がします。
  • MC118273:新機能: Yammer デスクトップ アプリ
    • 新しくなったよ!…と言っているが、現状もブラウザ版と同等の機能しか使えず。今の所、インストールする意味は薄いと思われる。
  • MC118596:新機能: マイクロソフトのチームにゲスト アクセス
    • 9月で一番話題だった機能。
  • MC118786:更新された機能: Office 365 アプリケーション ランチャー
    • 最近よく使っているアプリを優先的に強調表示するように変わる、という話。確かにアプリ数も多くなってきたからいいのかな?Flowとか下の方に行っちゃう可能性あるけど。
  • MC119974 更新された機能: 携帯電話上のカレンダーを共有
  • MC119976 更新された機能: マイクロソフト チームの監査ログ
    • Teamsの監査ログがアップデートされ、タブ作ったりコネクター作ったりするログも取れるようになる、と。お一人様チーム作って遊びのyoutubeタブで動画見ててもタブ作った時点でばれる、ということです。なおyoutubeタブ作ること自体は、Teamsの管理画面から制御できます。
  • MC120741 新機能: 利用状況レポート
    • Teamsに関してのユーザーアクティビティとアプリ使用状況がレポートになるという話。また電話会議などの回数も取れる。ExOLやSfBのグラフのイメージですかね。その他、データがAPIで取れるようになったり(前から?)管理者権限を付与しなくても、利用状況だけを見れる権限を付与する事が出来る。
  • MC119954 Known Issue: Email access in iOS 11
    • iOS 11で既定のメールアプリからExchange Onlineにつながらない問題。11.01で直ったっぽい。
  • MC121151 Updated feature: Message center rich formatting
    • メッセージセンター内のメッセージにyoutubeとか埋め込んで分かりやすくするよ!という話。
  • MC121194 New feature: Message Center major updates

以前から予告されていた、週間ダイジェストをメールで送ったりなどの機能が追加されるらしい。

TeckPlus編

今回は当たりの資料が多かったです。

Microsoft_Teams全体説明資料1チーム向け機能と制御・管理編_201707.pptx

  • P10-17,P64-P66 チームの仕様と制御方法
  • P32 メンション
    • 90分確認しなければメール通知
  • P34 チャネルに対してメールアドレスで投稿可能
    • 知らなかった。これでチャネルへのpostが容易に
  • P42 Teamsファイル共有の仕様
    • 方法によってteamsのsharepointか個人のonedriveかのどちらに保存されるか分かれる
  • P61 秘書bot
    • 使い方が分からなかったので参考になった。

Ignite 2017:O365関連の記事を読んでみるメモ

英語力しょぼいので期待しないでください。随時追加。

  • 注力分野
    • 認証
    • ExOL
    • SfB
    • Groups,Teams
    • ProPlus
  • 他の人に任せる
    • SPO
    • OD4B
  • 追いきれない
    • PowerApps
    • PowerBI

Configure custom policies in Skype for Business Online and Microsoft Teams – Microsoft Tech Community

Teamsでカスタムポリシーを適用する、という話。SfBでは偉い人だけ画面共有許可したりできたが、Teamsの電話会議のバックエンドはSfBなため、SfBで個別に割り当てたポリシーの通りにTeamsも動作する。話は分かったが、SfbとTeamsの機能が完全に1vs1かなどは、こちらで確認する必要がある。バグとかありそうだし。

MVP Live Blog: Understanding meetings in Microsoft Teams – Microsoft Tech Community

ざっくりまとめると

  • SfBと同じような機能をTeamsでも実装するよ
  • その間は両方のクライアントを使うか、Webから会議に参加してね
    • SfBクライアントでTeams会議に参加したり、その逆は無理
  • レコーディングや音声通話はSfBのレガシーの仕組みではなく、Azureがバックエンドになって性能良くなるよ

