In December I discussed a major change in the TimerJobHistory table maintenance introduced in November 2017 CU.

Historically SharePoint 2013 preserved the timerjob history for all timerjobs which ran in the last 7 days. Starting with November 2017 CU for SharePoint 2013 (build 15.0.4981.1002), the maintenance of the [dbo].[TimerJobHistory] table has been updated in a way that it will never keep more than 10,000 job records.

Several customers provided feedback to us that the new maintenance strategy caused problems in larger farms with long running timerjobs. For these customers the hard coded number of 10,000 records prevented them from seeing if the long running timerjobs succeeded or not, as they were purged from the table at the moment the timerjob finished.

To solve this problem April 2018 CU partially reverted the change in the TimerJobHistory table maintenance back to time based trimming rather than trimming on a fixed number of records. Starting with April 2018 CU the timerjob history for all timerjobs is preserved for 3 days. This is in line to the maintenance strategy used on SharePoint Server 2016.

This also means that it is again important that the Delete Job History job runs successful on a regular basis.

本記事は、Microsoft Secure のブログ “How artificial intelligence stopped an Emotet outbreak” (2018 年 2 月 14 日 米国時間公開) を翻訳したものです。

2 月 3 日午前 12 時 46 分 (現地時間)、ノースカロライナ州に住む Windows 7 Pro のお客様が Trojan:Win32/Emotet (英語情報) と呼ばれる新手のマルウェア キャンペーンの攻撃の最初の被害者となりました。その後 30 分の間に 1,000 人以上に攻撃が仕掛けられましたが、Windows Defender AV の瞬時の自動保護により、すべてのお客様が被害を免れました。

この新しい攻撃を発見し、初期段階でブロックすることができたのは、クライアントとクラウドの両方に備えられた機械学習 (ML) モデルを使用した多層構造の機械学習 (英語情報) のおかげです。Windows Defender AV では、人工知能を活用して日々無数のマルウェアの拡散を瞬時に阻止しています。このブログ記事では、クライアントとクラウドの ML モデルを相互に活用して、新手のマルウェアを検出するしくみを詳しくご紹介します。

図 1. Windows Defender AV の多層構造の検出モデル

クライアント機械学習モデル

機械学習保護の 1 つ目の層は、コンピューターのローカル上で実行される Windows Defender AV クライアントに直接組み込まれた複数の小規模 ML モデルです。マルウェア作成者が頻繁に悪用する JavaScript、Visual Basic Script、Office マクロといった種類のファイル形式に特化したものに加えて、挙動検出や Portable Executable (PE) ファイル (.exe と .dll) の検出を目的としたモデルもあります。

2 月 3 日に発生した Emotet (英語情報) の検出には、PE の勾配ブースティング ツリー アンサンブル モデルが使用されました。このモデルでは、ファイルのエミュレート時のアセンブリ オペコードのシーケンスの特性付けに基づいてファイルを分類し、実行をシミュレーションしてファイルの動きを確認します。

図 2. エミュレートされた実行オペコード機械学習モデルに基づき、クライアント ML モデルが Emotet を悪意のあるファイルに分類

ツリー アンサンブルのトレーニングには、高性能勾配ブースティングに使われるマイクロソフトのオープンソース フレームワークの LightGBM (英語情報) を使用しています。

図 3a. LightGBM を使用したトレーニングにより、Emotet のエミュレーション挙動の悪意性を発見したクライアント ML モデルの図。20 のデシジョン ツリーを組み合わせて、エミュレートされたファイルの挙動シーケンスに悪意があるかどうかを分類

図 3b. 図 3a の最初のデシジョン ツリーの詳細。各判定は、異なる特性の値に基づいて行われる。右下が緑のものは重み付けされた判定結果がクリーンであることを示し、赤いものはマルウェアであることを示す

クライアント ベースの機械学習モデルによって悪意性が高いと示された場合、豊富な特性ベクトルを使用してコンテンツを説明します。特性ベクトルには以下のような種類があります。

• エミュレーション中の挙動 (API 呼び出しや実行されたコードなど)
•  類似性のファジー ハッシュ
• ML モデルでの使用に最適化されたコンテンツ説明フラグのベクトル
• 研究者が作成した属性 (難読化に使用される Packer テクノロジなど)
• ファイル名
• ファイル サイズ
• エントロピー レベル
• ファイル属性 (セクション数など)
• 静的コンテンツやエミュレートされたコンテンツの部分ファイル ハッシュ

上記の特性に基づいて形成されたシグナルを受信した Windows Defender AV のクラウド保護サービスは、リアルタイムで幅広い複雑なモデルを実行して、悪意の有無を瞬時に分類します。

リアルタイムのクラウド機械学習モデル

Windows Defender AV のクラウド ベースのリアルタイム分類器は、大量のメモリ、ディスク領域、コンピューティング リソースを使用する強力で複雑な ML モデルです。また、Microsoft Intelligent Security Graph によるグローバルなファイル情報とマイクロソフトの評価を活用してシグナルを分類します。このような複雑なモデルの場合、クラウドで実行するいくつかのメリットがあります。第 1 に、自身のコンピューターの貴重なリソースを使用する必要がなく、第 2 に、Microsoft Intelligent Security Graph のグローバルな情報と評価情報を考慮したうえで、より適切な判断を下すことができます。第 3 に、クラウド ベースのモデルの方が、サイバー犯罪者のすり抜けが難しいとされています。ローカル クライアントでは、攻撃者は気づかれずに防御モデルのテストを行うことができます。一方で、クラウドベースの防御策をテストするには、攻撃者がマイクロソフトのクラウド サービスと通信しなければならないため、簡単に発見することができます。

Windows Defender AV クライアントから 1 日に数十億件のクエリを受け取ってシグナルを分類しているクラウド保護サービスでは、1 日に数百万ものマルウェアをブロックし、数億人ものお客様を保護することが可能です。現在、Windows Defender AV のクラウド保護サービスでは、約 30 の強力なモデルが並列で実行されています。それぞれのモデルには数百万の特性が組み込まれており、その大半が毎日更新されて、急速に変化する脅威に適応しています。すべての分類器を組み合わせることで、幅広い分類が可能になり、コンピューターでスキャンされているコンテンツの有用な情報が利用できるようになります。

クラウド ML モデルの分類と、アンサンブル ML 分類器、評価ベースのルール、許可リストのルール、Microsoft Intelligent Security Graph のデータなどを組み合わせて、各シグナルを最終的に判定します。そして、クラウド保護サービスは Windows Defender クライアントに対して、1 秒もかからずに悪意の有無の判定結果を伝えます。

図 4. Windows Defender AV のクラウド保護サービスのワークフロー

Emotet の事例では、お客様からのクエリを最も多く受信したのは、最初の攻撃が始まった北米リージョンのクラウド ML サーバーの 1 つでした。9 つ以上のクラウド ベースのリアルタイム ML 分類器によって、そのファイルがマルウェアであると適切に識別されました。シグナルを受けたクラウド保護サービスは、Trojan:Win32/Fuerboos.C!cl (英語情報) と Trojan:Win32/Fuery.A!cl (英語情報) という 2 つの ML ベースの脅威の情報に基づいて、Windows Defender AV クライアントに攻撃をブロックするように指示しました。

この自動プロセスにより、お客様をリアルタイムで Emotet の感染から保護することに成功しました。しかし、Windows Defender AV の人工知能の能力はこれだけにとどまりません。

