Today I had an interesting case come across my desk.  A customer wanted to enforce that all external messages came through their third party cloud gateway.  In an effort to prevent bypassing the gateway and having mail traffic come directly into Office 365 the customer wanted to craft a transport rule to catch and quarantine these messages.  The rule was created as follows:

Execute the rule on any sender that is external to the organization.  Perform the action quarantine on the message.  (In this instance though the rule just audited because the customer was testing – an awesome idea by the way).  The rule should fire except when the submitting IP address is a dedicated IP address provided by the third party cloud gateway.

In most of all instances the rule looked like it was firing perfectly.  Messages that were submitted directly to Office 365 bypassing the primary MX record were captured when an external sender was involved.  When reviewing some messages that were captured by the rule the customer noticed something odd – a handful of the messages were sourced from and delivered to Office 365 servers.  There were no external servers involved in the transmission.  How did an external sender manage to submit messages sourced on Office 365 servers and destined to Office 365 servers.  Let’s take a look.

The first thing we did was gather a sample message header from Outlook.  Using http://www.testexchangeconnectivity.com and the message header analyzer we had the message header parsed.  The first thing we looked at were the transmission hops. 

Hop↓
Submitting host
Receiving host
Time
Delay
Type⇒

1
CY4PR0501MB3908.namprd05.prod.outlook.com ([::1])
CY4PR0501MB3908.namprd05.prod.outlook.com ([fe80::70ad:f6a:5ede:2b92%13])
‎10‎/‎13‎/‎2017‎ ‎4‎:‎27‎:‎46‎ ‎PM

Microsoft SMTP Server

2
CY4PR0501MB3908.namprd05.prod.outlook.com (52.132.100.162)
DM5PR05MB2938.namprd05.prod.outlook.com (10.168.176.138)
‎10‎/‎13‎/‎2017‎ ‎4‎:‎27‎:‎46‎ ‎PM

0 seconds

Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256)

3
DM5PR05MB2938.namprd05.prod.outlook.com (10.168.176.138)
BY1PR0501MB1223.namprd05.prod.outlook.com (10.160.104.150)
‎10‎/‎13‎/‎2017‎ ‎4‎:‎27‎:‎47‎ ‎PM

1 second

Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256)

4
BY1PR0501MB1223.namprd05.prod.outlook.com (10.160.104.150)
BN3PR0501MB1220.namprd05.prod.outlook.com (10.160.113.28)
‎10‎/‎13‎/‎2017‎ ‎4‎:‎27‎:‎47‎ ‎PM

0 seconds

Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256)

In this instance the situation was exactly as the customer described.  The first hop was an Office 365 server and the last hop was an Office 365 server.  The rule had fired on a message that did not originate through an external mail system.

The next header entry reviewed were the recipients.  The from header shows externaluser@externaldomain.com and the recipient is internalUser@office365domain.com.  This validated that the sender was external matching the transport rule apply to for messages originating from senders external to the organization.

So far the conditions for the rule to fire seem to be accurate –> the sender is validated as external, the message did not come from a third party gateway IP address, therefore action should be taken.  We still don’t know why though – why did a message that is seemingly completely external originate from an Office 365 server?

As we move through the header investigation we see additional entries that leads us to a conclusion that not everything is as it appears.  There were custom X headers that were added by the third party gateway.  If the message had originated directly on Office 365 why would there be custome headers stamped by the third party gateway?  This would seemingly indicate that the message passed through this third party gateway where actions were performed.  For example X-ThirdParty-Virus-Version and X-ThirdParty-Spam-Details were present in the header. 

Continuing to move through the header we note the presence of X-MS-Exchange-Parent-Message-ID.  This message id has the following value < numberString@google.com >.  This reinforces that the message was generated externally – it has an encapsulated original message ID from a remote mail system.  The message ID of this message is < fa80351799674b019521923f47ee0125@CY4PR0501MB3908.namprd05.prod.outlook.com >.  The message ID being an Office 365 message ID continues to reinforce that this message was generated within Office 365. 

Then we come to the following message headers that really crack this case wide open. 

X-MS-Exchange-Generated-Message-Source: Mailbox Rules Agent

X-MS-Exchange-Inbox-Rules-Loop:  recipient@office365domain.com

In this instance this message was actually generated within Office 365 and the message was actually from an external sender.  The reason it was generated is that the recipient listed in X-MS-Exchange-Inbox-Rules-Loop had an Outlook inbox redirect rule established.  The redirect rule creates a new message within Office 365, retains the original message headers including the from address, but changes the to recipient to the specified recipient.  We were able to track the forwarding rule down using this post - https://blogs.technet.microsoft.com/timmcmic/2015/04/19/office-365-determine-accounts-that-have-forwarding-enabled/.  When using this post and the recipient specified in the header the inbox rule containing the TO recipient was located and validated.  This confirms the message was redirected.

In this instance the rule did exactly what it was supposed to.  The sender was external, the recipient was internal, and the message did not originate from one of the IP addresses provided by the third party gateway. 

SC 2016 Data Protection Manager (SC DPM) is an enterprise backup solution, which gives you the ability to backup workloads as SQL, SharePoint, Exchange, System State, Files and Folders, Hyper-V & VMWare VMs, and Clients. These backups can be stored on disks for short term, and sent to Azure for your Long Term Retention and Offsite copy requirements. With Modern Backup Storage, you can achieve upto 50%  storage savings, 3x faster backups, and efficient backup storage utilization.

Now, with Backup Storage Migration in SC 2016 DPM UR4, you can move your backups on-permises for more optimised storage management. For example, during storage upgrade, you can move certain datasources like frequently backed up SQL DBs to higher performant storage to achieve better results. You can also move your datasources to other volumes when a volume is getting filled and cannot be extended.

How to migrate backups

Backup Storage can be migrated in 3 simple steps:

1. In the “Protection” tab in the UI, select the workload you wish to migrate, and click on “Move Disk Storage”
2. This will bring a pop up, specifying the current volume the datsource is on, and the volumes it can be migrated to. Select the target volume and click “OK”.
3. This will begin the migration process. For monitoring scheduled jobs, you can open another DPM console parallelly while the migration is in progress.

Here is an example of achieving the same using PowerShell:

Create a modifiable Protection Group the of the PG the datasource is in.

$pg = Get-DPMProtectionGroup
$mpg = Get-DPMModifiableProtectionGroup $pg[0]

Get the datasource you wish to migrate, and the volume you wish to migrate it to.

$ds = Get-DPMDatasource $mpg
$vols = Get-DPMDiskStorage -Volumes

Modify the disk allocation for the datasource, and save the PG.

Set-DPMDatasourceDiskAllocation -ProtectionGroup $mpg -Datasource $ds[0] -TargetStorage $vols[0] -MigrateDatasourceDataFromDPM
Set-ProtectionGroup $mpg

These steps enable you to have more control over your storage while giving you the freedom to balance storage utilization across volumes.

Related links and additional content

• Browse documentation or reach out to SCDPM forum for support
• Tell us how we can improve SCDPM and Azure Backup: Contribute new ideas and vote on existing ones
• Follow us on Twitter and Channel9
• Questions? Reach out to us at AskAzureBackupTeam@microsoft.com

System Center 2016 Data Protection Manager can backup key workloads such as SQL, SharePoint, Exchange, file servers, clients and VMs running on Hyper-V or VMware. With Modern Backup Storage and RCT based Hyper-V VM backups, DPM 2016 goes a step further in enhancing Enterprise backups by completely restructuring the way data is backed up and stored, delivering 50% storage savings, 3x faster backups, and efficient backup storage utilization with Workload Aware Storage.

SC 2016 DPM UR4, gives you more power to manage the storage on your DPM server while making an enterprise deployment more secure. In scenarios as storage upgrade, or storage getting full, you can move your backups to other storage to optimize storage consumption. Further, DPM now supports TLS 1.2, ensuring that all communication for backup is secure with the latest technologies.

Announcing Backup Storage Migration

With DPM 2016, we announced Workload aware storage, where you configure certain workloads to be backed up to specific storage, based on storage properties. However, after configuration, you may find a need to move backups of certain datasources to other storage for optimized resource utilization. DPM 2016 gives you the capability to migrate your backups and configure them to be stored to a different target in 3 steps.

Prevent unexpected data loss

In enterprises, DPM servers are managed by a team of Administrators. While there are guidelines on storage that should be used for backups, a wrong volume given to DPM as backup storage may lead to loss of critical data. Hence, with UR4, you can prevent such scenarios by configuring those volumes to not be shown as available for storage using PowerShell.

