皆さま、こんにちは。WSUS サポートチームです。

Windows 7 / Windows Server 2008 R2 以前の環境において、2017 年 12 月 4 日 (月曜日) より Microsoft Update 実行時に 0x80248015 エラーが発生する、というお問い合わせを多く頂いております。

本事象につきましては、弊社 Microsoft Update サイトに問題があったことに起因しており、2017 年 12 月 5 日 (火曜日) 午後 1 時に Microsoft Update サイト側の修正が完了いたしました。

この度は弊社 Microsoft Update サイトの問題により、ご迷惑をおかけいたしましたことを、深くお詫び申し上げます。

現時点では本問題は解消しているため、ご利用の端末側で対応を実施していただく必要はございません。しかし、一部の環境においては、依然として下記のエラー等が発生し続けるとの報告がございますため、本事象の詳細と現時点でエラーが発生し続ける環境での対処方法についてご案内いたします。

(事象)

2017 年 12 月 5 日 (火曜日) 以前において、次の 2 点 の条件を満たす環境で、0x80248015 エラーが発生して、Microsoft Update からの更新プログラムの取得に失敗します。

- Windows 7 / Windows Server 2008 R2 以前の環境

- Microsoft Update を有効にしており、インターネット上の Microsoft Update サイトより更新プログラムを取得している

※ WSUS 環境では発生いたしません

また、加えて下記の条件を満たす環境では、2017 年 12 月 5 日 (火曜日) 以降も上述のエラーが発生し続ける場合があります。

- 2017 年 12 月 4 日 (月曜日) 以前に開始された、更新プログラムのダウンロード ジョブが残存している

(原因)

弊社 Microsoft Update サイトに問題があったことに起因します。

(対処方法)

2017 年 12 月 5 日 (火曜日) 午後 1 時に Microsoft Update サイト側で対処を実施いたしましたため、現在は解決しております。

依然として上述のエラーが発生し続ける場合は、下記の対処方法を実施してください。

- Windows Update クライアントの情報をクリアにする手順

https://blogs.technet.microsoft.com/jpwsus/2014/12/02/windows-update-3/

※ 上記の手順は、こちらのバッチ ファイルでも実行可能です。ご利用の際は拡張子を「.bat」に変更し管理者権限でご実行ください。

I've been using Visual Studio Team Services (VSTS) for almost all my development projects.

VSTS is a cloud service for collaborating on code development. It provides an integrated set of features that you access through your web browser or IDE client, including:

• Git repositories for source control of your code
• Build and release management to support continuous integration and delivery of your apps
• Agile tools to support planning and tracking your work, code defects, and issues using Kanban and Scrum methods
• A variety of tools to test your apps, including manual/exploratory testing, load testing, and continuous testing
• Highly customizable dashboards for sharing progress and trends
• Built-in wiki for sharing information with your team

Most of the developers would probably be managing VSTS from the Git commandline (source control) and the VSTS Portal.

VSTeam PowerShell Module

VSTeam is a PowerShell module that exposes portions of the REST API for Visual Studio Team Services and Team Foundation Server.
It is written in pure PowerShell and can be used on Mac, Linux or Windows to connect to TFS or VSTS. To install VSTeam you can use the Install-Module cmdlet. Just make sure on Windows you run PowerShell as administrator and on Mac or Linux you sudo your PowerShell session. Then simply issue the following command.

Install-Module VSTeam

With this PowerShell Module you are able to manage your VSTS and TFS server from the PowerShell commandprompt.

While this is already a pretty cool way to manage you VSTS/TFS Projects, Builds, Release etc, it can be even cooler and easier to manage your projects. Meet Simple Hierarchy in PowerShell (SHiPS)

Simple Hierarchy in PowerShell (SHiPS)
SHiPS is a PowerShell provider that allows any data store to be exposed like a file system as if it were a mounted drive. In other words, the data in your data store can be treated like files and directories so that a user can navigate data via cd or dir. SHiPS is a PowerShell provider. To be more precise it's a provider utility that simplifies developing PowerShell providers.

Would it not be cool to navigate your VSTS/TFS Projects from the commandprompt using SHiPS on top of the VSTeam PowerShell Module?
Meet the new VSTeam module which integrates SHiPS functionality with the PowerShell VSTeam module.

SHiPS and VSTeam PowerShell module

To get started with the VSTeam PowerShell Module with SHiPS functionality download the latest version from the PowerShell Gallery:

Install-Module VSTeam -scope CurrentUser

The VSTeam PowerShell Module needs a personal access token for VSTS or TFS. More information on how to create a Personal Access Token can be found here.

High-Level steps to get started with VSTeam and SHiPS:

1. Open PowerShell host
2. Import VSTeam PowerShell Module
3. Create VSTeam Profile
4. Add VSTeam Account (and create SHiPS drive)
5. Navigate the SHiPS VSTeam Drive

Step 1 and 2. Open PowerShell host and import VSTeam PowerShell Module.

Step 3. Create VSTeam Profile

Add-Profile -Account '[VSTSOrTFSAccountName]' -PersonalAccessToken '[personalaccesstoken]' -Name '[ProfileName]'

Step 3. Add VSTeam Account and create SHiPS Drive

Add-VSTeamAccount -Profile [profilename] -Drive vsteam

Copy the yellow output 'New-PSDrive -Name vsteam -PSProvider SHiPS -Root 'VSTeam#VSAccount' to your host and run the command.

Step 4. Navigate the SHiPS VSTeam Drive

#region navigate to you VSTeam SHiPS drive
cd vsteam:
#endregion

#region list vsteam account projects
Get-ChildItem
#endregion

#region navigate to project
cd OperationsDay2017
#endregion

#region list folders for Project
Get-ChildItem
#endregion

#region list Builds for Project
cd Builds
#endregion

#region list Build properties
Get-ChildItem .117 | Select *
#endregion

#region list Build properties using Get-Item
Get-Item .117 | Select *
#endregion

#region list Unsuccessful Builds
Get-ChildItem | Where-Object {$_.result -ne 'succeeded'}  | Format-List *
#endregion

#region list Release for Project
Get-ChildItem ..Releases
#endregion

#region list Release properties
Get-ChildItem ..ReleasesRelease-51 | select *
#endregion

#region find all rejected releases for specific requestor
Get-ChildItem ..Releases | Where-Object {$_.createdByUser -eq 'Stefan Stranger'} |
    Where-Object {$_.Environments.status -eq 'rejected'} |
    Select-Object createdByUser |
    Group-Object -Property createdByUser -NoElement
#endregion

#region find all rejected releases grouped by creator
Get-ChildItem ..Releases |
    Where-Object {$_.Environments.status -eq 'rejected'} |
    Select-Object createdByUser |
    Group-Object -Property createdByUser -NoElement |
    Sort-Object -Property Count
#endregion

#region overview of failed releases per release definition
Get-ChildItem ..Releases |
    Where-Object {$_.Environments.status -eq 'rejected'} |
    Select-Object createdByUser, @{'L' = 'Name'; E = {$_.Environments.releasedefinition.name[0]}} |
    Group-Object -Property Name |
    Sort-Object -Property Count -Descending
#endregion

Remark:
Currently the SHiPS Module only supports the following cmdlets:

• Get-Item
• Get-ChildItem

Screenshot Navigate VSTeam Account with VSTeam PowerShell Module with SHiPS functionality

Screenshot Build Properties

You can check the announcement from Donovan Brown here.

References:

• Visual Studio
• What is VSTS?
• PowerShell I would like you to meet TFS and VSTS
• VSTeam PowerShell Module
• Navigate Azure Resources Just Like a File System Blog Post
• VSTeam PowerShell Module Git Repository

(この記事は2017年10月19日にMicrosoft Partner Network blog に掲載された記事 Mentorship circles: The secret to engaging women in technology の翻訳です。最新情報についてはリンク元のページをご参照ください。)

IT 業界で働く女性 (WIT: Women in Technology) の役割については、今なお無視できない議論が続いています。ある調査 (英語) によると、科学、工学、テクノロジ分野で働いている女性の 80% が仕事に対して思い入れがあると回答している一方で、キャリア半ばで退職する女性も半数以上に上っています。IT 業界では、女性の退職率は男性の 2 倍以上となっています。

こうしたデータが物語っているのは、STEM 分野における女性の教育や採用が進み、多様性がビジネスにもたらすメリット (英語) が明確に示されるようになったにもかかわらず、この業界が「ダイバーシティ & インクルージョン (多様性と受容)」の文化を真に実現するまでの道のりはまだ遠いということです。

メンターシップを通じたコミュニティの構築

女性がテクノロジ業界などで成功するためには、擁護者、支持者、メンターとのつながりを作ることが不可欠です。ワシントン DC で開催された Microsoft Inspire では、まさにその目的のために、世界各地からの参加者が毎年恒例の WIT 昼食会 (英語) に集いました。International Association of Microsoft Channel Partners (IAMCP、英語) の WIT メンターシップ サークル チームに所属する Gail Mercer-MacKay 氏は、テクノロジ業界でリーダー職に就く女性が増加してきたと指摘しています。

