Quantcast
Channel: TechNet Blogs
Viewing all 34890 articles
Browse latest View live

要点のみお届け! Windows 10 Fall Creators Update Part 1 :Microsoft Edge & セキュリティ & 日本専用アップデート 編【6/29更新】

$
0
0

本オンライン セミナーでは、Windows 10の導入をご検討中ならびに導入済みのお客様を対象に、最新のFall Creators Updateの要点について3つのパートに分けてご紹介します。Part1は最新のMicrosoft Edgeやセキュリティなどの基本機能の紹介に加え、日本向けの独自のアップデート情報をご提供いたします。

特に、以下のようなお客様にお勧めします。

■ 企業のIT担当のお客様
■ Windows 10 導入を検討されているお客様
■ Office製品の更新もご検討中のお客様
■ クラウド時代の OS やデバイスを模索されているお客様
■ 企業内セキュリティの向上をご検討中のお客様

 

オンラインセミナーの参加登録はこちら

 

 


Microsoft TechNet Guru Competition May 2018

$
0
0

All the votes (for May) are in, just before the lock down!!

Sorry for slight delay this month. We need more judges in Small Basic, BizTalk, Azure & System Center.

If you or someone you know is a Microsoft employee, MVP or wish to join the TechNet Wiki Community Council, please get in touch.

Getting down to it... below are the results for the TechNet Guru Awards May 2018 !!!!

 

The TechNet Guru Awards celebrate the technical articles on TechNet, contributed from valued wiki authors like YOU!

Each month, the contributions are scored by a panel of judges (5 per category, 2-3 in each are MS experts), and the winners of each category are showered with love and attention from all corners of TechNet.

See the links at the bottom, to find out more about the competition and how to enter.

 

We have picked the top three highest scored contributions for each category to bestow our awards upon.

The awards are in gold, silver and bronze, the gold obviously being the top winner of the category.

The last column is just a few of the comments judges made during the judging process.

In some cases, we have not obtained permission to use the judges names, so they have been reduced to initials.

 

My fellow wiki ninjas will be digging deeper into some of these articles in this blog series, so watch out for those.

 

Any of our judges can exercise their right to veto an article, if they do not feel it meets minimum requirements for a medal.

When this is the case, we will at least give an indication of the reason, so you understand why.

 

A big thank you also to the other authors who did not make the top three of each category.

Some articles only just missed out, so we may be returning to discuss those too, in future blogs.

 ASP.NET Technical Guru - May 2018 
Gold Award Winner SYED SHANU ASP.NET Core Blazor CRUD using Entity Framework and Web API
Jeff Fritz: "Great content format. I like the use of animated GIFs and video"
Sabah Shariq: "The article is simple to follow and it's well presented."
Khanna Gaurav: "Great article"
Silver Award Winner AnkitSharma007 ASP.NET Core 2.0: Using Highcharts With Angular 5
Jeff Fritz: "Nice use of animated GIFs to show the tooltip features. Great commentary around each of the code blocks"
Khanna Gaurav: "Nicely explained"
Sabah Shariq: "Great article with a lot of code snippets and explanations, nice!"
Bronze Award Winner AnkitSharma007 ASP.NET Core – CRUD Using Blazor And Entity Framework Core
Sabah Shariq: "Great article!"
Khanna Gaurav: "Nice article"
Jeff Fritz: "Blazor is not released, not supported, and it needs to be conveyed that this is an experiment. This feels misleading, but other wise content is good"

Also worth a mention were the other entries this month:

 

 BizTalk Technical Guru - May 2018 
Gold Award Winner [Kamlesh Kumar] [Missed from April] BizTalk: Configure TLS 1.2 on BizTalk Server
Abhishek Kumar: "Nice article and must read for TLS issues.Thanks Kamlesh for sharing"
JS: "So helpful to have all of this cataloged on one place. Great job."
Silver Award Winner Mandar Dharmadhikari BizTalk: Implementing Custom User Name and Password Authorization On WCF Receive Location
Abhishek Kumar: "Good article Mandar . Keep them coming"
JS: "Nice read!"

 

 Forefront Identity Manager Technical Guru - May 2018 
Gold Award Winner Peter Geelen MIM/FIM Troubleshooting: Sync service terminated with service-specific error %%-2146234334 (Primary Server)
Søren Granfeldt: "Nice troubleshooting tip for handling the good old sync setup"
Lasse Wedø: "Although presented with an error and a solution, I would like to se an introduction and a scenario not just a link to another forum post."
Silver Award Winner Mitch King - 365 Guy FIM / MIM / AADC - Real World Working With Multi Forest & "Resource Forest" Model
Lasse Wedø: "Informational and to the point."
Søren Granfeldt: "Nice post Mitch"
Bronze Award Winner Peter Geelen MIM/FIM Troubleshooting Collection: Sync service terminated with service-specific error %%-2146234334
Søren Granfeldt: "Duplicate? Seems empty"
Lasse Wedø: "Thanks Peter"

 

 Microsoft Azure Technical Guru - May 2018 
Gold Award Winner DBS14 Calling an Integration Account Assembly Function from within an Azure Logic App
Lasse Wedø: "Good and informational"
Nicolas Bonnet: "Good read!"
Silver Award Winner Pete Laker Azure Cognitive Services - Computer Vision - Face Recognition API - Identify and search all your photos for FREE!
Lasse Wedø: "Good stuff, but I would like the introduction to be more to the point"
Bronze Award Winner Subhro Majumder Introduction to Azure Active Directory
Afzaal Ahmad Zeeshan: "Purely perfect article."
Lasse Wedø: "There is a lot of good information here, but nothing new. This can all be found at various official sites. I would rather have an article pointing me to important official links"

Also worth a mention were the other entries this month:

 

 Miscellaneous Technical Guru - May 2018 
Gold Award Winner SYED SHANU Getting started with Xamarin Android Single View App
Peter Geelen: "Nice work, with a great mix of images, video and text!"
Lasse Wedø: "Good information, I would use less screenshots, and possibly revisit the layout regarding spacing."
Kia Zhi Tang: "Nice walk-through on getting started with Xamarin on Andriod. Enjoyed reading this."
Richard Mueller: "Thank you for this detailed explanation of an interesting app. The See Also should only include links to other Wiki articles. More references would add a lot."
Silver Award Winner AnkitSharma007 Getting Started With Angular 6.0
Richard Mueller: "Well done, with good steps and images. Good See Also. A few things need explanation or links, like "node" and "npm", for those new to Angular."
Peter Geelen: "Well done!"
Lasse Wedø: "This article could be improved with a better intro including references to what angular actually is"
Kia Zhi Tang: "Thank you for sharing. Nodejs & Angular on VSCode."

 

 SharePoint Technical Guru - May 2018 
Gold Award Winner Ramakrishnan Raman Use bootstrap with SharePoint Framework (SPFx) webpart & extensions
John Naguib: "Thanks a lot for this nice sharing"
Tiago Costa: "Great article with a lot of good information"
Silver Award Winner Vivek Jagga Bulk User Properties Import with SharePoint Online
Tiago Costa: "Simple article. I will add some Microsoft Graph information for Azure AD integration, …."
John Naguib: "Nice one, thanks"
Bronze Award Winner Waqas Sarwar Outgoing Email issue with SharePoint 2016
John Naguib: "Well done , thanks for sharing"
Tiago Costa: "Simple but Interesting article"

 

 Small Basic Technical Guru - May 2018 
Gold Award Winner Nonki Takahashi Small Basic: Compatible Systems
SYEDSHANU: "Nice Share Nonki Takahashi.Visual Programming Tool Link seems to be broken Link need to be updated."

 

 SQL Server General and Database Engine Technical Guru - May 2018 
Gold Award Winner Mohsin_A_Khan SQL Server: Concurrency Control Models, ACID Properties and Transaction Isolation Levels
Visakh16: "A quality and well detailed article talking through the internals of ACID properties, concurrency control and isolation levels. The usage of small examples for illustrations are great. On the whole a very good article for someone to get thorough idea on the internals of SQLServer and some basic DB fundamentals"
Tomaž Kaštrun: "A nice demonstration the SQL Server database Isolation levels with practical queries."

 

 System Center Technical Guru - May 2018 
Gold Award Winner Leon Laude SCOM 2016: Integrating with HPE OneView 4.0
Kia Zhi Tang: "Loves to see walk-through with screenshots on integrating with other vendors. Thank you for sharing. It will be great if you build a See Also section with all those System Center wiki articles and a Reference section of those Microsoft docs / HP docs related to this wiki."
Silver Award Winner Simon Dettling Removing orphaned Active Directory Users from Configuration Manager
Kia Zhi Tang: "Thank you for the handy Windows PowerShell script and the Wiki article explanations about it. :)"
Bronze Award Winner Leon Laude SCOM 2016: Integration with Operations Management Suite (OMS)
Kia Zhi Tang: "Thank you for sharing about integrating On-Premise SCOM with Azure Log Analytics service for OMS Suite screenshots walk-through. It will be great if you build a See Also section with all those System Center wiki articles and a Reference section of those Microsoft docs related to this wiki."

Also worth a mention were the other entries this month:

  • System Center Orchestrator 2016: Connecting to Microsoft Azure by Leon Laude
    Kia Zhi Tang: "Good walk-through with screenshots on self-signed certificate. Hope to see the use of PKI issued certificate for enterprises. Thank you for sharing. It will be great if you build a See Also section with all those System Center wiki articles and a Reference section of those Microsoft docs related to this wiki."
  • SCOM 2016: Monitor a specific Windows Event by Leon Laude
    Kia Zhi Tang: "This is always good walk-through with screenshots for monitoring customization. Thank you for sharing. It will be great if you build a See Also section with all those System Center wiki articles and a Reference section of those Microsoft docs related to this wiki."
  • Enabling SCOM maintenance mode from an agent computer by Leon Laude
    Kia Zhi Tang: "Nice walk-through with screenshots and explanation of the background mechanics. Thank you for sharing. It will be great if you build a See Also section with all those System Center wiki articles and a Reference section of those Microsoft docs related to this wiki."
  • Setting up an Azure Backup Vault registration with DPM 2016 by Leon Laude
    Kia Zhi Tang: "This is a good walk-through with screenshots. Thank you for sharing. It will be great if you build a See Also section with all those System Center wiki articles and a Reference section of those Microsoft docs related to this wiki."
  • SCORCH 1801 Integration with SCOM 1801 by Leon Laude
    Kia Zhi Tang: "This is a good walk-through with screenshots due to the dependency for .Net Framework (mscorlib.dll). Thank you for sharing. It will be great if you build a See Also section with all those System Center wiki articles and a Reference section of those Microsoft docs related to this wiki."

 

 Transact-SQL Technical Guru - May 2018 
Gold Award Winner Visakh16 Simulating IGNORE NULLs Functionality On FIRST_VALUE, LAST_VALUE Functions in Transact SQL
Tomaž Kaštrun: "Article shows a nice example of using FIRST_VALUE and LAST_VALUE when there are NULL values in corresponding fields."
Afzaal Ahmad Zeeshan: ""
Richard Mueller: "Interesting topic, and well done. I like the links explaining FIRST VALUE, etc. But the See Also should only include links to Wiki articles."

 

 Visual Basic Technical Guru - May 2018 
Gold Award Winner .paul. _ VB.Net- Graphical Mathematical Transformations
SYEDSHANU: "Awesome Post Paul.Each part has been explained well and good to see with Source code download link,Thanks for sharing"
Khanna Gaurav: "Great work."
Richard Mueller: "Very interesting, and well explained. We need links to references, and other Wiki articles in a See Also."
Silver Award Winner Karen Payne Essential VB.NET Tuples
Khanna Gaurav: "Excellent article. Very well explained"
SYEDSHANU: "Tuples is very cool concept and thanks for sharing with examples."
Richard Mueller: "Excellent use of Wiki guidelines. I like the links for iterator and yield statement. Tuples look very interesting."
Bronze Award Winner .paul. _ OOP Statistical Functions
Richard Mueller: "Well done. Could use links to references, and a See Also. Good explanations, code, and images."
SYEDSHANU: "Statistical functions are very useful concepts as I have been used to work with this concept for Factory Automation projects,Your samples are very simple and easy to understand ,Thanks again for sharing one more good sample in VB.NET"
Khanna Gaurav: "Nice article"

Also worth a mention were the other entries this month:

  • DataGridView column configuration VB.NET by Karen Payne
    SYEDSHANU: "One more useful post from Karen as to dynamically show/hide DataGridView Column and also to reorder the column display in DataGridView ,good to see the Source code download link,Thanks for sharing"
    Khanna Gaurav: "Useful configuration and should be very useful"
    Richard Mueller: "Another excellent article. Using the XML adds great functionality for the user."

 

 Visual C# Technical Guru - May 2018 
Gold Award Winner Karen Payne .NET: Defensive data programming (Part 2)
Jaliya Udagedara: "Great article, nicely explained using both C# and VB.NET code samples."
Khanna Gaurav: "Nice article"
Silver Award Winner Karen Payne Working with SMTP email with C# (Part 1)
Khanna Gaurav: "Great work"
Jaliya Udagedara: "Good article explaining a common requirement."
Bronze Award Winner Karen Payne Windows forms Auto complete ComboBox C#
Khanna Gaurav: "Nice article"
Jaliya Udagedara: "Back to Windows Forms, nice!"

 

 Wiki and Portals Technical Guru - May 2018 
Gold Award Winner Chilberto Is it time to refactor the TechNet Wiki Guru Awards Competition?
Peter Geelen: "The only in this category this month, always a win. But it's an important question to ask and the entire community should chime and and provide their opinion. Very good initiative!"
Tomaž Kaštrun: ""
Kia Zhi Tang: "Thank you for leading the refactoring. Hope to see the some discussion started in the forum. :)"
Richard Mueller: "Excellent to encourage feedback for the future of the Wiki Guru contests. Good to link the blog post and articles on the current practices."

 

 Windows Presentation Foundation (WPF) Technical Guru - May 2018 
Gold Award Winner Pete Laker Publish your old WPF and WinForms 'desktop applications' in the Windows Store! No code conversion! MSIX in three easy steps. Visual Studio or Desktop Bridge
SYEDSHANU: "Good to see as the article has been explained with Images which makes the readers to understand easily.This is very useful post Pedro,Thanks for sharing ,"
Khanna Gaurav: "Great article"

 

 Windows Server Technical Guru - May 2018 
Gold Award Winner C Sharp Conner Virtual Isolated TEST Environment - Configuring 2 Separate Domains with Forest Trust
Mark Parris: "How to create a Forest trust - not sure the long term usefulness of this article though as it is based on Windows Server 2008 R2."
Eric Berg: "thank you"
Kia Zhi Tang: "Thanks for contributing a walk-through with some screenshots."
Richard Mueller: "Great topic with detailed steps. Links would help, Wiki articles in a See Also section, other documentation in a Other Resources or Other References section."

A huge thank you to EVERYONE who contributed an article to last month's competition.