Custom Size Allocation

DPM 2016 consumes storage thinly, as and when needed. To do so DPM calculates the size of the data being backed up when its configured for protection. However, if a lot of files and folders are being backed up together, as in the case of a file server, size calculation can take long time. With DPM 2016, you can configure DPM to accept the volume size as default instead of calculating the size of each file, hence saving time.

Optimized CC for RCT VMs

DPM 2016 uses RCT (the native change tracking in Hyper-V), which decreases the need for time-consuming consistency checks in scenarios as VM crashes. RCT provides better resiliency than the change tracking provided by VSS snapshot-based backups. UR4 optimizes network and storage consumption further by transferring only the changed data during any Consistency Checks.

Secure backups with TLS 1.2

TLS 1.2 is the secure way of communication suggested by Microsoft with best-in class encryption. DPM now supports TLS 1.2 communication between DPM and the Protected Servers, for certificate based authentication, and for cloud backups.

These features give you more control over your backups, while keeping any communication for backups secure.

Related links and additional content

• Browse documentation or reach out to SCDPM forum for support
• Tell us how we can improve SCDPM and Azure Backup: Contribute new ideas and vote on existing ones
• Follow us on Twitter and Channel9
• Questions? Reach out to us at AskAzureBackupTeam@microsoft.com

In this case, the customer had the following request:

We migrated domains two years ago, and now are wanting to decommission the old domain (tailspintoys.org).

We would like to set up some sort of catch all for messages sent to the old domain that would respond back with "sorry this domain has been decommissioned, please try your contact's address with @contoso.org" or something like that. Then we can run with that for a year or so before decommissioning the domain. Can this be done or something like it?

At first we would think that we simply could create a transport rule that uses the condition of "The recipient address includes..." and specify tailspintoys.org in the list of words or phrases for the condition. However when we tried this, the rule did not fire on emails sent to user@tailspintoys.org. This seems to be because when we check the recipient in Exchange for the rule condition, we only see the recipient's primary SMTP address.

The solution I found is that creating a new rule with “Create a new rule” and then clicking “More options”, I used the following condition:
- Apply this rule if… A message header includes: 'authentication-results' header includes 'tailspintoys.org'
- Do the following Reject the message with the explanation: 'sorry this domain has been decommissioned, please try your contact's address with @contoso.org'

This works because the authentication-results header always contains the domain that the message was sent to.

I can’t take full credit for this solution, as I found it in a post or old support case (can’t remember which) I looked at as I was searching for answers.

Indicators of Compromise (IoC) are individually-known malicious events that indicate that a network, or a computer has already been breached. You can find a lot of IoC at OpenIOC (www.openioc.org), such as the Zeus IoC. In some circumstances, the IoCs will indicate the existence of a particular file in the system, or the execution of a particular command. For example, one of the WannaCry IoC is the presence of the following files in the system:

• %SystemRoot%mssecsvc.exe
• %SystemRoot%tasksche.exe
• %SystemRoot%qeriuwjhrf
• wnry
• wnry
• wnry
• wnry
• wnry
• wnry
• wnry
• exe
• exe
• eky
• res
• pky
• @WanaDecryptor@.exe
• @Please_Read_Me@.txt
• vbs
• @WanaDecryptor@.exe.lnk
• @WanaDecryptor@.bmp
• bat
• exe
• exe
• Files with ".wnry" extension
• Files with ".WNCRY" extension

Source: WannaCrypt ransomware worm targets out-of-date systems

If you are using Azure Security Center, chances are that Security Center will catch a compromised system before you do. Such as when Petya outbreak happened, and Security Center was able to identify a compromised system just in a few hours (see more info about that here). But, if you still need to perform an investigation to look for compromised systems, you can use the Search capability in Security Center. You can start by searching for Event ID 4688, which is created when a new process is created in Windows (7 and beyond). In addition to that, you can also specify the file created by the malware that you are hunting (based on the info that you gather regarding's the malware IoC). For the purpose of this example, I’m going to search for a command line that contains a PowerShell Script, as shown below:

Here it is the result of this query:

Notice that we have the EventID, the description of the event, the command line, the ProcessID, and the process’s path. Just here you have a good amount of information to continue your research on the target system, and if you were searching precisely for the file created by the malware, you could see it here (assuming the file was executed at some point).

The customer in this case had an Archive policy set on the mailbox that should move all items older than 1 day to archive, and items were not moving at all.

We went through a lot of "typical" troubleshooting that we would look at when items are not being moved to the archive. (An example of this would be the information in https://blogs.technet.microsoft.com/ehlro/2014/01/15/more-on-exchange-retention-and-archiving-policiestroubleshooting/)

After consultation with one of our Escalation Engineers that works with the Exchange Online engineering team responsible for the MRM/Archive features, I was able to get the information I needed to help the customer solve the problem.

Normally when troubleshooting whether or not items have a retention/archive policy assigned, we will look at the properties of individual items with MFCMAPI to see what expiration information they have on them. I found out in this case that when we have a Default Move to Archive tag applied, we do not actually tag the items, but we create a Search Folder in the mailbox to "query" for the items that should be moved.

The specific instructions for checking the Search Folder were:
Use MFC Mapi and go to Root Container -> Finder and open the folder NoArchiveTagSearchFolder...
When you open the folder it should show all items that do not have an archive tag - these are the items that MRM would process based on the default tag.
Sort by Receive date. Are there any items that should expire? If the folder does not exist, then MRM may not be recognizing the default archive tag.

The folder did exist here, but there were no items showing up in it, even though there were plenty of items.

We deleted the search folder with MFCMAPI, and then ran the following command in PowerShell connected to Exchange Online (https://technet.microsoft.com/en-us/library/jj984289(v=exchg.160).aspx):
Start-ManagedFolderAssistant username

After this, items started moving to the archive as expected. We also could check with MFCMAPI and see the search folder now showed items that should move to archive, but had not yet moved.

The customer here was trying to migrate a mailbox from an Exchange 2010 server to Exchange Online. Exchange 2013 was being used as the hybrid server and MRS proxy. Server/domain/item names have been changed to protect the innocent.

The error being encountered was:
CommunicationErrorTransientException: The call to 'https://mail3.state.nn.us/EWS/mrsproxy.svc XYZ-SERVER.domain.w2k.state.nn.us (15.0.1104.4 caps:1F7FFFFFCB07FFFF)' failed. Error details: Server returned an invalid SOAP Fault.  Please see InnerException for more details. --> Unexpected end of file. Following elements are not closed: DataContextData, MailboxReplicationServiceFault, Detail, Fault, Body, Envelope. Line 56, position 62588.. --> Server returned an invalid SOAP Fault.  Please see InnerException for more details. --> Unexpected end of file. Following elements are not closed: DataContextData, MailboxReplicationServiceFault, Detail, Fault, Body, Envelope. Line 56, position 62588

Digging into this error, this would indicate some sort of failure on the source side. We started by looking for events in the application log on the 2013 server being used as the MRS Proxy.
- Nothing found there

We then looked at the 2010 Mailbox server the mailbox was on and found events with ID 8506, indicating problems reading the properties of an item.

We tried executing New-MailboxRepairRequest -CorruptionType SearchFolder,FolderView,AggregateCounts,ProvisionedFolder,MessagePTAGCn,MessageID on the Exchange 2010 server

This executed and the application log indicated it completed, but our move still failed.