「マイクロソフトの WIT 関連の組織やイベントに興味を持った女性の多くは、それまで自分のことを孤独だと思っていたかもしれませんが、仲間はすぐに見つかります。(こうした) イベントがきっかけで対話が始まり、対話が始まると輪が広がり、つながりが生まれます。そして、つながることで、私たちはお互いの力になれるのです。」 — Mercer MacKay Solutions、社長、Gail Mercer-MacKay 氏

このようなつながりは、コミュニティに参加しなければ生まれません。メンターシップはなおさらです。IAMCP の WIT メンターシップ サークル チームのメンバーである Shann McGrail 氏は、メンターシップをうまく活用するには積極的なかかわりと自発性が必要だと説明しています。メンターを探しているなら、向こうから来てくれることを期待してはいけません。自分のキャリアにメンターがどのように役立つか、どのような種類のメンタリングが必要か、目標を達成するために最適なメンターをどうやって見つけるかといったことは、ご自身の責任で決める必要があります。

 

「メンタリングの最初のステップは深い内省です。私は普段からメンタリングの参加者に対して、この関係に期待することは何かを考え、目標を決めておくように勧めています。」 — Devreve、共同創業者、Shann McGrail 氏

メンタリングを受ける目標が完全に明確になっていなくても、IAMCP の WIT メンタリング サークルなどのプログラムに参加すれば、さまざまな分野のプロフェッショナルである女性たちとつながり、学ぶことができます。グループ内では、複数のメンターが責任を分担しており、参加者はさまざまなトピックについて考えを深め、1 対 1 のメンタリングでさらに掘り下げることができます。

メンターの見つけ方

「現在ドイツ国内では、120 人以上の WIT メンバーが活動しています。今年は、ドイツのパートナー向けカンファレンスで催される Microsoft WIT 昼食会の企画を任されることになり、とても嬉しく思っています。……世界中のすばらしい女性たちが集う、この活気あるコミュニティの一員であることをとても誇りに思います。これは、多くの機会に恵まれたすばらしい活動です。」 — Sycor GmbH、戦略的アライアンス担当バイス プレジデント、Alexandra Hanke 氏

メンターシップ サークルへの参加にご興味がある方や、自分でサークルを始めたい方は、Shann McGrail 氏までメール (shannm@devreve.com) でご連絡ください。プログラムの詳細についてご説明します。IACMP の WIT プログラムの詳細については、こちらの Web サイト (英語) をご覧ください。このプログラムの目標は、マイクロソフトのパートナー エコシステム全体で創造的かつ革新的な女性たちをつなぐことで、グローバルなコミュニティを構築し、機会を拡大し、世界中の女性を支援することです。

メンターシップ サークルは、IT 業界における能力開発と人材の定着を支援するトピックに焦点を当てています。グループ形式で実施され、参加者はメンターと共にさまざまなトピックについて深く考えることができるほか、他の参加者とのディスカッションや学習の機会もたくさんあります。扱うトピックは、キャリアアップ、強みの作り方、能力の強化、リーダーシップ スキルの向上、部下のマネージメント、業界の変革、自信の育成など、多岐にわたります。

来年 7 月にラスベガスで開催される Microsoft Inspire (英語) にもぜひご参加ください。新しいメンターを見つけ、コミュニティを構築し、経験を分かち合い、Microsoft WIT について詳しく知ることができる良い機会です。

ダイバーシティ & インクルージョンをビジネス環境にもっと浸透させるうえで、メンターシップはどのように役立つとお考えですか。こちら (英語) のマイクロソフト パートナー コミュニティでご意見をお聞かせください。

[提供: アヴネット株式会社]

Microsoft Azure IoT エッジデバイスソリューションのご紹介です。

■Windows 10 IoT Enterprise 搭載高機能次世代メモリハイコーダ

Windows 10 を搭載した波形記録計「メモリハイコーダMR6000」が誕生しました。MR6000は、光アイソレーションにより、200MS/sで16チャネルもの高速絶縁測定を実現。電圧・電流・温度・ひずみ・周波数など測定対象に応じ12種類の入力ユニットから選んで装着することで、様々な現象を同時に測定できます。また、本体内蔵SSDやHDD、USBメモリやSDカード、LAN接続したPCへ、測定しながら保存もできます。格段に進化した測定能力で、発生頻度が少ない突発的な現象も確実に捉えます。さらに、12.1型タッチパネルとMicrosoft Windows 10 の採用で、従来のハイスペック測定器にありがちな「難解さ、複雑な操作」を解消しました。Windows 10 のUniversal Windows Platform を採用することで、ストレスフリーな操作性を実現しています。また、Windows 10 採用により、Microsoft Azure IoT との連携も可能です。Microsoft Azure IoTの対応により、遠隔監視、クラウドと連携した予兆監視・保全システムの構築など、計測システムの可能性が広がります。（Microsoft Azure IoTへの標準対応に関しては検討中）

■Microsoft Azure IoT／バックアップ対応　高速／高信頼NASサーバ

バイオス社は、業務用、産業向けサーバーストレージ製品を開発、1988年創業以来、放送、監視、医療、印刷市場等に対応した「高速性」と「高信頼性」を追求、サーバーストレージ製品の安定性に必須なハードウェアRAID機能を独自開発、大事なデータを守り、顧客の信頼を高めてまいりました。2014年メルコグループ傘下に入り、国内開発、国内生産でタイムリーに顧客ニーズに応えます。サーバーNASのOSには高い安定性と親しみのある Windows UI で操作が可能な Windows OS を搭載、Microsoft Azure との連携を容易に行います。アクシデントでも安心なデータバックアップ機能「Azure Backup」はもちろん、IoTソリューションを容易ににする「Azure IoT」にバイオス社サーバー NAS は、IoT接続検証済みデバイスとして Azure Certified for IoT に認定され、Azure IoT Hub へのシームレスな接続が可能となります。

■安全運転支援プラットフォーム

加速度センサーが自動車のゆっくり発信・停止をカウントしゲートウェイデバイスを経由してログ集計データを Microsoft Azure へと送信できます。これらのデータを PowerBI やその他 Microsoft Azure 上の様々なサービスを使用することで運転傾向分析、燃料コスト推移、自己分析などのソリューションを構築可能です。また、UVC対応USBカメラが顔画像をキャプチャ、Azure Emotion API を使用した感情分析を行い運転者に休憩や安全運転の促進、顔認証への応用や各種センサーデバイスを用いた機器の稼働状況監視やアラート発行などの監視ソリューションへも応用が可能です。オプテックス社製安全運転支援ツールのセーフメーターと共に Azure Certified for IoT の認定デバイスでありPiHAT、Groveコネクタ搭載のDigi社NXP i.MS6ULベースConnectCore6UL SBCProbボードをIoTゲートウェイデバイスに採用し、Azure IoT SDK を使用したハイスピードな開発とIoTHubへのシームレスな接続を実現します。

[提供: 株式会社コンテック]

Azure IoT Edge 対応ボックスコンピュータ®BX-825のご紹介です。

■セキュアなアプリプラットフォーム

・Windows 10 IoT Enterprise LTSB2016 64bit

マルチランゲージ標準対応

・McAfee ホワイトリスト型ウィルス対策ソフトウェア標準対応

■Azure IoT 対応

・Azure Certified for IoT 取得済デバイス

・Azure IoT Edge 動作確認済

■ゲートウェイに最適なハードウェア

・0～55℃対応ファンレスシステム

・3x Gigabit LAN ポート、5xUSBポート

・CE/CB/UL/CCC/BSMI/KC安全規格適合

[提供: 沖電気工業株式会社]

920MHz帯マルチポップ無線「SmartHop」のご紹介です。

■920MHz帯マルチポップ無線「SmartHop」とは

OKIのSmartHopは、電波到達性の高い920MHz帯無線を採用。免許不要で使え、OKI独自の無線マルチポップ技術により、長距離伝送、通信品質の向上、親機1台当たり子機100台のマルチポップ接続を実現し、様々な用途のセンサーネットワークに安心してご利用いただけます。

特に、フロア間の配線が必要となるビルや、工場などの広い敷地で配線コストがかかる場合などに920MHz帯マルチポップ無線を利用することで、配線コストを削減し、低コストでフレキシブルなセンサーネットワークを構築できます。このため、工場の電力・ガス・水の見える化や生産設備の遠隔監視、病院、倉庫での温度管理システム、太陽光発電のパネル監視、IT農業といった様々な用途で導入される例が増えています。

また、OKIの無線ユニットはRS-485またはRS-232Cの汎用シリアルインターフェイスを搭載しており、業界標準のModbus RTUに加えメーカー独自のプロトコルにも幅広く対応できるため、既存のセンサー・機器と組み合わせてお使い頂けます。さらに、OKIの無線通信モジュールを搭載した各社様のSmartHop対応製品との920MHz帯無線で相互接続が可能ですので、マルチベンダのIoTソリューションを容易に構築することができます。

