Exchange Online のアドレス帳ポリシーを使用した OneDrive for Business のファイル共有先の絞り込み

こんにちは、プロダクティビティ担当の門口です。 本日は、OneDrive for Business でのファイル共有先の制御についてお伝えしようと思います。 OneDrive for Business は、クラウド上で、自身が使用するファイルの管理を行うことに加えまして、他のユーザーにアクセス権を付与しファイル共有を行うことで、共同作業を行う “場所” として活用できることは皆様もご存知かと思います。     ファイル共有の手順は、このように非常に簡単に行うことができます。 多くのお客様から、この共有機能をご評価いただいているのですが、その一方で「ファイルの共有先は制御できるのか?」というご質問を頂くことがあります。 OneDrive for Business では、ファイルの共有先として、 社外の外部ユーザー 社内のユーザー に分類することができますが、1. の外部ユーザーは、管理者設定により有効・無効を制御可能です。 (外部ユーザーとの共有機能は、とても便利ですので、また別の機会で詳しくご紹介できればと思っています。) 2. の社内のユーザーですが、デフォルト状態でのファイルの共有先は、自社の Office 365 テナントに登録されている全てのユーザーが対象となります。 (Office 365 に登録済みユーザーの全てが共有先の候補となりますので、その中から実際にアクセス権を付与するユーザーを選択します。)   さて、これから、所属する組織や役職、地域等に応じて、共有先を限定したいというニーズにお応えするために、共有先となる社内ユーザーを制御する方法についてご紹介できればと思います。 なお、今からご紹介する方法は、上記の図内にあるユーザー検索の場面で、検索候補先の絞り込みを実現する方法となります。 残念ながら、アクセス権に基づく厳密な共有先の制御ではありませんので、例えば、ユーザーの UPN やメールアドレスを直接入力した場合は、アクセス権は付与されますのでご注意ください。 実現方法ですが、ずばり、「Exchange Online で使用するアドレス帳ポリシーの設定を SharePoint Online に流用する」です。 Exchange Online を運用頂いている方は、アドレス帳ポリシーについてはおなじみかと思います。簡単にご説明しますと、Exchange Online でメールを書く際に、宛先を検索するシーンがあるかと思います。その時参照している宛先一覧が、グローバル アドレス帳と呼ばれるものです。そして、アドレス帳は、テナント内に複数作成・保持することが可能です。さらに、作成したアドレス帳は、各ユーザー毎に使用の可否を設定できます。(これをアドレス帳ポリシーと呼びます。) 例えば、各ユーザー毎に異なるアドレス帳ポリシーを設定すると、 ユーザー A は、東京支店に所属するユーザーを検索対象とする ユーザー…


もう迷わない!Office 365 ProPlus 展開のベスト プラクティス

こんにちは、プロダクティビティ担当の秋本です。 先日、IT 部門の担当者の方がエンタープライズ環境にサブスクリプション版 Office である Office 365 ProPlus の展開を行うにあたっての役立つ情報がまとめられた「Office 365 ProPlus 展開ガイド」の日本語訳ページが公開されました。 Title: Office 365 ProPlus 展開ガイド URL: https://support.office.com/ja-jp/article/f99f8cd0-e648-4834-8f45-f5637351899d その中には世界中での Office 365 ProPlus の展開経験を踏まえてのベスト プラクティスの情報も含まれています。 Title: ベスト プラクティス: 推奨される展開シナリオ URL: https://support.office.com/ja-jp/article/4d4ff951-ee72-4763-806a-deeb384a369b   3 つの推奨展開シナリオ 詳細は公開されているページを参照いただくこととして、今回はそこで示されているユーザー数などに応じた 3 つの推奨展開シナリオの内容を簡単にまとめてみましょう。なお、Office 展開ツールの設定ファイルの内容に関して本記事では詳細には記載しませんが、以下のページを参照ください。 Title: 概要: Office 展開ツール URL: https://technet.microsoft.com/JA-JP/library/jj219422.aspx Title: リファレンス: Office 展開ツールのオプションの構成 URL: https://technet.microsoft.com/JA-JP/library/jj219426.aspx Title: Office 365 ProPlus の更新設定を構成する…