We next attempted to move the mailbox to a 2013 server. This initially failed, but the move report for it gave me the following:
7/26/2017 6:45:39 PM Informational A corrupted item was encountered: Item (IPM.Appointment) Subject:"", Folder:"Deletions"
7/26/2017 6:45:39 PM Informational A corrupted item was encountered: Item (IPM.Appointment) Subject:"", Folder:"Recoverable Items"
7/26/2017 6:45:39 PM Informational A corrupted item was encountered: Item (IPM.Appointment) Subject:"Some calendar item", Folder:"Recoverable Items"
7/26/2017 6:45:39 PM Informational A corrupted item was encountered: Item (IPM.Appointment) Subject:"", Folder:"Recoverable Items"
7/26/2017 6:45:39 PM Informational A corrupted item was encountered: Item (IPM.Appointment) Subject:"", Folder:"Recoverable Items"
7/26/2017 6:45:39 PM Informational A corrupted item was encountered: Item (IPM.Appointment) Subject:"", Folder:"Recoverable Items"
7/26/2017 6:45:39 PM Informational A corrupted item was encountered: Item (IPM.Appointment) Subject:"Some other item", Folder:"Recoverable Items"
7/26/2017 6:45:39 PM Informational A corrupted item was encountered: Item (IPM.Appointment) Subject:"", Folder:"Recoverable Items"
7/26/2017 6:50:06 PM Informational Copying messages is complete. Copying rules and security descriptors.
7/26/2017 6:50:09 PM Informational Initial seeding completed, 11950 items copied, total size 361.4 MB (378,940,277 bytes).
7/26/2017 6:50:09 PM Informational Stage: CopyingMessages. Percent complete: 95.
7/26/2017 6:50:09 PM Informational Copy progress: 11950/11950 messages, 361.4 MB (378,940,277 bytes)/361.4 MB (378,940,277 bytes), 46/54 folders completed.
7/26/2017 6:50:09 PM Error         Fatal error TooManyBadItemsPermanentException has occurred.

We used Set-MoveRequest -baditemlimit 25 and then Resume-MoveRequest to modify the bad items allowed to be lost for this move, and then resume the move.
- It completed

We then removed the on-prem move request and started a new migration to O365.
-Migration was successful - case resolved

Microsoft is aware of the following time zone changes which will take effect over the next few months:

1. The Republic of the Fiji Islands ends DST on January 14, 2018 instead of January 21, 2018.
2. Northern Cyprus reinstitutes winter time starting October 29, 2017.
3. The Republic of the Sudan switches from UTC+03:00 to UTC+02:00 on November 11, 2017. A new Windows time zone will be created to reflect this change.
4. The Kingdom of Tonga cancels DST which was previously scheduled to start on November 5, 2017.
5. The Republic of Namibia will permanently switch from UTC+01:00 to UTC+02:00 on September 3, 2017 at 02:00 hours. DST was previously scheduled to end on April 1, 2018 at 02:00 hours.
6. The Turks & Caicos Islands will switch from UTC-04:00 all year to UTC-05:00 with US DST on March 11, 2018 at 03:00 hours.

Our official policy statement can be found on the site at http://microsoft.com/time.

Though we plan to release a data update, there is insufficient lead before some of these time changes goes into effect.  Therefore, we offer the following guidance temporary workaround until such an update can be properly created, tested, distributed, and installed.

Interim Guidance for Northern Cyprus

Until an update is made available, we recommend our customers to continue using time zone “(UTC+02:00) Athens, Bucharest” from October 29, 2017. Selecting this time zone will correctly reflect the time in Northern Cyprus.

Interim Guidance for Sudan

Until an update is made available, we recommend our customers to continue using time zone “(UTC+02:00) Harare, Pretoria” from November 1, 2017. Selecting this time zone will correctly reflect the time in Sudan. Once an update is made available, we recommend customers to switch to the new time zone that will be introduced for the Republic of Sudan.

Interim Guidance for Tonga

Until an update is made available, we recommend our customers who have selected “(UTC +13:00) Nuku'alofa” to disable the "Adjust for daylight savings time automatically" option in the Date & Time Settings page. Doing so will correctly reflect the time in Tonga.

Our customers often request information on where certain actions, functions, and activities are stored/audited within SharePoint Online as well as how to access this data. This article pulls together the different scenarios and options that are currently available for auditing within SharePoint Online (this article will not include options added or removed after October 2017, unless otherwise noted):

Legacy Site Auditing

The following article goes into what activities are available via the legacy SharePoint auditing feature as well as how to set it up and configure it: Set-up and Configure Auditing for SharePoint Site Collection

Here is a reminder of the events that are audited using the legacy site auditing as well as some examples from the report:

• Editing items
• Checking out or checking in items
• Moving or copying items to another location in the site
• Deleting or restoring items
• Editing content types and columns
  • See section Limited/Partial/No Auditing Further details below

• Editing users and permissions
• Searching site content

 Things to Note:

• Searching site content and Popularity reports are only available as part of the legacy site auditing.
• As "Opening or downloading documents, viewing items in lists, or viewing item properties" is not available for SharePoint Online if you try to view the Content Viewing report:or create a custom report with only "Opening or downloading documents, viewing items in lists, or viewing item properties" selected, you will see this message which is expected behavior:

Audit logs in the Office 365 Compliance Center

The following article provides an overview of the Audit logs in the Office 365 Compliance Center, as well as basic set-up and configuration: Overview of Office 365 Auditing

The scenarios listed below are the most common SharePoint Online events that Administrators and users need information on and can be surfaced via the Audit logs in the Office 365 Compliance Center:

• Site Creation/deletion
• Editing items
• Checking out or checking in items
• Moving or copying items to another location in the site
• Deleting or restoring items
• Opening or downloading documents, viewing items in lists, or viewing item properties
• Editing content types and columns
  • See section "Limited/Partial/No Auditing Further details" below.

• Editing users and permissions
• Auditing AD Security groups membership/changes that are used to give permission to SPO resources
• Enable/Disable Features or changing sites Setting 
  • See section "Limited/Partial/No Auditing Further details" below.

• Changing Tenant Settings
  • See section "Limited/Partial/No Auditing Further details" below.

Things to Note:

• When trying to reduce the number of activities returned by providing a user, make sure that you look for UPN and email (especially if they are different) to ensure a full set of results is retuned.
• You can search the Office 365 audit log for activities that were performed within the last 90 days.
• The following article goes into detail of the properties that are currently captured for the different services in Office 365:  Detailed Properties in the Office 365 audit log

Limited/Partial /No Auditing Further details

• Adding/Editing content types and columns: For adding or editing content types and fields you won't be able to get the exact activity but searching for the page associated with Content types and Site columns in Office 365 Audit Logs will allow you to gather some information on who and when these changes could have been made. Here is an example of editing a Site Columns:

• User profile properties: Currently there is no auditing of add/delete/updates made to User Profile Properties
• Enable/Disable Features or changing sites Setting: Currently there isn't any direct auditing of features being enabled and disabled however often times when enabling features, it will result in the creation of certain list and libraries which could be used to determine timeframe etc.
• Changing Tenant Settings: For changing tenant setting there isn't an exact activity but searching for "admin"in the "File, folder or site" and find the items that are related to "TenantSettings.aspx".The other option is to search for the exact link. Example of the link you can use: https://contoso-admin.sharepoint.com/_layouts/15/online/TenantSettings.aspx

If it is critical to determine the following event:

• Adding/Editing content types and columns
• Enable/Disable Features or changing sites Setting
• Changing Tenant Settings

there are instances that support can work to get further information but we have to work within certain boundaries. The current boundaries are  as follows:

• The activity needs to have occurred in the last 60 days though it is preferable if it is in the last 30 days.
• The activity needs to be isolated to a few day timeframe

Once you have that information please engage support via a support request.  The more information you provide increases the chances of being able to successfully isolate events.

Other Auditing options

If you have developers and want to monitor sites/list/libraries more closely then custom code is an option. The following article provides a good example of how this could be accomplished: https://msdn.microsoft.com/en-us/pnp_articles/query-sharepoint-change-log-with-changequery-and-changetoken

Here is a simple example CSOM script:

[CmdletBinding(DefaultParameterSetName="UseCustomTermSet")]
Param
(
[Parameter(Mandatory=$true)]
$url
)

$loadInfo1 = [System.Reflection.Assembly]::LoadWithPartialName("Microsoft.SharePoint.Client")
$loadInfo2 = [System.Reflection.Assembly]::LoadWithPartialName("Microsoft.SharePoint.Client.Runtime")
$cred = get-credential
$clientContext = New-Object Microsoft.SharePoint.Client.ClientContext($url)
$credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($cred.username, $cred.password)
$clientContext.Credentials = $credentials
$site = $clientContext.Site
$clientContext.Load($site)
$clientContext.ExecuteQuery()

$changeQuery = New-Object Microsoft.SharePoint.Client.ChangeQuery($true, $true)

$changes = $site.GetChanges($changeQuery)

$clientContext.Load($changes)
$clientContext.ExecuteQuery()

foreach ($change in $changes)
{
if ($change)
{
$change
}
}

If you have feedback or areas that you would like to see auditing made available, please submit the feedback/requests to these locations:

Office 365 Auditing: https://office365.uservoice.com/forums/289138-office-365-security-compliance

Legacy Auditing: https://sharepoint.uservoice.com

3 年ほど前に OneDrive と OneDrive for Business の比較記事を書いてから少し時間が経ちました。クラウド ストレージは、メールと並んで最も馴染みのあるクラウド サービスで、市場の変化が大変激しく、多くのクラウド ベンダーがしのぎを削っているところでもあります。OneDrive、OneDrive for Business などのストレージサービスは 3 年前と比べて様々な変更が加えられました。今回の記事では、これらの変更点を踏まえて、改めて無料の OneDrive、有料の OneDrive for Businessをはじめとするサービスの違いについて解説したいと思います。

OneDriveとは?