本展示会では、現場の振動データや温湿度データといったセンサー情報を、SmartHop 内臓センサー機器で収集・無線送信し、IoT-GWを経由してMicrosoft Azure上で可視化するデモを展示いたします。

こんにちは。Windows サポート チームの依田です。

今回は、Windows 10 Fall Creators Update 用の管理用テンプレートを導入した後、グループ ポリシー管理エディターにて以下の警告メッセージが出力された場合の対処策をご案内いたします。

<警告メッセージ>

<原因>

警告メッセージの出力がある各 admx ファイルに対応した日本語の言語ファイル (.adml) が、Windows 10 Fall Creators Update 用の管理用テンプレートで欠損していることが原因です。

- Administrative Templates (.admx) for Windows 10 Fall Creators Update (1709) - 日本語

https://www.microsoft.com/ja-JP/download/details.aspx?id=56121

管理用テンプレートの仕組みとして、各 admx ファイルに対応する日本語の言語ファイルがない場合は、自動的に英語の言語ファイルが使用されます。

英語版の言語ファイルに関しましては、全ての admx ファイルに対応した言語ファイルが揃っている為、PolicyDefinitions フォルダ内の en-us フォルダを同時にコピーしている場合は、冒頭の警告メッセージは出力されません。

ただし、英語の言語ファイルが使われることによって、グループ ポリシー管理エディター上にて、対象の項目が英語になってしまいます。

冒頭の警告メッセージを抑制し、且つグループ ポリシー管理エディター上の全ての項目を日本語で表示させる為には、以下の対処方法を実施します。

<対処方法>

GroupPolicyPreferences.admx に関する警告メッセージ以外は、Windows 10 Anniversary Update 用の管理用テンプレートの言語ファイルを、既存の PolicyDefenisions ja-jp フォルダにコピーすることで対処が可能です。

# 事前準備

1. Windows 10 Anniversary Update の管理用テンプレートを以下の URL よりダウンロードします。

- Administrative Templates (.admx) for Windows 10 (1607) and Windows Server 2016 - 日本語

https://www.microsoft.com/ja-JP/download/details.aspx?id=53430

2. 警告メッセージが出力される端末に、ドメインの Administrator でログオンします。

■ GroupPolicyPreferences.admx 以外 (GroupPolicy-Server.admx / MMCSnapIns2.admx / TerminalServer-Server.admx / WindowsServer.admx) に関する警告メッセージの解消方法

1. 警告メッセージが出力される端末にて、事前準備でダウンロードした msi ファイルを実行し、新たに生成された PolicyDefenisions ja-jp フォルダを開きます。

2. 以下のファイルを既存の PolicyDefenisions ja-jp フォルダにコピーします。

- GroupPolicy-Server.adml

- MMCSnapIns2.adml

- TerminalServer-Server.adml

- WindowsServer.adml

■ GroupPolicyPreferences.admx に関する警告メッセージの解消方法

GroupPolicyPreferences.admx に関しましては、Windows 10 Anniversary Update から Windows 10 Fall Creators Update にかけて admx ファイル内のフォーマットに若干の変更が加わっております。

その為、単純に Windows 10 Anniversary Update 用の adml ファイルを既存のフォルダに追加しただけでは、admx ファイルと adml ファイルの不整合を示す以下の警告メッセージが出力されてしまいます。

GroupPolicyPreferences.admx に関する警告メッセージを解消させるには、Windows 10 Anniversary Update 用の adml ファイルを既存フォルダに追加することに加え、Windows 10 Anniversary Update 用の GroupPolicyPreferences.admx も、既存のものと差し替える必要があります。

※ Windows 10 Anniversary Update から Windows 10 Fall Creators Update にかけて admx ファイル内のフォーマットに若干の変更が加わっておりますが、ポリシーの項目や設定可能な内容は全て同一でございます。

具体的には以下の手順です。

1. 警告メッセージが出力される端末にて、事前準備でダウンロードした msi ファイルを実行し、新たに生成された PolicyDefenisions ja-jp フォルダを開きます。

2. 以下のファイルを既存の PolicyDefenisions ja-jp フォルダ内にコピーします。

- GroupPolicyPreferences.adml

3. 既存の PolicyDefenisions フォルダ内の GroupPolicyPreferences.admx を削除します。

※ ここで、権限の問題で GroupPolicyPreferences.admx の削除が出来なかった場合は、<admx ファイルの所有者の変更方法> をご参照ください。

4. 新たに生成された PolicyDefenisions フォルダに戻り、GroupPolicyPreferences.admx を既存の PolicyDefenisions フォルダ内にコピーします。

5. グループ ポリシー管理エディターを開き直し、警告メッセージが出力されなくなったことをご確認ください。

<admx ファイルの所有者の変更方法>

既存の PolicyDefenisions フォルダ内の GroupPolicyPreferences.admx を削除できなかった場合は、ファイルの所有者が別のアカウントで設定されている可能性がございます。

その場合、以下の手順にてファイルの所有者を変更することで、admx ファイルの削除が可能となります。

1. 既存の PolicyDefinitions フォルダ内の GroupPolicyPreferences.admx を右クリックし、[プロパティ] をクリックします。

2. [セキュリティ] タブにて、[詳細設定] をクリックします。

3. [所有者] の欄にて [編集] をクリックします。

4. [所有者の変更] にて、"Administrator" を選択し、[OK] をクリックします。

※ その後、警告がでましたら [OK] をクリックします。

5. 詳細設定の画面にて [OK] をクリックし、画面を閉じます。

6. [プロパティ] の [セキュリティ] タブの、[グループ名またはユーザー名] にて [編集] をクリックします。

※ その後、警告がでましたら [OK] をクリックします。

7. [グループ名またはユーザー名] にて、"Administrators" を選択した状態にします。

8. [アクセス許可] にて [フルコントロール] を選択し、[適用] をクリックします。

9. その後、GroupPolicyPreferences.admx を削除します。

以上です。

特記事項

本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

Outlook 2010 以降では、POP アカウントを利用して、Outlook のアカウント設定を行った場合、メールデータの保存先は、ドキュメントフォルダー内の [Outlook ファイル] というフォルダーになります。