ファイルの内容全体のディープ ラーニング

Windows Defender AV のサンプル自動送信機能は、最初の攻撃から 1 分以内に、マルウェア ファイルのコピーをマイクロソフトのバックエンド システムに送信しました。ディープ ラーニング ML モデルでファイルの内容とデトネーション中の挙動に基づいてファイルを瞬時に分析した結果、ディープ ニューラル ネットワーク モデルによって、このファイルがバンキング型トロイの木馬のファミリ、Trojan:Win32/Emotet の亜種であると識別されました。

ML 分類器によってこの初見のマルウェアを確実にブロックしただけでなく、ディープ ラーニング モデルによって脅威を適切なマルウェア ファミリに関連付けることができました。攻撃を回避できたお客様は、この情報からもしマルウェアに感染していた場合にはどのような影響があったかを確認することができます。

さらに、ディープ ラーニング モデルはさらなる保護層の役割も果たします。比較的まれなケースですが、リアルタイムの分類器がファイルに関する最終的な判定を下すことができない場合でも、数分あればディープ ラーニング モデルで判定することが可能です。たとえば、Bad Rabbit というランサムウェアが拡散したときには、最初の攻撃からわずか 14 分後に Windows Defender AV がお客様を保護しました (英語情報)。

最新型の脅威に対するインテリジェントなリアルタイム保護機能

機械学習と AI は Windows Defender AV (英語情報) の最先端のリアルタイム保護機能に欠かせないテクノロジです。これらテクノロジは、Microsoft Intelligent Security Graph の脅威ランドスケープに対する比類ない知見と世界トップ クラスの Windows Defender エキスパートや研究者の力によりマイクロソフトのセキュリティ製品を迅速に進化させ、あらゆる種類の攻撃シナリオからの幅広い防御を実現します。

Windows Defender AV では、クラウド提供の保護 (英語情報) が既定で有効になっています。実行されていることを確認するには、Windows の [設定]、[更新とセキュリティ]、[Windows Defender] の順に選択します。[Windows Defender セキュリティ センターを開きます] をクリックし、[ウイルスと脅威の防止]、[ウイルスと脅威の防止の設定] の順に選択し、[クラウド提供の保護] と [サンプルの自動送信] の両方がオンになっていることを確認します。

エンタープライズ環境では、グループ ポリシー、System Center Configuration Manager、PowerShell コマンドレット、Windows Management Instruction (WMI)、Microsoft Intune、Windows Defender Security Center アプリを使用して、Windows Defender AV のクラウド保護サービスを管理 (英語情報) することができます。

Windows Defender Advanced Threat Protection (Windows Defender ATP) には Windows Defender AV、Windows Defender Exploit Guard、Windows Defender Application Guard の保護機能が統合されており、シームレスなセキュリティ管理エクスペリエンスを提供します。

Windows Defender ATP により組織が高度な攻撃を検出、調査、対応する仕組みを検証するには、無償の試用版をお試しください。

Windows Defender AV のインテリジェントなリアルタイム防御策は、幅広い脅威からの保護を可能にする Windows 10 の次世代セキュリティ テクノロジです。注目すべきは、Windows 10 S がこのようなマルウェア攻撃の影響を受けないという点です。Windows 10 S は、Microsoft ストアで提供されるアプリのみを実行するため、Emotet などの脅威が実行されることがありません。Windows 10 S の詳細については、こちらのページをご確認ください。Windows 10 で利用可能なすべてのセキュリティ テクノロジは、こちらのブログ記事をご覧ください。

Geoff McDonald (Windows Defender Research)
協力: Randy Treit、Allan Sepillo

本記事は、Microsoft Secure のブログ “Behavior monitoring combined with machine learning spoils a massive Dofoil coin mining campaign” (2018 年 3 月 7 日 米国時間公開) を翻訳したものです。

更新情報: この攻撃についてさらに分析した結果、ピアツーピア (P2P) アプリケーションの更新が汚染されていたことがわかりました。詳細については、汚染されたピアツーピアのアプリにより Doflil コイン マイニングの拡散が開始 (英語情報) をご覧ください。企業ネットワークで Dofoil を検出および対応するには、Windows Defender ATP でDofoil を追い詰めるをご覧ください。

3 月 6 日の正午 (太平洋標準時) ごろ、Windows Defender ウイルス対策によって、高度なクロスプロセス インジェクション、永続化メカニズム、回避などの巧妙な手法を駆使した 8 万件以上のトロイの木馬のインスタンスがブロックされました。このトロイの木馬は、コイン マイニング (仮想通貨採掘) (英語情報) ペイロードが仕組まれた「Dofoil (別名 Smoke Loader)」の新亜種で、挙動ベースのシグナルとクラウドを使用した機械学習モデルによってこの新しい感染の試みが検出されました。最初の検出から 12 時間で 40 万件以上のインスタンスが発生しており、世界中の遭遇のうち 73% はロシア、18% はトルコ、4% はウクライナで検出されています。

図 1. Dofoil 攻撃コンポーネントの地理的分布

Windows Defender AV はまず、挙動監視機能で攻撃の異常な永続化メカニズムにフラグを付け、挙動ベースのシグナルを即座にマイクロソフトのクラウド保護サービスに送信しました。

1. クラウド上の複数のメタデータベースの機械学習モデルは、シグナルを受信した数ミリ秒以内に、この初見の脅威のブロックを開始しました。
2.  数秒後には、サンプル ベースおよびデトネーション ベースの機械学習モデルでも、このシグナルの悪意性を分類し、数分後には、デトネーションベースのモデルで追加の確認が加えられました。
3.  数分以内に、異常検出アラートを通じて、新手のマルウェアの感染拡大の可能性をマイクロソフトに通知しました。
4. マイクロソフトの対応チームで分析を行い、この新しい脅威の分類名を適切なマルウェア ファミリに更新しました。これにより、初期の攻撃をブロックした際に Fuery、Fuerboos、Cloxer、Azden といった機械学習名で表示されていた情報は、Dofoil または Coinminer という正式なファミリ名で表示されるようになりました。

Windows Defender AV または Microsoft Security Essentials を実行している Windows 10、Windows 8.1、Windows 7 ユーザーはいずれも、この最新のマルウェアから保護されています。

図 2. Windows Defender AV の多層化された機械学習による防御

Windows Defender AV の人工知能と挙動ベースの検出は、マイクロソフトの防御システムの中核を成すテクノロジです。今回の攻撃に対する AI ベースの先制的な保護は、機械学習の多層防御が先月 Emotet の拡散を阻止したしくみと同様のものです。

コード インジェクションとコイン マイニング

Dofoil は、攻撃にコイン マイニングを組み込んだ最新のマルウェア ファミリです。ビットコインなどの仮想通貨の価値が上昇している今、攻撃にコイン マイニング コンポーネントを組み込もうとするマルウェア運用者が増えています。たとえば、エクスプロイト キットにランサムウェアの代わりにコイン マイニング マルウェアを組み込んだり、偽のテクニカル サポート サイトにコイン マイニング スクリプトを追加したり、バンキング型トロイの木馬ファミリにコイン マイニングの挙動を追加したりしています。

3 月 6 日に検出された Dofoil 攻撃の発端は、explorer.exe 上でプロセス ハロウイング (英語情報) を実行するトロイの木馬でした。プロセス ハロウイングとは、正規のプロセス (このケースでは C:windowssyswow64explorer.exe) の新しいインスタンスを作成し、正常なコードをマルウェアに置き換えるコード インジェクションの手法です。

図 3. Windows Defender ATP で検出されたプロセス ハロウイング (SHA-256: d191ee5b20ec95fe65d6708cbb01a6ce72374b309c9bfb7462206a0c7e039f4d、Windows Defender AV の検出名: TrojanDownloader:Win32/Dofoil.AB (英語情報))

