Hi Everyone

Just a quick note to say that update 1806 for Configuration Manager current branch is now available.  Read our announcement on the EMS blog for more information about the new features and how to get the update today.

Yvette

Microsoft Partner Solution Briefs are an ongoing series aimed at helping you, our partners, learn from one another with real-world examples. The brief provides a quick overview with context on business challenges, real examples of partner solutions, and the outcomes.

The challenge

• 10^th Magnitude has seen enormous success in leveraging its expertise in datacenter transformation while also offering the variety and flexibility customers need
• Many of their customers struggle with cost estimation and comparison when migrating
• One energy customer wanted to offer new set of applications to end customer without investing in a new datacenter, all in a few months

The solution

• 10^th Magnitude has built on their mission to perform cloud transformations using Microsoft Azure through tailoring offerings to customer needs from multiple Microsoft competencies
  • Knowledge that deep expertise in one or two areas, combined with a customer-centered perspective, leads to high demand
  • Took advantage of trainings and other events offered by Microsoft
  • Built an Azure Migration Dashboard to help customers assess migration costs
  • For energy customer, migrated 2,500 Linux virtual machines to the Microsoft Azure Cloud, meeting the customers need while also going above and beyond by providing visibility into all applications
  • Utilized Microsoft’s new alignment around open source technologies to adapt their offerings to exactly what a customer needs for their business

The results

• 200% to 250% growth year over year
• 2017 U.S. Partner of the Year winner for Hybrid Cloud and Infrastructure Platform
• 10^th Magnitude founder and CEO Alex Brown said their relationship with their customers “has continued to grow and evolve as Azure has grown and evolved”

Want to see how you can benefit your customers and grow your business like 10^th Magnitude? Read the full case study.

By Iain Greer | Intune Software Engineer

In this support tip, we share details about a common problem that customers run into when setting up or continuing to run the NDES connector. I personally ran into this and spent some time troubleshooting in my own test environment. Unfortunately, we cannot add in a useful error code since the issue detection is outside the connector itself. So below I share the symptoms, context of what’s really happening, and the resolution.

Here’s a list of symptoms you may run across:

• The NDES connector and server are running as expected and the SCEP URL works as expected on the NDES server.
• A SCEP profile is setup with the correct parameters and is tied to a Trusted Root profile correctly.
• The client receives the profile correctly from Intune, but the SCEP certificate fails to install.
  • You MAY see an error on the client but it will likely be vague and point to the SCEP certificate failed to install without a good reason.
• To troubleshoot go to https://<scepurl>/?operation=GetCACaps on the client device and you will see an SSL failure.
  • Most browsers will initially say something about the SSL cert is not trusted.
  • In “more details” you will see an error ERROR_WINHTTP_SECURE_FAILURE.
• The HTTPS certificate is valid on the CA and properly configured in the IIS settings of the NDES server
• No other errors are present on the NDES server – no IIS traffic (since the device failed to trust the SSL cert).
• The certificate chain for the SSL cert looks valid with no issues.

Here’s what is really going on:

• The certificate uploaded to the Trusted Root (TR) profile in Intune that the SCEP profile was using is different than the trusted root certificate installed on the NDES server
• The issue wasn’t with the SSL certificate, but that the client couldn’t validate the certificate chain because the TR profile it pulled down from Intune was different than the NDES SSL cert chain.
• How can this happen?
  • For me, I simply pulled a new public key trusted root cert and installed it on my NDES server, but mistakenly used the old TR in the profile.
  • Anytime you renew your CA root certificate but don’t update the TR profile in Intune,  you will run into this.

Here’s how to fix it:

• Fortunately, it’s straight forward! Have the current TR from the CA uploaded into the TR profile in Intune, target that to the user, and then make sure the SCEP profile is also pointing to that TR profile and is targeted to the same user.

Hope this will save some of you the time that it took me to troubleshoot this in my own test environment.

The Email Phishing Protection Guide is a multi-part blog series written to walk you through the setup of many security focused features you may already own in Microsoft Windows, Microsoft Office 365, and Microsoft Azure. By implementing some or all of these items, an organization will increase their security posture against phishing email attacks designed to steal user identities. This guide is written for system administrators with skills ranging from beginner to expert.

Email Phishing Protection Guide:

Introduction: Enhance Your Organization's Security Posture

Part 1: Customize the Office 365 Logon Portal

Part 2: Training Users with the Office 365 Attack Simulator

Part 3: Deploy Multi Factor Authentication (MFA)

Part 4: Deploy Windows Hello

Part 5: Define Country and Region Logon Restrictions for Office 365 and Azure Services

Part 6: Deploy Outlook Plug-in to Report Suspicious Emails

Part 7: Deploy ATP Anti-Phishing Policies

Part 8: Deploy ATP Safe Link Policies

Part 9: Deploy ATP Safe Attachment Policies

Part 10: Deploy and Enforce Smart Screen for Microsoft Edge, Microsoft Internet Explorer and Google Chrome

Part 11: Monitor Phishing and SPAM Attacks in Office 365

Part 6: Deploy Outlook Plug-in to Report Suspicious Emails

This blog series highlights and explains how to setup the many features in Microsoft Office 365 to protect your users and environment from the constant onslaught of identity email phishing attacks. This is part six of the blog series where I review an option that enables users to help protect the environment. By providing a quick and easy way for users to report SPAM and malicious phishing emails they receive and identify, your users can become your best allies in security. By using the Outlook Add-In for reporting unsolicited or malicious emails your users can help enhance the filtering capabilities of the Office 365 systems. Thus, adding strength to another security lock to keep your organization safe.

The SPAM filtration along with the many other security services in Office 365 are unmatched in the industry, offering users the best protection available. But, from time to time a message may slip through that should have been identified as malicious, SPAM, etc. and blocked. As a system administrator, the question becomes how do you enable your users to easily report these emails to the Office 365 analysis services?

This blog describes how you can publish an Outlook add-in (no cost) to the Outlook ribbon for users to simply highlight the email, classify it as Junk, SPAM, or a phishing email, and submit. It doesn't get any easier than this! I recommend this add-in be installed with Outlook to each user along with how and why to use it. By submitting emails like this for analysis, the filtration system learns about new attacks and becomes much better to protect all of us. Below are instructions about how to install the add-in on a user workstation to test with, how to administratively install it across all accounts in your Office 365 tenant, as well as how to then monitor for Junk and Phishing messages that have been submitted.

Although this blog is focused on the Outlook Add-in for reporting SPAM, other useful Add-ins should also be considered for installation such as Translator and Weather. There are hundreds of additional add-ins available for Outlook to review and choose from that may be perfect to enhance the security and productivity for your organization!

Additional information about how to submit SPAM, non-spam, and phishing scam messages for analysis are available in this Link.

Install the Microsoft Junk E-Mail Reporting Add-in for Microsoft Outlook (Single Use/Testing):

Option One: Download and Install

1. Download the Add-In from this site
2. Choose the correct version to download (32-bit or 64-bit)
3. Save the download and install it using a few quick steps in the wizard

Option Two: Install from Microsoft Office Store

1. With Microsoft Outlook open, look in the ribbon bar at the top for an option called Store in the Add-ins category.

2. Click on the Store icon. In the Search add-ins area, enter report message and press enter.
3. Locate the Report Message add-in and click Add.

4. This should take only a few seconds to install. When complete, you may click on the option to Get Started for a brief tutorial in how to use it, or click X to close this area.

Using the Outlook Add-in:

1. The new Report Message Add-in will now be visible in the Outlook ribbon bar to begin using no matter what method of installation you chose above.

2. Locate a SPAM message in your Inbox, highlight it, then click on the Report Message drop down option to select if it is Junk or a Phishing message.

3. After the Junk or Phishing classification is chosen, you will see the message below indicating that the email submission is processing.

4. Within a few seconds the email will be submitted and removed automatically from the Inbox.
5. You may receive a notice with a definition of what Phishing email is and asking you if you "want to send a copy of this message to Microsoft to help the research and improvement of email protection technologies?" Click on Report to submit.
6. To prevent the notice from appearing each time the user submits a SPAM message, the user can click the Report Message Add-in drop down option and select Options.
7. Within the Options area, the user can select to Automatically send reports that will prevent a prompt for each submission.

8. Select Save to save the changes and exit.

Deploy to all Outlook users: How to administratively deploy the Report Message Add-in to all users

1. Logon to the Office 365 Administrator portal at portal.office.com
2. Under Admin Centers, open Exchange.

3. In the Exchange Admin Center, select Organization on the left.
4. Then, choose Add-ins.
5. In the Add-ins area, you will see several pre-defined items already listed.
6. To choose a new Add-in, click the + icon.
7. Then select to Add from the Office Store

8. In the new website that was just opened, the view is focused on only Add-ins for Outlook. In the upper right, locate the Search the Office Store area. Enter Report Message and press Enter.
   
9. The Report Message app is now displayed. Click on it to view the details.
   

10. In the details of the Add-in, select Add to include it as an Administratively assigned Add-in for your tenant users.

11. Confirm that you want to Add the Add-in by clicking Yes on the notice.
12. Once you receive the message that You've added an Add-in for Outlook, open the tab with the Exchange Admin Add-ins area displayed you were just on.
13. Select the Refresh icon (highlighted below) to verify that the Report Message add-in is now displayed.

14. You will now see that Report Message add-in is listed. But wait! It is Disabled by default. Let's correct that now so users will be able to see and begin using it.
15. In the Add-in list, double click on the Report Message area to open the detailed configuration.
16. Select the option to be Optional, enabled by default. Click Save to complete this step.
17. The list of Add-ins will now show the Report Message Add-in displayed as Enabled under the User Default column.

18. Once complete, the Report Message Add-in (or any other Add-in) may take a few hours to appear. In my test, it took about two hours for my Outlook client to show the Report Message Add-in. (deployed at 2:31pm 4/2)

Review User Reported Junk and Phishing Email

As a network administrator you always want to keep your finger on the pulse of your organization to understand just how users are utilizing the services. Now that you have enabled users to report their own junk and phishing emails, you will want to make sure they are using this option. Use the option below to access this area.

1. Logon to https://portal.office.com
2. Open the Security and Compliance dashboard
3. Under Threat Management (left column area), choose the Dashboard option
4. In this area, look for the section called User-Reported Messages. Click on it to see the number of messages submitted per day, who is submitting, the email subject, sender, sender IP and type of message reported (junk or phishing)

Communicate To Users About Self-Reporting

With this Outlook Add-in now enabled, be sure to communicate its existence and capabilities to your Outlook users. With a few simple steps in the instructions (and screen captures), your users will be able to report any Junk and Phishing emails they receive. The more SPAM, malicious, and phishing email messages submitted, the better the services become for everyone!

Conclusion: In this blog I reviewed the Outlook Add-in called Report Message that is available in all Office 365 organizations. We walked through several options to install it as a single instance as well as for all users in the organizations. Also included are steps about how to submit these unwanted emails and then monitor the submissions in the reporting area of the Office 365 portal.

The Email Phishing Protection Guide is a multi-part blog series written to walk you through the setup of many security focused features you may already own in Microsoft Windows, Microsoft Office 365, and Microsoft Azure. By implementing some or all of these items, an organization will increase their security posture against phishing email attacks designed to steal user identities. This guide is written for system administrators with skills ranging from beginner to expert.

Email Phishing Protection Guide:

Introduction: Enhance Your Organization's Security Posture

Part 1: Customize the Office 365 Logon Portal

Part 2: Training Users with the Office 365 Attack Simulator

Part 3: Deploy Multi Factor Authentication (MFA)

Part 4: Deploy Windows Hello

Part 5: Define Country and Region Logon Restrictions for Office 365 and Azure Services

Part 6: Deploy Outlook Plug-in to Report Suspicious Emails

Part 7: Deploy ATP Anti-Phishing Policies

Part 8: Deploy ATP Safe Link Policies

Part 9: Deploy ATP Safe Attachment Policies

Part 10: Deploy and Enforce Smart Screen for Microsoft Edge, Microsoft Internet Explorer and Google Chrome

Part 11: Monitor Phishing and SPAM Attacks in Office 365

Part 7: Deploy ATP Anti-Phishing Policies

We are on a journey in this series of blogs to increase the security posture of your organization against phishing emails. We are setting up a variety of locks that an attacker will need to pick for a successful email phishing attack. So let's consider that a well-crafted phishing email has managed to pick through a few locks and made it to a user's email Inbox. Given the potential that the user may now click on the phishing link (or an attachment), we want to setup another "lock" to help prevent any type of malicious activity as a result. ATP Anti-Phishing Policies, ATP Safe Links, and ATP Safe Attachments (security features within Office 365 ATP) can help protect environments from a user who may unknowingly click on a malicious link or attachment.