Outlook もその一つになりますが、ドキュメントフォルダーは、様々なアプリケーションで作成されたデータが格納されます。

ドキュメントフォルダー内を整理される際などに、誤ってこの [Outlook ファイル] フォルダーを削除されたり、移動されたりしないようお願いいたします。

[Outlook ファイル] フォルダーが、ドキュメントフォルダーにない状態で Outlook を起動した場合に、次の現象が発生する場合があります。

・ファイル C:Users ＜中略＞.pst は見つかりません。」といった画面が表示される

・0x8004010F エラーが表示され、Outlookでメールの送受信ができない状態になる

・起動時に「Outlook データ ファイルのパスワード」画面が表示され、パスワード入力が求められる

これらの現象が発生した場合は、以下の対処方法をご確認いただき、現象の回避をお願いいたします。

対処方法

A.  [Outlook ファイル] フォルダーを消した、移動した記憶がないかの確認

B.  見つかったデータ ファイルを既定の場所に戻し、Outlook が起動できるかの確認

C. 新規データ ファイルを作成し、Outlook が起動するかの確認

D. 正常に送受信できるか確認する

A.  [Outlook ファイル] フォルダーを消した、移動した記憶がないかの確認

ごみ箱内に、「Outlook ファイル」フォルダまたは「<メールアドレス>.pst」があるか探します。

ごみ箱になければ、データを移動したり整理した記憶がないかご確認ください。

├ データが見つかった場合：B.見つかったデータ ファイルを既定の場所に戻し、Outlook が起動できるかの確認 へ

└ データが見つからない場合：C.新規データ ファイルを作成し、Outlook が起動するかの確認 へ 

B.  見つかったデータ ファイルを既定の場所に戻し、Outlook が起動できるかの確認
1. まず、見つかったデータを右クリックし［切り取り］をクリックします。

※「Outlook ファイル」フォルダーがあった場合も同じ操作を行ってください。

2. 続いて元の場所に貼り付ける作業となりますが、見つかったデータによってデータの戻し方が異なります。

   ・「Outlook ファイル」フォルダーの場合：ドキュメントに「Outlook ファイル」を貼り付けます

   ・データ ファイル（.pst）の場合：「Outlook ファイル」フォルダーの中に［データ ファイル（.pst）］を貼り付けます

データの貼り付け時に「置き換えますか？」とメッセージが出てきた場合は［はい］で進みます。

3. Outlook が起動できるか確認します。起動できることを確認できましたら、以前のデータが復元されているか確認します。

起動が問題なくできれば、もしデータがなかった場合においても、D.正常にメールの送受信できるかの確認に進み送受信ができるか確認してみてください。

C. 新規データ ファイルを作成し、Outlook が起動するかの確認
1. エラー画面を［OK］で進みます。以下の画面になりますので、まずは「ファイルの場所」を確認します。

ファイルの場所：［ドキュメント］になっている場合は［Outlook ファイル］をダブルクリックします。

ファイルの場所： [Outlookファイル] が開かれている場合は、次へ進みます。

2. 次の画面はそのまま［開く］をクリックします。（ファイル名には、「メールアドレス.pst」などと表示されます）

3. 「Outlook データファイルの作成」画面が出てくるので［パスワード］欄は空欄のまま［OK］をクリックします。

4. Outlookが起動できるか確認します。問題なければ、正常にメールの送受信できるかの確認に進み送受信ができるか確認してみてください。

（問題なければ、[OK]を押すと、自動的にOutlookが起動する場合もあります。）

D. 正常に送受信できるか確認する

1. テストメール送信

ご自身あてに、テストメールを送信しましょう。

無事受信できれば完了です。

もし「0x8004010F」エラーが発生した場合は 2.配信場所の確認 に進みます。

2.配信場所の確認

1. 画面左上の [ファイル] タブをクリックします。

2. 画面内の [アカウント設定] をクリックすると、直下に[アカウント設定(A)] と表示されますのでクリックします。

3. 「電子メール アカウント」画面が表示されましたら、設定しているアカウントを選択し [フォルダーの変更(F)] ボタンをクリックします。

4. 「新しい電子メール配信場所」画面を開き、[フォルダーの選択(C)] 欄を確認します。

※ ご利用のメールアドレスの左側に +(プラス) マークがある場合は一度クリックし、－(マイナス) マークに変えてください。

－(マイナス) マークの状態にすると、ご利用のメールアドレスの下に [受信トレイ] と表示されますのでクリックし、文字が青く反転したら [OK] をクリックします。

5.「電子メール アカウント」画面に戻ります。先ほどまで、[フォルダーの変更(F)] ボタン右側の空欄だった場所に、ご自身のメールアドレスが表示されましたら操作は完了です。「電子メール アカウント」画面を閉じ、改めて送受信可能かご確認ください。送受信できればこれで操作は完了です。上記手順を踏んでも、[フォルダーの変更(F)] ボタン右側が空欄の場合、以下の手順を実施します。

6. 再度アカウントを選択、 [フォルダーの変更] をクリックし、[新しいフォルダー] をクリックします。

7.「新しい電子メール配信場所」画面が表示されたら、左側は［受信トレイ］を選択し、続けて右側［新しいフォルダー］をクリックします。

8.　[フォルダー名] に[1] と入力し、[OK] をクリックします。

9.　戻った画面で、今、作成した［1］フォルダーが選択されていることが確認できたらそのまま [OK] で閉じます。

10.　[フォルダーの変更] の右側に [xxx@xxx受信トレイ1] と表示されます。

11.　再度 、[フォルダーの変更] をクリックし、今度は、[受信トレイ] を選択し [OK] をクリックします。

12.［フォルダーの変更］欄に、［メールアドレス￥受信トレイ］と表示されていれば完了です。アカウント設定画面を閉じ、改めて送受信できるか確認してください。

13.問題なく送受信ができたら、先ほど作成した [1] というフォルダーは削除しておきます。

フォルダーの上で右クリックし、[フォルダーの削除] で削除可能です。

参考資料

「ファイル C:Users...～.pst は見つかりません。」というエラーが出て Outlook が起動できない

Outlook 2010 または 2013 で電子メールを送受信する際に表示される 0x8004010F エラー

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

今回は Exchange Online のメール フローにおいて、お客様からしばしばお問い合わせをいただいておりますオンプレミスのサーバー向けにコネクタ設定を行う際の注意点をお伝えします。

Exchange Online は特定の送信元 IP から急激なメール受信量の増加を検知すると、サービスを保護するために当該 IP からのメール受信を自動的に制限し、遅延受信させます。
これは以下の blog でご案内の IP スロットリングの機能ですが、この特定の IP がお客様にて運用されている問題のないサーバーである場合には本機能の動作は不要であり、回避するためには送信元を組織のメール サーバー、送信先を Office 365 とするコネクタの設定が有効です。
 
Title: IP スロットリングについて
URL: https://blogs.technet.microsoft.com/exchangeteamjp/2015/03/23/ip/
 
送信元を組織のメール サーバーとするコネクタを設定すると、特定の送信元サーバーからのメールをコネクタが作成されている Office 365 テナントへメールをルーティングする動作となります。
このようなコネクタを作成するときには以下の点について予めご留意いただきますようお願い申し上げます。

 
<< Point 1 >> 他テナント宛てのメールも自テナントで受信する
前述のようにコネクタを作成することで対象となるメール サーバーから送信されたメールを Office 365 が受信すると、コネクタのあるテナントへまずメールをルーティングします (後述の Point 2 および 3 でご案内の、コネクタが使用される条件を満たしていることが前提となります)。
そのため、宛先が別の Office 365 テナントのメール (別のお客様にご登録いただいているドメインを含むメール) である場合にも、コネクタのあるテナントでまず受信します。
その後、実際に宛先ドメインが登録されているテナントへメールが中継されます。
これは特別なことではなく、組織のメール サーバーからのメールを受信するように設定されたコネクタが適切に動作した結果です。

そこで注意が必要となるのは、Exchange Online には各テナントごとにメール フローのルール設定 (トランスポート ルール) を行うことができるため、例えば自テナントに登録されていないドメイン宛てのメールはブロックするような設定を行っていると、組織のメール サーバーから他テナント宛てのメールも最終的にブロックされ届かない問題が起きます。
コネクタを設定する際は組織のメール サーバーからのメールは一度、自テナントにて受信し他テナントへ中継される動作となることにご注意ください。

 
<< Point 2 >> 証明書ベースのコネクタが効かない場合がある
組織のメール サーバーを送信元とするコネクタには、送信元を識別する方法として送信元メール サーバーが提示する証明書のサブジェクト名 (別名) または送信元 IP アドレスを選ぶことができます。
弊社としては前者の証明書ベースのコネクタを推奨しております。これは以下の Web サイトでご案内のように後者の IP アドレス ベースのコネクタの場合には Office 365 がメールの中継を拒否する場合があるためです。
 
Title: Office 365 の電子メールでコネクタを構成しているお客様への重要なお知らせ
URL: https://support.microsoft.com/ja-jp/help/3169958/important-notice-for-office-365-email-customers-who-have-configured-co
 
Office 365 は外部からメールを受信すると、全テナントのコネクタに設定されている証明書のサブジェクト名と、送信元メール サーバーが提示した証明書のサブジェクト名 (別名) を照らし合わせ、合致するコネクタを抽出します。
合致するコネクタがあると、そのコネクタに設定されているサブジェクト名がそもそもコネクタのあるテナントに登録されているドメインであるかチェックします (※ 1)。
証明書のサブジェクト名がテナントに登録されていないドメインである場合は、代わりに送信者 (差出人) もしくは受信者のメール ドメインがテナントに登録されているドメインかをチェックします。
チェックを通過したメールはコネクタ設定のあるテナントへルーティングされます。

(※ 1) ワイルドカードも考慮されるため、例えばコネクタの設定が *.contoso.com であり、テナントに登録されているドメインが contoso.com や jpn.contoso.com といった場合も有効です。

コネクタのサブジェクト名と証明書のサブジェクト名だけを合わせテナントに登録されているドメインとは合致しない場合には、送信者 (差出人) または受信者のメール ドメインも登録されていないドメインであると、コネクタが使用されないことをご注意ください。

この点につきましては、下記 TechNet でもご案内しております。
 
Title: Office 365 と独自の電子メール サーバーの間のメールをルーティングするようにコネクタを設定する
URL: https://technet.microsoft.com/ja-jp/library/dn751020(v=exchg.150).aspx
- パート 1:Office 365 から電子メール サーバーにメールが流れるように構成する (該当箇所を以下に抜粋)
Office 365 の承認済みドメインと一致するサブジェクト名で構成されている証明書を使用する。証明書の共通名、またはサブジェクトの別名を組織のプライマリ SMTP ドメインと一致させることをお勧めします。

 
<< Point 3 >> コネクタがあってもメールが届かない場合がある
送信元を組織のメール サーバーとするコネクタを設定すると、これまで述べてきたようにコネクタのあるテナントでまずメールを受信します。
証明書ベースのコネクタの場合には、Point 2 でご案内の動作により証明書のサブジェクト名 (別名)、コネクタのサブジェクト名、テナントのドメインの 3 つの条件にすべて合致することで、送受信者のメール ドメインがテナントのドメインに登録されていない場合にも有効にコネクタが動作することを説明しました。

一方、IP アドレス ベースのコネクタの場合には証明書のサブジェクト名による情報がないため、全テナントから送信元 IP の設定と合致するコネクタが抽出された後、送信者 (差出人) または受信者のメール ドメインがコネクタのあるテナントに登録されているドメインかどうかのみチェックされます。