 

With thanks,
Pete Laker & The TechNet Wiki Council

 

More about the TechNet Guru Awards:

Microsoft 365 を用いたゼロ トラスト ネットワークの実現

$
0
0

こんにちは、Azure & Identity サポート チームの田中と高田です。

本記事は、米国時間 2018年 6 月 14 日に公開された Building Zero Trust networks with Microsoft 365 の抄訳です。

 


従来の境界ベースのネットワーク制御は時代遅れとなりつつあります。 境界ベースのネットワークには、ネットワーク内のすべてのシステムが信頼できるという前提があります。 しかし、今日ますますモバイルワーカーが増える中、パブリック クラウドサービスへの移行やBYOD (Bring Your Own Device) モデルの採用もあり、境界セキュリティの制御は意味をなさなくなってきています。 従来有効とされていた制御方法を依然として使い続けているネットワークは、侵入に脆弱となります。信頼される境界として定義していた中に含まれるエンドポイントのたった一つからでも攻撃者の侵入を許すと、攻撃者はその後あっという間にネットワーク全体を支配下においていきます。

ゼロ トラスト ネットワークは、境界で囲まれたネットワークは信頼できるという考え方を用いません。 代わりに、ゼロトラスト アーキテクチャは組織内のデータとリソースへのアクセスにデバイスおよびユーザーのクレーム情報を活用します。 一般的なゼロトラスト ネットワークモデル (図 1) は通常、以下の要素で構成されます。

  • ユーザーおよびユーザー関連の情報を保持するIDプロバイダ
  • 対応するデバイス情報(デバイスの種類、整合性など)に基づいて、会社のリソースにアクセスできるデバイスのリストを保持するデバイス ディレクトリ
  • ユーザーまたはデバイスがセキュリティ管理者によって設定されたポリシーに準拠しているかどうかを判断するポリシー評価サービス
  • 組織リソースへのアクセスを許可または拒否する上記の方式を利用したプロキシ

 

図 1. 一般的なゼロトラスト ネットワークモデルの基本構成

 

動的に信頼性を評価してリソースへのアクセスを制御することで、デバイスから特定のリソースへのアクセスを可能にし、一方で管理された準拠済みデバイス上の価値あるデータへのアクセスを制限することができます。標的型およびデータ漏洩を目的とした攻撃では、攻撃者は組織内の 1 つのデバイスに侵入し、盗んだ資格情報を使用してネットワーク全体を次々と横断的に移動していきます。ユーザーとデバイスに適切なポリシーが構成されたゼロ トラスト ネットワークに基づくソリューションは、盗まれたネットワーク資格情報を利用してネットワークにアクセスされるのを防ぐことができます。

ゼロ トラストの考え方は、ネットワーク セキュリティの進化系です。 サイバー攻撃の現状を鑑みるに、組織は「侵入されることが前提」として考える必要があります。しかし侵入への対応だけではなく、ゼロトラスト ネットワークは企業のデータとリソースを保護しながら、従業員がいつでもどこでもどのような方法であっても生産的でいられるようモダンな職場環境を得られるようにします。

 

Azure AD 条件付きアクセスに基づくゼロ トラスト ネットワーキング

今日、従業員はさまざまなデバイスやアプリを使用して、どこからでも組織のリソースにアクセスできます。リソースにアクセスできるユーザーのみに焦点を当てたアクセス制御ポリシーは十分ではありません。セキュリティと生産性を高いバランスで保つために、セキュリティ管理者は、リソースへのアクセス方法も考慮する必要があります。

マイクロソフトは、ゼロ トラスト ネットワーキングに関する実績と戦略を持っています。お客様がゼロ トラスト ネットワークを実現するにあたり、Azure Active Directory の条件付きアクセス が重要な構成要素となります。 条件付きアクセスと AzureAzure Active Directory Identity Protection は、すべてのリソース要求に対して、ユーザー、デバイス、場所、およびセッションのリスクに基づき動的にアクセス制御を実施します。 これらにより、(1) Windows デバイスのセキュリティ状態に関する attested runtime signals (正常性を示す実行時の情報) と (2) ユーザー セッションと ID の信頼度を組み合わせることで、可能な限り強力なセキュリティ状態が得られるようにします。

条件付きアクセスには、ユーザーが企業のリソースにアクセスできる条件を制御するための一連のポリシーが用意されています。 アクセスの際に利用できる条件としては、ユーザーの役割、グループ メンバーシップ、デバイスの健全性やコンプライアンス (準拠状態)、モバイル アプリケーション、場所、サインインのリスクが挙げられます。これらの条件が、(1) アクセスを許可するか、(2) アクセスを拒否するか、または (3) 追加認証 (例えば多要素認証) の要求や利用規約の提示などのアクセス制限を行うかを決定するために使用されます。 条件付きアクセスは、Azure Active Directory と連携して動作する全てのアプリケーションで動作します。

 

図 2. 条件付きアクセスを用いてゼロトラスト ネットワークを実現するためのマイクロソフトのアプローチ (概要)

 

ゼロ トラスト モデルを実現するため、マイクロソフトは Windows Defender Advanced Threat Protection、Azure Active Directory、Windows Defender System Guard、Microsoft Intune など、Microsoft 365 におけるいくつかのコンポーネントと機能を統合して利用しています。

 

Windows Defender Advanced Threat Protection

Windows Defender Advanced Threat Protection (ATP) は、インテリジェンス駆動型の保護機能を有し、侵入後の検出、調査、および自動修復機能を提供するエンドポイント保護プラットフォーム (EPP: endpoint protection platform) です。また、エンドポイントでの検出と対応のための (EDR: endpoint detection response) 機能を持ちます。不審な動作の検出機能、機械学習、およびセキュリティ解析を組み合わせて、デバイスの状態を継続的に監視し、必要に応じて対処を行います。 Windows Defender ATP が侵入時の影響を軽減する独自の方法の 1 つとしては、侵入されたマシンとユーザーがこれ以上の影響を与えないようクラウド リソースへから自動的に分離することが挙げられます。

例えば、攻撃者は Pass-the-Hash (PtH) と "Pass the ticket for Kerberos" という手法を使用して、侵入されたデバイスからハッシュされたユーザー資格情報を直接抽出します。攻撃者はハッシュされた資格情報を次々と別のシステムを乗っ取るために利用し、ついには特権を得るに至ります。Windows Defender Credential Guard は、NTLM ハッシュとドメインの資格情報を保護してこれらの攻撃を防ぎますが、セキュリティ管理者としては攻撃が防がれただけではなく、そのような攻撃が発生したこと自体も把握したいと考えることもあります。

Windows Defender ATP は、上記のような攻撃を管理者に報告し、侵入されたデバイスがどの程度危険かというリスク レベルを生成します。条件付きアクセスでは、Windows Defender ATP がデバイスのリスク レベルを生成し、この情報をもとにして、クライアント デバイスが企業内のリソースにアクセスするためのトークンを発行するかどうかを判断します。 Windows Defender ATP は、次のような幅広いセキュリティ機能を使用します。

 

Windows Defender System Guard の実行時検証機能 (runtime attestation)

Windows Defender System Guard は、起動時にシステムの整合性を保護し、その後も維持し続けます。「侵入されることが前提」という考え方では、セキュリティ管理者は、デバイスのセキュリティ状態をリモートから証明することが重要です。 2018 年 4 月 の Windows 10 のアップデートでは、Windows Defender System Guard の実行時検証機能 (runtime attestation) もデバイスの整合性を確立するのに効果的です。本機能は、デバイスの起動時および実行時に、ハードウェアハードの検証処理を行います。 これらの結果は、Windows Defender ATP によって処理され、そのデバイスのリスク レベルがどの程度であるか判断するのに用いられます。

Windows Defender System Guard の最も重要な目標は、システムの整合性が侵害されていないか検証することです。 このハードウェアに基づいた信頼性の高いフレームワークにより、ユーザーはデバイスのセキュリティ状態が改竄されていないことを (一定の範囲内で) 証明する署名付きのレポート得ることができます。 Windows Defender ATP のユーザーは、Windows Defender ATP ポータルを使用して、すべてのデバイスのセキュリティ状態を確認し、セキュリティ違反を検出したり修復したりできます。

Windows Defender System Guard の実行時検証機能 (runtime attestation) は、攻撃を検出するにあたり、仮想化ベースのセキュリティ (VBS) におけるハードウェアに基づくセキュリティ技術を活用しています。 バーチャル セキュア モード対応デバイスでは、Windows Defender System Guard の実行時検証機能 (runtime attestation) は分離された環境で実行されるため、カーネル レベルの攻撃にも耐性があります。

Windows Defender System Guard の実行時検証機能 (runtime attestation) は、実行時にシステム セキュリティの状態を継続的に監視します。 これら検証機能が生成する結果は、例えばプロセスの保護機能がデバイス上で無効化されるなど、Windows のセキュリティが意図しない状態となっていることを捉える目的で利用されます。
 

Azure Active Directory

Azure Active Directory は、企業がアプリケーションへのアクセスを管理し、クラウドとオンプレミスの両方でユーザー ID を保護するためのクラウド ID とアクセス管理ソリューションです。ディレクトリと ID 管理の機能に加えて、アクセス制御をつかさどる Azure AD は以下の機能を提供します。

  • シングルサインオン: すべてのユーザーが単一の ID を持ち、企業をまたがるリソースにアクセスして高い生産性を確保します。 ユーザーは、クラウド サービスやオンプレミス Web アプリケーションにシングル サインオンするため、同じ職場または学校のアカウントを使用できます。多要素認証を利用すれば、より確実なユーザー検証が可能となります。
  • アプリケーション アクセスの自動プロビジョニング: ユーザーが所属するグループのメンバーシップや地理的位置、雇用状況に基づいて、ユーザーによるアプリケーションへのアクセスを自動的にプロビジョニングまたは解除することができます。

 

Azure AD は、アクセス管理をつかさどるサービスとして、組織内のリソースへのアクセス許可を付与するかどうかの判断を以下の情報を用いて行います。

  • グループとユーザーのアクセス許可
  • アクセスしようとしているアプリケーション
  • サインインに使用したデバイス (Intune のデバイス準拠情報など)
  • サインインに使用されているデバイスのオペレーティング システム
  • サインインの場所または IP 範囲
  • ログインに使用したクライアント アプリ
  • サインイン時間
  • サインイン リスク (そのサインインが正規のユーザーによるものでない可能性)
    (Azure AD Identity Protection の機械学習およびヒューリスティック検出による算出)
  • ユーザー リスク (攻撃者が対象のユーザーに成りすましている可能性)
    (連携している社外のセキュリティパートナーから継続的に寄せられる情報を活用し、Azure AD Identity Protection の高度な機械学習により算出)
  • その他にも今後様々な判断要素が追加される予定です

 

条件付きアクセス ポリシーは、ユーザーが Azure AD と連携したアプリケーション (例えば、SaaSアプリケーション、クラウドで実行されているカスタム アプリケーション、オンプレミス Web アプリケーションなど) にアクセスしようとすると、リアルタイムで評価および適用されます。 疑わしいアクティビティが検出された場合、Azure ADは、危険度の高いユーザーをブロックしたり、資格情報が侵害された場合にはユーザーのパスワードをリセットしたり、利用規約を強制したりするなど、復旧を支援します。

企業のアプリケーションへのアクセスが許可されると、クライアントデバイスにはアクセストークンが与えられます。このトークンを発行するかどうかの判断を Azure AD 条件付きアクセス ポリシーが中心となって行います。要求が条件を満たしている場合は、トークンがクライアントに付与されます。ポリシーによっては、制限付きのアクセス (ダウンロードが許可されていないなど) を要求したり、Microsoft Cloud App Security でのセッション監視が行われたりする場合もあります。
 

Microsoft Intune

Microsoft Intune は、組織内のモバイル デバイス、PC およびアプリケーションを管理するために使用されます。 Microsoft Intune と Azure を用いることで、価値ある資産とデータを管理・可視化でき、さらには Azure Information Protection や Asset Tagging、Microsoft Cloud App Security などの構成要素に基づいて、自然にセキュリティ要件が底上げされるような性質も持ち合わせています。

Microsoft Intune は、クライアントデバイスの導入、登録、および管理を担当します。 モバイルデバイス (Android および iOS)、ラップトップ (Windows および macOS)、従業員の BYOD デバイスなど、幅広いデバイスをサポートしています。 Intune は、Windows Defender ATP によって提供されるコンピュータのリスクレベルを他のコンプライアンス情報と組み合わせて、デバイスが準拠状態にあるかどうか ("isCompliant") を判断します。 Azure AD は、この準拠状態を利用することで、企業リソースへのアクセスをブロックするか許可するかを判断します。 条件付きアクセスポリシーは、以下のいずれかの方法で Intune から設定可能です。

  • アプリケーション ベースの設定: 承認されたアプリケーションのみが企業リソースにアクセス可能
  • デバイス ベースの設定: 承認され準拠しているデバイスのみが企業リソースにアクセス可能

Intune におけるリスクベースの条件付きアクセスの準拠確認を構成する方法はこちら
 

条件付きアクセスの実行例

条件付きアクセスの価値を理解するには、実例を見るのが一番です。(注: このセクションで使用されている名前は架空のものですが、ここでは様々なシナリオにおいて如何にして条件付きアクセスが企業のデータとリソースを保護するか確認できます)。

"SurelyMoney" は世界で最も権威のある金融機関の一つであり、100 万人以上のユーザーに対して日々の取引がシームレスに行えるようサービスを提供しています。同社はMicrosoft 365 E5 を使用しており、セキュリティ エンタープライズ管理者は条件付きアクセスを利用しています。

攻撃者は、企業の顧客情報と取引情報の詳細を盗もうとします。攻撃者はマルウェアの添付ファイルを含む一見すると無害な電子メールを従業員に送信します。ある従業員が企業のデバイス上でこの添付ファイルを無意識のうちに開くと、そのデバイスが侵害されます。この 1 人の従業員の操作によって、攻撃者はその従業員のユーザー資格情報を収集し、企業のアプリケーションにアクセスすることが可能となってしまいます。

Windows Defender ATP は、デバイスの状態を継続的に監視し、侵入を検出しすると、デバイスが侵害されたとフラグを立てます。 このデバイス情報は、Azure AD と Intune に中継され、そのデバイスからアプリケーションへのアクセスが拒否されます。 侵害されたデバイスとユーザーの資格情報を用いても、企業リソースへのアクセスができないようブロックされます。 デバイスが Windows Defender ATP によって自動修復されると、修復されたデバイス上のユーザーにアクセス権が再付与されます。

上記のように、条件付きアクセスと Windows Defender ATPが連携することで、マルウェアの移動を防ぐとともに、攻撃の分離や企業リソースの確実な保護が行われます。
 

Azure ADアプリケーション (Office 365、Exchange Online、SPO など)

