With the passing of time, things change. It's inevitable. In IT, this seems to be even more accelerated than the "real world" and very little if anything can remain static and relevant at the same time. Some historians believe that purging these "dead" artefacts from the digital world may be detrimental to our future generations. Unlike stone tablets, papyrus and books that provide contextual reference and cross-correlation, this won't be the case for the untold amounts of digital information that are deleted. Those helpful hints, snippets of conversation, banter, etc. are just gone, leaving holes in the connectivity of our cumulative history.

Wait... This is supposed to be a technical blog with the occasional personal spin. Where is my brain?!?!

After that weird little tangent I have to refocus on the issue at hand and it basically comes down to this...

For a number of reasons (that will eventually come to light), I'm moving my stuff to my personal WordPress site, AntGut.WordPress.com. See ya there!!!

Hello to all of our outstanding readers! Brandon Wilson here once again to give you, yep you got it, yet another pointer to some more new network feature information from the Windows Core Networking team on the Top 10 networking features in Windows Server 2019. This time around, they are covering DPDK (Data Plane Development Kit) in Windows Server 2019, and its an interesting read! Here is some initial information straight from the product group:

"Top 10 Networking Features in Windows Server 2019: #2 Propelling broadcast video with DPDK on Windows

https://blogs.technet.microsoft.com/networking/2018/09/12/windowsdpdk4broadcasting/

As the world moves from HD to 4K and other high-resolution media formats (e.g. 8K), media broadcasters are pioneering a transition to an IP-based infrastructure. Designing for the future, this transition requires high bandwidth and low latency networking re-architecture, not to mention state of the art GPU drivers. We recently announced the availability of Data Plane Development Kit (DPDK) libraries on Windows to provide user mode applications fast packet processing capabilities, bypassing the host networking stack.

To this end, we are pleased to announce a partnership with Cisco and Intel to accelerate this transition in the media industry, by bringing Windows DPDK to Cisco's media software package called virtual Media Interface (vMI).  Now, Windows Server with DPDK's express data path and wealth of GPU drivers becomes the platform of choice for delivering next gen media formats and other user-mode applications!

"

As always, if you have comments or questions on the post, your most direct path for questions will be in the link above.

Thanks for reading, and we'll see you again soon!

Brandon Wilson

Hello again everyone! Christopher Scott, Premier Field Engineer here. Recently I have started publishing some of my PowerBi report templates and received some positive feedback, so I decided to keep them going. This next template was designed to provide data insights into a filtered System Center Configuration Manager (SCCM) collection. Below is a detailed summary of each page as well as some important configurations and the download links for the template and PowerBI desktop.

These reports are scoped by collection so that they can be generated for individual organizationscollection owners that fall under a larger entity.

• Template can be downloaded from
  
  • https://gallery.technet.microsoft.com/SCCM-Collection-Specific-1572746a
• PowerBI Desktop can be downloaded for free from
  
  • https://powerbi.microsoft.com/en-us/downloads/
    

Important Configurations:

Data-Source Parameters:

• If you are importing from the template file:
  • you will be prompted for the "SCCM_SQL_Instance", "SCCM_DB", "CollectionID" and "AV_Software". Fill these fields with the appropriate SQL Information, SCCM Collection ID and Antivirus Software information for your environment and click ok.
• If you are using the PBIX file:
  • Once you open the PowerBI file the first thing you will need to do is configure the data source by editing the parameters. You can do this simply by clicking the "Edit Queries" button ion the Home Toolbar and then select "Edit Parameters"

• Replace the "SCCM_SQL_Instance", "SCCM_DB", "CollectionID" and "AV_Software" fields with the appropriate SQL Information, SCCM Collection ID and Antivirus Software information for your environment and click ok. Click ok to continue and Run to allow the Native queries to run and import the data.

Report Previews:

• Page 1 is an Overview page for client imaging dates. The bar graph and corresponding table give a visual timeline of when clients were imaged over a period of time. The Date slider on the top left can be used to filter that period to a specific range. On the bottom right, I've added a last refresh timestamp to ensure the data is an accurate reflection of the environment.
• This report page is generally used to determine when clients should be refreshed.

• Page 2 shows the Update Compliance for the collection specified against each Software Update Group assigned to it. On this page starting from the top left I provide a count of systems in the collection and the number of devices reporting as non-compliant (In terms of Update Compliance only), Those numbers are broken down to provide a percentage calculation for quick insight. Also on the left hand side is a table of clients and the Antivurus versions (or Definition versions) installed on each client. Lastly on the left hand side is the number of machines reporting to SCCM as Unknown. These are machines that little or no inventory and usually have been powered off or disconnected for extended periods, but not limited to those situations.
• Inside the Box 1 (The Top outlined box pane) I break down the overall Deployment status with a summarized compliancy table and pie chart. Box 2 (The bottom outlined box pane) provides detailed deployment status first summarzied in the pie chart and then broken out in the graph by individual deployment.
• This has been a favorite for my customers as it provides a high level insight into the compliance of the desired collection.

I hope this report gives you the necessary data points to empower your organization. Please feel free to comment below with any feedback or ideas that you would like to see templated or improved.

Need to develop or expand your technical muscle for building Teamwork solutions? Attend one of the new technical webinars, available to you as a Partner Network member at no cost!

New technical webinars:

• Introduction to Microsoft 365 App Launcher – Understand how to utilize the Office 365 App Launcher and dive deeper into forms, flow, and stream. (English-October 8, October 16; Chinese-October 30

• Introduction to Microsoft Teamwork Solutions – Discover how to position Microsoft Teamwork solutions to customers, including deployment and production pilot strategies. (English-October 2, October 11, October 25; Russian-October 25)

• Adopting Microsoft Teamwork Solutions: Deploying and Managing Teams – Gain a technical perspective on preparing Exchange Online and SharePoint Online infrastructures to support Microsoft Teams. (English-October 11, October 18, October 23-America, October 23-London)

• Adopting Microsoft Teamwork Solutions: Securing Teams – Gain a technical perspective on preparing Exchange Online and SharePoint Online infrastructures to support Microsoft Teams. (English-October 24, October 30)

Can’t make those dates work? Additional dates/times will be added to the titles above. Check back often!

Take a look at the full technical journey available to help you build your Teamwork practice by connecting with Microsoft Partner Technical Consultants remotely through technical webinars and technical consultations at aka.ms/TeamworkTechJourney. (The new webinars will be added to the partner website on October 1)

Skype for Businessの各サービス(Skype for Business Server, Lync ServerおよびSkype for Business Online)利用に関し、TLS 1.0/1.1による接続につき2018年10月31日をもってサポート対象外になる事に伴い、TLS 1.2へ移行を促すために以下のSkype for Businessクライアントバージョン以降のクライアントを使用する旨の案内が出ています。

• Lync 2013 (Skype for Business) デスクトップクライアント (MSI 形式またはClick to Run 形式)、Lync Basic も同様 ビルド0.5023.1000 以上
• Skype for Business 2016 デスクトップクライアント (MSI 形式) ビルド 0.4678.1000 以上、 Skype for Business 2016 Basic も同様。
• Skype for Business 2016 Click to Run 形式は下記の April 2018 更新プログラムが必要:
  • Monthly and Semi-Annual Targeted – ビルド16.0.9126.2152 以上
  • Semi-Annual and Deferred Channel – ビルド16.0.8431.2242 以上
• Skype for Business on Mac 16.15 以上
• Skype for Business for iOS または Android ビルド6.19 以上

2018年10月31日時点でTLS 1.2に対応していないクライアントを使用している場合に、2019年の早い段階で本格的に接続が出来なくなる可能性があります。当該バージョンを満たしていないクライアントを使用されているお客様へは、早期にバージョンアップを実施頂く旨お伝え頂けます様、よろしくお願いいたします。

詳細情報

• Preparing for TLS 1.0/1.1 Deprecation - O365 Skype for Business (英語)

Overview

This guide is also available on my personal blog: https://setupconfigmgr.com/pki-code-signing-certificate-for-third-party-updates-in-microsoft-sccm-scup

In this video guide, we will cover how you can use a code-signing certificate from an Active Directly Certificate Services infrastructure or using a public certificate authority such as DigiCert for signing third-party software updates in Microsoft System Center Configuration Manager (SCCM). Using a trusted PKI based code-signing certificate can be an alternative to using a self-signed certificate.

