【重要】Azure Information Protectionが自動的に有効になります。(更新あり)

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。 本日は重要なお知らせをお送りします。 (重要)AIPの有効化が7月1日から8月1日に変更されました。これに伴い、弊社のオペレーションの都合上、以前のオプトアウトをしていただいたお客様の設定が変更されている可能性があります。該当するお客様には誠に恐縮ではございますが改めて設定のご確認とオプトアウトへの変更をお願い申し上げます。 この度、「Office 365 メッセージ センター」でご案内させていただいておりますように、お客様環境のセキュリティ強化の一環として、Microsoft Azure Information Protection(以降、AIP)のライセンスをお持ちのお客様の AIP が2018年8月1日に自動的に有効化される可能性があります。これまでも2018年2月以降に作成されたテナントにつきましてはデフォルトで AIP が有効化する変更が行われておりました。今回は2018年2月以前に作成されたテナントにもその設定が反映されます。 AIPのライセンスを保有し、Active Directory Rights Management (AD RMS)の情報保護機能をご利用する場合又は、AIPの設定変更をオプトアウト(すなわち、AIPを有効化しない)する場合は以下の確認と対策を実施していただけますよう、お願いします。 対象のお客様: ・Microsoft 365 、Office 365を含む、AIPのライセンスを保有されAD RMSをご利用のお客様 又は、AIPのライセンスを保有されAIPの有効化を望まないお客様 ・上記かつ、テナントでAzure Information Protectionで保護機能を自動的に有効にする設定が有効になっているお客様 現在の設定の確認: 現在の設定を確認してAzure Information Protectionで保護機能を自動的に有効にするオプションの状態を確認します。 ・全体管理者の役割を備えたユーザーとして Exchange Online PowerShell に接続(※:Exchange Online PowerShellへの接続は参考情報を参照) ・以下のコマンドレットを実行 Get-IRMConfiguration 実行結果が以下のように表示されますので”AutomaticServiceUpdateEnabled”の値をご確認ください。設定がFalseになっていれば、お客様の環境で AIP が自動的に有効化されることはありません。 設定方法: 状態を確認して ”AutomaticServiceUpdateEnabled” が ”True” の場合、現状の設定を維持し、設定変更のオプトアウトを実施するにはPowerShellを利用して以下のコマンドレットの実行が必要です。 Set-IRMConfiguration -AutomaticServiceUpdateEnabled…

0

[EMS] Azure Active Directoryの Webinar 公開中

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。 Azure Active Directoryの開発チームメンバーがWebinarを実施しています。 以下よりアクセスできますのでぜひご確認ください! https://aka.ms/azureadwebinar (ショートURLにしました)

0

[EMS]System Center Configuration Manager (CB) 評価ガイド公開

いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。 本日はSystem Center Configuration Managerの最新の評価ガイドが完成しましたのでご紹介します。 Windows 10の導入が進む中、定期的なアップデートに課題をお持ちのお客様も多いかと思います。 SCCMはクライアント管理製品としていち早くWindows 10対応するPC管理製品として提供されています。 Windows 10やOffice 365、Intuneにいち早く対応するために常に進化続けるSCCMをぜひこの機会に評価いただけますと幸いです。   Enterprise Mobility + Security 製品ページ https://www.microsoft.com/ja-jp/cloud-platform/products-Enterprise-Mobility-Suite.aspx 各ドキュメントへの個別リンク SCCM(CB)_評価ガイド_機能紹介とアーキテクチャ編 http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_Architect_EvalGuide_jp.docx SCCM(CB)_評価ガイド_環境構築編 http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_CB_EvalGuide_jp.docx SCCM(CB)_評価ガイド_モバイルデバイス展開編 http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_EvalGuide_Intune_Integration_Deployment_jp.docx SCCM(CB)_評価ガイド_モバイルデバイス運用管理編 http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_EvalGuide_Intune_Integration_Management_jp.docx SCCM(CB)_評価ガイド_Office365ProPlus編 http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_EvalGuide_O365ProPlus_jp.docx SCCM(CB)_評価ガイド_Windows10管理編 http://download.microsoft.com/download/F/0/D/F0D20D4C-B594-4341-924C-55DFF50FED88/SCCM_EvalGuide_Win10_Management_jp.docx   <2017/08/01 追記> Wordファイルのサイズが大きくて扱いづらいとのご意見をいただいておりました。 Wordファイルを開いた後、PDFファイルに変換いただきますとサイズも小さく、また軽快に閲覧いただけますのでお試しください。    

