執筆者: Corey Sanders (Director of Compute, Azure)

このポストは、2018 年 1 月 30 日に投稿された Announcing the general availability of Azure Event Grid の翻訳です。

モダン アプリケーションは、モノリシック アーキテクチャから離れる代わりに多様なサービス セットを連動させることで、クラウドの俊敏性と柔軟性を最大限に活用しています。これには、Azure のようなクラウド プラットフォームで提供される基本サービス (データベース、ストレージ、IoT、コンピューティング、サーバーレス機能など) とアプリケーション独自のサービス (在庫管理、支払いサービス、製造プロセス、モバイル エクスペリエンスなど) が含まれます。これらの新しいアーキテクチャではイベント主導による実行が基軸となるため、サービス間の通信をポーリングする手間が解消すると同時に、メカニズムが簡素化されます。イベントには、IoT デバイスのシグナル、クラウドのプロビジョニング通知、ストレージ Blob のイベントのほか、人事システムへの新規従業員の追加などのカスタム シナリオも含まれます。新しいアプリのパラダイムでは、こうしたイベントに効率よく確実に応答することが不可欠です。

このたび、Azure Event Grid の一般提供開始が発表されました。これは、イベント ベースのアプリケーションの開発を簡素化するフル マネージド型のイベント ルーティング サービスです。

• Azure Event Grid はこれまでにないタイプの製品で、アプリやサービスが Azure サービスや同様のアプリの異なる部分から、対応する必要のあるすべてのイベントをサブスクライブできます。
• イベントはプッシュ配信されるため、コードが簡素化され、リソース消費も抑制されます。また、変更を継続的にポーリングする必要がなくなり、料金はイベント数によって決定されます。サービスは自動でスケーリングされ、1 秒あたり数百万回以上のイベントに対応できます。
• Azure Event Grid では、さまざまな方法でこうしたイベントに対応できます。たとえば、Azure Functions や Azure Logic Apps などのサーバーレス サービスを使用したり、Azure Automation を使用したり、あるいは独自のコードやサードパーティ製サービスを含むカスタム Webhook などを使用できるため、どこで実行されているどんなサービスでもイベントをパブリッシュしたり、信頼できる Azure イベントをサブスクライブしたりすることができます。

このサービスによってパブリック クラウド サービスしか使用できないという制限から解放され、オンプレミスとクラウドを含むあらゆる場所で Azure のネイティブなイベントに簡単に対応したり、最新アプリを構築したりできるようになります。この機能は、Azure Event Grid 独自のものです。

そのしくみについては次のビデオをご覧ください。

パブリック プレビューの発表 (英語) 以来、Azure Event Grid は革新的な方法で使用されており、そうしたお客様やコミュニティの皆様から、以下のような貴重なフィードバックをいただいています。

• Adobe 社、Azure Event Grid を使用して新規顧客のアセットを Adobe Experience Manager に取り込むのにかかる時間を短縮

「以前、新規のお客様が画像ファイルや動画ファイルなどの既存アセットを Adobe Experience Manager Managed Services に初めて取り込む際に、時間がかかることが問題になっていました。保有アセット数が数十万個もあるお客様だと完了までに数日かかることもあったため、Adobe は Microsoft Azure Event Grid と Event Hubs を使用して、この作業を水平方向にスケーリングするプロセスを開発し、Azure を使用する新規のお客様の作業時間を大幅に短縮しました。

当社では、Azure Storage、Event Grid、Event Hubs、および EventProcessorHost を使用して、お客様の時間的な要件に対応しながら、数十万個のアセットを安全に処理してスケーリングできるシステムを開発しました」

- Philipp Koch 氏 (Adobe、エンジニアリング担当ディレクター)

• Outotec 社、Azure Event Grid を使用してハイブリッド統合プラットフォームを再構築

「Azure Event Grid を使うと、ポーリングを行わなくてもイベントやグローバルなビジネス データの変更に簡単かつ確実に応答できるため、企業全体に広がるクラウド ベースのハイブリッド統合プラットフォームのアーキテクチャを簡素化できました」

- Henri Syrjäläinen 氏 (Outotec Oyj、デジタル エンタープライズ アーキテクチャ担当ディレクター)

• Paycor 社、Azure Event Grid で人材管理アプリケーションを統合

「Event Grid のおかげで、Paycor はお客様に対して人材管理アプリ スイート全体で統合エクスペリエンスを提供できるようになりました。Event Grid がイベント主導型アーキテクチャのバックボーンとなることで、各アプリでイベントのブロードキャストや受信を安全かつ確実にできるため、従来のパブリッシュ/サブスクライブ型ソリューションでは解決できなかった運用やスケーラビリティに関する問題の多くが解決されました」

- Anthony Your 氏 (Paycor, Inc.、アーキテクチャ担当ディレクター)

• マイクロソフトのデバイス サプライ チェーン チームでは、Azure Event Grid をサーバーレス パイプラインの一部に組み込み、運用の最適化と市場投入期間の短縮を実現しています。詳細については、マイクロソフト サプライ チェーン チームのサーバーレス アーキテクチャの事例 (英語) を参照してください。

プレビュー以降、新たに提供が開始された機能は以下のとおりです。

• 統合サービスの追加で、対応シナリオが拡大: プレビュー以降、イベント パブリッシャーとして汎用ストレージと Azure IoT Hub が追加され、また通知先として、イベントのアーカイブ、ストリーミング、バッファー処理に最適な Azure Event Hubs が追加されました。IoT Hub (英語) では、デバイスの作成や削除などのライフサイクル イベントのサポートが追加され、サーバーレス アーキテクチャで処理できるようになりました。これらが新たに統合されたことで、アーキテクチャが簡素化され、クラウドとオンプレミスのどちらのアプリの対応幅も広がります。詳細情報、および各リージョンの提供状況については、Azure Event Grid に統合されているサービスの現時点でのリストをご覧ください。今年中にさらに多くのサービスが追加される予定です。

• 提供リージョンの拡大: Azure Event Grid は、米国西部、米国東部、米国西部 2、米国東部 2、米国中西部、米国中部、西ヨーロッパ、北ヨーロッパ、東南アジア、東アジアの各リージョンで提供されており、今後さらに拡大される予定です。
• 信頼性の向上とサービス レベル アグリーメント (SLA): イベント配信に、指数バックオフによる 24 時間の再試行ポリシーが適用されました。また、運用ワークロードでは企業向けとして最高レベルの 99.99% の可用性が返金制度付きの SLA で保証されます。これにより、Azure Event Grid を利用する基幹業務アプリを安心して構築することができます。
• 開発者の生産性向上: 今回、開発工程を効率化する新しい Event Grid SDK (英語) もリリースされました。管理用 SDK は Python 用、.NET 用、Node.js 用が提供され、今後 Go、Ruby、Java もサポートされる予定です。発行用 SDK は .NET 用が提供され、今後 Python、Node.js、Go、Ruby、Java もサポートされる予定です。また、イベント スキーマ ストアからサポート対象の種類のイベントの JSON スキーマを取得するだけで、イベントを簡単に利用できるようになりました。これにより、サブスクライバーがイベントを理解し、逆シリアル化する負担がなくなります。

ここでは、今回の一般提供が開始された Azure Event Grid が、お客様のサーバーレス アプリケーションに欠かせないコンポーネント (英語) であることをご説明してきました。次は Event Grid のクイックスタート ガイドを使って、実際にお試しください。最初の 10 万件のイベントには料金は発生しないため、お気軽にお使いください。

使用開始には、以下のサンプルやチュートリアルをお役立ていただけます。

• サーバーレス アプリケーションの構築
  • IoT Hub と Logic Apps を使用してデバイスのライフサイクル イベントに応答する [ドキュメント (英語) | ビデオ (英語)]
  • 関数を使用して Blob ストレージ内の画像を即座に取得しサイズを変更する [ドキュメント]
• インフラストラクチャの運用の自動化
  • VM 作成時に各 VM に適切にタグを付与し Microsoft Teams のチャネルに通知を送信する [ドキュメント]
• 分散型アプリケーションの異なる部分間での通信の活性化
  • Event Hubs のデータをデータ ウェアハウスにストリーミングする [ドキュメント]

さらに詳細を知りたい方は、ぜひ 2018 年 2 月 13 日 (火) (太平洋標準時) の Web セミナーにご参加ください。

登録はこちら: サーバーレス アーキテクチャを使用してイベント主導型アプリケーションを構築する (英語)

次回もどうぞお楽しみに。

Corey Sanders

Update and Recommendation feature was introduced in SCOM 2016  for Microsoft owned Management Packs  . This feature was introduced to alleviate the challenges involved in discovering the appropriate Management Packs for various workloads running in the customer’s environment from different websites on the internet and staying up to date with the latest versions of the Management Packs.

With this feature, the customer is able to automatically discover various workloads(for which the Management Pack exists) running in their environment that is managed by the SCOM server and it would recommend appropriate Management Packs (including the latest version or missing Management Packs) that can be imported to monitor the workloads. This feature is enabled for 110+ Microsoft workloads, for which the customers can easily download and import the Management Packs without having to search those on the internet at all.

We are extending this feature to support Management Packs authored and offered by several external technologies and consulting partners of SCOM. Partners have extended their support by signing up with SCOM team to onboard their Management Packs to ease the Management Pack discovery problem solved by this feature. With the partner support, this feature is now able to recommend Management Packs for both Microsoft and non-Microsoft workloads.

In the Operations Manager 1801 release, we are starting with onboarding Management Packs  from the following external partners:

1. Calcomp – CHS Suite
2. Comtrade – Nutanix, F5 BIG-IP
3. Infront Consulting – RightFax, SC Orchestrator, McAfee, and Isilon
4. NiCE – IBM Domino, Oracle, and DB2
5. Opslogix – BlackBerry, IBM MQ, Oracle, Swift, and VMware
6. Savision – ActiveDirectory, Exchange 2013, Exchange_2010, DynamicsCRM, SharePoint 2013, SkypeForBusiness 2015, SystemCenterConfigurationManager 2012, DHCP, DNS, RemoteDesktopServices, and Lync Server 2013

The UI experience of the Update and Recommendation feature in the Operations Manager console is enhanced to indicate the company that owns the Management Pack as shown in the screenshot below. For non-Microsoft workloads, Get MP action will navigate the user to the Partner website with the MP details .

Please share your feedback on User Voice. If you are an Management Pack partner and want to onboard your Management Packs, please write to us at mpgfeed@microsoft.com.

This post is a contribution from Mustaq Patel, an engineer with the SharePoint Developer Support team

If we want to do a quick check if the AAD app is working against SharePoint Online using Graph API, we can use postman to set this up quickly. This blog post will demonstrate how to use Graph API with grantType = Authorization code. The blog post will also show how to use version 2.0 OAuth2 endpoint URLs.

For using REST API with POSTMan, please follow the below steps. It also shows how to use Client Credentials grant type.

