About 

This series of blogs intends to introduce the new SCOM Web Console released in System Center Operations Manager 1801. For details on implementation and other parameters please refer to the detailed documentation. This blog is designed to be a bit more informal and describes the different features by associating them to use cases.
The series is divided into different parts and it is recommended to read them in order for better understanding. 

After going through this series of blogs a user would: 

• Get a fair idea about the new SCOM Web Console and the different features added to it 
• Understand the new dashboard capability 
• Understand the different widgets and their customizations 
• Learn about the different dashboard and widget actions 

• Learn about the drilldown feature and how it can be used to investigate issues 
• Get a walkthrough on how to create a custom web application on SCOM REST APIs 

This series consists of the following other blogs:

• New SCOM Web Console – Blog series (Post 2/5): The all new Dashboards
• New SCOM Web Console – Blog series (Post 3/5): The new HTML5 Widgets
• New SCOM Web Console – Blog series (Post 4/5): The all new Drilldown experience
• New SCOM Web Console – Blog series (Post 5/5): Sample Custom Dashboard walkthrough

What’s new in SCOM 1801 Web Console? 

The SCOM 1801 release marks the inception of a faster, modern, flexible and more reliable HTML based Web Console. The Web Console has been given a complete reboot to ensure that it fulfills modern day monitoring needs (and yes, it is now completely free from Silverlight!). 
This is another step towards our continuous commitment to the SCOM community and we would like to give a big thanks to all our customers who voted this as the top most requested feature in SCOM User Voice. We are really excited about this new Web Console and we strongly believe that you’d just fall in love with it!  

Still using Silverlight? Don’t worry, we’ve got that covered too! The Silverlight dashboards are available in a new URL:
http://<Your_Web_Server_Name>/Dashboard 

Authentication 

The new SCOM Web Console brings back the network authentication! This is what you’d see when you visit the Web Console for the first time:
 

Choose your preferred login option and you are in, welcome to the new SCOM Web Console! 

 Recommended Next: New SCOM Web Console – Blog series (Post 2/5): The all new Dashboards

About

This blog aims at introducing the all new HTML5 based dashboard functionality added to SCOM 1801 release. For details on implementation and other parameters please refer to the detailed documentation.
After going through this blog, a user would:

• Understand the new dashboard capability
• Learn about the different dashboard actions

The all new Dashboards

The SCOM 1801  Web Console introduces the all new, fully customizable, dashboards. These dashboards are built and fine-tuned keeping in mind the huge volume of IT monitoring data. This ensures that you get next to real-time monitoring information without compromising on performance.
The dashboards, being built in HTML5, support a wide range of modern browsers including Internet Explorer, Microsoft Edge, Google Chrome and Mozilla Firefox.

Below is a screenshot of a sample dashboard:

As portrayed in the above screenshot, a dashboard is comprised of multiple widgets. These widgets can be completely configured for data, display and positioning within the dashboard in a manner that best suits your needs.
Currently the dashboard supports the following widgets:

• Alert Widget
• State Widget
• Performance Widget
• Topology Widget
• Tile Widget
• Custom Widget

Dashboard Actions

The dashboard supports the following actions:

Creating a dashboard

You can create a new dashboard by selecting the “+ New Dashboard” option in the navigation tree as shown below:

This would popup a right pane as follows:

Wish to add this dashboard in a new MP? Don’t worry, you needn’t go back to the SCOM console. Just hit the “+” next to the MP list and you’d get a section allowing you to create a new MP and add this dashboard to it.

It really is that simple!

Deleting a dashboard

To delete a dashboard simply hit the “Delete Dashboard” button on top and when prompted hit “Yes”

Editing a dashboard

The edit operation allows the user to edit the name of the dashboard as well as the layout of the widgets added to it.
Once you hit the edit action, the dashboard name becomes an editable field.

Also, all the widgets can now be dragged and resized. This is really useful when you want to club together the widgets targeted to similar objects/groups.

Once you are done, hit “Save Changes” and your layout is saved!

Adding a Widget

When you create a new dashboard it is empty and has no widgets. You can click on the “+ Add Widget” action on top of the dashboard that would lead to the right pane popping up as shown below:

There are lots of widgets that are shipped in box. All of them are discussed in detail in the next part.

Viewing in Full Screen

Wish to only view the dashboard in a big screen like a projector? That’s now possible!
Hit the “View in Full Screen” link on top of the dashboard and you’d get a full screen view of the dashboard.

Exporting Dashboards

Dashboard once created can easily be exported. To export a dashboard, the user simply needs to export the management pack in which the dashboard is stored. If you drilldown into the exported management pack, you’d observe that the dashboard is defined as a view. So for ex. If a dashboard is created as shown below:

Then the generated MP would look like this (note below just a snippet from the MP is taken to avoid clutter):

Note the TypeID of the view. This is a new TypeID introduced for HTML dashboards. Rest of the structure of the MP is pretty similar to any other view.

Recommended Next: New SCOM Web Console – Blog series (Post 3/5): The new HTML5 Widgets

About

This blog aims at introducing the all new HTML5 based widgets added as part of the new dashboards with  . For details on implementation and other parameters please refer to the detailed documentation.
After going through this blog a user would:

• Understand what are all the new widgets
• Learn about the different widget actions

It is highly recommended to read the previous blog in this series for better understanding.

The new HTML5 Widgets

There are a total of 6 widgets that are shipped with SCOM 1801 :

• Alert Widget
• State Widget
• Performance Widget
• Topology Widget
• Tile Widget
• Custom Widget

These widgets are designed to be fast and robust. It's quick to load, unlike Silverlight. The widgets support a high level of customization to ensure that they can be used effectively by one and all.
One important thing to note is that the data refresh for these widgets happens in the background at the defined interval (or you can do a force refresh). This way you always have some data to work on while the new chunk is being fetched in the background. Thus, the widgets and the dashboard in general feels a lot more responsive.

Widgets are stored in the management packs as views. Below is a snippet from a management pack containing a "Tile widget"

Note the TypeID. This is a new TypeID introduced for HTML widgets.

Types of Widgets

Alert Widget

This widget displays the list of alerts for a given criteria. Refer to the authoring parameters section below to learn more about the customizations that can be done.

Authoring Parameters

When you start off with the authoring for alert widgets you’d see something like this:

As clear from above there are 4 sections at high level:
Scope

In this section you can define the groups/objects to which this widget is to be targeted. For ex. If you enter “All Windows Computers” then this widget would show the alerts targeted to “All Windows Computers”.

Criteria

Here you can filter alerts based on their severity, priority, resolution state and age.
Take note of the age parameter. At times you might get better performance out of this widget if you select a suitable value for the age parameter.

Display

Here you can select what all columns you wish to see in the widget. Additionally you may select a column with which you wish to group the alerts.

Completion

Finally you give the widget a name and description and you’re done!

Optionally you may specify the refresh interval (minimum value 1 minute) in which the widget would refresh its data.

Actions

Alert widget supports the following actions:

Setting resolution state

You can select one or more alerts and select this action. Once selected it’d open the right pane where you set the state and give an optional comment.

Exporting to Excel

The data shown in the widget can be exported in excel format. This helps when you wish to do any custom analysis on the data by leveraging the power of Excel.

Personalization

Widgets can be personalized for each user. Each user can select the column they wish to see and the grouping they wish to apply. In other words “Personalization” is like the “Display” section shown in authoring.
Note: The selection made in “Personalization” would always overwrite the selection made in the “Display” section. Also note that personalization data is stored in the browser in the current system and thus if you switch browsers or machine
then you’d have to re-personalize the widgets.

Edit & Delete Widget
As the name suggests you can edit and delete this widget from a dashboard. Note: This action is permanent and all the users having access to these dashboards would be affected by it.

State Widget

The state widget displays the health state information about the targeted entities satisfying a particular criterion. Refer to the authoring parameters section below to learn more about the customizations that can be done on this widget.

Authoring Parameters

When you start off with the authoring for state widgets you’d see something like this:

As clear from above there are 4 sections at high level:
Scope

In this section you can define the groups/objects to which this widget is to be targeted. For ex. If you enter “All Windows Computers” then this widget would show the health state information targeted to “All Windows Computers”.
There is another required parameter, class.
You also have the option here to get the health state of the group or the entities contained in that group which are the individual objects.

Criteria

Here you can set the filter to see the entities only in particular health states.

Display & Completion

Display and completion section of the state widget is similar to that of Alert Widget except for one difference. The display columns for the state widget are defined as per the “class” selected in the Scope section whereas the alert widget has fixed display columns.

Actions

State widget supports the following actions:

All of these are exactly similar to what has been defined for alert widget above.

Performance Widget

The performance widget displays the information about the different counters associated with the entity. Refer to the authoring parameters section below to learn more about the customizations that can be done on this widget.

Authoring Parameters

When you start off with the authoring for performance widgets you’d see something like this:

As clear from above there are 5 sections at high level:
Scope

In this section you can define the groups/objects to which this widget is to be targeted. For ex. If you enter “All Windows Computers” then this widget would show the health state information targeted to “All Windows Computers”.

Metrics

Here you can select the object, counter and instance triplet whose data would be displayed in the widget.

Criteria

Here you can specify the age of data that you are interested in.

Display

This section is important. If you wish to visualize the widget with a graph then the above act as legend columns. If you wish to only see these columns then you can check “Visualize objects by performance”. Then you’d only see the table without the graph.

Completion

This section is similar to Alert widget.

Actions

Performance widget supports the following actions:

All of these are exactly similar to what has been defined for alert widget above except for “Set Vertical Axis”. With this action you can specify a range and the graph is scoped to that. This is useful when you are trying to drilldown on particular events. This is how it looks like:

Topology Widget

Have a Visio or other image of your IT topology? Wish there was a way to map the health states to these entities? Then topology widget is what you are looking for. Refer to the authoring parameters section below to learn more about the customizations that can be done on this widget.

Authoring Parameters

As clear from above there are 3 sections at high level:
Scope

This is exactly similar as State Widget.

Display

This is the section where you upload and select your IT topology image:

Completion

Similar to State Widget.

Actions

When a topology widget is created, you’d see all the health icons placed at the top left corner. Drag the icons and place them at relevant places on the image and hit save once you are done. Below image shows an example of how  it works.

Apart from this, the topology widget supports the standard edit and delete widget actions.

Tile Widget

Need a quick way to investigate the health of an entity and the current alerts generated on it? Tile widget is the answer for you. This is the smallest widget (size wise) in the dashboard. Below is a sample tile widget:

As can be seen clearly, the current health state of “All Windows Computers” group is Warning state. This is because the availability monitor is in warning state resulting in the health rollup.

Authoring Parameters

The authoring for tile widget is very straightforward and is like a subset of “Alert Widget” as can be seen in the image below:

Actions

Apart from edit and delete widget the user can launch the health explorer for the target entity from topology widget. Isn’t that cool?

Use the health explorer to dig down further on the health state of the entity and its monitors

Custom Widget

SCOM 1801 release marks the inception of REST based APIs to fetch SCOM data thus giving birth to custom widget. With custom widget, you could bring in any custom html code and it’d get rendered as a widget which could then reside with other widgets in the dashboard. This brings in a whole new strength to the dashboards since the power to manipulate and render the data is completely up to you. For sample scripts to talk to REST APIs, please visit the official documentation here.

Below is a diagram to show how custom widget works:

For details about SCOM REST APIs visit here <<Insert link to SCOM REST APIs>>. Below is a screenshot showing custom widget in action:

Authoring Parameters

The authoring of custom widget is straightforward and requires just an HTML source code. Note if you have any JavaScript (which you most probably would have) you’ll have to insert it inline with the HTML code. Below is a screenshot taken while authoring custom widget with a basic HTML code:

Below is an image taken from the detailed documentation:

Can you figure out which are the custom widgets above? If your answer is no, then that’s exactly how we intended it to be! The custom widget simply blends with other widgets in the dashboard and once created acts no differently from the other widgets. Well, if your answer was yes then we’ve got to give it to you, you are really insightful

Actions

Custom widget supports the basic edit and delete widget actions. But this in no way limits you to innovate! You can define and design custom actions for your custom widgets which could then reside in the widget container. The limit here is just your imagination!