Video Guide

Topics in Video

• Create the code-signing certificate templates needed for the WSUS singing feature - https://youtu.be/lqapp8j7CHk?t=34
• Issuing the certificate template for deployment - https://youtu.be/lqapp8j7CHk?t=188
• How to request the cert from a machine - https://youtu.be/lqapp8j7CHk?t=206
• Exporting the requested certificate to a PFX file - https://youtu.be/lqapp8j7CHk?t=280
• Review the Configuration Manager 1806 option to allow ConfigMgr to manage the WSUS certificate - https://youtu.be/lqapp8j7CHk?t=327
• Importing PFX file to WSUS using the publishing service - https://youtu.be/lqapp8j7CHk?t=394
• Sync the SUP and review wsyncmgr.log to verify ConfigMgr received the imported code-signing PFX certificate- https://youtu.be/lqapp8j7CHk?t=460
• Add catalog and publish a third-party update to verify the .CAB file is signed using the PFX certificate - https://youtu.be/lqapp8j7CHk?t=536
• Switch to use a third-party code-signing certificate from DigiCert - https://youtu.be/lqapp8j7CHk?t=670
• Verify SCCM switches from using the code-signing certificate from AD CS to DigiCert's code-signing certificate - https://youtu.be/lqapp8j7CHk?t=715

Helpful Resources:

• Publishing Service Download - https://patchmypc.com/publishing-service-setup-documentation
• System Center Updates Publisher Download - https://www.microsoft.com/en-us/download/details.aspx?id=55543
• Enable third-party updates - https://docs.microsoft.com/en-us/sccm/sum/deploy-use/third-party-software-updates
• Automatically manage the WSUS signing certificate - https://docs.microsoft.com/en-us/sccm/sum/deploy-use/third-party-software-updates#automatically-manage-the-wsus-signing-certificate
• Manually manage the WSUS signing certificate - https://docs.microsoft.com/en-us/sccm/sum/deploy-use/third-party-software-updates#manually-manage-the-wsus-signing-certificate
• Manually manage the WSUS signing certificate - https://patchmypc.com/publishing-service-setup-documentation

日本マイクロソフト株式会社 (本社: 東京都港区) は、シャンパン ゴールドの本体色に内部が透けて見えるスケルトン デザインを採用した『Xbox ワイヤレス コントローラー (ファントム ブラック)』を 2018 年 10 月 4 日 (木) より 6,980 円 (税抜参考価格)^*1 で全国のゲーム販売店にて数量限定で発売します。

『Xbox ワイヤレス コントローラー (ファントム ブラック)』は、特徴的な本体デザインに加え、グリップ部分には滑りにくく操作しやすいテクスチャー加工を採用しています。また、Windows 10 搭載 PC やタブレットとワイヤレス接続が可能な Bluetooth を搭載しています。^*2

ゲームの臨場感を表現するリアル トリガー^*3、高い操作性を実現したスティックと方向パッドを操作しやすい位置に配置。お持ちのヘッドセット^*4 などを直接接続できる 3.5mm ステレオ ヘッドセット ジャックを搭載したワイヤレス コントローラーです。

製品基本情報

^*1 お客様の購入価格は、販売店により決定されますので、販売店にお問い合わせ下さい。
^*2 Windows 10 搭載デバイスとの Bluetooth 接続には Windows 10 Anniversary Update の適用が必要です。また、コントローラー本体のファームウェアをアップデートする必要な場合があります。Windows 10 で Xbox ワイヤレス コントローラーを更新する方法については「Windows 10 で Xbox One コントローラーを更新する方法」を参照してください。Windows 7、8.1、または 10 で Bluetooth を使わずに使用する場合は、USB ケーブル (別売) または Xbox ワイヤレス アダプター for Windows (別売)が必要です。
^*3 リアル トリガーは対応したゲームのみ有効です。
^*4 ヘッドセットの互換性に関する詳細は「互換性のあるヘッドセットを接続する | Xbox One」をご参照ください。

執筆者: Visual Studio Team Services

このポストは、2018 年 9 月 10 日に投稿された Postmortem VSTS 4 September 2018 の翻訳です。

2018 年 9 月 4 日の VSTS サービス停止の事後分析

2018 年 9 月 4 日 (火)、VSTS (現在の名称は Azure DevOps) で大規模なサービス停止が発生し、米国中南部リージョン (VSTS をホストする全世界の 10 リージョンの 1 つ) をホストとするお客様に影響がありました。また、サービス間の依存関係により、このサービス停止の影響が世界中のお客様に拡大しました。VSTS のサービス復旧には Azure データセンターの復旧が必要であったため、米国中南部リージョンの VSTS サービスがすべて復旧するまでに 21 時間以上を要しました。VSTS のサービス復旧後には、データベースがオフラインになるというインシデントも発生し、米国中南部リージョンで Release Management サービスが 2 時間ほど影響を受けました。また、Azure ストレージ アカウントの復元中にも断続的に障害が発生し、Git および Package Management のユーザーの一部に影響が出ました。

まず、影響のあったリージョンをホストとしているお客様には、長時間にわたって VSTS サービスが停止しご迷惑をおかけしましたことをお詫び申し上げます。また、世界中のお客様にも影響が及んでしまい、誠に申し訳ございませんでした。今回のインシデントはこれまでに例のないもので、マイクロソフトが 7 年間 VSTS を提供してきた中で最長のサービス停止となりました。まる 1 日、またはそれ以上にわたって生産性が失われることになったチームの皆様には、Twitter、メール、電話でご連絡を差し上げました。お客様の信頼にお応えできなかったことは誠に残念であり、重ねてお詫び申し上げます。

発生の経緯

今回のインシデントは、テキサス州南部の米国中南部データセンター付近で生じた落雷などを含む激しい嵐により発生しました。嵐による電圧低下が電力供給区域全体に拡大し、冷却システムにも波及しました。データやハードウェアの整合性確保を目的としたデータセンターの自動プロシージャが起動し、クリティカルなハードウェアで所定の電源停止プロセスが開始されました。その結果、米国中南部リージョンの VSTS サービスが停止しました。データセンターに対する影響の詳細については、Azure Status (英語) を参照してください。

米国中南部リージョンには、複数のスケール ユニット (SU) で複数の VSTS サービスがホストされています。2018 年 9 月 4 日 9 時 45 分 (UTC)/2018 年 9 月 4 日 18 時 45 分 (日本時間)、データセンターの電源停止プロセスにより、米国中南部リージョンの VSTS の SU がすべて停止しました。

米国中南部リージョンでホストされていた VSTS 組織の他に、Marketplace など、このリージョンでホストされていた全世界の VSTS サービスの一部もこの影響を受けました。これにより、拡張機能 (VS 用や VS Code 用など) の取得不能、全体的な速度低下、ダッシュボード機能でのエラー、米国中南部リージョンに保存していたユーザー プロファイルへのアクセス不能などの現象が世界中で発生しました。

さらに、米国でホストされていた VSTS 組織では Release Management サービスと Package Management サービスが使用できなくなりました。Hosted macOS を使用したビルド/リリース パイプラインのキューでも障害が発生しました。この他、VSTS のステータス ページでは最新情報が表示されなくなりました。これは、このページが米国中南部リージョンのデータを使用していることと、最新情報をお客様にお伝えするための内部ツールを米国中南部リージョンでホストしていることが原因です。

Azure データセンターの復旧後、VSTS のサービスも復旧に向かいました。ほぼすべてのサービスが自己回復しましたが、2 つのサービスは手動での再起動が必要でした。

サービスの回復後、Azure の復旧作業中に Git、Release Management、Package Management のユーザーの一部でも問題が発生しました。VSTS のインシデントは、2018 年 9 月 6 日 0 時 5 分 (UTC)/2018 年 9 月 6 日 9 時 5 分 (日本時間) に収束しました。

VSTS サービスが他のリージョンにフェールオーバーされなかった理由

私たちは、お客様のデータの損失だけは避けたいと考えています。マイクロソフトのデータ保護戦略 (英語) では、Azure SQL Database のポイントインタイム リストア (PITR) バックアップと Azure の geo 冗長ストレージ (GRS) によって 2 つのリージョンにデータを保存することに重点を置いています。これにより、データ主権に関する要件を満たしながら、同一地域内にデータが複製されるようになります。GRS ストレージ アカウントへのフェールオーバーは、Azure Storage チームのみが決定します。仮に今回のサービス停止中に Azure Storage でフェールオーバーが実行されていたとしても、データ損失が発生するくらいならば、VSTS チームは復旧まで待機することを選んだでしょう。