Using OAuth 2.0 AAD App to retrieve data from SPO site using Graph
Step1:
Register your AAD app using apps.dev.microsoft.com or by directly browsing Azure Active Directory that is associated with SharePoint Online Tenant. My registration looks like below using https://apps.dev.microsoft.com

1. Give app a name. Generate new password and copy it somewhere.
2. Click Add platform and Select Web. Add Redirect url which needs to be unique. Please note that after .com it should be /oauth2/callback for postman to work. I normally give https://spotenantname.apptitle.com/oauth2/callback
3. Give permission to the app. Give delegated permission to Microsoft Graph and select Sites.Read.All
4. Save. The app registration is complete. Keep ApplicationId, password which you copied in #1 and redirecturl for later use in postman.

Notes:
The permission you request will differ as per what you are retrieving from SPO. For now I am giving Sites.Read.All which will give read permission to the app on all sharepoint sites.

Step 2:

1. Install latest PostMan (standalone version v5.5.2) from https://www.getpostman.com/apps.
2. Open postman click Authorization and select OAuth 2.0. Click “Get New Access Token”.
3. Input values as below.
   Callback Url – this should be the redirect Url we copied from app registration
   Auth Url – should be https://login.windows.net/common/oauth2/authorize?resource=https%3A%2F%2Fgraph.microsoft.com
   Note the resource value is encoded and is https://graph.microsoft.com
   Cliend Id – is the application Id we copied during app registration
   Client Secret – is the password we copied during app registration
4. Click Request Token. This will ask you to authenticate to your SPO Site and will give you App Consent UI to trust the App. Accept the permissions. Now you can see id_token generated, scroll all the way below and click use token. You may have to cancel the popup 2, 3 times to go to main postman window.
5. On main postman screen. Provide the Graph Request Url, Select GET operation and click Send. If successful, we should see body showing response from the server like below. For testing we are getting site details by using below Graph request (tenantname will be as per your tenant)https://graph.microsoft.com/v1.0/sites/tenantname.sharepoint.com:/
6. Below are few graph requests that you can tryGet particular site details (/sites/TeamSite is the path that I am requesting)
   https://graph.microsoft.com/v1.0/sites/tenantname.sharepoint.com:/sites/TeamSiteGet listitems for a list from root site
   https://graph.microsoft.com/v1.0/sites/tenantname.sharepoint.com/lists/DA53F478-07C8-4E10-AD26-76D64347ADDF/itemsGet listitems for another site
   First get that site id by below request
   https://graph.microsoft.com/v1.0/sites/tenantname.sharepoint.com:/sites/TeamSite

   copy the entire id value and replace siteid below
   https://graph.microsoft.com/v1.0/sites/siteid/lists/10FE61F7-EE89-4D86-A8FB-33DA455FAC2D/items

Using OAuth 2.0 version 2 endpoints to retrieve data from SPO site using Graph

For using oauth2 version 2.0 endpoint urls and use graph, the steps are exactly same as above, except the step where we get AccessToken, we have to use Scope and AuthUrl, TokenUrl will change.

Also, please note that 2.0 endpoint urls only support graph APIs and that means for SharePoint it is very limited.

Using same above appregistration, here is my request to get AccessToken using oauth2 version 2.0 urls

Callback Url - this should be the redirect Url we copied from app registration
Auth Url – this should be https://login.windows.net/common/oauth2/v2.0/authorize
Access Token Url – this should be https://login.microsoftonline.com/common/oauth2/v2.0/token
Scope – List of scopes / permissions example https://graph.microsoft.com/files.read.all sites.read.all

Main difference between v2.0 urls and older once are below
Auth Url
V1 = https://login.windows.net/common/oauth2/authorize?resource=https%3A%2F%2Fgraph.microsoft.com
V2= https://login.microsoftonline.com/common/oauth2/v2.0/authorize

Token Url
V1 = https://login.microsoftonline.com/common/oauth2/token
V2 = https://login.microsoftonline.com/common/oauth2/v2.0/token

Scope
V1 = not needed
V2 = https://graph.microsoft.com/files.read.all sites.read.all (multiple permissions separated by spaces. We can only have 1 scope which is https://graph.microsoft.com)

本記事は、Microsoft Secure ブログ “Now you see me: Exposing fileless malware” (2018 年 1 月 24 日 米国時間公開) を翻訳したものです。

攻撃者は、ますます高度化するテクニックを駆使して、セキュリティ防御策を回避することに懸命になっています。ファイルレス マルウェアによって攻撃のステルス性と有効性は高まり、昨年流行した重大なランサムウェアのうち 2 つ (Petya と WannaCry) はキル チェーンの一部としてファイルレスのテクニックを使用しています。

ファイルレス マルウェアの仕組みはシンプルなもので、デバイス上に攻撃者の目的を実現できるツールが既に存在する場合 (例えば PowerShell.exe や wmic.exe など)、マルウェアと識別される可能性のあるカスタム ツールをわざわざドロップする必要はありません。攻撃者がプロセスを乗っ取ってメモリ領域でコードを実行し、そのコードを利用してデバイス上の既存のツールを呼び出すことができれば、その攻撃の検出はさらに難しくなります。

"環境寄生型" と呼ばれるこのアプローチの悪用は、誰にでもできるような簡単なことではありません。攻撃者はさらに、持続性を確保することにも取り組む必要があります。メモリは揮発性であり、ディスク上にファイルを置かない状態で、攻撃者はどのようにシステム再起動後にコードを自動開始させ、侵害したシステムの制御を保ち続けることができるのでしょうか。

Misfox: 標的ネットワークへの「ファイルレス」なゲートウェイ

2016 年 4 月、あるお客様からマイクロソフトのインシデント対応チームに、サイバー恐喝事件に関する報告がありました。お客様は、侵害されたコンピューターから盗み出された企業の機密情報を開示しないことと引き換えに、相当な額の金銭を攻撃者に要求されました。さらに、お客様が法執行機関に連絡した場合、ネットワークを「パンク」させると脅迫してきました。とても厄介な状況といえます。

マイクロソフト インシデント対応チームは、ネットワーク上のマシンを調査して標的型インプラントを識別し、侵害の範囲を描き出しました。お客様は有名なサードパーティ製のウイルス対策製品を使用しており、それは大部分のマシンにインストールされていました。ウイルス対策製品は最新のシグネチャで更新された状態でしたが、標的型インプラントを検出できませんでした。

その後のマイクロソフトのチームの調査により、攻撃者がランサムウェアを使って 2 回もファイルの暗号化を試みていたこと分かりました。幸いなことに、その企ては失敗しました。ネットワークをパンクさせるという脅迫は、当初の案が失敗した後、攻撃を収益化するための代替案であることが判明しました。

その上、攻撃者が少なくとも 7 か月の間、2 つの異なるチャネルを通じてネットワークに潜んでいたことが分かりました。

• 1 つ目のチャネルには、いくつかのマシンに展開されていた Swrort.A というバックドアが含まれていました。このバックドアは、ウイルス対策ソフトにより容易に検出されました。

• 2 つ目のチャネルは以下の理由から、もっと巧妙で興味深いものでした。
  • デバイス上のどのファイルにも感染しなかった
  • ディスクに生成物を残さなかった
  • 一般的なファイル スキャン技術では検出できなかった

2 つ目のツールは、Misfox (英語情報) というファイルレス マルウェアです。Misfox がメモリで実行されると、以下が実施されます。

• PowerShell の "ワンライナー" コマンドレットを起動するレジストリの Run キーを生成
• レジストリ BLOB に格納されている、難読化された PowerShell スクリプトを起動。難読化された PowerShell スクリプトには、レジストリから Base64 エンコードの PE を読み込む反射型のポータブル実行可能 (PE) ローダーが含まれていた

Misfox は実行可能ファイルをドロップしませんでしたが、レジストリに格納されているスクリプトによってマルウェアの持続性が確保されていました。

ファイルレスの手法

Misfox は、サイバー攻撃のキル チェーンにファイルレスの要素が組み込まれた実例です。攻撃者は、マルウェア インプラントのステルス性を高め検出を回避することを可能にする、複数のファイルレスの手法を使います。以下に例を挙げます。

1. 反射型の DLL インジェクション
   反射型の DLL インジェクションとは、悪意のある DLL がディスクに保存されることなく、プロセスのメモリへ手動で読み込まれるものです。悪意のある DLL は、攻撃者が制御するリモート マシンでホストされ、ステージングされたネットワーク チャネル (例えば、Transport Layer Security (TLS) プロトコルなど) を通じて配信されたり、難読化された状態でマクロやスクリプトなどの感染ベクターに埋め込まれたりする可能性があります。これが、実行可能なモジュールの読み込みを監視し記録する OS メカニズムの回避につながります。反射型の DLL インジェクションを悪用するマルウェアの例として、HackTool:Win32/Mikatz!dha (英語情報) が挙げられます。
2. メモリの悪用
   攻撃者はファイルレスのメモリ エクスプロイトを悪用して、リモートから標的のマシン上で任意のコードを実行します。例えば、UIWIX (英語情報) の脅威は Petya と WannaCry も悪用した EternalBlue のエクスプロイトを利用し、DoublePulsar と呼ばれる、完全にカーネルのメモリ (SMB ディスパッチ テーブル) 内に生息するバックドアをインストールすることが確認されています。Petya や Wannacry とは異なり、UIWIX はディスク上にいかなるファイルもドロップしません。
3. スクリプトベースの手法
   スクリプト言語は、メモリのみで実行可能なペイロードを供給するための強力な手法です。スクリプト ファイルはエンコードされたシェルコードやバイナリを埋め込んで、実行時にその場で復号化し、ディスクに書き込まれることなく .NET オブジェクト経由か API で直接実行することが可能です。スクリプト自体は (Misfox の場合と同様) レジストリに隠され、ディスクに触れることなくネットワーク ストリームから読み込まれたり、攻撃者がコマンドラインから手動で実行したりすることができます。
4. WMI での持続性
   特定の攻撃者が Windows Management Instrumentation (WMI) レポジトリに悪意のあるスクリプトを格納し、WMI バインドを使って定期的に起動することを確認しています。この記事 (PDF、英語情報) では、その良い事例が紹介されています。

Microsoft 365 で提供されているファイルレス マルウェア固有の緩和策

Microsoft 365 では、次世代型のセキュリティ技術を集結して、デバイスや SaaS アプリ、電子メール、およびインフラストラクチャを幅広い攻撃から保護します。次の Microsoft 365 の Windows 関連コンポーネントにはファイルレスの手法を使うマルウェアを検出し、緩和する機能があります。

Windows Defender ウイルス対策

Windows Defender ウイルス対策は、ジェネリック、ヒューリスティック、および行動ベースの検出と、ローカルおよびクラウドベースの機械学習モデルを使って、マルウェアの大部分をブロックします。以下の機能でファイルレス マルウェアに対する保護を提供します

• AMSI を活用してスクリプトベースの手法を検出する。AMSI は、難読化が多重になっている場合でも PowerShell やその他のスクリプトの種類を検査する機能を持つ
• 定期的および異常な行動が観察された場合に WMI レポジトリをスキャンして、WMI での持続性の手法を検出し修復する
• 強化されたメモリ スキャン技術と行動モニタリングを通じて、反射型の DLL インジェクションを検出する