その後、ハロウイングされた explorer.exe プロセスは、2 つ目の悪意のあるインスタンスを起動します。このインスタンスは、正規の Windows バイナリ wuauclt.exe を偽装したコイン マイニング マルウェアを投下して実行します。

図 4. Windows Defender ATP が検出したコイン マイニング マルウェア (SHA-256: 2b83c69cf32c5f8f43ec2895ec9ac730bf73e1b2f37e44a3cf8ce814fb51f120、Windows Defender AV の検出名: Trojan:Win32/CoinMiner.D (英語情報))

正規の Windows バイナリ ファイル名を使用しているものの、実行元が適切な場所ではなく、コマンドラインも正規のバイナリと比べて変則的で、さらに、このバイナリからのネットワーク トラフィックも不審であることがわかります。

図 5. Windows Defender ATP のアラート プロセス ツリーに表示された変則的な IP 通信

図 6. Windows Defender ATP に表示された不審なネットワーク アクティビティ

図 7. Windows Defender ATP のアラート プロセス ツリーに表示された、ハロウイングされた explorer.exe プロセスによる不審な接続

Dofoil はカスタマイズされたマイニング アプリケーションを使用しています。コードの内容から、このコイン マイニング マルウェアは、複数種類の仮想通貨を採掘する NiceHash をサポートしていることがわかります。分析したサンプルは、Electroneum コインを採掘するものでした。

永続化

コイン マイニング マルウェアでは、永続化が重要とされています。この種のマルウェアは、さまざまな手法で長期間検出を免れながら、盗んだコンピューター リソースを使用してコインを採掘します。

Dofoil の場合は、身を潜めるためにレジストリを書き換えます。ハロウイングされた explorer.exe プロセスが、AppDataRoaming フォルダーに元のマルウェアのコピーを作成し、ditereah.exe という名前に変更します。次に、レジストリ キーを作成するか、既存のレジストリ キーを変更して、新たに作成したマルウェアのコピーを指定します。分析したサンプルでは、このマルウェアによって OneDrive の Run キーが変更されていました。

図 8. Windows Defender ATP のアラート プロセス ツリーに表示された新しいマルウェア プロセスの作成 (SHA-256: d191ee5b20ec95fe65d6708cbb01a6ce72374b309c9bfb7462206a0c7e039f4d) とレジストリの変更

コマンド アンド コントロール サーバーとの通信

Dofoil は、持続性のあるダウンローダー型のトロイの木馬ファミリであり、コマンド アンド コントロール (C&C) サーバーに接続して、マルウェアをダウンロード、インストールするためのコマンドをリッスンします。3 月 6 日の攻撃では、Dofoil の C&C 通信には Namecoin (英語情報) の分散型ネットワーク インフラストラクチャが使用されました。

ハロウイングされた explorer.exe プロセスは、Temp フォルダーに別のバイナリ D1C6.tmp.exe (SHA-256: 5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c) を書き込んで実行します。その後、D1C6.tmp.exe は lyk.exe という名前の自身のコピーを投下して実行します。lyk.exe が実行されると、Namecoin ネットワークの DNS プロキシ サーバーとして機能する IP アドレスに接続し、Namecoin インフラストラクチャ内の C&C サーバー vinik.bit への接続を試みます。C&C サーバーからの指示により、特定の IP アドレスへの接続または切断、特定の URL からのファイルのダウンロードとそのファイルの実行または終了、一定期間のスリープのいずれかをマルウェアが実行します。

図 9. Windows Defender ATP のアラート プロセス ツリーに表示された一時ファイル D1C6.tmp.exe の作成 (SHA-256: 5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c)

図 10. Windows Defender ATP のアラート プロセス ツリーに表示された lyk.exe による IP アドレスへの接続

Windows 10 の保護機能

仮想通貨の価値上昇に伴い、ネットワークに潜伏してコイン マイニングを実行するサイバー犯罪者グループの攻撃が増えています。

Windows Defender AV (英語情報) の多層構造のセキュリティ アプローチでは、挙動ベースの検出アルゴリズム、ジェネリック、ヒューリスティック、クライアントとクラウドの両方の機械学習モデルを使用して、新たな脅威やマルウェアの大量感染からリアルタイムで保護します。

上記の図のように、Windows Defender Advanced Threat Protection (Windows Defender ATP) は、インストール、コード インジェクション、永続化メカニズム、コイン マイニング アクティビティといった悪意のある挙動にフラグを付けます。セキュリティ運用チームは、Windows Defender ATP の豊富な検出ライブラリにより、ネットワーク内の異常なアクティビティを検出して対応することができます。Windows Defender ATP には、Windows Defender AV、Windows Defender Exploit Guard、Windows Defender Application Guard の保護機能も統合されており、シームレスなセキュリティ管理エクスペリエンスを提供します。

Windows Defender ATP により組織が高度な攻撃を検出、調査、対応する仕組みを検証するには、無償の試用版をお試しください。

Windows 10 S は、コイン マイニング マルウェアなどの脅威に対する保護機能を備えた、特別構成の Windows 10 です。実行可能なアプリが Microsoft ストアで提供されるものに限定されており、既定のブラウザーとして Microsoft Edge を使用するため、セキュリティはすべてマイクロソフトで検証済みです。

Windows Defender Researc

こんにちは。Azure サポートチームの佐藤です。
仮想マシンのブート診断 (起動の診断) を有効化した際、収集されるログは任意のストレージ アカウントに保存されますが、
この診断ログを保存するためのストレージ アカウントを削除してしまうと、仮想マシンが起動できなくなる場合があります。

そこで今回は、診断用のストレージ アカウントを削除した場合に仮想マシンが起動できなくなる事象の原因と対処策についてご紹介します。

本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

仮想マシンのブート診断 (起動の診断) とは

Azure 仮想マシンでは、ブート診断 (起動の診断) という機能を有効化することで、仮想マシン起動時のスクリーンショットを取得し、「仮想マシンが OS レベルで正常に起動しているか否か」を確認することができます。
ブート診断にて取得されたスクリーンショットは、機能を有効化する際に指定可能な任意のストレージ アカウントに保持されます。

また、ブート診断は仮想マシンの新規作成時に機能の有効・無効を切り替えることができますが、既定では「有効」の状態で仮想マシンが作成されます。
このとき、スクリーンショットを保存するためのストレージ アカウントも新規に作成され、既定の状態では "<Resource Group Name>diag***" のように命名されます。 (以下の例では "testgroup01diag345")
新規に作成されるストレージ アカウント名を変更することや、保存先として既存のストレージ アカウントを指定することも可能です。

診断用ストレージ アカウントが削除された仮想マシンが起動できなくなる原因

ブート診断が有効化されている仮想マシンでは、仮想マシンの起動時に取得したスクリーンショットを指定されたストレージ アカウントに保存します。
保存先として指定しているストレージ アカウントを削除してしまうと、起動時に取得したスクリーンショットの保存先 (ストレージ アカウント) を検出することができず、仮想マシンの起動処理が正常に完了しません。
このため、診断用ストレージ アカウントを削除したことにより、以下のように仮想マシンの起動に失敗する事象が発生します。

[失敗] をクリックするとエラーの詳細を確認することができます。

対処策

仮想マシンの起動が失敗する原因は、「仮想マシン起動時に、スクリーンショットの保存先として指定したストレージ アカウントを検出できないため」なので、削除してしまったものと同一名のストレージ アカウントを再作成し改めてブート診断機能を設定することで、仮想マシンの起動が可能です。
また、特にブート診断を利用する必要がないということであれば、機能自体を無効化していただいても仮想マシンを起動することができます。
手順は次の通りです。