Azure Storage には、サービス停止時の対処方法として、復旧を待機するか、または読み取り専用のセカンダリ コピーのデータにアクセスするかの 2 つの選択肢が用意されています。読み取り専用ストレージを使用した場合、コードのチェックインやビルド出力の保存ができなくなるため (その結果デプロイできなくなるため)、Git や TFVC、ビルドなどの重要なサービスは使用できなくなります。また、バックアップ データベースにフェールオーバーした場合、バックアップが復元されると、バックアップ時の時間差によりデータ損失が発生してしまいます。

現在マイクロソフトでは、データセンターでの障害発生時の対応を改善するために、可用性ゾーンの使用を第一に進めています。そのうえで、非同期レプリケーションが実現性を調査しています。

同一リージョン内の可用性ゾーン

リージョン内の 1 つまたは複数のデータセンターに影響を及ぼす障害はたくさんありますが、それらは Azure に最近導入された可用性ゾーンで対応できます。可用性ゾーンは 2018 年 3 月に一部のリージョンで一般提供を開始し、現在では 5 つのリージョンで提供しています。そのドキュメントに記載されている説明を抜粋してご紹介します。

可用性ゾーンとは高可用性を提供するサービスで、アプリケーションとデータをデータセンターの障害から保護します。可用性ゾーンは Azure リージョン内の一意の物理的な場所であり、それぞれのゾーンは独立した電源、冷却手段、ネットワークを備え、1 つ以上のデータセンターで構成されます。回復性を確保するために、可用性ゾーンが有効なリージョンすべてに個別のゾーンが最低 3 つ存在しています。可用性ゾーンはリージョン内で物理的に分離されているため、データセンターで障害が発生した場合でもアプリケーションとデータが保護されます。ゾーン冗長サービスによって複数の可用性ゾーンにアプリケーションとデータが複製されるため、単一障害点への対策となります。

可用性ゾーンは、今回米国中南部リージョンが影響を受けた落雷などのインシデントからの保護を目的として設計されています。データセンターが互いに近接しているため、待機時間の短さと高帯域幅の接続によって、1 つのリージョン内での同期レプリケーションを実現しています。たとえば、Azure SQL Database はゾーンをまたいでノードを展開できます。可用性ゾーンを使用すれば、リージョン全体でサービスが停止しない限り、そのリージョンの VSTS サービスは継続されます。

リージョン間での同期レプリケーション

リージョン間で同期レプリケーションを行うには、永続データ書き込みの呼び出しに対して応答を返す前に、両リージョンの永続データに変更をすべてコミットする必要があります。変更がコミットされたデータが両リージョンに確保され、フェールオーバーしてもデータ損失が発生しないため、一見するとこの手法は理想的なように思われます。

しかし、リージョン間の同期レプリケーションは、実際には容易ではありません。たとえば、米国中南部リージョンのペアは米国中北部リージョンですが、たとえ光の速さで通信しても、一方のデータセンターから他方のデータセンターに到達し元のデータセンターに応答が返されるまでには一定の時間を要します。ラウンド トリップの待ち時間は、書き込み処理のたびに積み上がっていきます。米国中南部リージョンと米国中北部リージョン間のラウンド トリップ時間は、約 70 ミリ秒です。一部の主要サービスにとってこれは長過ぎであり、さまざまな要因からマシンの速度低下やネットワーク障害につながります。異なる 2 つのリージョンそれぞれに一連のサービスが存在し、書き込みを行うたびに両方のサービスでデータが正常にコミットされて応答が返されなければその書き込みは成功しないため、速度低下や障害が発生する可能性は倍になります。そのため、可用性を犠牲にする (セカンダリへの書き込みのコミットを待機している間は処理を保留する) か、次善の策として非同期レプリケーションを行うしかありません。

リージョン間での非同期レプリケーション

すべての書き込みを両リージョンに常に同期的にコミットするという要件を緩和するとしたら、セカンダリ リージョンへのデータ書き込みを非同期で実行することになります。これは、同期書き込みに代わる次善の策です。非同期コピーを高速で実行できれば、通常の条件下では、プライマリとセカンダリに同時にデータが書き込まれる同期レプリケーションと実質的に同等の効果が得られます。

全体のまとめ

マイクロソフトは今後の計画として、可用性ゾーンを使用してリージョン内の障害に対応することにしており、VSTS で可用性ゾーンを使用できるようにするための作業を開始しました。可用性ゾーンは現在 5 つのリージョンでサポートされています。今後は提供地域が拡大される予定ですが、米国中南部リージョンを含め、VSTS サービスをホストしているリージョンの一部では可用性ゾーンがまだサポートされていません。サポートされている地域にサービスを移行する必要がありますが、それには時間がかかります。現時点で可用性ゾーンがサポートされていない地域については、データ主権の要件に準拠する必要があることから、VSTS サービスの移行は行いません。このため、これらの地域の VSTS サービスは、今回の米国中南部リージョンのようなインシデントが発生すると、サービスが停止する可能性があります。

速さが求められるサービスすべてにおいてリージョン間の同期レプリケーションを完全に実現し、フェールオーバーを実行してもデータ損失が一切発生しないようにすることは不可能です。マイクロソフトの目標は、優れたパフォーマンスと高可用性という相反する目的をバランスを取りながら両立させることです。

リージョン レベルで発生する障害への対応は難しい問題です。今のところ、リージョン間でのデータの非同期レプリケーションは実現性を調査している段階です。Azure SQL Database では、アクティブ geo レプリケーションを採用しています。Azure Storage では、すべての書き込み処理でプライマリ リージョンとセカンダリ リージョンの両方に非同期でデータを書き込んでおり、フェールオーバー時にはセカンダリ リージョンのセカンダリ コピーを使用できます。通常は Azure Storage の標準の SLA が適用されますが、GRS ではその SLA は適用されません。となれば、フェールオーバー時にコンピューティングなどのリソースをペアとなるデータセンターにプロビジョニングするか、または常にウォーム スタンバイ状態で待機させておくことが必要になります。

以上のことから、データ損失が発生するにしても、どのタイミングで他のリージョンにフェールオーバーするかという問題を解決する必要があります。基本的には、データ損失を許容していただくかどうかの選択をお客様に強いることは避けたいと考えています。多少のデータ損失が発生してでも大規模なチームの生産性を迅速に回復したいというお客様もいれば、復旧に長時間かかってもデータ損失がまったく発生しないようにしたいというお客様もいらっしゃいます。また、このような状況では、サービス停止がどの程度続くかについて詳細な情報を得られないまま意思決定を下さなければならないという問題もあります。復旧までの時間を正確に予測することは非常に困難であり、また楽観的な予想を立ててしまいがちです。

いずれにせよお客様のご要望にお応えするためには、サービスが停止した場合にそのリージョンの組織をフェールオーバーするかどうかをお客様にお選びいただけるようにするしかありません。マイクロソフトでは、そのような選択肢の提供方法について調査を開始しており、セカンダリが最新状態であるかを通知する方法や、プライマリ データセンターが復旧した場合に手動での調整が可能かどうかについても検討しています。その結果しだいで、リージョン間の非同期フェールオーバーを実装するかどうかが決まります。調査はまだ始まったばかりであり、今のところ実現性は不明です。

その他の問題

今回のインシデントで発生したその他の問題について、簡単に説明します。

影響の拡大: 米国中南部リージョンのサービスの一部は、他のリージョンの VSTS サービスに機能を提供しています。米国中南部リージョンの Release Management (RM) サービスは、米国全土の RM ユーザーのメイン ホストとなっています。Marketplace サービスは単一インスタンス サービスで、VS、VSTS、VS Code のユーザーに拡張機能を提供しています。先に述べたように、これらのサービスについては、可用性ゾーンをサポートするリージョンへの移行を進めてまいります。

パフォーマンスの低下: ユーザー プロファイルの提供を担当する「ユーザー サービス」というサービスがあり、それぞれのユーザーは世界各地に複数存在するユーザー サービス インスタンスのいずれか 1 つに割り当てられています。今回、インシデント発生中に米国中南部リージョンのユーザー サービスを呼び出すサービスの停止が遅れました。通常は、この呼び出しをラップしているサーキット ブレーカーが開いてすばやく停止し、グレースフル デグラデーションを適用したエクスペリエンスが提供されますが、あいにく URL パターンが異なることからユーザー サービス インスタンスの呼び出しすべてをこのブレーカーがラップしているため、失敗率が低すぎてブレーカーが開きませんでした (米国中南部リージョンへの呼び出しだけが失敗し、ほとんどの呼び出しは成功していました)。その結果、他のリージョンのお客様も、ユーザー プロファイルが米国中南部リージョンでホストされている場合は Web UI の速度が著しく低下しました。そこで、インシデント発生中のパフォーマンスに対する影響を排除するために、サーキット ブレーカーを手動で開き、すべてのユーザーのプロファイル エクスペリエンスを停止させました。現在マイクロソフトでは、このユーザー サービスの呼び出しに関連するサーキット ブレーカーの仕様を見直し、対象とする範囲が特定のインスタンスに限定されるよう変更しています。この他、ユーザー設定を取得する処理が過度に再試行されたことにより、インシデント発生中にユーザー エクスペリエンスに速度低下が見られました。