個人的にはedge,chromeプラグインなしでWeb会議に参加できる、レコーディングのバックエンドがAzure media Servicesになったのでテキストのトランスクリプトが出るようになる、がいいですね。トランスクリプトが正確に出れば会議の議事録を起こす手間も省けるし、文字列検索もできる。

その他、以下のような機能追加を予定しており10月以降にロードマップ出すから楽しみにしとけよ!とのこと。

  • 匿名ユーザー参加とロビー機能
  • Macでスケジュール
  • 画面のコントロールを譲渡
  • レコーディング
  • skypeブロードキャストみたいなの
  • edgeとchromeでWebプラグインなしで会議参加
  • skype常設チャットのteams版
  • Conference Phones → これ何?
  • VTC Interop → これ何?
  • ユーザー単位のポリシー設定
  • 通話品質の分析

Bringing deeper integration and new capabilities to Office 365 security & compliance – Microsoft Tech Community

セキュリティ&コンプライアンスセンターの話

  • ATPの進化
    • Win10とEdgeから得られる情報を元にフィッシングサイトのDBをアップデートしていくのでEOPだけしか使ってない人にもメリットある。
      • そういやOutlookでやべーメール受信したら赤いラベルの警告が出る機能ってリリースされたんだっけ?
  • SPO,OD4B,TeamsへのATP拡張:
    • するってよ(前から言ってなかったっけ?)
  • セーフリンクがオリジナルURLに
    • ATPでセーフリンクすると強制的にURLが書き換えられて長いURLになって、反ってスパムメールっぽくなってしまっていたのを廃止
      • となると、どうやってセーフリンク判定するんだろう?素のURLでアクセスするとATP踏まないか?
      • よく読んだら、マウスでホバーすると元のURLが表示される、との事でした。微妙…。
  • アタックシミュレーター
    • 画面ショット見るとシミュレーション実施する事でパスワード総当たり攻撃されたらやべーユーザーとか特定できるぽい?
  • 脅威トラッカー
    • 最近流行りの脆弱性攻撃を教えてくれるっぽい?
  • 脅威エクスプローラ
    • 危険なコンテンツアクティビティ、ユーザーアクティビティを教えてくれるぽい。例えば社外にファイル共有しているユーザーとか。

なお上記機能のAI系機能のライセンスはSPE E5とのこと。

GDPR対応

Compliance Managerとかいう、GDPRはじめ各規約(というのか?)に合致しているかどうかのステータスを判定するポータルを11月にリリースするぽい。私の認識が弱いのかもしれないが、それってクラウド基盤側で対応するもので、ユーザー側がどうこうできるものではないのでは?ひょっとしてJPのAzureIaaSに建てたマシンの主なアクセス元がEUとかだと、IaaSをEUに建てなさい、とかなるの?

Advanced eDiscovery

o365以外のデータも(おそらくアップロードすれば)分析してくれるぽい。

データガバナンスの進化

読んだけどどういう場合にこの機能が響くのか、メリットが分からなかった。あ、SPOとかOD4Bの容量がいっぱいになってきた時に不要なデータを捨てやすくなるのかな?

O365メッセージ暗号化の新機能

これ、気になりますね。今までO365の暗号化といえば、AIP(旧RMS)かOutlookの暗号化オプションだった。後者はあまりSIする機会もなく動作保証が薄いイメージ、AIPはとにかく使いづらく社外にメールを送るにしては現実的ではない。

今回の新機能は、ベースはAIP(なのでライセンス必要)ながら、受信者が普通に読める、具体的には受信者がO365ユーザーならそのまま読めるし、O365以外のユーザーはGoogleやYahooIDを使って認証が出来る(←どうやって正当な受信者だと証明する???