1. Azure ポータルにて対象の仮想マシンを選択します。
2. 「サポート + トラブルシューティング」ブレードより [ブート診断] を選択し、画面上部 [設定] をクリックします。

3. 状態を [オフ] に切り替え、画面上部 [保存] をクリックします。
ブート診断機能が不要な場合、手順 4 以降は実施せず、無効化が完了したタイミングで仮想マシンの起動をお試しください。

4. 左ペインより [ストレージ アカウント] を選択し、画面上部 [+追加] をクリックします。
※メニューが表示されていない場合には、上部 [すべてのサービス] を展開し、サービスを選択ください。

5. 削除したストレージ アカウントと同一名のストレージ アカウントを作成します。ストレージ アカウント名は、起動に失敗した際のエラーメッセージにも記載されます。
また、ストレージ アカウントは、仮想マシンと同一のリージョンに作成ください。

6. 手順 3 までと同様に、対象仮想マシンのブート診断の設定画面まで進み、[オン] を選択します。
以下のように、[ストレージ アカウント] の箇所では再作成したストレージ アカウントを選択し、[起動の診断] のチェックボックスにチェックを入れます。
その後、画面上部 [保存] をクリックしてください。

以上の手順で、診断用ストレージ アカウントの再作成と、ブート診断機能の再設定が完了します。
「意図せず診断用ストレージ アカウントを削除してしまい、仮想マシンが起動できなくなった」という場合には、こちらの手順をご参考いただき、仮想マシンの起動をお試しください。

Hello All,

As you start to work with Search you will notice that it’s architecture has not been changed dramatically and your lessons learned in SharePoint 2013 should be able to help you.

Moving parts in Search

1. Crawl Component

To retrieve information, the crawl component connects to the content sources by invoking the appropriate indexing connector or protocol handler. After retrieving the content, the crawl component passes crawled items to the content processing component.

For more information about crawling content sources, see Plan crawling and federation in SharePoint Server.

2. Content processing component

The component transforms crawled items into artifacts that are included in the search index. The content processing component also writes information about links and URLs to the link database.

For more information about content processing, see Plan crawling and federation in SharePoint Server.

3. Analytics processing component

The analytics processing component performs two types of analyses: search analytics and usage analytics.

The results from the analyses are added to the items in the search index. In addition, results from usage analytics are stored in the analytics reporting database.

For more information, see Overview of analytics processing in SharePoint Server.

4. Index component

The search index can be divided into discrete portions, called index partitions. The search index is the aggregation of all index partitions. Each index partition holds one or more index replicas that contain the same information.

The index component:

• Receives processed items from the content processing component and writes those items to an index file. Index files are stored on a disk in the server that hosts the index component.
• Receives queries from the query processing component and returns result sets.

For more information about the search schema and the search index, see Overview of the search schema in SharePoint Server.

5. Query processing component

The query component analyzes and processes queries and results.

For more information, see Plan to transform queries and order results in SharePoint Server.

6. Search administration component

The search administration component runs the system processes for search.

7. Crawl database

The crawl database stores tracking information and historical information about crawled items.

8. Link database

The link database stores information extracted by the content processing component. In addition, it stores information about search clicks; the number of times people click on a search result from the search result page. This information is stored unprocessed, to be analyzed by the analytics processing component.

9. Analytics reporting database

The analytics reporting database stores the results of usage analytics. In addition, it stores statistics information from the analyses. SharePoint Server uses this information to create Excel reports that show different statistics.

10. Search administration database

The search administration database stores search configuration data, such as the topology, crawl rules, query rules, and the mappings between crawled and managed properties. It also stores the access control list (ACL) for the crawl component.

Min. Requirements

1. Search Servers
   1. Index Component 80GB System Drive, 500GB Space for index files, 32 GB Ram, 8 Cores
   2. Analytics Component 80GB System drive, 300GB Space for processing of data before writing to DB, 8GB RAM, 8 Cores
   3. Other components 80GB System Drive, 8GB RAM, 8 Cores

NOTE: If you combine any of these components (Analytics, Crawl, Content Processing, Query Processing, or Search Admin) you need to add an additional 8GB Ram for each component ie If you have 3 components that server needs 24GB Ram

1. Database Server 80 GB System Drive, 8-16GB RAM, 4-8 Cores

Architecture considerations

Based on the expectation of having over 20 million items, and high availability across all components I would recommend the following base architecture

Search Server 1 Query Processing component, Index Component (Partition 0)

Search Server 2 Index Component (Partition 0)

Search Server 3 Query Processing, Index Component (Partition 1)

Search Server 4 Index Component (Partition 1)

Search Server 5 Analytics Component, Content Processing Component, Crawl Component, Admin Component

Search Server 6 Analytics Component, Content Processing Component, Crawl Component, Admin Component

To improve Full crawl time and results – Add more crawl databases and content processing components for result freshness, use the Crawl health report to determine bottlenecks if there are any.

To improve Query latency – Add more index replicas so that the query load is distributed.  Use the Query health report to determine bottlenecks if there are any.

To improve Query latency and Throughput – Split the index into multiple partitions. Use the Query health report to determine bottlenecks if there are any.

For redundant crawling and query processing, it is not necessary to have a redundant analytics processing component. However, if the non-redundant analytics processing component fails, the search results will not have optimal relevance until the failure is recovered.

Best Practices for End Users

1. Use Metadata often, make sure data is consistent across Site Collections
2. Organize data in hierarchies that naturally flow together and use natural language, the search engine performs linguistic analyze of url and file names to improve ranking
3. Shallow/Simple data structure

Pax

This week the Public Update (PU) for Project Server 2013 and 2016 were released for April 2018 . Client updates were released on April 3rd; server updates on April 10th. Typically the client updates release on the first Tuesday of the month and server on the second Tuesday release schedule.

There was a Project Server 2010 Cumulative update package released this month but it did not contain any Project updates - just the SharePoint ones. Mainstream support for Project and Project Server 2010 ended October 13, 2015 - see https://support.microsoft.com/en-us/lifecycle. An SP1 patched 2010 system (with no SP2) is no longer supported - see the Lifecycle site for more information - http://support.microsoft.com/lifecycle/search?sort=PN&alpha=project+2010&Filter=FilterNO

We are now delivering as Public Updates, although Server fixes are shipped just via the Download Center and not via Microsoft Update (Unless there is a security element or a fix deemed essential - this month both SharePoint Server 2016 and 2013 fixes have security fixes - so some may have come down via the update center). These are still all cumulative and include fixes released in all previous updates since the last baseline (Initial release for 2016 and SP1 for 2013).

A note about Click-to-Run (sometimes abbreviated C2R) versions of Project for Office 365. The updates for this version are not included in this blog. For some information about Click-to-Run versions, please see the following site for version numbers and some fix information: https://technet.microsoft.com/office/mt465751. We may have a future blog with additional information about Click-to-Run update channels and methods.

Also a note for users of the Project client connecting to Project Online - see https://blogs.technet.microsoft.com/projectsupport/2016/12/15/using-project-online-time-to-be-sure-you-upgrade-the-client-software/-  you will have needed a '2016' level client to connect starting since the end of June 2017.

Feel free to open a support case if you have any questions around this or need assistance getting these patches deployed.

We should be back to 'normal' install times now (I patched both my 2013 and 2016 systems in a couple of hours) - but leaving this comment here just in case... One point to note is the installation of the Project Server 2016 package (SharePoint Server) for September 2016 and beyond can take longer to install than previous 2016 updates, on my slow server it took several hours, so you should ensure you test installation in a similar environment to production to ensure you allow enough downtime.