スタッフ ワーカー・モバイル ワーカーの働き方を改善する Microsoft StaffHub の活用

こんにちは、プロダクティビティ担当の佐藤 J です。 今年の初めに Office 365 サービスに含まれる形で、Microsoft StaffHub というソリューションがリリースされたのはご存知でしょうか。 Title: Microsoft StaffHub のご紹介 URL: https://blogs.technet.microsoft.com/microsoft_office_/2017/01/16/microsoft-staffhub-is-here/ これまでデスク ワーカーを中心にご利用頂くことが主流であった Office 365 において、Microsoft StaffHub はスタッフ ワーカー・モバイル ワーカー (最前線で顧客対応をするケースも多く、まさに “企業の顔” となる従業員です!) を対象としたソリューションとなっています。今回はこちらについてご紹介します。   Microsoft StaffHub がリリースされた背景 日本においては政府の推進する働き方改革の影響もあり、デスク ワーカーについては BYOD や在宅勤務など、時間や場所を問わず、生産性を高めるための仕組み作りが進んでいます。一方で、工場で働くユーザーやアルバイトなどのスタッフ ワーカー・モバイル ワーカーについては紙ベースでの情報共有や対人でのコミュニケーションなどから脱却できていないケースがまだまだ多いのが現状です。デスク ワーカーとスタッフ ワーカー・モバイル ワーカーについて、代表的な 3 つのポイントで状況の違いをまとめると以下のようになります。 スマートフォンを代表に個人で所有する高機能なデバイスが爆発的に普及した今 (弊社が実施した従業員へのインタビューではスマートフォンの普及率はなんと 92 % でした!) 、それらを使用して、スタッフ ワーカー・モバイル ワーカーについてもその働き方を改革し、作業の現場から生産性を上げていき、企業全体としての競争力を上げていくことの必要性が増しています。   Microsoft StaffHub とは?…


モバイル端末への IM 会話履歴の保存禁止ポリシーの設定方法について – カスタム ポリシー利用方法その 1 –

こんにちは、Skype for Business Online/Microsoft Teams 担当の宮崎 悦子です。 前回もご紹介しました Skype for Business のカスタム ポリシーで、良くご要望のあるシナリオに対してどのように設定すればいいのか具体的にご案内いたします。   設定内容 Skype for Business のモバイル アプリにて、IM などで発生する会話履歴をモバイル アプリに残さない設定を、ユーザーごとに適用可能です。   設定手順 1. Windows PowerShell を使用して Skype for Business Online へ接続します 2. “AllowSaveIMHistory” のパラメーターを $false に設定した新規のモバイル ポリシーを作成します <コマンド> New-CsMobilityPolicy <ポリシー名> -AllowSaveIMHistory:$false 3. 対象のユーザーへ作成したポリシーを割り当てます <コマンド> Grant-CsMobilityPolicy <UserPrincipalName> -PolicyName <ポリシー名> * 上記で設定したポリシーがユーザーに反映されるまでには 2 時間程かかる場合がございます。  …


オンデマンド Flow による新しい SharePoint 通知

こんにちは、プロダクティビティ担当の秋本です。 先日、SharePoint Online の新しいライブラリおよびリストから Microsoft Flow のフローが作成可能な機能が先行リリース環境に提供開始されたことがアナウンスされました。 Title: Microsoft Flow の SharePoint ドキュメント ライブラリへの統合を発表 URL: https://blogs.technet.microsoft.com/microsoft_office_/2017/03/14/announcing-microsoft-flow-integration-for-sharepoint-document/ Title: SharePoint のリスト アイテムとドキュメントに対してオンデマンドでフローを実行 URL: https://blogs.technet.microsoft.com/microsoft_office_/2017/03/16/flow-on-demand-for-sharepoint-list-items-and-documents/ この機能は、Office 365 Roadmap にて「Flow Integration for Document Libraries」として記載されているものです。 URL: https://products.office.com/en-us/business/office-365-roadmap?featureid=75043 これによって、SharePoint を中心としたビジネス プロセスの効率化・自動化が更に進みますが、今回は、これまで長年愛されてきた (?) SharePoint の「通知」機能における以下のような使いにくい点を解決してみましょう。 条件指定ができない : “タイトル” 列に「重要」と記載されていたら、などの条件指定が難しいため、通知のメールの量が多くなってしまい、結局見なくなってしまう 通知メールの文面をカスタマイズできない : 固定された文面のため、通知内容を作成する側が気をつける必要がある 実行結果がわからない : 一般のユーザーには通知機能が実行されたかどうかを知る方法がないため、うまく動作しているかどうか判断できない もし、通知機能をご存じでなければ、以下のページを参照ください。 Title: 通知を管理する URL: https://support.office.com/ja-jp/article/99dfb19c-9a90-4a8c-aba1-aa8c8afb0de2   Microsoft…


