Em terça-feira, 11 de setembro de 2018, a Microsoft lançou novas atualizações de segurança que afetam os seguintes produtos da Microsoft:

Visão geral da vulnerabilidade de segurança

Veja abaixo um resumo mostrando o número de vulnerabilidades solucionadas neste lançamento, discriminadas por produto/componente e por impacto.

(1) Vulnerabilidades que sobrepõem componentes podem ser representadas mais de uma vez na tabela.

(2) No momento do lançamento, as pontuações de CVE só estavam disponíveis para o Windows, o Internet Explorer e o Microsoft Edge.

Novo comunicado de segurança

Comunicados de segurança relançados

Guia de Atualizações de Segurança

O Guia de Atualizações de Segurança é nosso recurso recomendado para informações sobre atualizações de segurança. Você pode personalizar suas exibições e criar planilhas de softwares afetados, além de baixar dados por meio de uma API RESTful. Como lembrete, o Guia de Atualizações de Segurança agora substituiu formalmente as páginas de boletins de segurança tradicionais.

Portal do Guia de Atualizações de Segurança: https://aka.ms/securityupdateguide

Página da Web de perguntas frequentes sobre o Guia de Atualizações de Segurança: https://technet.microsoft.com/pt-br/security/mt791750

Detalhes de vulnerabilidade

Veja a seguir resumos de algumas das vulnerabilidades de segurança neste lançamento. Essas vulnerabilidades específicas foram selecionadas de um conjunto maior de vulnerabilidades no lançamento por um ou mais dos seguintes motivos: 1) Recebemos consultas sobre a vulnerabilidade; 2) a vulnerabilidade pode ter recebido atenção na imprensa especializada; ou 3) a vulnerabilidade tem impacto potencialmente maior do que outras no lançamento. Como não fornecemos resumos para cada vulnerabilidade que consta no lançamento, você deve rever o conteúdo no Guia de Atualizações de Segurança para obter informações não fornecidas nesses resumos.

Sobre a consistência das informações

Nós nos empenhamos para fornecer a você informações precisas usando conteúdos estáticos (esta mensagem) e dinâmicos (baseados na Web). O conteúdo de segurança da Microsoft postado na Web é atualizado frequentemente para informar sobre novidades. Se isso resultar em uma inconsistência entre as informações descritas aqui e as informações no conteúdo de segurança baseado na Web publicado pela Microsoft, as informações nesse conteúdo publicado prevalecerão.

Em caso de dúvidas sobre este aviso, entre em contato com seu Gerente Técnico de Conta (TAM)/Gerente de Prestação de Serviços (SDM).

Agradecemos sua atenção.

Equipe de Segurança Microsoft CSS

El martes, 11 de septiembre de 2018, Microsoft publicará nuevas actualizaciones de seguridad que afectan a los siguientes productos de Microsoft:

Descripción de las vulnerabilidades de seguridad

A continuación se proporciona un resumen en el que se muestra el número de vulnerabilidades tratadas en esta versión, desglosado por producto o componente y por impacto.

(1) Es posible que las vulnerabilidades que aparecen en varios componentes se representen más de una vez en la tabla.

(2) En el momento de la publicación, las puntuaciones CVE solo estaban disponibles para Windows, Internet Explorer y Microsoft Edge.

Nuevos avisos de seguridad

Avisos de seguridad publicados de nuevo

Guía de actualizaciones de seguridad

La Guía de actualizaciones de seguridad es nuestro recurso recomendado para obtener información sobre actualizaciones de seguridad. Puede personalizar sus vistas y crear hojas de cálculo del software afectado, así como descargar datos a través de una API de RESTful. Le recordamos que la Guía de actualizaciones de seguridad ya ha sustituido a las páginas web de los boletines de seguridad habituales.

Portal de la Guía de actualizaciones de seguridad: https://aka.ms/securityupdateguide

Página web de preguntas más frecuentes (P+F) sobre la Guía de actualizaciones de seguridad: https://technet.microsoft.com/es-es/security/mt791750

Detalles de la vulnerabilidad

A continuación, encontrará los resúmenes de algunas de las vulnerabilidades de seguridad de esta versión. Estas vulnerabilidades se han seleccionado entre el conjunto global de vulnerabilidades existentes en la versión por alguno de los motivos siguientes: 1) Hemos recibido consultas relacionadas con la vulnerabilidad; 2) la vulnerabilidad se ha puesto de relieve en la prensa especializada; o 3) la vulnerabilidad puede resultar más perjudicial que otras de la misma versión. Dado que no proporcionamos resúmenes para todas las vulnerabilidades de la versión, debería consultar el contenido de la Guía de actualizaciones de seguridad
para buscar la información que no esté contenida en estos resúmenes.

Respecto a la coherencia de la información

Procuramos proporcionarle información precisa a través de contenido estático (este correo) y dinámico (basado en web). El contenido de seguridad de Microsoft publicado en la Web se actualiza con frecuencia para incluir la información más reciente. Si esto provoca incoherencias entre la información de aquí y la información del contenido de seguridad basado en web de Microsoft, la información autorizada es esta última.

Si tiene alguna pregunta respecto a esta alerta, póngase en contacto con su administrador técnico de cuentas (TAM) o director de prestación de servicios (SDM).

Saludos!

Microsoft CSS Security Team

By Ele Ocholi | Intune Sr. PM

Apple will soon release iOS 12. All existing Intune mobile device management (MDM) and App Protection Policies (APP, also known as MAM) scenarios are compatible with this latest version of iOS. Depending on the functionality being used, there may be some impact to users who upgrade to iOS 12. Be cognizant of the following:

• Apple recommends that system administrators review documentation and prepare before updating to iOS 12. Review Apple’s iOS 12 preparedness support document: https://support.apple.com/HT209028.
• The following VPN clients will not work in iOS 12. You will need to change to the new versions of these VPN clients as soon as possible to prevent loss of connectivity:
  • Cisco Legacy AnyConnect
  • Citrix VPN
  • F5 Access Legacy version 2.1 and earlier
  • Palo Alto Networks GlobalProtect 4.1 and earlier

Note that network access control (NAC) is not supported on the newer clients at this time. See this post on our support blog for more information.

• As with other major platform updates, check app compatibility with your app providers to confirm your users' apps work with iOS 12. You’ll see a note in What’s new for the app in the Apple store or in app details online. Some apps provide day 0 support; others update over time. Ensure your users' managed apps that are deployed through Intune have been updated to a version that supports iOS 12.
• We continuously update the Intune service. You will begin to see support for new iOS 12 features in Intune as we add them into the service. These will be announced in What’s New.
• The Intune App Wrapping tool for iOS was updated to support iOS 12. iOS 12 requires that previously wrapped apps be re-wrapped with the latest Intune App Wrapping tool version.
• Tell users to update to Intune's latest version of the Company Portal, Managed Browser, and APP-supported apps. An updated version of the Managed Browser has been released to the Apple store. The latest version is required to work with iOS 12.
• If you deployed those apps via Intune, you can push an app update.
• The Intune App SDK was updated and released (8.1.1 and higher) to app owners to ensure that Intune managed apps are compatible with iOS 12. Microsoft app teams are working to update apps for compatibility with both Microsoft Intune and with iOS 12. The table below has the latest information on the apps that are updated in the store. Have your users update to the latest versions of the apps to ensure iOS 12 support.
• With the release of iOS 12, Microsoft Intune will end the support of iOS 9. Managed apps and the Company Portal app for iOS will require iOS 10 and higher to access company resources. Devices that aren't updated to iOS 10 before this September will no longer be able to access the Company Portal or those apps. Already enrolled devices will continue to receive updated policies and apps.
• System Center Configuration Manager will support existing scenarios on iOS 12 for hybrid MDM on ConfigMgr 1806 (current branch version) and ConfigMgr 1802.