Recommended Next: New SCOM Web Console – Blog series (Post 4/5): The all new Drilldown experience

About

This blog aims at introducing the all new drilldown experience added as part of the new dashboard with SCOM 1801 release.  For details on implementation and other parameters please refer to the
After going through this blog a user would:

• Understand what the new drilldown feature is.
• Get a brief understanding of how drilldown feature can be used for better monitoring.

The all new Drilldown experience

The new SCOM dashboards come with the drilldown feature which, as the name suggests, allows you to drilldown into a problem and get more insights about the situation. This is helpful in root causing the issue and in identifying what all components are affected by the problem. There are five type of drilldown pages:

1. Alert page
2. SCOM Group/Object page
3. SCOM Class page
4. Rule Page
5. Monitor Page

These pages are dashboards of their own comprising of different widgets. The widgets present in these dashboards take up the context at runtime and scope their data to the current target entity. For ex. take a look at the below URL for alert drilldown page:
http://<server_name>/OperationsManager/#/monitoring/drilldown/alert/023e5e00-e9e9-4d81-8135-052bf935062f/dashboard/d0d82ac8-215b-3b77-7a3b-8bef450796e3?mpId=da187e72-b9d7-9e16-d098-3b0a624dc38c&show_full_screen_link=false&hide_header=true

The highlighted section tells the Alert drilldown page to display data in all widgets targeted to this alert. This makes sharing the drilldown pages within the organization super easy. All you need to do is share the URL and people can start off from there.

How to drilldown?

Well, the next obvious question is how to use the drilldown feature? The answer to that is simple. Some of the widgets discussed in 2. The all new HTML5 widgets and their actions allow you to click a row/entity from the data. Once you make your selection the drilldown page is launched. For ex. consider the state widget below:

Now when you click on any of the row above the Group/Object drilldown page is launched. That page then has widgets displaying all sorts of relevant data targeted to the selected row from the state widget.

Which drilldown page leads to where?

The starting point of drilldown could be either a row from the alert widget, a row from the state widget or a health icon from the topology widget. The user can then navigate to the other drilldown pages by clicking on items present in the widgets of the current drilldown page. Below diagram shows the path a user can navigate during drilldown.

For ex: from a State widget the user can drilldown and land at the SCOM Group/Object drilldown page and from there they can click one of the unhealthy monitors and land up in the Monitor Drilldown page.

Drilldown pages deep dive

Alert drilldown page

The alert drilldown page contains detailed information about the alert. Below is a screenshot of how the alert drilldown page looks like:

As clear from the above screenshot the alert drilldown page has 6 widgets. These represent the following data from left to right and top to bottom:

1. Alert description: Here you will get detailed description for the alert like the workflow name, instance name etc.
2. Alert context: All the context information for this alert would be displayed here
3. Company knowledge: Any added company knowledge for the underlying rule or monitor for this alert would be displayed here. Read the text in the company knowledge widget above, you may discover a cool new feature . Yes, you read it right, now SCOM supports adding HTML based company knowledge right from the Web Console.
   Just hit the ellipses icon (…) and you shall see a “Edit Company Knowledge” action. Fill in the company knowledge in the editor that shows up, choose the MP and hit save!
   Below are just some screenshots showing the flow:
   • Select the action
     
   • Enter the company knowledge
     
   • Choose MP (or create new one) and save
     
4. Product knowledge: Here you will see the product knowledge added for the corresponding rule or monitor.
5. Rule Properties: Would display the properties of the rule that generated this alert. It is blank in the above screenshot since this alert came from a monitor.
6. History: Would show the history of changes to the resolution state of the alert.

Use cases

Scenario 1: Adding company knowledge without the burden of desktop console and Word

Many a times there are alerts which come up frequently in an environment. You might want to add information for your fellow operators to help them save time. But you don't have access to Operations Console and an active Word deployment. This is where the Company knowledge widget in alert drilldown comes in handy. Just click the alert and once the "Alert drilldown page" opens up start editing the company knowledge without having to depend on Word or Operations Console.

SCOM Group/Object drilldown page

The SCOM Group/Object drilldown page shows detailed information about a SCOM Group/Object. Below is a screenshot of a sample SCOM Group/Object drilldown page:

As is evident from above the SCOM Object/Group page consists of 2 dashboards. The first one is the object information dashboard. This dashboard consists of 5 widgets:

1. Object relationship and properties widget: This widget shows all the related objects to the current object along with their properties to the right. You can select any of the items from this diagram and the properties on the right would get updated. Notice the small health state icons on top of each entity. This would help you figure out if there are any related entities which are at the crucial stage too!
2. Warning and critical alerts generated on this object
3. The unhealthy monitors targeted on the current object. This is a really useful widget and can effectively tell you about the root cause for the critical or warning health state of the entity.
4. Performance metrics: This widget is like a “Object By Performance Widget” and displays all the performance metrics related information for the current target object.
5. Classes widget: All the classes the current entity belongs to is displayed in this widget.

The second one is the Performance dashboard. This dashboard shows one performance widget each for every performance object of the current entity. Below is an example:

User cases

This section tries to narrate a few possible scenarios which you might face regularly and where drilldown can really come in handy.

Scenario 1: A server in the environment is reporting a critical health state

In this case the user can click that server in the state widget and can launch the SCOM Group/Object drilldown page. Here you will find lots of valuable information which'd help you root cause and figure out the issue.
What all can you do to investigate the issue?

• Check the related objects widget and see if some underlying entity is critical. For example, the hard drive might on the server may be critical (say because of less space) and thus the health of the server rolled up to be critical. Now you know you need to check the hard drive. This way you can keep drilling down and get to the root cause of the issue
• Check the currently active alerts generated on this server. There would most probably be an alert sitting there clearly calling out the problem.
• Check the unhealthy monitors widget if it contains any entries.
• Check the performance metrics and see if there is any unusual behavior or spikes.

You are highly likely to discover the root problem with the above-mentioned steps. If not, then keep drilling down wherever you find anything suspicious.

Scenario 2: A server is reporting delays and unexpected behavior

Now is a good time to check for the performance data collected from the server. Simply select the server from a state widget and then once the "SCOM Group/Object drilldown page" opens, select the 2^nd tab "Performance". Here you'd see all the performance data collected from the server and you most probably should see a spike or abnormal behavior.

SCOM Class drilldown page

The SCOM Class drilldown page gives information about a SCOM class. Below is a sample screenshot of how the SCOM class page looks like:

This drilldown page has 3 widgets:

1. Class properties widget displaying all the properties of the class
2. Rule widget: Showing information about all the rules targeted to this class
3. Monitor widget: Showing information about all the monitors targeted to this class

Use Cases

Scenario 1: Figuring out all targeted rules and monitors of a class

Not only that you can then even go ahead and look up those rules/monitors and even modify their company knowledge.

Rule drilldown page

The Rule drilldown page shows detailed information about a SCOM Rule. Below is a sample screenshot:

The Rule drilldown page has 4 widgets.

1. The rule properties widget displaying all the properties of the rule.
2. A rule configuration widget displaying the configuration of the rule as present in the management pack
3. A company knowledge widget where the user can see the company knowledge for this rule. Users can also edit the company knowledge here if they have sufficient permission.
4. A product knowledge widget where the user can see the product knowledge for the rule.

Use Cases

Scenario 1: You want to check the rule properties and/or modify the company knowledge

Monitor drilldown page

The Monitor drilldown page shows detailed information about a SCOM Monitor. Below is a sample screenshot:

The Monitor drilldown page has 3 widgets.

1. The monitor properties widget displaying all the properties of the monitor.
2. A company knowledge widget where the user can see the company knowledge for this monitor. Users can also edit the company knowledge here if they have sufficient permission.
3. A product knowledge widget where the user can see the product knowledge for the monitor.

Use Cases

Scenario 1: You want to check the monitor properties and/or modify the company knowledge

Recommended Next: New SCOM Web Console – Blog series (Post 5/5): Sample Custom Dashboard walkthrough

Nejnovější funkce ve OneDrive pro firmy umožňuje obnovit všechny soubory v čase za posledních 30 dnů. File restore, tak jak se nová funkce nazývá, poskytuje detailní přehled o veškerých změnách, kdo je udělal a kdy, a následně dokáže vrátit celý OneDrive do stavu před změnami. Toto se hodí v případě náhodného smazaní uživatelem, požkození souborů nebo po malware útoku. Pokud koncový uživatel zjistí, že mu chybí některé soubory, může toto provést sám bez nutnosti zásahu administrátora.

Tato funkce je vytvořena pro obnovení většího počtu souborů. Pro obnovení jednotlivých souborů je možné použít obnovení smazaných souborů nebo obnovení předchozí verze souboru.

Funkce je vypouštěna postupně mezi uživatele a organizace. Je možné ji najít jako Restore your OneDrive v nastavení OneDrive. Je zde na výběr několik předvoleb, anebo celková časová osa za posledních 30 dnů, která obsahuje detailní pohled všech změn a posuvník se kterým se „vrátíte zpět v čase“.

File Restore se nachází v nastavení OneDrive jako Restore OneDrive.

Je možné vybrat si přednastavenou hodnotu, nebo si zvolit vlastní datum a čas.

Vlastní datum se nastavuje posuvníkem a pod ním se vybírají konkrétní změny, které se mají obnovit.

Nakonec je potřeba vše potvrdit a soubory budou obnoveny do požadovaného stavu.

Pro správné fungování je potřeba mít zapnutou historii verzí, aby OneDrive mohl obnovit předchozí verze. Také nelze obnovit soubory, které již nejsou v koši. Detailnější informace naleznete v oficiální dokumentaci.

- Matěj Borský, TheNetw.org s.r.o.

About

SCOM 1801 marks the release of REST APIs for SCOM SDK. Using these APIs a user can create any custom client application of their own. This blog aims at walking the user through a scenario where a complete standalone application is developed and deployed using the SCOM REST APIs. This application can even be brought inside the Web Console using Custom Widget and can be made to reside next to any of the widgets shipped by SCOM.

It is highly recommended to go through the other previous blogs in the series to better understand the content provided here.

What does the sample comprise of?

The sample is a JavaScript based application that is communicating with SCOM SDK and displaying data to the user who can take further action on the same. We have also tried to stretch the limit of custom widget here by not only limiting it to be used as a widget but rather as a standalone application in itself. This application could then be rendered as a dashboard or a widget, we leave the choice to you. The sample comprises of two major sections:

• Overview Dashboard
• Search Dashboard

Overview Dashboard

This is a view designed to give a quick overview about the current monitoring state. It can act as a starting page using which you can proceed with further actions. Below is a screenshot of how the Overview Dashboard looks like:

As displayed in the image above the Overview Dashboard has two major sections:

• Active Alerts
• Health States

Active Alerts

This section shows the active alerts for the past 7 days in three categories namely critical, warning and informational alerts. If you are interested, you may dive into the individual alerts by clicking “View Details”. For example if you click on “View Details” under critical alerts, you’d see a view like:

Need more information? You got it!
Each of these rows are clickable and would take you to our very own drilldown pages  (refer to blog 4/5 for more details on drilldown).

Once an alert above is clicked, it launches the following drilldown page:

As you can see, there is a lot more detail about the alert here which would help you in further investigating the issue.

Health States

For a given target class and given target object group you’d see the health states in three buckets namely unhealthy, in maintenance mode and healthy. The target class and target group field can be modified and the health state information displayed below would modify as per the new input. By default this view shows health state information about the “Windows Computer” SCOM class.
Similar to alert you can see the details of the entity by clicking “View Details”:

And yes, you guessed it right. We have drilldown pages for these entities as well! Here’s how they look like:

There is a bunch of information about the entity here like related objects (their health states and properties), the alerts targeted to this entity, performance metrics and the classes this entity belongs to. Most of the entries shown above can be drilled down further giving a more detailed view. Again, going over all the details is out of scope for this blog and we’d strongly recommend going over through the detailed documentation.