ここで注意が必要となるのが、送信者 (差出人) のドメインがテナントに登録されていないケースです。
その場合は受信者のメール ドメインがコネクタのあるテナントに登録されているドメインかどうかがチェックされますが、送信元メール サーバーが単一の SMTP セッションの中で複数のメール ドメインを受信者として送信 (※ 2) すると、Office 365 はどのドメインをコネクタの検証用に使用すればよいか判断できず中継が拒否されます。

本記事執筆時点 (2017 年 12 月 6 日) では、複数の宛先メール ドメインが、同じコネクタのあるテナントにいずれも登録されており複数テナントにまたがっていなかったとしても中継が拒否されることをご注意ください。

(※ 2) 例えば以下のように RCPT TO コマンドで複数のメール ドメインが受信者として指定される場合です。
MAIL FROM: user01@contoso.com
RCPT TO: user01@adatum.com
RCPT TO: user01@fabrikam.com

 
今回のご案内は以上となります。
Office 365 とお客様のメール サーバーとを円滑にご連携いただく際の注意点としてお役に立てていただけますと幸いです。
 
※本情報の内容は作成日時点でのものであり、予告なく変更される場合があります。

日本マイクロソフト Outlook サポート チームです。

本ブログでは、Outlook でで特定の文字列が件名に含まれているとき応答なし (フリーズ、ハング) となる現象について説明します。

現象発生条件

- 現象発生環境

Microsoft Office 365 ProPlus (Outlook 2016)

※現時点では Outlook 2010/2013 での現象発生は確認されておりません。

- 現象発生文字列

以下の全角文字列が件名に含まれている場合に現象が発生することを確認しています。

→  ←  ↑  ↓  ⇒  ⇔  ≪  ≫

- 現象再現手順

以下の手順以外でも文字列や環境によっては、件名に上述の文字列があると閲覧しただけで発生する場合もあります。

再現手順1

1.テキストエディタに⇒ (SJIS 81CB) を入力

2.新規メールを開き、テキストエディタから文字を件名フィールドにペースト

再現手順2

1.新規メールを開く、件名に直接 ⇒ (SJIS 81CB) を入力

2.メールを送受信

3.送信済のメールを返信で、編集モードになったら、件名に入力されている ⇒ DEL などの編集を実行

対処方法

1. Outlook で [ファイル] タブをクリックします。
2. [オプション] をクリックし、[Outlook のオプション] ダイアログを表示します。
3. 画面左側の [メール] をクリックし、画面右側の [スペル チェックとオートコレクト] をクリックします。
4. 画面右側の [Outlook のスペル チェック]  配下の [入力時にスペル チェックを行う] のチェックをオフにして、[OK] をクリックしてダイアログを閉じます。
5. 現象の再現手順を実行し、再現しないことを確認します。

※上述の機能について

本設定は入力した文章を対象に自動でスペルチェックを行うための設定となります。

設定をオフした場合は、自動でスペルチェックは行われませんが、メールアイテムウィンドウの [校閲] メニューから [スペル チェックと文章構成] をクリックすることで、必要な時だけ手動でスペルチェックを行うことは可能です。

その他

修正時期は未定ですが、修正がリリースされましたら本 Blog を更新いたします。

現時点では特定のビルド以上から発生することを確認しています。上述の発生条件と対処方法が合致していれば、本問題に合致している可能性が高い状況です。

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

This article is describing a brief guide on how to prevent internal users from auto-forwarding emails to external mailbox users and on how to disable automatic email forwarding in Office 365 and Exchange Server.

Allowing users to use mail auto-forwarding brings the risk of information leakage. Additionally, users can select the option to not keep a copy of the message in the mailbox which could also result in data loss.

How to remove the automatic email forwarding options from Outlook on the web (OWA) in Exchange Server and Exchange Online

Automatic email forwarding options in Outlook Web App in Exchange Server and Exchange Online

In Exchange administrators control which actions can be performed by the users through Role Based Access Control. To remove the option shown in the picture above you need to modify the Default Role Assignment Policy. The Default Role Assignment Policy contains a Management Role called MyBaseOptions which is holding the parameters responsible for the forwarding and letting users perform the desired changes through the graphical interface of OWA by running Set-Mailbox on the background :

DeliverToMailboxAndForward
ForwardingAddress
ForwardingSmtpAddress

As you can’t modify the build-in role MyBaseOptions, you need to create a new role to replace it with.

1. Create a new management role based on the MyBaseOptions role:

   
   New-ManagementRole MyBaseOptions-DisableForwarding -Parent MyBaseOptions 

2. Remove the forwarding parameters from the MyBaseOptions-DisableForwarding role

   
   Set-ManagementRoleEntry MyBaseOptions-DisableForwardingSet-Mailbox -RemoveParameter -Parameters DeliverToMailboxAndForward,ForwardingAddress,ForwardingSmtpAddress

   Note: If you want to retrieve the parameters that will be left available for the Set-Mailbox cmdlet after the modification of the role which you’ve created:

   (Get-ManagementRoleEntry MyBaseOptions-DisableForwardingSet-Mailbox).parameters

   
   

3. As you have created the role, you have 2 options – modifying the default policy for all users or creating a different policy and assign it to a targeted group of people.

   3.1. Modify the Default Role Assignment Policy for all users by replacing MyBaseOptions with MyBaseOptions-DisableForwarding.

   The easiest way to do this is from  Exchange Admin Center > Permissions > User Roles > edit the Default Role Assignment Policy > clear MyBaseOptions and then select MyBaseOptions-DisableForwarding.

   3.2. Create a new role assignment policy which will contain the MyBaseOptions-DisableForwarding role

   
   New-RoleAssignmentPolicy -Name DisabledForwardingRoleAssignmentPolicy -Roles MyBaseOptions-DisableForwarding,MyContactInformation,MyRetentionPolicies,MyMailSubscriptions,MyTextMessaging,MyVoiceMail,MyDistributionGroupMembership,MyDistributionGroups, MyProfileInformation

   After creating the new policy, you can apply it to targeted user for example:

   
   Set-Mailbox –Identity user@domain.com -RoleAssignmentPolicy DisabledForwardingRoleAssignmentPolicy

   Note: Give it some time to replicate after the change.

   The expected result of both of the actions is the following:

Removing any existing auto-forwarding left from before the implantation of the new role

As the forwarding can be set to both internal and external recipients you might want to export a list of the mailboxes which had configured the settings before the Role Assignment Policy modifications. This will allow you to remove only the forwarding to external addresses with precision:

Get-Mailbox -ResultSize Unlimited -Filter {(RecipientTypeDetails -ne "DiscoveryMailbox") -and ((ForwardingSmtpAddress -ne $null) -or (ForwardingAddress -ne $null))} | Select Identity | Export-Csv c:ForwardingSetBefore.csv -append

If you want to remove any kind of forwarding regardless the location:

Get-Mailbox -filter {(RecipientTypeDetails -ne "DiscoveryMailbox") -and ((ForwardingSmtpAddress -ne $null) -or (ForwardingAddress -ne $null))} | Set-Mailbox -ForwardingSmtpAddress $null -ForwardingAddress $null

Disable forwarding set through Inbox Rules

As the Inbox Rule are frequently created by the users and can’t be blocked on server side, you need to disable this on a Remote Domain level.
The cmdlet below will disable the forwarding to all external domains. If you want to restrict this for particular domains only replace you can do so as well.

Set-RemoteDomain Default -AutoForwardEnabled $false

Or you can clear the selection for the Default Remote Domain settings from Exchange Admin Center >  Mail Flow > Remote Domains

As that setting will be applicable for all newly sent emails but will not eliminate the rules, you can use the cmdlet below will export a list of the mailboxes which have forwarding rules configured, review them and remove them upon demand as well:

foreach ($a in (Get-Mailbox -ResultSize Unlimited |select PrimarySMTPAddress)) {Get-InboxRule -Mailbox $a.PrimarySMTPAddress |fl Name,Identity,ForwardTo,ForwardAsAttachmentTo | Export-Csv c:InboxRules.csv -append }

Remove-InboxRule -Mailbox user@domain.com -Identity "RuleName"

Another option which you might consider, as it will be notifying your users as well,  is to configure a transport rule to handle the blocking of any auto-forward message types:

Sysmon tool from Sysinternals provides a comprehensive monitoring about activities in the operating system level. Sysmon is running in the background all the time, and is writing events to the event log.

You can find the Sysmon events under the Microsoft-Windows-Sysmon/Operational event log.

This guide will help you to investigate and appropriately handle these events.

Let's start with Microsoft Cybersecurity posture

Microsoft Cybersecurity posture consists of three pillars: Protect, Detect, and Respond. While Solid protection and rapid response capability are crucial, detection in depth is equally important. The focus in this blog post is on the last two:

• Detect – Install and configure Sysmon to capture the relevant events
  
• Respond - Investigate and respond to Sysmon events
  

Sysmon Configuration file

A configuration file is used by Sysmon to store information about which events we want to include and which event we wish to exclude.