0

[EMS]Azure AD セルフパスワードリセットの本人確認について

いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。 本日はAzure ADのセルフパスワードリセットの本人確認手段の設定方法について紹介します。 Azure ADのセルフパスワードリセット機能は、最近ヘルプデスクの負荷軽減手段としてよく活用されています。しかし電話番号やメールアドレスの設定がユーザーに徹底できないことから導入をためらわれているユーザーも多いのではないでしょうか。 ここではその問題を解消するため、本人確認手段の設定方法の詳細をご紹介いたします。 Azure ADのセルフパスワードリセット機能の本人確認方法には以下の手段があります。   この中で会社電話と携帯電話は管理者がAzure ADの管理画面から設定できます。さらにAzure ADとオンプレのActive Directoryが同期していればActive Directoryの情報を反映できます。Active Directory属性の電話番号(telephoneNumber)と携帯電話(mobile)がそれぞれAzureADの会社電話、携帯電話に同期されます。この時に注意点ですが、電話番号が国際電話番号の形式(日本なら+81 から始まる番号表記)で表記されている必要があります。ここのフォーマットが異なるとAzureADに同期されません。 また、電子メールにはAzure ADのユーザープリンシパルネーム(UPN)がデフォルトで設定されます さらに上記のうち携帯電話はAzureADでより優先される番号を別属性で設定できます。また電子メールも別属性で複数追加で設定できます。これがユーザーが個別で設定できる値となります。この値を設定してもオンプレのActive DirectoryやAzure ADには影響がありません。 まとめると以下の表になります。 すでにオンプレのADで電話番号などを利用されている方もいらっしゃると思いますが、上記の展開規則を前提に、デフォルトで設定する値、エンドユーザーに入力してもらう値を決定してください。 会社電話、携帯電話が管理者で設定できる場合はユーザーに追加の設定をお願いする必要はありません。しかし同期が利用できない場合はユーザーに設定を促す必要があります。それがこちらの設定です。 下記を設定すると次回ログオン時に本人確認の設定を促す画面にリダイレクトされます。   セルフパスワードリセットはユーザーがどこにいても自分のIDを自分で管理できるソリューションです。そのメ リットは、管理者負担軽減だけでなく、ユーザーがいつでもどこでも、自分のIDを安全に管理できることです。ぜひご利用をご検討ください。

0

[EMS] Azure Active Directoryのレポートと通知機能で監視強化

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。 本日はAzure ActiveDirectoryのレポート機能と通知機能の活用を紹介します。 参考元はこのドキュメントです。 https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-view-access-usage-reports   IDの不正な利用を監視する クラウドサービスを利用するときサービスで利用するIDは非常に重要です。 例えば、Office 365をご利用している皆様は、IDが危険にさらされていないかどうかをどのように確認していますか。 Azure Active Directory では「異常なアクティビティ レポート」を提供しています。 さらに Azure Active Directory Premium をお持ちの場合、そのレポートがより強力になり提供されます。 このレポートを見ていただくだけで、ユーザーが危険にさらされていないか確認することができます。 AzureActive Directoryのレポートのエディション(一部) レポート 無料 基本 プレミアム 異常アクティビティ レポート 不明なソースからのサインイン ✓ ✓ ✓ 複数のエラー後のサインイン ✓ ✓ ✓ 複数の地域からのサインイン ✓ ✓ ✓ 不審なアクティビティのある IP アドレスからのサインイン ✓ 感染している可能性があるデバイスからのサインイン ✓…

0

[EMS] EMSの評価ガイド公開

いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。 本日は、最近公開されましたEnterprise Mobility + Securityのドキュメントを紹介します。 ドキュメントは以下よりダウンロードできます https://www.microsoft.com/ja-jp/cloud-platform/products-Enterprise-Mobility-Suite.aspx   EMS評価ガイド EMSの主要な機能をStep By Stepで評価するための評価ガイドが公開されました。 EMSはクラウド時代に必要とされるセキュリティ機能を網羅していますのでこの機会にぜひ実際に触ってお試しください。 Enterprise Mobility + Security スタートアップ ガイド Enterprise Mobility + Security 評価ガイド SPE 手順書シリーズ SPE 手順書シリーズ 01 Azure Active Directory の導入 SPE 手順書シリーズ 02 不正アクセスの防止と安全なクラウドへのアクセス SPE 手順書シリーズ 03 デバイス管理とメール セキュリティ SPE 手順書シリーズ 04 Azure Active Directory…