I have encountered several organizations who have been the targets of spear phishing attacks. This is when specific users in an organization are the targets of a sophisticated phishing campaign designed to steal their logon credentials. These targeted users are often those people on the leadership team of an organization, most often those with some type of financial authority who can wire transfer money. Once the identity of these individuals are stolen, an attacker then has the keys to work through your organization.

This blog series has outlined several padlocks an attacker must pick to steal user identities. As another padlock, we will define and enable Office 365 ATP Anti-Phishing policies to help prevent these emails from being delivered.

Office 365 ATP Anti-Phishing Policies

As explained in this link, "ATP anti-phishing applies a set of machine learning models together with impersonation detection algorithms on incoming messages to provide protection from commodity and spear phishing attacks." Organizations that have ATP capabilities in their Office 365 subscriptions must define ATP anti-phishing policies. Also explained in the aforementioned link(see example scenarios), this policy is not defined or active by default. It is up to the organization to define policies based on their internal design.

With Office 365 anti-phishing policies in place, incoming messages are evaluated for many items including impersonation of users and/or other domains. Machine learning models help to determine phishing messages and what is the appropriate action by policy to take.

Instructions to Setup Office 365 ATP Anti-Phishing Policies

Note: Only user accounts in your organization with the ATP license assigned to their account will be protected by this policy. Please see the section how to How to Get ATP Anti-Phishing in this link for licensing information.

1. Logon to https://protection.office.com as a global administrator in your Office 365 tenant. This opens the Security & Compliance area of the tenant.
2. Within the Security & Compliance area, expand Threat Management and then click on Policy.

3. Click on the ATP Anti-Phishing tile.
4. Notice that within the Anti-Phishing policy administration area how there are no policies defined by default.

5. Create a new policy by clicking on the +Create option.

6. Start by providing a name for your new policy. For this example, we will setup a policy to be applied to an organization's leadership team - this team of people are often the targets of spear-phishing attacks. The policy will be named Leadership Team Phishing Policy. The description is Policy used to protect against spear phishing attacks target at the Leadership Team. Applied July 29, 2018 by KM. Change Ticket #32987. For testing purposes, I recommend setting up a policy on a few technical users in your organization who I like to call friendlies. Click Next when ready.

7. There are a number of conditional options to be defined that are described in detail in a table here. For this example policy, the following conditions will be applied:
   1. Applied To: Select the user names in your environment to apply the policy too. As you begin to type in each user's name, Office 365 will resolve to that name. Notice what happens when I enter MeganB, a user in this demonstration environment - the name resolves where it can then be selected. You could also add these users to a group and define the group name here instead (for example, a Leadership Team email distribution list). Click Next after entering one or more names.

   2. The next screen displays a summary of your settings to review and edit if needed. Click on Create This Policy when ready.

1. In the next screen we have options in the policy that must now be edited to make sure it behaves as needed.

1. In step 7, we already created basic options in the policy setting. Now we will define advanced options under Impersonation. Click on the Edit option to the right of this section.

2. In the first screen under Edit Impersonation Policy, select the option to turn ON the policy. Next, select Add User.

1. Add each user where this setting will be applied. Similar to when the policy was created in an earlier step, you may enter a user name or email address to add each person. Do NOT click Save when done as this will exit from the Edit Impersonation Policy area. Rather, click on the next item in the list to edit - Add Domains to Protect.

1. In the next area, Add Domains to Protect, select the option to enable Automatically Include the Domains I Own. Next, click Actions (do not select Save yet.)

2. In the Actions area, select the option of your choice for If email is sent by an impersonated user. If I were administering a network, my selection would be to Quarantine the Message so the user would not see it even in their Junk Email folder. I want to filter these messages to keep users from accidently clicking on phishing links no matter what folder they are in.

In the Actions area, under the second option If email is sent by an impersonated domain, I would choose the same option to Quarantine the message.

Note: These settings should be carefully decided and defined for what is appropriate for your organization.

1. Click Mailbox Intelligence next (do not click Save yet). Mailbox Intelligence is already On by default, so no changes are needed in this section. Click Add trusted senders and domains.

1. In Added trusted senders and domains, I will not include a value in this example. You may want to consider adding a partner organization you work with often to this area.

1. Click Review your settings. In the screen below, you may review your settings again. Click Save when done to save the new Leadership Team Phishing Policy.

2. Click Close to exit the policy creation area. The policy is now active on the users defined. Remember, these users must also have the correct Office 365 ATP license defined to work correctly.

• Back in the ATP anti-phishing panel, verify the policy is enabled under the Status area.

• The Office 365 ATP Anti-Phishing policy is now active in your environment. With this policy in place, be sure to monitor for any messages captured and placed into quarantine. Part 11 in this blog series discusses the monitoring console in detail.

• Back in the Security & Compliance area, expand Threat Management. Then, click Threat Tracker to view items in quarantine. In addition to this blog about configuring ATP Anti-Phishing, be sure to review the other options to further secure your environment.

Conclusion: In this blog we reviewed ATP Anti-Phishing policies and how to implement and then monitor them for intended behavior.

The Email Phishing Protection Guide is a multi-part blog series written to walk you through the setup of many security focused features you may already own in Microsoft Windows, Microsoft Office 365, and Microsoft Azure. By implementing some or all of these items, an organization will increase their security posture against phishing email attacks designed to steal user identities. This guide is written for system administrators with skills ranging from beginner to expert.

Email Phishing Protection Guide:

Introduction: Enhance Your Organization's Security Posture

Part 1: Customize the Office 365 Logon Portal

Part 2: Training Users with the Office 365 Attack Simulator

Part 3: Deploy Multi Factor Authentication (MFA)

Part 4: Deploy Windows Hello

Part 5: Define Country and Region Logon Restrictions for Office 365 and Azure Services

Part 6: Deploy Outlook Plug-in to Report Suspicious Emails

Part 7: Deploy ATP Anti-Phishing Policies

Part 8: Deploy ATP Safe Link Policies

Part 9: Deploy ATP Safe Attachment Policies

Part 10: Deploy and Enforce Smart Screen for Microsoft Edge, Microsoft Internet Explorer and Google Chrome

Part 11: Monitor Phishing and SPAM Attacks in Office 365

Part 8: Deploy ATP Safe Link Policies

We are on a journey in this series of blogs to increase the security posture of your organization against phishing emails. We are setting up a variety of locks that an attacker will need to pick for a successful email phishing attack. Organizations need to make it as difficult as possible for an attacker to be successful. So let's consider that a well-crafted phishing email has managed to pick through a few locks and made it to a user's email Inbox. Given the potential that the user may now click on the phishing link (or an attachment), we want to setup another lock to help prevent any type of malicious activity as a result. ATP Anti-Phishing Policies, ATP Safe Links and ATP Safe Attachments (security features within Office 365 ATP) can help protect environments from when a user may unknowingly click on a malicious link.

Hyper-links included in any inbound message to Office 365 email users are rewritten when Safe Links is enabled and policies are defined. This feature also extends to email sent from one Office 365 user to another either within the same tenant or to another tenant. In early 2018, the URL protection was also extended to Office 365 documents that are stored in Word Online, Excel Online, PowerPoint Online, and OneNote Online (as well as Office 365 ProPlus on Mac) - providing a much greater layer of protection across an organization. As explained in this link, "ATP Safe Links can help protect your organization by providing time-of-click verification of web addresses (URLs) in email messages and Office documents." If a link is scanned and found to contain malicious content, instead of opening, the user will presented with a warning page instead (examples of warning page). Office 365 ATP Safe Links provides another layer of locks in the email and Office Online environment that every organization should consider implementing. See the section in this link called How do we get ATP Safe Links protection if not already included in your Office 365 subscription.

Office 365 ATP Safe Links Policies

Organizations that have ATP capabilities in their Office 365 subscriptions must define policies for ATP Safe Links. Also explained in the aforementioned link(see the table on example scenarios), this policy is not defined or active by default. It is up to the organization to define policies based on their internal design.

Instructions to Setup Office 365 ATP Safe Links Policies

Note: Only user accounts in your organization with the ATP license will be protected by this policy. Please see the section how to How to Get ATP Safe Links in this link for licensing information.

1. Logon to https://protection.office.com as a global administrator in your Office 365 tenant. This opens the Security & Compliance area of the tenant.
2. Within the Security & Compliance area, expand Threat Management and then click on Policy.

3. Click on the ATP Safe Links tile.
4. In the Safe Links area is a policy called Default. Let's edit it to include several monitoring features. With Default highlighted, click on the pencil icon to edit it.

5. Within the Default policy, I recommend the following options be set to increase the security of these areas.

   Use Safe Links in:

   Office 365 ProPlus, Office for iOS and Android: Enabled
   

   Office Online of above applications: Enabled
   

   For the locations selected above:

   Do not track when users click on safe links: Disabled (Note: If it were my organization to administer, I would want to see if I have a problem with users clicking on links. This could indicate a need for additional training to recognize phishing emails.)
   

   Do not let users click through safe links to original URL: Enabled (Note: The goal is to prevent the unsuspecting user from clicking on a malicious link. This is where they should be blocked.)
   

6. Click Save when done with the settings. With these settings in place, you now want to monitor the quarantine area of your environment.
7. Back in the Security & Compliance area, expand Threat Management. Then, click Threat Tracker to view items in quarantine. In addition to this blog about configuring ATP Safe Links, be sure to review the other options to further secure your environment.

Conclusion: In this blog on ATP Safe Links we reviewed how this feature helps to further secure an organization and how to define a protection policy. We also reviewed how to monitor the quarantine area in Threat Tracker.

The Email Phishing Protection Guide is a multi-part blog series written to walk you through the setup of many security focused features you may already own in Microsoft Windows, Microsoft Office 365, and Microsoft Azure. By implementing some or all of these items, an organization will increase their security posture against phishing email attacks designed to steal user identities. This guide is written for system administrators with skills ranging from beginner to expert.

Email Phishing Protection Guide:

Introduction: Enhance Your Organization's Security Posture

Part 1: Customize the Office 365 Logon Portal

Part 2: Training Users with the Office 365 Attack Simulator

Part 3: Deploy Multi Factor Authentication (MFA)

Part 4: Deploy Windows Hello

Part 5: Define Country and Region Logon Restrictions for Office 365 and Azure Services

Part 6: Deploy Outlook Plug-in to Report Suspicious Emails

Part 7: Deploy ATP Anti-Phishing Policies

Part 8: Deploy ATP Safe Link Policies

Part 9: Deploy ATP Safe Attachment Policies

Part 10: Deploy and Enforce Smart Screen for Microsoft Edge, Microsoft Internet Explorer and Google Chrome

Part 11: Monitor Phishing and SPAM Attacks in Office 365

Part 9: Deploy ATP Safe Attachment Policies

We are on a journey in this series of blogs to increase the security posture of your organization against phishing emails. We are setting up a variety of locks that an attacker will need to pick for a successful email phishing attack. An organization needs to make it as difficult as possible for an attacker to be successful. So let's consider that a well-crafted email with an attachment has managed to pick through a few locks and made it to a user's email Inbox. Given the potential that the user may now open the attachment, we want to setup another lock to intercept and scan the document for any malicious payloads. ATP Safe Attachment Policies (one of several security features within Office 365 ATP) will help protect organizations from users who unknowingly open an attachment with a malicious payload.

With Office 365 ATP Safe Attachments, when a user receives an email with a file attached and clicks on it to open, the attachment is first opened and tested for malicious payloads in a virtual environment before being released to the user. If the attachment is safe, it will then open for the user. However, if it was found to contain malicious content the attachment is removed from the email and a warning message is displayed. This same type of protection is now available in documents that may be stored in SharePoint or OneDrive in the formats for Word Online, Excel Online, PowerPoint Online, and OneNote Online (as well as Office 365 ProPlus on Mac) - providing a much greater grid of protection in your organization. Office 365 ATP Safe Attachments provides another layer of formidable locks in the email and Office Online environment that every organization should consider implementing. See the section in this link called How to get ATP Safe Attachments if not already included in your Office 365 subscription.

Office 365 ATP Safe Attachment Policies

Organizations that have ATP capabilities in their Office 365 subscriptions must define policies for ATP Safe Attachments. Also explained in earlier links(see the table on example scenarios), the ATP Safe Attachment policy is not defined or active by default - even with the licensing assigned to users. It is up to the organization to define policies based on their internal design.

Instructions to Setup Office 365 ATP Safe Attachment Policies

Note: Only user accounts in your organization assigned with the ATP license will be protected by this policy.