OneDrive for Business の話をする前に、まず前からある無償の OneDrive がどういうサービスかということについて、おさらいしておきましょう。

OneDrive は、もともと、一般消費者向けの無償クラウドサービスのブランドである Windows Live サービスの 1 つとして 2008 年から日本でもサービスを行っている大容量クラウド ストレージサービスです。アカウントを作成することで、無償で 5 GB のディスク容量をクラウド上に持つことができます。

OneDrive は Windows や Office と統合される機能を持っていることが特長で、Office ファイルをアップロードすると、Office Online で閲覧や編集を行うことも可能です。Windows PC、Mac、スマートフォン、タブレットデバイスで利用できるOneDrive アプリを入手することで、Windows PC ではエクスプローラから利用、Mac では Finder から利用、Windows Phone、iPhone、iPad、Android では専用アプリからのアクセスが可能となります。また、OneDrive アプリがなくてもブラウザーからのアクセスも可能です。Windows 10 では OS に OneDrive アプリの機能が組み込まれています。

Windows では OneDrive アプリでエクスプローラとシェル統合を行うことができます。既定では、ユーザープロファイルフォルダーの下に「OneDrive」というフォルダーが作成され、クラウド上の OneDrive にあるファイルとローカル PC 上にあるファイルが双方向で同期されます。

Mac でも専用のOneDrive アプリのインストールにより、Windows と似たような Finder 統合のインターフェイスを実現できます。

プランは一般消費者向けの Office 365 である Office 365 Solo に含まれているプラン、OneDrive 単体の有料プラン、無料プランの 3 種類があり、有料プランでは、無料プランよりも価格に応じて多くのストレージ容量が提供されます。

図: 2017 年 10 月現在の一般消費者向けプラン

OneDrive for Business とは?

OneDrive for Business は、一般消費者向けの OneDrive で提供している機能を、法人・団体向けに管理者が中央から管理がきちんとできるように提供する仕組みです。OneDrive の機能は便利ですが、企業で利用する場合、意図しない形で情報が共有され情報漏えいしてしまったり、サービスが無断で中断されたりということがないように、企業で利用するに足りる条件を付加したものが OneDrive for Business であると考えてください。

つまり、一般消費者向けの OneDrive に対応する組織向け機能が OneDrive for Business です。前者は基本、無償であり、後者は有償ですが、なぜそういう違いが出てくるのかについてはブログ記事「2017 年度版: 一般消費者向けクラウドと組織向けクラウドの本質的な違い」をご覧ください。

それでは、OneDrive for Business の提供機能の詳細についてみていきましょう。

OneDrive for Business は、組織内ポータルである SharePoint の中にある個人用ドキュメント ライブラリのストレージです。SharePoint Online が付属しない単体のプランも存在します。また、オンプレミスの SharePoint 2016 でも OneDrive for Business の名称で個人用ドキュメント ライブラリがオンプレミスで利用できます。

使える基本機能は一般消費者向けの OneDrive と似ていますが、99.9% の稼働率を保証するサービスレベル契約 (SLA) がついているのに加え、バックエンドは SharePoint テクノロジーに基づいて作られていますので、Office ファイルのクイックプレビューやバージョン履歴の保持、チェックイン/チェックアウト、ワークフロー連携や、管理者による機能制限やポリシーの適用まで、組織で利用するのに足る信頼性と組織化された管理機能を提供します。

OneDrive for Business には 2 つのプラン (プラン 1 とプラン 2) が存在します。プラン 2 はより高額になりますが、より大量のストレージ容量や高度なセキュリティ/コンプライアンス機能が利用できます。

図: 2017 年 10 月現在の組織向けプラン

*  無制限の OneDrive ストレージをご利用いただけるのはサブスクリプションのユーザー数が 5 人以上の場合です。初期容量としてユーザー 1 人あたり 5 TB が割り当てられます。追加の OneDrive ストレージが必要になった場合は、その都度 Microsoft サポートにリクエストしていただけます。5 ユーザー未満のサブスクリプションの場合は、ユーザー 1 人あたり 1 TB の OneDrive ストレージが割り当てられます。

さまざまなデバイスとの連携については、Windows については、既出の OneDrive アプリでエクスプローラとシェル統合を行うことができます (かつてあった OneDrive for Business アプリは一般消費者向けの OneDrive アプリに統合され、いまは両者共通のアプリとなっています)。OneDrive と Windows PC を同期する設定を行うと、既定では、ユーザープロファイルフォルダーの下に「OneDrive - (組織名)」「OneDrive @ (組織名)」または「OneDrive for Business」というフォルダーが作成され (はじめてフォルダーを作成した時期に依存します)、クラウド上の OneDrive for Business にあるファイルとローカル PC 上にあるファイルが双方向で同期されます。この辺は OneDrive と似ています。

ちょっと脱線: OneDrive アプリのちょっと便利な機能

ここでちょっと脱線ですが、一般消費者向け OneDrive でも組織向け OneDrive for Business でも利用できる便利な同期機能として、ドライブの中で同期できるファイルやフォルダーを選択できるというものがあります。ローカルディスクの容量を圧迫することなく適切な量だけローカルにファイルを同期しておけるので、これはどちらの OneDrive を使っていても利用すべき機能です。

また、今後は Windows 10 Fall Creators Update でOneDrive アプリに実装される「ファイル オンデマンド機能」を使うと、ローカルに同期していないファイルもエクスプローラー上に表示されるようになります。これを利用することで、ますますシームレスに OneDrive が利用できるようになる予定です。

SharePoint, Office 365 と OneDrive for Business の違いは?

SharePoint には、チームサイトの中にもドキュメント ライブラリがありますが、OneDrive for Business との使い分けは、OneDrive for Business は組織の中においての自分管理のドキュメント (組織内個人としてのドキュメント) の置き場所、チームサイトなどでは、プロジェクトメンバーや全社員と共有することが前提のドキュメントを置いておく、といった具合に行います。

OneDrive for Business、SharePoint Online、Office 365 はそれぞれカバーしている機能の範囲が異なります。いずれも「組織内個人ストレージ」の機能は持っていますが、ほかにも機能がついています。

OneDrive と OneDrive for Business の機能比較表

いままで文章で説明してきたことを簡単に表にまとめてみました。表で一覧にすると、理解も深まると思いますので、ご活用ください。

関連記事

• ドキュメントを OneDrive for Business とチーム サイトのどちらに保存すればよいか
• OneDrive, OneDrive for Business, Office 365, SharePoint の違いは?
• OneDrive ファイル オンデマンドなどの新機能を導入して、ファイルへのアクセスを容易にする (Office Blog)

Today, October 24^th 2017, the product roadmap for Microsoft Teams was released via the Microsoft Technical Community (original blog post here). A link to the roadmap can be found here and reflects Microsoft's current expectations about Skype for Business capabilities coming to Teams. Note that dates and individual features may change and should not be relied upon in making purchasing decisions. An Ask Me Anything (AMA) for Microsoft Teams is being held on October 25^th 2017 and can be found here – bring your roadmap questions!

Feel free to use this blog post as a future reference. Enjoy!