Search Dashboard

Know what you are looking for but hate to go over multiple pages and views in the current desktop or web console? Then this search section is designed just for you!
Here you can search for any active alert (for the last 7 days), SCOM object, SCOM group, SCOM class, rule or any monitor. The search is asynchronous and quite fast. It’d help you choose the starting point using which you can further drilldown. Below is a screenshot of how search looks like (say you search for the term “health”):

And that’s not it! Remember drilldown? From all of these search results you can jump to their drilldown pages and proceed with any action you may wish!
Below are a couple of screenshots portraying what you can expect after clicking these results (you have already seen the alert and object drilldown pages above when we were at Overview Dashboard):

Clicking a rule:

Clicking a monitor:

Well this is just the beginning! The intention of walking you over this sample application was to show you the power custom widget and in turn, the SCOM REST APIs provide. With a few lines of code, one can achieve functionality which would otherwise have taken a lot more steps.
Feel free to go through the SCOM REST API documentation and create your own user stories and your own custom widgets!

Deployment

There are multiple ways you can deploy the sample dashboard discussed in this blog:

1. Importing the management pack
2. Adding it alongside SCOM Web Console as a JavaScript application (with this the application will have its own URL and may or may not be added as a custom widget)
3. Adding the two sections as individual widgets

Note: From now on we will refer to the content available in attached zip file: Custom-Widget

Importing the management pack

A management pack containing the two individual sections (overview and search) are available under "Custom WidgetManagement Pack"

Import this management pack and you should see two dashboards overview and search having the two sections respectively.

Adding it alongside SCOM Web Console as a JavaScript application

1. Go to the directory where SCOM 1801 Web Console is installed. Ex. C:Program FilesMicrosoft System CenterOperations ManagerWebConsoleDashboard
2. Create a folder named “custom”. Note that you may choose any folder name, this is just an example
3. Copy the contents placed under "Custom WidgetSource Code"
4. Go to SCOM Web Console
5. Create a dashboard
6. Click Add Widget and select Custom Widget from the dropdown.
7. When asked for source code enter the following:
   <iframe src="http://your_server_name/OperationsManager/custom " style="width: 100%; height: 100%"></iframe>
   Here replace your_server_name with your Web Server
8. Hit save and you are done!

Adding the two sections as individual widgets

1. Go to SCOM Web Console
2. Create a dashboard
3. Click Add Widget and select Custom Widget from the dropdown.
4. When asked for source code pick the contents of any one file from under "Custom WidgetIndividual Sections"
5. Hit save
6. Repeat 4 and 5 for the other one or repeat 2-5 if you wish to add these in separate dashboards

Documentation

Discussing the technical approach of how the sample widget presented here works is out of scope of this blog. The code has been documented thoroughly and documentation has been generated using JSDoc. The documentation can be found under "Custom WidgetSource Codedocs"

Start with index.html and that would guide you through all the code.

How SCOM REST APIs can be used

Refer to "Custom WidgetSource Codedistjshelpersdata-helper.js" for an example of how SCOM REST APIs can be used.

For more details on SCOM REST APIs, please refer https://docs.microsoft.com/en-gb/rest/operationsmanager/

References

For the sample app discussed above, the following 3^rd part libraries were used:

1. jQuery: <script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/3.2.1/jquery.min.js"></script>
2. jQuery UI: <script src="https://code.jquery.com/ui/1.12.1/jquery-ui.js"></script>
3. MetisMenu: <script src="https://cdnjs.cloudflare.com/ajax/libs/metisMenu/2.7.1/metisMenu.min.js"></script>
4. Bootstrap: <script src="https://cdnjs.cloudflare.com/ajax/libs/twitter-bootstrap/3.3.7/js/bootstrap.min.js"></script>
5. jQuery DataTables: <script src="https://cdn.datatables.net/1.10.16/js/jquery.dataTables.min.js"></script>
6. Bootstrap DataTables: <script src="https://cdn.datatables.net/1.10.16/js/dataTables.bootstrap.min.js"></script>
7. Responsive DataTables: <script src="https://cdn.datatables.net/responsive/2.2.0/js/dataTables.responsive.min.js"></script>

Aus der Serie "Microsoft Security Assessments" diesmal das Thema ShadowIT Assessment:

Ziel:

Mit dem ShadowIT Assessment soll die aktuelle Nutzung von allen (!) Cloud Apps aufgezeigt werden, insb. geht es dabei darum dem Kunden ein umfängliches Bild vorzulegen, welches neben den bekannten Apps (z.B. Exchange Online) auch unbekannte oder ungewollte Apps (z.B. Cloud Storage Apps wie Dropbox oder Google Drive u.a.) und den Umfang der tatsächlichen Nutzung (Quantität der Daten) darstellt.

Daraus abgeleitet eine (Implementierungs-) Roadmap für die nächsten 0-9 Monate.

Für den Partner sollten sich daraus die Chanc für ein Umsetzungsprojekt mit dem Ziel der Eindämmung der ungewollten Nutzung von Cloud Apps ergeben.

Inhalt:

1. Shadow IT Assessment-Close-out Presentation-v1.0.pptx
   Zusammenfassung und Besprechung der nächsten Schritte.
2. Shadow IT Assessment-Engagement Delivery Guide-v1.0.docx
   Die detaillierte Anleitung zur Ausführung des Assessments.
3. Shadow IT Assessment-Introduction to CAS-v1.0.pptx
   Einführung in "Cloud App Security" (CAS), also das Tool, welches für die Analyse herangezogen wird.
4. Shadow IT Assessment-Kick-off Meeting-v1.0.pptx
   PPT für das Kick-off Meeting
5. Shadow IT Assessment-On-site Engagement Overview-v1.0.pptx
   Übersicht über das, was und wann im On-Site Workshop/Engagement passieren wird, sowie die Definition von "Erfolg" und die Möglichkeit für Fragen & Antworten.
6. Shadow IT Assessment-Questionnaire-v1.0.docx
   Fragenkatalog zum allgemeinen Erfassen von Cloud und Cloudanbindung.
7. Shadow IT Assessment-SoW Example-v1.0.docx
   Beispiel für ein Statement of Work (SOW).

Vorgehen

FYI: Ich habe im Modern Workplace ChampCall im Februar (ab ca. 26:40min) das Vorgehen kurz gezeigt, also schaut es euch gerne an, denn dort gebe ich auch ein, zwei Tipps, die aus der Doku nicht hervorgehen!

Bei dem ShadowIT Assessment geht es ja darum (ungewollte) Cloud App Nutzung aufzuzeigen. Dazu bedarf es neben dem Verständnis, wie der Kunde zum einen mit dem Gesamtthema Cloud umgeht und und zum anderen wie die Infrastruktur zur (Cloud)App Nutzung aussieht (=> Questionnaire), auch Daten, welche die Analyse der Cloudnutzung möglich macht.

Hierzu werden "Realdaten" von z.B. Proxy oder Firewall zur Analyse benötigt. (Vgl. Liste der supporteten Logs/Appliances)

WICHTIG: da in diesen Daten typischerweise PII enthalten sind, die u.U. auch zu personellen Konsequenzen führen könnten, ist es unumgänglich, dass von vorne herein der Betriebsrat des Kunden eingebunden wird. 
Außerdem empfehlen wir für das Assessment das Anonymisieren der Daten zu aktivieren!

D.h. für den Erfolg des Assessments ist es notwendig, dass der Kunde für einen sinnvollen Zeitraum (z.B. 24.12.-6.1. ist nicht so sinnvoll ) Logs bereitstellt.

Diese Logs müssen dann im Laufe des Assessments in eine Cloud App Security (CAS) Instanz hochgeladen und analysiert werden. Dies könnte entweder die bereits vorhandene CAS Umgebung des Kunden sein oder - wenn noch kein CAS beim Kunden genutzt wird und für das Assessment auch keine zusätzlichen Lizenzkosten eingegangen werden sollen, dann kann über eine CAS Test Instanz gegangen werden.

In CAS wird dann ein neuer Snapshot Report erstellt, in den dann die vorliegenden Daten hochgeladen werden.

Und hier noch einmal der eindringliche Hinweis das Thema "Anonymisierung" ernst zu nehmen und beim Hochladen darauf zu achten, dass der Haken auch korrekt gesetzt ist und der Betriebsrat/HR in das Procedere eingebunden werden!

Nachdem nun die Daten hochgeladen worden sind analysiert der CAS diese und zeigt diese dann in seiner UI entsprechend an (einzelne Snapshots können einzeln ausgewählt werden, ist für das Assessment aber i.d.R. nicht notwendig).

Dieses Ergebnis wird dann von dem ausführenden Partner konsolidiert und in die Ergebnispräsentation eingebettet, sowie wird daraus (in Bezug auch auf den Fragebogen) eine Roadmap für den Kunden erzeugt und entsprechend präsentiert.

Ergebnis/Outcome:

Dem Kunden wird in der Ergebnispräsentation der IST Stand seiner Schatten IT präsentiert und direkt daraus abgeleitet eine Handlungs/Umsetzungsempfehlung. D.h. das Ziel ist, dass daraus herausgehend die Beauftragung für die Umsetzung der Empfehlungen resultiert - und dies aufgeteilt in kurz-, mittel- und langfristige Tätigkeiten.

Ein wichtiges Ziel bei dem gesamten Unterfangen ist, dass diese Analyse nicht einmalig, sondern kontinuierlich durchgeführt wird, also eine Art "ShadowIT Analyse as a Service" bzw. darüber hinaus ein "Cloud Data Management as a Service" erreicht wird, welches idealerweise durch den Partner, der das Assessment durchgeführt hat, geleistet wird.

Call to action:

Wenn ihr als Microsoft Partner dieses (oder auch die anderen) Assessments durchführen möchtet und benötigt dazu (technische) Unterstützung, so sprecht bitte eure entsprechenden Partner Development Manager und Partner Technical Strategists an.

Grade bei diesem Assessment bietet sich die Chance dieses um entsprechende "on-premise" Dienste anzureichern. D.h., dass durch weitere Tools (Eigenentwicklungen, MAP, etc) die internen Apps/Datenquellen offen gelegt werden und diese entsprechend in die Empfehlungen mit eingearbeitet werden. Auch ein umfangreiches Master Data Management könnte ein entsprechender Outcome sein. Hier sind der Fantasie keine Grenzen gesetzt.

Auch kann und sollte dieses Vorgehen in eine GDPR/DSGVO Betrachtung mit einfließen, denn wenn ich nicht weiß "wo" ich (welche) Daten habe, werde ich nie in die Lage versetzt sein eine GDPR Compliance zu erreichen.

Last but not least hier noch der Link auf den Download der Assessment Unterlagen (aktuell nur auf engl. - wenn hier ein *wirklicher* Bedarf und Impact an einer Lokalisierung existiert, dann lasst es mich bitte wissen!)

• Shadow IT Assessment

Hinweis: die Beschreibung der Assessments werde ich im Laufe der nächsten Tage vervollständigen und dementsprechend nach und nach die passenden Links oben einfügen.

Oft stellt sich die Frage: "Wie fange ich überhaupt an?" - insb. wenn es darum geht mit dem sensiblen Thema "Security" beim Kunden zu punkten.

Damit es euch lieben Microsoft Partnern einfacher fällt entsprechende Security Projekte bei euren Kunden zu starten haben wir 4 Assessments designed, die euch einen Koffer mit fertigen (!) Inhalten und Tools zur Hand geben:

• Office 365 Security Assessment
  Evaluate how secure and mature your client's Office 365 organization really is 
• Shadow IT Assessment
  Identity SaaS apps and assess risk for EM+S

• Rapid Cyberattack Assessment 
  Determine customer's ability to prevent, detect, and respond to ransomware with Windows

• GDPR Detailed Assessment
  Assess a customer's GDPR readiness and maturity across technology, people and processes with Microsoft 365

Diese Assessments könnt ihr nutzen um von 0 auf 100 in sehr kurzer Zeit entsprechende Assessments mit Ziel der anschließenden Umsetzung der Erkenntnisse zu erstellen und auf "standardisierter" Basis möglichst häufig zu wiederholen.

Wenn ihr Fragen zu den Assessments habt oder Unterstützung bei der technischen Readiness habt, so sprecht gerne euren entsprechenden PDM/PTS an.