SurelyMoney の経営陣は、Office 365 アプリケーションである Microsoft SharePoint に企業秘密を含む文書を多数格納しています。攻撃者は侵入したデバイスを用いてこれらのドキュメントを盗もうとします。 ただし、O365 アプリケーションと条件付きアクセスは統合されているため、こういった事象は未然に防がれることになります。

Microsoft Word、Microsoft PowerPoint、Microsoft Excel などのOffice 365 アプリケーションを用いることで、組織の従業員は連携して日々の業務を完了することができます。ただし、業務の機密性や性質、所属するグループやその他の要因によって、ユーザーは一人ひとり異なる権限を持っています。アプリケーションと条件付きアクセスは統合されているため、このような様々なユーザー権限のある環境であっても条件付きアクセスを用いることでアクセス管理が容易となります。条件付きアクセスにより、セキュリティ管理者はカスタム ポリシーを実装することができ、アプリケーションは目的のリソースに対する部分的または完全なアクセスを得ることができます。

図 3. Azure AD アプリケーションのゼロトラスト ネットワークモデル

 

業務アプリケーション

SurelyMoney には、Azure AD と連携した、独自開発の取引追跡アプリケーションがあります。 このアプリケーションは、顧客が実行したすべての取引記録を保持しています。 攻撃者は、取得したユーザーの資格情報を使用してこのアプリケーションにアクセスしようとします。 しかし、条件付きアクセスがこの侵入を防ぎます。

どのような組織にも、従業員の生産性や事業の成功に直接かかわるミッション クリティカルなビジネス アプリケーションがあります。これらのアプリケーションには、通常、電子商取引システム、顧客情報の管理システム、文書管理システムなどのカスタム アプリケーションが含まれます。Azure AD は、必要なコンプライアンスおよびリスクポリシーを満たしていない場合、これらのアプリケーションにアクセストークンを付与しません。つまりリソースへのアクセスを許可または拒否するかどうか明確な判断を下すことができます。

 

図 4. ビジネス アプリケーション向けに拡張されたゼロトラスト ネットワークモデル

 

オンプレミス Web アプリケーション

今日、従業員はどこからでも、いつでも、どのデバイスからでも高い生産性を発揮することが求められています。また、タブレット、携帯電話、ノート PC に関わらず自分のデバイスを用いて仕事をしたいと考えているでしょう。 このとき社内のオンプレミス アプリケーションにアクセスできることも期待していると思われます。Azure AD Application Proxy は、外部公開したアプリケーションへのリモート アクセスを実現し、承認済みもしくは非承認済みのデバイスに対して条件に応じたアクセスを可能とします。

SurelyMoney は、レガシーな独自のコード署名用のアプリケーションを保持しています。コード署名を行うチームメンバーのデバイスが攻撃者により侵入されたことがわかりました。オンプレミスのレガシー アプリケーションへの要求は、Azure AD Application Proxy 経由で行われます。 攻撃者は、侵害されたユーザーの資格情報を使用してこのアプリケーションにアクセスしようとしますが、条件付きアクセスによりアクセスは失敗します。

条件付きアクセスがなければ、攻撃者は悪意あるアプリケーションを作成およびコード署名し、さらには Intune 経由で展開することができます。 これら悪意あるアプリは、Intune に登録されているすべてのデバイスにプッシュされ、ハッカーはこれまでにない量の機密情報を取ることができます。 このような攻撃はこれまでにも確認されており、こういった攻撃の防御に企業は非常に強い関心を寄せています。

図 5. オンプレミス Web アプリケーションのゼロトラスト ネットワークモデル

 

継続的なイノベーション

現在、条件付きアクセスは Web アプリケーションとシームレスに動作します。 ゼロ トラストでは、厳密な意味で、すべてのネットワーク要求がアクセス制御プロキシを通過し、デバイスとユーザーの信頼モデルに基づいてすべての評価が行われることが必要です。 これらのネットワーク要求には、従来のさまざまなレガシー通信プロトコルや、FTP、RDP、SMBなどのアクセス方式も含まれます。

条件付きアクセスは、デバイスとユーザーのクレーム情報を利用して組織リソースへのアクセスを制御することで、ユーザーの生産性を確保しながら企業データを保護するための包括的で柔軟なポリシーを提供します。マイクロソフトは、ユーザーが企業ネットワークの境界を越えて生産性を発揮できる最新の職場環境が脅威にさらされないよう、技術的な革新を続けていきます。

 

Sumesh Kumar, Ashwin Baliga, Himanshu Soni, Jairo Cadena
Enterprise & Security

All Teachers Are Welcome: Immersion Session 14th July

$
0
0

In July, the NZ MIE Experts will hold their inaugural hui. This event will bring experts from across New Zealand, and speakers from across the world to Microsoft House in Auckland for a weekend of professional learning, collaboration and networking.

We’re opening the doors to all TEACHERS on Saturday 14 July from 1.15 through to 4:3pm across three sessions – details of the sessions below:

Keep across the main website for updates here

Sessions will include:

Session One:

· What’s Your App-titude

· The OneNote App

· Mixed Reality and 3D Paint

· Minecraft for Beginners

· The Future Focus of Libraries

· STEM Solutions

· Microsoft Learning Tools for Differentiation

Session Two:

Forms, Flow and Sharepoint

· MakeCode and MicroBit

· Digital Custodians

· 21st Century Learning in the Primary Years

· Computer Science Unplugged

· Raranga Matahiko

· Robotics ‘Show n Play’

Session Three: 

Using MS Teams

· 21st Century Learning Design

· From OHP to Maths in VR

· Advanced Minecraft

· Growing Teacher Capacity

· Computer Science Unplugged

· Utilising Microsoft Suite to enhance staff workflow and PLC’s

This will be a great chance for teachers, those both familiar with Office365 and Windows 10 and those brand new and looking to learn more, to come along to these sessions and have a great learning experience with their teaching colleagues.

SAP on Azure の更新まとめ – 2018 年 6 月

$
0
0

執筆者: Cameron (MSFT SAP Program Manager)

このポストは、2018 年 6 月 18 日に投稿された SAP on Azure: General Update – June 2018 の翻訳です。

(なお、これまで SAP on Azure 関連情報を掲載しておりました【SAP on Azure Blog (日本語)】は、以下より閲覧できます。
https://blogs.technet.microsoft.com/jpitpro/tag/sap/ )
 

SAP とマイクロソフトは、Azure プラットフォーム向けの新機能を継続的にリリースしています。SAP on Windows/SQL Server のキーとなる目標は、最小の TCO とシンプルな操作で最高のパフォーマンスと可用性を実現することです。今回の記事では、最近数か月間にわたってリリースされた更新、不具合の修正、機能強化、推奨されるベスト プラクティスなどをまとめてお伝えします。

 

1. SAP Hana で M シリーズ VM を認定 – S4、BW4、BWoH、SoH で最大 3.8 TB の RAM に対応

SAP Hana ユーザーは、アメリカ大陸、ヨーロッパ、アジアの多数の Azure データセンターで S4HANA、BW4Hana、BW on Hana、Business Suite on Hana を運用することができます (https://azure.microsoft.com/ja-jp/global-infrastructure/regions/)。詳しくは次のブログ記事をご覧ください。https://blogs.technet.microsoft.com/jpitpro/2018/05/07/azure-m-series-vms-are-now-sap-hana-certified/

要件: トランザクション ログ ディスクでのみ Write Accelerator を使用する必要があります。Suse 12.3 または RHEL 7.3 以降を使用する必要があります。

SAP IaaS カタログに、M シリーズ VM と Hana ラージ インスタンスが追加されました。

Write Accelerator の詳細については、以下のリンク先をご確認ください。

https://azure.microsoft.com/en-us/blog/write-accelerator-for-m-series-virtual-machines-now-generally-available/ (英語)

https://docs.microsoft.com/ja-jp/azure/virtual-machines/windows/how-to-enable-write-accelerator

Azure VM 上の SAP Hana に関する注意事項は、「Note 1928533 – SAP Applications on Azure: Supported Products and Azure VM types」にまとめられています。https://launchpad.support.sap.com/#/notes/0001928533

メモリを最大 20 TB までスケーリング可能な Hana ラージ インスタンスに関する注意事項は、「Note 2316233 – SAP HANA on Microsoft Azure (Large Instances)」をご確認ください。https://launchpad.support.sap.com/#/notes/2316233

SAP NetWeaver および SAP Hana 用 M シリーズ VM のまとめ

M シリーズ VM での SAP Hana の実行

  1. トランザクション ログ ディスクでは Azure Write Accelerator が有効である必要がありますhttps://docs.microsoft.com/ja-jp/azure/virtual-machines/linux/how-to-enable-write-accelerator
  2. DBMS データ ファイルや一時ファイルなどを保存するディスクでは、Azure Write Accelerator を有効にしてはいけません。
  3. Hana を実行している M シリーズ VM では、Azure Accelerated Networking を常に有効にすべきです。
  4. Hana をサポートしている OS の正確なリストは、SAP Hana IaaS Directory に掲載されています。https://www.sap.com/dmc/exp/2014-09-02-hana-hardware/enEN/iaas.html#categories=Microsoft%20Azure (英語)
  5. Note 1928533 などの任意の SAP OSS Note やその他の資料と食い違う点がある場合は、SAP Hana IaaS Directory が優先されます。

 

M シリーズ VM での AnyDB (SQL、Oracle、Sybase など) の実行

  1. Windows 2012/2016、Suse 12.3、RH 7.x、Oracle Linux がすべてサポートされます。
  2. トランザクション ログ ディスクで Azure Write Accelerator を有効にできます。https://docs.microsoft.com/ja-jp/azure/virtual-machines/linux/how-to-enable-write-accelerator
  3. データ ディスクでは Azure Write Accelerator を有効にしてはいけません。
  4. AnyDB を実行している M シリーズ VM では、Azure Accelerated Networking を常に有効すべきです。
  5. Oracle Linux を実行する場合は、2018 年 6 月の時点では Oracle UEK4 カーネルではなく RHEL カーネルを使用する必要があります。Oracle 7.5 では、Oracle UEK5 で Accelerated Networking がサポートされる予定です。

 

小規模な M シリーズ VM の認定の追加

以下の小規模な M シリーズ VM が認定を受けました。

  1. M64ls (vCPU 数 64、RAM 512 GB)
  2. M32ls (vCPU 数 32、RAM 256 GB)
  3. M32ts (vCPU 数 32、RAM 192 GB)

上記の新しい小規模 M シリーズ VM のディスク構成や詳細情報については、次のドキュメントをご確認ください。https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/hana-vm-operations

 

2. Windows Hyper-V 2016 で SAP NetWeaver を完全にサポート

Windows で実行される SAP アプリケーションのハイパーバイザーとして Windows Server 2016 Hyper-V が完全にサポートされました。

Hyper-V 2016 は、コンポーネントをオンプレミスと Azure の両方に展開するハイブリッド クラウド環境をデプロイしたい場合に強力なコンポーネントとなります。

Hyper-V 2016 を使用する前に、Windows 2016 に特殊な修正を適用する必要があります。「Windows 10 1607/Windows Server 2016」の最新リリース、または少なくとも次のリンク先のバージョン以降の修正プログラムを適用する必要があります。https://support.microsoft.com/ja-jp/help/4093120/windows-10-update-kb4093120

https://wiki.scn.sap.com/wiki/display/VIRTUALIZATION/SAP+on+Microsoft+Hyper-V (英語)

1409604 – Virtualization on Windows: Enhanced monitoring https://launchpad.support.sap.com/#/notes/0001409604

1409608 – Virtualization on Windows https://launchpad.support.sap.com/#/notes/0001409608

Windows 2016 での SAP の利用の詳細については、次のブログ記事をお読みください。

https://blogs.technet.microsoft.com/jpitpro/2017/12/27/windows-2016-%E3%81%A7-sap-%E3%81%AE%E5%88%A9%E7%94%A8%E3%81%8C%E5%8F%AF%E8%83%BD%E3%81%AB/

https://blogs.sap.com/2017/05/06/performance-tuning-guidelines-for-windows-server-2016-hyper-v/ (英語)

 

3. 可用性ゾーンを使用して Azure リージョン内で高可用性機能を構築

多くの Azure リージョンで可用性ゾーンの一般提供が開始されました。近いうちにほぼすべての Azure リージョンにデプロイされる予定です。

可用性ゾーンとは、独自のネットワークと電源設備を備えた物理的に独立したデータセンターです。

可用性ゾーン内で実行される VM は、SLA で 99.99% の可用性が保証されます。https://azure.microsoft.com/ja-jp/support/legal/sla/virtual-machines/v1_8/

次のブログ記事では、Azure の可用性ゾーンについて、および他の Azure コンポーネントとの相互関係について詳しく説明されています。

https://blogs.msdn.microsoft.com/igorpag/2018/05/03/azure-availability-zones-quick-tour-and-guide/ (英語)

以下の資料もご覧ください。

https://docs.microsoft.com/ja-jp/azure/load-balancer/load-balancer-standard-availability-zones

https://blogs.msdn.microsoft.com/igorpag/2017/10/08/why-azure-availability-zones/ (英語)

https://azure.microsoft.com/ja-jp/global-infrastructure/availability-zones/

以下に典型的なトポロジの例を示します。

可用性ゾーンをまたいで分散しているワークロードでは、Azure Standard Internal Load Balancer を使用します。可用性ゾーンにまだ対応していない Azure リージョンに VM をデプロイする場合でも、Azure Standard Internal Load Balancer をゾーン冗長モードで使用することをお勧めします。
データセンター内のそれぞれの可用性ゾーンで使用可能な VM の種類を表示するには、次の PowerShell コマンドを実行します。

Get-AzureRmComputeResourceSku | where {$_.Locations.Contains(“southeastasia”)-and $_.ResourceType.Equals(“virtualMachines”) -and $_.LocationInfo[0].Zones -ne $null }

Azure ポータルで VM を作成するときにも同様の情報が表示されます。

Suse 12.x オペレーティング システムで高可用性ソリューションを作成する場合は、単一 SID またはマルチ SID の Suse Pacemaker クラスターをデプロイする方法のドキュメントをご確認ください。

このドキュメントでは、「マイクロソフトの SAP フェンシング エージェント + 単一 iSCSI」の STONITH 構成のシナリオについて説明しています。

このほか、「2 台の iSCSI デバイスを異なる可用性ゾーンにデプロイする」というシナリオも考えられます。

2 台の iSCSI デバイスを構成する場合は、Suse のバグを修正する必要があります。https://www.suse.com/support/kb/doc/?id=7022477 (英語)

https://ptf.suse.com/f2cf38b50ed714a8409693060195b235/sles12-sp3-hae/14410/x86_64/20171219 (ユーザー ID が必要です)

異なる可用性ゾーンに iSCSI ソースを個別にデプロイすることをお勧めします。

 