皆様、こんにちは。System Center Configuration Manager サポート チームです。

今回は System Center Configuration Manager クライアントがインストールされた PC でマスター イメージを再取得する手順をご紹介します。本手順を利用いただきますと、クライアント エージェントをアンインストールすることなく、再イメージングが可能です。

同じ参照コンピューターで、再度マスター イメージを取得するシナリオは度々発生するかと思いますが、System Center Configuration Manager クライアントが動作していると、端末に一意の情報が保持されておりますので、それを削除した上で、マスター イメージを再取得する必要があります。本手順を実施していない場合は、展開後に一意の情報が重複して、正常に管理することができなくなりますので、ご留意くださいますようお願い申し上げます。

対象製品

System Center 2012 Configuration Manager

System Center 2012 R2 Configuration Manager

System Center Configuration Manager Current Branch / LTSB

手順

次の手順を実施して、サイト コードをクリアし、一意の情報を削除してから、マスター イメージを採取します。

1. SMS Agent Host サービスの停止とスタート アップの種類の変更
2. サイト コードのクリアと信頼キーの削除 (VB スクリプトで実施)
3. 自己署名証明書の削除
4. SMSCFG.ini の削除
5. SMS Agent Host サービスのスタート アップの種類の変更
6. マスターイメージの採取

各手順の詳細は以下の通りです。

1. SMS Agent Host サービスの停止とスタート アップの種類の変更

[管理ツール] - [サービス] を起動し、SMS Agent Host サービスを停止します。また、マスター イメージ採取前に自動でサービスが起動しないように、右クリックしてプロパティを開き、スタートアップの種類を [手動] に変更します。

2. サイト コードのクリアと信頼キーの削除

以下の内容をサンプルとしてスクリプトを作成し、vbs ファイルとして保存します。本スクリプトを実行することで、サイト コードがクリアされて、信頼キーも削除されます。

----- サンプルここから -----
dim oSMSClient
dim objLocator
dim objService

set objLocator = CreateObject("WbemScripting.SWbemLocator")
set objService = objLocator.ConnectServer(".", "rootccmlocationservices")
set keys = objService.ExecQuery("select * from TrustedRootKey")

for each k in keys
k.delete_()
next

set oSMSClient = CreateObject ("Microsoft.SMS.Client")

if Err.Number <> 0 then
wscript.echo "Could not create SMS Client Object - quitting"
else
oSMSClient.RemoveAssignedSites
oSMSClient.EnableAutoAssignment(True)
set oSMSClient = nothing
end if
----- サンプルここから -----

スクリプトを作成した後、参照コンピューターでコマンド プロンプトを "管理者として実行" にて起動し、以下のコマンドを実行します。

※) C:Temp にスクリプト ClearSiteCodeAndDeleteTRK.vbs を保存した場合
cd C:Temp
cscript ClearSiteCodeAndDeleteTRK.vbs

3. 自己署名証明書の削除

以下の手順で自己署名証明書を削除します。

1) コマンド プロンプトを開き、"mmc" を入力して実行します。
2) [ファイル] - [スナップインの追加と削除] をクリックします。
3) 左ペインから [証明書] をクリックして [追加] ボタンをクリックします。
4) "コンピューター アカウント" にチェックを入れて、[次へ] をクリックします。
5) "ローカル コンピューター" にチェックし、[完了] をクリックします。
6) 右ペインに "証明書（ローカル コンピューター）" が追加されていることを確認し [OK] をクリックします。
7) 左ペインにて、[証明書] - [SMS] - [証明書] を選択します。
8) 中央ペインに表示された 2 つの "SMS" 証明書に対して、それぞれ右クリックして [削除] を選択します。
「選択された証明書を永久的に削除しますか?」というメッセージが表示されますので、[はい] を選択します。
9) [ファイル] - [終了] をクリックします。「コンソールの設定を コンソール1 に保存しますか?」というメッセージが表示されますので、[いいえ] を選択して、mmc を終了します。

※ PKI 証明書を利用している環境（HTTPS 構成）の場合

PKI 証明書を利用している場合は同様に以下の手順で PKI 証明書を削除します。

1) コマンド プロンプトを開き、"mmc" を入力して実行します。
2) [ファイル] - [スナップインの追加と削除] をクリックします。
3) 左ペインから [証明書] をクリックして [追加] ボタンをクリックします。
4) "コンピューター アカウント" にチェックを入れて、[次へ] をクリックします。
5) "ローカル コンピューター" にチェックし、[完了] をクリックします。
6) 右ペインに "証明書（ローカル コンピューター）" が追加されていることを確認し [OK] をクリックします。
7) 左ペインにて、[証明書] - [個人] - [証明書] を選択します。カスタム ストアを利用している場合は、該当箇所を選択してください。
8) 中央ペインに表示された SCCM の HTTPS 接続用クライアント証明書を右クリックして [削除] を選択します。
「選択された証明書を永久的に削除しますか?」というメッセージが表示されますので、[はい] を選択します。
9) [ファイル] - [終了] をクリックします。「コンソールの設定を コンソール1 に保存しますか?」というメッセージが表示されますので、[いいえ] を選択して、mmc を終了します。

4. SMSCFG.ini の削除

Configuration Manager 一意の識別子の情報が格納されている SMSCFG.ini を削除します。
ファイルは、以下の場所に存在します。

%windir%SMSCFG.ini

5. SMS Agent Host サービスのスタート アップの種類の変更

[管理ツール] - [サービス] を起動し、SMS Agent Host サービスを右クリックしてプロパティを開き、スタートアップの種類を [自動] に変更します。SMS Agent Host サービスを開始しないように注意してください。

6. マスターイメージの採取

sysprep /generalize が実行された参照コンピューターをキャプチャして、マスター イメージを採取します。(System Center Configuration Manager のキャプチャー メディアを使用すれば、sysprep /generalize は内部的に自動実行されます。)

概要：學習如何將 PowerShell 活動記錄加入 MSOMS 中，並學習如何搜尋收集到的記錄。

根據預設，Windows PowerShell 會將活動記錄到多個不同的 log 中。例如：以下範例中有一個 Windows PowerShell log 會提供 Windows PowerShell 引擎和供應者生命週期的資訊。如下圖：

此外，還有 Windows PowerShell 管理與操作 log 和 Desired State Configuration (DSC) log。因此可以發現它是一個記錄完善的應用程式。在多數的目的中，Windows PowerShell log 能提供良好的診斷資訊，而這在有問題需要研究時能有很大的幫助。

Windows PowerShell/Operational log 會在 Windows PowerShell 指令執行時記錄。如下圖：

在 Details 的 tab 中，您可以看到執行的指令名稱和執行指令的使用者。從上圖可以看到 Task Category 是 PowerShell ISE Operation，因此可以得知指令是在整合式指令碼環境(ISE) 的內部交互執行。而這些資訊都是從 Event ID 24577 中所得知。

那我是否能在 OMS 中執行呢？當然可以。

首先選擇要攝入 OMS 的 log

在 OMS 工作區中，點選 設定>Data>Windows 事件記錄檔，在 Collect events from the following logs 欄位中輸入 PowerShell，如下圖：

輸入 PowerShell 後，在列表中選擇 Microsoft-Windows-PowerShell/Operational log。接著按下 [+] 來新增此 log。現在便能選擇  Error / Warning 或 Informational。

記錄搜尋與執行指令

以下範例的搜尋指令非常簡單，利用 Type=Event 指令加上 Event ID 24577 來回傳想看到的 PowerShell 指令資訊。搜尋指令與結果如下：

Type=Event EventID=24577

搜尋結果顯示出只有一個使用者在單一一台電腦上執行了兩個指令。其中一個指令是在約中午時執行的，其名為 Start-CloudServiceVMsCustom.ps1，而另一個則是在約 7 小時候被執行，其名為 CloudServiceVMsCustom.ps1。此結果確實符合邏輯。

Posted by : アンドリュー シューマン (Andrew Shuman)
Cortana Engineering 担当 コーポレート バイスプレジデント

もし皆さんが私のような人間であれば、仕事や職場で予定を忘れないよう定期的に Cortana を使ってリマインダーを登録するでしょう。私は、マイクロソフトのパートナーHarman Kardon が 10 月 22 日の日曜日にリリースする新しい音声認識スピーカーHarman Kardon Invoke with Cortanaをリマインダー登録しました。Invoke は、Microsoft Store、 Best Buy の店頭とウェブサイトで、そして、HarmanKardon.com のウェブサイトで販売されます。パールシルバー（白）とグラファイト（黒）の2色のオプションがあり、小売価格は119.95ドルです。

オーディオの世界で 60 年以上の経験を有する Harman は優れた音質と最上級のデザインで知られています。高級素材で造られたInvoke は、 3 つの直接放射型ウーファー、 3 つの直接放射型ツイーター、そして、２ つのパッシブラジエターから 360 度全方位にパワフルなサウンドを提供します。また、7 つのマイクロフォンとHarmanの遠距離音声認識テクノロジSoniqueにより、利用者がどこにいてもCortana が声を聴けるようにしています。出荷開始時点で利用可能な音楽サービスには Spotify Premium、iHeartRadio、TuneIn などがあります。Pandora もまもなく追加予定です。