Hello Paul Bergson back again, and I wanted to bring up another security topic. There has been a lot of work by enterprises to protect their infrastructure with patching and server hardening, but one area that is often overlooked when it comes to credential theft and that is legacy protocol retirement. These legacy protocols were built when there wasn't the understanding of security requirements that our modern enterprises need today.

To better understand my point, American football is very fast and violent. Professional teams spend a lot of money on their quarterbacks. Quarterbacks are often the highest paid player on the team and the one who guides the offense. There are many legendary offensive linemen who have played the game and during their time of play they dominated the opposing defensive linemen. Over time though, these legends begin to get injured and slow down do to natural aging. Imagine a quarterback at the peak of his career, making over $10 million in salary being protected by a legendary offensive line that was 10 years beyond their prime. If you think of these older protocols like offensive linemen that are protecting the operating system and its data, they need patches (injured) and they get old & slow (weak encryption, etc...). Unfortunately, I see all too often, enterprises running old protocols that have been compromised, with in the wild exploits defined, to attack these weak protocols. No General Manager would ever risk the safety/security of his investment in his key offensive player(s), neither should the teams responsible in protecting the safety and security of their IT enterprise.

Attack Surface Reduction can be achieved by disabling support for insecure legacy protocols.

• TLS 1.0 & 1.1 (As well as all versions of SSL)
• Server Message Block v1 (SMBv1)
• LanMan (LM) / NTLMv1
• Digest Authentication

The SSL protocol is broken and can no longer be fixed, threats such as POODLE still exist (see cve-2014-3566) SSL protocol should be retired. TLS 1.0 is no longer considered secure and as of June 30, 2018 the PCI board has set for a deadline for disabling all SSL and TLS 1.0 with the recommendation to use TLS 1.2. *1

The WannaCrypt ransomware attack, worked to infect a first internal endpoint. The initial attack could have started from phishing, drive-by, etc… Once a device was compromised, it used an SMB v1 vulnerability in a worm-like attack to laterally spread internally. *2

A second round of attacks occurred about 1 month later named Petya, it also worked to infect an internal endpoint. Once it had a compromised device, it expanded its capabilities by not only laterally moving via the SMB vulnerability it had automated credential theft and impersonation to expand on the number devices it could compromise. *3 *4

Both WannaCrypt and Petya are just two of many assaults that leverage SMBv1. With LanMan and NTLMv1 there are open source tools readily available to capture and crack credentials. This is why it is becoming so important for enterprises to retire old outdated equipment, even if it still works!

The rest of this document covers details of the protocols and how they can be removed from the enterprise's environment.

Ned Pyle wrote a great blog on the retirement of SMB1 that I have borrowed from. This is a great article that you will want to read if you haven't already. The link to his article can be found in the "References" below.

Server Message Block v1 (SMBv1)

With SMB1 you don't have access to modern security features that SMB 3 provides. *5

Updated security features are found below

• Pre-authentication Integrity (SMB 3.1.1+)
  • Protects against security downgrade attacks
• Secure Dialect Negotiation (SMB 3.0, 3.02)
  • Protects against security downgrade attacks
• Encryption (SMB 3.0+). Prevents inspection of data on the wire, MiTM attacks
  • In SMB 3.1.1 encryption performance is even better than signing
• Insecure guest auth blocking (SMB 3.0+ on Windows 10+)
  • Protects against MiTM attacks
• Better message signing (SMB 2.02+)
  • HMAC SHA-256 replaces MD5 as the hashing algorithm in SMB 2.02, SMB 2.1 and AES-CMAC replaces that in SMB 3.0+
  • Signing performance increases in SMB2 and 3

SMB1 is Very Inefficient When Compared to SMB 3.0 *5

• Larger reads and writes (2.02+)
  • More efficient use of faster networks or higher latency WANs
  • Large MTU support.
• Peer caching of folder and file properties (2.02+)
  • Clients keep local copies of folders and files via BranchCache
• Durable handles (2.02, 2.1)
  • Allow for connection to transparently reconnect to the server if there is a temporary disconnection
• Client oplock leasing model (2.02+)
  • Limits the data transferred between the client and server, improving performance on high-latency networks and increasing SMB server scalability
• Multichannel & SMB Direct (3.0+)
  • Aggregation of network bandwidth and fault tolerance if multiple paths are available between client and server, plus usage of modern ultra-high throughout RDMA infrastructure
• Directory Leasing (3.0+)
  • Improves application response times in branch offices through caching

Use Cases Where SMB1 is Still Required

• Still running XP or WS2003 (Or older)
  • Out of support (Unless there is a custom support agreement in place)
• Old management software that demands admins browse the 'network neighborhood' master browser list
• Old network storage device
• Old multi-function printers with old firmware in order to "scan to share"

The above listed services should all be scheduled for retirement since they risk the security integrity of the enterprise. The cost to recover from a malware attack can easily exceed the costs of replacement of old equipment or services.

Retirement

The SMB1 protocol can be removed via Group Policy, PowerShell or Server Manager. *6

LanMan (LM) / NTLM v1

"We are aware of detailed information and tools that might be used for attacks against NT LAN Manager version 1 (NTLMv1) and LAN Manager (LM) network authentication. Improvements in computer hardware and software algorithms have made this protocol vulnerable to published attacks for obtaining user credentials." *7

LMHash was developed pre-WinNT. It is now considered extremely insecure and we STRONGLY encourage our customers to disable its use. Although NTLM v1 is a newer protocol, it too is considered insecure and we again STRONGLY encourage its retirement as well.

Utilizing a Group Policy applied against clients' and/or servers', legacy protocols can be eliminated from use.

Possible values

• Send LM & NTLM responses
• Send LM & NTLM - use NTLMv2 session security if negotiated
• Send NTLM responses only
• Send NTLMv2 responses only
• Send NTLMv2 responses only. Refuse LM
• Send NTLMv2 responses only. Refuse LM & NTLM
• Not Defined

Retirement

• The recommended settings would be to "Send NTLMv2 responses only. Refuse LM & NTLM". If NTLMv1 is in use, at a minimum "Send NTLMv2 responses only. Refuse LM" should be configured for your domain environment.
• Administrators are strongly encouraged to prevent the LM hash from being stored in the local SAM database and Directory Services. Implementing the NoLMHash can be configured by setting the "Network security: Do not store LAN Manager hash value on next password change" to enabled. By default this should already be set.

Potential Impact

As with any changes to your environment, it is recommended to test this prior to pushing into production. If there are legacy protocols in use, an enterprise does run the risk of services becoming unavailable. It would be in the best security interests, if insecure legacy protocols are in use, to chart out a plan to retire/migrate the devices that still require these protocols.

TLS/SSL

"Many operating systems have outdated TLS version defaults or support ceilings that need to be accounted for. Usage of Windows 8/Server 2012 or later means that TLS 1.2 will be the default security protocol version." *8

Security Protocol Support by OS Version:

To disable the use of security protocols on a device, changes need to be made within the registry. Once the changes have been made a reboot is necessary for the changes to take effect.
https://technet.microsoft.com/en-us/library/dn786418.aspx

The default settings for the TLS/SSL are all enabled with the exception of Client SSL 2.0, which is disabled. The registry settings below are ciphers that can be configured. If you want to disable a protocol just create a new entry and configure "Enabled" to equal 0 under the specific sub-key you want to disable.

In the settings below, both TLS 1.0 and TLS 1.1 are disabled.

Open up the registry (RegEdit) and browse to:
Computer > HKLM > System > CurrentControlSet > Control > SecurityProviders > SCHANNEL > Protocols

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsPCT 1.0]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsPCT 1.0Client]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsPCT 1.0Server]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 2.0]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 2.0Client]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 2.0Server]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0Client]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0Server]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.0]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.0Client]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.0Server]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Client]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Server]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Server]

Building a migration plan to move to TLS 1.2. *8

Note: Disabling TLS 1.0 could prevent clients from connecting to Windows Server 2008 R2 (2008 SP2 is not covered) and Windows 7, unless KB3080079 has been applied on the device you are connecting too, and you are using the latest release of the RDC client. *10

Windows 8 and Server 2012 and later already have this capability built-in.

You will also need to ensure that the destination device has been configured to "Negotiate" its RD session. *11

Digest/WDigest

Digest/WDigest was introduced back with Windows XP/Server 2003 and it has long since been found to be insecure. Microsoft highly recommends that this protocol be disabled. If you have installed KB2871997 Digest/WDigest still needs to be disabled on the device. KB2871997 provides the ability to disable its use, but by itself does not prevent its use. *13

Prior to disabling Digest/WDigest you will want to ensure it isn't in use. This can be accomplished by inspecting the Event logs and/or ensuring that reversible encryption is not set in Active Directory, Directory Service. For complete details see below.

Checking for the Use of These Legacy Protocols

SMBv1

From an elevated command prompt:
Get-WindowsFeature FS-SMB1

The PowerShell command above will provide details on whether or not the protocol has been installed on a device. Ralph Kyttle has written a nice Blog on how to detect, in a large scale, devices that have SMBv1 enabled. *9

Once you have found devices with the SMBv1 protocol installed, the device should be monitored to see if it is even being used. There is a PoSh command to Audit the use of SMBv1 to see if the protocol is in use: *5
Set-SmbServerConfiguration –AuditSmb1Access $true

Open up Event Viewer and review any events that might be listed.
Applications and Services Logs > Microsoft > Windows > SMB Server > Audit

LM/NTLMv1

To find the use of LM there are 3 choices NetLogon logging, network sniffing, or if you are on Windows Vista/Server 2008 or above, you can also use the event viewer. Rather than touch on everything here, it may be easier to take a look at https://blogs.technet.microsoft.com/ken_brumfield/2008/08/08/ntlmv2-or-not-ntlmv2-that-is-the-question/ and https://blogs.msdn.microsoft.com/openspecification/2010/05/03/ntlm-v1-no-excuse-me-ntlm-v2-oh-no-you-were-right-its-v1/ for a little more information on how to do this.

If you are on an operating system LOWER than Windows Server 2008/Vista, or for some reason you cannot enable to necessary security logging, then a network sniffing tool will be required to determine if NTLMv1 is in use. Unfortunately to find which version of NTLM is in use you have to look at the NTLM conversation itself in this case. Ned Pyle wrote a great article on how to capture and differentiate between v1 and v2 that can be found at https://blogs.technet.microsoft.com/askds/2012/02/02/purging-old-nt-security-protocols/.

*13

TLS 1.0

To help determine a specific clients TLS use, Qualys SSL Labs has a nice tool (If the device has internet access). The tool provides client and web server testing. *14

From an enterprise perspective you will have to look at the enabled ciphers on the device via the Registry as shown above.

Digest/WDigest

Digest authentication requires the use of reversibly encrypted copy of the user's password store in Active Directory, Directory Services (AD DS). To check to see if this is enabled with AD DS, review the setting on your user's accounts to see if your accounts have the box checked for "Store password using the reversible encryption". *15

Get-ADUSer -filter 'userAccountControl -band 128' -properties userAccountControl

If it is found that it is enabled, prior to disabling, Event Logs should be inspected so as to possibly not impact current applications. Event ID 4776 will appear in the Security Event log for any use of Digest/WDigest. To ensure that you are capturing authentication events ensure that you have this enabled – "Audit Credential Validation" = Enabled. This should be enabled on all of the enterprises DC's. *16

I think this is a topic many of you hadn't thought of and hopefully it can make your to do list to research your environment and find out what type of insecure protocols you might have running within your environment. Best of luck in your research and oh by the way "SKOL" Minnesota Vikings.