受信者に依存する以上完全性はないが、グループ会社が別テナントでO365を使っている事が分かっている場合、有効な選択肢となるか。おそらくNotesの人とかオンプレExchangeの人は今まで通り煩わしい手順を踏まなければいけないと思うが。

Announcing the release of Threat Intelligence and Advanced Data Governance, plus significant updates to Advanced Threat Protection – Office Blogs

  • ATPのレポート画面が変わったよ
  • ATPのセーフリンク機能がOffice ProPlusに拡張されたよ
    • 動きとしては、Office ProPlusで開いた文章中のURLをクリックしたときに、セーフリンクかどうかの判定が入る様子
    • メールみたいに文章を書き換えない…よね?これは怖いので動作確認をする必要がある
  • Advanced Data Governance
    • 不要になった機密性の高いデータは廃棄してしまいましょう、という機能
    • それは確かに…と思うが、普通の企業だとこの機能に頼らないのではないか(誤削除が怖くて)
    • 消す前に確認とかあるんだろうけど…今の所、検証優先度は低い。E5だし
  • DLP

Connecting the modern workplace with SharePoint and OneDrive: Announcements at Ignite 2017 – Microsoft Tech Community

これから読む

OneDrive Annoucements at Ignite

これから読む

Microsoft Ignite Content 2017 – Microsoft Tech Community

これから読む

Microsoft Azure File Sync – setup, configuration, and management – Microsoft Tech Community

これから読む

MSがOffice 365に関わるPACファイルを作成してくれる件

Office 365を利用する場合、Office 365が指定するURLにインターネット接続できる必要があります。そのURLは以前より以下のページで公開されていました。

Office 365 URLs and IP address ranges – Office 365

また、XMLファイル形式やRSSでのUpdate情報も配信されています。

今回新たに、pacファイルのサンプルをMSが提供し出しました。

Managing Office 365 endpoints – Office 365

提供されるPACファイルのパターンは3パターンのようです。

パターン1

このパターン1についてはよくわかりません。どうやらMSがIPアドレスを管理しているものはFWに、そうでないものはプロキシにで通信経路を分ける目的のPACファイルと思われます。が、MSがIPアドレスを管理していないもの = 主にakamaiなどのCDNを使っているものと思われますが、疑問として

  1. そういうものをプロキシに飛ばす必要があるのか
  2. 仮にそうだとしても、URLの分類基準が分からない

→例えば、compliance.outlook.comというURLは「MSがIPを管理していないからプロキシに飛ばす」となっています。このURLをOffice 365 URLとIPのページで探すと、Office 365 portal and shared “23 Optional: Security and Compliance export “に分類されているのですが、同じくここに分類されている”protection.office.com”などはPACファイル上はプロキシではなくFWに飛ぶようなPACとなっている。つまり、Office 365 URLとIPアドレスのページからPACファイルを導き出せないえす。

この他にも、分類URLの中に”www.google-analytics.com”や”www.youtube.com”があったり、最初にproxyserver2があるのにpacファイル中に出てこなかったり(これはおそらく末尾の”//Catchall for all other traffic to another proxy”がproxyserver2;であるべきなんでしょうが)とにかくいろいろ謎。

パターン2.

パターン2はExpressRouteとExpressRouteを経由せずInternet経由でOffice 365にアクセスする必要があるURLを分けています。ExpressRoute for O365を契約していても、ライセンス認証などの通信はExpressRouteじゃなくインターネット経由でアクセスしないといけないので、PACファイルまたはL4スイッチのソリューションで経路を分けてやる必要があります。

これはパターン1と違ってしっかりとURLが記載されている様子。ただし、Microsoft Stream、Yammer、Sway、PlannerのURLが入っていないです。おそらく、Office 365 URLとIPのページで、これらの製品のExpressRouteのカラムがないからと思われます。ないならないで、プロキシに振っておいてくれればいいのに…。

パターン3.