4. Azure「Always-on」を Sybase ASE 16.3 PL3 で使用 – 2 ノードの HA + 3 つ目の DR 用非同期ノード

先日公開されたブログ記事で、2 ノードの HA Sybase クラスターに DR 用の 3 つ目のノードを追加した構成をインストールする方法が手順を追って説明されています。

https://blogs.msdn.microsoft.com/saponsqlserver/2018/05/18/installation-procedure-for-sybase-16-3-patch-level-3-always-on-dr-on-suse-12-3-recent-customer-proof-of-concept (英語)

 

5. SAP on Azure のコンサルタントに向けた関連リンク

システム インテグレーターで働くコンサルタントの皆様に役立つ各種のリンクを以下にまとめましたのでご利用ください。

SAP on Azure の参照アーキテクチャ

Azure 上の Linux 仮想マシンに向けた SAP S/4HANA https://docs.microsoft.com/ja-jp/azure/architecture/reference-architectures/sap/sap-s4hana

Azure ラージ インスタンスで SAP HANA を実行する https://docs.microsoft.com/ja-jp/azure/architecture/reference-architectures/sap/hana-large-instances

AnyDB 向け SAP NetWeaver (Windows) を Azure Virtual Machines にデプロイする https://docs.microsoft.com/ja-jp/azure/architecture/reference-architectures/sap/sap-netweaver

Any DB 向け高可用性 SAP Netweaver

SAP NetWeaver 向け高可用性アーキテクチャとシナリオ

SAP NetWeaver 向け Azure Virtual Machines の高可用性アーキテクチャとシナリオ https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/sap-high-availability-architecture-scenarios

https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/high-availability-guide-suse

SAP NetWeaver の高可用性デプロイメントに向けた Azure インフラストラクチャの準備

SAP ASCS/SCS インスタンス用の Windows フェールオーバー クラスターと共有ディスクを使用して高可用性 SAP 向けの Azure インフラストラクチャを準備する https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/sap-high-availability-infrastructure-wsfc-shared-disk

SAP ASCS/SCS インスタンス用の Windows フェールオーバー クラスターとファイル共有を使用して高可用性 SAP 向けの Azure インフラストラクチャを準備する https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/sap-high-availability-infrastructure-wsfc-file-share

SAP ASCS/SCS インスタンス用の SUSE Linux Enterprise Server クラスター フレームワークを使用して高可用性 SAP 向けの Azure インフラストラクチャを準備する https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/high-availability-guide-suse

SAP NetWeaver 高可用性システムを Azure にインストールする

ASCS/SCS インスタンス用の Windows フェールオーバー クラスターと共有ディスクを使用して高可用性 SAP NetWeaver をインストールする https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/sap-high-availability-installation-wsfc-shared-disk

SAP ASCS/SCS インスタンス用の Windows フェールオーバー クラスターとファイル共有を使用して高可用性 SAP NetWeaver をインストールする https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/sap-high-availability-installation-wsfc-file-share

SAP ASCS/SCS インスタンス用の SUSE Linux Enterprise Server クラスター フレームワークを使用して高可用性 SAP NetWeaver をインストールする https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/high-availability-guide-suse

高可用性 SAP Hana

HANA ラージ インスタンス

Azure 上の SAP HANA ラージ インスタンスの高可用性と災害復旧 https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/hana-overview-high-availability-disaster-recovery

STONITH を使用した SUSE での高可用性セットアップ https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/ha-setup-with-stonith

Azure 仮想マシン向けの SAP HANA の高可用性 https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/sap-hana-availability-overview

単一 Azure リージョン内での SAP HANA の可用性 https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/sap-hana-availability-one-region

複数の Azure リージョンにまたがる SAP HANA の可用性 https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/sap-hana-availability-across-regions

災害復旧

Site Recovery を使用して多層 SAP NetWeaver アプリケーション デプロイメントを保護する https://docs.microsoft.com/ja-jp/azure/site-recovery/site-recovery-sap

Azure 上の SAP HANA ラージ インスタンスの高可用性と災害復旧 https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/hana-overview-high-availability-disaster-recovery

Azure Hana ラージ インスタンスでの Hana システム レプリケーションのセットアップ https://blogs.technet.microsoft.com/jpitpro/2018/02/20/setting-up-hana-system-replication-on-azure-hana-large-instances/

監視

Azure Enhanced Monitoring 用の新しい Azure PowerShell コマンドレット https://blogs.msdn.microsoft.com/saponsqlserver/2016/05/16/new-azure-powershell-cmdlets-for-azure-enhanced-monitoring/ (英語)

SAP on Windows 用の Azure Monitoring の拡張機能 – 発生する可能性のあるエラー コードとその解決策 https://blogs.msdn.microsoft.com/saponsqlserver/2016/01/29/the-azure-monitoring-extension-for-sap-on-windows-possible-error-codes-and-their-solutions/ (英語)

Azure Monitoring の SAP 向けの拡張機能 https://blogs.msdn.microsoft.com/saponsqlserver/2014/06/24/azure-extended-monitoring-for-sap/ (英語)

https://docs.microsoft.com/ja-jp/azure/operations-management-suite/

https://azure.microsoft.com/ja-jp/services/monitor/

https://azure.microsoft.com/ja-jp/services/network-watcher/

自動化

https://azure.microsoft.com/ja-jp/services/automation/

SAP HANA on Azure のデプロイメントを自動化する https://github.com/AzureCAT-GSI/SAP-HANA-ARM (英語)

オンプレミスのデータセンターから Azure への移行

AzCopy でデータを転送する https://docs.microsoft.com/ja-jp/azure/storage/common/storage-use-azcopy

Azure Import/Export サービス https://docs.microsoft.com/ja-jp/azure/storage/common/storage-import-export-service

超大規模データベースの Azure への移行 https://blogs.technet.microsoft.com/jpitpro/2018/04/23/very-large-database-migration-to-azure-recommendations-guidance-to-partners/

SAP on Azure – システム移行時のデータベース移行オプション https://blogs.sap.com/2017/10/05/your-sap-on-azure-part-2-dmo-with-system-move/ (英語)

SAP on Azure の認定

SAP 認定 IaaS プラットフォーム https://www.sap.com/dmc/exp/2014-09-02-hana-hardware/enEN/iaas.html#categories=Microsoft%20Azure (英語)

SAP Note #1928533 – SAP Applications on Azure: Supported Products and Azure VM types https://launchpad.support.sap.com/#/notes/1928533

Microsoft Azure で実行されている SAP の認定と構成 https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/sap-certifications

Azure Mシリーズ VM が SAP HANA 認定を取得 https://blogs.technet.microsoft.com/jpitpro/2018/05/07/azure-m-series-vms-are-now-sap-hana-certified/

バックアップ ソリューション

各 OS での Azure VM のバックアップ https://azure.microsoft.com/ja-jp/services/backup/

HANA VM のバックアップの概要 https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/sap-hana-backup-guide

ファイルでの HANA VM のバックアップ https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/sap-hana-backup-file-level

ストレージ スナップショットに基づいた HANA のバックアップ https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/sap-hana-backup-storage-snapshots

HANA ラージ インスタンス (HLI) のバックアップの概要 https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/hana-overview-high-availability-disaster-recovery

ストレージ スナップショットに基づいた HLI のバックアップ https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/hana-overview-high-availability-disaster-recovery

Commvault や Veritas などのサードパーティ製バックアップ ツールを使用する

Azure では主要なバックアップ ツールのすべてがサポートされ、SAP HANA、SQL、Oracle、Sybase などに向けたエージェントが用意されています。

Commvault

Azure: https://documentation.commvault.com/commvault/v11/article?p=31252.htm (英語)

SAP HANA: https://documentation.commvault.com/commvault/v11/article?p=22305.htm (英語)

Azure Marketplace: https://azuremarketplace.microsoft.com/ja-jp/marketplace/apps/commvault.commvault?tab=Overview (英語)

Veritas NetBackup

Azure: https://www.veritas.com/support/en_US/article.100041400 (英語)

HANA: https://www.veritas.com/content/support/en_US/doc/16226696-127422304-0/v88504823-127422304 (英語)

Azure Marketplace: https://azuremarketplace.microsoft.com/ja-jp/marketplace/apps/veritas.veritas-netbackup-8-s?tab=Overview (英語)

セキュリティ

ネットワーク

サブネットを論理的にセグメント化する https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#logically-segment-subnets

ルーティングの動作を制御する https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#control-routing-behavior

強制トンネリングを有効にする https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#enable-forced-tunneling

仮想ネットワーク アプライアンスを使用する https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#use-virtual-network-appliances

DMZ をデプロイしてセキュリティ ゾーンを構築する https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#deploy-dmzs-for-security-zoning

専用の WAN リンクを使用してインターネットへの接続を防ぐ https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#avoid-exposure-to-the-internet-with-dedicated-wan-links

アップタイムとパフォーマンスを最適化する https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#optimize-uptime-and-performance

HTTP ベースの負荷分散 https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#http-based-load-balancing

外部負荷分散 https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#external-load-balancing

内部負荷分散 https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#internal-load-balancing#internal-load-balancing

グローバル負荷分散を使用する https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#use-global-load-balancing#use-global-load-balancing

Azure Virtual Machines への RDP/SSH アクセスを無効にする https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#disable-rdpssh-access-to-azure-virtual-machines

Azure Security Center を有効にする https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#enable-azure-security-center

自社のデータセンターを Azure に安全に拡張する https://docs.microsoft.com/ja-jp/azure/security/azure-security-network-security-best-practices#securely-extend-your-datacenter-into-azure

運用

クラウド インフラストラクチャの監視、管理、保護 https://docs.microsoft.com/ja-jp/azure/security/azure-operational-security-best-practices#monitor-manage-and-protect-cloud-infrastructure

ID の管理とシングル サインオンの実装 https://docs.microsoft.com/ja-jp/azure/security/azure-operational-security-best-practices#manage-identity-and-implement-single-sign-on

要求のトレース、使用傾向の分析、問題の診断 https://docs.microsoft.com/ja-jp/azure/security/azure-operational-security-best-practices#trace-requests-analyze-usage-trends-and-diagnose-issues

サービスの監視 https://docs.microsoft.com/ja-jp/azure/security/azure-operational-security-best-practices#monitoring-services

脅威の防止、検出、対応 https://docs.microsoft.com/ja-jp/azure/security/azure-operational-security-best-practices#prevent-detect-and-respond-to-threats

エンド ツー エンドのシナリオ ベースのネットワーク監視 https://docs.microsoft.com/ja-jp/azure/security/azure-operational-security-best-practices#end-to-end-scenario-based-network-monitoring

Azure Security Center https://azure.microsoft.com/en-us/blog/protect-virtual-machines-across-different-subscriptions-with-azure-security-center/ (英語)

https://azure.microsoft.com/en-us/blog/how-azure-security-center-helps-detect-attacks-against-your-linux-machines/ (英語)

単一テナントの分離型 VM の新しい種類 https://blogs.technet.microsoft.com/jpitpro/2018/03/20/new-isolated-vm-sizes-now-available/

Azure Active Directory

Azure Active Directory と SAP HANA の統合 https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-saas-saphana-tutorial?toc=%2fazure%2fvirtual-machines%2fworkloads%2fsap%2ftoc.json

Azure Active Directory と SAP Cloud Platform Identity Authentication の統合 https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/sap-hana-cloud-platform-identity-authentication-tutorial?toc=%2Fazure%2Fvirtual-machines%2Fworkloads%2Fsap%2Ftoc.json

Azure Active Directory と SAP Business ByDesign の統合 https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/sapbusinessbydesign-tutorial?toc=%2Fazure%2Fvirtual-machines%2Fworkloads%2Fsap%2Ftoc.json

Azure Active Directory と SAP Cloud を統合して SSO を提供する https://blogs.sap.com/2017/08/02/azure-active-directory-integration-with-sap-cloud-for-customer-for-sso-functionality/ (英語)

S/4HANA 環境 – Fiori Launchpad で SAML と Azure AD を使用してシングル サインオンを提供する https://blogs.sap.com/2017/02/20/your-s4hana-environment-part-7-fiori-launchpad-saml-single-sing-on-with-azure-ad/ (英語)

Azure Networking に関する包括的な記事 https://blogs.msdn.microsoft.com/igorpag/2017/04/06/my-personal-azure-faq-on-azure-networking-v3/ (英語)

 

リンク一覧の作成に協力してくれた Ravi Alwani に感謝します。

 

6. SAP ユーザーに向けたマイクロソフトの新機能

マイクロソフトは、SAP ユーザーに向けて多数の新機能をリリースしました。

Azure 間での Azure Site Recovery の使用 – Suse 12.x がサポートされました。https://docs.microsoft.com/ja-jp/azure/site-recovery/azure-to-azure-support-matrix

Global vNet Peering – これまで、他のデータセンターから vNet をピアリングすることはできませんでした。このたび、複数データセンター間でのピアリングの一般提供が開始され、グローバルにデプロイできるようになりました。Global vNet Peering には、Azure ネットワーク バックボーンを通じてネットワーク トラフィックを送ることができるという大きなメリットがあります。

https://blogs.msdn.microsoft.com/wushuai/2018/02/04/provide-cross-region-low-latency-service-based-on-azure-vnet-peering/ (英語)

https://azure.microsoft.com/en-us/blog/global-vnet-peering-now-generally-available/ (英語)

新しい Standard Internal Load Balancer (ILB) は可用性ゾーンに対応しており、また従来の Basic ILB よりもパフォーマンスが向上しています。

https://docs.microsoft.com/ja-jp/azure/azure-subscription-service-limits

https://github.com/yinghli/azure-vm-network-performance (英語) (下にスクロールするとパフォーマンスを確認できます)

SQL Server 2016 Service Pack 2 (SP2) をリリース https://blogs.msdn.microsoft.com/sqlreleaseservices/sql-server-2016-service-pack-2-sp2-released/ (英語)

Linux ユーザーの皆様には、Azure Serial Console をセットアップすることをお勧めします。これを使用すると、ネットワーク スタックが停止しているときにも Linux VM にアクセスできます。この機能では、RS-232/COM ポートに有線接続した場合と同等の効果が得られます。 https://docs.microsoft.com/ja-jp/azure/virtual-machines/linux/serial-console

Azure Storage Explorer を使用すると、Azure Blob Storage のバックアップなどの Blob オブジェクトの管理が容易になります。 https://azure.microsoft.com/ja-jp/features/storage-explorer/

Azure で、Intel SGX テクノロジを利用した Intel Xeon プロセッサを搭載する Trusted Execution Environment がリリースされました。現時点では SAP でのテストは実施されていませんが、今後検証を行う予定です。 https://blogs.technet.microsoft.com/mssvrpmj/2018/05/25/azure-confidential-computing/

新しいネットワーク機能の詳細については、次のドキュメントをご覧ください。https://blogs.technet.microsoft.com/jpitpro/2018/05/24/azure-networking-may-2018-announcements/

https://azure.microsoft.com/en-us/blog/monitor-microsoft-peering-in-expressroute-with-network-performance-monitor-public-preview/ (英語)

 

7. SAP の新機能

SAP は新バージョンの SWPM をリリースしました。新規インストールでは必ずこのバージョンを使用することをお勧めします。このツールは次の場所からダウンロードできます。https://support.sap.com/ja/tools/software-logistics-tools.html

1680045 – Release Note for Software Provisioning Manager 1.0 (SWPM 1.0 SP 23 を推奨) https://launchpad.support.sap.com/#/notes/0001680045

SWPM の自動化を検討中のお客様は、「2230669 – System Provisioning Using a Parameter Input File」をご覧ください。https://launchpad.support.sap.com/#/notes/2230669

SAP は、新しい SAP 下位互換カーネルをリリースしました。すべての新規インストールで新しい 7.53 カーネルを使用するように切り替えるためのガイドが提供されています。

SAP では、SAP Support Portal のサポート パッケージと修正プログラムのセクションで提供されている最新の SP スタック カーネル (SAPEXE.SAR および SAPEXEDB.SAR) の使用をお勧めしています。 https://launchpad.support.sap.com/#/softwarecenter.