Azure AD Connect のシングル サインオン & パススルー認証 (プレビュー) によるクラウド完結のユーザー認証インフラの実現

こんにちは、プロダクティビティ担当の和田です。 必要なのはわかってはいるのですが、AD FS サーバーの運用って、大変ですよね? ユーザーにシングル サインオン環境は提供したいが、せっかくクラウドを使用するのに、新規サーバーを構築して、かつ公的証明書などを含むサーバー運用が増えてしまうことは、出来れば避けたいという方が多いのではないかと思います。クラウド側に問題がなくても、AD FS サーバーに問題があると、全てのユーザーがクラウド アプリに接続できなくなってしまうので、重要な基盤です。ユーザー認証基盤は、クラウド アプリ利用とセキュリティー対策の根幹に関わるところですので、エンド ユーザーにはあまり意識されない部分ですが、システム全体をデザイン・運用していく上での最重要ポイントのひとつと言ってよいと思います。 今後は、より安全により簡単に、その運用負荷を軽減できるようになる予定です。 これを実現していくのが、現在パブリック プレビュー中の Azure AD Connect の新しい機能である、Azure AD シングル サインオン (SSO) 機能と、Azure AD パススルー認証機能です。 Azure AD SSO + パススルー認証は、簡単に言ってしまうと、AD FS サーバーを構築せずとも、Azure AD Connect ディレクトリ同期サーバーのみで、オンプレミスの Active Directory ドメインに参加している PC に対して SSO を提供できる、待望の機能です。 今までのパスワード ハッシュ同期でも、初回のサインイン時にブラウザーや Office でパスワードを保存して「サインインしたままにする」にチェックを入れれば、次回以降はパスワード有効期限までの間は、簡易 SSO (シングル ID ・シングルパスワード) として使用できていましたが、この Azure AD SSO +…


マイクロソフトが推奨する Office 365 利用時の Office クライアントとバージョンについて

こんにちは、プロダクティビティ担当の杉山 卓弥です。 Office 365 利用時の Office クライアントのサポート状況や推奨事項ついて、2017 年 2 月時点の情報を本記事でまとめてご紹介します。 本情報の内容(添付文書、リンク先などを含む)は、記事執筆時点のものであり、予告なく変更される場合があります。今後 Office 365 ご利用中・ご検討中の皆様にお知らせすべき情報が確認できましたら、本記事にてアップデートをさせていただきます。 Office クライアントに関するスケジュール   1. Office 365 ProPlus (2013 バージョン) サポートの終了 2017/02/28 をもって Office 365 ProPlus (2013 バージョン) のサポートは終了します。2017/03/01 以降も Office 365 ProPlus (2013 バージョン) を利用し続けることは可能ですが、以下のサポート チーム ブログで記載の通り様々な制約が発生しますので、できる限り速やかに Office 365 ProPlus (2016 バージョン) へのアップグレードをご検討ください。 サポート チーム ブログ Title: 2017/2/28 に Office 365…


自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions)