Windows Defender Exploit Guard

Windows Defender Exploit Guard (Windows Defender EG) は新しいホスト侵入防止機能で、さまざまな種類の攻撃ベクターに対してデバイスをロック ダウンすることにより攻撃表面を縮小します。次の方法で、ファイルレス マルウェアを使用する攻撃を止めることができます。

• ハイパーバイザーによるコードの整合性 (HVCI) で EternalBlue のようなカーネルメモリのエクスプロイトを緩和し、カーネルモードのソフトウェアの脆弱性を使って悪意のあるコードを挿入することを極めて困難にする

• オペレーティング システムのレベルまたは個別のアプリ レベルのいずれかで適用可能なエクスプロイト緩和策を含む Exploit Protection モジュールを使って、ユーザーモードのメモリのエクスプロイトを緩和する

• アプリケーションの動作をロック ダウンする攻撃表面の縮小 (ASR) ルールを使って、スクリプトベースのファイルレス手法などを緩和する

Windows Defender Application Control

Windows Defender Application Control (WDAC) は、強力なコード整合性ポリシーを強制し、信頼されたアプリケーションのみ実行できるメカニズムを提供します。ファイルレス マルウェアに関連する仕組みとしては、WDAC が PowerShell を制限付きの言語モード (Constrained Language Mode、英語情報) にロック ダウンし、直接的な .NET スクリプトや Add-Type コマンドレットを経由した Win32 API の起動、COM オブジェクトとのやり取りなど、検証できないコード実行を可能にする拡張された言語機能を制限します。これによって、PowerShell ベースの反射型 DLL インジェクション攻撃が本質的に緩和されます。

Windows Defender Advanced Threat Protection

Windows Defender Advanced Threat Protection (Windows Defender ATP) は、Windows Endpoint Protection (EPP) と Endpoint Detection and Response (EDR) 機能の統合されたプラットフォームです。侵入後のシナリオでは、ATP は、他の予防的な保護機能では防御できなかったデバイスや企業ネットワークに対する高度に洗練され進化した攻撃について、エンタープライズのお客様へアラートを送信します。ATP は、豊富なセキュリティ データや行動分析、機械学習を活用してそのような攻撃を検出します。以下に挙げるようないくつかの方法で、ファイルレス マルウェアの検出にも役立ちます。

• 反射型の DLL 読み込みなどファイルレスのテクニックを利用する隠れた攻撃を、異常なメモリ割り当てを検出する固有のインストルメンテーションを使って明らかにする

• PowerShell とその他のスクリプトベースのマルウェアにランタイムでの検査機能を提供し、機械学習モデルを適用する AMSI を活用して、スクリプトベースのファイルレス攻撃を検出する

Microsoft Edge

独立したセキュリティ テスト機関である NSS Labs によると、Microsoft Edge は他のブラウザーと比べて、より多くのフィッシング サイトやソーシャル エンジニアリング型のマルウェアをブロックします。Microsoft Edge は、悪意のある DLL を含む任意のコード実行を防止する任意のコード保護 (英語情報) 機能により、ファイルレス マルウェアの脅威を緩和します。これにより、反射型の DLL 読み込みによる攻撃が緩和されます。さらに、Microsoft Edge は Windows Defender Application Guard による統合と Windows Defender SmartScreen を活用して、ファイルレスであるかどうかに関係なく、脅威を緩和するための幅広い保護策を提供します。

Windows 10 S

Windows 10 S は Windows 10 の特別な構成で、Microsoft 365 のセキュリティ機能の多くが自動的に設定されています。Microsoft ストアのアプリだけを使用することで、攻撃表面を減らします。ファイルレス マルウェアに関連する機能として、PowerShell の Constrained Language Mode が既定で有効化されています。さらに、業界で最高レベルの Microsoft Edge が既定ブラウザーで、ハイパーバイザーによるコードの整合性 (HVCI) が既定で有効となっています。

Zaid Arafeh

Senior Program Manager, Windows Defender Research team

For the final post in this series I'll swing back to the topic of MSI versus Click-to-Run (C2R) which is where I've seen the majority of questions focused, so take a look at the first post where I covered this quickly, today I will highlight some resources to help bridge the knowledge gap for those who haven't spent time with C2R yet.

Before I begin, one of the important things to note is that the MSI version of Office has really only been available via volume licensing channels since the Office 2013 release. Anybody who has been purchasing consumer versions of Office, subscribing to a consumer or commercial version of Office 365, or using the version of Office that was preinstalled by their OEM has been using C2R. If you go in to File -> Account in an Office application you can easily tell if you have a C2R install.

The image above shows that this is a subscription, that it's Office 365 ProPlus, and finally that it's Click-to-Run.

Questions around the activation and deployment of Office 2019 inside a corporate environment in ways that are more similar to how you may approach Office 2016 and Office 2013 MSI installs today are best answered by some of the changes with Visio and Project C2R and volume licensing. To illustrate this I'll use the Office Customization Tool (Preview).

Here you can see that Visio 2016 and Project 2016 volume licensing variants are available, but not Office 2016 VL variants. Hopefully when Office 2019 goes in to public preview this tool gets updated quickly so you can start testing this out. Because the initial posts around Office 2019 haven't specifically mentioned Visio and Project, many people have been curious about their status, so hopefully this addresses any concerns and shows that they are ahead of the game.

I've also included this screenshot to help clarify KMS or MAK activation to help meet your activation and internet connectivity requirements. That doesn't completely address connectivity and bandwidth concerns, so let's look at one more thing.

To finish up today's post, here you can see that I've highlighted the ability to configure the installation source, and potentially a different update source, which helps to set up staged deployments if needed. If you are already on board with Configuration Manager branches, you've got different ways of addressing this, so I wouldn't worry about looking here, and instead look at how Configuration Manager handles Office ProPlus today.

Bringing the Azure fabric into your datacenter

Windows Server 2016 Datacenter edition provides access to many great enterprise features that are now absent in the Standard edition product. One of these is Software Defined Networking (SDN). In conjunction with Software Defined Storage (SDS), particularly Storages Spaces Direct (S2D) this creates the first easily achievable single product Software Defined Datacenter (SDDC).

Well that's enough acronyms for one post. What does all this mean to the hardworking datacenter architect or administrator?

The traditional datacenter contains all of the elements below whether there are 50 physical servers or 5000. In this sort of environment if a typical three tier application is deployed, there are a number of physical tasks required. These include provisioning storage for the application, configuring the network switches and routers to allow or prevent access as required between tiers and provisioning the necessary network subnets and security within those to deploy the application in a secure manner. This can be time consuming and costly in man power and sometime equipment terms.

With the release of Windows Server 2016 Microsoft have updated and completely reinvented their Network Virtualization platform. For the techies amongst you in now uses the VXLAN technology instead of the NVGRE technology. In addition Windows Server 2016 now includes many parts of the Azure fabric such as Network Controller (NC), Software Load Balancer (SLB) and Network Security Groups (NSGs).

What can I achieve and why do I need it?

Network virtualization provides the ability to isolate applications and application tiers from other parts of your physical network. This enables multiple instances of the same network address on the same physical network without any conflicts or clashes. Perhaps, more importantly SDN and SDDC also provides the ability to carry out all the deployment actions required without any human intervention. The end result is a much more secure application with more layers of embedded protection.

With a non virtualized network, the first two layers of defence should exist in most networks. Firewalls and DDOS defence. Once past those two layer any attacker would have unrestricted movement inside the network and free rein to attack workloads visible there. When you add the SDN layers you automatically gain another layer of network isolation requiring both routing and permissions to access. The Windows Server 2016 Datacenter Firewall (DFW) and the NSGs added to protect those layers add another level of security to the model. Finally the SDN technology allows for virtual appliances to be connected to either further protect or analyse traffic inside the network.

What is the process to achieve this?

To deploy and manage SDN in Windows Server 2016, you require the datacenter edition and you need to deploy a number of physical and virtual roles such as Network Controller and Software Load balancer. Once the architecture is deployed, you can then use either System Center VMM, PowerShell or a 3rd party REST API application to deliver the SDN.

As an example, imagine a three tier application with a web server, a file server and an active directory domain controller all of which require different levels of access depending upon your identity, location and role.

To fully isolate and secure this application requires only some clever creation of Network Controller policies and deployment using PowerShell. The end result is

A fully secured multi-tier application with protection through network isolation, NSG and network address translation. All achieved without any human interaction (once policies are created). The effect is that this can be replicated many times for many different application depending upon demand and location requirements. External customers can access the web tier but not the file server or active directory. The internal application staff can also access the file server to collect data whilst no one but IT administrators can access the active directory. A fully secure application, and with the GDPR coming in to force on 25th May this is another great reason for investing in Windows Server 2016 datacenter.

Why not download the evaluation and check it out! If you haven't the time for that then head on off to https://www.microsoft.com/handsonlabs to experience all the joys of the new server features in short learning experiences.290 labs including this one helping you to deploy SDN without building the environment first.

Finally tweet @serverguyuk or email him at serverguy@microsoft.com letting him know how you got on.

皆さん、こんにちは。Window プラットフォーム サポートの高橋です。
Windows 10 の導入以降、ストア アプリに関するお問合せが増えてきています。

今回ユーザー プロファイル削除後の再ログオンにおいて一部のストア アプリが
インストールされない事象を確認しましたので、事象の概要と対処方法について
ご案内いたします。なお、今回ご紹介する事象は Windows 10 Version 1709 で
確認されており、次期リリース予定の Windows 10 大型アップデートのタイミングで
修正が予定されております。

ユーザーにインストールされるストア アプリについて:

ストア アプリはユーザー単位にインストールされる仕組みとなっています。
ストア アプリはアプリは大きく ２ 種類に分けられます。

- 端末に事前に用意されているアプリ（プロビジョニング済みのアプリ）
- ユーザー操作でWindows ストアからダウンロードしてインストールするアプリ

このうち事前に用意されているアプリは、ユーザーが初回にログオンするタイミングで、
ユーザー プロファイルの作成処理中にインストール処理が行われます。例としては
Sticky Notes や Edge、フォト等が該当します。

一方システム管理の観点から、ユーザー プロファイルの破損の可能性があった場合や、
IT 部門に戻ってきた端末ではユーザーの情報を削除したい等の要件により、
ユーザー プロファイルを削除する運用はお客様でも広くおこなわれております。

今回の弊社で確認しております事象は、Windows 10 Version 1709 でユーザー プロファイル削除後に
削除したユーザーで再ログオンした場合に、再度のプロファイル作成において一部のストア アプリが
インストールされないという動作になります。なお、インストールされないアプリについては
特定のアプリに限らないことを確認しています。

プロファイル削除後にアプリがインストールされない事象について:

以下は新規ユーザーでログオンした場合のスタート画面です。
端末にインストールされているプロビジョニング済みのアプリがユーザーに対して
インストールされている状態です。