1. Logon to https://protection.office.com as a global administrator in your Office 365 tenant. This opens the Security & Compliance area of the tenant.
2. Within the Security & Compliance area, expand Threat Management and then click on Policy.

3. Click the ATP Safe Attachments tile. Notice in this area that the option to enable the feature is not enabled by default.

4. Click on the option to Turn on ATP for SharePoint, OneDrive, and Microsoft Teams.

5. Click on the option to create a new policy for email protection. Click on the addition symbol.

6. In the configuration window that appears, I recommend the following settings.
   1. Start by giving your policy a new name. I called mine Email Safe Attachment Policy for this example.

   1. In the bottom option of this screen, notice the default action of Off. If it was my organization, I would choose the Replace option. This option makes sure there is no chance the user will receive the attachment and launches it before being scanned for malicious content. As always, be sure to evaluate all options for the one that fits best in your organization.

   2. In the Redirect Attachment on Detection area, define an email address to redirect any of the attachments found to be malicious. This email address must first be created in the admin console. You may want to look into a Microsoft Flow or some other notification rule that is sent to a monitored Inbox (your account or a support team) indicating that malicious content has been detected, blocked, and forwarded to the email account specified that may be unmonitored. If you do not choose this option, you will receive several warnings indicating email could be lost.

   3. In the Applied To section, in the drop down area I recommend choosing The Recipient Domain Is option so the policy is applied to all users in your organization. In the example below, I have defined my demo domain.

   4. Click OK when done and then Save to complete the configuration. Be sure to click Save at the bottom of the configuration changes to activate this policy.
7. Back in the Security & Compliance area, expand Threat Management. Then, click Threat Tracker to view items in quarantine. In addition to this blog about configuring ATP Safe Attachments, be sure to review the other options to further secure your environment.

Conclusion: In this blog on ATP Safe Attachments we reviewed how this feature helps to further secure an organization and how to define a protection policy. We also reviewed how to monitor the quarantine area in Threat Tracker.

The Email Phishing Protection Guide is a multi-part blog series written to walk you through the setup of many security focused features you may already own in Microsoft Windows, Microsoft Office 365, and Microsoft Azure. By implementing some or all of these items, an organization will increase their security posture against phishing email attacks designed to steal user identities. This guide is written for system administrators with skills ranging from beginner to expert.

Email Phishing Protection Guide:

Introduction: Enhance Your Organization's Security Posture

Part 1: Customize the Office 365 Logon Portal

Part 2: Training Users with the Office 365 Attack Simulator

Part 3: Deploy Multi Factor Authentication (MFA)

Part 4: Deploy Windows Hello

Part 5: Define Country and Region Logon Restrictions for Office 365 and Azure Services

Part 6: Deploy Outlook Plug-in to Report Suspicious Emails

Part 7: Deploy ATP Anti-Phishing Policies

Part 8: Deploy ATP Safe Link Policies

Part 9: Deploy ATP Safe Attachment Policies

Part 10: Deploy and Enforce Smart Screen for Microsoft Edge, Microsoft Internet Explorer and Google Chrome

Part 11: Monitor Phishing and SPAM Attacks in Office 365

Part 10: Deploy and Enforce Smart Screen for Microsoft Edge, Microsoft Internet Explorer and Google Chrome

Within this blog series we are setting up a variety of locks that a phishing attack will need to pick for a successful email phishing attack. The previous blog in this series discusses how to configure ATP Safe Links, ATP Safe Attachments, and ATP Anti-Phishing policies (features within Office 365 ATP) to protect links in email and Office files in Office 365. But, we need to also consider another phishing attack vector. Suppose a user is checking his or her private email account in an Internet browser installed on your organization's equipment. The user's personal email may contain malicious phishing links, that once clicked, will install malware to devices within your organization. Instead of clicking on a phishing link, suppose the user is searching the web and clicks on a website that attempts to install malware on your organization's device in what we call a drive-by infection. Let's walk through how we can setup another padlock of protection against these scenarios.

Internet Explorer and Microsoft Edge have long had a feature called SmartScreen available to protect web surfers from malicious links. In April 2018, the protection scanning capability in these two browsers was made available in a Google Chrome extension called Windows Defender Browser Protection. By defining an Active Directory Group Policy Object (GPO), we can deploy and define these security settings in the environment (i.e. prevent a user from disabling the protection). We can also use a GPO to deploy the extension to Google Chrome to users. Below are steps about how to setup the GPO and deploy it. I highly recommend this first be done in a lab environment to verify settings and intended behavior.

Before we move on with the deployment steps, I encourage you to learn more about the great capabilities of SmartScreen and how it can protect your users from malicious sites that can install drive-by malware infections (including protection from zero-day attacks).

• Evolving Microsoft SmartScreen to Protect You From Drive-By Attacks
• Windows Defender Smart Screen Group Policy and Mobile Device Management Settings
• What is Microsoft SmartScreen?

Optional configuration and deployment settings are listed below for Microsoft Internet Explorer, Microsoft Edge, and Google Chrome. To further secure the environment, you may want to consider limiting the use of browsers in your organization to only those with these types of enhanced security features.

With today's ever evolving threats we all need to be vigilant and increase our organization security posture using a variety of advanced features (the goal of this blog series). The goal being, to add as many locks as possible in an organization without impacting user productivity. The security of your organization is only as good as the weakest link which is often the unsuspecting user.

Windows Defender SmartScreen Group Policy Setup for Microsoft Internet Explorer and Microsoft Edge

1. Download the Microsoft Windows 10 ADMX files to expose the Microsoft Internet Explorer and Microsoft Edge settings to configure in a GPO. The latest ADMX files for Windows 7, 8.1, and 10 are located in this site. Also included are instructions about how to manage the Central Store for Group Policy Administration.
2. Install the downloaded file to your client. By default, the new ADMX files will be located in c:Program Files (x86)Microsoft Group PolicyWindows 10 April 2018 Update (1803) v2Policy Definitions.
3. Within the folder above:
   1. Locate the Windows.admx and Edge.admx file and copy it to %logonserver%sysvolyourdomainnamePoliciesPolicyDefinitions. If PolicyDefinitions does not exist, create it.
   2. Enter the language folder you will be using in the environment to locate the Windows.adml and Edge.adml file. For my lab environment, I will be using English so I opened the EN-US folder to locate the Windows.adml and Edge.adml files. Copy this file to %logonserver%sysvolyourdomainnamePoliciesPolicyDefinitions. If you need multiple languages, be sure to copy additional Windows.adml and Edge.adml files as well.
4. Configure Internet Explorer settings for Windows Defender SmartScreen:

   If it was my organization to manage from a technical security point of view (this is my personal opinion), my recommendation would be to enable each of these policies to prevent users from installing applications that are not in the Windows Store as well as to prevent users from bypassing SmartScreen Warnings. These settings may vary based on your organization and technical governance. There is always a balance between too much technical control in the name of security and a negative impact to business productivity, so be sure to discuss these settings with your organization.

   There are several settings to review in this area I have highlighted below. When you open each item, there is a detailed description of what each setting does.

• Prevent bypassing SmartScreen Filter warnings: Enabled
• Prevent managing the phishing filter: Enabled
• Prevent managing SmartScreen filter: Enabled

1. Configure Microsoft Edge for Windows Defender SmartScreen

   Similar to the settings for Internet Explorer, there are several areas for the Microsoft Edge policy to configure.

• Configure Windows Defender SmartScreen: Enabled
• Prevent bypassing Windows Defender SmartScreen prompts for sites: Enabled

For the same reasons above, I have enabled these policies to help protect an organization from users who may unknowingly click on malicious sites. Again, please evaluate these settings for proper usage in your organization.

1. With the policies defined I am ready to assign the GPO to a pilot user(s). Before we assign the policy, let's first verify the user ability to disable SmartScreen in Microsoft Internet Explorer and Microsoft Edge with the steps below.

   Internet Explorer

• Open Internet Explorer and click on the Gear icon as highlighted below
• Click Safety
• Notice the option to Turn off Windows Defender SmartScreen is available to the user.

Microsoft Edge

• Click on the menu option in the browser (…)
• Click on Settings
• Under Advanced Settings, click on View Advanced Settings
• At the bottom of the screen, verify the option Help protect me from malicious sites and downloads with Windows Defender SmartScreen is not disabled/greyed-out.

1. In the new SmartScreen Settings GPO, I created an Active Directory Users Group called SmartScreenPilot and added a test user to it. From there, I defined the group in the Security Filtering area and added the target computer account as well.

• To force the new GPO to install, I opened a Command Prompt and ran the command gpupdate /force command.

• Verify the policy is now in place for Microsoft Internet Explorer and Microsoft Edge with the steps below.

  Internet Explorer

• Open Internet Explorer and click on the Gear icon as highlighted below
• Click on Safety
• Notice the option to Turn off Windows Defender SmartScreen is now disabled/greyed-out

Microsoft Edge

• Click on the menu option in the browser (…)
• Click on Settings
• Under Advanced Settings, click on View Advanced Settings
• At the bottom of the screen, verify the option Help protect me from malicious sites and downloads with Windows Defender SmartScreen is now disabled/greyed-out

• To verify the settings are working:
  • In each browser visit the site: https://demo.smartscreen.msft.net/
  • Then click on each option to see the result

Windows Defender Browser Protection Extension for Google Chrome

This extension enables you to use the intelligent SmartScreen capabilities found in the Microsoft Edge and Internet Explorer browsers on Google Chrome as an extension called Windows Defender Browser Protection. Remember the breadth of the Microsoft Security Story and the vast array of intelligence analyzed for malicious behavior that is then used to protect all of us. This same protection now extends into the Chrome browser and in turn, helps to protect your organization.

Note: In the Internet Explorer and Edge browsers there are controls in place to prevent users from disabling SmartScreen. While this protection can be deployed to Google Chrome in the Windows Defender Browser Protection extension, there is no capability to prevent users from disabling it or removing it. In my view, I'd rather have the ability to provide further default protection in the Chrome browser than not, even if a user could disable it at a later time.

This extension can be enabled installed using two methods:

1. The first is to open the Chrome web store and search for Windows Defender Browser Protection extension. From there, you can install the extension. The extension can be found in this site with additional information to review. This is useful for testing or single instance installations. I have included installation instructions below.
2. The second option is to deploy this extension remotely to a large group of users. While I have already outlined information above for how to deploy the plug in using a GPO, I have provided information in the next section about how to install this remotely to all users in your organization. Installation instructions below.

Installing Windows Defender Browser Protection for Google Chrome for a Single User

1. From within Google chrome, go to https://chrome.google.com/webstore/category/extensions?hl=en

• In the Chrome Web Store search area, enter Microsoft Defender Browser.

• Click the button to Add to Chrome

• Click the option to Add Extension

• When complete, you will receive a notification of successful installation. To verify the extension has been added and is enabled, click on the extension in the upper right screen and verify settings.

Installing Windows Defender Browser Protection for Google Chrome Across an Organization Using a GPO

Many organizations allow their users to select from a variety of Internet browsers they feel is safe for the environment and compatible with most sites (lowering help desk requests). As described above, SmartScreen is a feature that utilizes the large breadth of cyber intelligence Microsoft analyzes and makes use of to provide safer environments for customers. The recent addition of SmartScreen capabilities as an extension in the Chrome browser is an extension of that capability. Below are instructions about how to locate and install the new extension to protect Chrome.

Part I: Locate the Chrome Plug-In Extension Unique Identifier

1. From within Chrome, let's go back to the Chrome Web Store by clicking on this link:

   https://chrome.google.com/webstore/category/extensions?hl=en

2. In the Chrome Web Store search area, search for Microsoft Defender Browser.

• When found, click on the name of the Extension to view the details. With the details of the extension displayed, the end of the URL has a Unique ID we need (highlighted below). For this version it is bkbeeeffjjeopflfhgeknacdieedcoml. Copy this area of the link (highlighted below) and paste it into a Notepad file to use later.

• We now need to locate the URL used for the extension to download from. On the computer with Chrome now installed, open the directory below. Several of these folders are hidden, so make sure you have enabled the option to View Hidden Folders in Windows Explorer. Note the Username will change according to the user you are logged in as. Also note that the version number below (1.63_0) may change over time (this was current as of July 2018).

  C:UserskmartinsAppDataLocalGoogleChromeUser DataDefaultExtensionsbkbeeeffjjeopflfhgeknacdieedcoml1.63_0

• Within the directory above, locate the file named: manifest.json. Open it in NotePad or other text reader.

• Copy the value entered for update_url which (for this extension) most likely will be https://clients2.google.com/service/update2/crx Again, be aware that this URL may change over time.

• Paste the extension unique identifier copied earlier in step three into a new NotePad file. Add a semi-colon (;) to the end of it. Then, paste the URL you copied from the manfiest.json file in step six behind the semi-colon. There are no spaces needed anywhere in this line when complete.