NetWeaver 7.40/7.50 および AS ABAP 7.51 の既存のインストールの SAP カーネルは、749 PL 500です。詳しくは、リリース ノートの Note 2626990 をご覧ください。

NetWeaver 7.40/7.50、AS ABAP 7.51 の新規インストールの場合の SAP カーネルは、753 PL 100 です。詳しくは、DCK に関する Note 2556153 およびリリース ノートの Note 2608318 をご覧ください。

AS ABAP 7.52 の SAP カーネルは、753 PL 100 です。詳しくは、リリース ノートの Note 2608318 をご覧ください。

 

2083594 – SAP Kernel 740, 741, 742, 745, 749 and 753: Versions and Kernel Patch Levels https://launchpad.support.sap.com/#/notes/2083594

2556153 – Using kernel 7.53 instead of kernel 7.40, 7.41, 7.42, 7.45, or 7.49 https://launchpad.support.sap.com/#/notes/0002556153

2350788 – Using kernel 7.49 instead of kernel 7.40, 7.41, 7.42 or 7.45 https://launchpad.support.sap.com/#/notes/0002350788

1969546 – Release Roadmap for Kernel 74x and 75x https://launchpad.support.sap.com/#/notes/1969546

https://wiki.scn.sap.com/wiki/display/SI/SAP+Kernel:+Important+News (英語)

 

8. Hana on Azure で推奨されるディスク設計テンプレート

Hana を Azure VM にデプロイする計画を作成する場合に便利なサンプル テンプレートが、HANA-Disk-Design-Template-for-Azure という名前の Excel スプレッドシートとして提供されています。

このスプレッドシートは Azure M シリーズ VM に Hana をデプロイする場合のサンプルで、ストライプのサイズ、Write Accelerator などの構成設定の詳細が掲載されています。

さらに詳細な情報については、次の Azure ドキュメントをご覧ください。https://docs.microsoft.com/ja-jp/azure/virtual-machines/workloads/sap/hana-vm-operations

このスプレッドシートはサンプルとして用意されたもので、可用性ゾーンの列などは必要に応じて変更してください。

このテンプレートの作成にご協力くださった Cognizant の Archana 氏に感謝いたします。

 

9. <8 文字>.<3 文字> 形式のファイル名の生成を無効化

非常に古いリリースの Windows では、ファイル名が <8 文字>.<3 文字> の形式 (8.3 形式) に制限されていました。このような非常に古いファイルを扱う API を呼び出すアプリケーションでは、ファイル名が 8.3 形式ではないファイルを参照しない場合があります。

Windows Server 2016 およびそれ以前では、8.3 形式よりも長い名前のファイルについては、8.3 形式のファイル名が作成されていました。

ディレクトリ内のファイル数が非常に多い場合、この処理はかなり高負荷になります。SAP ユーザーはジョブのログやインターフェイス ファイルを /sapmnt 共有に格納することが多く、そのファイル数が数十万個に達することも珍しくありません。

すべての既存の Windows Server で 8.3 形式のファイル名の生成を無効化すること、新規の Windows Server の標準導入プロセスにおいて、Internet Explorer の削除や SMB v1.0 の無効化と同様に8.3 形式のファイル名生成を無効化することをお勧めします。

662452 – Poor file system performance/errors during data accesses https://launchpad.support.sap.com/#/notes/662452

https://support.microsoft.com/ja-jp/help/121007/how-to-disable-8-3-file-name-creation-on-ntfs-partitions (英語)

 

10. SAP Hana 認定の数百vCPU と 12TB RAM 搭載Azure VM を発表

Corey Sanders が執筆したブログ記事で、数百 vCPU と 12 TB RAM をサポートする新世代の M シリーズ VM が発表されました。「現在と将来のインフラストラクチャのニーズを満たすうえで Azure が最適な理由」というブログ記事で、以下の内容が発表されました。

  1. Intel Skylake CPU をベースとし最大 12 TB の RAM をサポートする新世代の M シリーズ VM のリリース。
  2. 新しい Hana ラージ インスタンス TDIv5 アプライアンス。メモリは 6 TB、12 TB、18 TB から選択可能。
  3. 新しい Standard SSD ストレージ – バックアップ用および大量データのストレージとして最適。 https://blogs.technet.microsoft.com/jpitpro/2018/06/11/preview-standard-ssd-disks-for-azure-virtual-machine-workloads/
  4. 非本番環境、Solution Managerやその他小規模SAP Hana データベースに適した小規模な M シリーズ VM のリリース。

https://blogs.technet.microsoft.com/jpitpro/2018/06/12/why-you-should-bet-on-azure-for-your-infrastructure-needs-today-and-in-the-future/

https://azure.microsoft.com/en-us/blog/offering-the-largest-scale-and-broadest-choice-for-sap-hana-in-the-cloud/ (英語)

 

その他のトピック、注意事項、関連資料

2343511 – Microsoft Azure connector for SAP Landscape Management (LaMa) https://launchpad.support.sap.com/#/notes/0002343511

Azure に向けた SAP の最適化 https://www.microsoft.com/en-us/download/details.aspx?id=56819 (英語)

Linux VM での LVM のセットアップに関するドキュメント https://docs.microsoft.com/ja-jp/azure/virtual-machines/linux/configure-lvm

SQL 列ストアの最新のドキュメント – SQL で BW を使用するすべてのユーザーへの推奨事項 2116639 – SQL Server Columnstore Documentation https://launchpad.support.sap.com/#/notes/0002116639

 

SMBv1 の機能を削除すると一部の srv イベントが記録されなくなる

$
0
0

こんにちは、Windows Platform サポートチームです。

SMBv1 を無効化する方法として、サーバー マネージャーやコントロール パネル上から SMBv1 の機能を削除すると、その影響でソース srv のイベントの一部が記録されない動作となります。
本 blog にて、この動作について補足します。

[動作の説明]
サーバー マネージャーおよびコントロール パネルから SMBv1 (SMB1.0/CIFS ファイル共有のサポート) の機能を削除すると、SMBv1 の機能を提供するドライバー モジュール自体が削除されます。
ソース srv のイベントは、この SMBv1 の機能を提供するドライバーにて制御・記録されるため、モジュール自体が削除されることで、この処理が実行されず一部のイベントが記録されない動作となります。
サーバー マネージャーおよびコントロール パネルによる SMBv1 の機能削除は、Windows Server 2016、Windows Server 2012 R2、Windows 10、Windows 8.1 にてサポートされます。

この場合に記録されなくなるイベント ID は以下の通りです。

イベント ID: 2000 ~ 2027

[対処策]
次のレジストリを使用した無効化方法であれば、ドライバー モジュールは削除されません。
SMBv1 を無効化し、かつソース srv のイベントについても記録させる必要がある場合は、以下のレジストリによる無効化にて対応をお願いします。

- レジストリによる無効化手順
1. レジストリ エディターを開き、以下のサブキーに SMB1 をエントリとして作成し、値として 0 を設定します。

レジストリ サブキー: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
レジストリ エントリ: SMB1
REG_DWORD: 0 = 無効
既定値: 1 = 有効 (レジストリ キーは作成されません)

2. コンピューターを再起動します。

[参考情報]
- サーバー マネージャー / コントロール パネルからの無効化手順
クライアント オペレーティング システムの場合:
1. [コントロール パネル] を開き、[プログラム] をクリックし、次に [Windows の機能の有効化または無効化] をクリックします。
2. Windows の設定画面で [SMB1.0/CIFS ファイル共有のサポート] のチェックボックスをオフにし、[OK] をクリックしてウィンドウを閉じます。
3. コンピューターを再起動します。

サーバー オペレーティング システムの場合:
1. [サーバーマネージャー] を開き、[管理] メニューをクリックし、[役割と機能の削除] を選択します。
2. 設定画面で [SMB1.0/CIFS ファイル共有のサポート] のチェックボックスをオフにし、[OK] をクリックしてウィンドウを閉じます。
3. コンピューターを再起動します。

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

Windows Update に失敗したら

$
0
0

みなさま、こんにちは。WSUS サポート チームです。

今回は Windows Update に失敗した場合に、一般的にご確認いただきたいこと等についてご紹介します。

 

Windows Update に失敗した場合に、一般的にご確認いただきたい対処方法


「先月まで上手く適用出来ていたのに、なぜか今月は上手くできない!」といった場合等には、以下ブログの手順をご確認ください。ブログの中でも紹介している通り、まず実施いただきたい対処方法となります。

Windows Update クライアントの情報をクリアにする手順
https://blogs.technet.microsoft.com/jpwsus/2014/12/02/windows-update-3/

また、以下の公開情報では Windows Update に失敗した場合に実施いただきたい内容を、ウォークスルー ガイドで紹介しています。上記のブログで紹介している手順でも解消しない場合には、ウォークスルー ガイドに沿って対処をお試しください。

Windows Update 問題を修正する
https://support.microsoft.com/ja-jp/help/10164

 

Windows Update になぜ失敗したのかを調査したい


「対処方法を色々と実行するのではなく、なぜ問題が発生したのか知りたい」という場合や「上記の対処方法は実施出来ないから、その他の対処方法を調査したい」という場合等は、ログから調査等を行う必要があります。

ログの調査の仕方については、以下のブログや公開情報にて紹介しているのでご参考としてください。もちろん弊サポート部門へお問い合わせいただくことも手法の 1 つとなります。

Windowsupdate.log ファイルの高度なユーザーを理解します。
https://support.microsoft.com/ja-jp/help/4035760/understanding-the-windowsupdate-log-file-for-advanced-users

また、Windows 10 でのアップグレードに失敗する場合の調査の手法については以下の公開情報にて紹介しております。

Windows 10 のアップグレード エラーの解決: IT 担当者向けの技術情報
https://docs.microsoft.com/ja-jp/windows/deployment/upgrade/resolve-windows-10-upgrade-errors

しかし、多くの端末の管理を行われている場合には、Windows Update 失敗している端末に対して 1 台 1 台調査を行うと非常に多くのコストが掛かってしまいます。共通したエラーであれば 1 台の端末の調査で調査は完了しますが、最悪の場合、端末毎にエラーの状況が異なり、失敗しているそれぞれの端末で調査が必要となる可能性があります。そのため調査を行う前に、調査を進める価値があるのかも含め、慎重に検討をすすめる必要があります。

例えば、以下のような場合には、迷わず調査を行う必要があるものと考えられるでしょう。

  • 共通したエラー コードが複数の環境で継続して発生している
  • 事象が発生している環境が、ビジネス上重要なものであり対処が実施しづらい環境である
    (役員が利用している端末、業務上重要なサーバー上で問題が発生している等)

逆に上記のようなケースに当てはまらない場合には、まずは一般的にご確認いただきたい対処方法を、まずはお試しいただき、それでも解消しない場合には調査を進めるという運用も一つの手法となります。

また、よくお問い合わせいただく問題や対処方法については、本ブログでも随時紹介してまいりますため、是非ご参考としてください!

 

[親展] メールを受信する場合、自動マッピングで追加されたメールボックスにて未読件数が表示されるが、該当メールが表示されない

$
0
0

こんにちは。日本マイクロソフト Outlook サポート チームです。

 

フル アクセス許可の権限を持つユーザーの Outlook プロファイルに自動マッピングで追加されたメールボックス (共有メールボックスやユーザー メールボックス、リソース メールボックスなど) 上で、秘密度が [親展] に設定されたメールを受信すると、ユーザーは Outlook からこのメールを参照できません。

これは想定された動作です。

なお、自動マッピングが無効で、該当メールボックスを追加のアカウントとして追加した場合、本事象は発生しません。

 

秘密度が [親展] のメールは特殊なアクセス権 (非公開フラグ) により管理されており、追加のメールボックスと呼ばれる機能と同等の自動マッピングでは追加の設定を行わない限り参照ができない動作となります。 Outlook でフル アクセス許可の権限を持つユーザーが該当メールボックス上で [親展] のメールを参照するには、以下の方法があります。

  1.  Outlook on the Web をご利用する方法
  2. 自動マッピングを無効にし、Outlook にて該当メールボックスを追加のアカウントとして追加する方法
  3. Outlook にて [ユーザーへ非公開アイテムのアクセス権] を付与する方法 (自動マッピング有効のまま)

Exchange Online のご利用環境の場合、Outlook on the Web かコマンドで設定する方法もありますので、補足の部分をご参照ください。

 

本ブログでは、上記の 3 番の方法をそれぞれご紹介します。

 

■ Outlook にて [ユーザーへ非公開アイテムのアクセス権] を付与する方法

- 手順

以下の手順は管理者側で行います。

※共有メールボックスにフルアクセス権を持つ管理者が行う必要があります。

 

A. 管理用に、フルアクセス権を持つ該当メールボックスのプロファイルを作成します。

 

1. [コントロール パネル]-[ユーザー アカウント]-[メール] を開き、[プロファイルの表示] をクリックします。

2. [追加] をクリックし、任意のプロファイル名を入力して [OK] をクリックします。(Outlook Office 365 への接続」画面が表示されたら、右下の [別のアカウントに接続] をクリックします。)

3. [電子メール アドレス] に該当メールボックスのメールアドレスを入力します (ドメイン参加端末の場合、自分のメールアドレスが入力されるため変更します)

4. [パスワード] [パスワードの確認入力] には何も入力せずに [次へ] をクリックし、認証画面が出たら表示されている該当メールボックスのメールアドレスを削除し、フルアクセス権を持つ自分の ID・パスワードを入力します。

5. [完了] をクリックします。

 

B. Outlook から代理人設定による非公開アイテムのアクセス権を付与します。

 

  1. 上記で作成したプロファイルで Outlook を起動します。[ファイル]-[アカウント設定]-[代理人アクセス] をクリックし、[追加] ボタンから非公開アイテムを見せたいユーザー (フルアクセス権を持っているユーザー) を追加します。

2. すべての項目を [なし] に指定します。

3. [代理人に非公開に設定したアイテムへのアクセスを許可する] をオンにします。

4. [OK] をクリックし、[OK] をクリックします。

 