ここで、新規ログオンを完了したユーザーをログオフした後に、対象のユーザー プロファイルを管理者から削除します。

ユーザー プロファイル削除の方法

[コントロール パネル]
- [すべてのコントロール パネル]
- [システム]
- [システムの詳細設定]
-[システムのプロパティ] - [詳細設定] タブ

[詳細設定] タブに表示される [ユーザー プロファイル] に表示される [設定] ボタンをクリックすると、
以下のウィンドウが開いて、特定のユーザー プロファイルを削除することが可能です。

上記の画面からプロファイルを削除されたユーザーで再度ログオンします。

次のログオン時にスタート メニューを確認すると “Groove ミュージック” や Edge、Skype 等の
アプリがインストールされていない状況が確認できます。

事象の対処方法について:

対処方法は以下の２つが確認されています。

1) 事象が発生した場合には、もう一度プロファイルを削除して再ログオンする。
事象が発生したタイミングでプロファイルを削除、あらためてログオンすると、
アプリが今度はインストールされることを確認しています。

2) プロファイル削除後に HKLM 以下の特定のレジストリ キーを削除してから　
ユーザーの再ログオンを実施する。

プロファイル削除後の次回ログオン前に以下のレジストリ キー以下を削除して
ログオンすると、次回ログオンのタイミングで、アプリがインストールされることを確認しております。

レジストリ キー:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAppxAppxAllUserStore[SID]

※: [SID] はユーザー毎に定義されるユニークな値であり、ユーザーから以下のコマンドを
実行することで確認することができます。

コマンド:
>whoami /user
出力結果:

USER INFORMATION
----------------

ユーザー名 SID
===================== ==============================================
test1 S-1-5-21-2123295620-3858317715-1726816448-1002

または、管理者権限で起動したコマンド プロンプトより別ユーザーからも確認することができます。

　コマンド:
>wmic useraccount get name, sid
出力結果:
Name SID
:
test1 S-1-5-21-2123295620-3858317715-1726816448-1002

下の画面は、プロファイル削除時に上記に記載したレジストリ キーを削除してからログオンした際の
スタート画面です。インストールされなかったアプリが今度はインストールされていることが確認できます。

Today the UK Microsoft team were joined at Twickenham Stadium by roughly 300 partners in the second in the series of our Partner Days events. The day started with an opening keynote, and for those who missed it, here's a quick round up of everything that was covered.

Joe Macri, VP One Commercial Partner UK opened the keynote by thanking everyone for 'your partnership, your business and everything you are doing with our customers'. Noting the incredible opportunity ahead, Joe reflected on the last 6 months at Microsoft and the changes we have been through as an organisation.

With the day focussed on SMB, Joe highlighted the value of the SMB business for Microsoft, which at over $1 billion in revenue, is growing at over 22% year on year, with cloud accounting for roughly 50% of this. Yet despite the success and opportunity within the market, Joe also recognised that we have a lot to do, and are reliant on regular partner and customer feedback to sense check the market and help us to continue to approve.

With 95% of our revenue being delivered by our partners, we are proud of our ecosystem and the impact it is having on the UK's economy.

With a jampacked agenda of breakout sessions and networking, the objective Partner Days is:

1) To help identify our opportunity together

2) Accelerate new customer acquisition in SMB market

3) Help our partners leverage the MPN to be successful

Corporate Vice President of One Commercial Partner, Gavriella Schuster was next up. Commenting on the level of excitement and amount of innovation witnessed within the partner network, Gavriella encouraged the audience to think about how they can embed Microsoft into the services that they deliver.

We are changing, the world is changing, and the way technology is being used is changing.

As mentioned in Joe's session, Microsoft has just completed the best two quarters we have ever had, and it's all down to the drive and commitment of our partners.

With the day focussed on SMB, Gavriella then went on to highlight the SMB market opportunity.

As a company, we know less than 10% of these SMB customers globally, so the opportunity here is immense. With the number of start-ups coming into the market and leading with technology, SMB really is the fastest growing area in the market. There has never been a better time to be a partner!

How can we help you grow and reach these opportunities in this highly competitive way?

Gavriella then called out a few of our Indirect CSP's, that can help you grow and highlight their success.

Our goal - to really empower you to succeed.

The value of partnering with us:

1) Differentiate your business: stand out in the competitive market to deliver real value to your customers.

2) Optimise your operations: figure out how you can digitally transform yourself.

3) Reach more customers: think about how you can get better, faster customer reach

4) Deliver customer lifetime value: how can you deliver this to really add value.

Our latest Practice Development Playbooks have been developed to help you go-to-market and really think about your business end-to-end to help with the four points above. You can visit partner.microsoft.com to download the playbooks most relevant to your business.

Getting value from the Microsoft Partner Network

Customers want to work with a credible, competent partner. When you get to Gold level with us, you can access co-branding and really demonstrate how we work side by side, helping to differentiate you from other partners.

Rich Ellis, Small and Mid-market and Corporate Lead was then joined on stage by Greenwood Campbell, a digital innovation agency, specialising in emerging tech solutions who have been a Microsoft house for the last 9 years. Greenwood Campbell recognised a massive opportunity in data and AI, and 6 months ago created a spin off project looking at where the opportunity lay in emerging tech. This led to extensive research into bot framework and chatbots, and Adam Smithson, Client Services Director and Dan Meineck Chief Technology Officer ran through their latest collaboration with Microsoft, creating a chatbot for AFC Bournemouth. The chatbot was huge success, and has resulted in a completely new revenue stream for the agency.

Read the full case study here.

The keynote ended with a partner panel talking about the opportunity in the market today and how things are shaping up for the year ahead. The common themes in the discussions across all four partners were acquiring and retaining talent, and how relying on the community of partner-to-partner is essential for growth. One partner alone can't be good at everything, establishing strong links with other partners is critical to extend your offering.

Visit the Partner Days website for more information on the event and gain insight into the additional topics covered throughout the day. You can also catch up on the live event tweeting by following us @mspartnersUK.

My peer Lee Stevens has the following new blog post that you all might be interested in:

PS without BS: Removing WMI Queries from GPMC
https://blogs.technet.microsoft.com/leesteve/2018/02/05/ps-without-bs-removing-wmi-queries-from-gpmc/

From St. Louis, MO.,

Yong

by Steve Schiemann

Microsoft has found that some client-side issues can arise because of anti-virus interference with normal operations. These issues include but are not limited to downloading the address book, response problems when performing various tasks, or outright crashes.

To ensure that the antivirus scanner does not interfere with the operation of Skype for Business (SfB) clients, customers should exclude client tracing/profile directories, and the Office installation directories on each workstation on which you run a file-level antivirus scanner.

Note:

Folder and file locations listed below are the default locations for various client installations. For any locations for which you did not use the default, exclude the locations you specified for your installation instead of the default locations specified in this writing.

Important:

Please note that some antivirus programs may need absolute, not relative paths, for their exclusion list.

Client Tracing / Profile Directories

Office 2016:

%userprofile%AppDataLocalMicrosoftOffice16.0Lync

Office 2013:

%userprofile%AppDataLocalMicrosoftOffice15.0Lync

Office 2016 Installation Directories

Click-to-Run:

C:Program Files (x86)Microsoft OfficerootOffice16

MSI-based Installations:

· 64-bit Office on 64-bit Windows:

C:Program FilesMicrosoft OfficeOffice16

· 32-bit Office:

C:Program Files (x86)Microsoft OfficeOffice16

Office 2013 Installation Directories

· 64-bit Office on 64-bit Windows

C:Program FilesMicrosoft OfficeOffice15

· 32-bit Office:

C:Program Files (x86)Microsoft OfficeOffice15

Must I Exclude These Directories?

The short answer is no, but please take into consideration that we in Microsoft Customer Service and Support have resolved many issues by simply taking A/V scanning out of the picture. This happens both server- and client-side. Often customers push back when asked to remove A/V software, or simply disable it for testing purposes. We understand your concerns, but this software can be very intrusive. Even if disabled, hooks are left in place which can interfere with Skype for Business clients. For another perspective, please see this this blog. Here is an excerpt: “AV or security software manufacturers tend to understand “Disabled” as a “I’ll continue with all my intrusive way of doing, only that if I detect something suspicious I won’t tell anyone. But I can keep being the cause of performance problems, memory leaks, or memory corruptions. “

Eicar Test

The Eicar (European Institute for Computer Antivirus Research) test allows anyone to see if a certain folder on their machine is being scanned. Simple copy/paste the 68-byte ASCII text into notepad, and save it locally. Your scanner should pick up this innocuous file and flag it as a threat. I did this, and saved it to my Lync/Sfb profile folder, and immediately was informed of a “severe” thread by Windows Defender. If I suspected A/V of causing issues with SfB, I would have excluded this folder from scanning.

Grab the Eicar test and details from http://www.eicar.org/86-0-Intended-use.html

Conclusion

In most SfB client cases, A/V software runs fine without any special configuration and does not interfere with SfB functionality. If you have read this page however, you understand why customers might be asked to exclude certain directories from scanning, or to disable, or remove A/V software for testing purposes.

Note:

We are not aware of a risk of excluding the specific files or folders that are mentioned in this article from scans that are made by your antivirus software. However, your system may be safer if you do not exclude any files or folders from scans.

Resources

Antivirus scanning exclusions for Lync Server 2013

https://technet.microsoft.com/en-us/library/dn440138(v=ocs.15).aspx

Plan antivirus scanning for Outlook 2013

https://technet.microsoft.com/en-us/library/dn769141.aspx?f=255&MSPPError=-2147217396

Esto es lo más reciente en la Nube de Microsoft: Microsoft hace más fácil para los desarrolladores construir aplicaciones increíbles que aprovechen las más recientes capacidades de analítica con herramientas e idiomas, guías de mejores prácticas, reducciones de precios y nuevas características para desarrolladores, todo de manera gratuita.

Mejores decisiones a través de mejor analítica

Saber cómo interactúan los usuarios con sus aplicaciones es un primer paso crítico en la gestión de la estrategia de producto y el desarrollo del proyecto. Con la utilización de analítica robusta, ustedes pueden recibir la retroalimentación inmediata que necesitan para determinar cómo involucrar a los usuarios y tomar mejores decisiones para mejorar sus aplicaciones. Con Visual Studio App Center, ustedes pueden tener acceso a App Center Analytics de manera gratuita. Ahora pueden utilizar esta herramienta con Azure Application Insights para mejorar su negocio. Empiecen a utilizarla hoy.

Nuevas herramientas de desarrollo rápido de aplicación a través de datos de series de tiempo

Integrar IoT con otras aplicaciones de tiempo real puede ser un reto complejo. Con Time Series Insights (TSI, por sus siglas en inglés), los desarrolladores pueden construir aplicaciones que brinden valiosa información de valor a los clientes, que tomen un control fino de los datos de serie de tiempo, y se pueda conectar TSI de manera sencilla a un flujo de trabajo o pila tecnológica más amplios. Para ayudar a los desarrolladores a comenzar y acortar ciclos de desarrollo, Microsoft ha lanzado nuevas herramientas Azure Time Series Insights para desarrolladores. Con estas herramientas, los desarrolladores pueden integrar una plataforma TSI de manera más sencilla en aplicaciones a gráficos y tablas, comparar datos de diferentes puntos en el tiempo, y explorar tendencias y correlaciones de datos de manera más dinámica.