ダッシュボードのエラー: 拡張機能の URL を取得する Marketplace サービスへの重要度の低い呼び出しが原因となって、他のリージョンのユーザーのダッシュボードでエラーが発生しました。この部分はグレースフル デグラデーションでのテストが実施されていなかったため、ダッシュボードのフォールト挿入テストのスケジュールを組み、早急にテストを開始してまいります。

サービスのステータス表示が不正確に: 米国中南部リージョンの Azure Storage への依存のせいで、インシデント発生直後の数時間は、サービスのステータスを更新できませんでした。これを受けて、既に新しいサービス ステータス ポータルの構築に動いています。リージョン内でのサービス停止に対する回復性を向上させるだけでなく、サービス停止中の通信方法を改善し、お客様がご自身の組織のステータスをもっと容易に確認できるようにしてまいります。また、インシデントの初期に発生していた Azure AD の問題により、コミュニケーション ツールで使用される資格情報の取得にも問題が発生していました。

サービス開始時の問題: 復旧時に、サービスをホストしている仮想マシン (VM) の一部は実行されていましたが、受信負荷に十分に対応できませんでした。VM の正常性を監視する VssHealthAgent というプロセスを確認したところ、VM が正常ではないと判断されたため、ロード バランサーから 1 つずつ切り離して診断情報を収集し、再起動してロード バランサーに再度組み入れました。この一連の手順は、切り離す VM は 1 回に 1 台のみ、メモリ ダンプの収集は 1 時間に 1 回以下と定められていますが、今回のインシデントですべての AT が長時間にわたって過負荷状態となったため、タイミングに関する問題が発生しました。これにより、ロード バランサーに VM が再び組み入れられた後すぐにメモリ ダンプ収集プロセスが再実行されました。このバグは既に修正が完了し、今回のようなパフォーマンス低下状態が継続している間にインスタンスがロード バランサーから切り離される回数が制限されるようになりました。この問題の影響は小規模なものでしたが、自動軽減策に固有の問題の一事例として記録されました。

今後のステップ

マイクロソフトでは今回のインシデントで得られた教訓を基に、次のような改善を行っています。

1. 可用性ゾーンがサポートされている地域では、リージョン内でのデータセンターの障害に対する回復性を持たせるために、Azure 可用性ゾーンに対応しているリージョンにサービスを移行します。
2. リージョン間での非同期レプリケーションが実現可能かどうかを検討します。
3. マイクロソフト自身の組織を使用して、VSTS サービスのリージョン間でのフェールオーバーの訓練を定期的に実施します。
4. 内部ツールの冗長性を強化し、複数リージョンで使用できるようにします。
5. Marketplace への呼び出しの失敗がダッシュボードの利用不能につながるというダッシュボードの不具合を修正しました。
6. サービス間の呼び出しのサーキット ブレーカーを見直し、対象範囲を是正します (ユーザー サービスの呼び出しの問題で発覚)。
7. 今回のインシデントで発覚した、現行のフォールト挿入テストの欠陥を見直します。

今回のインシデントにより非常に長い時間にわたってサービスが停止したことを改めてお詫び申し上げます。

今後ともマイクロソフトのサービスをご利用くださいますよう、よろしくお願い申し上げます。

Buck Hodges (@tfsbuck)

Azure DevOps 担当エンジニアリング ディレクター

The Microsoft Teams app for Surface Hub is now available for all Surface Hubs.

The app was originally made available a few months ago for members of the Windows Insiders Program, and we have now released it for all Surface Hubs running Windows 10 Team Edition OS 1703.15063.1292 (KB4343889, August 30, 2018) or later.

The Microsoft Teams app for Surface Hub, downloadable from the Microsoft Store or from the Microsoft Store for Business, brings the Microsoft Teams meetings experience, including one-touch join and up to four incoming video streams, as requested by many members of our community.

One of the questions we were asked a lot when we tested this app, was: “What happens to the Skype for Business client on the Surface Hub, and does having the Microsoft Teams app cancels the Skype for Business client?”
We made sure you can use both on the Surface Hub. Whether you’re in the process of testing Microsoft Teams in your organization or in the middle of a migration, or maybe you’re already using Microsoft Teams and would still like to preserve your ability to join Skype for Business meetings for the Surface Hub, you can setup the Microsoft Teams app to work in one of the following three modes:

• Mode 0 - Keep as is. 
  Use this mode if your organization still uses Skype for Business primarily, but you want the ability to join Microsoft Teams meetings from Surface Hub.
• Mode 1 - Microsoft Teams Hybrid.
  The Microsoft Teams ‘Call’ tile will appear on the Welcome Screen.
  The Microsoft Teams tile on the Start Menu will replace the default Skype for Business tile and will show the Microsoft Teams client when launched. You will also see the one-touch ‘Join’ button to join scheduled Microsoft Teams meetings.
  Scheduled Skype for Business meetings will launch the Skype for Business client when you hit the one-touch ‘Join’ button for Skype for Business meetings.
  Use this mode if you’re transitioning to Microsoft Teams from Skype for Business and/or your organization uses Microsoft Teams primarily, but you want the ability to join Skype for Business meetings.
• Mode 2 - Microsoft Teams.
  The Microsoft Teams tiles are displayed on the Welcome Screen and Start Menu. All Skype for Business functionalities are disabled.
  Use this mode if you’re only using Microsoft Teams.

How should you prepare?

Update

Check your Surface Hub’s update history to confirm that KB4343889 is installed.
If it isn’t, check for new updates from Windows Update and install it.

Download

The Microsoft Teams app for Surface Hub does not install as part of Windows Update - It’s a Windows store app and can be downloaded from the Windows Store directly to your Surface Hub or pushed from the Windows Store for Business via Intune.

Configure

Installing the app itself will not trigger any change. Similar to the existing Skype for Business client, it becomes part of the Windows 10 Team Edition OS and will need additional configuration to set the desired mode as described earlier in this post. You should not launch the app from the Windows Store app on the Surface Hub.

Locally:

We created three provisioning packages, one for each mode respectively. Download the package that suits your desired configuration to a USB stick and add it to your Surface Hub;
From the Surface Hub settings app, go to Surface Hub, Device Management, and choose “Add or remove a provisioning package”:

Click “Add a package” and add the package for your desired mode: 

• Mode 0 – Skype for Business with Microsoft Teams functionality for scheduled meetings.
• Mode 1 – Microsoft Teams with Skype for Business functionality for scheduled meetings.
• Mode 2 – Microsoft Teams only.

Note: Previously installed packages may already be displayed in this screen.

Centrally:

If using Intune , Create a new Device Configuration Profile for the Microsoft Teams app. There are two dedicated CSPs we're using to configure the app on the Surface Hub. Both must be configured present on the Surface Hub for the Teams app to work:

./Vendor/MSFT/SurfaceHub/Properties/SurfaceHubMeetingMode is the CSP that replaces the .ppkg files you'll be using if you're manually installing the app. The setting comes with the values of 0, 1 or 2 as described above.

The Data type for this setting is Integer and you can choose the values 0, 1 or 2 as illustrated in the following image:

The next CSP is ./Vendor/MSFT/SurfaceHub/Properties/VtcAppPackageId, representing the app ID that's replacing Skype for Business. The value for this CSP is always Microsoft.MicrosoftTeamsforSurfaceHub_8wekyb3d8bbwe!Teams
The Data type for this CSP is String. Copy and paste the value from the line above as illustrated in the following image:

If using another MDM solution that supports SyncML, use the following sample to push the configuration:

<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>SurfaceHubMeetingMode</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/SurfaceHub/Properties/SurfaceHubMeetingMode</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<Replace>
<CmdID>VtcAppPackageId</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/SurfaceHub/Properties/VtcAppPackageId</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data>Microsoft.MicrosoftTeamsforSurfaceHub_8wekyb3d8bbwe!Teams</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>

A Restart of the Surface Hub is required after adding a provisioning package or after pushing the configuration via Intune.