The 2013 PU releases also have a real prerequisite of the appropriate Service Pack 1 (SP1), and links for SP1 are given below. SP1 is enforced in this release, so you will find out (as I did) if you really do have SP1 for all your installed components and language packs! This also means RTM is no longer supported! See http://blogs.technet.com/b/stefan_gossner/archive/2015/04/15/common-issue-april-2015-fixes-for-sharepoint-2013-cannot-be-installed-on-sharepoint-2013-sp1-slipstream-builds.aspx too which describes an issue you might see if you don't have the 'right' SP1. Slipstream would work with the original SP1 - but the updates require the re-released SP1. Since the May PU this shouldn't be an issue - but including here just in case.

Another important point to add here is that there was in early 2013 running the SharePoint Configuration Wizard on a server with Project Server 2013 installed -this is fixed by applying the April 2013 or later- so a good practice would be to load SP1, then the current PU and then run the configuration wizard (if you didn't already load the April 2013 through June 2014 CU).

Project and Project Server 2016

An overview of all the Office 2016 releases for April 2018 can be found here -

https://support.microsoft.com/en-us/help/4098622/april-2018-updates-for-microsoft-office - April 2018 updates for Microsoft Office

Project Server 2016

With the 2016 release, we just have a single patch (usually this single patch comes in two parts... a wssloc and sts2016 part - however this month we only have the sts2016 part) - as we have also the single msi for installation of SharePoint Server 2016 (Project Server still needs licensing separately though). Both parts need installing before the configuration wizard is executed. The sts2016 part of the patch also contains security fixes so is released via Microsoft Update, the Update catalog as well as the download center.

Description of the security update for SharePoint Server 2016: April 10, 2018- Includes Project fixes, like the roll-up patch in Project Server 2013.

https://support.microsoft.com/en-us/help/4018336/description-of-the-security-update-for-sps-2016

April 10, 2018, update for SharePoint Server 2016 (KB40188340)- Can include Project fixes, like the roll-up patch in Project Server 2013

https://support.microsoft.com/en-us/help/4018340/april-10-2018-update-for-sharepoint-enterprise-server-2016-kb4018340

There is a database schema update this month - it changes to 16.0.4678.1001. Remember, Project Server 2016 data is in the content database. The version number 16.0.4678.1001 can be used to control the connecting client to the April 2018 level. For reference - the RTM build number seen for the DB schema would be 16.0.4327.1000.

Project 2016 Client Package:

April 3rd, 2018, update for Project 2016 (KB4018320)

https://support.microsoft.com/en-us/help/4018320/april-3-2018-update-for-project-2016-kb4018320

The version of Project Professional 2016 will be updated to 16.0.4678.1000 in the properties for WinProj.exe. In 2016 we don't do a good job of displaying the version in File, Account, About Project - we only display the MSO version and not the specific Project version (You can confirm this by looking at the version of winproj.exe - in (default for 32 bit) C:Program Files (x86)Microsoft OfficeOffice16)

If you have Click to Run and using Project Pro for Office 365 at the '16' level, then your version will depend on which update frequency you have set. Take a look at https://blogs.office.com/2016/02/09/deferred-channel-build-now-available-for-the-office-365-client-apps/ for a few changes in this area - Current Branch for Business is now called Deferred Channel. We are aware that we don't appear to expose the full change details for Project and are looking into it - you should start seeing more here soon.

Project and Project Server 2013

An overview of all the Office 2013 releases for April 2018 can be found here - https://support.microsoft.com/en-us/help/4098622/april-2018-updates-for-microsoft-office - April 2018, updates for Microsoft Office. This include multiple fixes, so Microsoft strongly recommends that you test this in a test environment based on your production environment before putting this fix live in production. You can read about the fixes included in the Project and Project Server April PUs from the following articles:

Project Server 2013 Server Rollup Package

April 10, 2018, cumulative update for Project Server 2013 (KB4018346)

https://support.microsoft.com/en-us/help/4018346/april-10-2018-cumulative-update-for-project-server-2013-kb4018346

Project Server 2013 Individual Project Package - (cumulative, but only the Project Server fixes):

Description of the security update for Project Server 2013: April 10, 2018 (KB4018352)

https://support.microsoft.com/en-us/help/4018352/april-10-2018-update-for-project-server-2013-kb4018352

There is no database schema update this month - and the dbo.Versions table should show 15.0.5011.1000 after applying the April 2018 PU. The version number 15.0.5011.1000 can be used to control the connecting client to the April 2018 PU level. Project Professional Versions (Project Server 2013 settings)

SP1 for Project Server 2013 can be found here - https://support.microsoft.com/help/2880553

Project 2013 Client Package:

April 3, 2018, update for Project 2013 (KB4018335)

https://support.microsoft.com/en-us/help/4018335/april-3-2018-update-for-project-2013-kb4018335

The client version number will be 15.0.5023.1000. The server scheduling engine is no longer blocked by version control since the November 2014 CU on the server, so providing you have November 2014 CU or above on the server you can use the 15.0.5023.1000 value to control connection of the April 2018 PU patched client.

If you are running a server CU earlier than November 2014 CU, then follow the suggested version number for the server patch level you are running. See https://blogs.technet.microsoft.com/projectsupport/2013/09/16/project-server-2013-controlling-the-version-of-connecting-clientsand-pwa-edits/ for more details. As mentioned above - the version number entered no longer controls the server side scheduling engine - so from the November 2014 CU release onward you can set a higher version to control clients without blocking the server side scheduling in the schedule web part.

SP1 for Project Professional 2013 can be found here - https://support.microsoft.com/help/2817433

Client Installation:

The instructions for installing the client patch are below.

NOTE: Microsoft strongly recommends testing within a NON-Production environment prior to rollout.

1. Download the hotfix from the link in the KB Article.
2. Extract the patch package by running the .exe file that you downloaded.
3. Run the extracted .exe file to apply the patch to your Project Professional/Standard client.

Or, from February 2015 onwards use Windows Update to download and install the patches.

Microsoft is committed to helping you continue your growth momentum and provide the best service to your customers. To assist with this, we offer multiple enablement and flexible support options aligned to your organisation's specific needs and capabilities.

This is the first of a series of blog posts that we'll share here on the UK MPN blog about partner enablement & support benefits.

Did you know there are over 800 partner-centric experts around the world ready to help you?

Simplify the onboarding experience - by helping you streamline programs, onboarding and engagement to build competency at scale and reach your full potential.

• Whether you are new to the Microsoft Partner Network or are looking to maximize your membership, Partner Frontline Support (or previously known as the Regional Service Center) offers foundational inbound partner support for general questions such as joining the Microsoft Partner Network, membership benefits and requirements, how to access technical support, using Partner Center, or setting up your business profile. Not sure who to contact at Microsoft for your questions? Start with Partner Frontline Support.
• The Cloud Enablement Desk builds relationships through one-on-one engagements for strategic partners that meet defined criteria. The Cloud Enablement Desk specialists identify business needs and connect you with valuable resources and benefits to build your MPN practice and drive towards goals.

Accelerate growth & consumption - by helping you win more deals, accelerate deployment and app development, and drive consumption through solution-designed business and technical capabilities.

• Are you ready to take the next step in building your technical capabilities to achieve more?
• Technical Presales & Deployment Services are offered through a recommended technical journey, which provides you with guidance from Microsoft partner technical consultants through interactive, remote technical webinars and personalized consultations with virtual white-boarding, architecture reviews and shadowing of real-world scenarios. If you aren't leveraging these technical benefits, you could be leaving revenue on the table.