Una retroalimentación más rápida genera mejores aplicaciones

Una buena intuición es importante, pero sin los comentarios e ideas del usuario ustedes están en un juego de adivinanzas que de manera potencial puede ser costoso. Reunir rápido comentarios de los usuarios beta que han invertido en el éxito de su producto les permite aprender y adaptarse de manera rápida antes de ir muy profundo en el código, algo que después es muy costoso de corregir. Al utilizar esta guía paso a paso de uno de nuestros clientes de Visual Studio App Center, ustedes podrán aprender cómo reunir de manera rápida, comentarios cuantitativos y cualitativos de los usuarios para construir aplicaciones que gusten a sus clientes, anticiparse y corregir problemas, y al final, ganar la lealtad de los clientes.

Impulsar a los científicos de datos con actualizaciones en R

R, un lenguaje de programación estadística de código abierto, impulsa a los científicos de datos a generar analítica, estadística y visualizaciones de valor para mapear tendencias sociales y de mercadeo, desarrollar modelos científicos y financieros, y anticipar el comportamiento del consumidor. De manera reciente, lanzamos Microsoft R Open 3.4.3, la más reciente versión de la distribución mejorada de R de Microsoft. Esta descarga gratuita incluye el más reciente motor de lenguaje R, compatibilidad, y capacidades adicionales para desempeño, reproducibilidad, y soporte de plataforma.

Nuevas capacidades de analítica de código abierto a un costo más bajo

Microsoft anunció hace unos días significativas reducciones de precio, junto con nuevas capacidades para Azure HDInsight, el servicio de analítica de nube de código abierto que los desarrolladores pueden implementar en un amplio rango de aplicaciones de misión crítica, entre las que se encuentran aprendizaje automático, IoT, y más. Esto incluye capacidades como Apache Kafka sobre Azure HDInsight e integración con Azure Log Analytics, versiones previas para Enterprise Security Package para Azure HDInsight, e integración con consulta directa de Power BI.

De manera constante, creamos nuevas herramientas y características que reducen el tiempo de llegada al mercado y permiten a los desarrolladores realizar su mejor trabajo. Para estar al pendiente del trabajo de Microsoft en la nube, visiten: https://cloudblogs.microsoft.com.

Tim Tetrick

Hello Microsoft Cloud Partners!

I recently recorded a quick video that walks through using the Azure Pricing Calculator to price out a simple virtual machine based solution, and thought I would share it here as well.  If you’re not yet familiar with the Azure Pricing Calculator, this will provide a quick overview of how to use the tool and also provide some explanation on the different services involved in pricing out a typical VM based workload.  Hope this is helpful and thanks for watching!

Two updates for the tool in a week?  Yes! It is so!

At the behest of my good friend Darryl and one of his customer's needs, I have updated the the AAD Connect Advanced Permissions tool with the following:

• Allow the underscore ("_") character to be used in an OU name path
• Allow CN= to be used as part of the OU filter name path, since some organizations may want to try to scope permissions specifically to CN=Users.

As always, the tool is available on the TechNet Gallery: https://gallery.technet.microsoft.com/AD-Advanced-Permissions-49723f74

To see previous updates about the tool:

• 2018-02-04 Update to the AAD Connect Advanced Permissions tool
• 2017-10-11 Update to the AAD Connect Advanced Permissions tool
• 2017-08-16 Advanced AAD Connect Permissions Configuration

The January release for Dynamics AX 2012 R3 version is now available in LCS on the updates tile inside your R3 project. This update represents a typical collection of smaller functional improvements and technical fixes. Bugs were fixed in all areas with enhancements found in Warehouse & Transportation, Master planning, Service Management, BI and Reporting, Procurement, Sales, Client, Server, SI, Project Accounting, Inventory, Retail, DIXF, APAC, Europe and LATAM localizations. Please see the full list of hotfixes below to search for your specific issue newly included in this release. This release is a cumulative package including all other fixes released in the prior CU13 update. This release is intended to give visibility into fixes recently shipped for R3, including some features and design changes that are newly released in this month.

Here are a few details related to this release:
• Primary Build: 6.3.6000.4281
• Number of Application hotfixes: 141
• Number of Binary hotfixes: 21

Details of the install process can be found here: https://technet.microsoft.com/en-us/library/hh538446.aspx#PackageR3

What is included in this month’s release?

Fixes Released

I've talked to a lot of schools and system integrators about using AzureAD and Microsoft Intune to manage their devices more efficiently, particularly with the announcement in 2017 of the release of Intune for Education. One of the final pieces of the cloud puzzle has been released this month with the announcement of hybrid cloud printing with AzureAD joined devices.

Here are some important links to get started:

• Hybrid Cloud Print Overview
• Deployment Guide
• Ignite 2017 Overview of Hybrid Cloud Print

From the official announcement:

Hybrid Cloud Print is built on top of the Windows Print Server role, so it supports traditional domain-joined devices in addition to Azure AD joined devices. Best of all, your existing printer management scripts, tools, reports, and procedures will continue to work as is. And it’s secured by Azure Active Directory, so you and your users still benefit from features like multi-factor authentication, identity protection and single sign-on (SSO).

My Thoughts:

This is an important step towards encouraging schools and system integrators to start using Mobile Device Management tools such as Intune in combination with AzureAD as the ability to deliver a cloud printing service remains a critical feature request from schools. With this announcement there are six new policy CSP in Intune to assist the hybrid cloud printing which enable the client device to know where the IIS service endpoints are and which Azure tenant information to authorize against.

It's important to recognise that this remains a hybrid cloud solution as it still requires on-premise servers running Discovery Service and Windows Print Service via IIS endpoints. Here is a possible deployment:

The diagram shows:

• Hybrid Cloud Print using Azure Active Directory as the user identity provider.
• Windows Print service and Discovery service endpoints are registered with Azure Active Directory to enable the client device to retrieve the required user authentication token to use against these services.
• An MDM service, such as Microsoft Intune, provisions the client device with policies needed to connect Azure Active Directory to Windows Print service and Discovery service.

The school's AzureAD subscription needs to be Premium (P1 or P2) (in New Zealand, this is included in the National Schools Agreement between Microsoft and the Ministry of Education) and provides a further compelling reason for organisations to base their identity on Azure AD.

Be sure to join us for a community call on Tuesday, February 13 regarding how you can incorporate Microsoft Azure services into your business and increase recurring revenue for your organization.

Goal for the community call

We look to better enable our partners in expanding their cloud practices to offer a comprehensive solution to their customers. At the completion of this call, you will:

• Identify how to be a successful partner
• Have a comprehensive understanding of Azure services
• Hear the experience of a successful partner
• See how to accelerate your sales cycle
• Learn how to effectively use Microsoft AppSource

How to be a successful Microsoft Dynamics partner

Here is a sneak peak into some of the detail we will provide you in the community call on February 13.

We have many services in Azure that can be utilized to expand Dynamics 365 and build a more robust solution for the customer. Our presenters will demonstrate Azure services with tasks such as:

• Exporting customer data to Azure SQL
• Connecting to external data sources with Virtual Entities
• Data back-up
• Saving documents/attachments to Azure

Partner Spotlight – Nasuni

Nasuni, one of Microsoft’s top Azure Storage ISV’s, will join our community call and share their experiences and expertise on how to get started quickly. They will share insights into their sales model and the success they have achieved while utilizing Azure services.

Today, Nasuni helps customers solve for challenges associated with storing, protecting, sharing and managing file data around the world. Powered by Azure, Nasuni’s cloud native enterprise file system allows customers unlimited scale, comprehensive business continuity, and global synchronization on a single solution living in Azure.

Sign up for the February 13 community call

Remember to join us for more information on how to accelerate sales cycles and publish your apps and services on AppSource in the February 13 Business Applications Community Call.

Business Applications Technical Community

• Sign up for upcoming community calls
• Join the Dynamics 365 Partners Yammer group
• Read the blog series
• Watch community calls on demand

In support you often have interesting cases come across your desk – and sometimes the questions and situations presented are odd.  On occasion you look at some of them and are like that’s impossible…and that’s what happened here.

In this escalation, the customer was reporting that when they would remove a user from an Office 365 Group (Unified Group) and add a different user – the original user they removed would come back to group membership but the new user was not added.  That’s interesting – a user that was removed successfully would automatically just reappear in the group when a completely different user was added.  Turns out – it actually happened.  Let’s take a look.

I have a test tenant TenantA.onmicrosoft.com.  In this tenant, I create an Office 365 Group named Test.  By default, the group membership contains the group owner and this is reflected in Outlook Web Access.

Guest access is enabled for the tenant and a guest account is added.  In this case, the guest account is tmcmichael@domainA.org.  The new guest member is reflected in Outlook Web Access.

When a guest account is added to an Office 365 Group and guest account object is first provisioned in Azure Active Directory.  We can see the guest account with Get-MsolUser.

PS C:Userstimmcmic> Get-MsolUser -SearchString tmcmichael

UserPrincipalName                                                        DisplayName                isLicensed
-----------------                                                        -----------                ----------
tmcmichael_domainA.org#EXT#@tenantA.onmicrosoft.com                      tmcmichael@domainA.org     False

Through a forward synchronization process the guest account is then replicated into Exchange Online as a mail user object.  We can see the mail user object with Get-Recipient.

PS C:Userstimmcmic> Get-Recipient tmcmichael*

Name                            RecipientType
----                            -------------
tmcmichael_domainA.org#EXT#     MailUser

At this time, I will remove the account tmcmichael@domainA.org from the Office 365 Group and save the changes.

Although the user was removed from the group – and does not exist in any other group or guest arrangement – the account remains in Azure Active Directory and Exchange Online.

PS C:Userstimmcmic> Get-MsolUser -SearchString tmcmichael

UserPrincipalName                                                        DisplayName                isLicensed
-----------------                                                        -----------                ----------
tmcmichael_domainA.org#EXT#@tenantA.onmicrosoft.com                      tmcmichael@domainA.org     False

PS C:Userstimmcmic> Get-Recipient tmcmichael*

Name                            RecipientType
----                            -------------
tmcmichael_domainA.org#EXT#     MailUser

With the user removed, I will now invite the new user that I wish to grant guest access.  In this instance tmcmichael@domainB.com.

The user was added successfully and when refreshing group membership – the user vanishes and the original user appears in the group!  What happened?

In this instance, both DomainA.org and DomainB.com both belong to tenantB.onmicrosoft.com.  In tenantB.onmicrosoft.com the recipient TMcMichael has proxy addresses assigned at both TMcMichael@domainA.org and TMcMichael@domainB.com.