Hello All,

As you dive further into your O365 tenant and look to start rolling out the services you will have to work with your security officers to insure that you are compliant with that group.

Microsoft has provided several resources

1. Microsoft Trust Center
2. Penetration Testing Rules of Engagement
3. Microsoft Cloud Bounty Program

For an example if you look at the Microsoft Trust Center it contains a long list of audit reports that cover both O365 and Azure, with more reports beings added every week.  And looking at the Penetration Testing Rules of Engagement it will help you understand what you can and cannot do during Penetration testing…but hold it why would you not let me doing certain steps  in pen testing that I already perform in my Enterprise?  What you have to remember is that you are on shared hardware and shared networks and as you want others to not ruin your experience and thus we expect you not to ruin others experience, what this means is there are certain tests that cannot be performed as they potentially could cause performance or security issues.

More information to look at:

1. Microsoft Bounty Program - Cloud
2. Microsoft Cloud Red Teaming

Wow…you mean you can get paid for hacking Microsoft.  Well yes but you have to record it, report it, and make sure you provide an eligible submission.

If you look at the Red Teaming whitepaper it discusses Microsoft’s strategy and execution of Red Teaming and live site penetration testing against Microsoft managed cloud infrastructure, services and applications. You will learn how Microsoft simulates real-world breaches, conducts continuous security monitoring and practices security incident response to validate and improve the security of Microsoft Azure and Office 365.

Pax

I've run into this scenario several times, and I wanted to share a common cause for this situation (as well as how to fix it!).

Consider the following scenario:

You previously migrated a user mailbox from On-Premises to Exchange Online. Sometime later, the Exchange Online license was removed and the license was left off the user for more than 30 days.

or

You previously migrated a user mailbox from On-Premises to Exchange Online and never applied a license. No license was applied for more than 60 days.

Both of these scenarios result in the mailbox being disconnected. In the first case, the mailbox is disconnected immediately, but the mailbox remains in a special hidden state in the database for 30 days. After 30 days, the mailbox is purged from the database, and is no longer recoverable. In the second case, the mailbox remains active for 30 days, during the "grace period". After 30 days with no license, the mailbox is disconnected by a process called "License Reconciliation". This is just a fancy term for Azure running a process against unlicensed users and signaling each service to take the appropriate steps. For Exchange Online, License Reconciliation means we have an unlicensed mailbox, and the action taken is to disconnect the mailbox.

In any event, the net result is a mailbox that gets disconnected and later purged.

Where the problem rears its ugly head is if you end up deciding to apply an Exchange Online license later on. You are probably thinking "Hey, if I apply an Exchange Online license, I'll get a new mailbox no problem!" That would seem to be logical, but unfortunately logic doesn't always prevail and in this case, no mailbox is provisioned.

You see, when a mailbox is migrated from On-Premise to Exchange Online, the value of the attribute msExchRemoteRecipientType gets updated to reflect that the mailbox was migrated. You can see this with the Get-RemoteMailbox output from On-Premises Exchange Management Shell.

A RemoteRecipientType of Migrated equates to a value of 4. The AD attribute is msExchRemoteRecipientType.

Anyways, back to our story. When the RemoteRecipientType value is set to Migrated, Exchange Online will never provision a *New* mailbox, no matter how hard you try. You could say that is a failing on the part of Exchange Online. After all, the service should do what you tell it, right?

So how do we fix this? And before you ask, NO it isn't as easy as just editing the msExchRemoteRecipientType attribute value in AD (I tried! It doesn't work!)

I put together the following steps to get you out of this situation.

1. Set the Powershell Format enumeration limit to unlimited (to ensure no attribute values are cut off)
   $formatenumerationlimit = -1
   For those not familiar, the Exchange Management Shell has an enumeration limit which can result in some values being cut off, which is evidenced by the trailing …) at the end of a value.
2. Get-RemoteMailbox “user identity” | fl
   This is so you have a record of all current attributes. If you want to save it to a text file or CSV or something else, knock yourself out.
   
3. Disable-RemoteMailbox
   This will remove all Exchange attributes (including Archive guid)
4. Run Dirsync delta sync from your AAD Connect server
   Start-ADSyncSyncCycle -PolicyType delta
   This will sync and remove the Exchange Online Mailuser
5. Enable-RemoteMailbox “user identity” -RemoteRoutingAddress user@contoso.mail.onmicrosoft.com
   This will set the remote recipient flags to "ProvisionMailbox" and the Exchange Guid will be blank (all 0's)
6. Run Dirsync delta sync.
   Start-ADSyncSyncCycle -PolicyType delta
   Since the Exchange guid is no longer populated, as long as the Exchange Online license is assigned a new mailbox will be provisioned. HALLELUJAH!
7. Optionally, provision an Archive mailbox
   Enable-RemoteMailbox "user identity" -Archive
   *Note* - if a previous archive guid was present, and the archive mailbox still somehow exists, you may see a provisioning error referencing not being able to disable the old archive guid. If you encounter this error, you can try setting the archive guid on the remote mailbox to the old one.
   The validation error can be exposed to you in PowerShell by running the following command from MSOL PowerShell
   (Get-MsolUser -UserPrincipalName upnofuser).errors.errordetail.objecterrors.errorrecord.errordescription
   If there is a validation error, and it is the archive, it will show you the new archive guid and the old one.
8. Set-RemoteMailbox “user identity” -ArchiveGuid “old archive guid”After confirming that the Exchange Online mailbox is successfully provisioned, you can stamp the Exchange Guid on the on-premises Remote mailbox object. This is really only required if you think you might have to Offboard the mailbox back to On-Premises, but I like to set it for the sake of being consistent.
9. Set-RemoteMailbox “user identity” -ExchangeGuid “Exchange guid value from new Exchange Online mailbox”
10. Re-stamp any attributes that were previously stamped, such as custom attributes, or additional email addresses (compare with the Get-RemoteMailbox from step 2)

It is entirely possible that the logic of Exchange Online will at some point change, and render this guidance useless. Until then, I hope this helps with you to understand why this happens, and how to fix this condition.

Intune App Protection Policies (APP, also known as MAM) introduced a product enhancement to request the user PIN when biometric information changes on iOS (TouchID/FaceID) to further protect organizational data. The change introduced a bug that causes Intune APP to incorrectly detect a biometric change and prompt the user with a PIN challenge. This PIN challenge will only occur when switching between two APP managed apps and if the apps have adopted the SDK with this bug.

The bug was introduced in the Intune APP SDK for iOS v. 8.1.0. The bug has been fixed in the Intune APP SDK for iOS v 9.0.1. App teams adopt the new SDK and then run the apps through their testing and release processes. We will update this post when we hear all the new app teams have adopted the new SDK.

Por: Julie Brill, vicepresidenta corporativa y consejera general jurídica adjunta en Microsoft.

Desde que la Regulación General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea tomó efecto el 25 de mayo de 2018, más de 5 millones de personas de 200 países han utilizado las nuevas herramientas de privacidad de Microsoft para gestionar sus datos. Y sobre una base absoluta y per capita, el número más grande de personas viene de los Estados Unidos, un país que no es cubierto por GDPR de manera formal, lo que demuestra el deseo de los consumidores norteamericanos por un mayor control sobre sus datos personales.

Hasta hace poco, nuestro entendimiento de la privacidad en los Estados Unidos no había cambiado mucho desde que Louis Brandeis, gran experto legal norteamericano y juez de la Suprema Corte de Justicia, la definió en 1890 como el “derecho a ser dejado en paz”. Por más de un siglo, preservar ese derecho se centraba en protecciones legales diseñadas para asegurar que otras personas no puedan acceder a las ideas y la información que no queremos compartir.

Pero conforme la gente depende más y más en la tecnología para expresar sus ideas, conectar con amigos y familia, manejar sus negocios, y gestionar su salud y sus finanzas, y mientras más y más de nuestras interacciones son capturadas y almacenadas de manera digital, la manera en la que pensamos acerca de la privacidad ha cambiado. En lugar de enfocarnos tan solo en el derecho a ser dejados en paz, la gente quiere interactuar de manera libre y segura a través de la tecnología digital sin perder control sobre cómo sus datos son recolectados y utilizados.