Increase adoption & unblock use - by helping you unblock use of products and services to accelerate productive use, reduce churn and ensure customer health.

• As a qualified Cloud competency partner, Signature Cloud Support is an exclusive partner technical benefit that provides you with an elevated level of technical support for Microsoft cloud products for troubleshooting and unblocking technical issues.
• As an MPN partner, you also receive many product support incidents to resolve technical roadblocks and get answers to product related questions for on-premises, cloud, or hybrid scenarios.

Created for partners looking to grow their cloud business

With Microsoft Advanced Support for Partners, you get cloud support at an accessible price point, which helps you be a great ally to your customers and grow your business faster. The program includes valuable proactive and reactive services delivered by experienced Services Account Managers and Partner Technical Consultants.

Our most comprehensive support program

Microsoft Premier Support for Partners is the only partner support offering with complete, end-to-end managed support across the full Microsoft platform. It offers flexible solutions that help differentiate your business by enabling you to expand capabilities, collaborate more strategically with Microsoft, and empower your customers to make the most out of their Microsoft investments.

Microsoft Partner Support Offerings

Additional Support Options

In addition to the support offerings listed above, there are a variety of self-help and community support options available to partners on both Microsoft's online service portals and at partner.microsoft.com/support. Connect with Microsoft professionals and other partners to solve problems quickly at no cost through the Partner Support Community. TechNet is also available for IT professionals, and developers can access resources on MSDN. A full list of benefits available through your Microsoft Partner Network membership can be found here. Learn more about the support programs and benefits available to your business at aka.ms/partnersupport.

MPN 101 Community

• Support blog
• Partner Concierge
• Microsoft Partner Community UK Zone
• YouTube playlist

こんにちは、日本マイクロソフト Windows サポートの高谷です。

突然ですが、新規ディスクを差し込んでディスクの初期化を行う際、パーティションのスタイルを選択する必要があります。皆様は普段どちらを選ばれていますでしょうか。今回は、それぞれのスタイルの特徴と、変更する方法と最近よくいただくお問い合わせと対処策についてご紹介したいと思います。

■     MBR (マスター ブート レコード) と GPT (GUID パーティション テーブル)

.
新しいディスクを追加した際は、まずはそのディスクを初期化する必要があります。初期化の画面で、ディスクのパーティション スタイルについて MBR か GPT のどちらかを選択しなければいけません。

MBR スタイルは、古くからある 標準 BIOS パーティション テーブルを使用します。この BIOS では、利用できるディスクのサイズが 2 TB までという制限があったため、これに変わる新しいシステムとして UEFI (Unified Extensible Firmware Interface)  が考案されました。UEFIのシステムにおいて利用するパーティションが GPT  スタイルです。GPT スタイルは、 2 TB 以上のサイズを扱うことができる一方で、Windows XP などの古いシステムでは利用することができません。システム要件に応じて選択をする必要があります。

■     現在使用しているディスクのパーティション スタイルを確認する方法

.
現在使用しているディスクが、MBR と GPT のどちらのスタイルで初期化されていたか確認する方法は 2 つあります。

方法 1. [ディスクの管理] 画面から確認する

.
(1)  [ディスクの管理] を起動します。
(2)  パーティション スタイルを確認したいディスクへカーソルを合わせて右クリックします。
.......⇒MBR ディスクの場合は、[GPT ディスクへ変換] が表示されます。
.......⇒GPT ディスクの場合は、[MBR ディスクへ変換] が表示されます。

※     対象のディスクをボリュームとして利用している場合は、表示は見えますがグレーアウトしています。

方法 2. Diskpart コマンドで確認する

.
(1)  コマンド プロンプトを管理者権限で起動します。
(2)  Diskpart コマンドで Diskpart ユーティリティーを起動します。

.......>diskpart

(3)  List disk コマンドでディスク情報を表示します。

.......>list disk

.......⇒GPT の欄にアスタリスクが表示されているディスクは、GPT ディスクです。
.......⇒GPT の欄にアスタリスクが表示されていないディスクは、MBR ディスクです。

■     MBR ⇔ GPT のパーティション スタイル変更方法

.
パーティション スタイルは、ディスクの初期化の際に選択する設定です。従って、残念ながらディスクを一旦初期化しないとスタイルを変更することができません。以下に変更方法をご紹介します。

(1)  ディスク初期化の前に、データを別の場所へ避難させます。
(2)  [ディスクの管理] を起動します。
(3)  対象のディスク上の存在するボリュームで右クリックし、[ボリュームの削除] をクリックします。

(4)  削除の確認ダイアログで、[はい] を選択します。
.......※ ボリュームを削除すると、ボリューム内のデータはすべて削除されます。事前にデータを待避してから実行ください。
(5)  ボリュームの削除が完了したら、ディスク上で右クリックし、[GPT ディスクに変換] をクリックします。

もともと GPT ディスクの場合は、[MBR ディスクへ変換] をクリックします。下の図では例として、MBR ディスクを GPT ディスクへ変換する場合を示しています。

(6)  GPT へ変換した後は、再度ボリュームを作成し、待避していたデータを戻します。これで変換は完了です。

■     ディスク拡張に関してよくいただくお問い合わせ

.
仮想化やクラウドのサービスが普及してから、弊社では以下の質問を受けることが多くなってきました。

Q. よくいただくご質問

.
==========================================================================
もともと MBR スタイルでディスクを初期化して利用していたが、データが増えてきた。
パブリック クラウド上のサーバーを利用しているため、クラウドの管理コンソールから仮想ディスクの拡張を行った。

その後、ゲスト OS 側で、ボリュームを拡張しようとしたが 2 TB バイトまでしか拡張ができない。
==========================================================================
.

クラウド上の仮想サーバーの場合、必要に応じてリソースを追加できるという特徴があります。ディスクのサイズも後から拡張できるため、システムの構築時には少し小さめにディスクを構築し、後から必要なだけ拡張するというお客様はとても多いです。

構築時にディスクを MBR スタイルで初期化してしまっていると、後から 2 TB 以上のサイズにボリュームを拡張できない問題に直面します。

こういった状況の場合、弊社からご案内できる解決方法は 2 つあります。

方法 1. パーティション スタイルを GPT に変更し、2 TB 以上のボリュームを作成する。

方法 2. ディスクをダイナミック ディスクに変換し、複数ディスクにまたがるボリュームを構成する。

方法 1. は “MBR ⇔ GPT のパーティション スタイル変更方法” の項目にて説明しましたので、ここからは方法 2. のダイナミック ディスクに変換する方法についてご紹介いたします。

■     ダイナミック ディスクへ変換することによるボリューム サイズ拡張 (2 TB 以上) 方法

.
(1)  事前の準備として新規のディスクを追加して、初期化まで済ませておきます。パーティション スタイルは MBR と GPT どちらでも問題ありません。
(2)  [ディスクの管理] を起動します。
(3)  サイズを拡張したいボリュームが存在するディスクを右クリックし、[ダイナミック ディスクに変換] をクリックします。

(4)  確認のダイアログで [変換] をクリックし、変換します。
.......※ 変換が完了すると、ディスクの管理画面上で、対象のボリュームの帯の色が黄色になります。
(5)  対象のボリューム上で右クリックし、[ボリュームの拡張] を選択します。

(6)  ボリュームの拡張ウィザードが起動します。
(7)  利用可能なディスクから、事前に追加しておいたディスクを選択し、[追加] してから、[次へ] をクリックします。