References

1. https://www.ssllabs.com/
2. https://docs.microsoft.com/en-us/msrc/customer-guidance-for-wannacrypt-attacks
3. https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Petya
4. https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
5. https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
6. https://support.microsoft.com/en-us/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and
7. https://support.microsoft.com/en-us/help/2793313/security-guidance-for-ntlmv1-and-lm-network-authentication
8. https://www.microsoft.com/en-us/download/details.aspx?id=55266
9. https://blogs.technet.microsoft.com/ralphkyttle/2017/04/07/discover-smb1-in-your-environment-with-dscea/
   
10. https://support.microsoft.com/en-us/help/3080079/update-to-add-rds-support-for-tls-1-1-and-tls-1-2-in-windows-7-or-wind
    
11. https://technet.microsoft.com/en-us/library/ff458357.aspx
    
12. https://blogs.technet.microsoft.com/askpfeplat/2016/04/18/the-importance-of-kb2871997-and-kb2928120-for-credential-protection/
13. https://blogs.technet.microsoft.com/askds/2012/02/02/purging-old-nt-security-protocols/
    
14. https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls
15. https://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/22e38464-acb3-48cd-87e5-c554ef6e3ccd.mspx?mfr=true
16. https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772679(v=ws.10)

Hi all,

Audit logs in Azure Active Directory help customers to gain visibility about users and group management, managed applications and directory activities in their cloud-based Active Directory.

Using the logs you can detect and investigate security incidents, and review important configuration changes.

By using the Graph API, which provides programmatic access to Azure AD, you can get a detailed list of all auditing activities. Because the access to Graph API is based on REST API calls you can use PowerShell scripts.

I wrote a quick script, based on Paulo Marques's post

Script code is here, just remember to change YOUR_Domain_Name

The full list is here (updated on 12/2/2018 and probably subject to change)

Leverage the new one-to-one consultations and technical webinar now available, focused on data platform modernization, Power BI and SQL. These technical engagements are designed to help you build your Data and AI technical skillset, so you can better sell and deploy customer solutions around these technologies.

Data Platform Modernization Starter Kit Consultation (5 partner advisory hours; L100-200)
Enable Data Platform Modernization with specific planning guidance for common data scenarios. Receive personalized technical guidance on modern data strategies, choosing a path to modernization, building an agile data analytics solution and transforming insights into action. Engage with Microsoft experts to help build your data platform strategy using Azure Data Services and SQL Server 2017. You’ll walk away with an understanding of cost estimation, reference architecture documentation and sample architectures.

Data Platform Modernization Presales Consultation (unlimited access at no cost; L200-300)
Receive technical guidance as you take your customers through the features, best practices and sample scenarios when moving their database to the cloud. During this one-on-one consultation with a Microsoft expert, you’ll learn about data migration to SQL deployment, tools to check compatibility and using SQL Server integration services. You’ll walk away with a better understanding of how to propose the right solutions and mitigate potential issues for data platform modernization deals.

Data Platform Modernization Deployment Consultation (5 partner advisory hours; L300-400)
Understand the technical requirements and steps required to deploy Data Platform Modernization solutions. Let our Partner Technical Consultants help ensure a smooth deployment process during this one-to-one consultation. We’ll guide you through scenarios that you may encounter along with an overview of the various deployment options available.

Power BI Presales Consultation (unlimited access at no cost; L200-300)
Grow and build your Power BI (Business Intelligence) practice, enabling you to offer new solutions and services to customers. Transform your customer business with predictive analytics, data visualization, and real-time intelligence. Prepare your customers for their Power BI deployments, by understanding scenarios and data source options. With Power BI, you can transform your customers’ data into rich visuals they can collect and organize, helping them focus on what matters most to their businesses.

Technical Deep Dive on SQL Server (Unlimited access at no cost; L200-300 - Events coming later this month)
Prepare your customers for their SQL deployments, by understanding common scenarios and guidelines on migrating to on-premises databases. You’ll receive technical guidance on migrating to SQL Server, cloud services (IaaS or PaaS) and begin to understand SQL Server on Linux. You’ll learn how to increase the database security and keep your data safe with business continuity solutions. With the help of Partner Technical Consultations, you’ll receive a guided walk through of the features and functionality within SQL on both on-premises and cloud side, helping you to gain more customers.

Next steps: Access the full suite of technical webinars and one-on-one consultations available for the Data Platform and Analytics technical journey by visiting https://aka.ms/DataAITechJourney.

執筆者: Cameron - MSFT SAP Program Manager

このポストは、2018 年 1 月 4 日に投稿された SAP on Azure: General Update – January 2018 の翻訳です。

SAP とマイクロソフトは、Azure クラウド プラットフォーム向けの新機能を継続的にリリースしています。今回の記事では、最近数か月にわたってリリースされた更新、不具合の修正、機能強化、推奨されるベスト プラクティスなどをまとめてお伝えします。

1. NetWeaver で M、Dv3、Ev3 シリーズ VM を認定

SAP は、NetWeaver AnyDB ワークロード用に新たに 3 種類の VM を認定し、サポートを開始しました。AnyDB は、SQL Server、Oracle、DB2、Sybase、MaxDB で実行されている NetWeaver アプリケーションをさします。

現在、この VM シリーズの一部では Hana への認定も進められています。

Dv3 シリーズは、CPU あたり 4GB の RAM を搭載する、SAP アプリケーション サーバーや小規模な DBMS サーバーに適した VM です。

Ev3 シリーズは、CPU あたり 8GB の RAM (E2v3 ～ E32v3)、または 432GB の RAM (E64v3) を搭載する、大規模 DBMS 向けの VM です。

M シリーズは、最大 3.8TB の RAM と 128 の CPU を搭載可能で、非常に大規模な DBMS ワークロードに適した VM です。

多くの新機能が備わった 3 つの新しい VM シリーズにおいてネットワークパフォーマンスが大幅に向上しています。Dv3 および Ev3 の詳細については、こちらのブログ記事を参照してください。

Azure サービスのサイトでは、データセンターごとの VM シリーズのリリース状況を掲載しています。Ev3 および Dv3 は、ほぼすべての地域でご利用いただけます。

新しい VM の種類と SAPS 値

SAP NetWeaver アプリケーションで認定された VM の公式リストは、「SAP Note 1928533 – SAP Applications on Azure: Supported Products and Azure VM types 」に記載されています。

SAP クラウドのベンチマーク結果のリストはこちら (英語)

E64v3 のベンチマーク結果はこちら (英語)

D64v3 のベンチマーク結果はこちら (英語)

M128 のベンチマーク結果はこちら (英語)

M128 BW Hana のベンチマーク結果はこちら (英語)

2. Azure 上でのSAP Business One (B1) on Hana & SQL Server が認定

SAP Business One は、一般的な中堅中小企業向け ERP ソリューションです。現在、多くの 顧客がSAP B1 を SQL Server 上で実行しています。このたび、Azure VM 上での SAP B1 on SQL Server が一般提供になりました。

Hana にも SAP B1 が移植されており、約40 名のユーザーで Azure DS14v2 が認定されました (英語)。

Azure で SAP B1 を運用するユーザは、新しいバージョンの SAP B1 のブラウザー アクセス機能により、コストを低く抑えられることがあります。ブラウザー アクセス機能により、Azure のターミナル サーバー VM への B1 クライアントのインストールが不要になるためです。

詳細については、以下の SAP Note を参照してください。
2442627 – Troubleshooting Browser Access in SAP Business One

2194215 – Limitations in SAP Business One Browser Access

2194233 – Behavior changes in Browser Access mode of SAP Business One as compared to Windows desktop mode

SAP on Azure の認定に関しては、こちらのページを参照してください。

SAP on Azure のドキュメントは、こちらの概要ページから参照してください。

3. SAP on Azure における Managed Disks の推奨

一般的に、すべての新規導入において Managed Disks の使用が推奨されています。

Managed Disks では、可用性セット内の 各VM のストレージを複数のノードに自動的に分散し、複雑性を緩和しながら可用性を向上させることができます。これにより、1 つのストレージ ノードの故障が可用性セット内の 2 台以上の VM の停止につながってしまうことを避けることができるためです。

注:

1. SAP NetWeaver アプリケーション サーバーや DBMS サーバーでは、Standard レベルの Managed Disks はサポートされていません。Azure ホスト監視エージェントでは、Standard レベルの Managed Disks はサポートされていません。

2. 一般に、SAP アプリケーション サーバーのデプロイ時には、データ ディスクを追加しないことと、ブート ディスクに /usr/sap/<SID> をインストールすることが推奨されています。ブート ディスクは最大 1TB まで使用できますが、通常 SAP アプリケーション サーバーでは、それほどの容量や高い IOPS を必要としません。

3. 1 つの可用性セット内の VM に Managed Disks と Unmanaged Disks の両方のディスクを追加することはできません。

4. Blob のデータ ファイルを直接使用する SQL Server VM では、Managed Disks を使用することはできません。

5. 一般に、SAP アプリケーション サーバー用には Premium 管理ディスク を使用することが推奨されます。単一の VM で 99.9% の可用性を保証する SLA (注: 実際に達成される値は、99.9% よりも高い場合がほとんど) で返金保証を受けられるためです。

6. 「SAP Note 2367194 – Use of Azure Premium SSD Storage for SAP DBMS Instance 」に記載されている通り、一般に、SAP DBMS サーバーにも Premium レベルの Managed Disks の使用することが推奨されます。

Managed Disks の概要は、こちらのドキュメントを参照してください。

Managed Disks の詳細については、こちらのブログ記事 (英語) をご覧ください。

Azure Disks の料金とパフォーマンスに関しては、こちらのページを参照してください。

よく寄せられる質問は、こちらのページを参照してください。

4. Azure 用 Sybase ASE 16.3 PL2 の Always-On 機能

「SAP Note 1928533 – SAP Applications on Azure: Supported Products and Azure VM types」に記載されているとおり、Azure は Windows と Linux の両方で Sybase ASE 16 SP2 以降をサポートしています。

Sybase ASE には、「Always-On」と呼ばれる HA/DR ソリューションが含まれています。これは、SQL Server AlwaysOn の機能とは大きく異なります。このHAソリューションでは共有ディスクは必要ありません。

Sybase ASE のリリース スケジュールについては、こちらのページ (英語)
を参照してください。

Sybase HA ソリューションの概要ドキュメントは、こちらのページ (英語)
をご覧ください。

「SAP Note 2410733 – Always-On (HADR) support for 1-to-many replication – SAP ASE 16.0 SP02 PL05 」によると、SAP は複数のレプリカ データベースをサポートしています。

Sybase Always-On は Azure 内部ロード バランサーが不要で、Azure へのインストールもかなり簡単に行うことができます。通常構成では、内部ロード バランサーの構成は不要です。Sybase 16 SP3 PL2 では、SAP ユーザー向けの新機能をリリースしています。

Azure への Sybase のセットアップに関するご不明な点やドキュメントの矛盾点などがありましたら、BC-DB-SYB への OSS メッセージからお問い合わせください。

5. リソース グループ、タグ、ロール ベースのアクセス制御、請求、VNet、NSG、UDR、リソースのロック

Azure へのデプロイの前に、まず Azure 上の IaaS および PaaS リソースをサポートするための中核となる「基盤サービス」と構成を設計する必要があります。

設計や構成に関するすべての推奨事項は、とても 1 回で紹介しきれる量ではありませんが、今回は、SAP 環境での Azure デプロイを検討しているお客様向けに、概要とよく寄せられる質問をご紹介します。

1. リソース グループでは、各種 Azure オブジェクトの監視、アクセス制御、プロビジョニング、請求管理が可能です。SAP では、サンドボックス、開発、品質保証、運用などの環境ごとにリソース グループをデプロイすることがよくあります。これにより、環境ごとに簡単に請求を分けることができます。新たなビジネス プロセスのテスト用に運用環境のクローンが必要な場合、Azure の組み込み機能でクローンを作成し、「Project」という名前の新しいリソース グループにコピーすることができます。使用する部署ごとの月額料金が監視されており、使用した分だけが請求されます。

2. Azure タグを使用すると、特定の VM やその他の Azure オブジェクトの属性を詳細に表示することができます。VM に付与されるタグには、「ECC 6.0」や「NetWeaver Application Server」などがあります。これにより、細かい請求管理や、ロール ベースのアクセス制御でのセキュリティ管理が可能になります。また、タグに関するクエリを実行し、SAP の VM とそれ以外の VM を区別したり、アプリケーション サーバー用の VM と DBMS サーバー用の VM を特定したりできます。

3. ロール ベースのアクセス制御を使用すると、職務を分けたり、SAP Basis チームなどのチームごとの管理者権限を制限したり、きめ細かいセキュリティ モデルを作成したりできます。通常、Basis チームには Azure IaaS に関するさまざまな権限が委任されます。これは、VM をはじめ多くの Azure リソースの作成や変更を行う必要があるためです。ただし、Basis チームは、VNet やネットワーク レベルのリソースの作成や変更は許可されません。