  My completed string is: bkbeeeffjjeopflfhgeknacdieedcoml;https://clients2.google.com/service/update2/crx

• With the string completed, we will now add this to the GPO for deployment to all users. I highly recommend you perform this action in a lab first, followed by a group of pilot users and computers.

Part II: Install Google Chrome Group Policy Templates

1. Download the ZIP file of Google Chrome policy templates and documents from the site below:

   https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip

2. Within the ZIP file, locate the chrome.ADMX file.

3. Copy the chrome.admx file to the central store in this directory:

   %logonserver%sysvolyourdomainnamePoliciesPolicyDefinitions

4. Back in the Chrome GPO Template ZIP file you downloaded earlier, locate the language folders you will need for your environment under the ADMX folder. Copy these folders into the PolicyDefinitions folder as well. In my example below, I am only copying the EN-US folder from the ZIP download and chrome.admx file to this location.

Part III: Create the Group Policy to Install the Google Chrome Extension for Windows Defender Browser Protection

1. On an Active Directory Domain Controller in your environment, open the Group Policy Management Console (GPMC). The fastest way to do this is to launch it from a Command Prompt by entering GPMC.msc.
2. Expand the Group Policy Objects area for your environment
3. Right click on Group Policy Objects and click New

4. Name your New GPO (for example, Google Chrome GPO Management)

5. Right click on the new GPO you just created and select Edit

6. We want this extension to apply to all users where Google Chrome is installed. In the new GPO, expand Computer Configuration->Policies->Administrative Templates->Google Chrome->Extensions.

7. Choose the option "Configure the list of force-installed apps and extensions"

8. Change the option to be Enabled. Then click the Show.. option.

9. Using the script you created above in Part I, copy and paste it into the field. Click OK when done.

10. Verify the configuration option is now Enabled.

11. You can now close or minimize the Group Policy Management Editor, but keep the Group Policy Console open to apply the policy.
12. In the Google Chrome Management Group Policy, I created an Active Directory Users Group called ChromeExtensionPilot and added a test user and target computer account to it. From there, I defined the group in the Security Filtering area. This is part of my pilot of the new GPO to deploy these settings on a limited scale first.
13. To verify this is working correctly, I logged into a domain joined test system as the pilot user. This pilot user was only in the User's group on the Windows 10 (1803) system, not an administrator. I first logged in as the pilot user to the test Windows 10 system, opened Google Chrome, and verified the extension was not listed.

14. To force the new GPO to install, I opened a Command Prompt and ran the command gpupdate /force

15. Within several minutes of issuing the command above, I was able to see the plug-in had installed (see icon in screen capture below). In my testing there was no restart of the Chrome browser needed.

16. By clicking on the icon version and additional information is now displayed. The installation is now successful.

Conclusion: In this blog about Microsoft SmartScreen we reviewed how this feature helps to further secure an organization from users searching the web on Microsoft Internet Explorer, Microsoft Edge, and Google Chrome. Also provided were steps about how to configure options for policy management and deployment to all three browsers.

The Email Phishing Protection Guide is a multi-part blog series written to walk you through the setup of many security focused features you may already own in Microsoft Windows, Microsoft Office 365, and Microsoft Azure. By implementing some or all of these items, an organization will increase their security posture against phishing email attacks designed to steal user identities. This guide is written for system administrators with skills ranging from beginner to expert.

Email Phishing Protection Guide:

Introduction: Enhance Your Organization's Security Posture

Part 1: Customize the Office 365 Logon Portal

Part 2: Training Users with the Office 365 Attack Simulator

Part 3: Deploy Multi Factor Authentication (MFA)

Part 4: Deploy Windows Hello

Part 5: Define Country and Region Logon Restrictions for Office 365 and Azure Services

Part 6: Deploy Outlook Plug-in to Report Suspicious Emails

Part 7: Deploy ATP Anti-Phishing Policies

Part 8: Deploy ATP Safe Link Policies

Part 9: Deploy ATP Safe Attachment Policies

Part 10: Deploy and Enforce Smart Screen for Microsoft Edge, Microsoft Internet Explorer and Google Chrome

Part 11: Monitor Phishing and SPAM Attacks in Office 365

Part 11: Monitor Phishing and SPAM Attacks in Office 365

Within this blog series we have setup over ten locks that an attacker using phishing emails must overcome - reducing the likelihood of success. With many of these locks now in place, we need to monitor the effectiveness of our efforts to prevent these attacks from entering the network. We also want to monitor these policies to make sure they are not causing any negative impacts to communications in your organization. This must be done on a routine schedule by the systems administrator or security team.

Even though many adjustments in the environment have now been made to improve the security posture, this is not a finish line that signifies the complete security of your organization. Rather, this is an ongoing race to secure your organization against the ever evolving and growing sophistication of these cyber-attacks. As I discover additional features to implement and options to adjust, I will continue documenting them in future blogs.

Information about each threat report available in Office 365 has been documented in this link that I highly recommend you review. Below are instructions to access the reports and how to schedule key reports to be sent for review periodically.

Accessing the Advanced Threat Protection Reports

1. Logon to https://protection.office.com as a global administrator account.
2. On the left side of the screen, click Reports to expand the list of reports.
3. Click Dashboard
4. Here, we can see several ATP reports, malware detection reports, SPAM detection reports, etc. to choose from.

• The reports I find most useful and insightful in the attacks on an environment are:
  • Threat Protection Status
  • Malware Detections
  • ATP File Types
  • SPAM Detections
  • Spoof Mail

Schedule Email Delivery of Key Security Reports

To keep track of the types of attacks your organization is experiencing, I recommend you either logon to the reporting portal on a periodic basis and/or schedule reports to be emailed to you and your support team for review.

When you click on each of the reports, you are presented with the option to Create a Schedule for email delivery. Below are some quick steps for creating these reports.

1. As an example report to schedule, click on the Advanced Threat Protection File Types Report.
2. Click the option to +Create Schedule

3. You are now presented with a standard report schedule that may be accepted as is or may be customized. To customize the schedule, under Options, select Customize Schedule.

4. Using the options presented, you can adjust the scheduled report name, frequency of delivery, email recipients (to you and/or a security monitoring team), etc. I suggest you choose only a few key reports for delivery. Scheduling any more than a few reports will just become noise in your Inbox and you will not make the time to review them.
5. To review and modify all scheduled reports, click the option to Manage Schedules under the Reports section of the Security & Compliance area. Below, you can see one of the sample report I have scheduled for delivery.

Conclusion: In this blog, we reviewed information about the Microsoft Security Reports available for review. We also reviewed why these are important to frequently review to gain valuable insights into the attacks your organization is experiencing. It is through this understanding that you will understand how to adjust settings to help mitigate against the latest attack vectors without causing an impact to user productivity.

お客様に必要なグローバルな展開と地域での存在感を実現

54 か所の Azure リージョン、140 か国で利用可能、リージョン内の帯域幅は最大で 1.6 Pbps

信頼性が高く、スケーラブルで確実な Microsoft Cloud を利用すれば、オンプレミス データセンターの制限を克服できます。エネルギー効率のよいインフラストラクチャでビジネスを変革し、コストを削減しましょう。このインフラストラクチャは、世界中の 100 を超える安全性の高い施設にまたがっており、世界最大のネットワークの 1 つによって結ばれています。

Azure には、他のどのクラウド プロバイダーよりも多くのグローバル リージョンがあります。これにより、世界中のユーザーの傍にアプリケーションを届けるために必要なスケールを提供します。また、データの保存場所を確保し、お客様に包括的なコンプライアンスと回復性のオプションを提供します。

詳しくは以下のトピックをご参照ください。

▼ Azure グローバルインフラストラクチャ
▼ Azure リージョンを確認する

こんにちは、Azure Site Recovery サポート チームです。

今回は、ASR (Azure Site Recovery) で Azure リージョン間で Azure VM レプリケーションが有効化された際に、レプリケーション先の "ターゲット リソース グループ" などの表示名がすべて小文字で表示される問題についてご紹介いたします。

  // 表示名がすべて小文字となるリソース
  ・Recovery Services コンテナー
  ・ターゲット リソース グループ
  ・ターゲット ネットワーク

[既知の問題について]
ASR でレプリケーションが有効化された VM について、Azure Portal から [Virtual Machines] - [対象の VM] - [ディザスター リカバリー] の順に進み、レプリケーションの情報を確認します。
下図のように「ターゲット リソース グループ」と「ターゲット ネットワーク」、「Recovery Services コンテナー」の表示名がすべて小文字で表示されます。

[影響]
こちらは、表示上の問題であり VM や ASR レプリケーションの動作に影響はございません。

[対処策]
本問題につきましては、今後修正されるよう対応を進めております。
レプリケーション情報につきましてご心配の場合には、下記 Recovery Services コンテナーから情報をご確認下さいますようお願いいたします

// Recovery Services コンテナー名
上記、VM のディザスター リカバリーの項目の Recovery Services コンテナー名 (上図では asr-h2a) をクリックし、対象の Recovery Services コンテナーへ移動することで、正しい表示名にて Recovery Services コンテナー名を確認できます。

// ターゲット リソース グループ
上記 Recovery Services コンテナーから、[レプリケートされたアイテム] – [対象の VM 名] を選択し、[コンピューティングとネットワーク] から正しい表示名にてターゲット先のリソース グループ名を確認できます。

// ターゲット ネットワーク
Recovery Services コンテナーから、[Site Recovery インフラストラクチャ] - [ネットワーク マッピング] を選択し、リージョン間で作成されているマッピング情報を選択することで、正しい表示名にてターゲット先の仮想ネットワーク名を確認できます。

本問題につきましては対応を進めてまいりますが、修正完了までは上記対処にて情報をご確認下さい。

すでに Exchange Team Blog や Office 365 管理センターのメッセージ センターでご確認いただいている方も多いと存じますが、Exchange Online の EWS (Exchange Web サービス) では 2020 年 10 月 13 日をもって基本認証のサポートが終了します。
そのため、基本認証で EWS を使用して Exchange Online へ接続している既存のアプリケーションや PowerShell スクリプトは、何らかの対策を行う必要があります。

これを機に Microsoft Graph へ移行することも 1 つの方法ではありますが、既存のコード資産を有効に活用するのであれば OAuth を利用するように修正することも有効です。
今回はすでに EWS アプリケーションを開発した経験のある方に向けて、3 つのシナリオで OAuth を使用した EWS 接続を行う方法を紹介します。

はじめに

OAuth を使用するにあたり、クライアントがネイティブ アプリなのか Web アプリなのかを意識する必要があります。
PowerShell スクリプトや Windows アプリケーションの場合はネイティブ アプリです。
ブラウザーからアクセスし、EWS 接続を Web サーバーから行う場合は Web アプリです。

ここからは次の 3 つのシナリオに分けて説明を行います。

A) PowerShell スクリプトで EWS に接続する
B) C# で実装した Windows Forms アプリケーションで EWS に接続する
C) C# で実装した ASP.NET Web ページで EWS に接続する

いずれも OAuth を使用する EWS のデモとして必要最低限の内容になっています。
実際の開発ではこれらをさらに発展させて、要件に合わせた実装が必要です。

OAuth を使用する場合、まずはアプリケーションを Azure Active Directory へ登録します。
次にアクセス トークンを取得するコードを実装し、取得したアクセス トークンを EWS へ渡します。

Azure Active Directory へアプリケーションを登録する際、そのアプリケーションがネイティブ アプリなのか Web アプリなのかを選択します。
両方の手順を紹介しますが、シナリオ A および B の場合はネイティブ アプリとして登録します。
シナリオ C の場合は Web アプリとして登録します。

はじめにネイティブ アプリの登録方法を紹介し、次にシナリオ A の PowerShell スクリプトの場合の実装を説明します。
続けてシナリオ B の Windows Forms アプリケーションの場合の実装を説明します。

次にシナリオ C の ASP.NET Web ページの場合の実装を説明します。
その中で Web アプリの登録方法を紹介します。

ネイティブ アプリの登録

1. 以下の URL にアクセスして、Azure Active Directory 管理センターにサインインします。
   https://aad.portal.azure.com/
2. 左ペインより [Azure Active Directory] をクリックします。
3. [アプリの登録] - [新しいアプリケーションの登録] をクリックします。
4. 以下のように設定し、[作成] をクリックします。
   名前 : 任意のアプリケーションの名前を指定します (例 : MyEwsDemoApp01)
   アプリケーションの種類 : ネイティブ
   リダイレクト URI : 任意の URI (アクセス可能である必要はありません。例 : https://localhost/MyEwsDemoApp01)
5. [アプリケーション ID] の値を控えておきます。
6. [設定] - [必要なアクセス許可] - [追加] - [API を選択します] をクリックします。
7. [Office 365 Exchange Online (Microsoft.Exchange)] を選択し、[選択] をクリックします。
8. [委任されたアクセス許可] の中の [Access mailboxes as the signed-in user via Exchange Web Services] のチェックをオンにし、[選択] をクリックします。
9. [完了] をクリックします。