0

[EMS]EMSのアップデート

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS担当の鈴木です。しばらく更新が滞っておりましたが、こちらのBlogを再開させていただきます。最近、EMSは大きく進化しました。本日は現在のEMSの製品構成を一度おさらいしておきたいと思います。 Enterprise Mobility + Security EMSはEnterprise Mobility SuiteからEnterprise Mobility + Security に名称が変更されました。またエディションもEMS E3とEMS E5の2種類になりました。リリース情報は以下で紹介しています。 https://blogs.technet.microsoft.com/mpn_japan/2016/10/09/new-ems-and-spe-e5-launches-from-october-2016/ EMS E3 EMS E3 はいままでEnterprise Mobility Suiteとして提供してきたものと同等になります。 それぞれの製品の特長は以下の通りです Azure Active Directory Premium P1 クラウドベースの認証基盤です。マイクロソフトのSaaSサービス全般の認証基盤だけでなく、3rd PartyのSaaSアプリの認証基盤、社内アプリの公開を実現します。また社内のADと連携してID管理を行うことができます。最近では管理するSaaSアプリへのアクセスを管理する条件付きアクセスや多要素認証の機能を実装し、よりセキュリティを重視した認証基盤になっています。 Intune モバイルデバイスの管理(MDM)や、モバイルデバイス上のアプリケーション管理(MAM)の機能を提供します。特にMAMは情報漏洩の対策として、ユーザーの生産性を落とさずに利用することが可能です。また、MAMはIntuneで管理されてなくても利用することができるため、BYODでの利用も可能です。 Azure Information Protection P1 以前はAzure Rights Management Serviceと呼ばれていましたが、新しく Azure Information Protection としてリニューアルされました。IRMによる暗号化のほか、文書へのラベル付けもできるようになりました。また Azure Information Protection のクライアントが提供されラベル付けや暗号化がワンクリックで実現できるようになりました。 Advanced…

0

[EMS] Cloud App Security (旧 Adallom ) 一般提供開始!

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。戸嶋です。本日は、2016年4月より一般提供開始&評価環境がリリースされた Cloud App Security (旧 Adallom) についてご紹介します。 <サービスの機能概要>Cloud App Security は、企業内で利用されているSaaS アプリケーションの使用状況をダッシュボード形式で表示し、セキュリティリスクを検知したユーザーのアクセスを制御することができるサービスです。クラウドアプリケーションを複数活用している企業様にとって、どの組織で、なんのクラウドアプリケーションが、どのように利用されているのか・そもそも正しく利用されているのか、といった、潜在的に活用されているクラウドアプリケーションを含め利用状況のすべてを把握することは非常に困難です。 利用するクラウドアプリケーションが増えれば増えるほど、それらを統合的に管理したいというニーズが出てきますよね。Cloud App Security は、異なる複数のクラウドアプリケーションを、一元的に管理・利用状況を把握し、さらに万が一の事態に備えてすぐに制御を実施できます。SaaS アプリケーションを企業内で活用しはじめる企業様、そしてすでに複数個のSaaS アプリケーションを活用されていらっしゃり、セキュリティ向上したい 企業様に有効なサービスです。  こちらが、Cloud App Security の管理コンソール、ダッシュボードです。 組織内で利用されているクラウドアプリケーションの使用状況をユーザー、データ、アクティビティ、アクセスという切り口で把握します。主なコントロールメニューに「Discover」「Investigate」「Control」「Alerts」があります。   それでは、Cloud App Security と各管理メニューについて、 ①「Discovery」②「Data control」③「Threat protection」という3軸でご紹介します。   Office 365, Yammer, Dynamics CRM, OneDrive, Box, Twitter, Facebook などなど、様々なクラウドアプリケーションが検出されています。こちらには記載されておりませんが、Salesforce, ServiceNow, Ariva などを利用しているお客様でしたら、それらも検出対象になります。  ① Discovery:クラウドアプリケーションの利用に関わる リスクアセスメントと 検出・解析 ・シャドーITの検知と対策エージェントを利用することなく、13,000を超えるクラウドアプリケーションの利用を検知できます。(Cloud App…