■ 補足

Exchange Online 環境をご利用できる場合、以下の方法でも [ユーザーへ非公開アイテムのアクセス権] を付与できます。

 

A. Outlook on the Web にて付与する方法 (Exchange Online 環境のみ)

B. コマンドで付与する方法 (Exchange Online 環境のみ)

 

A. Outlook on the Web にて付与する方法

-----------------------------------------------

- 手順

  1. Outlook on the Web にてフル アクセス権限を持つユーザーでログインします。
  2. 右上の [マイ アカウント] より [他のメールボックスを開く] をクリックします。
  3. 該当のメールボックスを選択し、別のタブで開きます。
  4. 予定表フォルダーにて [予定表]-[共有アクセス許可] をクリックします。
  5. [共有への招待をメールで送信します] よりフル アクセス権限を持つユーザーを選択します。
  6. [代理人] を選択し、[代理人による非公開の予定の表示を許可します] をチェック オンします。
  7. [共有] をクリックします。

※ 上記の操作完了後、フル アクセス権限を持つユーザーに予定表共有のメールが送付されます。

B. コマンドで付与する方法

-----------------------------------------------

- 手順

1. Windows Powershell から Exchange Online に接続します。

 

Title: リモート PowerShell による Exchange への接続

URL: http://technet.microsoft.com/ja-jp/library/jj984289(v=exchg.150).aspx

 

2. 以下のコマンドを実行します。

:

Add-MailboxFolderPermission -Identity "shared1:予定表" -User user1@test.com -AccessRights Editor -SharingPermissionFlags Delegate,CanViewPrivateItems

 

- 参考情報

Title: Add-MailboxFolderPermission

URL: https://docs.microsoft.com/en-us/powershell/module/exchange/mailboxes/add-mailboxfolderpermission?view=exchange-ps

 

Title: Set-MailboxFolderPermission

URL: https://docs.microsoft.com/en-us/powershell/module/exchange/mailboxes/set-mailboxfolderpermission?view=exchange-p

 

________________________________________

本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

 


Windows Update 実行時のプロキシ設定 #1 考え方篇

$
0
0

みなさま、こんにちは。WSUS サポート チームです。

今回は Windows Update を実行する際のプロキシ設定について、2 回に渡ってご案内をいたします。第 1 回は「考え方篇」、第 2 回は「設定篇」となります。

プロキシの設定が正しく行われていないと、Windows Update が上手くいく環境もあれば、失敗する環境もある等、複雑な状況に陥りがちです。このような場合には、「なぜ上手くいく環境と失敗する環境があるのか?」「バージョン毎に微妙にエラーが異なるのはなぜか?」といった目の前に起きている事象に焦点を当てるよりも、まずは「そもそも正しくプロキシが参照出来るよう設定されているか?」といった観点で確認を進めていく必要があります。

クライアントの導入時に、ネットワーク環境に合わせて適切にプロキシ設定が行われていれば、特に改めて考慮する必要はないのですが、本記事では改めて順を追って説明していきます。

 

Windows Update するためにプロキシ設定は必要か?


これはよくお問い合わせいただく質問ですが、ご利用のネットワーク構成や運用に合わせて設定を考慮していただく必要があるため、弊社から一概に申し上げられる情報はありません。

「プロキシ設定が必要か判らない!」という場合は、まず自社内でネットワークの担当等に、Windows Update の通信がプロキシ サーバーを経由する必要があるのか確認をしてみましょう。

例えば、以下のようにクライアント - WSUS サーバー間の通信で、プロキシ サーバーを経由する必要がないネットワーク構成の場合には、WSUS サーバーに対する Windows Update を成功させるためにプロキシの設定をする必要はありません。

[ 例 1 ]

対して例えば以下のようなネットワーク構成の場合には、WSUS サーバーへの接続にプロキシ サーバーを経由する必要があるため、Windows Update を成功させるためには、プロキシ設定が必要となります。

[例 2]

ただし、例えば例 1 の構成でも、WSUS サーバー以外への通信は、プロキシ サーバーを経由させたい場合には、クライアントへプロキシの設定を行った上で WSUS サーバーへの通信はプロキシを経由しないように、バイパスの指定に WSUS サーバーの URL を加える必要があります。

このように、プロキシ設定は Windows Update の観点でだけでなく、ネットワーク環境に合わせて考慮が必要となります。

さて以上を踏まえて、ご利用の環境でプロキシを経由する通信が必要かどうか確認がとれたら、今度は具体的な設定方法について「設定篇」で紹介していますので、こちらをご参考としてください。

 

Windows Update 実行時のプロキシ設定 #2 設定篇

$
0
0

みなさま、こんにちは。WSUS サポート チームです。

今回は第 1 回の「考え方篇」に引き続き、Windows Update 実行時のプロキシ設定の具体的な手法について、オススメの設定と注意点を紹介していきます。「Windows Update を実行するときにプロキシ設定って必要なの?」という方は、まずは「考え方篇」をご参照ください。

 

プロキシを利用する環境でのオススメの設定


プロキシを利用する環境の場合には、Windows Update の実行時にプロキシ設定が読み込まれるように設定を行っていただく必要があります。オススメの設定としては、以下の 2 種類があるため紹介をします。是非以下のいずれかの設定について、ご検討をください。

 

A. WPAD を利用した設定方法

WPAD (Web Proxy Auto-Discovery) はクライアントにプロキシの設定を自動配布するための方法として開発された技術であり、WPAD を利用すると DHCP サーバーもしくは DNS サーバーからプロキシの設定をクライアントに対して自動的に配布することが可能です。

Windows Update による通信でも WPAD は参照されるため、WPAD を利用することで各クライアントにて個別にプロキシの設定を行うことなく、プロキシ経由で通信を行うようすることが可能です。

WPAD の設定方法の詳細については、以下ブログで紹介しているため、ご参考としてください。

また、特にクライアント端末を外に持ち出すような環境では、静的にプロキシ設定をクライアントにしてしまうと、外部のネットワークに接続したタイミングで、意図せずプロキシ設定が読み込まれてしまう可能性があるため、WPAD の利用を是非ご検討ください。

 

B. IE および WinHTTP の両方に静的にプロキシ設定を行う方法

Windows Update の通信で確実にプロキシ設定を読み込ませるためには、IE (Internet Explorer) および WinHTTP のプロキシ設定の両方を実施していただく必要があります。このため静的にプロキシ設定を行う場合には IE のプロキシ設定と WinHTTP のプロキシ設定を両方共に実施していただくことをオススメしております。

IE のプロキシ設定については、以下ブログにて紹介しているため、ご参考としてください。静的にプロキシ サーバーのアドレス等を指定する場合には「2) プロキシ サーバー」の箇所の設定を行います。

LAN のプロキシ サーバーの設定について
https://blogs.technet.microsoft.com/jpieblog/2014/10/08/lan/

また、WinHTTP のプロキシ設定については、以下のコマンドを管理者権限で実行することで設定が可能です。

<< WinHTTP のプロキシ設定をする場合 >>

netsh winttp set proxy proxy-server =<プロキシ サーバー> bypass-list=<バイパス リスト>

<< 上記コマンドの実行例 >>

netsh winhttp set proxy proxy-server="myProxyServer:8080" bypass-list="<local>;*.microsoft.com;*.foo.ne"

なお、以下のコマンドを実行することで IE のプロキシ設定を、そのまま WinHTTP のプロキシ設定へ反映することが可能です。

<< IE のプロキシ設定を WinHTTP のプロキシ設定へインポートする場合 >>

netsh winhttp import proxy source=ie

加えて以下のコマンドで現在の WinHTTP のプロキシ設定の確認やリセットが可能です。

<< 現在の WinHTTP のプロキシ設定を参照する場合 >>

netsh winhttp show proxy

<< WinHTTP のプロキシ設定をリセットする場合 >>

netsh winhttp reset proxy

 

プロキシを利用する上での注意点


プロキシ サーバーを利用している環境において、よく失敗するポイントや注意点について紹介をします。

 

静的にプロキシ設定を行う場合

上述の通り、静的にプロキシ設定を行う場合には、IE および WinHTTP のプロキシ設定を両方共にしていただくことをオススメしております。

Windows Update の通信では、どちらのプロキシ設定も参照される可能性があり、細かい使い分けについて以下のブログにて紹介をしております。

Windows Update が利用するプロキシ設定について
https://blogs.technet.microsoft.com/jpwsus/2017/03/02/proxy-settings-used-by-wu/

IE のプロキシ設定はユーザー単位で設定が保持され、WinHTTP のプロキシ設定は端末全体での設定となるため、基本的な考え方としてはユーザーが介する動作では、ユーザーの IE のプロキシ設定が参照され、システムがバックグラウンドで実行される通信については、WinHTTP のプロキシ設定が参照されます。

しかしながら、Windows Update による通信は、自動更新等のユーザーが意図しないところでバックグラウンドでの通信が発生することが多くあるため、確実に Windows Update の通信を成功させるためには、両方共に設定していただくことをオススメしております。

 

認証が必要なプロキシをご利用の場合

以下の公開情報でも紹介している通り、認証が必要なプロキシを介して Windows Update を実行すると、Windows Update の動作が不安定になることがあります。認証が必要なプロキシを利用している場合には、接続先の WSUS サーバーもしくは Windows Update / Microsoft Update サイトへの接続ついては、認証が不要なよう除外してください。

Windows Update カタログからドライバーや修正プログラムを含む更新プログラムをダウンロードする方法
https://support.microsoft.com/ja-jp/help/323166/how-to-download-updates-that-include-drivers-and-hotfixes-from-the-win

--- 該当箇所抜粋 ---

Windows Update または Microsoft Update の使用中に、以下のいずれかまたは複数の問題が発生する場合があります。

(中略)

統合プロキシ認証 (NTLM 認証) を使用して認証を行う Web プロキシ サーバーを経由して Windows Update サイトまたは Microsoft Update サイトに接続すると、これらの Web サイトが表示されないことがあります。

--- 該当箇所抜粋 ---

 

インターネット上の Windows Update / Microsoft Update サイトに対して Windows Update をする場合

インターネット上の Windows Update / Microsoft Update サイトに対して Windows Update をする場合には、以下のブログにて紹介している URL への通信が必要となります。

Windows Update / Microsoft Update の接続先 URL について
https://blogs.technet.microsoft.com/jpwsus/2017/02/27/wu-mu-list/

プロキシ サーバー等で接続先の URL によってブロック等を実行している場合には、上記のブログにて紹介している URL に対する通信を許可する必要があるので、ご注意ください。また、上述の通り、認証が必要なプロキシを利用している場合には、ブログ内で紹介している URL について認証が不要なようにしてください。

 

全 2 回に渡る投稿いかがでしたでしょうか。プロキシ設定が環境に合わせて正しく構成されていないと、ネットワーク系のエラー (0x80240030 / 0x80072efe / 0x80244022 / 0x80072efd / 0x80072ee2 / 0x80072ee7 / 0x8024402c 等) が発生したり、異常に Windows Update に時間を要したり、様々な事象が発生します。

プロキシ設定を正しく見直すことで、こういった問題の発生を未然に防ぐことが可能なので、是非ご参考としていただければ幸いです。

 

Get Certified in Dynamics 365 for Marketing

$
0
0

If you plan to implement, use, maintain, or support Microsoft Dynamics 365 for Marketing in your own or your customers’ organizations you might want to look at being certified in Dynamics 365 for Marketing.

Look no further; Microsoft Dynamics 365 for Marketing Exam MB2-719 is here.

Skills being measured

  • Set up and configure Microsoft Dynamics 365 for Marketing (10 – 15%)
  • Manage segments and lists (10 – 15%)
  • Create and manage marketing forms and pages (10 – 15%)
  • Manage leads (10 – 15%)
  • Create and manage marketing emails (10 – 15%)
  • Manage customer journeys (10 – 15%)
  • Manage events (5 – 10%)
  • Create and distribute surveys (5 – 10%)

You can prepare at your own pace with the below digital learning courses

  • 81240AE: Microsoft Dynamics 365 for Marketing
    This Digital Learning course enables you to cultivate a general understanding of Dynamics 365 for Marketing and its various features. You will review 7 main sections including: Segments and List Management, Marketing Pages, Lead Management, Email Marketing, Customer Journeys, Event Management, and Survey Management. You will also see how to integrate each of these areas into one another to form a cohesive marketing ecosystem
  • 81237AE: Getting Started in Microsoft Dynamics 365 for Marketing
    This Digital Learning course enables you to learn about administrative capabilities of Dynamics 365 for Marketing. You will see how to configure the application for first time use, review advanced settings for marketing, learn about integrations with LinkedIn and other Dynamics 365 applications, and discover how Dynamics 365 for Marketing supports GDPR.