Cada vez más, este deseo de mantener control de la información personal se ve reflejado en leyes modernas de privacidad como un aspecto esencial del derecho a la privacidad. Hemos visto que esto ha comenzado a verse reflejado en decisiones de parte de la Suprema Corte de los Estados Unidos, y en los últimos meses, en legislaciones históricas aprobadas por el estado de California. Es por eso que la GDPR es tan importante, porque establece un fuerte estándar para la privacidad y protección de los datos al capacitar a la gente a decidir qué sucede con sus datos.

En Microsoft, también reconocemos que la privacidad es un derecho humano fundamental. Hemos defendido la legislación nacional de privacidad en los Estados Unidos desde 2005 y hemos sido promotores entusiastas de GDPR desde que fue propuesta por primera vez en 2012. También creemos que los nuevos derechos en el centro de GDPR establecen principios importantes que son igual de relevantes fuera de la Unión Europea. Llamados “Derechos de Datos del Interesado” (Data Subject Rights), incluyen el derecho a saber qué datos son recolectados, corregir esos datos, y eliminarlos o moverlos a otro lugar.

Es por esto que cuando la GDPR de Europa entró en efecto en mayo de 2018, Microsoft anunció que extenderíamos los Derechos de Datos del Interesado, los derechos en el corazón de GDPR que dan a la gente de los Estados Unidos un mayor control de sus datos, a todos nuestros clientes consumidores alrededor del mundo. Esto no era requerido por la GDPR, pero elegimos hacerlo porque creemos de manera firme que ayudar a poner a la gente en control de sus datos es lo correcto. Para conseguir esa meta, construimos un tablero de privacidad donde nuestros clientes pueden gestionar sus ajustes de privacidad, ver los datos que hemos almacenado, y eliminar esos datos si así lo desean. Esto incluye datos que van desde historial de navegación y búsqueda a actividad de ubicación, películas y TV vistas a través de la aplicación de Microsoft o servicio, y datos de salud de Microsoft Health.

En los cuatro meses posteriores, más de 5 millones de personas de más de 200 países se han registrado en el tablero de privacidad de Microsoft para gestionar su información. No es de sorprender que muchos de nuestros clientes en los Estados Unidos, donde GDPR es ahora la ley, se han involucrado de manera activa con nuestro tablero de privacidad. Sin embargo, ha sido sorprendente ver el fuerte interés y nivel de involucramiento alrededor del mundo.

Los primeros 20 países donde los usuarios han accedido a los controles de privacidad de Microsoft para gestionar sus datos personales de mayo a septiembre de 2018.

El nivel más alto de involucramiento vino de los clientes de Estados Unidos donde alrededor de 2 millones de personas utilizaron nuestro tablero de privacidad para gestionar sus datos. También incluidos en los principales 10 países para visitas per capita fueron Japón, con casi 400 mil; Brasil, con cerca de 200 mil; y China y México, cada uno con cerca de 135 mil clientes que se registraron para gestionar sus datos.

La información de nuestro tablero de privacidad nos dice dos cosas importantes y que están relacionadas:

Primero, hay un alto nivel de interés entre los consumidores alrededor del mundo por tener control sobre sus datos personales.

Segundo, los consumidores norteamericanos no son la excepción, pues se involucran de manera activa con las herramientas de control que se les brindan. Este hecho descarta la noción de que los norteamericanos se preocupan menos acerca de su privacidad que los europeos. También confiere una mayor urgencia en la necesidad por una legislación federal que brinde herramientas y protecciones que faciliten a los consumidores norteamericanos el poder ejercer control sobre sus datos personales a través del ecosistema.

Para asegurar que los beneficios de una nueva generación de innovación tecnológica están disponibles para y benefician a todos, las leyes modernas de privacidad que mejor reflejen cómo la gente utiliza hoy la tecnología, son esenciales. Mantenemos nuestro exhorto al gobierno de los Estados Unidos a avanzar con la legislación que proteja el derecho a la privacidad a través de un control más fuerte de la información personal.

A SQL Alias is kinda like wearing disguise glasses...

From a security perspective, you can make things difficult for attackers by specifying a SQL alias and different port for SQL.

Symptom - discovery fails for WFM pack

Trying to monitor and figure out what the real database name, instance, etc. can be a challenge.

A couple of years ago, I was able to find an example for one customer where the registry key shed light on the alias.

The workflow manager management pack has a DataSourceModuleType "Microsoft.WorkflowManager.Addendum.v1.WFCommandExecuterDataSource", where this change successfully retrieved the sql server name.

This datasource uses the PowerShell script (WorkflowPSDiscovery.ps1)

This function was changed in one example

# Get computer name from splitted dataSource
function GetPrincipalName {
param(
$ADDomain,
$ss
)

#$ssWithoutPort = $ss[0].split(',')
#if (-not $ssWithoutPort[0].Contains('.'))
#{
# $ssWithoutPort[0] = $ssWithoutPort[0] + "." + $ADDomain.Name
#}
#$principalName = $ssWithoutPort[0]

$key = 'HKLM:SOFTWAREMicrosoftMSSQLServerClientConnectTo'
$sqlfromalias = (Get-ItemProperty -Path $key -Name $ss).$ss
$sqlserverstr = $sqlfromalias.Split(',')
$sqlserver = $sqlserverstr[1]
$principalName = $sqlserver

return $principalName
}

Ran into this discovery issue a second time, and the function didn't solve the failure.

Real quick - a shout out and my thanks to Chuck Hughes and Mike Sadoff, for their time and testing this more robust discovery method.

Added logic to fix the assumed InstanceName ($instname) - Most likely why my first function worked (configuration had default SQL instance name of MSSQLSERVER )

Added GetSqlAlias function to help decode the disguise

My thanks to Chuck Hughes and Mike Sadoff, for their time and testing this more robust discovery method.

Gallery download here

Don't forget to override the original workflow manager discovery!

Microsoft.WorkflowManager.v1.Addendum.WFPSDiscovery

Microsoft Ignite 2018 is right around the corner, September 24 – 28 in Orlando Florida. While there are over 1591 sessions, I wanted to share with you the list of sessions that I will either be attending in-person or watching the on-demand version later when I get home. Please feel free to use this list to help create your personal schedule, or on-demand viewing list later. Also, be sure to follow me on Twitter @SosemanMatt and LinkedIn for updates while at Ignite. Here's my recommendations from Ignite 2017 Enjoy!

Tip: Every year I spend ~200 hours watching Ignite sessions while running on the treadmill every evening or on an early Saturday morning to ensure I stay up to speed and keep my skills sharp. These sessions are addicting, and fun! They inspire me to go out and learn more, lab up a scenario, and gives me great stories to share with my peers, customers and partners.Click each session to be taken directly to that session's page on the Microsoft Ignite website.

My Session: BRK3135 - Learn more about security and compliance for Microsoft Teams (Also working the Microsoft Secure Score booth throughout the week, come see me and connect!)

Must See:

THR2303 - How to Shift: Modern Desktop Deployment with Brad Anderson

GS008 - Microsoft security: How the cloud helps us all be more secure

GS006 - Modern teamwork: Transform collaboration and communications with Microsoft 365

GS004 - Simplify your IT management and level up with Microsoft 365

BRK3221 - Combat advanced cyber attacks with Microsoft Cloud App Security

BRK2158 - Elevate the security for all your cloud apps and services with the Microsoft CASB - Cloud App Security

KEY04 - Transform your workplace with Microsoft 365

BRK2295 - Sprint's Microsoft 365 deployment acceleration strategies

BRK3401 - Azure Active Directory security insights with Conditional Access, Identity Protection, and reporting

BRK2468 - Security for your digital transformation

Office 365

BRK2102 - Better teamwork, together: SharePoint and OneDrive integration with Microsoft Teams

BRK2094 - The future of Yammer: Vision and roadmap

BRK2070 - New in Microsoft 365: Leadership engagement featuring live events

BRK2077 - Workplace Analytics & MyAnalytics: A review of data privacy and GDPR compliance

BRK2160 - The time for Teams: Scenarios to realize the value of Microsoft Teams

BRK2143 - Improving Health Team Collaboration using Microsoft Teams

BRK2140 - Accelerating GDPR compliance with Microsoft 365

BRK3398 - Best practices for a successful Video and Voice deployment on Microsoft Teams

BRK2440 - Citrix and Microsoft: Driving the future of work in the modern workplace, today!

BRK1059 - Enabling Firstline Workers with Microsoft Teams

BRK2393 - Get more done with Planner!

BRK2164 - The best (Outlook driven) day of your life

BRK2004 - The future of threat protection: Become efficient, cost effective, and more secure with Office 365 Threat Intelligence

BRK4002 - Securing your Office 365 environment from advanced phishing campaigns with Office 365 Advanced Threat Protection

Enterprise Mobility + Security

BRK3272 - Authentication and passwords: The good, the bad, and the really ugly!