PowerShell スクリプトの場合の実装

実装を始める前に、ネイティブ アプリの登録を行っていることを確認してください。

通常、OAuth を使用するフローでは GUI (ブラウザー) を使用して Azure AD の認証画面や同意画面を表示し、ユーザーの同意を得られればアクセス トークンが発行されます。
しかし PowerShell スクリプトで EWS に接続している場合は、自動化を目的としているためにスクリプト化していることが多いと考えられます。
そのようなシナリオにおいて認証画面などが表示されると、自動化の妨げになります。

そのため、ここではあえて資格情報をスクリプトに埋め込み、認証画面を表示しないでアクセス トークンを取得する実装を紹介します。
OAuth のメリットが失われ、多要素認証などモダンな認証方式にも対応できませんが、EWS 接続の自動化にはこのような対処が必要です。

ただしアプリケーションがトークンを使用するための同意は必要となるため、代わりに Azure Active Directory 管理センターで同意します。

1. 先ほどのアプリケーションの登録の時と同じように Azure Active Directory 管理センターにサインインします。この時、EWS 接続に使用するユーザーの資格情報でサインインします。
2. 左ペインより [Azure Active Directory] をクリックします。
3. [アプリの登録] をクリックします。
4. [アプリケーションをすべて表示] をクリックします。
5. 先ほど登録したアプリケーションをクリックします。
6. [設定] をクリックします。
7. [必要なアクセス許可] をクリックします。
8. [アクセス許可の付与] をクリックします。
9. 確認が表示されますので、[はい] をクリックします。

これで作業を行ったユーザーは、このアプリケーションがトークンを使用することに同意したことになります。
この操作を Office 365 全体管理者が行った場合は、すべてのユーザーついて、このアプリケーションがトークンを使用することに同意したことになりますので、管理者が代行することも可能です。

次にスクリプトを実装します。
なお後述するライブラリ (ADAL) を PowerShell で使用することも技術的には可能ですが、用意する手間やスクリプトの手軽さを優先して、今回はライブラリを使用しません。
ライブラリを使用しない代わりに、以下のように関数を定義します。

[powershell]
<#
.SYNOPSIS
Acquire the access token for EWS non-interactively.

.DESCRIPTION
Acquire the access token for EWS non-interactively.

.PARAMETER TenantName
Tenant name of the user to be used for authentication.

.PARAMETER ClientId
Client ID of the application registered in Azure Active Directory.

.PARAMETER Credential
Credential of the user to be used for authentication.

.EXAMPLE
Get-TokenForEws -TenantName "contoso.onmicrosoft.com" -ClientId "7acfa599-e1bf-43e1-aab8-f12c1d952d3d" -Credential:(Get-Credential)

#>
function Get-TokenForEws {
param (
[Parameter(Mandatory = $true, ValueFromPipeline = $false)]
[ValidateNotNullOrEmpty()]
[string]$TenantName,

[Parameter(Mandatory = $true, ValueFromPipeline = $false)]
[ValidateNotNullOrEmpty()]
[string]$ClientId,

[Parameter(Mandatory = $true, ValueFromPipeline = $false)]
[ValidateNotNullOrEmpty()]
[PSCredential]$Credential
)

$RequestBody = @{
resource = "https://outlook.office.com/";
client_id = $ClientId;
grant_type = "password";
username = $Credential.UserName;
password = $Credential.GetNetworkCredential().Password;
scope = "openid"
}

return Invoke-RestMethod -Uri "https://login.microsoftonline.com/$($TenantName)/oauth2/token" -Method Post -Body $RequestBody
}

<#
.SYNOPSIS
Acquire the access token for EWS non-interactively using the refresh token.

.DESCRIPTION
Acquire the access token for EWS non-interactively using the refresh token.

.PARAMETER TenantName
Tenant name of the user to be used for authentication.

.PARAMETER ClientId
Client ID of the application registered in Azure Active Directory.

.PARAMETER RefreshToken
The refresh token acquired by Get-TokenForEws Cmdlet.

.EXAMPLE
Get-TokenForEwsUsingRefreshToken -TenantName "contoso.onmicrosoft.com" -ClientId "7acfa599-e1bf-43e1-aab8-f12c1d952d3d" -RefreshToken $Token1.refresh_token #> function Get-TokenForEwsUsingRefreshToken {
param (
[Parameter(Mandatory = $true, ValueFromPipeline = $false)]
[ValidateNotNullOrEmpty()]
[string]$TenantName,

[Parameter(Mandatory = $true, ValueFromPipeline = $false)]
[ValidateNotNullOrEmpty()]
[string]$ClientId,

[Parameter(Mandatory = $true, ValueFromPipeline = $false)]
[ValidateNotNullOrEmpty()]
[string]$RefreshToken
)

$RequestBody = @{
resource = "https://outlook.office.com/";
client_id = $ClientId;
grant_type = "refresh_token";
refresh_token = $RefreshToken;
scope = "openid"
}

return Invoke-RestMethod -Uri "https://login.microsoftonline.com/$($TenantName)/oauth2/token" -Method Post -Body $RequestBody
}

<#
.SYNOPSIS
Check if re-acquiring the access token is needed or not.

.DESCRIPTION
Check if re-acquiring the access token is needed or not.

.PARAMETER Token
The return value of Get-TokenForEws Cmdlet.

.EXAMPLE
ShouldRefresh -Token $Token1
#>
function ShouldRefresh {
param (
[Parameter(Mandatory = $true, ValueFromPipeline = $false)]
[ValidateNotNullOrEmpty()]
[PSCustomObject]$Token
)

$BaseDate = New-Object System.DateTime(1970, 1, 1, 0, 0, 0, [System.DateTimeKind]::Utc)
$UtcNow = (Get-Date).ToUniversalTime() - $BaseDate
$TimeSpan = $Token.expires_on - $UtcNow.TotalSeconds
return (($TimeSpan / 60) -le 5 )
}
[/powershell]

Get-TokenForEws は EWS 接続用のアクセス トークンや、アクセス トークンの更新に必要になるリフレッシュ トークンを取得します。
Get-TokenForEwsUsingRefreshToken は、取得済みのリフレッシュ トークンを使用してアクセス トークンを更新 (新しいアクセス トークンを取得) します。
ShouldRefresh はアクセス トークンの有効期間を確認して、更新が必要かどうか判定します。

アクセス トークンを取得する以外にも 2 つの関数を用意しているのは、アクセス トークンの有効期限が既定で 1 時間のためです。
適宜 ShouldRefresh で有効期限が迫っており更新が必要か (上記の実装では、少し余裕を持たせて有効期限が残り 5 分を切っていないかどうか) 判定し、更新が必要であれば Get-TokenForEwsUsingRefreshToken を使用してアクセス トークンを更新します。

これらの関数と EWS Managed API と組み合わせると、以下のようになります。

[powershell]
# 環境に合わせて変更
$DllPath = "C:Program FilesMicrosoftExchangeWeb Services2.2Microsoft.Exchange.WebServices.dll" # EWS Managed API のパス
$EwsAdmin = "EwsAdmin01@contoso.onmicrosoft.com" # EWS 接続に利用するアカウントのユーザー プリンシパル名 (UPN)
$Password = "password" # EWS 接続に利用するアカウントのパスワード
$TenantName = "contoso.onmicrosoft.com" # 接続するテナントの onmicrosoft.com のドメイン名
$ClientId = "7acfa599-e1bf-43e1-aab8-f12c1d952d3d" # Azure Active Directory に登録したアプリケーションのアプリケーション ID
$EwsUrl = "https://outlook.office365.com/EWS/Exchange.asmx" # EWS の URL

# EWS Managed API のアセンブリをロード
$Assembly = [Reflection.Assembly]::LoadFile($DllPath)
if ($Assembly -eq $null) {
exit
}

$Token = Get-TokenForEws -TenantName $TenantName -ClientId $ClientId -Credential:(New-Object System.Management.Automation.PSCredential($EwsAdmin, (ConvertTo-SecureString $Password -AsPlainText -Force)))

# ExchangeService インスタンスの生成
$Service = New-Object Microsoft.Exchange.WebServices.Data.ExchangeService([Microsoft.Exchange.WebServices.Data.ExchangeVersion]::Exchange2013_SP1, $TimeZone)
$Service.Url = New-Object System.Uri($EwsUrl)
$Service.Credentials = New-Object Microsoft.Exchange.WebServices.Data.OAuthCredentials($Token.access_token)

# 以降、通常と同じ EWS の処理
# $Inbox = [Microsoft.Exchange.WebServices.Data.Folder]::Bind($Service, [Microsoft.Exchange.WebServices.Data.WellKnownFolderName]::Inbox)

# 処理が長時間におよぶ場合
if (ShouldRefresh -Token $Token) {
# アクセス トークンの更新が必要
$Token = Get-TokenForEwsUsingRefreshToken -TenantName $TenantName -ClientId $ClientId -RefreshToken $Token.refresh_token
$Service.Credentials = New-Object Microsoft.Exchange.WebServices.Data.OAuthCredentials($Token.access_token)
}

# 処理を継続
#$SentItems = [Microsoft.Exchange.WebServices.Data.Folder]::Bind($Service, [Microsoft.Exchange.WebServices.Data.WellKnownFolderName]::SentItems)
[/powershell]

以上で PowerShell スクリプトの場合の実装は完了です。

Windows Forms アプリケーションの場合の実装

実装を始める前に、ネイティブ アプリの登録を行っていることを確認してください。

Windows Forms アプリケーションの場合、ユーザーがアプリケーションを起動し、アプリケーションが操作を行っているユーザーを識別した上でユーザーの代わりに EWS 接続を行います。
この一連の処理を実現するために、ここでは ADAL (Azure Active Directory 認証ライブラリ) を使用して操作しているユーザーのアクセス トークンを取得し、EWS 接続に使用する方法を紹介します。

1. Visual Studio を起動し、新しい C# の Windows Forms アプリケーションのプロジェクトを作成します。
   使用するライブラリの要件を満たすため、ターゲットとする .NET Framework は 4.5 以上である必要があります。
   ソリューション名やプロジェクト名は任意でかまいません。
2. [ツール] - [NuGet パッケージ マネージャー] - [ソリューションの NuGet パッケージの管理] をクリックします。
3. [参照] タブに移動します。
4. 以下の 2 つのパッケージ (ADAL と EWS Managed API) を検索してインストールします。
   なお執筆時点では Microsoft.IdentityModel.Clients.ActiveDirectory バージョン 3.19.8 および Microsoft.Exchange.WebServices バージョン 2.2.0 を使用して動作確認をしています。

   Microsoft.IdentityModel.Clients.ActiveDirectory
   Microsoft.Exchange.WebServices

5. テキスト ボックスを 4 つ配置し、以下のようにプロパティを設定します。

   (Name) : textBox1
   Location : 12, 12
   Size : 260, 19

   (Name) : textBox2
   Location : 12, 38
   Size : 260, 19

   (Name) : textBox3
   Location : 12, 64
   Size : 260, 19

   (Name) : textBox4
   Anchor : Top, Bottom, Left, Right
   Location : 12, 119
   MultiLine : True
   Size : 260, 130

6. Form1.cs 上にボタンを 1 つ配置し、以下のようにプロパティを設定します。

   (Name) : button1
   Location : 12, 89
   Text : 実行

7. ボタンをダブルクリックして Click イベントのコードに移動します。
8. コードの先頭に以下の 2 行を追記します。

   [csharp]
   using Microsoft.Exchange.WebServices.Data;
   using Microsoft.IdentityModel.Clients.ActiveDirectory;
   [/csharp]

9. 以下のよう Click イベントのコードを記述します。

   [csharp]
   private void button1_Click(object sender, EventArgs e)
   {
   string authority = "https://login.windows.net/" + textBox1.Text;
   string clientId = textBox2.Text;
   Uri clientAppUri = new Uri(textBox3.Text);
   string serverName = "https://outlook.office365.com/";

   AuthenticationContext authenticationContext = new AuthenticationContext(authority, false);
   AuthenticationResult authenticationResult = authenticationContext.AcquireTokenAsync(serverName, clientId, clientAppUri, new PlatformParameters(PromptBehavior.Always)).Result;