PS C:Userstimmcmic> $a=Get-MsolUser -SearchString tmcmichael

PS C:Userstimmcmic> $a.ProxyAddresses

smtp:tmcmichael@domainB.com
smtp:tmcmichael@aaa

SMTP:tmcmichael@domainA.org
smtp:tmcmichael@aaa.org
smtp:tmcmichael@aaa.mail.onmicrosoft.com
smtp:tmcmichael@aaa.onmicrosoft.com
smtp:director@aaa.com
smtp:2148@aaa.com

A guest account receives a link to access the group – with the link providing them the permissions to access the group and group data.  In this case, there is no difference between tmcmichael@domainA.org and tmcmichael@domainB.com.  When tmcmichael@domainB.com is added, Azure Active Directory resolves this address and determines that it belongs to the same object that has tmcmichael@domainA.org.  When this occurs, no new guest account is created, the original guest account and mail user are retained, and the membership is updated in Exchange Online.  With the original mail user object being retained, upon refresh the GUI displays the attributes of that mail user, presenting the appearance that the user that we removed was added again and that the user we wanted added did not add.

At this time our product engineering group is investigating alternate ways to handle this as reverting to the same object and failing to show the desired addition causes confusion within the UI.  If you find this confusing and you desire to fix it – the only method to fix this is to remove the guest account from Azure Active Directory and start over.  This will force a new guest account to provision.  Removing the guest account would subsequently remove any access that original account would have via links or emails to all Office 365 properties – you may want to proceed with caution.

In Office 365 administrators may discover issues with distribution lists and distribution list membership.  In this article I wanted to walk through some of the common issues that I have seen and how we worked through them. 

When working with distribution lists and distribution list membership we must review the locations where this information is stored.  The information in this post starts assumes distribution lists that are source on premises. 

Any distribution list analysis starts with looking at the distribution list on premises and its membership.  This is then picked up by AAD Connect where an entry is placed into the metaverse.  The list and its membership is then exported to Azure Active Directory.  Once in Azure Active Directory the list is made available through a synchronization process into the individual workloads such as Exchange Online.  By looking for data at each of these points we can identify the issues with our distribution lists and memberships and implement corrective action.

Symptom Scenario #1:  My distribution list is not present in Exchange Online.

In this scenario a user has reported that a distribution list is not available to them in Exchange Online.  It has been confirmed that the group does not appear in the global address list in any client.  Staring our analysis in Exchange Online we attempt to pull properties of the distribution list.

PS C:> Get-Recipient TestUsers
The operation couldn't be performed because object 'TestUsers' couldn't be found on 'CO1PR06A002DC02.NAMPR06A002.prod.outlook.com'.
    + CategoryInfo          : NotSpecified: (:) [Get-Recipient], ManagementObjectNotFoundException
    + FullyQualifiedErrorId : [Server=BY1PR0601MB1402,RequestId=756ebc52-32b4-49af-9825-4c024e435f47,TimeStamp=11/12/2017 7:55:46 PM] [FailureCategory=Cmdlet-ManagementObjectNotFoundException] 47F81C4,Microsoft.Exchange.Management.RecipientTasks.GetRecipient
    + PSComputerName        : ps.outlook.com

This error confirms no recipient exists in Exchange Online.  Knowing that distribution lists within Exchange Online have to be represented in Azure Active Directory we can attempt to search there. 

PS C:> Get-MsolGroup -SearchString TestUsers
PS C:>

In this case the lack of any returned object indicates that the group does not exist within Azure Active Directory.  This would imply either an issue with Azure Active Directory Connect <or> the on premises object.  We can utilize the synchronization services manager installed with AAD Connect to perform a metaverse search.  In this case we are searching for the missing distribution list.

The group does not exist in the metaverse.  If the group has not been processed by AAD Connect – it will not be available in Azure Active Directory or Exchange Online.  Continuing to back track through we can review the Exchange options on the local group. 

[PS] C:>Get-Recipient TestUsers

Name      RecipientType
----      -------------
TestUsers MailUniversalDistributionGroup

The group is present in on premises Exchange and is a valid recipient.   If the group is present and valid in Exchange Online – why is it not being processed by AAD Connect.  One of the most common reasons for this is that the group is not within the sync scope of AAD Connect.  We can launch the configuration wizard for AAD Connect using the short cut on the desktop of the AAD Connect server.  When validating domain / ou filtering in this instance it is observed that “sync selected domains and OUs” is the option.  We can expand the different organizational units to determine what is and what is not within sync scope.  Here is an example.

Using get-Group we can dump the organizational unit that the group is stored in. 

[PS] C:>Get-Group TestUsers | Select-Object organizationalUnit

OrganizationalUnit
------------------
contoso.local/Contoso/Groups/Office365-NoSync

In this instance the group does exist in an organizational unit that is not included in sync scope.  If we move the group to an OU that is within sync scope it should eventually become available to us within Office 365.  For example:

[PS] C:>Get-Group TestUsers | Select-Object organizationalUnit

OrganizationalUnit
------------------
contoso.local/Consoto/Groups/Distribution

When a delta synchronization has completed the group should now be found within the AAD Connect metaverse.

When the export has completed successfully the group should be visible in Azure AD. 

PS C:> Get-MsolGroup -SearchString TestUsers

ObjectId                               DisplayName                GroupType                  Description
--------                               -----------                ---------                  -----------
81e58cc5-9f48-41d3-a9d3-b500c8ebc6dc   TestUsers                  DistributionList

And finally the group should be available within Exchange Online.

PS C:> Get-Recipient TestUsers

Name      RecipientType
----      -------------
TestUsers MailUniversalDistributionGroup

In this situation and scenario our group failed to be represented in Exchange Online because it was not in an organizational unit covered by the AAD Connect sync scope.  Moving it to an appropriate organizational unit or adding the organization unit to be within sync scope would correct this condition.

Symptom Scenario #2:  A member of my distribution list did not receive an email.

In this scenario a user has reported that a member of this distribution list has not received an email that they sent.  Using a similar method as the first scenario we will start by reviewing the properties of the distribution list in Exchange Online.  In this case the missing user is MissingRecipient@contoso.com.  Using get-recipient we can verify that the distribution list is present within the service.

PS C:> Get-Recipient TestUsers

Name      RecipientType
----      -------------
TestUsers MailUniversalDistributionGroup

The distribution list membership can also then be validated in Exchange Online.

PS C:> Get-DistributionGroupMember -Identity TestUsers | ft

Name              RecipientType
----              -------------
Timothy McMichael UserMailbox
Bill Moran        UserMailbox

This output confirms that the recipient is not a member of the distribution group in Exchange Online.

In order for a recipient to be a member of a distribution list it too must be represented in Exchange Online.  Using get-recipient we can determine if the missing user is also in Exchange Online.

PS C:> Get-Recipient MissingRecipient
The operation couldn't be performed because object 'MissingRecipient' couldn't be found on 'CO1PR06A002DC02.NAMPR06A002.prod.outlook.com'.
    + CategoryInfo          : NotSpecified: (:) [Get-Recipient], ManagementObjectNotFoundException
    + FullyQualifiedErrorId : [Server=BY1PR0601MB1402,RequestId=8f7fdfd1-274a-4622-b3a6-b45aff678120,TimeStamp=11/12/2017 9:20:24 PM] [FailureCategory=Cmdlet-ManagementObjectNotFoundException] 5DAE93AD,Microsoft.Exchange.Management.RecipientTasks.GetRecipient
    + PSComputerName        : ps.outlook.com

The output of this command confirms the recipient is not available in Exchange Online.   Knowing that the source of information in this scenario is Azure AD we can continue our investigation there.

The group in this instance is successfully found in Azure AD.

PS C:> Get-MsolGroup -SearchString TestUsers

ObjectId                               DisplayName                GroupType                  Description
--------                               -----------                ---------                  -----------
81e58cc5-9f48-41d3-a9d3-b500c8ebc6dc   TestUsers                  DistributionList

Using the object ID of the group we can determine the group membership within Azure AD.

PS C:> Get-MsolGroupMember -GroupObjectId 81e58cc5-9f48-41d3-a9d3-b500c8ebc6dc

GroupMemberType EmailAddress               DisplayName
--------------- ------------               -----------
User            tmcmichael@contoso.org     Timothy McMichael
User            bmoran@contoso.org         Bill Moran

This confirms that the representation of the group in Exchange Online matches that of Azure AD.  Does the recipient exist in azure AD?

PS C:> Get-MsolUser -SearchString MissingRecipient
PS C:>

In this case the lack of any return suggests that the object is not within Azure AD.  This would indicate either an issue with Azure AD Connect <or> with the on premises user object. 

Using the synchronization service manager we can perform am metaverse search for the object. 

The user does not exist in the metaverse.  If the user has not been processed by AAD Connect – it will not be available in Azure Active Directory or Exchange Online.  Continuing to back track through we can review the Exchange options on the local user. 

[PS] C:>Get-Recipient MissingRecipient

Name              RecipientType
----              -------------
Missing Recipient UserMailbox

The recipient on premises is valid.  Is it a member of the given group?

[PS] C:>Get-DistributionGroupMember -Identity TestUsers | ft

Name              RecipientType
----              -------------
Timothy McMichael MailUser
Bill Moran        MailUser
Missing Recipient UserMailbox

In this case the user is a member of the distribution list on premises.  Looking at the properties of the user – is there any reason it would not be processed via AD connect?

[PS] C:>Get-User MissingRecipient | Select-Object organizationalUnit

OrganizationalUnit
------------------
contoso.local/Contoso/Users/Office365-NoSync

Very similar to the issue in scenario #1 this user is in an organizational unit not covered under the synchronization scope of Azure AD Connect.  The user therefore is not replicate to Azure AD and is then not available in Exchange Online.  Regardless of the membership of the distribution list on premises if the object is not available in Azure AD it will not be eligible to be a member of the distribution group in Exchange Online.

To fix this we will move the user to an organizational unit covered under the AD Connect synchronization scope.

[PS] C:>Get-User MissingRecipient | Select-Object organizationalUnit

OrganizationalUnit
------------------
contoso.local/Contoso/Users/Members

When the next delta synchronization cycle processes the user should be able to be located in the metaverse.

Once the user has been successfully exported it should be able to be located in Azure AD.

PS C:> Get-MsolUser -SearchString MissingRecipient

UserPrincipalName                DisplayName       isLicensed
-----------------                -----------       ----------
MissingRecipient@contoso.org     Missing Recipient False

The user should now show as a member of the group in Azure AD.

PS C:> Get-MsolGroupMember -GroupObjectId 81e58cc5-9f48-41d3-a9d3-b500c8ebc6dc

GroupMemberType EmailAddress                     DisplayName
--------------- ------------                     -----------
User            tmcmichael@contoso.org           Timothy McMichael
User            bmoran@contoso.org               Bill Moran
User            MissingRecipient@contoso.org     Missing Recipient

With the Azure AD object now appearing as expected the recipient and list should be reconciled in Exchange Online. 