Invoke の中核にあるのはパーソナルデジタルアシスタント Cortana です。Cortana は、職場や家庭の様々な作業の管理を支援して重要なことにフォーカスできるようにしてくれます。マイクロソフトは長期的に Cortana を拡張してきました。最初は Windows 10 PCで、次に Android と iOSで、さらには、Xbox 上のSkypeでもCortana の体験を提供し、1 億 4,800 万人のアクティブユーザーに対応しています。デジタルアシスタントは、利用者がどこにいても、そして、どのデバイスでも利用できるべきであるとマイクロソフトは考えています。これが、Cortana 体験をアンビエントスピーカーにも提供する理由です。

Invoke 上の Cortana により音楽再生を音声でコントロールしたり、質問の回答を得たり、Office 365 の情報にアクセスしたりできます。Invoke は、マイクロソフトの音声認識テクノロジを活用してコマンドを解釈し、音楽再生をコントロールします。さらに、Office 365 のプロダクティビティサービスと統合して、スケジュール管理、カレンダーのチェック、リマインダーの設定などの作業を可能にします。たとえば、パートナー企業とのミーティングがあった場合に、Invoke 上の Cortana に事務所の場所を尋ねると、住所を音声で教えてくれるだけでなく、経路をスマホ上の Cortana アプリに転送することもできます。また、たとえば、私がオフィスで何か作業があることを覚えておきたいとしましょう。「コルタナさん、オフィスに行ったら予算レポートを完了することをリマインドして」と言えば、私がオフィスに行った時に通知してくれます。

Cortana は仕事以外でも役立ちます。上の例と同様に時刻を指定したリマインダーもセットできます。「ヘイ コルタナ、今晩 7 時にニューヨークニックスのゲームを見ることをリマインドして」と言えば、家で Invoke スピーカーがチャイムで通知してくれます。

Invoke 上で Bing ナリッジグラフにサポートされた Cortana のインテリジェンスを使用することで、最新のニュースやツイートを聞いたり、質問に対する回答を得たりすることができます。これは、私が子供たちの宿題を手伝っている時によくやることです。たとえば、ジョージワシントンの誕生日を調べることなどができます。

さらに、Invoke 上の Skype によってSkype やスマホの連絡先や近所の店に容易にハンズフリーで通話することができます。常に無料である Skype 間通話に加えて、Invoke は米国から米国、カナダ、メキシコ、プエルトリコ、グアムの携帯電話と固定電話に対する無制限の無料アウトバウンド通話をサポートします。

SmartThings、Nest、Philips Hue、Wink、Insteonなどが提供するスマートホームデバイスをコントロールすることもできます。そして、今春に発表されたCortana Skills Kit を使用してインテリジェントでパーソナライズされた体験を開発する Capital One、Expedia、Fitbit、OpenTable などのパートナーや開発者も増加しています。

Harman Kardon とのパートナーにより Cortana をInvokeに提供でき、Windows 10 PC、iPhone、Android というクロスデバイス統合を強化し、どこにいても援助が受けられるようになったことを大変嬉しく思っています。

これは、Cortana にとって大きな進歩ですが、さらに多くのプロダクティビティ機能を提供予定です。たとえば、メール (Office 365、Outlook.com、Gmail アカウント) をハンズフリーで操作する機能がまもなく提供されます。また、さらに多くの音楽サービス、ホームオートメーション、スキル開発のパートナーが Cortana に自社のサービスを統合し始めています。

是非、Cortana に Invoke が 10 月 22 日に販売開始されることをリマインダーとしてセットしてみてください。

* Cortana のボイスアクティベーションは一部の音楽サービスとホームオートメーションプロバイダーに対応します。セットアップにWindows 10 PC または Mobile (Windows 10 Creators Updateが必要)、Android、iPhone (Android 4.1.2 以上、または、iPhone 4 iOS 8.0 以上が必要)で稼働する Cortana アプリが必要です。

---

本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。

こんにちは！
Azure Identity サポート担当の橋本です。

今回は Azure AD Connect のパススルー認証とシームレス シングルサインオン機能で実現するシングル サインオンについてご紹介します。

従来、Office 365 にシングル サインオン (SSO) といえば、AD FS が必要でしたが、Azure AD Connect のパススルー認証とシームレス シングルサインオンを構成することで、AD FS 無しで SSO が実現できてしまいます。

ID とパスワードはオンプレミス側で管理しつつも、Azure AD と連携しているクラウド サービスなどは、ユーザーはパスワードを入力することなくオンプレの ID を用いたシングル サインオンで利用できるようになるのです。

設定方法はとても簡単。

1. Azure AD Connect でパススルー認証 + シングルサインオンを有効にします。
   
2. ドメイン グループ ポリシーを使って、ユーザーのイントラネットゾーンの設定に次の Azure AD URL を追加するポリシーをユーザーに配布します。
   • https://autologon.microsoftazuread-sso.com
   • https://aadg.windows.net.nsatc.net

前提条件などはいくつかありますが、必要な手順は大まかにこの 2 つだけです。

これにより、ユーザーが社内で、ドメインに参加している端末にサインインし、IE で、例えば https://myapps.microsoft.com/ など Azure AD と連携しているサービスを開くと、ID とパスワードは求められずにサインインが完了します。
(ユーザーの UPN のドメインがテナントで検証済みではない場合は ID の入力は必要です)

こんな感じ↓で、ADFS 無しで SSO ができてしまいます。

これは社内のドメイン参加済み端末からアクセスした場合のシナリオです。

社外からの場合はID とパスワードが要求されます。

ぜひお試しください！

参考情報

• Azure Active Directory シームレス シングル サインオン: クイック スタート
• Azure Active Directory シームレス シングル サインオン: 技術的な詳細

ただ、きめ細やかなアクセス制御を行いたいというご要件がある場合は、シームレス SSO にはアクセス制御の機能は実装されていないため、Azure AD Premium の条件付きアクセスや AD FS の併用をご検討ください。
個人的には、現時点 (2017 年 10 月) では、クレーム ルールを用いたアクセス制御やユーザー証明書認証も行える AD FS のほうが制御条件のきめ細やかさには軍配が上がるのでは！？と考えます (メリット/デメリットや設計指針に依存するため、個人の感想です)。

製品動作に関する正式な見解や回答については、お客様環境などを十分に把握したうえでサポート部門より提供させていただきますので、ぜひ弊社サポート サービスをご利用ください。

Na otázku, co je Azure Stack, existuje jednoduchá odpověď. Vezmeme cloudovou platformu Azure, která je hostována v datových centrech Microsoft po celém světě, a přesuneme ji do on-premise prostředí. V on-premise infrastruktuře tak provozujeme „vlastní“ Azure, včetně jeho služeb. Získáme tak „plnotučný“ privátní cloud. V případě kombinace Azure Stack a Microsoft Azure máme moderní a atraktivní „hybridní“ IT.

Identické je také uživatelské rozhraní portálu. Že používáme Azure Stack, poznáme pouze podle nadpisu v levém horním rohu.

Nutno poznamenat, že se nejedná o kompletní portfolio služeb platformy Azure, ale pro začátek zde najdeme všechny základní vlastnosti.

Následující tabulka shrnuje aktuálně dostupné funkce Azure Stack Development Kit, build 1.0.170627.1

Aktualizace pro Azure Stack jsou vydávány na měsíční bázi a každá přináší nové funkce, opravy a bezpečnostní záplaty.

Jelikož Azure Stack běží v on-premise infrastruktuře, je potřeba se o něj starat, provádět údržbu a zálohování.

Tyto činnosti za nás v prostředí veřejného Azure zajišťuje poskytovatel (Microsoft). V prostředí Azure Stack je pro účely komplexní správy využíván portál pro správce.

Scénáře

Azure Stack nám poskytuje služby typu IaaS (Infrastruktura jako služba), SaaS (Software jako služba) a PaaS (Platforma jako služba). Jejich výčet shrnuje tabulka v předchozí části.