Below is the current release status of Microsoft apps with the iOS 12 supported SDK.

If you find additional issues, let us know either through commenting on this blog post or reaching out to our Twitter feed @IntuneSuppTeam. You can read more on the new Intune team blog here: https://aka.ms/intuneblog.

We recently posted IT148224 on the M365 Service Health Dashboard to let customers know there’s a known issue whereby users may be unable to install Microsoft Word on iOS using the Intune service. This issue is not limited to Intune; there’s other MDM providers affected. We have reached out to Apple and their engineers are looking into it.

In the interim, if your end users mention that they’ve got a gray Microsoft Word icon on their iOS device, that could indicate a failed installation. As a workaround, if you allow access to the Apple store, your end users can install Microsoft Word directly from the Apple store.

We’ll update this post when Apple resolves this known MDM issue. Again, please be sure to share the workaround with your helpdesk teams.

注: この内容は一般の方を対象とした記述にしています。
今日はセキュリティ基本対策 5 か条の第 1 条「最新の状態で利用する」についてご紹介します。
第 1 条 最新の状態で利用する
第 2 条 アクションセンターで PC のセキュリティやメンテナンス状況に問題がないかを確認する [Coming soon]
第 3 条 アカウントやパスワードを管理する [Coming soon]
第 4 条 暗号化を行う [Coming soon]
第 5 条 バックアップの取得を設定する [Coming soon]

ビデオでもご確認確認いただけます

セキュリティ基本対策 5 か条 - 1. PC を最新の状態で利用する [YouTube]
セキュリティ基本対策 5 か条 - 1-2. AV を最新の状態で利用する [YouTube]

安全に PC を利用するには、「セキュリティ更新プログラムを適用し最新の状態に保つことが重要」というのは、みなさんも耳にしたことがあると思います。
そもそもセキュリティ更新プログラムとは何でしょうか？なぜ適用が必要なのでしょうか？

セキュリティ更新プログラムとは?

詳しくは「セキュリティ更新プログラムを適用しよう」でも図説していますが、セキュリティ更新プログラムとはひと言でいうと、ソフトウェアのセキュリティ上の弱点 (脆弱性) を防いでくれるものです。

最新に保つためにはどうすればよい?

• Windows や Office などのマイクロソフト製品については、Windows Update / Microsoft Update の自動更新機能を使うことで、自動的に更新が適用され常に最新の状態に保つことができます。詳細については、Windows Update の利用手順を確認してください。
• すべてのサポートされる Windows では、既定で自動更新が有効になっており、更新を忘れることなく常にコンピューターを最新の状態にしておくことができます。なお、Windows Update から Microsoft Update に切り替えることで、Windows に加え Office などすべてのマイクロソフト製品の更新プログラムをインストールできるようになります。切り替え方法の詳細については、Windows Update の利用手順を確認してください。

(Windows 10 の Windows Update 画面)

• Office 365 のサブスクリプション モデルの場合、更新プログラムはクラウドから直接アプリケーション上で通知され、更新されます。

(Office 365 Pro Plus の更新プログラムの通知)

• マイクロソフト製品以外のアプリケーションや、さまざまなアプリケーションおよび Web サイトで使用される Adobe Flash Player や Java などの製品も忘れずアップデートすることが重要です。独立行政法人情報処理推進機構 (IPA) 提供の MyJVN バージョンチェッカで古いバージョンの製品が残っていないかを確認できますので、積極的に活用して PC 全体を最新に保ってください。
• 他には、時代とともに進化する攻撃手法に対抗しうる堅牢性を備えた最新のバージョンの製品を利用することも、攻撃から PC やデータを守るための 1 つの有効な対策となります。

學校可以利用 iPad，在國小到高中領域學習中獲得身歷其境的學習體驗。現在 Minecraft: Education Edition 已經在 App Store 上架。

透過 iPad 將 Minecraft 帶入課堂 目前已有 100 多個國家的教育工作者使用 Minecraft 改造課堂，且現在採用 iPad 的學校已可以存取 Minecraft: Education Edition。Minecraft: Education Edition 能讓學生進行專題導向學習，並協助教師管理課堂，是完美的新學期教學工具。 下載應用程式

準備部署 Minecraft: Education Edition 如果您的學校擁有 Microsoft Office 365 教育版之授權，則可能已可取得 Minecraft: Education Edition，請在 2018 年秋季時聯繫您的 IT 管理員，並將應用程式下載到 iPad 上。Minecraft: Education Edition 授權是採用年度訂閱方式，可透過授權教育合作夥伴購買或直接從教育用 Microsoft Store 購買。欲瞭解如何取得授權或下載免費試用版，請參考下方連結。 瞭解授權

探索課程計畫和世界 學生可以利用 iPad，在水域更新中建造遺跡及悠游於珊瑚礁群上、藉由書與鵝毛筆寫下充滿創意的故事，或使用化學資源包進行實驗。教育工作者創造出 500 多個初學者課程，讓 Minecraft 課程變得生動有趣。 尋找課程

探索教師如何使用 Minecraft Minecraft 會影響學生在各學科的學習程度及培養 21 世紀的關鍵能力，例如溝通、協作和數位公民。教育工作者分享了他們的課堂故事，講述 Minecraft 如何啟發學習。 探索案例研究

執筆者: Xiaochen Wu (Senior Program Manager, Azure SQL Database)

このポストは、2018 年 9 月 4 日に投稿された Transparent data encryption or always encrypted? の翻訳です。

Azure SQL Database および SQL Server に最適な暗号化テクノロジを選択する

SQL Server および Azure SQL Database は、透過的なデータ暗号化 (TDE) と Always Encrypted の 2 種類の暗号化テクノロジに対応しています。一般的な暗号化の目的は、さまざまなシナリオの不正アクセスからデータを守ることです。この 2 つのテクノロジは相互補完的な役割を持っています。今回の記事では、2 つの特長を比較しながら、自社に最適なテクノロジの選び方やサービスを組み合わせて多層的なセキュリティ アプローチを構築する方法などをご紹介します。

透過的なデータ暗号化 (TDE)