PS C:> Get-Recipient MissingRecipient

Name              RecipientType
----              -------------
Missing Recipient MailUser

PS C:> Get-DistributionGroupMember -Identity TestUsers | ft

Name              RecipientType
----              -------------
Timothy McMichael UserMailbox
Bill Moran        UserMailbox
Missing Recipient MailUser

The missing user is now corrected and the distribution list will function as expected.

In this instance the user failed to be a member of the distribution group because the user on premises was not in the AD Connect organizational unit synchronization scope.

Symptom Scenario #3:  A member of my distribution list did not receive an email.

In this symptom scenario a user reports that a distribution list member did not receive an email addressed to the list.  As we have in other scenarios we will being the analysis by looking at the Exchange Online group and validating it is present.

PS C:> Get-Recipient TestUsers

Name      RecipientType
----      -------------
TestUsers MailUniversalDistributionGroup

The membership of the group can also be validated in Exchange Online.

PS C:> Get-DistributionGroupMember -Identity TestUsers | ft

Name              RecipientType
----              -------------
Timothy McMichael UserMailbox
Bill Moran        UserMailbox
Missing Recipient MailUser
NoMailbox User    User

In this instance the user that did not receive the email NoMailbox User.  It is interesting to note in this stage that the recipient type is User.   Running get-recipient we can determine that the user, although they appear in the distribution list, are not appearing as a recipient.

PS C:> Get-Recipient NoMailboxUser
The operation couldn't be performed because object 'NoMailboxUser' couldn't be found on 'CO1PR06A002DC02.NAMPR06A002.prod.outlook.com'.
    + CategoryInfo          : NotSpecified: (:) [Get-Recipient], ManagementObjectNotFoundException
    + FullyQualifiedErrorId : [Server=BY1PR0601MB1402,RequestId=756ebc52-32b4-49af-9825-4c024e435f47,TimeStamp=11/12/2017 9:57:40 PM] [FailureCategory=Cmdlet-ManagementObjectNotFoundException]CBC02122,Microsoft.Exchange.Management.RecipientTasks.GetRecipient
    + PSComputerName        : ps.outlook.com

In this instance since the Exchange Online information is accurate the Azure AD information should also be accurate. 

PS C:> Get-MsolUser -SearchString NoMailbox

UserPrincipalName             DisplayName    isLicensed
-----------------             -----------    ----------
NoMailboxUser@contoso.org     NoMailbox User False

PS C:> Get-MsolGroupMember -GroupObjectId 81e58cc5-9f48-41d3-a9d3-b500c8ebc6dc

GroupMemberType EmailAddress                     DisplayName
--------------- ------------                     -----------
User            tmcmichael@contoso.org           Timothy McMichael
User            bmoran@contoso.org               Bill Moran
User            MissingRecipient@contoso.org     Missing Recipient
User            NoMailboxUser@contoso.org        NoMailbox User

Knowing that the Azure AD information is accurate there is no indication that an AD Connect problem exists.  Why though is the recipient only showing as a user?  Is it a valid recipient on premises?  We can validate this with get-recipient.

[PS] C:>Get-Recipient NoMailboxUser
The operation couldn't be performed because object 'NoMailboxUser' couldn't be found on 'Azure-Dc.fmrs.local'.
    + CategoryInfo          : NotSpecified: (:) [Get-Recipient], ManagementObjectNotFoundException
    + FullyQualifiedErrorId : [Server=AZURE-MBX,RequestId=b0e9dc63-f0b5-41d4-86bb-df31adfa0a4e,TimeStamp=11/12/2017 10:06:12 PM] [FailureCategory=Cmdlet-ManagementObjectNotFoundException] 34C958E5,Microsoft.Exchange.Management.RecipientTasks.GetRecipient
    + PSComputerName        : azure-mbx.fmrs.local

In this case the recipient is not a mail enabled object.  The group in question is a security group and therefore can contain non-recipient objects.  When replicated into Azure AD and subsequently into Exchange Online the users will appear as group members but only as a USER – not an Exchange recipient type.  Mail enabling the object as a mailbox, remote mailbox, or mail user should rectify the issue.

PS C:> Get-Recipient NoMailboxUser

Name           RecipientType
----           -------------
NoMailbox User MailUser

PS C:> Get-DistributionGroupMember -Identity TestUsers | ft

Name              RecipientType
----              -------------
Timothy McMichael UserMailbox
Bill Moran        UserMailbox
Missing Recipient MailUser
NoMailbox User    MailUser

The recipient will now receive email addressed to the distribution list.

Summary

The following script will create and populate data in a SharePoint Farm for testing.

What does the Script do?

1. Create a new web application, with a new web application pool.
2. Create new database and associate it with the new web application.
3. Update the local HOSTS file to make the new site accessible from the server.
4. Create a Root Site in the new web application.
5. Create a Test document and store it in the local temp folder.
6. Populate the default "Document Library" in the root site with the number of documents specified.
7. Create new lists in the root site based on the number of lists specified.
8. Populate each list in the root site with the number of items specified.
9. Create new sub sites based on the amount specified.
10. Populate the default "Document Library" in all sub sites with the number of documents specified.
11. Create new lists in each sub site based on the number of lists specified.
12. Populate each list in all sub sites with the number of items specified.

Important Notes:

• Since this script will update your local HOSTS file you will need to run PowerShell as Administrator.
• DisableLoopBackCheck=1 may be required since you may be accessing your site locally from the server.

Example:

How many Sites should be created?: 3
How many Lists should be created?: 3
How many Items in each list?: 5
How many Documents should be created?: 5
Specify the full URL of the new SharePoint Site, without http://. Example: contoso, contoso.local or www.contoso.com: sptest2
Enter your SQL Server Name: michlee-sql
Name of the new Content DB: sptest2_content_db
Enter the SP Managed Account. Example: contosospadmin: mylabspservice
Enter a name for the new Web App: SPTest2 Web App
Enter a name for the new AppPool: sptest2apppool
The new Web Application sptest2 is being created. Please stand by...
The new Content Database sptest2_content_db is being created. Please stand by...
Id : eb6f2c05-e7d8-491a-9b6f-0a17b2624c65
Name : sptest2_content_db
WebApplication : SPWebApplication Name=SPTest2 Web App
Server : michlee-sql
CurrentSiteCount : 0
127.0.0.1 sptest2
The new Root Site http://sptest2 is being created. Please stand by...
Creating document: /Shared Documents/TestDocument1.csv ...
Creating document: /Shared Documents/TestDocument2.csv ...
Creating document: /Shared Documents/TestDocument3.csv ...
Creating document: /Shared Documents/TestDocument4.csv ...
Creating document: /Shared Documents/TestDocument5.csv ...
Guid : 5dd9162c-08bd-4fd1-8079-6c3e106386c8
##############################################
List 1 created in http://sptest/3
##############################################
Item: 1 created in list: 1
################################
Item: 2 created in list: 1
################################
Item: 3 created in list: 1
################################
Item: 4 created in list: 1
################################
Item: 5 created in list: 1
################################
Guid : c81edcd1-71d4-427a-8cd6-a0015a712149
##############################################
List 2 created in http://sptest/3
##############################################
Item: 1 created in list: 2
################################
Item: 2 created in list: 2
################################
Item: 3 created in list: 2
################################
Item: 4 created in list: 2
################################
Item: 5 created in list: 2
################################
Guid : f5ec4533-7284-4319-b603-1a50f2f36228
##############################################
List 3 created in http://sptest/3
##############################################
Item: 1 created in list: 3
################################
Item: 2 created in list: 3
################################
Item: 3 created in list: 3
################################
Item: 4 created in list: 3
################################
Item: 5 created in list: 3
################################
####################
Creating Sub Site 1
####################
Creating document: /1/Shared Documents/TestDocument1.csv ...
Creating document: /1/Shared Documents/TestDocument2.csv ...
Creating document: /1/Shared Documents/TestDocument3.csv ...
Creating document: /1/Shared Documents/TestDocument4.csv ...
Creating document: /1/Shared Documents/TestDocument5.csv ...
Guid : 585c9288-d72a-472d-8532-5a3139537777
##############################################
List 1 created in http://sptest2/1
##############################################
Item: 1 created in list: 1
################################
Item: 2 created in list: 1
################################
Item: 3 created in list: 1
################################
Item: 4 created in list: 1
################################
Item: 5 created in list: 1
################################
Guid : a49c9124-de8f-4174-bd12-3958ec1fd62b
##############################################
List 2 created in http://sptest2/1
##############################################
Item: 1 created in list: 2
################################
Item: 2 created in list: 2
################################
Item: 3 created in list: 2
################################
Item: 4 created in list: 2
################################
Item: 5 created in list: 2
################################
Guid : ca2c01b5-966c-42c2-bf2a-a04c51219ae7
##############################################
List 3 created in http://sptest2/1
##############################################
Item: 1 created in list: 3
################################
Item: 2 created in list: 3
################################
Item: 3 created in list: 3
################################
Item: 4 created in list: 3
################################
Item: 5 created in list: 3
################################
####################
Creating Sub Site 2
####################
##########################################
Your Site population script has completed!
##########################################

The Script

# Check to ensure Microsoft.SharePoint.PowerShell is loaded 
 $snapin = Get-PSSnapin | Where-Object {$_.Name -eq 'Microsoft.SharePoint.Powershell'}
 if ($snapin -eq $null) {
 Write-Host "Loading SharePoint Powershell Snapin"
 Add-PSSnapin Microsoft.SharePoint.Powershell
 }
 
#Script Parameters
 $sitecount = (Read-Host "How many Sites should be created?")
 $listcount = (Read-Host "How many Lists should be created?")
 $itemcount = (Read-Host "How many Items in each list?")
 $doccount = (Read-Host "How many Documents should be created?")
 $url = (Read-Host "Specify the full URL of the new SharePoint Site, without http://. Example: contoso, contoso.local or www.contoso.com")
 $sqlsvr = (Read-Host "Enter your SQL Server Name")
 $sqldb = (Read-Host "Name of the new Content DB")
 $sitowner = (Read-Host "Enter the SP Managed Account. Example: contosospadmin")
 $sitename = (Read-Host "Enter a name for the new Web App")
 $apppool = (Read-Host "Enter a name for the new AppPool")
 
#Static Settings
 $docLibraryName = "Documents"
 $sourceDocumentPath = "$env:TEMPtempTestDocument.csv"
 $newFilenamePrefix = "TestDocument"
 $newFilenameExtension = ".csv"
 $hostsfile = "$env:windirSystem32driversetchosts"
 $spaccount = (Get-SPManagedAccount $sitonwer)
 $user2 = whoami
 
#Create the new web app
 Write-Host "The new Web Application $url is being created. Please stand by..." -ForegroundColor Green
 $site = "http://" + $url
 $ap = New-SPAuthenticationProvider
 $webapp = New-SPWebApplication -Name $sitename -URL $site -HostHeader $url -Port 80 -ApplicationPool $apppool -ApplicationPoolAccount $spaccount -AuthenticationProvider $ap
 
#Create a new Content Database
 Write-Host "The new Content Database $sqldb is being created. Please stand by..." -ForegroundColor Yellow
 New-SPContentDatabase $sqldb -DatabaseServer $sqlsvr -WebApplication $webapp
 