Azure Stack v lokální infrastruktuře

V dnešní době se ojediněle setkáváme se zákazníky, kteří by nepoužíval virtualizaci serverové infrastruktury. Bohužel však často zaměňují poskytování virtuálních serverů za privátní cloud. Privátní cloud nám poskytuje mnoho výhod včetně samoobslužnosti, škálovatelnosti a elasticity spolu s dalšími možnostmi řízení a přizpůsobení v on-premise prostředí. Určitě jste se nejednou setkali s případy, kdy za vámi přišli kolegové s prosbou o vytvoření serveru, například pro testování vyvíjené aplikace. V závislosti na prostředí organizace a interních směrnicích se však může požadavek na vytvoření serveru protáhnout až na několik dní, nebo dokonce týdnů. Delegujte tyto činnosti na své kolegy, dejte jim nástroj, pomocí kterého si sami dokážou za několik málo minut vytvořit prostředí, které ke své práci potřebují. Ne každý totiž potřebuje server, ale například vývojáře zajímá vývojová platforma a databáze, a tak jednoduše využijí modelu PaaS a SaaS.

Jaké služby a zdroje ze své infrastruktury uvolníme, určujeme pouze my, a tak se nemůže stát, že by došlo k vyčerpání výkonu pro produkční systémy. Každý vytvořený prostor je izolovaný a nemusíme tak mít obavy, že by uživatel zasahoval do okolních prostředí.

Azure Stack je náš cloud, náš privátní cloud.

Propojení s platformou Azure

V případě, že rozšíříme Azure Stack o platformu Azure, dostáváme hybridní cloud. Azure a Azure Stack spolu tvoří konzistentní infrastrukturu a je tedy úplně jedno, ve kterém prostředí vytváříme aplikace, virtuální servery nebo zda využíváme jiné služby. V obou prostředích bude naše řešení funkční bez nutnosti úprav, bude bez obtíží přenositelné a díky identickým portálům jsou uživatelské rozhraní a zkušenost totožná. Jelikož se jedná o hybridní prostředí, můžeme část řešení provozovat lokálně a část na platformě Azure a využít model „distributed workloads“.

Datacentra Azure můžete využívat jako záložní lokalitu, stavět DR řešení, vyvažovat zatížení interní infrastruktury nebo zabezpečovat publikované aplikace a další.

Azure Stack pro poskytovatele služeb

Azure Stack je vhodné řešení i pro poskytovatele hostingových služeb. Portál pro uživatele je hotový, správci dokáží prostředí udržovat bez větších nároků, přehledně si můžeme zobrazit jaké a kolik zdrojů zákazník využívá a na základě těchto dat fakturovat nebo interně rozúčtovat. Pro společnosti nebo instituce, které si nemohou dovolit, nebo z nějakého důvodu nechtějí umístit data mimo Českou republiku a nemají vlastní infrastrukturu, bude takové řešení atraktivní volbou.

Jak Azure Stack pořídit

Microsoft distribuuje Azure Stack jako integrovaný systém přes vybrané hardware dodavatele. Ti nám poskytnou kompletní dodávku serverů, síťových prvků, úložiště a systém pro zálohování, vše pěkně usazené a srovnané v racku. Celé řešení je postavené na hyperkonvergované infrastruktuře. Toto rozhodnutí má několik výhod. Nemusíme složitě plánovat, počítat a vytvářet vlastní návrh, ale máme jistotu, že všechny prvky jsou vzájemně kompatibilní a odladěné pro nejlepší možný výkon. Jednoduše zvolíme dodavatele, vybereme z několika výkonových variant a celý box pak připojíme do stávající infrastruktury. Dodavatel pak poskytuje komplexní záruku a servisní služby. Můžeme se tak soustředit na samotnou práci s platformou Azure Stack a všechny starosti o hardware nechat na dodavateli.

Pro účely testování je možné využít Azure Stack Development Kit, který nabízí Microsoft ke stažení zdarma. Jedná se o verzi pro nasazení na jeden server, musí však splňovat požadavky uvedené v tabulce. Pro testování nebo PoC tak není nutné hned kupovat certifikované řešení. Samotná instalace není složitá, nicméně pro úspěšnou konfiguraci a komplexní implementaci služeb může být podpora zkušeného partnera zásadní.

Požadavky na HW:

Určitě Azure Stack vyzkoušejte, stojí to za to. Zapojte také kolegy, nechte je testovat a uvidíte, že si ho zamilují stejně tak jako my. Naše bohaté zkušenosti s Windows Azure Pack nyní aplikujeme také do Azure Stack. Rádi vám naše zkušenosti a služby poskytneme.

Karel Bubník, Cloud Architect

Mainstream Technologies s.r.o.

www.mainstream.cz

皆様、こんにちは。System Center Configuration Manager サポート チームです。

以前のバージョンの System Center Configuration Manager クライアントを完全に削除する手順については、次の通りご紹介しておりますが、今回は最新版である System Center Configuration Manager Current Branch の場合の手順をご案内します。

[SCCM 2007] クライアントが正常動作しない場合の対処方法

[SCCM2012] SCCM クライアントに関連する情報を完全に削除する方法

System Center Configuration Manager クライアントの完全削除は、クライアントが正常に動作していないように見える場合に有効な手順です。本手順を実施してから、クライアントの再インストールを実施することで解消できる問題も多くありますので、回避優先の対処が求められる場合に、是非お役立てください。

1. System Center Configuration Manager クライアントをアンインストールします。

コマンド プロンプトを管理者として実行し、以下のコマンドを実行します。

%Windir%ccmsetupccmsetup.exe /uninstall

※ コントロールパネルを開き、"Configuration Manager" という項目が消えたら、アンインストール完了と判断出来ます。また、アンインストールが成功すると、ccmsetup.log に以下のログが記録されます。

Uninstall succeeded.

2. 下記フォルダー、ファイルを削除します。

%windir%CCM
%windir%ccmsetup
%windir%SMSCFG.ini

3. 下記レジストリが残存している場合、削除します。

HKEY_LOCAL_MACHINESoftwareMicrosoftSMS
HKEY_LOCAL_MACHINESoftwareMicrosoftCCM
HKEY_LOCAL_MACHINESoftwareMicrosoftCCMSetup

4. 以下の手順で、SMS 証明書(自己署名証明書) を削除します。

1) コマンド プロンプトを開き、"mmc" を入力して実行します。
2) [ファイル] - [スナップインの追加と削除] をクリックします。
3) 左ペインから [証明書] をクリックして [追加] ボタンをクリックします。
4) "コンピューター アカウント" にチェックを入れて、[次へ] をクリックします。
5) "ローカル コンピューター" にチェックし、[完了] をクリックします。
6) 右ペインに "証明書（ローカル コンピューター）" が追加されていることを確認し [OK] をクリックします。
7) 左ペインにて、[証明書] - [SMS] - [証明書] を選択します。
8) 中央ペインに表示された 2 つの "SMS" 証明書に対して、それぞれ右クリックして [削除] を選択します。
「選択された証明書を永久的に削除しますか?」というメッセージが表示されますので、[はい] を選択します。
9) [ファイル] - [終了] をクリックします。「コンソールの設定を コンソール1 に保存しますか?」というメッセージが表示されますので、[いいえ] を選択して、mmc を終了します。

※ PKI 証明書を利用している環境（HTTPS 構成）の場合

PKI 証明書を利用している場合は同様に以下の手順で PKI 証明書を削除します。

1) コマンド プロンプトを開き、"mmc" を入力して実行します。
2) [ファイル] - [スナップインの追加と削除] をクリックします。
3) 左ペインから [証明書] をクリックして [追加] ボタンをクリックします。
4) "コンピューター アカウント" にチェックを入れて、[次へ] をクリックします。
5) "ローカル コンピューター" にチェックし、[完了] をクリックします。
6) 右ペインに "証明書（ローカル コンピューター）" が追加されていることを確認し [OK] をクリックします。
7) 左ペインにて、[証明書] - [個人] - [証明書] を選択します。カスタム ストアを利用している場合は、該当箇所を選択してください。
8) 中央ペインに表示された SCCM の HTTPS 接続用クライアント証明書を右クリックして [削除] を選択します。
「選択された証明書を永久的に削除しますか?」というメッセージが表示されますので、[はい] を選択します。
9) [ファイル] - [終了] をクリックします。「コンソールの設定を コンソール1 に保存しますか?」というメッセージが表示されますので、[いいえ] を選択して、mmc を終了します。

5. 下記フォルダーに移動し、"19c5cf..." ではじまるファイルが存在する場合には削除、またはリネームして別フォルダにコピーします。(該当のファイルが存在しない場合も問題ありません。)