Configuration files may be specified after the -i (installation) or -c (installation) configuration switches. They make it easier to deploy a preset configuration and to filter captured events.

A sample configuration file with rules to log device drivers that are not related to Microsoft and Windows or only network connections over TCP ports 80 and 443:

A sample configuration file for enterprises based on my research and real-life deployments can be found in My GitHub repository.

How to deploy a Sysmon configuration file in an enterprise?

Sysmon rules and configuration settings are saved in the registry under HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSysmonDrvParameters 

Using Group Policy Preferences (GPP) you can deploy Sysmon filtering rules across the entire organization (once installed, the service will poll its registry key for changes, and will be updated automatically, no restart is needed)

Step-By-Step instructions:

1. Open Group Policy Editor, navigate to Computer Configuration, Preferences, Windows Settings and Registry
   
2. Select Registry Wizard and New
   
3. Navigate to HKLMSYSTEMCurrentControlSetServicesSysmonDrvParameters and check the following items: HashingAlgorithm, Options and Rules
   

4. Deploy the GPO on the desired computers

Prepare for security investigations

• Download and extract Sysinternals Suite file
  
• You can also download the latest version of specific files from http://live.sysinternals.com
  

Investigate suspicious process

How do you identify processes that are suspicious? Mark Russinovich has told us to look for these suspicious process attributes when hunting malware with Process Explorer

• Have no icon, description or company name
  
• Run from Windows directory or user profile
  
• Started with wrong parent
  
• Misspelled process
  
• Unsigned executables
  
• Packed executables
  
• Host suspicious DLLs or services
  
• Have open TCP/IP endpoints
  
• Include strange URLs, strings in the executable
  

To summarize the most important analysis steps, you can use the accompanying graph:

Useful commands when investigating a suspicious file:

1. Run Sigcheck and search for any unsigned executables or VirusTotal's flagged executables:

   sigcheck -vt -vr -e -u -s c:
   

2. Run streams to detect alternate data streams:

   streams -s c:
   

3. Using PowerShell review the content of the Windows directory, and search for files with non-standard date-time:

   Get-ChildItem -recurse | Where-Object { !$_.PsIsContainer } | Sort-Object -Descending { $_.CreationTime }
   

Note: Due to the complexity of modern threats it's recommend to utilize professional/automatic removal process.

Sysmon Events Activity Guide

Event ID 2 - A process changed a file creation time

Description

The change file creation time event is registered when a file creation time is explicitly modified by a process. This event helps tracking the real creation time of a file. Attackers may change the file creation time of a backdoor to make it look like it was installed with the operating system. Note that many processes legitimately change the creation time of a file; it does not necessarily indicate a malicious activity.

Investigation

• Is the source computer running an organization-approved ZIP extractor or web browser? If yes, you may ignore this alert because these applications are known to change file timestamps
  
• Extract the following items from the event:
  
  • Image -path is not Windows or ProgramFiles -Use Investigate suspicious processes section above
    
  • TargetFileName -Use Investigate suspicious process table above
    

    
    

Remediation

Exclude an organization-approved application using the configuration file

Event ID 4 - Sysmon service state changed

Description

The Sysmon service state change event reports the state of the Sysmon service (started or stopped).

Investigation

• The Sysmon Service state was changed to "Stopped"? If an attacker has privileges, Sysmon monitoring can be disabled by killing the Sysmon service. Investigate why the service had stopped by searching the System event log for events with "Service Control manager" source in the System log
  
  

Remediation

None, but it is always recommended to implement a centralized event logging infrastructure

Event ID 6 - Driver loaded

Description

The driver loaded events provides information about a driver being loaded on the system. The configured hashes are provided as well as signature information. The signature is created asynchronously for performance reasons and indicates if the file was removed after loading.

Investigation

An attacker can exploit the Windows kernel by using a vulnerable device driver.

• Is the driver loaded is part of an organization-approved device drivers list? If yes, you may ignore this alert
  
• Extract the following items from the event:
  
  • ImageLoaded – check if the path is not Windows or WindowsSystem32Drivers - Use Investigate suspicious process table above
    

Remediation

None

Event ID 8 - CreateRemoteThread

Description

The CreateRemoteThread event detects when a process creates a thread in another process. This technique is used by malware to inject code and hide in other processes. The event indicates the source and target process. It gives information on the code that will be run in the new thread: StartAddress, StartModule and StartFunction. Note that StartModule and StartFunction fields are inferred, they might be empty if the starting address is outside loaded modules or known exported functions.

Investigation

If an attacker has privileges, he can inject a custom DLL into the process's address space by using the CreateRemoteThread function call.

• Extract the following items from the event:
  
  • SourceImage -path is not Windows or ProgramFiles -Use Investigate suspicious processes table above
    
  • TargetImage -image is lsass, password manages, browsers or other sensitive accounts
    

Remediation

None

Event ID 9 - RawAccessRead

Description

The RawAccessRead event detects when a process conducts reading operations from the drive using the \. denotation. This technique is often used by malware for data exfiltration of files that are locked for reading, as well as to avoid file access auditing tools. The event indicates the source process and target device.

Investigation

There are tools and PowerShell scripts that are capable of copying NTDS.dit, Registry hives, and any other file sitting on an NTFS volume by obtaining a read handle to the volume and parsing NTFS streams directly.

• Extract the following items from the event:
  
  • Image -path is not Windows or ProgramFiles - Use Investigate suspicious process table above
    

    
    

Remediation

None

Event ID 10 - ProcessAccess

Description

The process accessed event reports when a process opens another process, an operation that's often followed by information queries or reading and writing the address space of the target process. This enables detection of hacking tools that read the memory contents of processes like Local Security Authority (Lsass.exe) in order to steal credentials for use in Pass-the-Hash attacks. Enabling it can generate significant amounts of logging if there are diagnostic utilities active that repeatedly open processes to query their state, so it generally should only be done so with filters that remove expected accesses.

Investigation

• Extract the following items from the event:
  
  • SourceImage -path is not Windows or ProgramFiles -Use Investigate suspicious processes table above
    
  • TargetImage -image is lsass, password manages, browsers or other sensitive accounts
    

Remediation

In case of sensitive accounts and suspicious processes, assume that the accounts are compromised and replace their passwords

Event ID 15 - FileCreateStreamHash

Description

This event logs when a named file stream is created, and it generates events that log the hash of the contents of the file to which the stream is assigned (the unnamed stream), as well as the contents of the named stream. There are malware variants that drop their executables or configuration settings via browser downloads, and this event is aimed at capturing that based on the browser attaching a Zone.Identifier "mark of the web" stream.

Investigation

• Extract the following items from the event:
  
  • SourceImage -path is not Windows or ProgramFiles -Use Investigate suspicious processes table above
    

    
    

• By using Sysinternals streams we can check which files have alternate data-streams.
  

Remediation

If the alternate data stream is confirmed to be a malware or data related to a malware you can remove it using the PowerShell Remove-Item command

Hello All,

This came into my inbox as a larger discussion so I thought I would compile this information and provide it to you.

As a great start when discussing restoring or backing up in Office 365 I would suggest reading thru the Data Resiliency in Office 365 document.  Once done with that article here is some more great information:

For Exchange Online, we have the following posted: Backing up email in Exchange Online, do note that we do not back up in Office 365, or have any built in back up “options”, but rely on a series of features to ensure that data is maintained. We do not have point in time options.

If you want to manually back up, that is fine, but you would have to do so manually or with 3^rd party tools that tie in via Outlook, or have fun with exporting to PST’s and maintaining that data locally.

For SharePoint/OneDrive, Customers can leverage retention/preservation to avoid accidental deletion of content.   This is an old blog but still useful today. https://blogs.technet.microsoft.com/akieft/2012/01/09/restore-options-in-sharepoint-online/ it highlights four means to backup SharePoint Online:

1. Use the recycle bin and version history (built in and OOB and works for 99.9% of all customers and cases)
2. Use a 3rd party tool (number of them) for backup and restore (like Cloud Control above)
3. Manually backup sites, lists, and libraries (https://support.microsoft.com/kb/2783484 and How to back-up an Office 365 SharePoint Online site and data http://blogs.technet.com/b/lystavlen/archive/2011/10/10/how-to-back-up-office-365-sharepoint-online-data.aspx)
4. Create an Office 365 support request (Restore options in SharePoint Online http://blogs.technet.com/b/akieft/archive/2012/01/09/restore-options-in-sharepoint-online.aspx

For the support request option, Site Collection backups are performed every 12 hours and are kept for 14 days. If they want to restore a backup, they will need to create a support ticket and specify the earliest backup time, latest backup time, and optimal backup time.  Say their site collection was messed up during the day on Tuesday.  You could state the earliest backup time as close of business Monday (e.g., 6 PM), the latest backup time as open of business on Tuesday (e.g., 6 AM), and the optimal backup time as Tuesday at 4 AM.  The support team will get you the best backup based on this information.  You should have at least 12 hours between the earliest and latest times.