   ExchangeService service = new ExchangeService(ExchangeVersion.Exchange2013_SP1);
   service.Url = new Uri("https://outlook.office365.com/EWS/Exchange.asmx");
   service.Credentials = new OAuthCredentials(authenticationResult.AccessToken);

   // 以降、通常と同じ EWS の処理
   Folder inbox = Folder.Bind(service, WellKnownFolderName.Inbox);
   textBox4.Text = inbox.DisplayName;

   // 処理が長時間におよぶ場合
   AuthenticationResult authenticationResult2 = authenticationContext.AcquireTokenSilentAsync(serverName, clientId).Result;
   service.Credentials = new OAuthCredentials(authenticationResult2.AccessToken);

   // 処理を継続
   Folder sentItems = Folder.Bind(service, WellKnownFolderName.SentItems);
   textBox4.Text += Environment.NewLine + sentItems.DisplayName;
   }
   [/csharp]

実装は以上で完了です。

このアプリケーションを実行すると、フォームが表示されますので、上の 3 つのテキスト ボックスにそれぞれ以下のように値を入力します。

 1 つ目 : 接続するテナントの onmicrosoft.com のドメイン名 (例 : contoso.onmicrosoft.com)
 2 つ目 : Azure Active Directory に登録したアプリケーションのアプリケーション ID
 3 つ目 : Azure Active Directory に登録したアプリケーションのアプリケーション ID リダイレクト URI

[実行] をクリックすると Office 365 の認証画面が表示されますのでサインインします。
初回はアクセスを許可するかの同意画面が表示されますので、内容を確認して [承諾] をクリックしてください。
画面上に、認証したユーザーの「受信トレイ」フォルダーと「送信済みアイテム」フォルダーの表示名が出力されます。

このサンプルでは、開発環境の ADAL のキャッシュの影響を受けないよう、必ず資格情報の入力が必要なように構成しています。(PromptBehavior.Always の部分)
そのため、イントラネット向けに Windows 統合認証のみを有効にした AD FS 環境で、ドメイン参加端末でテストを行う場合にエラーが発生することがあることを確認しています。
対処策としては PromptBehavior.Auto に変更してください。

なおアクセス トークンの有効期限は既定で 1 時間のため、アプリケーションを 1 時間以上使用する場合はアクセス トークンの再取得が必要です。
上記のコードでは AcquireTokenSilentAsync を使用して、必要な場合に自動でリフレッシュ トークンからアクセス トークンの再取得を行っています。

ASP.NET Web ページの場合の実装 Part 1

Web アプリの場合は、Azure Active Directory に登録するアプリケーションのサインオン URL に実際にアクセス可能である必要があります。
開発する Web アプリの URL が必要となりますが、そのためにドメインの取得や Web サーバーの用意、場合によっては Microsoft Azure のご利用をご検討いただくことになるかもしれません。
ただ、今回のお話については単純化するためにローカルの開発環境でテストを行うことを想定した手順を紹介します。
まず初めに実装から入ります。

1. Visual Studio 2017 を起動します。
2. C# で新しい 「ASP.NET 空の Web サイト」のプロジェクトを作成します。
   使用するライブラリの要件を満たすため、ターゲットとする .NET Framework は 4.5 以上である必要があります。
   ソリューション名やプロジェクト名は任意でかまいません。
3. [ツール ] - [NuGet パッケージ マネージャー] - [ソリューションの NuGet パッケージの管理] をクリックします。
4. [参照] タブに移動します。
5. 以下の 2 つのパッケージ (ADAL と EWS Managed API) を検索してインストールします。
   なお執筆時点では Microsoft.IdentityModel.Clients.ActiveDirectory バージョン 3.19.8 および Microsoft.Exchange.WebServices バージョン 2.2.0 を使用して動作確認をしています。

   Microsoft.IdentityModel.Clients.ActiveDirectory
   Microsoft.Exchange.WebServices

6. プロジェクトに「Default.aspx」というファイル名で新しい Web フォームを追加します。
7. Default.aspx 上に Label コントロールを 2 つ配置します。
   ID は Label1 と Label2 (既定のまま) にします。Text はブランク (空文字列) に変更します。
8. [ソリューション エクスプローラー] でプロジェクトを選択し、プロパティを表示します。
9. [SSL 有効] を True に変更します。
10. [SSL URL] の値 (https://localhost:44333/ などの localhost とポート番号の組み合わせ) を控えておきます。この値を Web アプリの URL として使用します。

Web アプリの登録

Web アプリの URL が決まったら、Azure Active Directory に登録します。

1. 以下の URL にアクセスして、Azure Active Directory 管理センターにサインインします。
   https://aad.portal.azure.com/
2. 左ペインより [Azure Active Directory] をクリックします。
3. [アプリの登録] - [新しいアプリケーションの登録] の順にクリックします。
4. 以下のように設定し、[作成] をクリックします。

   名前 : 任意のアプリケーションの名前を指定します (例 : MyEwsWebApp01)
   アプリケーションの種類 : Web アプリ/API
   サインオン URL : Web アプリの URL (例 : https://localhost:44333/)

5. 作成したアプリケーションの情報が表示されていない場合は、アプリケーションの一覧から作成したアプリケーションをクリックしてください。
   アプリケーションの一覧に作成したアプリケーションが表示されていない場合は [マイ アプリ] が選択されているドロップダウン メニューから [すべてのアプリ] を選択してください。
6. 作成したアプリケーションの情報から [アプリケーション ID] の値を控えておきます。
7. [設定] - [必要なアクセス許可] - [追加] - [API を選択します] をクリックします。
8. [Office 365 Exchange Online (Microsoft.Exchange)] を選択し、[選択] をクリックします。
9. [委任されたアクセス許可] の中の [Access mailboxes as the signed-in user via Exchange Web Services] のチェックをオンにし、[選択] をクリックします。
10. [完了] をクリックします。
11. [設定] 内の [キー] をクリックします。
12. [キーの説明] と書かれている部分に任意のキーの説明を入力します。(例 : Key01)
13. [期間] が選択されているドロップダウン メニューから [期限なし] を選択します。
14. [保存] をクリックすると [値] が表示されますので内容を控えておきます。

(オプション : Web アプリケーションの URL が変更や追加になるときは、[設定] 内の [応答 URL] から構成することができます。)

ASP.NET Web ページの場合の実装 Part 2

Web アプリの登録ができたら、実装を続けます。

1. Visual Studio 2017 に戻り Default.aspx のコード (Default.aspx.cs) を表示します。
2. ファイル冒頭の using ステートメントを以下に変更します。

   [csharp]
   using Microsoft.Exchange.WebServices.Data;
   using Microsoft.IdentityModel.Clients.ActiveDirectory;
   using System;
   [/csharp]

3. クラスに以下の内容の変数を追加します。
   コメントを参考に実際の値に変更する必要があります。

   [csharp]
   string tenantName = "contoso.onmicrosoft.com"; // 接続するテナントの onmicrosoft.com のドメイン名 (例 : contoso.onmicrosoft.com)
   string clientID = "bf3d4a67-1c2d-41f3-b98c-bde1ac0662e5"; // Azure Active Directory に登録したアプリケーションのアプリケーション ID
   string clientAppUri = @"https://localhost:44344/"; // Azure Active Directory に登録したアプリケーションのサインオン URL
   string key = "loAdXh6WcZJfboxc6UcPgrvp1kcEdXHlnVAkwF/Twnoa"; // Azure Active Directory に登録したアプリケーションのキー
   [/csharp]

4. 以下のサンプル コードを参考に、EwsWork メソッドを追加します。
   このメソッドは取得したアクセス トークンを使用して EWS に接続し、「受信トレイ」フォルダーの表示名を取得するサンプルとなっています。

   [csharp]
   private void EwsWork(string token)
   {
   ExchangeService service = new ExchangeService(ExchangeVersion.Exchange2013_SP1);
   service.Url = new Uri("https://outlook.office365.com/EWS/Exchange.asmx");
   service.Credentials = new OAuthCredentials(token);

   // 以降、通常と同じ EWS の処理
   Folder inbox = Folder.Bind(service, WellKnownFolderName.Inbox);
   Label1.Text = inbox.DisplayName;
   }
   [/csharp]

5. 以下のサンプル コードを参考に、Page_Load メソッドを実装します。
   このメソッドはページが表示された時に必要に応じてアクセス トークンを取得するサンプルとなっています。

   [csharp]
   protected void Page_Load(object sender, EventArgs e)
   {
   AuthenticationContext authenticationContext = new AuthenticationContext("https://login.microsoftonline.com/" + tenantName);
   Uri redirectUri = new Uri(clientAppUri);
   ClientCredential credential = new ClientCredential(clientID, key);

   if (Session["AccessToken"] == null)
   {
   // 取得済みの Access Token がまだない

   if (string.IsNullOrEmpty(Request.QueryString["code"]))
   {
   // 認証画面からのリダイレクトではない
   // Authorization Code を取得するために認証画面へリダイレクトする

   Uri authUri = authenticationContext.GetAuthorizationRequestUrlAsync("https://outlook.office365.com/", clientID, redirectUri, UserIdentifier.AnyUser, null).Result;
   Response.Redirect(authUri.ToString());
   }
   else
   {
   // 認証画面からリダイレクトされてきており Autorization Code を取得できている

   string authCode = Request.QueryString["code"];

   try
   {
   // アクセス トークンを取得する
   AuthenticationResult authenticationResult = authenticationContext.AcquireTokenByAuthorizationCodeAsync(authCode, redirectUri, credential, "https://outlook.office365.com/").Result;

   // 取得したアクセス トークンとユーザー情報を Session に保存
   Session["AccessToken"] = authenticationResult.AccessToken;
   Session["UserIdentifier"] = authenticationResult.UserInfo.UniqueId;

   // URL に含まれる code を削除するため、一度リダイレクトする
   Response.Redirect("/");
   }
   catch (AdalException ex)
   {
   Label2.Text = ex.Message;
   }
   }
   }
   else
   {
   // すでに取得済みのアクセス トークンがある

   UserIdentifier userIdentifier = new UserIdentifier(Session["UserIdentifier"].ToString(), UserIdentifierType.UniqueId);

   try
   {
   // 必要に応じてアクセス トークンを更新する
   AuthenticationResult authenticationResult = authenticationContext.AcquireTokenSilentAsync("https://outlook.office365.com/", credential, userIdentifier).Result;

   // 取得したアクセス トークンを Session に保存
   Session["AccessToken"] = authenticationResult.AccessToken;

   EwsWork(authenticationResult.AccessToken);
   }
   catch (AdalException ex)
   {
   Label2.Text = ex.Message;
   }
   }
   }
   [/csharp]

実装は以上で完了です。
デバッグ実行を開始して動作を確認してください。

正常に動作した場合、認証を行った後に、EWS で取得した「受信トレイ」フォルダーの表示名が表示されます。
なお開発環境の構成によっては認証がうまく行えない場合がありますので、ブラウザーを InPrivate モードで利用することもご検討ください。

おわりに

今回は冒頭にも説明した通り 3 つのシナリオに分けて EWS 接続に OAuth を使用する方法を紹介しました。
なお特に触れませんでしたが、EWS の偽装権限を使用する場合も OAuth の処理としては特に変わりはありません。
そのため、OAuth の認証を偽装権限を持つユーザーで行えば、あとは基本認証の時と同じです。

OAuth について詳しくは以下の技術情報をご参照ください。
今回はサンプルのため割愛いたしましたが、要件によってはトークンの検証やサインアウト処理などを実装する必要がございます。

TITLE: Authorize access to Azure Active Directory web applications using the OAuth 2.0 code grant flow
URL: https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-protocols-oauth-code

TITLE: Azure Active Directory Authentication Libraries
URL: https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-authentication-libraries

TITLE: Home · AzureAD/azure-activedirectory-library-for-dotnet Wiki
URL: https://github.com/AzureAD/azure-activedirectory-library-for-dotnet/wiki

TITLE: Authenticate an EWS application by using OAuth
URL: https://docs.microsoft.com/en-us/exchange/client-developer/exchange-web-services/how-to-authenticate-an-ews-application-by-using-oauth

ご紹介したサンプル コードの利用にあたっては、下記の免責事項をご確認いただきますようお願いいたします。

免責事項について
================
本サンプルコードは、あくまでも説明のためのサンプルとして提供されるものであり、製品の実運用環境で使用されることを前提に提供されるものではありません。
本サンプルコードおよびそれに関連するあらゆる情報は、「現状のまま」で提供されるものであり、商品性や特定の目的への適合性に関する黙示の保証も含め、明示・黙示を問わずいかなる保証も付されるものではありません。
マイクロソフトは、お客様に対し、本サンプルコードを使用および改変するための非排他的かつ無償の権利ならびに本サンプルコードをオブジェクトコードの形式で複製および頒布するための非排他的かつ無償の権利を許諾します。
但し、お客様は、（１）本サンプルコードが組み込まれたお客様のソフトウェア製品のマーケティングのためにマイクロソフトの会社名、ロゴまたは商標を用いないこと、（２）本サンプルコードが組み込まれたお客様のソフトウェア製品に有効な著作権表示をすること、および（３）本サンプルコードの使用または頒布から生じるあらゆる損害（弁護士費用を含む）に関する請求または訴訟について、マイクロソフトおよびマイクロソフトの取引業者に対し補償し、損害を与えないことに同意するものとします。

※本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります

小間 竜太郎

[提供:株式会社マイクロリンク ]

マイクロリンク (クラウド開発) と久野金属工業株式会社 (製造業) が、Microsoft Azureを利用して共同開発した初期費用0円からはじめられるIoTサ－ビスです。

生産ラインで実地検証を重ね、製造現場での使いやすさや見やすさ、データの安全性や安定性などを追求したクラウドサ－ビスです。 

Azure ライセンス提供形態:
Customer Platform License (BYOL)
Partner Platform License (Bundled)

Hi Everyone

Just a quick note to say that update 1806 for Configuration Manager current branch is now available.  Read our announcement on the EMS blog for more information about the new features and how to get the update today.