SharePoint Online IE ドキュメント モードの変更について

$
0
0

IE のドキュメント モードが、順次 Edge モードに切り替わる変更が適用されてきております。

とり急ぎとなりますが、下記のような現象が発生した場合は、ドキュメント モードを IE10 モードに戻す回避策を含めてご検討ください。なお、情報に進展などがあれば、本ページにてアップデートいたします。

 

目次

  1. InfoPath ブラウザー フォームで People Picker のユーザー解決ができなくなる。
  2. 最新のパッチが適用されていない IE11 がクラッシュする
  3. Office ファイルがクライアントではなく、ブラウザーで開くようになる。
  4. ActiveX オブジェクトを使用しているカスタム ページが動作しなくなる
  5. エクスプローラー ビューが表示できなくなる

 

詳細

1. InfoPath ブラウザー フォームで People Picker のユーザー解決ができなくなる。

InfoPath のブラウザー フォームには以下のようなものがあります。この動作に対する回避策は、本投稿下部に記載の方法しかありませんので、実施を検討ください。

  • SharePoint 2010 形式ワークフローにおける各種フォーム
  • フォーム ライブラリ
  • [InfoPath のカスタマイズ] で生成したカスタム フォーム (例. newifs.aspx, editifs.aspx)

2. 最新のパッチが適用されていない IE11 がクラッシュする

社内で修正プログラムの適用管理を行っている場合は、下記のパッチを含む最新のパッチを適用する必要があります。修正プログラムがすぐに適用できない場合は、本投稿に記載の方法を実施ください。

タイトル:2017 年 11 月 15 日 — KB4048957 (マンスリー ロールアップ)
アドレス:https://support.microsoft.com/ja-jp/help/4048957

•Internet Explorer で SharePoint Online サイトが動作しなくなる問題を修正しました。

3. Office ファイルがクライアントではなく、ブラウザーで開くようになる。

SharePoint のリスト ビュー Web パーツにおいて、サーバー レンダリングを使用している場合、Office ファイルを開くためにハイパーリンクをクリックすると、ブラウザーで開くようになります。

サーバー レンダリングには以下のようなものがあります。

  • ビューのスタイルで "既定" 以外を選択している場合
  • Web パーツの設定で、サーバー表示にチェックを入れている場合
  • SharePoint Designer で、XSL をカスタマイズしている場合

Edge モードでは、ActiveX のロードが制限されます。SharePoint はファイルを開く際に、Office アプリケーションのインストール有無を確認しますが、その際に ActiveX (SharePoint.OpenDocuments : OWSSUPP.dll) を使用します。このロードが制限されて、Office クライアントがインストールされていないと判断され、ブラウザーで開く動作に至ります。

クライアント サイド レンダリングの場合は、Protocol Handler で強制的に開く動作が適用され、問題なくクライアントで開きます。

そのため、この現象に関しては、クライアント サイド レンダリングに切り替えることも対処策となります。

 

4. ActiveX オブジェクトを使用しているカスタム ページが動作しなくなる

原因は同上となりますが、Edge モードでは ActiveX のロードが制限されます。そのため、ActiveX を参照したカスタム ページにおいては JavaScript などのスクリプト処理が影響を受けます。

開発コード上で Edge モードで動作させたい場合は、別の方法を調査してください。

また、下記のサイトもご参考にしてください。

タイトル : Internet Explorer 11 と Internet Explorer 10 で ActiveX コントロールを使う
アドレス : https://support.microsoft.com/ja-jp/help/17469/windows-internet-explorer-use-activex-controls

5. エクスプローラー ビューが表示できなくなる

ポップアップ ブロックが表示され、エクスプローラーで開くが動作しないことが報告されています。

タイトル : SPO and sometimes a Pop-Up appears and you do not want them?
アドレス : https://blogs.msdn.microsoft.com/joerg_sinemus/2018/05/14/spo-and-sometimes-a-pop-up-appears-and-you-do-not-want-them/

 

回避策

下記のページに記載された回避策をご検討ください。

タイトル : Display a classic SharePoint Online site in Internet Explorer 10 document mode
アドレス : https://support.office.com/en-us/article/4b4572b7-9223-45ec-8497-557a643da12a
機会翻訳 : https://support.office.com/ja-jp/article/4b4572b7-9223-45ec-8497-557a643da12a

今回の投稿は以上です。

 

本情報の内容は、作成日時点でのものであり、予告なく変更される場合があります。

 

 

Updates for Surface Studio and Surface Pro with LTE Advanced (28 June 2018)

$
0
0

We’ve released new driver and firmware updates for the Surface Studio and Surface Pro with LTE Advanced (Model 1807) devices. On Surface Pro with LTE Advanced this update includes a new Gemalto eSIM Firmware Update, improving eSIM service stability. On Surface Studio, these updates include drivers and firmware for Surface Touch, Surface Pen Settings, and Surface Pen Pairing that enable Surface Pen advanced feature support on devices running Windows 10 version 1803 or above.

This update for Surface Pro with LTE Advanced (Model 1807) is available via Windows Update and the Microsoft Download Center at the Surface Pro LTE drivers and firmware page. Click Download to download the following files:

  • SurfacePro_LTE_Win10_15063_1804407_0.msi
  • SurfacePro_LTE_Win10_16299_1804407_0.msi

These updates for Surface Studio are available via Windows Update and the Microsoft Download Center at the Surface Studio drivers and firmware page. Click Download to download the following file:

  • SurfaceStudio_Win10_17134_1802206_0.msi

Surface Pro:

  • Gemalto eSIM Firmware Update v2.8.2.1 improves eSIM service stability.

Surface Studio:

  • Surface Touch v132.177.6.160 enables Surface Pen advanced feature support.
  • Surface Pen Settings v21.0.17.0 enables Surface Pen advanced feature support.
  • Surface Pen Pairing v1.7.136.0 enables Surface Pen advanced feature support.

Policy Analyzer – minor update

$
0
0

Policy Analyzer is a utility in the Security Compliance Toolkit for analyzing and comparing sets of Group Policy Objects (GPOs). We have just posted a minor update that resolves a localization bug reading some non-English advanced auditing settings files (audit.csv), and another bug that would cause Policy Analyzer to crash when reading an invalid GPO backup XML file. Policy Analyzer should be completely bug free now. 🙂

The download package also adds PolicyRules files for the four Windows and Office baselines we have published since Policy Analyzer was last updated.

Tip o’ the Week 437 – Mapping of Minds

$
0
0

clip_image001Like just about every other productivity technique, “Mind Mapping” has vociferous proponents and those who’ve tried it but never quite made it stick. The general idea is to try to represent a complex but related series of thoughts and topics onto a diagram that helps to organise them, and to aid recall. Mind maps are perhaps more useful for the person doing the mapping as a way of sorting their own brain out, than as a means of communicating to other people or even to record those thoughts for much later consumption.

Like writing a status report, the act of doing the report or compiling the map prompts valuable activity more than the resulting artefact which might never be read. Research has shown that more visually oriented people are likely to get more out of mind mapping, and using a mind map to try to remember stuff has a fairly short shelf life.

If you’ve not tried mind mapping, the simplest way is to start with a blank sheet of paper and a pen. Read some more here about the concepts. Or here, realising that the site is basically trying to sell you mind mapping software. There’s a more balanced view of different software packages, here.

You don’t need to pay for your mind mapping software, though… OneNote could be a great way of doing it, especially if you have a PC with a stylus. There are a few 3rd party addins to OneNote (desktop version) that provide additional functionality for mind mapping, though the same don’t necessarily work with the Modern App version – something that’s been picked up on the User Voice forums.

clip_image002If you’ve got Visio on your PC, you could try the Brainstorm template, using Visio’s core strength of creating and associating shapes, moving them around, hyperlinking between them as appropriate and so on.

This functional approach can be a bit too structured and formal, some people preferring a much more freehand, flowing kind of mind map to basically do a brain dump. Maybe a good way of publishing an already-sketched mind map?

clip_image003

Here’s a step-by-step guide (originally written for Visio 2010). Watch this 10-minute tutorial video if you’d like a more visual approach.

There are some more brainstorming tips and tricks for Visio 2016 here.

clip_image005Another option is to try some specific mind mapping software – there are some very good examples of such in the Microsoft Store. One particularly good app is Mind Maps Pro, which is free for a few days (as of end of June 2018 – install it now; even if you don’t try it right away, it’ll save you a good few £/$/€/etc as and when you give it a go).


The app has simple hierarchical mapping features, and some freehand support – including Ink – with easy additions of structure, auto-layout and the like – it’s a great way to creating a mind map on Windows. It can automatically sync your maps to OneDrive, too, and export to PDF/PNG.

clip_image006


Announcing availability of the Surface Connect to USB-C Adapter for Surface Pro and Surface Laptop

$
0
0

Today we are pleased to announce that the Surface Connect to USB-C adapter is now available in commercial channels and through the Microsoft Store Business Desk in the United States, Canada, Australia, New Zealand, and the United Kingdom. Add USB-C capability to Surface Laptop or the newest Surface Pro with this convenient adapter that supports USB-C docking solutions and USB-C power supplies.1 Enable compatibility with open workspaces and universal docks to empower your users to work when and where they need with their Surface devices.

Find out more information on the Surface Connect to USB-C Adapter on the Surface Pro for Business page.

1 Display output and data throughput capabilities are dependent on the USB-C docking solution used. Requires external power source with a minimum power output of 27W and 12V.

Support for the Surface Connect to USB-C Adapter requires the installation of an update for the Surface System Aggregator Module prior to connecting the adapter to your Surface Pro or Surface Laptop device.

Surface Laptop:

The Surface System Aggregator Module update for Surface Laptop was previously made available on 15 May 2018. If your Surface Laptop is up-to-date with Windows Update or you have installed the 15 May 2018 update from the Microsoft Download Center, your Surface Connect to USB-C Adapter will work with your device out-of-the-box and no further action is required. If your device does not yet have this required update, please run Windows Update to update your device or install the latest drivers for Surface Laptop from the Microsoft Download Center.

The specific driver required for Surface Laptop devices to support the Surface Connect to USB-C Adapter is:

  • Surface System Aggregator v135.2139.257.0

Surface Pro (Model 1796):

The Surface System Aggregator Module update for Surface Pro (Model 1796) has not previously been made available and is now available via the Microsoft Download Center. To support the Surface Connect for USB-C Adapter on your Surface Pro device, you must download and install one of the following packages from the Surface Pro drivers and firmware page of the Microsoft Download Center:

  • SurfacePro_USB-C_WiFi_Win10_16299_1804507_3.msi

The specific driver required for Surface Pro devices to support the Surface Connect to USB-C Adapter is:

  • Surface System Aggregator v234.2237.257.0

Note: At this time, the Surface Connect to USB-C Adapter is supported only on Surface Pro (Model 1796) models. Support for Surface Pro with LTE Advanced (Model 1807) will be available shortly.

Ghost Management Point: Duplicate MP entries in the Location Services Log

$
0
0

Hello Y ’all,

Here an interesting issue I recently work with, this is the case of the Ghost Management Point. Spooky? Ow Yea.

The Symptoms:

Client machines suddenly stopped getting new software, new updates, new policies.
Upon further investigation, LocationServices.log at the client machines, gave us the first clue:

LocationServices 14508 (0x38ac) Refreshing security settings over AD
LocationServices 14508 (0x38ac) Performing AD query: '(&amp;(ObjectCategory=mSSMSManagementPoint)(mSSMSDefaultMP=TRUE)(mSSMSSiteCode=PRI))'
LocationServices 14508 (0x38ac) OperationalXml '<clientoperationalsettings><version>5.00.8540.1005</version><securityconfiguration><securitymodemask>0</securitymodemask><securitymodemaskex>224</securitymodemaskex><httpport>80</httpport><httpsport>443</httpsport><certificatestorename></certificatestorename><certificateissuers></certificateissuers><certificateselectioncriteria></certificateselectioncriteria><certificateselectfirstflag>1</certificateselectfirstflag><pkicertoptions>0</pkicertoptions><sitesigningcert></sitesigningcert></securityconfiguration><rootsitecode>PRI</rootsitecode><ccm> <commandline>SMSSITECODE=PRI</commandline> </ccm><fsp> <fspserver></fspserver> </fsp><capabilities schemaversion="1.0"><property name="SSLState" value="0"></property></capabilities><domain value="contoso.local"></domain><forest value="contoso.local"></forest><aadconfig version="1.0"><timestamp>2017-11-03 10:37:03</timestamp><tenants></tenants></aadconfig></clientoperationalsettings>'
LocationServices 14508 (0x38ac) !aadInfo.sTenantId.empty() &amp;&amp; !aadInfo.sClientAppId.empty() &amp;&amp; !aadInfo.sResourceUri.empty(), HRESULT=87d00215 (..CcmToken.cpp,2337)
LocationServices 14508 (0x38ac) The MP name retrieved is 'MP01.contoso.local' with version '8540' and capabilities '<capabilities schemaversion="1.0"><property name="SSLState" value="0"></property></capabilities>'
LocationServices 14508 (0x38ac) MP 'MP01.contoso.local' is compatible
LocationServices 14508 (0x38ac) !aadInfo.sTenantId.empty() &amp;&amp; !aadInfo.sClientAppId.empty() &amp;&amp; !aadInfo.sResourceUri.empty(), HRESULT=87d00215 (..CcmToken.cpp,2337)
LocationServices 14508 (0x38ac) The MP name retrieved is 'MP01.contoso.local' with version '8634' and capabilities '<capabilities schemaversion="1.0"><property name="SSL" version="1"></property><property name="SSLState" value="31"></property></capabilities>'
LocationServices 14508 (0x38ac) MP 'MP01.contoso.local' is not compatible
LocationServices 14508 (0x38ac) !aadInfo.sTenantId.empty() &amp;&amp; !aadInfo.sClientAppId.empty() &amp;&amp; !aadInfo.sResourceUri.empty(), HRESULT=87d00215 (..CcmToken.cpp,2337)
LocationServices 14508 (0x38ac) The MP name retrieved is 'MP02.contoso.local' with version '8634' and capabilities '<capabilities schemaversion="1.0"><property name="SSL" version="1"></property><property name="SSLState" value="31"></property></capabilities>'
LocationServices 14508 (0x38ac) MP 'MP02.contoso.local' is not compatible
LocationServices 14508 (0x38ac) Retrieved 1 MP records from AD for site 'PRI'
LocationServices 14508 (0x38ac) Received client operational settings: <clientoperationalsettings><version>5.00.8540.1005</version><securityconfiguration><securitymodemask>0</securitymodemask><securitymodemaskex>224</securitymodemaskex><httpport>80</httpport><httpsport>443</httpsport><certificatestorename></certificatestorename><certificateissuers></certificateissuers><certificateselectioncriteria></certificateselectioncriteria><certificateselectfirstflag>1</certificateselectfirstflag><pkicertoptions>0</pkicertoptions><sitesigningcert></sitesigningcert></securityconfiguration><rootsitecode>PRI</rootsitecode><ccm> <commandline>SMSSITECODE=PRI</commandline> </ccm><fsp> <fspserver></fspserver> </fsp><capabilities schemaversion="1.0"><property name="SSLState" value="0"></property></capabilities><domain value="contoso.local"></domain><forest value="contoso.local"></forest><aadconfig version="1.0"><timestamp>2017-11-03 10:37:03</timestamp><tenants></tenants></aadconfig></clientoperationalsettings>.

Yes, I know what you are thinking, somewhere in one of the related domains we will find a duplicated msSMSManagementPoint for MP01, right? That is what I thought so too, but we could not find it, anywhere. Worse yet, more and more clients were failing to retrieve the proper Management Point, because of the duplicate Management Point that was set to be HTTP, the true MP01 and MP02 are in fact HTTPS configured.

The Investigation:

It is time to bring the big guns, yes, the Directory Services Team!
By the way, Thank you very much for the help Renato Pagan , Mike Resnick and Clint Koenig.
We initially through that there was some Domain Controller, some Domain that we were not thinking of that may contained the Ghost Management Point entry somewhere.