Know that the restoration is done to a site collection.  The entire site collection will be replaced and any changes made after the backup time will be lost – this is OFTEN more painful than the original loss of items.  Once a restore is requested, it may take 2 or more days for the restore to be performed.

There is a new feature coming in ODfB allowing a user to roll themselves back to a point in time copy of their files.  See Navjot Virk’s part of the Ignite keynote:

https://myignite.microsoft.com/videos/53867 (1:05:45 or so)

Finally there is a community written PowerShell script that allows admins to bulk restore OneDrive for Business files in the event of crypto/ransomware attacks.

https://gallery.technet.microsoft.com/OneDrive-for-Business-Tools-dfb52a4c

Pax

I've been using Visual Studio Team Services (VSTS) for almost all my development projects.

VSTS is a cloud service for collaborating on code development. It provides an integrated set of features that you access through your web browser or IDE client, including:

• Git repositories for source control of your code
• Build and release management to support continuous integration and delivery of your apps
• Agile tools to support planning and tracking your work, code defects, and issues using Kanban and Scrum methods
• A variety of tools to test your apps, including manual/exploratory testing, load testing, and continuous testing
• Highly customizable dashboards for sharing progress and trends
• Built-in wiki for sharing information with your team

Most of the developers would probably be managing VSTS from the Git commandline (source control) and the VSTS Portal.

VSTeam PowerShell Module

VSTeam is a PowerShell module that exposes portions of the REST API for Visual Studio Team Services and Team Foundation Server.
It is written in pure PowerShell and can be used on Mac, Linux or Windows to connect to TFS or VSTS. To install VSTeam you can use the Install-Module cmdlet. Just make sure on Windows you run PowerShell as administrator and on Mac or Linux you sudo your PowerShell session. Then simply issue the following command.

Install-Module VSTeam

With this PowerShell Module you are able to manage your VSTS and TFS server from the PowerShell commandprompt.

While this is already a pretty cool way to manage you VSTS/TFS Projects, Builds, Release etc, it can be even cooler and easier to manage your projects. Meet Simple Hierarchy in PowerShell (SHiPS)

Simple Hierarchy in PowerShell (SHiPS)
SHiPS is a PowerShell provider that allows any data store to be exposed like a file system as if it were a mounted drive. In other words, the data in your data store can be treated like files and directories so that a user can navigate data via cd or dir. SHiPS is a PowerShell provider. To be more precise it's a provider utility that simplifies developing PowerShell providers.

Would it not be cool to navigate your VSTS/TFS Projects from the commandprompt using SHiPS on top of the VSTeam PowerShell Module?
Meet the new VSTeam module which integrates SHiPS functionality with the PowerShell VSTeam module.

SHiPS and VSTeam PowerShell module

To get started with the VSTeam PowerShell Module with SHiPS functionality download the latest version from the PowerShell Gallery:

Install-Module VSTeam -scope CurrentUser

The VSTeam PowerShell Module needs a personal access token for VSTS or TFS. More information on how to create a Personal Access Token can be found here.

High-Level steps to get started with VSTeam and SHiPS:

1. Open PowerShell host
2. Import VSTeam PowerShell Module
3. Create VSTeam Profile
4. Add VSTeam Account (and create SHiPS drive)
5. Navigate the SHiPS VSTeam Drive

Step 1 and 2. Open PowerShell host and import VSTeam PowerShell Module.

Step 3. Create VSTeam Profile

Add-Profile -Account '[VSTSOrTFSAccountName]' -PersonalAccessToken '[personalaccesstoken]' -Name '[ProfileName]'

Step 3. Add VSTeam Account and create SHiPS Drive

Add-VSTeamAccount -Profile [profilename] -Drive vsteam

Copy the yellow output 'New-PSDrive -Name vsteam -PSProvider SHiPS -Root 'VSTeam#VSAccount' to your host and run the command.

Step 4. Navigate the SHiPS VSTeam Drive

#region navigate to you VSTeam SHiPS drive
cd vsteam:
#endregion

#region list vsteam account projects
Get-ChildItem
#endregion

#region navigate to project
cd OperationsDay2017
#endregion

#region list folders for Project
Get-ChildItem
#endregion

#region list Builds for Project
cd Builds
#endregion

#region list Build properties
Get-ChildItem .117 | Select *
#endregion

#region list Build properties using Get-Item
Get-Item .117 | Select *
#endregion

#region list Unsuccessful Builds
Get-ChildItem | Where-Object {$_.result -ne 'succeeded'}  | Format-List *
#endregion

#region list Release for Project
Get-ChildItem ..Releases
#endregion

#region list Release properties
Get-ChildItem ..ReleasesRelease-51 | select *
#endregion

#region find all rejected releases for specific requestor
Get-ChildItem ..Releases | Where-Object {$_.createdByUser -eq 'Stefan Stranger'} |
    Where-Object {$_.Environments.status -eq 'rejected'} |
    Select-Object createdByUser |
    Group-Object -Property createdByUser -NoElement
#endregion

#region find all rejected releases grouped by creator
Get-ChildItem ..Releases |
    Where-Object {$_.Environments.status -eq 'rejected'} |
    Select-Object createdByUser |
    Group-Object -Property createdByUser -NoElement |
    Sort-Object -Property Count
#endregion

#region overview of failed releases per release definition
Get-ChildItem ..Releases |
    Where-Object {$_.Environments.status -eq 'rejected'} |
    Select-Object createdByUser, @{'L' = 'Name'; E = {$_.Environments.releasedefinition.name[0]}} |
    Group-Object -Property Name |
    Sort-Object -Property Count -Descending
#endregion

Remark:
Currently the SHiPS Module only supports the following cmdlets:

• Get-Item
• Get-ChildItem

Screenshot Navigate VSTeam Account with VSTeam PowerShell Module with SHiPS functionality

Screenshot Build Properties

You can check the announcement from Donovan Brown here.

References:

• Visual Studio
• What is VSTS?
• PowerShell I would like you to meet TFS and VSTS
• VSTeam PowerShell Module
• Navigate Azure Resources Just Like a File System Blog Post
• VSTeam PowerShell Module Git Repository

Безопасность информационных систем является одним из основных пунктов на повестке многих компаний, которые сталкивались с утечками данных, ущербом от вымогателей-шифровальщиков, хакерскими и другими атаками. Помимо потери коммерческих данных, могут быть потеряны персональные данные физических лиц, что повлечет за собой финансовые и репутационные риски.

В этом вебинаре вы ознакомитесь с типичными атаками на рабочие станции и способами защиты от них. А так же как решения на базе Microsoft обеспечивают безопасность и соответствие международным законам по хранению и обработке персональных данных.

• Отражение атак Pass-the-Hash, Pass-the-Ticket и Golden Ticket с помощью Windows Defender Credentials Guard.
• Windows Hello for Business. Избавляем пользователей от ввода пароля.
• Атаки на незащищенные рабочие станции и шифрование с помощью Bitlocker.
• Предотвращение выполнения вредоносного кода. Windows Defender Exploit Guard.
• Предотвращение заражения шифровальщиками с Device Guard.
• Безопасный серфинг в Windows Defender Application Guard.
• Аналитика поведения пользователей и Advanced Threat Analytics.

Мероприятие бесплатное, регистрация обязательна.

Безопасность информационных систем является одним из основных пунктов на повестке многих компаний, которые сталкивались с утечками данных, ущербом от вымогателей-шифровальщиков, хакерскими и другими атаками. Помимо потери коммерческих данных, могут быть потеряны персональные данные физических лиц, что повлечет за собой финансовые и репутационные риски.

В этом вебинаре вы узнаете об атаках на инфраструктурные сервисы и как от этих атак защититься. А так же как решения на базе Microsoft обеспечивают безопасность и соответствие международным законам по хранению и обработке персональных данных.

• Атаки DDoS и защита от них Azure Application Proxy.
• Потеря персональных данных из-за SQL-инъекций. Своевременное обнаружение в Azure Security Center.
• Поиск уязвимостей в опубликованных сервисах.
• Operations Management Suite. Мониторинг инфраструктуры и событий безопасности. Надежная архивация данных, до которой не доберутся шифровальщики.
• Аналитика атак и вторжений в Windows Advanced Threat Protection.
• Продвинутые возможности защиты электронной почты Office Advanced Threat Protection.

Мероприятие бесплатное. Регистрация обязательна

Microsoft MVP – это не только выдающиеся технические специалисты. Большинство MVP активно работают над большим количеством проектов, где они получают бесценный опыт использования различных технологий. А еще, у многих из них есть свой бизнес. Идея MVP Open Fest заключается в том, чтобы собрать как можно больше MVP в одном месте и дать возможность всем желающим послушать интересные доклады и задать самые сложные вопросы.

Регистрация обязательна!