TDE は保存中のデータを保護するセキュリティ強化テクノロジです。データセンター内部でのデータ窃盗や、ディスク ドライブやバックアップ テープといった保護が不十分なハードウェアやメディアの処分時などに、生のデータ ファイルやバックアップ データへのオフライン アクセスを防止するのに効果的です。透過的なデータ暗号化 (TDE) 機能の紹介記事 (英語) では、攻撃者が盗んだデータベースからデータ、ログ ファイル、スナップショット、コピー ファイル、バックアップを復元するのを防ぐ方法や TDE のベスト プラクティスを紹介しています。

TDE の有効化は、データベース保存時にデータ暗号化を義務付けている法律、規制、各業界のセキュリティ ガイドラインなどの多くに準拠しています。SQL データベースのデータ保護要件が一切ない場合を除いては、TDE を有効化しておくことをお勧めします。TDE で保存中のデータを一定レベルで保護することはできますが、その他のリスクについては OS ファイル システムやハードウェアの階層で対応する必要があります。詳しくは Bitlocker のドキュメントをご覧ください。

TDE は、AES 暗号化アルゴリズムを使用してデータベース全体を暗号化します。この際、既存のアプリケーションを変更する必要はありません。また、入出力されるデータやログ ファイルをリアルタイムで暗号化および復号化することができます。データベースがメモリに読み込まれると、sysadmin や db_owner ロールを持つ SQL Server 管理者、またはクラウドの Azure SQL Database 管理者がデータにアクセスできるようになり、データベースのアクセス権限を持つすべてのロールやアプリケーションで使用することができます。もし、管理者がアクセスすべきでない機密データがデータベースに存在し、特定の列のデータをメモリ内でも暗号化しておく必要がある場合は、TDE と Always Encrypted を併用することを検討してください。

TDE では、サービス管理キーとユーザー管理キーの 2 種類の暗号化キーを使用できます。サービス管理キーでは、サーバーのマスター データベースに保存されている証明書が TDE プロテクターとなります。ユーザー管理キーでは、EKM モジュールや Azure Key Vault で保護されている非対称キーが TDE プロテクターです。Azure SQL Database で TDE と Bring Your Own Key (BYOK) を併用する場合、TDE プロテクターは常にキー コンテナー内に存在しますが、データを暗号化 (および復号化) するデータベース暗号化キー (DEK) を暗号化 (および復号化) する際に、Azure SQL Database がキー コンテナーにアクセスする必要があります。暗号化された DEK がキー コンテナーに送られて複合化されると、複合化された DEK はメモリ内に保存されます。その後、キー コンテナー内の TDE プロテクターが削除されるか、SQL Database へのアクセスが取り消されると、データベースが 24 時間以内にオフラインになり、DEK がメモリから削除されます。

Always Encrypted

Always Encrypted は、Azure SQL Database や SQL Server データベースに保存されている機密データを、データベース管理者 (sysadmin や db_owner ロールを持つ SQL Server 管理者など)、SQL Server インスタンスをホストするマシンの管理者、クラウドの Azure SQL Database の管理者のアクセスから保護する機能です。データベースに保存されているデータは、マシン全体がマルウェアに感染した場合でも保護されます。Always Encrypted では、クライアント側で暗号化を実行します。データがデータベースに送られる前に、アプリケーション内のデータベース ドライバーによって透過的に暗号化されます。また、クエリ結果として返された暗号化データも同様に復号化されます。

Always Encrypted では、クライアント側での暗号化処理に使用されるキーがデータベース エンジン (SQL Database や SQL Server) に開示されることはありません。以下の 2 種類のキーがあります。

• 列暗号化キー: データベース内のデータの暗号化に使用されます。これは暗号化された状態でデータベース内に保存されます (プレーンテキストで保存されることはありません)。
• 列マスター キー: 列暗号化キーの暗号化に使用されます。これは、Windows 証明書ストア、Azure Key Vault、ハードウェア セキュリティ モジュールなどの外部のキー ストアに保存されます。TDE とは異なり、Azure Key Vault に保存されているキーにアクセスできるのはクライアント アプリケーションのみで、データベースはアクセスできません。

Always Encrypted には、「使用中」のデータを保護できるという特長があります。つまり、演算処理や SQL Server のメモリ内での処理が実行されている間も、データを暗号化しておくことができます。そのため、SQL Server がメモリ スキャン攻撃を受けた場合やメモリ ダンプ ファイルからデータを抽出された場合にもデータは保護されます。

高いアクセス権限を持つユーザーがデータの内容を「知る必要がない」場合には、データを保護するためにデータ所有者 (閲覧可能) とデータ管理者 (アクセス権限なし) を区別することができます。これにより、機密データを安全にクラウドに保存したり、オンプレミス データベースの管理を第三者に委任したり、データベース管理者の機密事項取り扱い許可要件を緩和したりできるようになります。

TDE とは異なり、Always Encrypted はアプリケーションに対して完全に透過的ではありません。クライアント ドライバーはデータを透過的に暗号化または復号化できますが、要件や制限によってはアプリケーションの変更が必要となる場合があります。たとえば、Always Encrypted では暗号化されたデータベース列への操作が限定されてしまうため、特に機密性が高いデータを含む列のみに適用することをお勧めします。

クライアント側でデータを暗号化する Always Encrypted の大きな特長は、暗号化の対象列のデータは、保存中、通信中を含めていつでも保護されるという点です。ただし、使用中のデータを保護する必要がない場合は、保存中のデータに TDE、通信中のデータに TLS を使用することをお勧めします。実際には、Always Encrypted、TDE、TLS をすべて併用するのが望ましい場合もあります。

• TDE は、最前線の保護機能として、データベースに保存されているデータをすべて暗号化します (一般的なコンプライアンス要件に対応)。
• TLS は、データベースの通信トラフィックをすべて保護します。
• Always Encrypted は、高いアクセス権限を持ったユーザーやマルウェアからデータベース環境内の機密性の高いデータを保護します。

以下は、TDE と Always Encrypted の機能を比較した表です。

詳細情報

• SQL Server 2016 のエディションとサポート機能
• Always Encrypted に関する Channel 9 のプレゼンテーション: Always Encrypted で機密データを保護する (英語)
• SQLSweet16! 第 1 回: TDE が有効なデータベースでのバックアップ圧縮の使用 (英語)

執筆者: Jamie Cool (Director of Program Management, Azure DevOps)

このポストは、2018 年 9 月 10 日に投稿された Introducing Azure DevOps の翻訳です。

マイクロソフトは本日、Azure DevOps を発表しました。世界中のお客様や開発者の皆様と関わらせていただいていると、スムーズなチーム作業には DevOps が欠かせなくなってきていることがわかります。Azure DevOps には、ソフトウェア開発チーム向けのツール提供に 15 年以上もの投資と学習を続けてきたことで得た教訓が活かされています。今回のリリースに向けて、先月は大小さまざまなチームの 80,000 人以上のマイクロソフト内部ユーザーと多くのお客様にこのサービスを使用していただきました。

Azure DevOps はパブリック クラウドとしては最も包括的な製品で、開発ライフサイクルの広い範囲を網羅し、開発者の皆様が高品質なソフトウェアを迅速にリリースできるように支援します。Azure DevOps では以下の機能が提供されます。