これは一番シンプルで、Office 365で使用されるURLを全てリストアップしプロキシサーバーに投げるというもの。ただ、この程度なら今までMSが提供してくれていたXMLを解析すれば作成できるので、他の2つに比べると新しい意味は少ないか。

MSが作ってくれたPACファイルでうれしい事

パターン1のPACファイルの意味は分からないけど、パターン2はうれしいリリース。今までのXMLRSSによる情報配信はERを使わないOffice 365 URLのみ経路を分ける、という要件に対応できなかったため、いちいちOffice 365 URLとIPのページを確認する必要があったが、このPACファイルによってある程度正規化された情報が手に入る事になった。Microsoft Streamなどに対応していないものの使っている環境の方が少ないので実用性はあるかなと。

注意点としてこのPACファイルを丸コピーはダメで、ちゃんとプロキシのIPを指定したり、sharepointのURLを自社のものに書き換える必要がある。

まぁこんなPACファイルを作ってくれなくても、製品,URL,ERの有無などOffice 365 URLとIPアドレスのページに記載されている情報を正規化した形でくれればいいんですけどね…。

Outlook for iOSから他人の予定表が見れるようになった様子

どうやらOutlook for iOS / Active Syncで他人の予定表が見れるようになったようです。
※ 青チェックの所に、他人のユーザー名が表示され、予定表が閲覧できるようになっている。

f:id:teraco:20170913194027p:plain

動作確認したのは以下の端末。

iOSバージョン:10.3.3 (14G69)
Outlook for iOSバージョン:2.42.0

ただ、発生条件は今のところ不確かで、私の周りでも見れている人見れない人がいる様子…。
周りの話を総合すると、

  • 2日前くらいから見れるようになった
  • Outlook for iOS側で能動的にユーザーを追加する事が出来ない
  • PC版Outlookで予定表を追加したユーザー、あるいはよくやり取りする(?)ユーザーの予定表が自然にOutlook for iOSに表示される

ようです。

使い勝手としては微妙ですが、Outlook for iOS側で自由にユーザーを追加・削除する事が出来れば、今までの悩みである、モバイルから他人の予定表が見れない、というのが解消しそうです。

なお、Outlook for iOSで予定が見られて何かうれしいの?OWA(Outlook on the Web)でいいじゃん、という話ですが、企業によってはOWAの利用は非推奨というのがそれなりに多く。理由としては

などがあります。OWAの方がアプリ配布不要で機能的には(予定表も含めて)満たしている、というメリットもあるんですけど。

発生条件が分かりました→Office 365 (Exchange Online)の新しい予定表共有について – 今日も元気にIT屋さん

UTFとか文字コードの話とExcelやpowershellなどのアプリケーション対応を調べた

迂闊ながら職場で”SJISでデータ下さい”って言ったらゴミを見るような目で見られたので調べます(メールでデータ送るから、って言われたから流れでSJISって言っちゃったねん

登場人物(文字コード編)

UTF-8

UTF-8と言っても2つあり、BOMありとBOMなし。BOMというのはバイトオーダーマークで、これがあればプログラムがファイルを読み込むときに確実にUTF-8と分かるが、BOM付ファイルを1バイト目から実データ部分と扱って処理しようとすると死亡する。なおExcelUTF-8(BOM付)なら文字化けせず開けるらしい

UTF-16

wikipediaさんによると、UTF-16は5種類あるらしい。

BEとLEというのはビッグエンディアンとリトルエンディアンというもので、実装方法(?)によって差があるあるらしいが、ファイルが読み込めるか否かはBEやLEに関係なく、BOMが目印になるか、そもそもUTF-16に対応したファイルかによる様子。

どうもWindowsの世界ではUnicode = UTF-16 LEになる様子。UTF-16はBOMなしだとBEと判定されるらしい。となると、UTF-16 BE,UTF-16 BOMなし(BE)の違いが分からなかったので、UTF-16 BOMなし(BE)は除外して調べる。

登場人物(プログラム編)