BRK3401 - Azure Active Directory security insights with Conditional Access, Identity Protection, and reporting

BRK3285 - Deep dive into evolution of Windows app management with Intune

BRK3006 - Defend against mobile threats and increase user productivity with Intune-managed Edge browser

BRK2018 - Efficiently manage security with Microsoft

BRK3241 - Enable Azure Active Directory Conditional Access to secure user access while unlocking productivity across Microsoft 365

BRK2157 - Ensure comprehensive identity protection with Microsoft 365

BRK2157 - Ensure comprehensive identity protection with Microsoft 365

BRK3029 - Lessons from the field: protecting corporate data on any device with Microsoft Intune

BRK3103 - Manage and secure iOS and MacOS devices and apps with Microsoft Intune

BRK3117 - SecOps and incident response with Azure Advanced Threat Protection: Protect, detect, and respond

BRK4001 - Secure enterprise productivity with Office 365 threat protection services including EOP, ATP, and Threat Intelligence

Windows 10 Enterprise

BRK3018 - Deploying Windows 10 in the enterprise using traditional and modern techniques

BRK3038 - Windows 10 in S mode: Why you should care and how it works

BRK3039 - Windows 10 and Microsoft Office 365 ProPlus lifecycle and servicing update

BRK3017 - What's new in Windows 10 mobile device management (MDM)

BRK3211 - Ask the experts: Successfully deploying, servicing, and managing Windows 10

BRK2420 - Beat the Windows 10 deployment clock

BRK3019 - Delivery Optimization deep dive: How to reduce internet bandwidth impact on your network

BRK3014 - Modern deployment with Windows Autopilot and Microsoft 365 (Part 1 of 2)

BRK3015 - Modern deployment with Windows Autopilot and Microsoft 365 (Part 2 of 2)

BRK2002 - Modern desktop deployment and management with Microsoft 365

2018年3月に金融情報システムセンター (FISC) から「金融機関等コンピュータシステムの安全対策基準・解説書」の第9版が公表されました。マイクロソフトでは、「FISC 安全対策基準 第 9 版」に対するする各クラウド サービスの対応状況に関して、クラウド事業者としてマイクロソフトが実施済みの対応、ご利用頂くお客様側での実施が必要な対応について整理したチェックリスト・ホワイトペーパーを提供しています。お客様は、本ドキュメントを参照頂くことで、お客様側が対応すべき範囲に絞った効率的な対応が可能になります。

また、マイクロソフトでは、他の主要グローバル クラウド ベンダーに先駆けて第 9 版への対応を確認しました。2018 年 9 月現在、対外的に第 9 版への対応を表明している主要グローバル クラウド ベンダーはマイクロソフトのみとなります。マイクロソフトでは、今後とも金融機関のお客様に安心してクラウドサービスをご利用いただくために、新しい安全対策基準へのいち早い対応を進めていく予定です。

関連情報

• 2018/5/15: 金融機関においてマイクロソフトのパブリッククラウドサービスを安全に活用いただくため、「FISC 安全対策基準 第 9 版」への対応を確認
• 2018/5/11: 「金融機関等コンピュータ システムの安全対策基準 (第 9 版)」に対する マイクロソフト クラウド サービス (Microsoft Azure、Office 365、Dynamics 365) の対応状況
• 2015/8/19: 「金融機関等コンピュータ システムの安全対策基準」に対する マイクロソフト クラウド サービス (Office 365、Microsoft Azure、Dynamics CRM Online) の対応状況リスト
• Trust Center - 金融情報システム センター (FISC) (第 8 版)

[提供: コベルコシステム株式会社]

Dynamics 365 for Finance & Operations 会計テンプレート

多彩な機能を備え、企業規模を問わず複雑な要件にも対応できる新時代のERP、Dynamics 365の会計機能に日本独自の商習慣に対応したアドオン機能などを追加。「HI-KORT 365 for Operations/Finance」として提供しています。

日本特有の商習慣に対応した各種機能を追加したテンプレートで、お客様要件を短納期で実現します。

■解決される課題

当社がこれまでにERP導入してきた250社以上のお客様で培ってきた実績経験やノウハウをもとに、日本独自の商習慣に対応した債権・債務・手形を含む豊富な機能をご用意しています。

本テンプレートはサブスクリプションモデル（月額課金）となっており、初期導入費を抑える事ができ、Dynamics 365のバージョンアップにも対応しておりますので、長く安心してご利用頂けます

■料金(税抜）

お問い合わせください。

For a small country at the bottom of the world, New Zealand has been a world leader and a world beater in many different areas. This week, we are celebrating the 125th anniversary of 19th September 1893 when the Electoral Act 1893 was passed, giving all women in New Zealand the right to vote.  As a result of this landmark legislation, New Zealand became the first self-governing country in the world in which all women had the right to vote in parliamentary elections. (Source: Ministry for Culture and Heritage)

That's a big deal and the New Zealand curriculum has a similarly far-sighted vision by promoting STEM, with changes to the Digital Technologies Curriculum by including two new strands:

• Computational Thinking
• Designing and Developing Digital Outcomes

The Minister for Education, Chris Hipkins said in 2018:

The digital curriculum is about teaching children how to design their own digital solutions and become creators of, not just users of, digital technologies, to prepare them for the modern workforce.

The reality, however, is that many young women do not foresee a future career in these areas. Each March, Microsoft celebrates women in tech with the #MakeWhatsNext initiative which this year focused on inspiring young women to be the inventors of future technologies:

Kate Sheppard (1848-1934) Source

In previous years, Microsoft has called out the need to change the current trend that sees only 6.7% of women graduate with STEM degrees (based off data from the USA).

In the spirit of Kate Sheppard, the most prominent leader of the Suffragette movement in New Zealand, it's time we ensured that all women are equipped with the necessary skills and inspired to explore a career that will almost invariably involve technology in some capacity.

In January 2018 LinkedIn published a blog post confirming that technology is here to stay in their list of skills required for the most in demand jobs:

Technology is here to stay. Year-over-year technology jobs and skills have dominated these lists, and that’s a trend that’s likely here to stay. All jobs are likely going to require some technical skills in the future, so make sure to brush up on the basics.

When you look at the top 10 skills identified by LinkedIn you can see the strong prevalence of technology:

1. Cloud and Distributed Computing
2. Statistical Analysis and Data Mining
3. Middleware and Integration Software
4. Web Architecture and Development Framework
5. User Interface Design
6. Software Revision Control Systems
7. Data Presentation
8. SEO/SEM Marketing
9. Mobile Development
10. Network and Information Security

This is hardly surprising when you consider the biggest companies by market capitalization are now completely dominated by technology:

Credit: Visual Capitalist

So - it's one thing to know of the skills required, it's an entirely different proposition to teach these in an interesting and engaging manner. What is the solution?

Alice Envisions The Future:

Today I had two serendipitous events occur:

1. I watched Jourdan Templeton from the Aware Group deliver a presentation highlighting the power of Azure Cognitive Services, demonstrating how it can make sense of unstructured data through the use of computer vision, sentiment analysis and PowerBI - it was truly impressive.
2. I learnt of the work my colleague Oliver Zofic from Slovenia had completed recently with his Alice Envisions the Future project.

For this project, Oliver created seven challenges aimed at encouraging young women to explore the power of Artificial Intelligence (A.I.) and Machine Learning (M.L) through the use of Office365 and a range of powerful cloud technologies from Microsoft. These seven challenges are:

1. Office365: Create a collaboration hub using Microsoft Teams for the groups of girls to share resources through the use of OneNote, Planner and FlipGrid.
2. Custom Vision Service: through the use of www.customvision.ai create an image classification tool to distinguish images of cats and dogs - an easy introduction into the world of computer vision.
3. Azure Machine Learning: using the topic of breast cancer, students create and train a ML model to make a two class prediction model using Azure Machine Learning Studio
4. Build a Bot: Using Microsoft QnA Maker students build and deploy a bot that takes a natural language query and runs it through a bank of FAQ on breast cancer.
5. Cognitive Services - Facial Recognition: Using Azure's powerful Cognitive Services, students build an app that can detect faces and emotion.
6. Internet of Things & Raspberry Pi: IoT is almost as big of a buzz word as AI and ML and in this challenge students use the online Raspberry Pi simulator to connect to the Azure IoT Hub to understand how devices at the edge can stream data to the cloud
7. Create a Vlog: A fun way to finish the day, the girls are required to create a video record of their learning and post it to FlipGrid (recently acquired by Microsoft and integrated directly into Microsoft Teams).