Yvette

Microsoft Partner Solution Briefs are an ongoing series aimed at helping you, our partners, learn from one another with real-world examples. The brief provides a quick overview with context on business challenges, real examples of partner solutions, and the outcomes.

The challenge

• 10^th Magnitude has seen enormous success in leveraging its expertise in datacenter transformation while also offering the variety and flexibility customers need
• Many of their customers struggle with cost estimation and comparison when migrating
• One energy customer wanted to offer new set of applications to end customer without investing in a new datacenter, all in a few months

The solution

• 10^th Magnitude has built on their mission to perform cloud transformations using Microsoft Azure through tailoring offerings to customer needs from multiple Microsoft competencies
  • Knowledge that deep expertise in one or two areas, combined with a customer-centered perspective, leads to high demand
  • Took advantage of trainings and other events offered by Microsoft
  • Built an Azure Migration Dashboard to help customers assess migration costs
  • For energy customer, migrated 2,500 Linux virtual machines to the Microsoft Azure Cloud, meeting the customers need while also going above and beyond by providing visibility into all applications
  • Utilized Microsoft’s new alignment around open source technologies to adapt their offerings to exactly what a customer needs for their business

The results

• 200% to 250% growth year over year
• 2017 U.S. Partner of the Year winner for Hybrid Cloud and Infrastructure Platform
• 10^th Magnitude founder and CEO Alex Brown said their relationship with their customers “has continued to grow and evolve as Azure has grown and evolved”

Want to see how you can benefit your customers and grow your business like 10^th Magnitude? Read the full case study.

System Center 1807 announcement is available here.

What’s new in System Center Virtual Machine Manager 1807 is available here.

How to Upgrade to System Center Virtual Machine Manager 1807 is available here.

The content in this blog describes the new features and scenarios enabled in System Center Virtual Machine Manager 1807

Users can change VHD placement location

VMM 1807 release enables users to select any CSV for placement of a new disc. In the earlier versions of VMM, a new disc on a VM would be placed by default on the same CSV as the earlier VHDs associated with the VM. Users were not given the flexibility to choose a different CSV / folder. In case of issues related to CSV storage getting full or over commitment, users had to migrate VHD after deploying it.

With VMM 1807, users can choose any location for placement of new disc, giving users more flexibility to deploy new discs based on storage availability of CSVs.

LLDP information of networking devices displayed

The new 1807 version of VMM supports Link Layer Discovery Protocol (LLDP) and users will now be able to see their Network device properties and capabilities information of their hosts from VMM. DataCenterBridging and DataCenterBridging-LLDP-Tools features have been enabled on hosts to fetch LLDP properties.  Host OS must be 2016 or newer.

Users can leverage this functionality to remotely monitor physical network device properties and information. LLDP information displayed in VMM Console is below:

Convert SET switch to Logical Switch

With SCVMM 1807 releases it is now possible to convert a SET switch to logical switch from the console. In earlier versions of SCVMM, users had to run a specific power shell script to achieve this conversion but is now possible through VMM console. To know more

VMware host management

SCVMM now supports management of VMware ESXi 6.5 version servers in VMM fabric. This provides admins flexibility to manage multiple hypervisors using SCVMM.

Patch and Update supported for S2D clusters

SCVMM 1807 supports update of a S2D host or cluster. Individual S2D hosts or clusters can be updated against baselines configured in WSUS server. For S2D clusters, users can check compliance and remediate hosts within the cluster.

- Srividya Varanasi, Sr. Program Manager

The Scenario:

You recently signed an Enterprise Agreement that includes AIP Premium P2 as one of the features (EMS E5/Microsoft 365 E5) and have been told that the AIP Scanner can be used to discover and protect your sensitive data.  You want to know what this story looks like for you and how to fully install, configure, and best utilize the AIP Scanner.  Luckily, I have created multiple blog posts that show you what is possible in that regard.

http://blogs.technet.microsoft.com/kemckinn/2018/03/23/easy-configuration-of-the-azure-information-protection-scanner/

http://blogs.technet.microsoft.com/kemckinn/2018/05/11/more-fun-with-the-aip-scanner-ems-e3-aip-p1-capabilities/

http://blogs.technet.microsoft.com/kemckinn/2018/06/18/aip-scanner-discovering-all-the-sensitive-data/

Unfortunately, due to new capabilities of the AIP Scanner and trying to appeal to the largest audience, I have lost a bit of cohesion when trying to tell the specific story of what can be done at various license levels.  But have no fear! I will shamelessly rip off bring together all of these blogs to give you a full story of what can be done at each of the license levels so you can focus on what you can do right now.  I will focus this article on the Installation, Configuration, and Utilization of the AIP Scanner for functions available to the AIP Premium P2 license and will spare some of the exposition in the original articles for the sake of efficiency.  So feel free to check those articles out if you want to hear more of my witty remarks read more detail about the product.

The Solution:

I have been told that I need to be a bit more adultish with my blog posts going forward, so please check out the stunning conclusion to this blog post on our official AIP blog at https://techcommunity.microsoft.com/t5/Azure-Information-Protection/Installation-Configuration-and-Usage-of-the-Azure-Information/ba-p/221792 and bookmark https://aka.ms/AIPBlog for future exciting content from yours truly (I will of course keep writing my fun scenarios here, but the solutions will all be over in the grown-up blog).

Thanks!

Kevin

こんにちは、Windows プラットフォーム サポートの國重です。
本記事では、Windows 10 バージョン 1709、1803 で確認されている [クイック リンク] メニューの動作についてご紹介いたします。

事象

グループ ポリシーでスタート メニューを別のフォルダーにリダイレクトした場合、[クイック リンク] メニューから PowerShell が起動できない問題が確認されております。

▼ 事象発生時のエラーメッセージ

▼ グループ ポリシーの設定例

回避策

　レジストリ キー: HKEY_LOCAL_MACHINESOFTWAREMicrosoftPowerShell3
　データ: ConsoleHostShortcutTarget
　データ: ConsoleHostShortcutTargetX86
　値: Windows PowerShell.lnk のパス

V srpnu se můžete těšit na dvoudenní bezplatnou vzdělávací konferenci určenou pro databázové vývojáře, administrátory i BI specialisty, kde se na prakticky orientovaných přednáškách předních českých odborníků na SQL Server seznámíte nejen s novinkami v SQL Serveru 2017 a vNext, ale i s best-practices z různých oblastí SQL Serveru a Power BI. Na své si přijdou i vývojáři používající další technologie.

Brno - GIT skrz naskrz
2. srpna 2018 - Martin Havel
Microsoft pokračuje v integraci GITu do svých nástrojů. Podíváme se, jak GIT pracuje a co všechno nabízí. Bude dost času, tak to probereme od základů až po pokročilejší postupy.

Praha - React a Redux
2. srpna 2018 - Pavel Kříž
Renderování UI pomocí knihovny React a management globálního stavu single page aplikací pomocí knihovny Redux. Předvedeme nové možnosti JavaScriptu, funkcionální styl psaní aplikací, revoluční řešení psaní stylů pomocí CSS in JS a testování aplikací v Reactu.

Brno - SQL Server Bootcamp 2018
15. srpna 2018 - Odborníci na SQL Server a Power BI
Zajímá vás, jak SQL Server využít naplno a jak jeho méně známé funkce můžete prakticky využít ve vlastních aplikacích? Obsah konference je naplněn expertními přednáškami od nejlepších expertů, které česká kotlina na tato témata nabízí.

Praha - Entity Framework Core 2.1
21. srpna 2018 - Jiří Činčura
Současně s novou verzí .NET Core 2.1 byla uvolněna i nová verze EF Core 2.1. Co je tedy nového? Proč všichni o této verzi mluví a my nebudeme výjimkou? Dá se již reálně použít nebo jsou ještě oblasti, které pokulhávají?

- Petr Vlk (MVP, KPCS CZ, WUG)

執筆者: Cloud Platform Team

このポストは、2018 年 7 月 26 日に投稿された Cloud Platform Release Announcements for July 25th, 2018 の翻訳です。

Azure App Service での Linux 版 Java SE 8 のサポートのプレビュー

Azure App Service で Linux 版 Java SE 8 のサポートが開始されました (プレビュー)。これにより、修正プログラムが自己適用 (バグ修正やセキュリティ更新プログラムがマイクロソフトによって管理) されるスケーラビリティの高い Web ホスティング サービスで Java Web Apps を構築、デプロイできるようになりました。パフォーマンス機能は以下のとおりです。

• フルマネージド型のエンタープライズ プラットフォーム: ログの収集、メール通知、Azure ポータルのアラート。近日中には、バージョン更新に修正プログラムの自動適用が追加されます。
• パフォーマンスの監視: 任意のアプリケーション パフォーマンス管理 (APM) 製品と統合し、アプリケーションを監視、管理できます。
• グローバル規模と高可用性: マイクロソフトのすべてのグローバル データセンターにおいて、99.95% の稼働率に加えて、低レイテンシ、自動スケーリング、手動スケーリング (スケールアップまたはスケールアウト) が提供されます。
• セキュリティとコンプライアンス: App Service は ISO、SOC、PCI、GDPR に準拠しています。
• 認証と承認: Azure Active Directory による組み込みの認証、IP アドレス制限を管理するロール ベースのアクセス制御 (RBAC) によるガバナンス。
• ビルドの自動化と CI/CD のサポート: 一般提供の開始時には、Maven、Jenkins、Visual Studio Team Services がサポートされます。

Azure に Java Web Apps をデプロイするには、Azure ポータルから作成する、テンプレートを使用する、Maven から作成してデプロイするという 3 つの方法があります。

Azure App Service 用の Maven プラグインを使用すると、Maven プロジェクトへのシームレスな統合が可能になり、Linux 上の Java Web Apps をはじめとするさまざまな種類の Azure App Service を簡単にデプロイできるようになります。この Java ランタイムの前提条件は JRE 8 です。Azure App Service の詳細については、こちらのページをご覧ください。

すべてのパブリック リージョンでの Azure Event Grid の提供開始

Event Grid がすべてのパブリック リージョンで利用可能に

Event Grid は数か月前に一般提供が開始されましたが、このたびすべてのパブリック リージョンでご利用いただけるようになりました。これにより、世界中のお客様がこのフルマネージド型のインテリジェントなイベント ルーティング サービスを使用して、任意の Azure リージョンから、Azure サービスや Azure 以外のサービスの関連イベントにほぼリアルタイムで対応することができます。

この発表の詳細については、こちらのブログ記事 (英語) をご覧ください。

Azure Event Grid の開発エクスペリエンスの強化

Event Grid の開発エクスペリエンスを強化

先日マイクロソフトは、Event Grid の機能を強化しました。これにより、再試行ポリシーと配信不能イベントの処理がサポートされたほか、これらの機能をサポートするようにポータル UX の強化と SDK の更新が行われました。これらの機能強化に加え、イベント パブリッシャーとして Azure Container Registry が追加されたことで、開発エクスペリエンスがさらに向上しています。

この発表の詳細については、こちらのブログ記事 (英語) をご覧ください。

Azure API Management と Application Insights の統合の一般提供

Azure API Management と Azure Application Insights の統合が可能になりました。

これにより、API Management のテレメトリを Application Insights に追加して、API のトラブルシューティングとデバッグをさらに効果的に行うことができます。