  • Excel 2016:時に方眼紙、時にユーザー一覧出力先とITの世界で大活躍する一線級ソフトウェア
  • サクラエディタ:私の愛する最強エディタ。インストール不要で客先にも持ち込みやすい
  • メモ帳:ゴミだがサーバーにはこれしかない事多し。
  • powershell ISEのエディタ部分:実はサーバー上でメモ帳以上に使えるもう1つのエディタ。正規表現も使えるよ
  • VisualStudioCode:powershell ISE以上のエディタ。1度慣れるとISEには戻れないしサクラエディタの地位も怪しい。起動に1秒くらいかかるのが欠点。
  • powershell v5:cmd.exeを過去のものにしたWindows標準のコマンドラインツール。サーバーへのリモートアクセスからWebスクレイピングもがんばりゃ出来る優れもの。

チェック結果

読み込み

Excel 2016 サクラエディタ メモ帳 ISEエディタ部分 vscode ps v5
UTF-8 × × △ ※1 △ ※2
UTF-8(BOM付)
UTF-16 BE × × × × ×
UTF-16 LE × × × × ×
UTF-16 BOM BE ×
UTF-16 BOM LE
  • ※1 自動判別できない。読み込んだ後、手動で文字コードを指定すれば読み込み可能
  • ※2 -Encording オプションを明示的に指定する事で読み込み可能

書き出し

Excel 2016 サクラエディタ メモ帳 ISEエディタ部分 vscode ps v5
UTF-8 × × × △ ※5
UTF-8(BOM付) △ ※3 ○ ※4
UTF-16 BE × × × × ×
UTF-16 LE × × × × ×
UTF-16 BOM BE × ○ ※4
UTF-16 BOM LE ○ ※4 ○ ※4
  • ※3 2016年10月の最新版Excelcsv形式のみエクスポート可能
  • ※4 タブ区切り形式のみエクスポート可能
  • ※5 開いた文字コードと同じ形式でしか保存できない
  • ※6 -Encording オプションを明示的に指定する事で読み込み可能

結論と注意点

  • WindowsではUTF-8(BOM付)か、UTF-16 BOM付 LEを使えば、基本的に読めない事はない
  • サクラエディタUTF-8で保存する際、デフォルトではBOMにチェックが入っておらずBOMなしで保存されてしまうので注意
  • Excelで作成したデータをUTF-8(BOM付)、UTF-16 BOM付 LEに保存する際は、一度SJISなどで保存してからメモ帳で変換するのがよい(MS公式もアナウンスしている)
  • powershellで-encordingに何も指定しないと、unicode(UTF-16 BOM付 LE)で保存される
  • となると全てのファイルをunicode(UTF-16 BOM付 LE)で保存すればいいじゃんと思ったりしてしまうが、UTF-8に比べてファイルサイズが1.5倍くらいになってしまうので悩ましい
  • よって場面によっては多少面倒だが、UTF-8(BOM付)で保存するのがよい

参考

Powershell で文字コードを変更する(clip.exe へのリダイレクトもね)

「Azure AD Connect のシングル サインオンは冗長化できない」と誤解していた話

ちょっと前に「Azure AD Connect(AADC)使ってシングルサインオン出来るぞー!もうADFS必要ないんじゃーい!」みたいなニュースがありました。

これ見て、すげー!と思ったものの「AADCって冗長化サポートされてないじゃん…そんなんに認証基盤任せられるかよ…解散」となっていましたが。記事をよーく見たら冗長化サポートされていたのでした。(風呂入ってるときに「いくらなんでも冗長化されてないままリリースしないよな。もう1回確認しよ」と思って調べ直したのがきっかけ)

誤解1:AADCのシングルサインオン冗長化できない → できる

パススルー認証を運用環境デプロイで使用することを計画している場合は、別のサーバー (Azure AD Connect と最初のコネクタを実行しているサーバー以外) に 2 つ目のコネクタをインストールすることを強くお勧めします。

にある通り、

手順 1: コネクタをダウンロードしてインストールする

AADApplicationProxyConnectorInstaller.exe REGISTERCONNECTOR=“false” /q

手順 2: パススルー認証用にコネクタを Azure AD に登録する

.\RegisterConnector.ps1 -modulePath “C:\Program Files\Microsoft AAD App Proxy Connector\Modules\” -moduleName “AppProxyPSModule” -Feature PassthroughAuthentication

とします。Azure AD側で複数のコネクタが存在すると認識し、使用できるコネクタに対して認証要求を投げるようです。ここらへんはAzure AD Health Serverとか使ってるのかな?