Azure Pipelines

あらゆる言語、プラットフォーム、クラウドに対応した CI/CD 機能。GitHub や任意の Git リポジトリに接続し、継続的にデプロイできます。詳細はこちら >

Azure Boards

かんばんボード、バックログ、チーム ダッシュボード、カスタム レポートを備えた強力な作業追跡ツール。詳細はこちら >

Azure Artifacts

公開されているソースやプライベートなソースからの Maven、npm、NuGet パッケージのフィード。詳細はこちら >

Azure Repos

クラウドでホストされる容量無制限のプロジェクト用プライベート Git リポジトリ。プル リクエストや高度なファイル管理などを共同で実施できます。詳細はこちら >

Azure Test Plans

すべての機能が統合されたテスト ソリューション。計画された手動テストと探索的テストが可能です。詳細はこちら >

Azure DevOps の各サービスはオープンであり、拡張可能です。また、フレームワーク、プラットフォーム、クラウドの種類を問わず、あらゆるアプリケーションで大きな効果を発揮します。これらのサービスは、完全な DevOps ソリューションともその他のソリューションとも組み合わせて使用できます。Azure Pipelines で、Node.js のサービスを GitHub リポジトリで構築およびテストを実施し、AWS のコンテナーにデプロイするというようなことも可能です。Azure DevOps はパブリック クラウドとプライベート クラウドのどちらの構成にも対応しており、クラウドと自社データセンターのいずれでも実行できます。ライセンスを追加購入する必要はありません。詳しくは、Azure DevOps の料金ページをご覧ください。

次の図は、Azure Pipelines を単体で使用して GitHub リポジトリを作成する場合の例です。

次の図は、Azure Boards の画面から Azure DevOps のサービスをすべて使用している例です。

Azure Pipelines の CI/CD 機能をオープン ソース プロジェクトに無料提供

すべての開発者にオープンで柔軟なツールを提供する取り組みを拡大するために、Azure Pipelines では無料で CI/CD 機能を提供します。使用時間の制限はなく、1 つのオープン ソース プロジェクトにつき最大 10 個の並列ジョブに対応します。Azure Pipelines は、クラウドでホストされる Linux、macOS、Windows のプールであらゆる種類のプロジェクトにご利用いただけます。

Atom (英語)、CPython (英語)、Pipenv (英語)、Tox (英語)、Visual Studio Code (英語)、TypeScript (英語) など、主要なオープン ソース プロジェクトの多くで、既に CI/CD に Azure Pipelines が使用されています。

マイクロソフトでは、最高品質のサービスを提供するために、有料ユーザーと同じインフラストラクチャでオープン ソース プロジェクトを実行しています。

Azure Pipelines は GitHub Marketplace (英語) でも提供しており、GitHub リポジトリやオープン ソースなどを容易にセットアップしていただけます。

次のビデオでは、Azure Pipelines の概要を説明しています。

詳細はこちら (英語) >

Visual Studio Team Services (VSTS) が進化

Azure DevOps は、Visual Studio Team Services (VSTS) の進化系です。このため、VSTS ユーザーは自動的に Azure DevOps プロジェクトにアップグレードされます。既に VSTS をご利用の場合は、既存のすべての機能が継承され、さらに新しい選択肢やコントロールが追加されます。VSTS の大きな特長であるエンドツーエンドの追跡可能性や統合機能は完全に引き継がれます。Azure DevOps サービスは他の機能とも非常に良く連携します。本日から新機能の提供が開始され、今後数か月の間に既存ユーザーの皆様に更新が適用されます。具体的には以下のことが変更になります。

• URL が abc.visualstudio.com から dev.azure.com/abc に変わります。visualstudio.com の URL にアクセスした場合はリダイレクトされますので、リンク切れの心配はありません。
• 今回の変更に伴い、ユーザー エクスペリエンスが更新 (英語) されました。プレビュー期間中にご提供いただくフィードバックを基に、今後もユーザー エクスペリエンスの改良を進めていきます。新規ユーザーの方には、本日から既定でこのエクスペリエンスが適用されます。既存ユーザーの方は、今後数か月の間にご利用いただけるようになります。
• オンプレミスの Team Foundation Server (TFS) をご利用の方には、今後も Azure DevOps で提供される機能が更新版として提供されます。次期バージョンの TFS からは製品名が Azure DevOps Server となり、通常の更新サイクルで機能強化が継続されます。

詳細については、これらの更新を既存の VSTS 組織に適用する方法 (英語) を参照してください。

参照情報

Azure DevOps について詳しく知るには、ぜひ以下のイベントにご参加ください。

• Azure DevOps の基調講演をライブ配信。2018 年 9 月 11 日 午前 8:00 ～ 9:30 (太平洋夏時間)
• Mixer によるライブ配信でワークショップと質疑応答を実施。2018 年 9 月 17 日 午前 8:30 ～ 午後 2:30 (太平洋夏時間)

イベント ページ (英語) からカレンダーに予定を追加し、ライブ ストリーミング配信をご覧ください。また、オンデマンド配信のビデオやその他の資料もご用意していますので、使用開始にあたってお役立てください。

Azure DevOps を提供できることをたいへん嬉しく思っています。ぜひご利用いただき、驚くような作品が生み出されることを期待しています。

(本記事は 2018 年 9 月 13 日に Xbox Wire に掲載された記事の一部抄訳です。)

Forza ファンの皆さん、私たちは Forza Horizon 4 発売に向け大きく一歩近づきました。本日、Forza Horizon 4 が完成し、ディスク製造およびダウンロード版の発売に向けた最終設定に入ったことをご報告します。Playground Games は、アルティメット エディションは 9 月 28 日、その他エディションは 10 月 2 日の発売を祝し、Forza Horizon 4 体験版の配信開始をお知らせします。また、映画史上世界中で有名な映画に関する Day One カー パックについてもご紹介しましょう。

ベスト オブ ボンド カー パック
Forza Horizon 4 の Day One カー パックはベスト オブ ボンド カー パックとして配信します。本カー パックは、9 月 28 日からプレイ可能なアーリー アクセス権のついた Forza Horizon 4 アルティメット エディションに同梱されます。また、その他エディションをご購入された方は 10 月 ２ 日より本カー パックを購入することができます。
ベスト オブ ボンド カー パックは、007 ゴールドフィンガー (1964)、007 黄金銃を持つ男 (1974)、 007 スカイフォール (2012)、007 スペクター (2015) などジェームズ ボンドを主人公にした映画に登場したクルマから 10 車種を収録しています。車種は 007 ワールド・イズ・ノット・イナフ に登場した BMW Z8 などのモダン クラッシックから、多くのボンド映画に登場した Aston Martin DB5 を含む Aston Martin の複数のクルマなどを収録しています。