(8)  [完了] をクリックし、拡張を行います。拡張の確認では、[はい] を選択します。
.......※ 新規追加したディスクも自動的にダイナミック ディスクへ変換されます。
(9)  2 本のディスクにまたがってボリュームが構成されます。ディスクの管理画面では、帯の色が紫に変わります。これで完成です。

いかがでしたでしょうか。

本ブログが少しでも皆様のお役に立てますと幸いです。

After installing March 2018 update for SharePoint 2013 you may get this error when trying to configure sync in User Profile Service Application:

Application error when access /_layouts/15/ProfileSynchronizationServiceProvisionPage.aspx, Error=AccessKey too long, cannot be more than one character. Parameter name: value at System.Web.UI.WebControls.WebControl.set_AccessKey(String value) at Microsoft.SharePoint.Portal.WebControls.InputFormButtonAtBottom.set_AccessKeyLocId(LocStringId value) at ASP._layouts_15_profilesynchronizationserviceprovisionpage_aspx.__BuildControl__control11() at ASP._layouts_15_profilesynchronizationserviceprovisionpage_aspx.__BuildControlProfileSyncProvisionSettingsForm() at ASP._layouts_15_profilesynchronizationserviceprovisionpage_aspx.__BuildControl__control4(Control __ctrl) at System.Web.UI.MasterPage.InstantiateInContentPlaceHolder(Control contentPlaceHolder, ITemplate template) at ASP._admin_admin_master.__BuildControlDeltaPlaceHolderMain() at ASP._admin_admin_master.__BuildControl__control27() at ASP._admin_admin_master.__BuildControlSPHtmlTag() at ASP._admin_admin_master.__BuildControlTree(_admin_admin_master __ctrl) at System.Web.UI.MasterPage.CreateMaster(TemplateControl owner, HttpContext context, VirtualPath masterPageFile, IDictionary contentTemplateCollection) at System.Web.UI.Page.ApplyMasterPage() at System.Web.UI.Page.PerformPreInit() at System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)

Solution: clear ASP.net temporary files, then perform IISRESET.

Couple of months ago I had had a great opportunity to be among the contributors/reviewers of this very cool white paper that talks about incident management using Azure and Office 365. Today I'm very please to let you know that you can download this paper right now!

This document helps customers to understand how to implement Incident Management for their deployments of Microsoft Azure and Microsoft Office 365. Follow the steps below to download:

1. Access the Microsoft Service Trust page and sign in with your Microsoft account.
2. Read the Microsoft Non-Disclosure Agreement for Compliance Materials, and click Agree.
3. Save the PDF.

If you land in the main page, this document will appear in the following location:

I hope you like it!

Vous ne savez pas comment vendre Windows 10 à vos responsables et vos métiers ?

Vous pensez que c'est un sujet technique qui ne pourra les intéresser ?

Détrompez-vous ! Voici une approche originale pour parler et promouvoir l'utilisation de windows 10 en entreprise

Découvrez la vie de Martine avec Windows 10 en Image

Bonne Lecture

https://www.linkedin.com/pulse/découvrez-la-vie-de-martine-avec-windows-10-en-image-alexandre-vinson

Today, we’re announcing the general availability (GA) of Windows Admin Center, formerly Project Honolulu! Since our first private preview exactly a year ago, customers are now managing over a quarter million servers with 25,000+ installations. Thank you to everyone who downloaded, tested Project Honolulu and sent us feedback!

Learn more about Windows Admin Center and try it out today!

Official announcement on Windows Server blog
Download Windows Admin Center

Applies To:

Windows Server (Semi-Annual Channel) (i.e. Windows Server 1709)

Windows Server 2016

Windows 10

Windows Server 2012 R2

Windows Server 2012

Project Honolulu has RTM’ed and it’s called “Windows Admin Center”.

For details:

Announcing Windows Admin Center: Our reimagined management experience
https://cloudblogs.microsoft.com/windowsserver/2018/04/12/announcing-windows-admin-center-our-reimagined-management-experience/

For info:

Windows Admin Center
https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/overview

Yong

Keywords:  RSAT, Microsoft Management Console (MMC), Server Manager

Greetings readers!

Following up on my last post, today I will talk about how you can take control of resources in your subscription by utilizing resources offered by Azure. Why is that important? Consider the following scenarios:

• Unplanned deployment of resources to subscriptions preventing identification, tracking, and effective automation/billing
• Deployment of resources that violate policies and regulations
• Accidental deletion of modification of critical resources that have the potential to cause widespread outages or loss of data

Whether you are a DevOps engineer, Cybersecurity analyst, CIO or CISO, you certainly do not want to stand out for the wrong reasons. Read on to find out how you can leverage Azure features to control resources in your subscriptions.

1 – Tags

A tag is an arbitrary key/value pair that can be assigned to a resource group or a particular resource. Tags are very powerful and play a key role in automation, management, and billing of Azure resources.

From an automation/management perspective, once tags have been assigned, resources can be collectively targeted.

Scenario: A group of DEV servers needs to be shut down every day at 6:00 PM.

• Add a tag with a key called "shutdown" and give it the value of "1800":

• Use automation to target the VMs based on tags:

Here are some other common use cases for tags:

• Cost Center
• Environment: Dev/UAT/Prod
• Project
• Owner: Person/Group
• Application: SCCM/Exchange/AD
• Importance: Low/Medium/Critical

From a billing perspective, it is important to know that tag is one of the fields listed by the Azure Billing API. Enterprise customers often use tags as criteria to build insightful billing reports using tools such as PowerBI and Azure Cost Management.

Scenario: A customer wants to find out how much a specific application/workload costs.

By tagging all resources (storage account, VM's, Web Apps, etc.) that belong to that particular app/workload with application information, this customer could leverage the billing report options mentioned above to effectively calculate the cost of a workload.

Read more about tags here.

2 – Azure Policies

Azure policies give customers the ability to define how resources are deployed to a subscription and can help ensure compliance requirements are met. Policies work hand in hand with RBAC, but they perform different functions, while RBAC focuses on who can manage resources, policies focus on how resources should be deployed/configured. Policies are inherited by child resources and can be assigned at the following levels: management groups, subscription, and resource group.

Scenario: A customer must abide by regulations that demand that data must reside in their country.

• Create a policy that defines allowed locations and assign it to the subscription:

• Once assigned, policies will be enforced and will prevent anyone (including subscription admins) from creating/modifying resources that would cause violations. Notice what happens when I try to create a resource in a location that violates the resource policy:

Here are some other common use cases for policies:

• Allowed virtual machine SKUs – Helps control cost by restricting VM sizes
• Enforce tag and its value – Ensures resources are always deployed with the appropriate tag for consistency/compliance purposes
• Allowed/Not allowed resource types – Allows or prevents the creation of specific resource types. Example: Define a policy that prevents the creation of network gateways to prevent administrators from potentially exposing the environment by inadvertently creating a rogue VPN connection

Some policies can be created for audit purposes only and would not enforce settings or prevent resources from being created/modified. Example: Audit VMs that do not have managed disks. Those policies can then be audited using policy compliance. For a detailed list of policy templates, check out Templates for Azure Policy.

Read more about resource policies here.

3 – Resource Locks

Resource locks is a feature that prevents resources from being deleted or modified inadvertently. Locks are inherited by child resources and can be applied at the following levels: subscription, resource group or resource. There are two types of locks:

Delete – Prevents any user from deleting resources, but still allows modifications by authorized users

ReadOnly – Prevents any user from deleting or modifying resources, but still allows authorized users to read the resource

Scenario: A customer wants to protect their domain controllers from accidental deletion.