プレビュー中に特定された安定性に関する問題が修正されたほか、以下の新機能が追加されました。

• グローバル レベル (すべての API など) および個々の API レベルでの診断設定
• API Management から Application Insights に送信されるテレメトリの量を削減する固定レート サンプリング
• サンプリング設定に関係なく、エラーまたは例外が発生した場合に常にテレメトリを送信するオプション
• ログのヘッダーとペイロード

この統合の詳細については、こちらの手順ガイドをご覧ください。

Availability Zones での Service Bus のサポートのプレビュー

Azure Availability Zones で Service Bus がサポートされました。これにより、アプリケーションとサービス間のクラウド メッセージングを使用して、可用性とフォールト トレランスにさらに優れたミッション クリティカルなアプリケーションを構築できます。

Azure Availability Zones での Service Bus のサポートにより、業界トップレベルの返金制度付きの SLA が提供されるほか、Azure リージョン内の障害から分離された場所で、冗長な電力、冷却、ネットワークを利用できます。プレビューは、米国中部、米国東部 2、フランス中部から開始され、すべての Service Bus Premium のお客様に追加料金なしでご利用いただけます。

Azure Availability Zones での Service Bus のサポートを利用する方法については、こちらのブログ記事 (英語) をご覧ください。

Azure Application Insights のユーザー行動分析ツールの一般提供

マイクロソフトは、2017 年の Microsoft Build で、Application Insights のユーザー行動分析ツールのプレビューを発表しました。これらは、ビジネス指標の追跡、使用状況の傾向の調査、ページ設計の改善に役立てられるツールです。そして先日、このツールにさらに多くの機能を追加し、一般提供を開始しました。

詳細については、こちらのブログ記事をご覧ください。

System Center 1807 の提供開始

2018 年になって間もなく、マイクロソフトはお客様にこれまでよりも速いペースで新機能を提供できるように、System Center に Semi-Annual チャネル リリースを追加しました。最初の Semi-Annual リリースである System Center 1801 は 2018 年 2 月 8 日に提供を開始し、今回 2 回目のリリースとして System Center 1807 の提供を開始しました。今回のリリースでは以下の製品が更新されます。

• Operations Manager 1807
• Virtual Machine Manager 1807
• Data Protection Manager 1807
• Orchestrator/SMA 1807
• Service Manager 1807

System Center 1807 は完全な製品ビルドではなく、更新版のリリースとなるため、System Center 1801 に上書きしていただく必要があります。

System Center 1807 の詳細については、こちらのブログ記事をご覧ください。

Azure のセキュリティと運用管理 – Security Center Adaptive Application Controls の一般提供

Azure Security Center Adaptive Application Controls では、新たに 2 つの機能強化の一般提供が開始されました。1 つ目に、MSI やスクリプトなどの新しいファイルの種類の推奨事項が提案されるようになりました。2 つ目に、実行しているアプリケーションの類似性に基づいて VM をグループ化できるようになりました。これらの機能強化はいずれも、特定のワークロードに含まれる VM に対して Security Center が推奨するホワイトリスト登録ポリシーの正確性を向上させると共に、不要なアプリケーションやマルウェアをさらに簡単にブロックできるようにすることを目的としています。

この機能の詳細については、こちらのブログ記事 (英語) をご覧ください。

Azure Cloud Shell でのブラウザー ベースのテキスト エディターのサポートのプレビュー

Azure Cloud Shell では、Visual Studio Code で使用されているオープンソースの Monaco エディターをベースに構築されたブラウザー ベースのテキスト エディターがサポートされました。「code」と入力するだけで Cloud Shell から直接起動できます。構成とスクリプトは、後で使用できるように CloudDrive ストレージにも同期されます。軽量のテキスト エディターと Cloud Shell 環境を組み合わせることで、インストールや追加の認証フローを必要とせずに、ブラウザーから直接ファイルの書き込み、デプロイ、保存を行うことができます。

詳細については、こちらのページをご覧ください。

Azure IoT Hub の手動フェールオーバーのプレビュー

IoT Hub の手動フェールオーバーのプレビューが開始されました。この機能を使用すると、IoT Hub インスタンスを Azure のプライマリ リージョンから同じ主要地域内の対応するリージョン ペアにフェールオーバーできます。

ソフトウェア システム、特に分散システムでは、万一の障害に備えて計画することが重要です。IoT Hub サービスは、実装のさまざまなレイヤーに冗長性を実装し、一時的な障害やデータセンター内の障害からお客様を保護します。このサービスでは、これらの冗長性を利用した高レベルの SLA が提供されます。しかし、リージョン全体の障害や長時間にわたるサービス停止が (遠隔地であっても) 発生する可能性もあります。IoT Hub サービスでは、このような障害に対する既定の軽減策として、リージョン間の自動災害復旧が提供されます。この復旧プロセスの目標復旧時間 (RTO) は 2 ～ 26 時間です。IoT ソリューションは長時間のサービス停止が許されませんが、手動フェールオーバー機能を使用して、IoT Hub をあるリージョンから別のリージョンにフェールオーバーできるようになりました。この手動フェールオーバーの RTO は 10 分～ 2 時間です。

この機能の詳細については、IoT Hub サービスの HA/DR 機能の概要説明に関する記事をご覧ください。

IoT Hub の手動フェールオーバーを実行する場合の具体的な手順については、手動フェールオーバーの手順ガイド (英語) をご確認ください。また、この機能の詳細については、Channel 9 の Internet of Things Show (英語) をご覧ください。

Azure DNS の SLA の引き上げ

今回、Azure DNS の SLA で 100% の可用性が保証されました。つまり、有効な DNS 要求に対して、最低 1 つの Azure DNS ネーム サーバーから 100% 応答が返されます。今回の発表により、Azure DNS は、SLA によって 100% の可用性を保証する初の Azure サービスとなりました。これは、マイクロソフトの多様性と地理冗長性に優れた DNS サービス インフラストラクチャによって実現したものです。

詳細については、こちらの SLA の定義をご覧ください。

英国南部リージョンでの Network Performance Monitor (NPM) の提供開始

英国南部リージョンにおいて、Network Performance Monitor の一般提供が開始されました。NPM は、クラウドのみ、オンプレミス、ハイブリッドの各ネットワーク環境向けのクラウド ベースのネットワーク監視ソリューションです。これにより、英国南部リージョンにある NPM ワークスペースを使用して、任意の場所のネットワーク、ExpressRoute 回線、URL を監視できるようになりました。

Network Performance Monitor の詳細については、こちらのドキュメント ページをご覧ください。

Azure Advisor の新しい推奨事項の提供開始

Azure Advisor で、追加の推奨事項 (英語) が提案されるようになりました。Azure Advisor は、お客様のニーズに合った Azure のベスト プラクティスを提案するサービスで、Azure ポータルから無料で利用できます。お客様はこれを利用することで Azure リソースを最適化し、コスト削減、パフォーマンス向上、セキュリティ強化、信頼性向上といったさまざまなメリットを実現できます。

このリリースを発表したブログ記事 (英語) では、新しい推奨事項についてより詳しく説明しています。たとえば、Azure Reserved Instances に切り替えてコストを節約する、Azure Service Health のアラートを設定してサービスの問題ごとにパーソナライズされたガイダンスを提示する、テクニカル サポート プランのメリットがあるサブスクリプションを特定する、Traffic Manager を構成してパフォーマンスと可用性を最適化する、といったアドバイスを受けられます。

詳細については、発表記事の全文 (英語) をご確認ください。また、Azure Advisor の Web ページも併せてご覧ください。

Kubernetes の利用を簡素化する Azure Kubernetes Service (AKS)

Kubernetes は、わずか 3 年という短い期間で、コンテナー化されたワークロード向けのオーケストレーターとして業界をリードする存在となりました。Azure Kubernetes Service (AKS) は、インフラストラクチャの複雑さを処理するだけでなく、マイクロソフト独自の企業要件に関する知識と開発者を支援してきた実績を活用して、クラウドで優れた Kubernetes エクスペリエンスを提供します。マイクロソフトは、さまざまな分野や業界のお客様を支援してきた中で、コンテナーや Kubernetes の導入時に想定される課題や、効果的な解決策とそうでないものについて学んできました。AKS と Kubernetes によって、既存のアプリケーションの移行、クラウドネイティブなマイクロサービス アプリケーションの構築、IoT、機械学習といった強力なユース ケースが実現されます。

AKS のユース ケースの詳細については、こちらのブログ記事  をご覧ください。

こちらのサンプル コード (英語) を利用して、簡単に開始することができます。

Azure Database for MySQL での 4 TB のサーバー ストレージの一般提供

Azure Database for MySQL: 4 TB のサーバー ストレージの提供を開始

現在 Azure Database for MySQL をご利用のお客様は、汎用またはメモリ最適化の料金レベルを使用している場合に、4 TB のサーバーを作成するか、あるいは、既存の MySQL サーバー ストレージを 4 TB に更新することができるようになりました。このサーバー ストレージのサイズ増加により、さらに大規模なワークロードがサポートされたため、お客様は、将来的な規模の拡大に簡単に対応することができます。詳細については、こちらのページをご覧ください。

Azure Database for PostgreSQL での 4 TB のサーバー ストレージの一般提供

Azure Database for PostgreSQL: 4 TB のサーバー ストレージの提供を開始

現在 Azure Database for PostgreSQL をご利用のお客様は、汎用またはメモリ最適化の料金レベルを使用している場合に、4 TB のサーバーを作成するか、あるいは、既存の MySQL サーバー ストレージを 4 TB に更新することができるようになりました。このサーバー ストレージのサイズ増加により、さらに大規模なワークロードがサポートされたため、お客様は、将来的な規模の拡大に簡単に対応することができます。詳細については、こちらのページをご覧ください。

Azure Cosmos DB での Change Feed のサポートのプレビュー

Azure Cosmos DB で Change Feed をサポート

Azure Cosmos DB で Change Feed のサポート のプレビューが開始され、効率的かつスケーラブルなソリューションを構築できるようになりました。Change Feed は、すべてのアカウントに対して既定で有効になっており、変更されたドキュメントの一覧を変更された順に並べ替えて出力します。変更は永続的に保持され、非同期かつ段階的に処理できるほか、出力を 1 つ以上のコンシューマーに分散して並列処理を行うことができます。

詳細については、こちらのページ (英語) をご覧ください。

Azure Cosmos DB Java Async SDK 2.0 の一般提供

Azure Cosmos DB Java Async SDK 2.0.0 の一般提供を開始

Azure Cosmos DB Java Async SDK (英語) では、人気の RxJava (英語) ライブラリを使用して、非同期 API の新しいプログラミング サーフェスを追加しており、シーケンスを確認できるイベント ベースのプログラムを作成できます。バージョン 2.0.0 では、SDK で使用される JSON シリアライザーが org.json から Jackson に変更されました。

詳細については、こちらのページをご覧ください。

Azure DevOps ツールの統合 – Ansible 2.6 での Azure のサポートの更新

Azure エンジニアリング チームは、Ansible を使用しているお客様のために Azure のネイティブ サポートを拡大しています。先日リリースされた Ansible 2.6 では、ネットワークと VM のサポートが更新されたほか、4 つの新しい Azure モジュール (英語) が追加され、Azure REST API を使用して Azure Kubernetes Service や Azure リソースを管理できるようになりました。今回の更新には以下が含まれます。

• Azure Kubernetes Service: Azure Kubernetes Service を作成、更新、削除します。
• Resource: Azure REST API を使用して、Azure リソースの作成、更新、削除、情報の取得を行います。

今回のリリースに伴い、Ansible の開発者向けハブで 3 つの新しいチュートリアルが公開されました。

• AKS クラスターを作成して構成する: この記事では、Ansible を使用して、Azure Kubernetes Service クラスターを作成、構成する方法を説明します。
• 仮想マシン スケール セットを作成して構成する: この記事では、Ansible を使用して、仮想マシン スケール セットを作成、スケールアウトする方法を説明します。
• 仮想マシン スケール セットにアプリをデプロイする: この記事では、Java アプリケーションを仮想マシン スケール セットにデプロイする方法を説明します。

利用可能な機能の詳細については、Azure の Ansible 開発者向けハブをご覧ください。

Azure Active Directory (Azure AD) でのパスワード リセットと多要素認証の登録の統合

多要素認証とパスワード リセットのセキュリティ情報を一度に登録できる新しいエクスペリエンスのプレビューがリリースされました。ユーザーが確認コードを取得するために電話番号などのセキュリティ情報を登録した場合に、その番号をパスワードのリセットにも使用できるようになりました。同様に、セキュリティ情報を単一のページから変更または削除して、情報を最新の状態に簡単に維持できるようになりました。