Office 365 と Azure AD、Intune、Azure RMS の関係について

ここ数年の Office 365 の機能拡張で、Rights Management 機能やモバイル管理機能などなどが追加され、ますます使い勝手がよくなった Office 365 ですが、Intune や Azure Rights Management などとの違いがいまいちわかりずらいというご指摘もいただきます。 そこで、今回はこの部分をさらっとサマッておきたいと思います。 まずは Office 365 の各エディションの違いから。 以下の通り Office 365 には様々なエディションが用意されているわけですが、セキュリティや管理にフォーカスしてみると、さほど違いがないことがわかります。違いがあるとすれば、Information Rights Management(IRM)です。E3 と E4 は標準でサポートされていますが、その他のエディションでは別途 Azure Rights Management を購入する必要があります。 Office 365 が持つ多要素認証機能、モバイル管理機能、IRM(データの暗号化や権限管理)機能というのは、実は別のサービスの一部を間借りしています。 多要素認証は Azure Active Directory Premium。モバイル管理は Microsoft Intune、IRM は Azure Rights Management。図にすると、以下のようになります。 Office 365 だけでも相当なことができますが、その裏には実に多くのテクノロジーが控えていることがわかります。 ■ Office 365 と Azure Active…


【世界ランクに挑戦】 Office 365 オンライン学習コースを公開

あまり知られていませんが、Microsoft Virtual Academy というサイトがあります。 オンラインのトレーニングサイトで、マイクロソフトがワールドワイドで展開しています。各コースを通過するとポイントが付与され、これによって世界ランキングに参加することができます。 ちなみに私は、現在国内週間ランキングトップです。2位のTakaiさん、3位の松本さん、ごめんなさい。 そんな MVA でWindosws Server 2012 や Hyper-V などさまざまなコンテンツが公開済みですが、新しく Office 365 コースが公開されました。 Office 365 の概要 – Produced by Office 365 コミュニティ(81 ポイント) http://www.microsoftvirtualacademy.com/training-courses/office-365-overview-jp#fbid=dpPu9t3JyHy Office 365 Small Business の管理 – Produced by Office 365 コミュニティ(115ポイント) http://www.microsoftvirtualacademy.com/training-courses/office-365-small-business-management-jp#fbid=dpPu9t3JyHy いずれも初級者用に作成してあり、いきなりテストを受講することもできます。ある程度馴れている方であれば、5分もあれば上記全コースを通過できるでしょう。馴れていない方も3分程度のビデオを見ていただければ、容易に必要な知識を得られます。 これらのコースは Facebook の Office 365 コミュニティの方々によって作成されました。 現在もメンバーによってテスト作成が進められています。 今後、続々と Office 365 コースが公開される予定ですので、楽しみにしていてください!


【IDM】Windows Azure Active Directory と Office 365 と外部 IdP の関係(予想)

※この投稿は、あくまでも現在公開されているドキュメントやBLOG、および自身による動作検証をもとにしたものであり、マイクロソフトが正式にドキュメント化しているものではありません。あくまでも「ご参考」ということでよろしくお願いいたします。検証作業等の参考になれば幸いです。 Windows Azure Active Directory と Office 365 の関係を調べていると疑問がつきません。 特に、Access Control Service との関係など、なにがどうなっていて、どこまで認証部分をカスタマイズできて、何ができなくて。。。といったことで夜も眠れなくなります。 そこで、「こんなかんじなんじゃないか?」という予想をまとめたものが以下の図です。 なんとなく、Access Control Service(ACS) が使われているように思いがちなのですが、従来 MFG(Microsoft Federation Gateway)と呼ばれていた STS(Security Token Service)が使われているような気がします(MFGと呼んでいるかどうかは定かではありません)。ただ、MFG の Endpoint が以下のURLなので、全くACSを使っていないというわけでもなさそうで。。。 https://account.accesscontrol.windows.net/<テナントのURL> ちなみに、ACS の Endpoint は以下のような URL になります。 https://<Namespace名>.accesscontrol.windows.net/   ちなみに、以下の図で赤丸を付けた部分は、Set-MsolDomainAuthentication というコマンドレットを使用して関連付けることができます。選択できるプロトコルは WS-Federation と SAML 2.0 なので、いずれかに対応した独自 STS を開発すれば「理論上」は MFG の IdP として関連付けることができるはずです。 逆に、MFG の RP として ACS を登録する方法については…