• Place a "Delete" lock on the domain controller VM:

• Once the lock has been applied, even subscription administrators will be prevented from deleting those resources. Notice what happens when I try to delete a VM protected by a lock:

In order to modify such resources, the administrator needs to remove the lock first.

Locks should be in place to protect any critical workload, however, core infrastructure components such as domain controllers, DNS servers, network appliances, VPN gateways, etc., should definitely have locks, since the accidental deletion or modification of those resources could have a massive impact. A common practice I have seen with customers out there is the creation of a dedicated subscription for infrastructure resources with resource groups containing the critical infra components and locks applied at the RG level.

Read more about locks here.

4 – Managed Groups

This feature is currently in preview, therefore, I will only briefly mention it here as it is shaping up to be yet another important tool to have under your belt when it comes to Azure resource management.

The premise of management groups is to provide a scope level that is above subscriptions. Consider the scenario above where we created a policy to restrict the deployment of resources to a specific location. This is an easy task if you have one or few subscriptions, however, if you need to apply the same policy to dozens of subscriptions, this is where management groups come in handy. The same policy could be applied to a management group that, in turn, is inherited by multiple subscriptions, the same applies to RBACs and this will greatly simplify the management of resources across multiple subscriptions.

Read more about management groups here.

Summary

Among all the features discussed above, customers have the tools they need to make sure they have full control of the resources deployed to their subscriptions. It is important to highlight that there is not a one size fits all or best practices strategy when it comes to the use of these features, however, I consider all of them equally important in subscriptions of any size. Hopefully, the examples given here will help you make an informed decision.

1. In Microsoft Teams click on 'Your Team Site' from left pane and select General
2. Click on '+' symbol from tabs in the right pane
3. In Add a tab select 'OneNote’ icon
4. Select Browser Notebooks (and select the a notebook located in Microsoft Teams) or,
5. Paste a OneNote link (use the URL for the Notebook like https://contoso.sharepoint.com/:o:/r/sites/YourTeamSite/_layouts/15/WopiFrame.aspx?sourcedoc=%7BGUID%7D&file=SampleNotebook&action=default)

You might get the below error:

• If browse option selected then the error is "We couldn't save your tab settings. Please try again."
• If OneNote link option is selected then the error is "Only notebooks stored on SharePoint or OneDrive for Business are supported in Teams"

CAUSE:

Missing permissions on the root site.

RESOLUTION:

Add the following permission on the root site collection, https://contoso.sharepoint.com

• Open
• Use Remote Interface

We’ve released new updates for Surface Pro 4 devices. These updates include new drivers for Surface Dial Detection, Surface Digitizer Integration, Surface Touch, and Surface Touch Servicing ML which enable on-screen support for Surface Dial and resolve certain ghost/phantom touch issues.

This update is available in MSI format from the Surface Pro 4 Drivers and Firmware page at the Microsoft Download Center. Click Download to download the following files:

• SurfacePro4_Win10_15063_1801701_0.msi
• SurfacePro4_Win10_16299_1801701_1.msi

Surface Pro 4:

• Surface Dial Detection v2.0.2.0 enables on-screen support for Surface Dial.
• Surface Digitizer Integration v2.0.313.0 enables on-screen support for Surface Dial.
• Surface Touch v105.0.106.8 enables on-screen support for Surface Dial and resolves certain phantom touch issues.
• Surface Touch Servicing ML v1.0.821.0 enables on-screen support for Surface Dial and resolves certain phantom touch issues.

My colleague shared this article with me yesterday from the Microsoft Research Blog showcasing a very cool piece of technology code named Project Zanzibar. My reaction was similar to when I first saw the HP Sprout (a device I blogged about as being 'almost magical').

Have a watch of the video above to see how Project Zanzibar works, however the idea came about as follows:

“We began with a simple thought: what if we could blur the divide between the physical and digital worlds? What if you could play with toys and cards and blocks, while watching your actions come alive onscreen?” – Project Zanzibar Research Team

The physical toys on the mat are accurately replicated in the digital world.

What excites me about this project is the interface is no longer the device - it is physical objects such as toys, cards and coins however these interactions are replicated and recorded on a device as part of a story telling narrative. Project Zanzibar invites children to bring their toys into an interactive experience and watch them come alive through sound, visuals and special effects.

Therefore, this incorporates all of the benefits of  kinaesthetic playing, unlocking imagination and promoting hand-eye co-ordination whilst 'supercharging' this play with device recording and sharing at the same time. To this end, Project Zanzibar aligns closely with the Montessori Method of learning:

“The importance of multi-sensory learning is especially apparent in the Montessori method of teaching, where children use physical objects and self-directed activities for all subjects of learning. We took traditional Montessori exercises for young children and extended them with digital content and feedback using Project Zanzibar.” – the Project Zanzibar Research Team

If you're interested in learning more, read the full technical paper the team have released here.

In my previous post, I discussed using the new Attack Simulator for crafting phishing campaigns against your users.  If you haven't tried it out yet, I'd heartily recommend it.  It's more fun than a barrel of monkeys.

For this post, we're going to shift into slightly more traditional attack strategies.  Another one of the features in the new attack simulator is running a dictionary or wordlist attack against your user accounts.  While this is nothing new in the on-premises world when using tools supplied by third party vendors, this is somewhat of a new territory for us.

Setup

Like the other attacks, this one requires you to be running it from an account with multifactor access enabled.  If you haven't done so already, you'll need to configure it.  You can check out this link for our support article on configuring it from the Admin Portal, or, from a PowerShell session, run this quick chunk of code:

$auth = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
$auth.RelyingParty = "*"
$auth.State = "Enabled"
$auth.RememberDevicesNotIssuedBefore = (Get-Date)
Set-MsolUser -UserPrincipalName <youraccount@tenant.onmicrosoft.com> -StrongAuthenticationRequirements $auth

Once you've got your multifactor auth, you'll also need to make sure you've clicked the Setup Now link on the Threat Management | Attack Simulator page to activate it in your tenant:

After both of those prerequisites are met, you are ready to get cracking, both literally and figuratively.

Launching a Brute Force Dictionary Attack

Dictionary attacks (sometimes known as word list attacks) try every word in a large list of common words or passwords against a set of users.  In this example, I'm using a trimmed down word list I found on the internet.  In my testing, it looks like the service can process about 1,765 passwords (19kb file).

1. From the Threat Management | Attack Simulator page, under the Brute Force Password (Dictionary Attack) section, click the Launch Attack button.
2. Name your attack, and then click Next.
   
3. Select users to try the attack against.  In this case, I just want to test a single user with my ginormous word list.  After your users and groups have been selected, click Next.
   
4. Click Upload to browse to the dictionary or word list text file. The text file should be formatted so that it has one entry per line.  Click next after the upload has completed.
   
5. Navigate back to Threat management | Attack Simulator, and then select View Report to view the completed report.
   
6. The report page will show any compromised accounts.  Note: Only the accounts for which passwords attempts were successful are displayed; the matching password is not.
   

Crack on!

There are multiple paid support offerings for Microsoft Partners. Where can I find out more information?

Microsoft Partner Support Offerings

Microsoft is committed to helping you continue your growth momentum and provide the best service to your customers. To assist with this, we offer multiple, flexible support options aligned to your organization’s specific needs and capabilities.

Advanced Support for Partners (ASfP)

• Less than 1 hour incident response time for your most critical issues for Microsoft Azure, Microsoft Office 365, and Microsoft Dynamics 365.
• Services Account Managers to serve as your support advisors
• Proactive guidance and training so you are ready for what’s next

Premier Support for Partners (PSfP)