4. 請求機能を使用すると、オンプレミス ソリューションよりもコストの透明性が高くなります。Azure のリソース グループとタグにより、SAP システムや環境に対応した Azure 月額料金の各項目が明確化されます。このため、追加のプロジェクト システムや部署から個別に要求されたシステムのチャージバックを行うことができます。

5. Azure Vnet、NSG、UDR の設計は、通常、SAP Basis チームではなくネットワークのエキスパートが担当します。設計時には、以下のような点を考慮する必要があります。

a. SAP アプリケーション サーバーと DBMS サーバーの間の通信では、仮想アプライアンスを使用したルーティングや検査は避ける必要があります。これは、SAP がアプリケーション サーバーと DBMS サーバーの間のレイテンシの影響を受けやすいためです。ハブ & スポーク型のネットワーク トポロジなどを使用することで、SAP のトラフィックを検査せずにクライアントのトラフィックの保護と検査を行うこともできます。

b. DBMS サーバーとアプリケーション サーバーが同一 VNet の異なるサブセットに設置されることは珍しくありませんが、この場合、それぞれのサーバーに異なる NSG が適用されます。

c. UDR では、不要なトラフィックがオンプレミスのプロキシ サーバーに戻るようなルーティングは避ける必要があります。よくある構成ミスでは、Blob 上のデータ ファイルを使用する SQL Server にオンプレミスのプロキシ サーバー経由でアクセスしたり (パフォーマンスが大幅に低下)、SAP アプリケーション間の HTTP(S) 接続がオンプレミスのプロキシ サーバーに戻るようにルーティングされたりしています。

現在、ハブ & スポーク型のネットワーク トポロジが一般的です。

https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-overview

https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-nsg

以下のブログも参考になります。
https://blogs.msdn.microsoft.com/igorpag/2016/05/14/azure-network-security-groups-nsg-best-practices-and-lessons-learned/ (英語)

https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-networks-udr-overview

6. Azure リソース ロックでは、VM などの Azure オブジェクトやストレージが誤って削除されるのを防ぐことができます。必要な Azure リソースは、プロジェクト開始時に作成しておくことをお勧めします。追加、移動、変更の作業が完了し、Azure のデプロイが安定したら、すべてのリソースをロックします。以降は、スーパー管理者のみがリソースをロック解除して VM などのリソースを削除することができます。

https://blogs.msdn.microsoft.com/cloud_solution_architect/2015/06/18/lock-down-your-azure-resources/ (英語)

これらのベスト プラクティスは、システム稼働前に実装する方がはるかに簡単です。以下の図のように、VM などの Azure オブジェクトをサブスクリプション間やリソース グループ間で移動することができます (Managed Disksは、2018 年の早い時期に完全にサポートされる予定です。それまでの間は、Azure ポータルの [Export] ボタンを使用して Managed Disks VM の VHD ファイルをダウンロードすることができます)。

https://docs.microsoft.com/ja-jp/azure/virtual-machines/windows/move-vm

https://docs.microsoft.com/ja-jp/azure/azure-resource-manager/resource-group-move-resources (「Virtual Machines の制限事項」のセクションを参照してください)

6. Linux 用 AzCopy をリリース

AzCopy は、Azure 内の Blob オブジェクトのコピーや、オンプレミスと Azure 間のオブジェクトのアップロードまたはダウンロードに使用される一般的なユーティリティです。UNIX/Oracle から Win/SQL on Azure への移行などで、オンプレミスから Azure に R3load のダンプ ファイルをアップロードする際に使用します。

Linux プラットフォーム用の AzCopy がリリースされました。このユーティリティを使用するには、Linux 用 .Net Framework 2.0 がインストールされている必要があります。

Windows 用の AzCopy はこちらのページから入手できます。AzCopy のスループットを向上させるには、/NC:<xx> パラメーターを指定します。帯域幅や接続のレイテンシに応じて値を 16 ～ 32 に設定することで、スループットが大幅に向上します。32 よりも高くすると、インターネット接続が飽和状態になる場合があります。

AzCopy の代わりに Blobxfer (英語) を使用することもできます。

7. 読み取り専用ドメイン コントローラー (RODC): Azure での RODC と DC の安全性

読み取り専用ドメイン コントローラーは、以前から使用されている機能です。詳しくはこちらのドキュメント (英語) を参照してください。

読み取り専用ドメイン コントローラーと書き込み可能なドメイン コントローラーの違いについては、こちらのドキュメント (英語) を参照してください。

最近は、より安全とされる Azure での RODC を検討するお客様が増えています。

RODC のセキュリティ プロファイルは、ExpressRoute 経由でオンプレミスのドメイン コントローラーに接続する Azure の書き込み可能なドメイン コントローラーのプロファイルによく似ています。唯一異なるのが「フィルタリングされた属性セット」で、AD 属性のいくつかが RODC に複製されない場合がある点です (ただし、ほぼすべての属性が複製されます)。

Azure および一般的なドメイン コントローラーを保護する場合に、以下のような推奨事項があります。

1. Active Directory の RODC も書き込み可能な DC も同様にクエリを実行できることを悪用して、侵入者は脆弱性や弱点が保護されていないユーザー アカウントを捜索する、いわゆる「調査」を行います。この調査を検出するために、IDS ソリューションおよび IPS ソリューションを、Azure とオンプレミスの両方にデプロイすることを推奨しています。

2. セキュリティを大幅に強化するために、多要素認証を実装する方法もあります。Azure には、多要素認証 (英語) サービスが標準で含まれています。

3. ブート ディスクや、DS データベース、ログ、SYSVOL を含むディスクでは、Azure Disk Encryption を使用することを推奨しています。これにより、VM 全体のクローニング、VHD ファイルのダウンロード、RODC や書き込み可能な DC の起動などを防ぐことができます。AD データベースの情報を盗むために、デバッグ ツールが使用される場合があります。

まとめ: 書き込み可能な DC の代わりに RODC をデプロイしても、ExpressRoute でオンプレミスの AD インフラストラクチャに接続されている Active Directory ソリューションのセキュリティ プロファイルは大幅には変わりません。代わりに IDS、多要素認証、Azure Disk Encryption などのセキュリティ機能を組み合わせて使用することで、安全な AD 環境を構築することができます。ドメイン コントローラーが読み取り専用でも、必ず他のセキュリティ メカニズムと組み合わせることが重要です。

8. Azure Site Recovery: 最新サポート状況

強力なプラットフォーム機能である Azure Site Recovery では、競合他社のソリューションよりも低いコストで最高クラスの災害復旧機能を実装することができます。

SAP アプリケーション向けの Azure Site Recovery をデプロイする方法については、ブログ記事とホワイトペーパーをお読みください。

https://docs.microsoft.com/ja-jp/azure/site-recovery/site-recovery-sap

http://aka.ms/asr-sap (英語)

以下、Azure Site Recovery の新機能と、既存の機能をご紹介します。

1. Azure Disk Encryption では、Azure のブート ディスクやデータ ディスクのコンテンツを暗号化できます。この機能のサポートのプレビューが間もなく開始されます。この機能をご希望のお客様は、マイクロソフトまでお問い合わせください。

2. ストレージ スペースと SIOS のサポートの一般提供を開始しました。

3. Managed Disks を使用するVMのサポート を近日リリースします。

4. サブスクリプション間のレプリケーションが 2018 年の早い時期に利用可能になります。

5. Suse 12.x のサポートを 2018 年に開始します。

ASR および ADE については、以下の資料を参照してください。

https://azure.microsoft.com/ja-jp/blog/tag/azure-site-recovery/ (英語)

https://azure.microsoft.com/ja-jp/services/site-recovery/

https://docs.microsoft.com/ja-jp/azure/security/azure-security-disk-encryption-faq

9. 非運用環境での Hana システム.

Hana の認定を受けていないハードウェアやクラウド プラットフォームでも、Hana DBMS サーバーを実行することが可能です。詳しくは「SAP Note 2271345 – Cost-Optimized SAP HANA Hardware for Non-Production Usage」を参照してください。

この SAP Note で紹介されている PowerPoint および Word ドキュメントでは、ハイパースケールのクラウドでよく使用される「ホワイトボックス」型のサーバーを、非運用システムや仮想化ソリューションで使用できることが説明されています。

よって、非運用の Hana システムはAzure VM 上で実行することが可能です。

なお、一般的に災害復旧システムは、運用ワークロードとして実行される可能性があるため、運用環境と見なされると考えられます。

10. Oracle 11g/12c 用 Azure で Oracle Linux 7.x を認定

Azure プラットフォームでは、さまざまな種類のオペレーティング システムとデータベースがサポートされています。このたび、SAP は Linux VM で稼動する Oracle DBMS のサポートを開始しました。

Azure でサポートするオペレーティング システムとデータベースの組み合わせの全リストは、「SAP Note 1928533 – SAP Applications on Azure: Supported Products and Azure VM types 」で確認してください。

注:

1. SAP、Oracle、Linux、Azure の組み合わせが完全にサポートされ、一般提供されました。

2. Oracle DBMS は Oracle Linux 7.x にインストールする必要があります。

3. SAP アプリケーション サーバーおよびエンジン単体には、Oracle Linux 7.x または Windows を使用することができます (詳しくは PAM を参照)。

4. SWPM を起動する前に最新版の Oracle Linux をインストールすることを強くお勧めします。

5. 「SAP Note 2015553 – SAP on Microsoft Azure: Support prerequisites」に記載のとおり、Linux のホスト監視エージェントをインストールする必要があります。

6. Oracle Linux で Accelerated Networking の使用を検討中のお客様は、マイクロソフトまでお問い合わせください。

7. Suse または RHEL での Oracle DBMS の実行はサポートされていません。

重要な SAP Note およびその他の情報は以下のとおりです。

https://wiki.scn.sap.com/wiki/display/ORA/Oracle (英語)

2039619 – SAP Applications on Microsoft Azure using the Oracle Database: Supported Products and Versions

2069760 – Oracle Linux 7.x SAP Installation and Upgrade

405827 – Linux: Recommended file systems

2171857 – Oracle Database 12c – file system support on Linux

2369910 – SAP Software on Linux: General information

1565179 – This note concerns SAP software and Oracle Linux

注: SAP、Oracle、Windows、Azure の組み合わせでは、完全なサポートが一般提供されています (長年サポートされており、多くのお客様が Azure をテラバイト単位で使用しています)

11. Oracle 12c Release 2 のSAP認定と、Windows2016でのリリース、Azure での ASM のサポートの計画

「SAP Note 2133079 – Oracle Database 12c: Integration in SAP environment」で発表されたとおり、SAP は、SAP NetWeaver アプリケーション用 Oracle 12c Release 2 を認定しました。

Oracle 12c Release 2 は、Linux での認定に加えて Windows Server 2016 でもサポートが開始されます。

2017 年 12 月 18 日より、Oracle Database バージョン 12.2.0.1 (RDBMS 12.2.0.1、Grid Infrastructure 12.2.0.1、Oracle RAC 12.2.0.1 を含む) が SAP NetWeaver をベースとする SAP 製品に認定されました。RDBMS 12.2.0.1 の最小限の初期 SAP Bundle Patch (SBP) は、SAP12201P_1711 (Unix 用) または PATCHBUNDLE12201_1711 (Windows 用) です。

Oracle 12.2.0.1 では、SAP Kernel のバージョン 7.21_EXT 以降が必要です。

SAP Note 2470660 では、Oracle 12.2.0.1 を SAP 環境で使用する場合の、データベースのインストールおよびアップグレード、ソフトウェアのダウンロード、修正プログラムの適用、機能のサポート、OS の前提条件などに関する重要な技術情報が提供されています。

Oracle バージョン 12.1 でサポートされている Oracle 機能 (Oracle In-Memory、Oracle Multitenant、Oracle Database Vault、Oracle ILM/ADO など) は、バージョン 12.2.0.1 でもサポートされます。

2470660 – Oracle Database Central Technical Note for 12c Release 2 (12.2)