Get Started & Give It A Go:

The keys to the ignition to get started learning A.I. are:

1. Office365 username / password - this is a requirement to log into most of the cloud services listed above (there is no cost for most of these, or a temporary / limited access can be obtained).
2. Download the seven challenges from here. (please note - in Challenge Three there is a reference to downloading the breast cancer data from the University of Wisconsin Hospitals. This link is no longer valid, however the data is included in the link above as part of the download called breast-cancer-wisconsin.data).

For a while I've been trying to get my oldest daughter (14yrs) interested in coding and data related fields but to date, she has shown limited interest. Today, I introduced her to Challenges #2 and #3 and left her to it - she loved it. When asked for some feedback she shared:

I found it really interesting, the tools have a good user interface - I don't know much about coding but the instructions were for the most part easy to follow and the tools were cool. Overall, I had fun and felt like I'd done something worthwhile.

I also created the image detection tool using CustomVision.ai and it didn't take me long to build out a working model:

The images I used to train my model, accurately tagging dogs and cats respectively

Running a test against my model - identified this new picture with 99.9% probability as being a dog!

My Point of View:

Without doubt, many of the most sought after skills in the workforce are going to include those around data, analysis, modelling, interpretation and all combined towards solving some of the biggest problems in the world today. Just this week I learnt of a young kiwi woman working on a solution that will disperse fog at airports, a problem of very real significant when you consider fog costs airlines over $1.8M and impacts over 135,000 travelers per hour. 

Last week at The New Paradigm, an education event co-hosted by HP and Microsoft at which I presented, I listened to Elise Beavis talk about her role as a performance engineer at Emirates Team New Zealand. Elise spoke candidly about her wish that she had been introduced to coding at high school, rather than waiting until university to learn the fundamentals. From the speakers page:

Having sailed since age 9, Elise saw studying engineering as a pathway to combine her love of sailing with her interest in maths and physics. She was accepted into the accelerated pathway and graduated with first class honours. The week after finishing her final engineering science exam, Elise started working at Emirates Team New Zealand. During the 35th America’s Cup, as the youngest full time employee, she worked in a number of areas including aerodynamics, designing 3D printed components, running VPP’s and modelling how the boat would fit in the plane to be flown up to Bermuda. Since winning the cup, Elise has been involved with developing the new class of boat and writing the AC75 class rule. She is now working on the design of ETNZ’s first AC75.

The sooner we can introduce students to technology like those in the seven challenges from Oliver, the better equipped they will be to succeed in the rapidly advancing world they will be entering on leaving school.

Time to tune!

Had some requests to script the registry tweaks for SCOM

Starting off with Holman's blog entry ...

TechNet Gallery download here

Save .txt file as .ps1 and run as administrator in PowerShell window.

Por: Equipo del blog de Microsoft Cloud Perspectives

Conforme más negocios comienzan a explorar los beneficios de mover a la nube datos y aplicaciones que tienen en instalaciones físicas, tienen que repensar sus enfoques tradicionales con respecto a la seguridad de los datos. Los cibercriminales no sólo han comenzado a desarrollar ataques más sofisticados, también el número de empleados y usuarios que pueden acceder, editar y compartir datos han incrementado el riesgo de contar con brechas de seguridad. De hecho, Gartner indica* que “durante 2022, 95 por ciento de las fallas e incidentes de seguridad en la nube serán culpa de los clientes. Los CIO pueden combatir esto a través de implementar y establecer políticas sobre propiedad, responsabilidad y aceptación de riesgos en la nube. También deben estar seguros de seguir un enfoque de ciclo de vida respecto al gobierno de la nube y establecer planes de monitoreo y gestión central para cubrir la complejidad inherente de uso de nube múltiple”.

En lugar de apoyarse en un mosaico de soluciones de seguridad de terceros que no siempre se hablan entre ellas, que de manera potencial dejan a los sistemas vulnerables ante ataques, las compañías han comenzado a adoptar una defensa de seguridad de nube unificada, de principio a fin. De manera típica, esto involucra elegir un proveedor de nube que pueda integrar controles de seguridad directo en los sistemas y procesos corporativos existentes. Cuando estos controles abarcan toda la infraestructura de TI, facilitan la protección de los datos y mantienen la confianza del usuario al ofrecer mayor compatibilidad, mejor desempeño y mayor flexibilidad.

Protección que siempre es compatible

Un sistema holístico, de advertencia y detección de amenazas soportado por la nube puede ser diseñado para trabajar de manera fluida a través de cada recurso de un ambiente de TI. Por ejemplo, las soluciones integradas de gestión de seguridad pueden dar a los equipos de TI la capacidad de monitorear de manera constante todo el sistema desde una ubicación centralizada, en lugar de evaluar de manera manual las diferentes máquinas. Esto les permite detectar más pronto las amenazas, brindar monitoreo de identidad, y más, todo sin ningún problema de compatibilidad.

La compañía de transporte de contenedores, Mediterranean Shipping Company (MSC) ha recorrido este camino. Como muchos negocios, el ambiente de TI de MSC está esparcido a través de una variedad de ubicaciones, redes y tecnologías, como embarcaciones de contenedores, redes de camiones, y oficinas. Su estrategia previa de seguridad empleaba un mezcla de soluciones de terceros que de manera continua enfrentaba problemas de compatibilidad entre diferentes componentes, lo que daba a los atacantes una gran superficie de sondeo. Esto hizo a MSC vulnerable a amenazas como ataques sin malware (fileless attacks), phishing y ransomware. Sin embargo, incluso después de hacer la transición a una solución unificada de seguridad en la nube, ha sido capaz de protegerse contra ataques a través de una protección que se integra sin complicaciones a su ambiente existente.

Desempeño confiable, de manera más eficiente

Mientras más complejo se vuelva un ambiente de TI, más tiempo pasan los empleados en pruebas, mantenimiento y reparación de soluciones de seguridad de terceros. Un enfoque unificado de seguridad en la nube mejora el desempeño no sólo al brindar una estrategia de defensa en capas que sea consistente, también al automatizarla a través de toda la infraestructura de TI. En MSC, las actualizaciones de software y de seguridad ahora son llevadas a cabo de manera automática en implementadas sin retrasos, a través de la nube. La información acerca de posibles amenazas y brechas puede ser compartida de manera rápida a través de dispositivos e identidades, lo que acelera los tiempos de respuesta y recuperación para que los empleados puedan enfocarse en otros problemas.

Seguridad con flexibilidad para crecer

La escalabilidad es otro factor que impulsa la adopción. Un ambiente de nube puede escalar de manera sencilla para acomodar los picos de tráfico, usuarios adicionales, o aplicaciones con uso intensivo de datos. Un mosaico de soluciones de seguridad de terceros tiende a no ser tan ágil. En MSC, los controles de seguridad están integrados en múltiples niveles de la infraestructura de TI, desde el sistema operativo a la capa de aplicaciones, y puede cambiar su tamaño de manera dinámica para cumplir con las nuevas necesidades del negocio. Por ejemplo, los controles continuos de cumplimiento de normas pueden ser establecidos para monitorear actividades regulatorias y detectar vulnerabilidades conforme estas crecen.

Un enfoque unificado de seguridad: convertirse en el estándar

Las mejores soluciones de seguridad se desempeñan de manera silenciosa en segundo plano, para proteger a los usuarios sin que estos lo noten. La seguridad unificada de nube realiza esto a la vez que reduce los recursos requeridos para mantener las cosas en funcionamiento de manera fluida. “Una vez que cuentas con una verdadera defensa a profundidad, hay menos probabilidad de tener que determinar un usuario e impactar su productividad porque tienes que cambiar la imagen de una máquina infectada”, comentó Aaron Shvarts, jefe de seguridad en MSC Technology North America.

Después de mover sus cargas de trabajo a Azure y actualizar sus soluciones previas de seguridad de terceros a la protección nativa de Windows Defender, MSC ahora cuenta con una estrategia de defensa que se adapta a la complejidad de su negocio. Conozcan más acerca de las soluciones de seguridad de Azure y cómo Microsoft puede ayudarles a implementar seguridad unificada a través de su nube.

*Gartner, Smarter with Gartner, Is the Cloud Secure?, 27 de marzo 2018, https://www.gartner.com/smarterwithgartner/is-the-cloud-secure/