#This will update your HOSTS file with the named used in the URL so the site is accessible from the server
 #Note: This will require that PowerShell runs in elevated mode
 "127.0.0.1 $url" | Add-Content -PassThru $hostsfile
 
#Create Root Site
 Write-Host "The new Root Site $site is being created. Please stand by..." -ForegroundColor Yellow
 $SiteTemplate = "STS#0"
 $Language = 1033
 New-SPSite -Url $site -OwnerAlias $sitowner -SecondaryOwnerAlias $user2 -Template $SiteTemplate -Language $Language
 
#Test file creation
 #make a new folder if it does not exist
 $TARGETDIR = "$env:TEMPtemp"
 if(!(Test-Path -Path $env:TEMPtemp)){
 New-Item -ItemType directory -Path $TARGETDIR
 }
 
dir | export-csv "$env:TEMPtempTestDocument.csv"
 
##################################
#Root WEB Creation and Population#
##################################
 
#defining WEB
 $web = Get-SPWeb $site
 
#Create Documents
 $docLibrary = $web.Lists[$docLibraryName]
 $docLibraryUrl = $docLibrary.RootFolder.ServerRelativeUrl
 $folderPathWithinDocLibrary = ""
 $uploadfolder = $web.getfolder($docLibraryUrl + $folderPathWithinDocLibrary)
 
#Open file
 $file = get-item $sourceDocumentPath
 $fileStream = ([System.IO.FileInfo] (Get-Item $file.FullName)).OpenRead()
 
#Starting loop create docs in Root Library
 for($d=1; $d -le $doccount; $d++)
 {
 $newFilePath = $docLibraryUrl + $folderPathWithinDocLibrary + "/" + $newFilenamePrefix+$d+$newFilenameExtension
 write-host "Creating document: $newFilePath ..." -ForegroundColor Yellow
 $spFile = $uploadfolder.Files.Add($newFilePath, [System.IO.Stream]$fileStream, $true)
 }
 
#Start Loop for List creation baed on $listcount in ROOT Library
 for($l=1; $l -le $listcount; $l++)
 
#Create the Lists
 {
 $ListTemplate = $web.ListTemplates["Custom List"]
 $web.Lists.Add("List $l","List $l",$listTemplate)
 Write-Host "##############################################" -ForegroundColor Green
 write-host "List $l created in $SiteUrl" -ForegroundColor Green
 Write-Host "##############################################" -ForegroundColor Green
 
# While creating lists put new items in it based on the $itemcount
 if ($l -le $listcount )
 
{
 #Start Loop for List Item creation in ROOT Library
 for ($i=1; $i -le $itemcount; $i++)
 
{
 #Create List Item $list = $web.Lists["List $l"]
 $newItem = $list.AddItem()
 $newItem["Title"] = "Item $i"
 $newItem.Update()
 write-host "Item: $i created in list: $l" -ForegroundColor Yellow
 Write-Host "################################" -ForegroundColor Yellow
 }}}
 
#################################
#Sub WEB Creation and Population#
#################################
 
#Start Loop for site creation
 for($s=1; $s -le $sitecount ; $s++)
 {
 $SiteUrl = ""
 $SiteUrl = $Site + "/"
 $SiteUrl = $SiteUrl += $s
 
#Create Webs based on $sitecount
 Write-Host "####################" -ForegroundColor Yellow
 Write-Host "Creating Sub Site $s" -ForegroundColor Yellow
 Write-Host "####################" -ForegroundColor Yellow
 
New-SPWeb $SiteUrl -Template $SiteTemplate -Name $s -UseParentTopNav -Language $Language
 $web = Get-SPWeb $SiteUrl
 
#Create Documents
 $docLibrary = $web.Lists[$docLibraryName]
 $docLibraryUrl = $docLibrary.RootFolder.ServerRelativeUrl
 $folderPathWithinDocLibrary = ""
 $uploadfolder = $web.getfolder($docLibraryUrl + $folderPathWithinDocLibrary)
 
#Open file
 $file = get-item $sourceDocumentPath
 $fileStream = ([System.IO.FileInfo] (Get-Item $file.FullName)).OpenRead()
 
#Starting loop to create docs in Library
 for($d=1; $d -le $doccount; $d++)
 {
 $newFilePath = $docLibraryUrl + $folderPathWithinDocLibrary + "/" + $newFilenamePrefix+$d+$newFilenameExtension
 write-host "Creating document: $newFilePath ..." -ForegroundColor Yellow
 $spFile = $uploadfolder.Files.Add($newFilePath, [System.IO.Stream]$fileStream, $true)
 }
 
#Start Loop for List creation baed on $listcount
 for($l=1; $l -le $listcount; $l++)
 
#Create the Lists
 {
 $ListTemplate = $web.ListTemplates["Custom List"]
 $web.Lists.Add("List $l","List $l",$listTemplate)
 
Write-Host "##############################################" -ForegroundColor Green
write-host "List $l created in $SiteUrl" -ForegroundColor Green
Write-Host "##############################################" -ForegroundColor Green
 
#Populate list items based on the $itemcount
 if ($l -le $listcount )
 
{
 #Start Loop for List Item creation
 for ($i=1; $i -le $itemcount; $i++)
 
 {
 #Create List Item
 $list = $web.Lists["List $l"]
 $newItem = $list.AddItem()
 $newItem["Title"] = "Item $i"
 $newItem.Update()
 write-host "Item: $i created in list: $l" -ForegroundColor Yellow
 Write-Host "################################" -ForegroundColor Yellow
 }}}}
 
#Close file stream
 $fileStream.Close()
 
#Dispose web
 $web.Dispose()
 
Write-Host "##########################################" -ForegroundColor Green
write-host "Your Site population script has completed!" -ForegroundColor Green
Write-Host "##########################################" -ForegroundColor Green

みなさん、お元気ですか？

私は今、パートナーテクノロジーストラテジストというパートナー様担当SE的な仕事をしつつ、体から湧き出るエバンジェリスト魂のせいで社内外からのリクエストに思わず反応してしまい、結局エバンジェリスト的な仕事が減らない高添です、

今日は、私にとっての (少し大げさに書くならば日本のIT業界にとっての)、新しいチャレンジについてお知らせしたいと思います。

まず、私が以前立ち上げた Microsoft Azure Stack 研究会(略してMAS研)は、非常に多くの企業とエンジニアの方に集まっていただきましたが、GAまでの期限付きだったということもあって、今はFacebook上のオープンなコミュニティ(https://www.facebook.com/groups/masken2/)へと移行させていただきました。

そして今度は、Azure Stack を担当しながらずっと気になっていた違和感「社内は普通に仮想化のままでパブリッククラウド上で仮想マシンを動かし始めただけなのに、”うちはハイブリッドクラウドやってます”と言えてしまうのはどうなんだろう」をどうにかしたいなと。そう、日本市場で当たり前のように使われている「ハイブリッドクラウド」を再定義をしたくなったわけです。

ただ、私が一人で頑張ってもMAS研以上の広がりは作れないでしょうし、すぐに自分自身がボトルネックになってしまうし、私が前面に出てしまうと技術っぽくなり過ぎてしまうし、やはり広い視野を持って活動できるコミュニティを社外に作ってもらうしかないと思いました。そこで、上司やMS社内の関係者と相談をし、一緒にやりたいという思いを語ってくれたJBS胡田さんにもご協力を仰ぎ、他の数社にも雰囲気をお伝えしてなんとか行けそうだという感触を得て立ち上げることになったのが「ハイブリッドクラウド研究会」です。

それなりに負荷がかかってしまう主幹事はJBSさんが受け止めてくれることになり、細かな作業が必要な事務局はMSから他のコミュニティ運営にも慣れたベンダーさんにお願いできることになり、今はコミュニティ全体の企画/運営や分科会のリードなどをしてくれる幹事企業を募集中です。

もちろん、参加したい＝コミュニティや分科会をリードする役割の幹事企業ということではなく、コミュニティに一般参加企業としてご参加いただくことも可能です。(後述)

さて、幹事企業としての要件ですが、ビジネスの要素を入れたかったので、(厳密な定義ではありませんが) 部課長クラスの担当者名/部署名/連絡先を、そしてこの活動をサポートしていただける役員クラスのお役職とお名前をいただき、幹事企業として登録という形にしたいと思っています。

※ 幹事をやりたい企業の方は、是非上記情報をhccjp@microsoft.com 宛てにいただき、2/15 13:00～15:00 に品川で初の会合を開きますのでご参加いただければと思います。

なお、ハイブリッドクラウドの再定義といった目的や直近のスケジュールは決まっていますが、具体的にどう運営していくかなどは幹事の方にも一緒に入ってもらって決めたいと思っています。そのため、現時点で細かなご質問をいただいても「是非、幹事会で決めていきましょう」という回答になることをご容赦ください。

まずは、「きれいに敷かれたレールの寸法や運行ルールを教えてもらえれば検討します」という企業様よりも「大きな目標に向かってさら地の状態からレールの敷設計画を一緒に企画してみたい」と思っていただける企業様にご参加いただく感じです。

もちろん、緩すぎると参加できないという企業さんが多いのもわかってまして、全体の趣旨や組織全体像、参加してみたいという企業様向けに情報提供を行うべく、2/20 16:00～　「ハイブリッドクラウド創立記念＆参加企業募集イベント (懇親会付き！) 」を開催します。

https://hybridcloud.connpass.com/event/74887/　(私から軽くAzure Stackの最新情報もお伝えします)

創立記念としたのである程度形は見えてくると思いますし、イベントへの参加資格などもありませんし、そこでいろいろと質問等もしていただいて会社に持ち帰り、参加をご検討いただくでもよいと思います。

******

さて、ハイブリッドクラウドにもいろいろな視点、いろいろなソリューションがあるなかで、創立時点は、絶対に外せない 「Azure Stack」と今後出てくる「VMware virtualization on Azure 」あたりをターゲットにして、以下のような分科会からスタートしようかなという話になっています。

・クラウドネイティブ (PaaS)分科会
・Lift and Modernize (Containers)分科会
・Lift and Shift (IaaS) 分科会
・ユースケース検討分科会
（顧客の業務およびビジネスを考え、適する方法論を全体的に検討する分科会）

この切り分け方を良しとするかも幹事会にて決めていければと思いますし、関係者が増えていけば分科会や研究テーマも増えていくことでしょうから、ハイブリッドクラウドの再定義＝その結果として日本全体がシームレスなハイブリッドクラウド環境の恩恵を得られるという大きな目標に向かって進めていければと思っています。

と、私の思いを書きましたが、私が中心になって動くわけではなく実際にはJBS様や幹事企業様に進めていただくことになります。

余裕ができた私は、Facebook上のMAS研での情報発信に力を入れたりブログを書いたりしながら、Azure Stack に関してハイブリッドクラウド研究会にもネタ提供などができればと思ってます。

それでは、2/20のイベントの会場でお待ちしております。

日本マイクロソフト株式会社　高添