2017/03/13 : プロキシ サーバーに追加する HTTP ヘッダーの情報を更新いたしました。 こんにちは、プロダクティビティ担当の和田です。 セキュリティ要件が厳しい組織や業界の場合、Office 365 の利用開始を検討する際、Firewall やプロキシ サーバーでアクセス リスト (ACL) の変更を行い、ホワイトリストに Office 365 で使用するドメイン名や URL を追加して、接続許可の対処をしなければならない場合があります。その際、Office 365 で使用される接続先 URL は全世界共通であるため、自社テナントへの接続を許可すると、他社のテナントや社員が個人契約したテナント、試用版で作成した評価テナントなど、すべての Office 365 テナントへ接続が行えるようになってしまうため、一部のお客様ではこれがセキュリティ リスクとして捉えられてしまうケースがありました。 これに対応するため、Azure Active Directory の機能拡張を行い、「テナントの制限」 (Tenant Restrictions) 機能が一般提供開始されました。(昨年の Tech Summit 2016 ではお伝えできませんでしたが、ようやくリリースされました!) この機能を使用すると、組織内 LAN から接続を許可するテナントを制御することができます。テナント制限を実現するには、プロキシ サーバーで以下の 2  つの HTTP ヘッダーを挿入します。 Restrict-Access-To-Tenants Restrict-Access-Context ヘッダーを挿入する パケット・ URL は以下の 3 つのみで…


Skype for Business Online カスタム ポリシーのリリース

こんにちは、プロダクティビティ担当の杉山 卓弥です。 Skype for Business Online ではこれまで予め Office 365 で用意された会議ポリシーやクライアント ポリシーを適用する方法しかありませんでしたが、このたび組織のコンプライアンス要件に柔軟に対応するべく、詳細にポリシーの設定ができるカスタム ポリシーがリリースされました。 一例ではありますが、会議ポリシー、クライアント ポリシーそれぞれ以下のように新規作成することができます。   例 1 : 会議ポリシーにて、会議でビデオと音声使用の強制無効化 New-CsConferencingPolicy -Identity CustomConferencingPolicy -AllowIPAudio $false -AllowIPVideo $false Grant-CsConferencingPolicy -Identity User001@contoso.com -PolicyName CustomConferencingPolicy   会議ポリシー適用前 会議ポリシー適用後   例 2 : クライアント ポリシーにて、ユーザーの “IM の会話履歴への保存”・”通話ログの保存”・”FreeBusy の情報公開” を強制有効化 New-CsClientPolicy -Identity CustomClientPolicy -EnableIMAutoArchiving $true -EnableCallLogAutoArchiving $true -DisableFreeBusyInfo $false Grant-CsClientPolicy -Identity User001@contoso.com…


Advanced Threat Protection (ATP) の Safe Attachments によりマルウェアが検知された場合の挙動

こんにちは、プロダクティビティ担当の杉山 卓弥です。 Office 365 E5 のセキュリティ コンポーネントの 1 つである Advanced Threat Protection (ATP) ですが、未知のマルウェア対策の機能である Safe Attachments (安全な添付ファイル) の動作検証が難しいというお声をよくいただきます。本記事では、ATP の Safe Attachments にてマルウェアが検知された場合の挙動、特に設定いただいているケースが多い 「置換」 アクションについて詳しくご紹介します。 Safe Attachments ポリシーでは、マルウェアが検知された場合のアクションとして以下の設定オプションが提供されています。 オフ : 添付ファイルのマルウェアをスキャンしません。 モニター : マルウェアの検出後もメッセージの配信を続行し、スキャン結果のみ追跡します。 ブロック : マルウェアが検出されたメッセージと添付ファイルをブロックします。 置換 : マルウェアが検出された添付ファイルのみブロックし、メッセージの配信を続行します。 動的配信 (※記事執筆時点ではパブリック プレビュー) 設定画面   「置換」 アクションは、添付ファイル内で未知のマルウェアが検出された場合に添付ファイルのみブロックし、メッセージ自体はスキャン完了後に配信をするアクションです。Safe Attachments によりマルウェアが検知されると、ユーザー メールボックスには検知されたことを示すテキスト ファイルが添付された状態で配信されます。 受信メッセージ例 添付テキストの内容例 また、Safe Attachments ポリシーの…