以下がベスト オブ ボンド カー パックに収録される、車種と登場した映画の一覧です。

• Aston Martin DB5 (1964): 007 ゴールドフィンガー (1964)、007 サンダーボール作戦 (1965)、 007 ゴールデンアイ (1995)、007 スカイフォール (2012)、007 スペクター (2015)
• Aston Martin DBS (1969): 女王陛下の007 (1969)
• AMC Hornet X Hatchback (1974): 007 黄金銃を持つ男 (1974)
• Lotus Esprit S1 (1977): 007 私が愛したスパイ (1977)
• Citroën 2CV6 (1981): 007 ユア・アイズ・オンリー (1981)
• Aston Martin V8 (1986): 007 リビング・デイライツ (1987)
• BMW Z8 (1999): 007 ワールド・イズ・ノット・イナフ (1999)
• Aston Martin DBS (2008): 007 慰めの報酬 (2008)
• Jaguar C-X75 (2010): 007 スペクター (2015)
• Aston Martin DB10 (2015): 007 スペクター (2015)

パックに含まれるいくつかのクルマは、映画に登場した改造を Forzavista モードで鑑賞することができます。例えば、Aston Martin DB5 (1964) は、回転式ナンバー プレートや伸縮式バンパーなど多くの機能を搭載しています。また、Lotus Esprit S1 を、 007 私が愛したスパイ に登場した Wet Nellie (ウェットネリー) にするスペシャル ボディー キットが搭載されます。
クルマに加え、ベスト オブ ボンド カー パックを所有しているプレイヤーは、2 つのボンド アウトフィットや、マルチプレイでクイック チャットに使える 6 つの特別なフレーズがゲーム内ボンド グッズとして提供されます。

Forza Horizon 4 体験版配信開始
Forza Horizon 4 の発売まで待てないという方に、本日から Forza Horizon 4 体験版の配信を開始しました。オープンワールド ゲームの楽しさが詰まった美しい歴史あるイギリスの風景を旅する。Forza Horizon 4 は季節がすべてを変え、体験版ではそれぞれのユニークな季節が体験できます。氷雪の冬から季節は暑い夏へ。それぞれの季節にはそれぞれの挑戦が待っています。
450 車種以上のクルマとともに発売を迎える Forza Horizon 4 なら、体験版でもイギリスの道路や小道を多くのクルマでただ走らせ、ドリフトし、入り込んだり壊したりできることができます。
Horizon ライフをスタートする時が近づいてきました。9 月 28 日から発売される製品版に向け、自動車の栄光の到来を感じていただける初めての機会となる体験版を Xbox One や Windows 10 PC でお楽しみください。

関連情報

• ゲームの体験版 - Microsoft Store

こんにちは！ Azure & Identity サポート チームの三浦 大です。

今回はテナント制限の機能に関して、よくあるお問い合わせと、その回答をまとめさせていただきました。

テナント制限とは

まず、テナント制限とは、 Azure AD に対する認証の通信をプロキシ経由させ、そのプロキシから送信されるデータに、アクセスを許可する Azure AD テナントの情報を付与しておくことで、それ以外の Azure AD テナントへのアクセスをブロックする機能を指しています。

詳細については、以下の公開情報をご参照ください。

自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions)

https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions/

テナント制限が機能しており、アクセスを許可しないテナントの  Office 365 や Azure へのサインイン時に 「ここからアクセスすることはできません」 のエラーメッセージが表示されます。

以下にて、テナント制限に関連する、よくあるお問い合わせをまとめました。

ぜひご参照ください！

よくあるお問い合わせ

Q : MS アカウントを利用すると、制限の画面が表示されますが、回避策はありませんか？

A : MS アカウントを許可する場合には、以下をテナント制限の許可するリストに追加します。

("Restrict-Access-To-Tenants" ヘッダーに含まれるようにします)

microsoftservices.onmicrosoft.com

MSARealms.onmicrosoft.com

Q : 制限されるのは Office 365 だけですか？

A  : いいえ。

以下の認証エンドポイントを使用する、すべてのサービスが制限されます。

login.microsoftonline.com

login.windows.net

login.microsoft.com

例えば Azure ポータル、EA ポータルにアクセスする際も制限されます。

また、ゲストユーザーの場合、招待されたテナントではなく、管理元のテナントで認証が行われるため、ゲストユーザーの招待元テナントも、テナント制限で許可する必要があります。

Q : (クライアントですが)、テナント制限によってアクセスできないテナントにアクセスできるようにしてほしい。

A : 接続元のクライアントが利用するプロキシサーバーの設定変更が必要です。

プロキシ サーバーを管理している IT 部門へ申請をあげるなどで、テナント制限の許可するリストに該当のテナントを追加してもらってください。

Q : Azure AD 側での設定変更は必要ですか？

A : いいえ。

プロキシの設定のみで、テナント制限が機能します。

Q : テナント制限の、アクセスを許可するリストにテナントを追加したいが、テナント名などがわからない。

A : テナント制限では、"Restrict-Access-Context" ヘッダーに設定したテナントに、テナント制限のログを記録することができます。

テナント制限のログを参照することで、ブロックされているテナント ID を取得することができます。

具体的には以下のように、ログが出力されます。

以下のログは、テナント (*****01.onmicrosoft.com) のみをテナント制限にてアクセス許可しており、テナント (*****02.onmicrosoft.com) にアクセスを試みて失敗していることを示すものです。テナント制限によりアクセスが制限されている場合には「Login Status」が "Failure" と記述されます。

アクセスを許可するテナントとして追加したい場合は、テナント制限のログの、「Target tenant ID」を参照し、

テナント制限の許可リストである "Restrict-Access-To-Tenants" へ追記します。

※ "Restrict-Access-To-Tenants" には、テナント名とテナント ID のどちらでも登録可能であり、混合しても問題なく動作しますのでご安心ください。

Q : テナント制限で許可をすることができるテナント数に上限はありますか？

A : テナント制限にて、許可をするテナント数自体には上限は設けられていません。

しかし、ヘッダーの長さの上限 (MaxFieldLength) と、リクエストとヘッダーを含めた合計のサイズの上限 (MaxRequestBytes) があるため、多数のディレクトリを追加する場合、この上限を超えないように注意が必要です。

※ テナント名の平均を 30 文字 (30 バイト) とすると、ヘッダーにはテナント名を約 2,000 個追加できます。

MaxFieldLength の最大値: 65534 バイト (6K バイト)

MaxRequestBytes 最大値: 16777216バイト (16M バイト)

上記内容が、皆様のご参考になれば幸甚です。

こんにちは！ Azure & Identity サポート チームの三浦 大です。

今回は Azure AD のディレクトリロールが割り当てられているユーザーの一覧を CSV で出力する PowerShell スクリプトをご紹介します。

Azure AD はセキュリティの観点から、ディレクトリロールにて設定できるロールが細かく分類されております。

各ロールのメンバーの一覧は、先日の ブログ で紹介しましたように、 Azure ポータルから参照することができます。

しかし、この一覧をファイルとして出力したいというご要望もあるかと思います。

以下のとおり、ディレクトリロールの一覧を出力する PowerShell スクリプトを作成いたしましたので、ぜひご利用ください！

※ 実行に際しては、事前に Install-Module -Name MSOnline コマンドを実行し、 Azure AD PowerShell モジュールのインストールをお願いいたします。