2133079 – Oracle Database 12c: Integration in SAP environment

マイクロソフトは Azure の Oracle ASM の認証取得を進めており、最初に Oracle Linux 7.4 と Oracle 12c R1/R2 の組み合わせを予定しています。今後、改めてブログ記事でお伝えします。

998004 – Windows での Oracle Instant Client の更新

12. 中規模以上の SAP システムでのAccelerated Networkingの推奨

Accelerated Networking を使用すると、2 台の Azure VM 間のレイテンシを劇的に短縮でき、帯域幅が大きく拡大します。

Accelerated Networking は、Windows および Linux の VM 用に一般提供されています。

一般に、中規模および大規模な新規 SAP プロジェクトでは、Accelerated Networking をデプロイすることをお勧めします。

Accelerated Networking については、以下の点に考慮する必要があります。

1. 既存の VM に対し Accelerated Networking を有効化することはできません。VM の新規作成時に有効化する必要があります。なお、VM を削除した後 (既定ではブート ディスクとデータ ディスクは保持されます)、同じディスクを使用して VM を再作成することができます。

2. Accelerated Networking は、Ev3、Dv3、M、Dv2 など、4 基以上の物理 CPU を搭載する新しい VM シリーズ (2017 年 12 月現在 – E8v3 は物理 CPU 4 基と 8 つのハイパースレッド) のほとんどで使用できます。

3. Accelerated Networking は、G シリーズ VM では使用できません。

4. Blob ストレージに直接保存されたデータ ファイルを使用する SQL Server の場合大きな効果があります。

5. Suse 12 Service Pack 3 (Suse 12.3) を強く推奨します (2017 年 12 月現在、Hana の認定取得を進行中)。RHEL 7.4 も推奨しています。Oracle Linuxについてはマイクロソフトまでお問い合わせください。

6. 1 つ以上の Accelerated Network NIC と Accelerated Network 非対応の従来の NIC は、同じ VM で使用することができます。

7. SAP アプリケーション サーバーとデータベース サーバーの間に、Azure VNet UDR や、その他のセキュリティおよび検査デバイスを設置することは推奨しません。この接続では、パフォーマンスを最大限に維持する必要があります。

8. SAP アプリケーション サーバーからデータベース サーバーへの通信レイテンシをテストするには、ABAP レポートの [/SSA/CAT] に "ABAPMeter" と入力します。

9. 効率の悪い ABAP コードや、大規模 Payroll ジョブまたは IS-Utilities Billing ジョブなどの高負荷な操作には、Accelerated Networking は非常に効果的です。

Azure Networking のさらに詳しい情報については、以下の資料を参照してください。

https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-create-vm-accelerated-networking

https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-optimize-network-bandwidth

https://docs.microsoft.com/ja-jp/azure/virtual-network/virtual-network-bandwidth-testing

https://blogs.msdn.microsoft.com/igorpag/2017/04/06/my-personal-azure-faq-on-azure-networking-v3/ (英語)

https://blogs.technet.microsoft.com/jpitpro/2017/12/27/moving-from-sap-2-tier-to-3-tier-configuration-and-performance-seems-worse/

以下は、ネットワークに大きな影響を及ぼす非効率な ABAP コードの例です。LOOP 構文内に SELECT 文を配置するのは、コーディング ルールとして望ましくありません。Accelerated Networking によりこのような非効率な ABAP コードのパフォーマンスを改善することが可能ですが、基本的に LOOP 構文内で SELECT 文を使用しないことをお勧めします。このコードは拡張性がないため、反復実行数が増加するほどパフォーマンスが大幅に低下します。

13. Azure の新機能

Azure プラットフォームでは、多くの新機能や機能強化が継続的にリリースされています。

新機能についてはこちらの記事でまとめて紹介しています。

SAP ユーザー向けに、以下の優れた新機能をご紹介します。

1. VNet 間ゲートウェイ接続を介して、2 つの異なるデータセンター間で通信することができます。現在プレビュー中のグローバル ピアリング (英語) も使用することができます。

2. ファイル保存、DIR_TRANS、インターフェイスなどに使用可能な SoftNAS (英語) は、NFS と SMB プロトコルをサポートしています。

3. Azure Data Box は、データセンターマイグレーションシナリオで有効です。

4. CIS イメージ (英語) – 強化された Windows イメージを提供しています。これらは、全 SAP アプリケーションで完全にテストされたものではありません。このイメージは、SAPWebDispatcher や SAP Router などで使用することができます。

5. SAP LaMa に Azure 用コネクタが実装されました (SAP Note 2343511 – Microsoft Azure connector for SAP Landscape Management (LaMa) )。

6. 今後のブログ記事では、Hana Large インスタンス ネットワークについて解説する予定です。なお、こちらのホワイトペーパー (英語) ではハブ & スポーク型ネットワーク (英語) の詳細情報をご確認いただけます。

7. Azure サービス エンドポイント (英語) は、一部のパブリック エンドポイントを削除し、Azure VNet に移行しました。

関連リンク

VM: パフォーマンス (英語) | 起動しない場合 (英語) | エージェント | Linux のサポート

ネットワーク: ExpressRoute (英語) | VNet トポロジ (英語) | ARM の LB 構成 | VNet 間 VPN | VPN デバイス | サイト間 VPN | ILPIP | 予約済み IP | ネットワーク セキュリティ

ツール: PowerShell のインストール | VPN の診断 (英語) | 各種プラットフォーム用 CLI (英語) | Azure Resource Explorer | ARM の JSON テンプレート (英語) | iPerf (英語) | Azure Diagnostics

Azure のセキュリティ: 概要 (英語) | ベスト プラクティス (英語)| トラスト センター | プレビュー機能 | プレビューのサポート

その他のトピック

SAP on Windows/Oracle の Windows 用 Oracle 機能のプレゼンテーション (英語)

Oracle クロス プラットフォームのトランスポータブル表領域 (英語): UNIX プラットフォームから一般的な Intel サーバーへの移行を検討している UNIX/Oracle ユーザー向けの魅力的な新機能

以下の図は、UNIX Big Endian システムで実行可能なバックアップを作成し、Intel Little End システム (Windows または Linux) で復元するプロセスを示したものです。

詳細については、「SAP Note 552464 – What is Big Endian / Little Endian? What Endian do I have?」を参照してください。

IBM Power サーバーに SAP Hana をインストールしているお客様から、同様の質問を頂くことがありますが、Hana on Power (比較的珍しいソリューション) からの移行やパブリック クラウドでの DR の実行を検討している場合がほとんどです。「SAP Note 1642148 – FAQ: SAP HANA Database Backup & Recovery」では、Hana 2.0 のバックアップを IBM Power (Little Endian) から Intel ベースのシステムへ復元するしくみを説明しています。

Content from third party websites, SAP and other sources reproduced in accordance with Fair Use criticism, comment, news reporting, teaching, scholarship, and research

Microsoft Inspire は、マイクロソフトが毎年開催している最大規模のパートナーイベントです。世界中にいる何千ものパートナー各社が集まり、IT エキスパートや技術者、マイクロソフト社員との間で交流を広げたり、情報交換をしたり、コラボレーションを行える有意義な機会となります。

Microsoft Inspire 2018 は、2018 年 7 月 15 ～ 7 月 19 日の 4 日間、米国ネバダ州ラスベガスで開催されます。

日本では、例年どおり、フライトやホテルをパッケージとしたツアーを企画します。

ツアーサイトのオープンは3月を予定しています。

お楽しみに！！

▼ Microsoft Inspire Tour 2018 についてはこちらから 

Som vi tidligere har skrevet, så annoncerede vi sidste år at  vi giver gratis Minecraft: Education Edition licenser til jer, hvis i har købt Windows 10 enheder.

Dette tilbud har gældt for enheder købt mellem 2. maj og 31. januar, men i kan stadig nå at hente jeres gratis 1 års licenser indtil d. 17. marts. Vi giver altså 1 årslicens per enhed som i har købt.

For at benytte jer at af tilbuddet skal i gøre følgende:

1. Gå til Microsoft Store for Education
2. Under benefits, klikker du på ”Submit a device purchase”
3. Her skal du indtaste oplysninger om købet og så skal der uploades et ”Proof of Purchase”. Det kunne være en del af jeres leasingkontrakt eller en indledende faktura. Vi skal bare kunne se at det rigtige antal devices er købt.
4. Når det er godkendt, så kan du se licenserne i jeres Microsoft Store for Education

Det kan i læse mere om her: https://docs.microsoft.com/en-us/education/windows/get-minecraft-device-promotion#redeem-minecraft-education-edition-licenses

Minecraft: Education Edition er en ny version af spillet Minecraft der kan sikre en klasseværelsesoplevelse i Minecraft, samt gøre spilbaseret læring nemmere at implementere i den daglige undervisning, med allerede udformede læringsforløb. Heriblandt er en lang række læringsforløb og "verdener" udviklet af danske lærere som Katja Borregaard (https://twitter.com/katjaborregaard) .

Du kan læse mere om Minecraft: Education Edition her: http://education.minecraft.net/

Aus der Serie "Microsoft Security Assessments" diesmal das Thema Rapid Cyberattack Assessment:

Ziel:

Bei dem Rapid Cyberattack Assessment (RCA) geht es im ersten Schritt darum den IST Status bei grundlegenden Sicherheitsprozessen zu erfassen. Dies umfasst u.a. den Patch Prozess, Backups, Admin/Account Isolation, etc.

Dabei soll eine Prioritäten Liste für die nächsten Schritte entstehen die sich in "Critical/Sofort" und "High/Baldigst" unterteilen lässt.

Für euch als Microsoft Partner ist das Ziel natürlich nach der Erfassung auch die Umsetzung der To-Do Liste zu gewinnen.

ž

Inhalt:

• Rapid Cyberattack Assessment Workshop Overview-v1.0.pptx
  Überblick über das Assessment, Einstieg in das Thema "Warum ist das wichtig" und Grundlegendes über Defense Strategies.
• Rapid Cyberattack Assessment Workshop Roadmap-v1.0.pptx
  Präsentation der Prioritätenliste/Roadmap und Abgleich mit den Einschätzungen des Kunden. Dies ist noch nicht die finale Präsentation, sondern dient als Diskussionsgrundlage zur Vorbereitung der Abschlusspräsentation.
• Rapid Cyberattack Assessment Workshop-Closeout Presentation-v1.0.pptx
  Dies ist die Abschlusspräsentation mit der finalen Darstellung der Findings und der empfohlenen nächsten Schritte.
• Rapid Cyberattack Assessment Workshop-Delivery Guide-v1.0.docx
  Die ausführliche Anleitung wie das Assessment auszuliefern ist.
• Rapid Cyberattack Assessment Workshop-How to use RCA tool-v1.0.docx
  Dokumentation über das Rapid Cyberattack Assessment Tool.
• Rapid Cyberattack Assessment Workshop-Kick-off Meeting-v1.0.pptx
  Präsentation für das eigentliche Kickoff Meeting, dient u.a. auch zur Anberaumung incl. Vision, Scopeing und Vorgehen.
• Rapid Cyberattack Assessment Workshop-On-site Engagement Overview-v1.0.pptx
  Zur finalen Planung der On-Site Aktivitäten, insb. Finalisierung der Termine und Teilnehmer sowie der Auflistung von möglichen Risiken und der Erfolgskriterien.
• Rapid Cyberattack Assessment Workshop-Questionnaire_v1.0.docx
  Fragebogen zur Erfassung der aktuellen Situation und Prozesse. Dort sind bereits die Fragen aus dem RCA Tool enthalten (und auch als solche kenntlich gemacht), ggf. also die Antworten aus dem RCA Tool hier konsolidieren.
• Rapid Cyberattack Assessment Workshop-SoW Example-v1.0.docx
  Ein Beispiel Statement of Work zur Durchführung des Assessments

Vorgehen

FYI: Ich habe im Modern Workplace ChampCall im Februar (ab ca. 36:03min) das Vorgehen kurz gezeigt, also schaut es euch gerne an, denn dort gebe ich auch ein, zwei Tipps, die aus der Doku nicht hervorgehen!