I assembled this list of what is new/deprecated in SharePoint and Project Server 2016 for a customer upgrading from Project Server 2013. He wanted to have a training call, so built the list and added some notes about important information in each. It's my hope that this will be useful to others.

1. SharePoint 2016
   1. Overview of MinRole Server Roles in SharePoint Server 2016 - https://technet.microsoft.com/en-us/library/mt346114(v=office.16).aspx
   2. New and improved features in SharePoint Server 2016 - https://technet.microsoft.com/library/mt346121(v=office.16).aspx
      1. Learn about the new features and updates to existing features in SharePoint Server 2016. For a comparison of SharePoint on-premises features between SharePoint 2013 and SharePoint Server 2016 editions, see SharePoint feature availability across on-premises solutions. For new features in SharePoint Server 2016 for end users, see What's new in SharePoint Server 2016.
   3. What's deprecated or removed from SharePoint Server 2016 - https://technet.microsoft.com/en-us/library/mt346112(v=office.16).aspx
      1. For Project Server users, the main takeaway here is that Excel Services is now part of Office Online Server; OOS must be configured to interact with your SharePoint (and Project Server) farm. OOS can be a single server or n+1 servers for high availability.
   4. What's new in SharePoint Server 2016 - https://support.office.com/en-us/article/What-s-new-in-SharePoint-Server-2016-089369b5-c3d4-4551-8bed-22b2548abd3b
   5. New features in November 2016 PU for SharePoint Server 2016 (Feature Pack 1) - https://technet.microsoft.com/en-us/library/mt744526(v=office.16).aspx
      1. The Administrative Actions Logging feature provides logging around common SharePoint administrative actions to aid SharePoint administrators in troubleshooting changes to their farm.
      2. The MinRole feature in SharePoint Server 2016 now includes two new server roles and enhanced support for small farms.
   6. New features in September 2017 PU for SharePoint Server 2016 (Feature Pack 2) - https://technet.microsoft.com/en-us/library/mt826233(v=office.16).aspx
      1. Feature Pack 2 contains all the new features that shipped with Feature Pack 1. You don't need to separately install Feature Pack 1 and then install Feature Pack 2. Feature Pack 2 is included in all future Public Updates for SharePoint Server 2016, beginning with the September 2017 Public Update.
2. Project Server 2016
   1. What's new for IT pros in Project Server 2016 - https://technet.microsoft.com/en-us/library/ff631142(v=office.16).aspx
      1. “A single database for multiple instances” – If you want to have more than one instance of PWA, I recommend you have separate databases for reporting purposes from the pjrep.* tables in the content database, because direct access to the reporting schema is supported only if there is a single instance of Project Web App that uses the database.
   2. What's deprecated or removed in Project Server 2016 - https://technet.microsoft.com/en-us/library/mt422816(v=office.16).aspx
   3. What’s new in Project 2016- https://blogs.office.com/en-us/2015/09/30/whats-new-in-project-2016/
      1. Resource capacity heat maps
      2. Timeline changes

I often get asked "Matt what does a typical day in the life look like for you when using Microsoft Teams"? While that can certainly be a loaded question (because how and what I use Teams for can be different than others) I wanted to share with you my typical work flow as it may inspire you to look at your own workflow in a new way and how you interact with others on your team(s).

7:30am (Morning coffee activities)

The day starts off browsing my Activity Hub in Microsoft Teams and checking to see if there are any new @ mentions where someone on any of the teams I subscribe to, needs me for any specific actions (i.e. review a document, add my comments to a status deck, etc). I also peruse to see if there are any team announcements from my leadership. Lastly I check the channels that have Yammer connectors that are related to the projects I am working on to see what others in the company are saying about the project. If there is a topic of interest, within the channel I may @ mention someone to then triage that Yammer message

8:30am (Team meetings)

I attend my daily stand up meeting with the project team to discuss status of tasks. Depending on the circumstance I may join the meeting from the Microsoft Teams smartphone app while commuting into the office. The project manager uses the Planner tab to record tasks and assign owners and due dates. She will facilitate the meeting around the Planner tab by sharing out her screen and moving tasks between buckets (In-Progress, At Risk, Completed). Someone on the team is taking notes in the OneNote tab as shared meeting notes that will be visible by all team members.

9:30am (Data analysis)

Using the PowerBI tab in my team channel, I review the project budget and spend data for the project and on another tab I check how much time each team member is spending on the project. I start a new conversation on the PowerBI report and @ mention the team to ask a few questions on hours and budget. I also @ mention the project manager to let her know the report is up to date and she can copy/paste it into the weekly executive status deck.

10:30am

A lively email conversation is occurring among team members where the review of a proposal is taking place. I noticed team members are editing the document and making comments and as a result, multiple versions are in the email thread. To ensure we have a single version and can all collaborate on the same thread and avoid forking, I forward the email to the team channel in Microsoft Teams and @ mention the channel to let everyone know to continue the conversation here.

11:30am (On-boarding)

We are having new team members join us tomorrow, so I need to up date the team wiki using the Wiki tab in the team channel. This is where all general information about the project is stored, acronyms/definitions, team contact information, project goals and objectives, etc. Once the new members join the team we will direct them to the Wiki tab to get started.

12:30pm

As part of this particular project, we need to professionally record videos of product demos and presentations. After working with the studio, I upload the raw footage to Microsoft Stream and then I create a Microsoft Stream tab in Teams that provides access to the video right within Teams. I announce to the team via an @ mention the footage is now available for their review and comments.

1:30pm

A task on the project involves creating a lab environment for our customers to learn new features of a product. This task is owned by a vendor/contractor and I realized they need access to the team so they can participate in conversations and collaborate on lab manuals and instruction documents. As a result, I validate they meet requirements set by my IT department to gain access to any proprietary information that is in the team, and I add the trusted individuals as a guest to the team in Microsoft Teams. I then @ mention the team welcoming them to the team.

2:30pm

Using the Microsoft Forms tab in Microsoft Teams, I create a survey that will be used with a pilot group of customers for the project to gather their insights and feedback. Of course, this is a draft of the survey so I will start a new conversation in the tab and @ mention several team members to gain their input on the survey.

3:30pm

There's an upcoming team offsite next month in Redmond that requires us to carefully coordinate flights and hotels. Using the Kayak Bot added to the team channel, we can agree on flights and hotels and coordinate our travel schedules. I setup the bot, and start looking at flights and hotels.

4:30pm

At the end of the week on Friday there will be an executive review meeting of the project. To aid in putting together the deck required for the meeting using search in Microsoft Teams I look for updates from team members on various project tasks that stretch across conversations and files. Once I finish creating the draft PowerPoint deck I add it as a tab to the team channel and @ mention the team to ask for their input and review prior to the meeting.

5:00pm

To end the day, I have a 1:1 meeting with my manager. I place a private video call to him using Microsoft Teams and make the video feed full screen. I do this so he can see that I am not multi-tasking and that he has my complete attention (he also does the same). If needed we keep action items and talking points recorded in a shared OneNote notebook that we will reference throughout the meeting.

Way back in February of this year I was introduced to a Preview version of Microsoft Whiteboard, an app for Windows 10 devices that was similar to that running on the awesome Surface Hub devices. I was able to show a handful of customers but because it was not available there was a degree of frustration at not being able to get "hands on" with it in their classrooms.

That's all changed with this weeks announcement of a public preview of the Whiteboard App for Windows 10.

If you're in a hurry to get your hands on this then click the following direct download link:

Direct Download of Whiteboard Preview App from Windows Store

Microsoft Whiteboard Preview is built for anyone who engages in creative, freeform thinking before getting to their final output. It’s designed for teams that need to ideate, iterate, and work together both in person and remotely, and across multiple devices.

For schools that are already heavy users of OneNote Class NoteBooks you may ponder why this is a good tool to explore, but I believe there are definitely differentiated value propositions here including:

• In the Whiteboard Preview App the pens are at the bottom of the app rather than at the top as they are in OneNote. If you're using Whiteboard App projected onto a touch enabled TV or Projector screen then this is a huge thing. You don't need to be stretching right up to the top of a large screen to change pens - you can "grab" the new pen from the bottom of the screen, just as you would on a traditional whiteboard:

• You can easily click 'n drag text, images, diagrams and virtually any other object around within whiteboard.
• The photo stack feature is a neat one that is not available in OneNote:

• Co-authoring is easier with MSA accounts such as Outlook/Hotmail supported, as well as traditional Office365 Accounts meaning collaboration can be easily implemented with users outside of your school if that is desirable:
• Multiple canvases are supported for easy sharing across different classes/projects:

For schools that already use touch and pen enabled devices there is obviously a lot of additional value here, although the "finger touch" option is reasonably accurate even without a pen. The fact you can share without the need for an Office365 account opens this up to schools that perhaps use other cloud collaboration suites but want to get the value of this free tool.

It's been a long time in development before it's got to this stage and I do encourage you to download it and give it a go.