Azure AD PowerShell のインストールなどについては、以下の公開情報をご参照くださいませ。

Azure Active Directory の PowerShell モジュール

https://blogs.technet.microsoft.com/jpazureid/2017/12/04/aad-powershell/

PowerShell スクリプト

Import-Module MSOnline

Connect-MsolService

#任意の csv が出力されるディレクトリを設定してください。

$outfile = "C:output.csv"

$dataList

$data = New-Object PSObject | Select-Object DirectoryRole, User

$role = Get-MsolRole

$dataList = @()

foreach ($test in $role) {

$member = Get-MsolRoleMember -RoleObjectId $test.objectid

If ($null -eq $member) {

$role = $test.name

Write-Output "$role,"

$data = New-Object PSObject | Select-Object DirectoryRole, User

$data.DirectoryRole = $role

$data.User = $null

$dataList += $data

}

Else {

foreach ($m in $member) {

$role = $test.name

$user = $m.EmailAddress

Write-Output "$role,$user"

$data = New-Object PSObject | Select-Object DirectoryRole, User

$data.DirectoryRole = $role

$data.User = $user

$dataList += $data

}

}

}

$DataList | Export-Csv $outfile -Encoding Default

出力結果の例

 スクリプトを実行すると資格情報が求められますので、出力対象の Azure AD テナントの全体管理者の資格情報を入力します。

その後自動的に csv ファイルにロールの一覧が出力されます。以下は出力のサンプルです。

本ブログにて、管理者の方のご負担が、少しでも軽減されれば幸甚です。

こんにちは。 Azure Identity サポートの谷です。

以下のサイトで案内している Office 365 での TLS 1.0 と 1.1 の無効化に伴う、Azure AD Connect での対応についてまとめました。

Office 365 への TLS 1.2 の実装に対する準備
https://support.microsoft.com/ja-jp/help/4057306/preparing-for-tls-1-2-in-office-365

Azure AD Connect でも TLS 1.2 による接続を有効にする必要があります。

Azure AD Connect では、Azure AD Connect、OS (および更新プログラムの適用状況)、.Net Framework のバージョンに依存し、それぞれ対応が異なります。

TLS 1.2 を Azure AD Connect の通信で使用するためのサマリは以下の通りです。

各バージョン毎での対応
========================================

□ OS として TLS 1.2 を利用するために必要な対応

□ Azure AD Connect の通信 (.NET Framework) を TLS 1.2 にするために必要な対応
<Azure AD Connect がバージョン 1.1.614.0 未満の場合>

<Azure AD Connect がバージョン 1.1.614.0 以上の場合>
対応は不要です。

アップグレードを行う場合、下記をご確認ください。

Azure AD Connect アップグレード手順
https://blogs.technet.microsoft.com/jpazureid/2018/08/10/azure-ad-connect-upgrade/

以上をまとめると次のようになります。

========================================
各バージョンの確認方法
========================================

□ OS のバージョンの確認
□ 修正モジュール適用状況の確認
□ Azure AD Connect のバージョンの確認
□ .Net Framework のバージョンの確認

□ OS のバージョンの確認
----------------------------------------

1. Azure AD Connect がインストールされたサーバーにログインします。
2. コマンド プロンプトを管理者権限で起動します。
3. 以下のコマンドを実行します。

# ver

上記コマンド実行結果より、OS バージョンを特定することができます。

□ 修正モジュール適用状況の確認
----------------------------------------

Windows Server 2012 R2 未満の OS にて、後述 .Net Framework 更新プログラム適用の前提条件となる更新プログラムが適用されていることを確認します。

マイクロソフト セキュリティ アドバイザリ 2868725

https://technet.microsoft.com/ja-jp/library/security/2868725.aspx

バージョン情報は下記のファイルのプロパティ - 詳細 タブ内のファイル バージョンより確認できます。

---------------
ファイル パス : C:WindowsSystem32
ファイル名 : schannel.dll
---------------

確認結果より下記より新しいバージョンであれば、適用作業を実施する必要はなく、対応は不要となります。
Windows Server 2008 R2 : 6.1.7601.18270
Windows Server 2012    : 6.2.9200.16722

□ Azure AD Connect のバージョンの確認
--------------------------------------------------
Azure AD Connect のバージョンの確認方法は、Azure AD Connect の Help – About からなど何通りかありますが、以下の方法で確認できます。

1. Azure AD Connect がインストールされたサーバーにログインします。
2. コマンド プロンプトを管理者権限で起動します。
3. 以下のコマンドを実行します。
   # wmic product list > %userprofile%desktopproduct.txt
4. デスクトップ上に作成された product.txt を開き、"Microsoft Azure AD Connect" の欄の "Version" の項目を確認します。

□ .Net Framework のバージョンの確認
--------------------------------------------------
下記弊社技術情報の手順にて確認ます。

Title: インストールされている .NET Framework バージョンを確認する
URL : <https://docs.microsoft.com/ja-jp/dotnet/framework/migration-guide/how-to-determine-which-versions-are-installed>

========================================
対応方法
========================================

-------------------------------------------------------------------------------
□ OS バージョン毎での対応方法
-------------------------------------------------------------------------------
<Windows Server 2008 での対応方法>
-------------------------
Windows Server 2008 で TLS 1.2 を利用するためには、Update for Windows Server 2008 (KB4019276) を適用する必要があります。

Update to add support for TLS 1.1 and TLS 1.2 in Windows Server 2008 SP2 and Windows Embedded POSReady 2009
<https://support.microsoft.com/en-us/help/4019276/update-to-add-support-for-tls-1-1-and-tls-1-2-in-windows>

<Windows Server 2008 R2 での対応方法>
-------------------------
Windows Server 2008 R2 では下記のレジストリ値が明示的に設定されているか確認し、未設定の場合には、設定後に OS 再起動を実施します。
キー：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSchannelProtocolsTLS 1.2Server
　名前：Enabled
　タイプ: REG_DWORD
　値：1

 　名前：DisabledByDefault
　タイプ: REG_DWORD
　値：0

<Windows Server 2012 以降での対応方法>
-------------------------
OS としては既定で TLS 1.2 を利用するため OS にて対応は不要です。

-------------------------------------------------------------------------------
□ Azure AD Connect がバージョン 1.1.614.0 未満の場合の対応
-------------------------------------------------------------------------------

<.NET Framework 4.5.x (4.5、4.5.1 など) の場合>
-------------------------
セキュリティ アドバイザリ 2960358 で紹介されている修正プログラムが必要ですので適用します。
マイクロソフト セキュリティ アドバイザリ 2960358
https://technet.microsoft.com/library/security/2960358

 この更新プログラムのインストール時に発生する可能性のある既知の問題が報告されていますので、併せてご確認ください。
(.NET Framework を使用している製品は多くあります。 Azure AD Connect 以外の役割を兼ねている場合には、更新プログラムの適用、 TLS 1.2 を利用させるように変更する際に他に影響が無いかの動作確認が必要です)

セキュリティ更新プログラム 2960358 をインストールした後に、Internet Explorer でホストされるマネージ コントロールを含むアプリケーションとノータッチ デプロイメントが正しく機能しないことがある
https://support.microsoft.com/ja-jp/kb/2978675