誤解2:AADCのシングルサインオンが使えない場合、Office365にログインできない → できる

仮にAADCが全て停止した場合、AzureADの認証先であるAADCが使えないためO365にログインできない…と思ってましたが、これはADFSの発想でした。AADCの場合、サービス停止時は、単純にO365に直接ログインする形になるようです。

シームレス SSO は便宜的な機能であり、何らかの理由で失敗した場合、ユーザーのサインイン エクスペリエンスはその通常の動作に戻ります。つまり、ユーザーはサインイン ページでパスワードを入力する必要があります。

ADFSと違ってO365上のドメインがFederetedにならないので、このような動作になるんですね。そういった意味ではADFSを冗長化するよりも耐障害性が強いと言えます。

これらを考慮すると、Azure AD Connectシングルサインオン構成は利点しかない、という事が分かりました。強いて言うなら、AADC稼働中と障害中でユーザーのオペレーションが違うという事くらいですが、ほとんどの会社では気にしないでしょう。

まだプレビュー機能だし、OutlookSkypeなどの動作も確認する必要がありますが、早くGAして検証したいです。

第19回 Office 365 勉強会:感想

第19回 Office 365 勉強会というのに行ってきました。初参加でした。気になったところだけ感想です。

今の Office 365ってこんな感じ?

Groups/Teams周りと変わりつつあるO365サービスについて。

MyAnalytics

E5でついてくる機能。本命はMyAnalyticsの企業版であるWorkPlaceAnalyticsらしい。MSとしてはこの機能をプッシュしたいらしい。ということで、僕個人の会社アカウントもMyAnalyticsが有効になっているのだが、正直使えないという印象がある。というのは、Outlookの予定表を正としてデータ分析をしているのだが、午前半休だからOutlookの予定表に”午前半休”と4時間くらいの予定をぶっこむと、それを”会議”と認識したりする。原因として、Outlookで予定を作成する時に、”空き時間”,“予定あり”,“外出中”くらいしかまともな選択肢がなく、細かい属性に落とし込めない。これが他社のスケジューラーだともうちょい選択肢があったりするのだが…。一案として、Outlookの”分類”をGPOで縛って特定の選択肢を必ず表示するようにし、それをユーザーが選ぶことを強制させる事があるが、それをMyAnalyticsに連携するのは無理なんだろうな…。

また「会議中にメールを送る事は悪なのか?」「メールは送ってないかもしれないけど、IMはしてるかもしれないし、ネットサーフィンしてるかもしれない。IMやネットサーフィンはMyAnalyticsでは検知できない」など、いろいろとツッコミがある。少なくとも、その会議が「有用かどうか判定」は、会議中の内職の内容を全て把握し、それが会議から派生した事柄かまでを判定しないといけないので、現状もこれからも正直厳しいと思う。

…と僕は感じており、MyAnalyticsのAIに対する納得感がないので、アドバイスを信用できない、という感情になる。WorkPlaceAnalyticsのリリース時にそれらがどこまで改善できているかが気になりますが…。

Flow/PowerApps/Forms周りの話、社内のpoweruserを味方につける

Flowくらいしか使ってないので正直実感がないですが、便利は便利なんだろうな、と思います。1点気になるのはNotes → Sharepoint移行の時によくある「昔○○さんが作ったワークフローを勝手に使ってるんですよー。辞めちゃって誰も仕組み分からないんですけど」や「Notesのアプリってたくさんあるけど何が使われてるかよくわからないから、念のため全部移行したいよね」問題。便利さの対極に発生する問題なのでどうしようもないが、情シスが管理できないサービスの利用が進めば進むほどOffice365へのロックインが進んで、他社サービスに移行し辛くなる気がするな。