0

[EMS] 社内の Web サイトに社外からアクセスしたいなぁ・・・。それも簡単で安全に。

そんな都合のよい機能なんてあるわけな・・・あるんです!!どうも、Enterprise Mobility Suite (EMS) 担当の成田です。今回は、社内でお使いの Web サイトを社外からご利用いただくことができる機能 (Azure Active Directory Application Proxy、以降 AADAP) をご紹介します。本機能は Azure Active Directory の特定エディション (Premium または Basic) でご利用いただくことができます。もちろん EMS にも含まれます。Azure Active Directory のエディションの違いについては下記をご確認ください。(ページ内では “アプリケーション プロキシ” と記載されている機能です。)Azure Active Directory のエディションhttps://azure.microsoft.com/ja-jp/documentation/articles/active-directory-editions/●概要AADAP とは、ずばり、社内の Web サイトを社外から安全に利用するための機能です!クラウドやモバイルを活用した働き方の変化に伴い、「いつでも」「どこでも」「どんなデバイスからでも」業務を行える環境が求められています。インターネット越しに社内リソースにアクセスしたい場合、Office 365 をはじめとする SaaS アプリを利用する場合は問題ないとして、社内の Web サイトについても社外から利用したいといったニーズも多いのではないでしょうか。社内で利用している Web サイトを社外から利用する場合、一般的には VPN や SSL-VPN のリバース プロキシを DMZ に配置することをご検討いただくことも多いと思いますが、その場合はネットワーク構成の変更や追加コストが発生します。Azure Active Directory Premium や…

0

[EMS] 進化する 企業内 多要素認証基盤! Azure AD Premium 多要素認証(Multi-Factor Authentication /略語MFA)

みなさま、いつも Device & Mobility Team Blog をご覧いただきありがとうございます。戸嶋です。 本日は、Azure Active Directory Premium で利用できる多要素認証(MFA)についてご紹介します。   Office 365 をはじめとしたクラウドサービスを活用する上で、ユーザーIDが中央集約されることによるパスワードの管理は今まで以上に重要度を増しており、ユーザーIDが正しい使われ方をしていること、正しく素早く本人確認を実施する必要があります。システムのセキュリティレベルを向上しつつ、ユーザー・そして管理者の生産性を維持してきたいですよね。   多要素認証自体は最近のクラウドサービスでも馴染みあるものになっており、みなさまも日頃からプライベートでもご活用されていらっしゃると思います。ご存知の通り非常にわかりやすいしくみで、IDとパスワードによる第一段階目の認証に併せて、もう一段階認証を加えることにより、認証フェーズでのセキュリティを強化することができるのがメリットです。ユーザーが知っているもの(パスワードやひみつの質問)、ユーザーが所持しているもの(携帯電話などの身近に持っており複製できない信頼できる端末)、ユーザー自身(生体認証)を組み合わせて本人確認を行います。 ユーザーのパスワードを解除する技術は日に日に進化を続け巧妙さを増している昨今、実際に個人のMicrosoft アカウントやGoogle アカウント、Instagram のアカウントが、何者かにより不正アクセスの試行が為されていたことをメール通知で知り、急いでパスワードを変える、なんて経験をされた方も、少なくないのではないでしょうか。(…実際、わたしも最近そんなことがありました。アクセスされる前に気づくことができてよかったです。便利かつセキュアな世の中に感謝ですね。) ユーザーIDがいつの間にか使いまわされる、大事なデータが漏えいしてしまう…。想像しただけでも非常に恐ろしい自体です。 そんな事態になる前に、定期的なパスワードの変更に加え、 認証フェーズでのセキュリティを強化していきましょう!     ■ どのようなシステムでMicrosoft の多要素認証サービスを利用できるの? 認証のシステムでいうと、大きく分けて オンプレミスのActive Directory と Azure Active Directory いずれでも多要素認証を利用できます。 上図、左側にかかれている、社内の IIS や RDS の認証で多要素認証を用いたい場合は、オンプレミスのMulti-Factor Authentication Server を構築していただきます。社内の Web サーバーをインターネットで利用できるようにする仕組み「Web Application Proxy」については過去の記事([EMS] 社内の Web サイトに社外からアクセスしたいなぁ・・・。それも簡単で安全に。)にも記載があります。 また、右側にかかれている、特にAzure の多要素認証(クラウドサービス)をご利用になられる場合は、対象のユーザーがAzure…

0