更新プログラムが適用されると以下のレジストリが設定されます。設定されていることを確認し、もし設定されていなければ変更します。
　キー：HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv4.0.30319
　名前：SchUseStrongCrypto
　タイプ: REG_DWORD
　値：1

 　キー：HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoft.NETFrameworkv4.0.30319
　名前：SchUseStrongCrypto
　タイプ: REG_DWORD
　値：1

<.NET Framework 4.6 以降の場合>
-------------------------
特に修正プログラムの適用は不要ですが、レジストリを手動で設定する必要があります。
設定後のシステムの再起動は不要です (PowerShell を起動している場合は設定を反映させて TLS 1.2 を利用させるためには PowerShell の再起動が必要です)。
Windows Server 2016 は既定で .NET Framework 4.6 が含まれています。

　キー：HKEY_LOCAL_MACHINESOFTWAREMicrosoft.NETFrameworkv4.0.30319
　名前：SchUseStrongCrypto
　タイプ: REG_DWORD
　値：1

　キー：HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoft.NETFrameworkv4.0.30319
　名前：SchUseStrongCrypto
　タイプ: REG_DWORD
　値：1

========================================
TLS 1.2 を利用しているか確認方法
========================================

設定後に実際に TLS1.2 での通信が行われるか確認を行う場合、下記の手順にて確認を行うことが可能です。
- 手順:
1. Azure AD Connect サーバーにて、コマンド プロンプトを管理者として実行します。
2. 以下のコマンドを実行します。
netsh trace start capture=yes  maxSize=2000M
ipconfig /flushdns
nbtstat -R
klist purge
klist purge -li 0x3e7
klist purge -li 0x3e4

3. Azure AD Connect にて差分同期を実行します。以下の PowerShell コマンドにて実行いただけます。
Start-ADSyncSyncCycle Delta

4. 2 のコマンドプロンプトにて、以下のコマンドを実行します。
netsh trace stop

5. トレース ファイルの収集処理が完了しましたら "ファイルの場所" として表示されている NetTrace.etl ファイルを採取します。
6. 任意の端末にて Microsoft Network Monitor を実行します。
7. 採取したファイルを開きます。
8. Filter に以下を入力し、[Apply] ボタンをクリックします。(ClientHello のみを表示します)
TLS.TlsRecLayer.TlsRecordLayer.SSLHandshake.HandShake.ClientHello
9. Destination が adminwebservice*.microsoftonline.com のパケットを選択します。(adminwebservice-s1-co2.microsoftonline.com など)
10. 左下のウィンドウにて、TLS の詳細を開き確認します。

例:
- TLS: TLS Rec Layer-1 HandShake: Client Hello.
- TlsRecordLayer: TLS Rec Layer-1 HandShake:
ContentType: HandShake:
- Version: TLS 1.2   <<< ◆ TLS 1.2 で通信していることを示します

以上で確認方法は終了となります。

なお、Microsoft Network Monitor は以下よりダウンロードいただけます。
タイトル : Microsoft Network Monitor 3.4
URL : http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=983b941d-06cb-4658-b7f6-3088333d062f
NM34_ia64.exe ... Network Monitor 3.4 IA64 版
NM34_x64.exe  ... Network Monitor 3.4 x64 版
NM34_x86.exe  ... Network Monitor 3.4 x86 版

2018年9月18日（火） 13:00-14:50（12:45開場）

日本マイクロソフト株式会社 品川本社 31F セミナールームA
東京都 港区 港南 2-16-3 品川グランドセントラルタワー 　
https://www.microsoft.com/ja-jp/mscorp/branch/sgt.aspx

SQL Server への移行を効率的に実施するためのツール / サービスや、Azure の移行先として利用することができる、新しいサービスの提供が開始されています。 今回の SQL Server 丸わかり 1 日セミナーでは SQL Server / Azure の SQL Server ベースの Database サービスに、データベースを移行をする際に使用できるツール/サービスや、Public Preview で提供されている、Azure SQL Database の新しいサービスである Managed Instance の最新情報をお届けします。

続きはこちら

Již jsme vás informovali o změnách, které Microsoft plánuje s technickou podporou pro sady Office, operační systémy Windows a služby Office 365. A nyní máme aktualizaci těchto změn. Která pravděpodobně potěší nejednoho z vás.

Delší životnost podzimních Windows 10 Enterprise

Bohužel ne všechny společnosti stíhají plně zrychlený vývojový cyklus Windows 10 a těm nyní Microsoft vyšel vstříc, pokud používají edici Enterprise.

• Vydání Windows 10 Education a Enterprise ve verzích 1607, 1703, 1709 a 1803 získávají 30 měsíců podpory od data vydání.
• Všechna nová zářijová vydání Windows 10 Education a Enterprise počínaje 1809 obdrží taktéž 30 měsíců podpory od data vydání.
• Všechna nová březnová vydání Windows 10 Education a Enterprise počínaje 1903 obdrží 18 měsíců podpory od data vydání.
• Všechny další vydání Windows 10 Home, Windows 10 Pro, Windows 10 Business a Office 365 ProPlus obdrží 18 měsíců podpory od data vydání. Změna se nedotýká Office 365 Business, které jsou podporovány jen do vydání další verze.

Přehledněji ve formě tabulky:

Placená podpora pro Windows 7

Podpora Windows 7 končí 14. ledna 2020. Pokud do této doby nestihnete nasadit Windows 10 a potřebujete zajistit dostupnost kritických bezpečnostních aktualizací právě i po této době, bude až do roku 2023 možné zakoupit takzvané ESU, Extended Security Updates.

Ty je možné zakoupit podle počtu zařízení a jejich cena se bude každý rok zvyšovat. Zároveň budou k dispozici pouze pro edice Professional a Enterprise zákazníkům s multilicenční smlouvou Zákazníci s platnou Software Assurance budou mít ESU levnější. Pro takováto zařízení budou také dále podporovány i sady Office 365 ProPlus ve své 2016 edici.

Office 365 pro starší operační systémy

Dříve oznámené změny v podpoře sady Office 365 ProPlus se nyní nebudou týkat Windows 8.1 a Windows Server 2016. Zde je konec podpory prodloužen do ledna 2023 pro Windows 8.1 a říjen 2025 pro serverové nasazení a je tedy shodný s koncem životního cyklu samotného OS.

Office 2016 a Office 365

Původně oznámené datum 13. října 2020 pro ukončení podpory Office 2016 ve službách Office 365 bylo odloženo do října 2023. Po tomto datu budou vyžadovány sady Office, které jsou kryty hlavní technickou podporou (mainstream support). Tedy sady Office 365 ProPlus, nebo Office 2019 či jejich následná vydání.

Celou oficiální zprávu si můžete přečíst v originále v článku Helping customers shift to modern desktop.