【WP for ITPro】Windows Phone 7.5 では Exchange ActiveSync を使用して、英数記号を使用した PIN を強制可能

通常、スマフォの PIN といえば、4ケタの数字が一般的です。 Windows Phone でも例外ではありません。安全性を考えて、思いつきで変なパスワードをかけた日にゃ…下手すれば強制ワイプするはめになってしまいます。 しかーし、企業内の Exchange Server にアクセスさせる場合にはそんなことは言ってられません。スマーフォの入り口は企業ネットワークへの入り口でもあります。その扉をこじ開ける PIN には強固なパスワードを使ってほしいはずです。社内リソースにアクセスするためのユーザーIDとパスワードがスマフォに埋め込まれているわけですから、当然ですよね。 2011年8月25日に発売された富士通東芝製の Windows Phone IS12T に実装されている Windows Phone 7.5 では、Exchange ActiveSync を使用して英数記号を使用した複雑な PIN を強制することができます。 Exchange ActiveSync には デバイスセキュリティポリシーというものが用意されています。このポリシーでは以下のような設定が可能です。赤枠で囲った部分は、Windows Phone 7.5 で新たに使用可能になったポリシーです。 複雑なポリシーを有効にすると、ロックスクリーンは以下のように QWERTY キーボードが表示されます。 ちなみに、セキュリティポリシーを最大限に厳しくしたものが以下です。洒落にならないので、設定は慎重に…。   p.s. 複雑なパスワードを有効にしてロックスクリーンで QWERTY キーボードが有効になると、簡易パスワードに変更しても10キーに戻らないという現象が発生しています…使用するのに問題は無いのですが気持ち悪いので調査中です…。私だけ?


【WP for ITPro】Exchange Server にアクセスできるスマフォを限定 ~ Exchange ActiveSync デバイス アクセス ポリシー(ABQリスト)

Exchange ActiveSync(EAS)にはさまざまな機能が実装されています。Windows Phone から Global Account List(GAL)を検索するのも、実は EAS によって実現される機能です。 さて、Exchange 2010(および Office 365)の EAS には 「ABQリスト」と呼ばれるポリシーが用意されています。 A:Allow(許可) B:Block(ブロック) Q:Quarantine(検疫) この機能を使用すると、EAS にアクセス可能なデバイスを制限したり、検疫することができます。 例えば、全社で Windows Phone を導入し業務での利用を許可しているとしましょう。社外に Exchange クライアントアクセスサーバーへのアクセスを許可していると、EAS プロトコルを実装しているデバイスから自由にアクセスできてしまいます(もちろんユーザーIDとドメイン名、パスワードを知らなければダメですが)。つまり、会社支給の Windows Phone に加えて、手持ちの iPhone や Android からもアクセス可能です。 社内に IT 部門を持っている企業の場合、未知のデバイスからのアクセスは極力拒否したい…と考えるかもしれません。 そんなときに使えるのが 「EAS デバイスアクセスルール」、通称  ABQ リストです。 ABQリストでは、大きく2つのポリシーを設定することができます。 特定のデバイスに対するポリシー その他のデバイスに対するポリシー 「特定のデバイス」に対するポリシーでは、デバイスの「種類」と「モデル」を明に指定し、これらに対して「許可」「ブロック」「検疫」のいずれかのアクションを設定します。指定した種類やモデルに合致したデバイスからアクセスがあった場合には、設定されているアクションが自動的に適用されます。 以下が設定画面です。最近発売されたばかりの IS12T は、デバイスの種類(デバイスファミリ)が「WP」で、デバイスのモデルが「FujitsuToshibaMobileCommun」です。以下の設定では「アクセスを許可」が設定されているので、このモデルは無条件でアクセスできることになります。 「検疫」が選択されていると、アクセスしてきたデバイスが検疫リストに表示されます。システム管理者は、検疫リストに表示されているデバイスに対して、個別に「許可」か「ブロック」を選択する必要があります。 「検疫」されたり「ブロック」されると、利用者にはメールが届きます。利用者は、サーバーから送られるこのメールだけは受信することができるため、自分のアカウントがどのような状態かを知ることができます。 検疫またはブロックされた場合で、かつデバイスがWindows Phone の場合には、アカウント設定画面に以下のようなワーニングが表示されます。黄色い文字で「要確認」と表示されているのがわかるでしょうか。…

1

【WP7】Windows Phone から Office 365 の SharePoint Online を使用する場合の初期設定について

※今後仕様が変更される可能性がありますので、あくまでも現時点の「参考情報」としてご覧ください 皆様ご存知の通り、8月25日に Windows Phone 7.5 が搭載されたスマフォ、Windows Phone がリリースされました。 Windows Phone – Microsoft Windows Facebook マイクロソフト UX エバンジェリズムチーム Facebook Windows Phone 製品チーム 先日、私も物欲に負け、5年間使用し続けた Softbank の携帯電話から au の富士通東芝製 IS12T に乗り換えました。キャリアメールも、モバイル Suica も、お財布携帯も、ましてやワンセグなんて使っていないので、なーんも不便がありません(もしかして人生的には負け組!? orz)。 ※このすばらしいフォルム。もう手放せません。Need for Speed もやめられません。I love Katamari も最高です。 さっそくいろいろと実験中なのですが、ちょっと設定方法に迷った点があったので、ここでご紹介します(正直かなりイライラして、IS12T を投げつけそうになりました)。 Windows Phone を企業内で展開したいと考えていらっしゃる方は、Office 365 との連携も考えていらっしゃると思います。Office 365 には以下のサービスが提供されていることはご存知の通りです。 Exchange Online SharePoint Online Lync Online Lync のリリースは今後になるので、まだ…