Das RCA besteht im Wesentlichen aus 2 Komponenten:

Erfassung des IST Standes basierend auf

1. Beantwortung des Fragebogens
   
2. Ergebnis der Sammlung durch das RCA Tool
   

Das Beantworten des Fragebogens ist idealerweise in zwei Schritten durchzuführen: zum einen direkt in dem RCA Tool und anschließend zum Teil übertragend, zum Teil mit neuen Antworten in dem Word Dokument.

Warum in den zwei Schritten? Wenn dies über das Tool passiert (btw. kann natürlich auch genau andersherum durchgeführt werden und die Antworten aus dem Word Doc in das RCA Tool übertragen werden), dann erhält man am Ende eine vorgefertigte PowerPoint Ansicht mit der Zusammenfassung der Ergebnisse.

Zusätzlich kommt noch das Ausführen des Tools gegen die zu Analysierenden Maschinen.

Wichtig: dies kann ggf. betriebsratsrelevant sein, da hier auch Software Inventarisiert wird!

Je nach Größe des Environments/Kunden macht es durchaus Sinn den Scope des RCA über eine OU oder IP Adressliste einzuschränken, im Screenshot habe ich * gewählt - also "nimm alle Server die du findest".

Ergebnis/Outcome:

Als Ergebnis spuckt das RCA Tool mehrere Dateien aus:

1. ExcelResubmissionReport.xlsx
   
2. RapidCyberattackAssessmentAffectedNodes.xlsx (optional, nur wenn das RCA auch "gegen" Maschinen eingesetzt worden ist)
   
3. RapidCyberattackAssessmentKeyRecommendations.docx
   
4. RapidCyberattackAssessmentManagementPresentation.pptx
   

Die aus dem RCA kommenden Ergebnisse müssen noch entsprechend angereichert werden durch die weiteren Ergebnisse aus dem erweiterten Fragebogen und mit dem Kunden zusammen auf eine Prioritätenliste (vgl.ExcelResubmissionReport.xlsx) geeinigt werden.

Call to action:

Wenn ihr als Microsoft Partner dieses (oder auch die anderen) Assessments durchführen möchtet und benötigt dazu (technische) Unterstützung, so sprecht bitte eure entsprechenden Partner Development Manager und Partner Technical Strategists an.

Last but not least hier noch der Link auf den Download der Assessment Unterlagen (aktuell nur auf engl. - wenn hier ein *wirklicher* Bedarf und Impact an einer Lokalisierung existiert, dann lasst es mich bitte wissen!)

Rapid Cyberattack Assessment (Unterlagen)

Rapid Cyberattack Assessment (Tool)

Und nicht vergessen im "Microsoft Security Assessments" Post habe ich noch drei weitere Assessments beschrieben/verlinkt.

In the January 17, 2018 update for Windows 10, it was announced that Surface Hub now supports the customization of its Start menu layout. This is manageable via MDM. There's a detailed article on how to do it, but let me take you step by step through the process.

This is the Default Start Menu on the Hub:

Before we start - a few things worth mentioning:

• You cannot pin Windows Desktop apps or shortcuts to the Start Menu. They simply don't work on the Hub.
• You can definitely pin website shortcuts to the start menu.
• Surface Hub can be configured with a 6x6 tile grid.
• The default Start Menu apps (Calendar, Skype, Whiteboard and "Connect") cannot be changed.

Follow the above guideline for a successful end-user experience.

Tile Structure

The table above demonstrates how tiles can be displayed on the Hub. Use this template to design the Start Menu on your Hub. Although the xml shows 8 columns of tiles (GroupCellWidth=8), only columns 0-5 are visible, so plan accordingly.

How does 6 tiles look like?
When we plan for tiling, we look at the smallest form of tiles. So if you were looking at a standard Windows 10 PC, the six on the top right of the following image is how it would look like:

How easy is it to create it?

Easy enough;

If you're familiar with Windows 10 Start Menu customization, go ahead and edit the default xml for Surface Hub, you can find it here.
If you're looking for an easier way to complete this task - you can create a custom Start Menu on any Windows 10 device and 'copy' the xml from it. Here are the steps to do it:

Create a new account on a Windows 10 machine

It can be any account - the idea is that you can remove the existing default Strat Menu and create one just for Surface Hub.
So if your new Start Menu looks like this:

Start by removing all the tiles until you get a clean Start Menu with only the apps list:

Then pin the first app you want on your new start menu. I chose Microsoft Edge, and other important apps like the xbox app.

You can pin as many apps as you want and sort them in any design you want, as long as they fit into the 6x6 structure. You can resize, leave spaces and change the appearance to your liking.
Download apps you'll use on the Hub and pin then to the Start Menu you're creating so they'll show up when you import it.
In this case, I downloaded great apps like "A Surface Hub Tour" and "SH Setup Helper":

You can also create tiles of Internet websites, like you company's internal SharePoint website, or other useful resources. I added a shortcut to this blog, simply by clicking the three dots on the top right corner of the Edge browser and choosing "Pin this page to Start":

And there it is, along with the other apps that I've added:

Note: If you don't have your desired already installed on the Hubs, you can deploy them using Intune. Follow the steps in my previous post to do so.

Now, export the new Start Menu layout so you can import it later to Intune.
From an elevated PowerShell window, run the following command:

Export-StartLayout -Path C:YourPathStart.xml

Then, using a text editor, open the .xml file and edit the following:

Both <LayoutOptions StartTileGroupCellWidth="6" /> (line 2)  and <defaultlayout:StartLayout GroupCellWidth="6"> (line 5) are set to "6". Change both to "8" and save the changes.

Additionally, if you pinned a web page tile to the Start Menu, you'll notice the DisplayName field may be empty:

Enter the name of the website (Could be any name you choose) between the quotation marks and save the changes. Next:

Create a Custom Policy in Intune

• Log on to https://portal.azure.com and go to Microsoft Intune.
• In Intune, go to Device Configuration, Profiles, Create Profile.
• Name the new profile Start Menu CSP (Or anything that makes sense to you...), for Platform choose "Windows 10 and later", in "Profile type" choose "Custom".
• Click "Configure" under "Settings to add the CSP:
• Under "Name" give it the name of you choice - remember you can deploy several Start Menus to different Hub groups based on the usage profiles, so make sure you also fill in the description (I didn't, I know <facepalm>).
• In the "OMA-URI" field, enter the following string: ./User/Vendor/MSFT/Policy/Config/Start/StartLayout
• In "Data type", choose "String (XML file)".
• Browse for the location of the Start.xml file you created and edited earlier, then click OK and save the configuration profile.

Assign the configuration profile to the appropriate groups and wait for it to sync. You new Start Menu will shortly appear:

Questions or comments - I'd love to hear your thoughts; Are you trying to configure your Surface Hubs and need assistance? let me know in the comments below!

皆さんこんにちは Azure Information Protection サポートチームです。
今回は Azure Information Protection（以下 AIP）のライセンスについてのご案内となります。

各ライセンスで利用できる機能については以下の公開情報がございます。

『Azure Information Protection プランの比較』
https://www.microsoft.com/ja-jp/cloud-platform/azure-information-protection-features

ただし、具体的な機能の利用方法や語句の説明などについてはまとまった記載がありません。
AIP のライセンスについては以下のとおり 4 つのライセンスがございますので、この場を借りて各ライセンス毎の詳細について記載していきます。
なお、この情報は 2018.2.13 時点 の情報となります。今後、機能の追加や変更が行われる場合極力修正を行って参りますが、まずは上記の公開情報をご確認くださいますと幸いです。

Azure Information Protection のライセンス
----------------------------------------------
1. 個人用 RMS ライセンス
2. Azure Rights Management ライセンス
3. Azure Information Protection Premium 1 (P1) ライセンス
4. Azure Information Protection Premium 2 (P2) ライセンス
----------------------------------------------

[Tips]

Azure RMS (Azure Rights Management) とは、オンプレミス AD RMS 相当の機能 (コンテンツの暗号化) を Azure 上で提供するサービスです。
この機能を用いると Active Directory (Azure AD) と連携して、指定したユーザーでのみコンテンツを開けるよう暗号化を行うことが可能となります。
AIP ではこの "RMS 保護" を用いたデータの管理もできるようになっております。
また、この記事の最後に RMS  と AIP のラベルの利用方法の違いについて AIP利用方法.docx として資料を作成しておりますので、併せてご参照くださいますと幸いです。

1. 個人用 RMS ライセンスについて

このライセンスはフリーのライセンスとなります。
以下のサイトよりご登録いただければどなたでもご利用いただけます。

• 個人用 RMS サインアップページ

なお、このライセンスでサポートされる動作としては "RMS 保護されたコンテンツの閲覧" のみとなります。
2018.2.13 時点では "RMS 保護の適用" もできてしまいますが、サポートはされません。
また、同様に後述するラベルによるデータ管理はできません。
このサービスにサインアップすることによって、Azure AD にアカウントが無いお客様でも
RMS 保護が適用されたドキュメントを開くことができるようになります。

2. Azure Rights Management ライセンス

このライセンスは Office 365 E3 以上のサブスクリプションなどに含まれるライセンスとなります。
単体での購入はできません。

こちらを割り当てているユーザーでは RMS の保護機能が利用できるようになります。
Azure Information Protection クライアントをインストールして PDF や TXT ファイルを保護することもこのライセンスで可能です。
また、Exchange Online と連携して、Outlook Web App 上（ブラウザ上）でメールの保護を適用したり、SharePoint Online と連携して IRM ライブラリを利用することもこのライセンスで可能です。
その他のご利用シナリオとしましては Azure Information Protection クライアントをサーバーにインストールし FCI（弊社ファイルサーバー機能）と連携して、特定フォルダ内のファイルを自動的に保護することも可能となっております。

この他、BYOK という言葉も上述したライセンス表にはございます。
こちらはお客様側で秘密鍵を作成して、作成された秘密鍵でドキュメントの保護を行う仕組みとなります。
秘密鍵を作成いただく場合は専用のハードウェアが必要となり、会社のポリシーや政治的な要件などでクラウドの RMS が利用できない一部のお客様にご利用いただいております。

3. Azure Information Protection Premium 1 (P1) ライセンス

このライセンスは Enterprise Mobility + Security (以下 EMS) E3 などに含まれるライセンスです。
単体での購入も可能です。

こちらを割り当てているユーザーでは、Azure Information Protection クライアントをインストールし、AIP のラベルが利用できるようになります。
AIP のラベルは以下のように Office 上に表示され、ヘッダーやフッター透かしの適用、及び "RMS 保護" が適用できるようになります。

その他、追跡と取り消し機能（ドキュメントトラッキング機能とも呼ばれます）が利用できるようになります。
この機能は自分が RMS 保護したドキュメントに対し、どのユーザーが閲覧したかの確認を行ったり、後からドキュメントへのアクセスを禁止できる機能となります。
追跡と取り消し機能の利用を目的として AIP を導入されるお客様も多いのですが、AIP P1 以上のライセンスが必要となりますのでご留意ください。
また、この機能については後述する AIP ご利用方法.docx の中でもご案内しておりますので、ご参照くださいますと幸いです。

4. Azure Information Protection Premium 2 (P2) ライセンス

このライセンスは EMS E5 などに含まれるライセンスとなります。
単体での購入も可能です。

このライセンスでは AIP P1 ライセンスの機能に加えて、クレジットカード番号や特定の文字列が含まれる、
または正規表現で定義された条件に合致するドキュメントを自動的に保護したり、保護を推奨したりする機能がご利用いただけるようになります。

また、HYOK という機能が利用できるようになります。
HYOK については上述した BYOK と似ておりますが、こちらは RMS 保護 (暗号化) に  AD RMS の鍵を利用する仕組みとなります。
そのため、AD RMS サーバー（オンプレミス）も同時にご用意いただく必要がございます。
こちらも BYOK 同様にクラウド上で秘密鍵を管理できないお客様などが用いられます。
ただし、多数の制限があり、HYOK を導入されているお客様は世界的にも少ない状況となります。

上述の内容を以下のファイルにもまとめておりますので、必要に応じてダウンロードし、ご確認、ご活用ください。

• AIP機能比較表
• AIP利用方法

 
なお、本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。
何卒ご留意いただけますようお願い申し上げます。