なので展開にあたってはある程度ガバナンスを利かせたい。例えば、1人5つまでしかFlowを作れないようにするとか(適当)。そうすれば、実際に使っているFlowだけが残りやすくなる。あと1年毎に棚卸をして、不要なFlowやPowerAppsは消すとか。けどそれが出来ないから各社Notes移行の時に苦労してるんだろうな。

この辺りをMyAnalyticsで通知してくれればいいかも。例えば「このFlowは○ヵ月トリガーを検知していません」とか「このフローは動いていますが、リアクションを取っているユーザーがいません。」とか。Teamsには非アクティブのチームを自動的に削除する設定が追加されるらしいし、ILMも意識した管理者設定が出来れば助かるな。

Hololens…ではなくPowerBIの話

Hololensデモはテンションが上がる!もうなんでもかんでもHololens使ってデモしようw PowerBIの話。PowerBIもそうだが、Teams,Flow,PowreAppsも使ってみようと思わないと使えない。受け身では使えない。例えばWindowsフリーソフトたくさん入れてるような人は自然に使うだろうし、そうじゃない人は使えない。現状、うちの会社もExcel中心で業務をやっているが、その中でPowerBIを使った方が便利なものはどんどん移管していくべきだな、と思ったとはいえ、こういう系のデモだとBtoCの想定が主であるため、BtoBが中心のSIerでどうやって使おうかなぁ…と考えつつ、結局使ってないのが現状です。

私、PowerBIとかPowerAppsってあんまりワクワクしなくて、管理者設定系の方が気になっちゃいます。管理者があれこれ試行錯誤して、ユーザーの皆様にサービスを提供するような。それは多分職業柄ってのと、その方が俺が面白いじゃん、って事かな。ユーザーがPowerBIとかPowerApps使ってゴリゴリやる方がみんなが面白いよね、ってのは頭じゃ分かってるんですけど。

あーけどFlowなんかは自分で使ってみてすげー便利だと思うからみんなにも進めたいと思うし、やっぱPowerBIとかPowerAppsの便利さが自分で分かってないだけなのかな…。うーん。

SfBBotの話

自分でがんばって作ろうとして挫折してたので非常に助かりました!!!めっちゃよかった~。開発者じゃないので、お作法系が分からず詰まってましたがこのセッションを受けたからには必ず作りきろうと思います。

座談会

印象に残ったのは、Office 365で障害が発生した時にどう伝える?というのと、Sharepointをファイルサーバーに出来るのか、という点。前者は、大声で伝えるとか電話で連絡するとかFAXするとか、昭和の古典的なソリューションで面白かったです。弊社の場合、Office 365に限らずシステムがよく落ちるので(…)「なんか調子悪いなー」「今メール見れないっぽいよ」「んじゃ飯行こう」で終わりそうです。。。Sharepointファイルサーバー問題は、現行のファイルサーバーの闇の深さによると思ってて、闇が深いとSI側も闇にとらわれる、というイメージ…。あとは使い勝手ですね。やっぱエクスプローラーでファイル一覧みたいじゃん、ブラウザ不便じゃん、と。僕はOD4B同期ツールを使ってドキュメントライブラリを同期する事でエクスプローラー閲覧を実現しているのですが、ドキュメントライブラリに大容量ファイルを置かれてたまに死にます。ファイルサーバーをそのまま移行というより、SPOのメリット・デメリットを把握した上で、ユーザーの使い方も変える前提で展開しないとクレームになると思います。

以上です。

初めての勉強会で馴染めるか不安でしたが、良い意味でセミナーみたいで、内輪なアットホーム感もありつつ初めての人を歓迎する雰囲気もあり、よかったです。座談会でディスカッション出来て、みんな同じような事に悩んでるんだな、と分かりました(Microsoftさんなんとかしてください。)

レポ書くのに写真1枚も撮ってない事に気づきました…。せめてお菓子くらいは撮影しとけばよかったです。次回参加時の反省にします。