C:ProgramDataMicrosoftCryptoRSAMachineKeys
※ ProgramData フォルダーは隠しフォルダーです。

6. ソフトウェア センターのショートカットが含まれる下記フォルダーを削除します。SCCM 管理コンソールをインストールしている場合は、「Configuraiotn Manager コンソール」のリンクなども本フォルダーに含まれます。管理コンソールはアンインストールしない場合などは、必要に応じて「ソフトウェア センター」のショートカットのみ削除してください。

C:ProgramDataMicrosoftWindowsStart MenuProgramsMicrosoft System Center
※ ProgramData フォルダーは隠しフォルダーです。

皆さん、こんにちは。Microsoft Tech Summitの開催が約2週間と迫ってきました！

Microsoft Tech Summitを、より快適に、よりスムーズに、楽しんでいただける 公式イベント アプリを公開しました。公式イベントアプリをダウンロードし、参加申し込み時にご利用されたMicrosoftアカウントでログインしてご活用ください。

＜公式イベント アプリ のダウンロード＞

• Windows 10 Mobile版

• iOS版

• Android版

皆さん、こんにちは。セッション一覧からご自身の興味やニーズに合ったセッションだけ選択して、オリジナルのスケジュールを作成することができます。公式イベント アプリまたは Tech Summit公式ウェブサイトの [ マイ ページ ] より、ご利用いただけます。

▼ 公式イベント アプリ

アプリを起動し [ スケジュール確認 ] 画面でご利用いただけます。他のコンテンツをご覧の際は、左上メニューより [ スケジュール ビルダー ] を選択ください。

 ▼ Tech Summit 2017 公式サイト

[ マイ ページ ]よりご確認ください。

※注意：各セッションの参加やお席の確保を予約する機能ではございませんので、ご注意ください。

こんにちは。Azureサポート部の石井です。

Azure上の Windows 仮想マシンのライセンス認証について解説します。

Azureでは、独自の KMS ホスト (ライセンス認証サーバー) があり、Azure 上の Windows OS のライセンス認証を行うことができます。

Azure Marketplace から展開した Windows VM

Azure Marketplaceから展開した Windows VM であれば、基本的に自動的に検知されて認証されますので、特段の設定はいりません。ただし、カスタム DNS サーバーを構築し、使用している場合にはご注意ください。

Azure の KMS ホストは、ホスト名 kms.core.windows.net 、IP アドレス 23.102.135.246、ポート 1688 です。

お客様独自の DNS サーバーを構築し、使用している場合 Azure Marketplace から展開した VM は、kms.core.windows.net に名前解決をし、ライセンス認証を試みます。当該の名前解決が DNS サーバーによって行える必要がありますので、適宜 DNS サーバーの設定を行い、IP アドレスが解決できるように設定してください。

DNS サーバー側の変更が面倒な場合、後続の手動で IP アドレスを指定しておくという方法を取ることも可能です。

Azure に VHD を持ち込んだ場合

1. ボリューム ライセンス用 KMS クライアント セットアップ キーの入力

※ 以下手順は、ボリューム ライセンス版 Windows メディアからセットアップした OS の場合不要です。

VHD を持ち込む場合、ボリューム ライセンス版メディアからセットアップしたか不明な場合、念のため行ってください。
(重複実行しても問題にはなりませんので、ご安心ください。一律の手順にするのであれば、この手順を含めてしまうことも一案です。)

まず、以下参考資料より、お使いの Windows の KMS クライアント セットアップ キーの文字列をコピーしておきます。


ご参考: 付録 A:KMS クライアント セットアップ キー
https://technet.microsoft.com/ja-jp/library/jj612867.aspx


管理者としてコマンド プロンプトを開き、以下コマンドを実行します。
"cscript %WinDir%system32slmgr.vbs /ipk %KMSクライアントセットアップキーの文字列%"

2. KMS ホストの指定

管理者としてコマンド プロンプトを実行し、以下コマンドを入力し、KMS サーバーを指定してください。

cscript c:windowssystem32slmgr.vbs /skms 23.102.135.246:1688

上記で設定は完了です。

認証が成功していれば、アプリケーションのイベントログに以下が記録されます。

----------------------------------------------------------------------

イベント ID : 12288

ソース : Security-SPP

説明 :

クライアントからキー管理サービスコンピューターにライセンス認証要求が送信されました。

情報 :

0x00000000, 0x00000000, <KMS ホストのホスト名または IP アドレス>:<ポート>,

・・・・・

----------------------------------------------------------------------

イベント ID : 12289

ソース : Security-SPP

説明 :

クライアントでキー管理サービスコンピューターからのライセンス認証応答を処理しました。

情報 :

0x00000000, 0x00000000, ・・・・・

----------------------------------------------------------------------

- トラブルシュート編

Azureの KMS ホストの IPアドレスは 23.102.135.246、認証用のポートは 1688 です。

Azure でお問い合わせいただくライセンス認証の問題は以下 2 パターンがほとんどです。

1. NSG でインターネット方向の疎通をすべてブロックしている

NSG で VMからインターネットへの送信方向 (Outbound) の通信をすべてブロックしていると、KMS ホストへの通信も阻害されます。上記 IP アドレスとポートを許可例外に登録してください。

2. ExpressRoute 環境で、強制トンネリングをしている

以下に詳しく紹介されていますが、強制トンネリングをしていると、すべての通信がオンプレミスに送られます。Azure の KMS は、Azure 内部からの通信しか受け付けませんので、ユーザー定義ルートを追記する必要があります。(Azure 外部から受け付けてしまうと、世界中の Windowsの認証を無条件にて行えてしまうためです。)

ご参考: ExpressRoute 環境でライセンス認証ができない事象について
https://blogs.technet.microsoft.com/jpaztech/2016/05/16/azure-vm-may-fail-to-activate-over-expressroute/

疎通のチェックは、Windows 仮想マシン内から Windows PowerShell を使うと便利です。以下、TNC (Test-NetConnection) コマンドでのチェックが行えます。

PS C:Usersmyname > tnc 23.102.135.246 -port 1688

 

ComputerName     : 23.102.135.246

RemoteAddress    : 23.102.135.246

RemotePort       : 1688

InterfaceAlias   : Ethernet 4

SourceAddress    : 172.16.41.6

TcpTestSucceeded : True

 

最後の行が Trueとなっていれば成功です。

最後に、3 つの良くお問い合わせいただくご質問についてご紹介します。

- FAQ 1. ライセンス認証がたまに失敗する

イベント ログ上のエラーとして、イベントID: 8198、あるいは 8200 にてライセンス認証失敗が記録されるという場合があります。

AzureのKMS サーバーは全世界の Azure 上のWindows OSを認証している関係で、稀に負荷が集中するといったタイミングで応答ができない場合があります。一般的には、エラー イベントが数日に１回、といった頻度で記録されるに留まりますが、場合によっては丸 １ 日継続するようなケースもあります。
Azure データセンターでも、随時 KMS の補強作業を行っていますが、常時 100 ％成功を目指しているものではありません。この理由としては、Windows のライセンス認証はその後リトライされ、合計 180 日間連続で失敗し続けなければライセンスが失効することはありません。つまりエラー イベントが恒常的にではなく、一時的に記録されるだけである場合、無視可能です。

さらに最悪の場合、180日間ライセンス認証が行えないまま経過しても、ライセンス認証切れを示す「通知モード」となるだけであり、機能制限が生じるわけではありません。

ライセンス認証の失敗エラーが発生しても慌てず、数日程度待って成功するかご確認ください。

- FAQ 2. ライセンスを持ち込む Azure Hybrid Use Benefit (AHUB) の場合に手順に差異はあるか

AHUB にて、ライセンスを持ち込んだ場合も、Azure 上の KMS ホストと認証していただいて問題ありません。Azure にライセンスを持ち込んだか否かは、ゲスト OS 上の管理操作としては無関係で、一律 Azure の KMS ホストを利用可能となっています。

- FAQ 3. オンプレミスの KMS ホストで認証したい

何らかの理由で、外部通信を一切行わせたくないようなお客様では、オンプレミスの KMS ホストと認証をさせたい場合があります。Azure VM から VPN もしくは ExpressRoute 回線にて、オンプレミスの KMS ホストと認証できる場合、オンプレミスの KMS と認証させても問題ありません。KMS ホストでは、ライセンス認証を行える上限などの制約はありませんので、オンプレミスの KMS と認証させることによるデメリットはありません。