I initially found this article from the Scripting Guys,

Use PowerShell to Query Active Directory from the Console

And Did this PowerShell Monstrosity:

LocationServices 9172 (0x23d4) Performing AD query: '(&(ObjectCategory=mSSMSManagementPoint)(mSSMSDefaultMP=TRUE)(mSSMSSiteCode=PRI))'

((New-Object DirectoryServices.DirectorySearcher "ObjectCategory=mSSMSManagementPoint").findall()).Properties

The goal was to go through as many domains that were related to the client machine as possible.
Later on talking to Renato Pagan he suggested to use this PowerShell that could be used and also point the Domain Controller we directly contacting”

Get-ADObject -SearchBase ("CN=System Management," + (Get-ADDomain).SystemsContainer) -LDAPFilter "(&amp;(objectClass=mSSMSManagementPoint))" -Property * -Server DC01

And to find which Domain Controller the client machine was connected to, we did not use SET LOGONSERVER, in fact we used nltest, as this example:

nltest /sc_query: contoso.local
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \DC01. contoso.local
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully

With this in hand we tried to run the PowerShell again, but still, we were unable to find the Ghost Management Point.
We also used ldifde queries to have a broader search, nothing

ldifde -f contoso_local.ldf -d dc=contoso,dc=local -r "(objectclass=msSMSManagementPoint)" -l cn,msSMSVersion

Things were getting desperate, and more and more clients were getting assigned to the Ghost Management Point. So, Mike Resnik suggested to capture a trace from the client machine, that would help us identify the specific LDAP query results we were getting from those clients. Two scripts:

START.CMD and STOP.CMD

START.CMD contains the capture, that includes the ccmxec.exe that is pushing the LDAP query, a network trace, and also enabling Verbose Logs for NetLogon for good mPRIure:

Reg add HKLMSystemCurrentControlSetServicesldapTracingccmexec.exe /f
netsh trace start capture=yes maxsize=2048 tracefile=c:temp%computername%.etl
REM Option to specify process ID (see KB 2221529):
REM Reg add HKLMSystemCurrentControlSetServicesldapTracing&ProcessName.exe& /v PID /t REG_DWORD /d PID /f
REM You can also trace multiple processes at the same time by creating multiple registry keys
logman create trace "ds_ds" -ow -o c:tempds_ds.etl -p "Microsoft-Windows-LDAP-Client" 0x1a59afa3 0xff -nb 16 16 -bs 1024 -mode Circular -f bincirc -max 4096 -ets
logman update trace "ds_ds" -p "Microsoft-Windows-ADSI" 0xffffffffffffffff 0xff -ets
nltest /dbflag:ffffffff

STOP.CMD simply condensates the results, and saves them nice and pretty:

logman stop "ds_ds" -ets
netsh stop
Reg delete HKLMSystemCurrentControlSetServicesldapTracingccmexec.exe /f
nltest /dbflag:2080ffff
copy c:windowsdebugnetlogon.log C:temp.

So, we prepared the machine, by removing the registry value under:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCCMSecurity
And wiped the value of the key SigningCertificate to force the client to register.
From a command prompt as Admin we executed the START.CMD and started the ccmexec service.
Observing the LocationServices.log we saw the behavior happening and executed the STOP.CMD.

With the results in hand, it is time to look at them. So close now, I promise!
Using Microsoft Message Analyzer, we opened the ds_ds.etl from the results, and started looking for the 8540 version, that was being returned for the client, a quick tip is select all the message in Message Analyzer and paste in Notepad++, much faster to find what you are looking for, especially with text.
And, behold! There is your Ghost Management Point, first hand:

zCN=SMS-MP-PRI-MP01.CONTOSO.LOCALACNF:dee8d902-4b84-4eac-ab11-765116270f53,CN=System.Management,CN=System,DC=contoso,DC=local0.....0.......distinguishedName1....|.zCN=SMS-MP-PRI-MP01.CONTOSO.LOCALACNF:dee8d902-4b84-4eac-ab11-765116270f53,CN=System.Management,CN=System,DC=contoso,DC=local0....(..dNSHostName1.......MP01.contoso.local0....(..mSSMSMPName1.......MP01.CONTOSO.LOCAL0.......mSSMSVersion1.......85400.......mSSMSCapabilities1....w.....q5.00.8540.1005

The light at the end of the tunnel:

Great, we found it, now what?
So, this, this is a conflict record in active directory, that happened somehow during a Domain Controller replication or other situation in which two records with the same name existed simultaneously.
To fix that? LOL, yes, I am serious, LOL…

Description of the Lingering Object Liquidator tool

Lingering Object Liquidator (LoL)

Once we used the Lingering Object Liquidator, LoL, and Purged the Unclean, ok, Dawn of War references at this point, seriously Renato? The good news is, once the Object was removed from Active Directory the clients are now able to properly return the values for the two existing Management Points, register, and live happily ever after.

Windows クライアント用 On-Demand Assesment (オンデマンド アセスメント) のセットアップ方法

$
0
0

マイクロソフトの有償サポートであるプレミア サポートの中の、企業のお客様を対象としたサポートは、順次ユニファイド サポートに変わっていきます。

日本語: https://www.microsoft.com/ja-jp/services/Microsoft_Unified_Support.aspx

英語: https://enterprise.microsoft.com/en-us/trends/microsoft-unified-support-solutions/

この新しいユニファイド サポートでは、オンデマンド アセスメントが利用できるようになっています。 これは RAP as a Service の後継として仕組みを大きく変え、Auzre Log Analytics  (旧OMS: Operations Management Suite) を利用する形へと進化したアセスメントです。
(これに伴い RAP as a Serivice はメインテナンス モードとなりアップデートはされなくなっています)

このアセスメントを利用するには、Log Analytics の利用が必須となるため、順を追ってセットアップ方法を説明します。

事前準備

Azure の有償サブスクリプション (MSDN 付属の月額の使用料金があらかじめ設定されているものは OK です) が必要となります (30日間の無償テナントでは、Log Analytics は利用できません)。そのため、すでに Office 365 や Azure を他の用途で利用している場合は、Log Analytics ワークスペースを作成する事で事前準備は完了となります 。

Azure をまだ利用していない場合には、お客様の導入計画次第になるとは思いますが、弊社 TAM までご相談ください。

 

必要権限

Azure の有償サブスクリプションオーナーで、管理者権限がある事

 

対象クライアント

次の条件を満たすクライアント

  • Active Directory に参加済み (Azure Active Directory 参加済みや、Workgroup 環境は対象外)
  • インターネットへの接続が可能 (ゲートウェイ経由にする場合は直接接続は無くても可)
  • Windows 7 以降のサービシング期間中

 

手順

  1. サービスハブ (https://serviceshub.microsoft.com/databoard へアクセス)と Log Analytics のリンクを行います
    動画 https://youtu.be/jfEhAh6Dd-c ※一部 旧OMS のままの部分が存在します
  2. Windows エージェントのインストールを行います (Windows クライアント アセスメントでは通常ゲートウェイの設定は必要ありません)
    動画 https://youtu.be/2K58eMxXKAU ※一部旧 OMS のままの部分が存在します
    (ゲートウェイの設定も必要な場合は、https://youtu.be/9bzGPMriezs ※一部旧 OMS のままの部分が存在します)
  3. Windows クライアント アセスメントのための設定
    動画 https://aka.ms/Windows_Client_Assessment

 

これらを簡潔にまとめると

  1. サービスハブへアクセス
  2.  [正常性] - [評価] から [Windows Client] をクリックて追加します


    追加が完了すると次のように表示されます
  3. Log Analytics ワークスペースとの関連付けを行います (初回のみ)
    2 回目以降は、プロファイルの [OMS ワークスペースの編集] から関連付けの画面に戻る事が可能
  4. OMS へは最後の段階で表示されるリンクをクリック
  5. Log Analytics にアクセスし、ワークスペースを選択し、[詳細設定]をクリック-> Connected Sources の Windows Servers から、Windows エージェントをダウンロードし、セットアップを行って、Log Analytics に接続するようにワークスペースIDと主キーを使って構成します
  6. PowerShell を起動して、Enable-PSRemoting を実行
  7. 次のポリシーを有効にする。 [コンピューターの構成]->[管理テンプレート]->[システム]->[ユーザー プロファイル]->[ユーザーのログオフ時に強制的にユーザー レジストリをアンロードしない]
  8. PowerShell を起動して、Add-WindowsClientAssessmentTask を実行する事で、タスクスケジューラにタスクが作成されます

    タスクはコマンドを実行した1時間後から 7日間おきに自動的に実行されるようにスケジュールされるので必要に応じて変更します

 

データ収集後

Log Analytics に上がったデータは約  4  時間ほどで見えるようになります。



このように内容はすべて英語になります。この段階で次のようにサービス ハブにも反映されます。

 

最新情報: Microsoft Partner Network の 2018 年 6 月の情報まとめ【6/30 更新】

$
0
0

パートナー様必見の 6 月のアップデートが更新されていますのでお知らせします。お時間のある時にぜひご覧ください。

閲覧には MPN アカウントでログインが必要なものもありますのでご注意ください。

 

[イベント] … パートナー様向けイベント情報
[セミナー] … パートナー様向けセミナー情報
[トレーニング] … スキルアップ支援情報
[セールス] … 営業/マーケティングご担当者向け情報
[テクニカル] … 技術者向け情報

[サポート] … サポート情報
[製品] … 製品情報
[ライセンス] … ライセンスに関する情報
[プログラム] … パートナーネットワークに関する情報

6 月

 

 

過去の毎月の最新情報はこちらをご参照ください。

▼ マイクロソフト最新情報

▼ 過去のニュースはこちらから

 

 

 

Top Contributors Awards! ASP.NET Core 2.0: CRUD Using Angular 5 And ADO.NET and many more!

$
0
0

Welcome back for another analysis of contributions to TechNet Wiki over the last week.

First up, the weekly leader board snapshot...

 

As always, here are the results of another weekly crawl over the updated articles feed.

 

Ninja Award Most Revisions Award
Who has made the most individual revisions

 

#1 Dave Rendón with 70 revisions.

 

#2 George Chrysovaladis Grammatikos with 61 revisions.

 

#3 RajeeshMenoth with 40 revisions.

 

Just behind the winners but also worth a mention are:

 

#4 Mohsin_A_Khan with 37 revisions.

 

#5 Kapil.Kumawat with 14 revisions.

 

#6 Peter Geelen with 13 revisions.

 

#7 AnkitSharma007 with 11 revisions.

 

#8 HansamaliGamage with 10 revisions.

 

#9 Richard Mueller with 9 revisions.

 

#10 Av111 with 8 revisions.

 

 

Ninja Award Most Articles Updated Award
Who has updated the most articles

 

#1 RajeeshMenoth with 33 articles.

 

#2 Mohsin_A_Khan with 26 articles.

 

#3 Dave Rendón with 22 articles.

 

Just behind the winners but also worth a mention are:

 

#4 Kapil.Kumawat with 8 articles.

 

#5 Richard Mueller with 7 articles.

 

#6 AnkitSharma007 with 6 articles.

 

#7 Peter Geelen with 3 articles.

 

#8 Ramakrishnan Raman with 2 articles.

 

#9 .paul. _ with 2 articles.

 

#10 George Chrysovaladis Grammatikos with 2 articles.

 

 

Ninja Award Most Updated Article Award
Largest amount of updated content in a single article

 

The article to have the most change this week was FIM 2010 & MIM 2016: Management Agents from Partners, by Brjann Brekkan

This week's reviser was KKVD

 

 

Ninja Award Longest Article Award
Biggest article updated this week

 

This week's largest document to get some attention is ASP.NET Core 2.0: CRUD Using Angular 5 And ADO.NET, by AnkitSharma007

This week's reviser was AnkitSharma007

 

 

Ninja Award Most Revised Article Award
Article with the most revisions in a week

 

This week's most fiddled with article is .NET Core: Building Function app with Microsoft Graph API and Azure Functions, by HansamaliGamage. It was revised 10 times last week.

This week's revisers were HansamaliGamage & Peter Geelen

 

 

Ninja Award Most Popular Article Award
Collaboration is the name of the game!

 

The article to be updated by the most people this week is TechNet Guru Competitions - June 2018, by Peter Geelen

This week's revisers were Ramakrishnan Raman, Av111, RajeeshMenoth, HansamaliGamage, AnkitSharma007, Vishal Jharwade & Kareninstructor

 

The article to be updated by the second most people this week is SQL Server Troubleshooting: How to detect and speedily fix SQL Database corruption , by dani671

This week's revisers were Dave Rendón, RajeeshMenoth, Peter Geelen, Kapil.Kumawat & Robin Shanab

 

 

Ninja Award Ninja Edit Award
A ninja needs lightning fast reactions!

 

Below is a list of this week's fastest ninja edits. That's an edit to an article after another person

 

Ninja Award Winner Summary
Let's celebrate our winners!

 

Below are a few statistics on this week's award winners.

Most Revisions Award Winner
The reviser is the winner of this category.

Dave Rendón

Dave Rendón has been interviewed on TechNet Wiki!

Dave Rendón has won 39 previous Top Contributor Awards. Most recent five shown below:

Dave Rendón has TechNet Guru medals, for the following articles:

Dave Rendón has not yet had any featured articles (see below)

Dave Rendón's profile page

Most Articles Award Winner
The reviser is the winner of this category.

RajeeshMenoth

RajeeshMenoth has been interviewed on TechNet Wiki!

RajeeshMenoth has won 49 previous Top Contributor Awards. Most recent five shown below:

RajeeshMenoth has TechNet Guru medals, for the following articles:

RajeeshMenoth has not yet had any featured articles (see below)

RajeeshMenoth's profile page

Most Updated Article Award Winner
The author is the winner, as it is their article that has had the changes.

Brjann Brekkan

Brjann Brekkan has featured articles on TechNet Wiki!

Brjann Brekkan has won 2 previous Top Contributor Awards:

Brjann Brekkan has not yet had any interviews or TechNet Guru medals (see below)

Brjann Brekkan's profile page

Longest Article Award Winner
The author is the winner, as it is their article that is so long!

AnkitSharma007

AnkitSharma007 has won 3 previous Top Contributor Awards:

AnkitSharma007 has TechNet Guru medals, for the following articles:

AnkitSharma007 has not yet had any interviews or featured articles (see below)

AnkitSharma007's profile page

Most Revised Article Winner
The author is the winner, as it is their article that has ben changed the most

HansamaliGamage

Hansamali has been interviewed on TechNet Wiki!

Hansamali has won 18 previous Top Contributor Awards. Most recent five shown below:

Hansamali has TechNet Guru medals, for the following articles:

Hansamali has not yet had any featured articles (see below)

Hansamali's profile page

Most Popular Article Winner
The author is the winner, as it is their article that has had the most attention.

Peter Geelen

Peter Geelen has been interviewed on TechNet Wiki!

Peter Geelen has featured articles on TechNet Wiki!

Peter Geelen has won 220 previous Top Contributor Awards. Most recent five shown below:

Peter Geelen has TechNet Guru medals, for the following articles:

Peter Geelen's profile page

 

dani671

dani671 has won 2 previous Top Contributor Awards:

dani671 has not yet had any interviews, featured articles or TechNet Guru medals (see below)

dani671's profile page

Ninja Edit Award Winner
The author is the reviser, for it is their hand that is quickest!

Mohammad Nizamuddin

Mohammad Nizamuddin has been interviewed on TechNet Wiki!

Mohammad Nizamuddin has won 11 previous Top Contributor Awards. Most recent five shown below:

Mohammad Nizamuddin has TechNet Guru medals, for the following articles:

Mohammad Nizamuddin has not yet had any featured articles (see below)

Mohammad Nizamuddin's profile page

 

 Says: Another great week from all in our community! Thank you all for so much great literature for us to read this week!

Please keep reading and contributing, because Sharing is caring..!!

 

Best regards,
— Ninja [Kamlesh Kumar]

 

Viewing all 34890 articles
Browse latest View live


<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>