- Petr Vlk (MVP, KPCS CZ, WUG)

こんにちは、Azure & Identity サポート チームの倉本です。

今回は、 Azure AD 登録 (Azure AD registered) と Azure AD 参加 (Azure AD joined) の違いについて紹介します。

Azure AD へのデバイス登録の種類は複数あり、 その違いについてお問い合わせを多くお寄せいただいております。

それぞれについてどういった場面で利用されることが想定されているかを説明していきます。

Azure AD に登録されるデバイスの種類は下記の 3 種類となっています。

・ Azure AD 登録 (Azure AD registered)

・ Azure AD 参加 (Azure AD joined)

・ ハイブリッド Azure AD 参加 (Hybrid Azure AD joined)

まず先に大きく利用ケースを分けると下記のようになります。

BYOD デバイスの組織での管理

     Azure AD 登録

組織管理内の Windows デバイスからのアクセスのサポート

     Azure AD 参加 (オンプレ AD 環境を持たない場合)

     ハイブリッド Azure AD 参加 (オンプレ AD 環境を持っている場合)

ここからは、ユースケースとともに各登録の種類の詳細を説明させていただきます。

<Azure AD 登録 (Azure AD registered)>

対象デバイス : Windows 10, Android, iOS, macOS

他の登録については、Windwos デバイスのみが対象となっていますが、 Android, iOS, macOS をサポートしていることからも分かるように

Azure AD 登録は Bring Your Own Device (BYOD) ご利用時に使用することを想定した機能となります。

Azure AD 登録を構成することでユーザーは、個人のデバイスで組織の管理するクラウド アプリケーションにサインインできるようになります。

組織の管理者は、 MDM と連携して組織に必要な設定を展開するなど、組織の要求するセキュリティ要件に満たすような構成をユーザーのデバイスに強制させることができます。

加えて、 Microsoft Intune などのモバイル デバイス管理 (MDM)ソリューションとの連携を実施させることで [条件付きアクセス - ポリシー] でのアクセス制御が可能になります。

<Azure AD 参加 (Azure AD joined)>

対象デバイス : Windows 10

Azure AD 参加はオンプレ AD 環境を持たない組織、あるいはオンプレ AD 環境からクラウドへの完全移行を進めている組織でご利用いただくことを想定している機能となります。

Azure AD 参加を実施することで下記の機能を利用することが可能です。

・Microsoft Intune などのモバイル デバイス管理 (MDM)ソリューションとの連携による [条件付きアクセス - ポリシー] でのアクセス制御

・Azure AD ユーザーでの Azure AD 参加端末へのWindows サインイン

・Window 10 デバイスへサインインを実施したユーザーの資格情報を利用したクラウド アプリケーションへの SSO (*)

* 対象ブラウザ (IE /Edge)、対象アプリケーションに限定されます。

利用可能な機能を見ても分かる通り、 Azure AD 参加は Azure AD 登録の機能を包合した機能となっています。

Azure AD 参加により、オンプレ AD でドメイン参加ユーザーがオンプレ　AD　ドメイン参加しているデバイスに自由にサインインできるのと同じように

Azure 上のユーザーで Azure AD 参加デバイスに自由にサインインすることができます。

オンプレ AD を持っていない組織でも、ローカル アカウントを使用するのではなく、 Azure AD 上のユーザーでデバイスにサインインできるようになるため、オンプレ AD と同様にユーザー アカウントを Azure AD 上で一元管理ができるようになります。

<ハイブリッド Azure AD 参加 (Hybrid Azure AD joined)>

対象デバイス : Windows 10, Windwows 8.1, Windows 7

ハイブリッド Azure AD 参加は、オンプレ AD を利用している組織が、 Azure AD 参加デバイスと同様のメリットを享受するために利用する機能です。

例えばハイブリッド Azure AD 参加済みデバイスを構成することで、ドメイン参加済みデバイスへの Windows サインイン後、 Azure へユーザー名・パスワードを入力することなくサインインができるようになる等のメリットがございます。

ハイブリッド Azure AD 参加の構成により、下記の機能を利用することが可能です。

・ [条件付きアクセス - ポリシー] でのハイブリッド Azure AD 参加構成済みデバイスを条件としたアクセス制御

・ ダウンレベル の Windows デバイス ( Windwows 8.1 , Windows 7 ) の Azure AD への登録

・ Windows デバイスへサインインを実施したユーザーの資格情報を利用したクラウド アプリケーションへの SSO (*)

* 対象ブラウザ (IE /Edge)、対象アプリケーションに限定されます。

Windows 8.1 や Windows 7 などのダウンレベルのデバイスをサポートしているのは ハイブリッド Azure AD 参加のみです。

オンプレ AD を利用している環境で Azure AD へのデバイスを登録して条件付きアクセスを利用したいというような場合には、

ハイブリッド Azure AD 参加が必要です。

ハイブリッド Azure AD 参加を構成手順については、以下の弊社公開情報を参照ください。

https://docs.microsoft.com/ja-jp/azure/active-directory/devices/

以上の 3 つの機能はそれぞれ利用を想定している環境がございます。

そのため、ご利用いただいている環境、状況に合わせて最適なものを選択いただければと思います。

最後にそれぞれの機能を表にまとめておきます。

ご不明な点がございましたら弊社サポートまでお気軽にお問い合わせください。

上記内容が少しでも皆様の参考となりますと幸いです。

※本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

This has been on my bucket list for a while now, and I finally got around to figuring it out. TLS is a transport layer protocol that is effectively a part of SSL. Basically, it’s used to encrypt web based traffic so that prying eyes cannot see. Like every protocol, over time its weaknesses are exposed and newer versions are released. Like every protocol, the older versions remain on given that legacy applications can break. Last year, Microsoft started releasing updates to their applications to eliminate TLS 1.0 and 1.1 from usage, and it’s officially recommended that these protocols be shut off with only TLS 1.2 being used.

I spent some time trying to figure out how to audit legacy TLS usage and found that to be an incredibly frustrating search. There’s not much out there on auditing TLS. The answer, as it usually is, was right in front of me from a Kevin Holman article on how to force SCOM to use TLS 1.2. As such, I’ve setup a collection rule to collect these events. That said, this is not plug and play. Before I get into the details, it’s worth noting that event collection rules can generate lots of data in your DataWarehouse. In my own lab, I’m seeing about 600 events a day across 2 systems. So just imagine for a second what that might look like with thousands of systems. You may want to consider turning this on in small quantities (and turning it off once you have the data you need).

Step 1 – Enable Schannel Logging. Kevin covered the details of how to do this in his post. I simply created a GPO and linked it at the domain, though you may want to link to specific OUs instead. In my case, I set a GPO preference to change the following registry key: HKLMSystemCurrentControlSetControlSecurityProvidersSCHANNELEventLogging

This is a REG_DWORD value that needs to be set to 7.

Step 2 – wait a day and run the report. It should look like this:

Interested in building your Data Platform and Analytics skillset? Engage in one of the many upcoming technical webinars and technical consultations listed below, focused on Data and AI scenarios. You’ll learn how to sell and deploy solutions faster with technical guidance from a Microsoft expert.

Technical Webinars for Data Platform & Analytics

Participate in instructor-led webcasts that include interactive training and real-time Q&A capabilities. Register today for an upcoming remote technical webinar, available at NO COST to Microsoft Partner Network members.  Various dates and times are available to suit your schedule. IMPORTANT: Be sure to check out all the webinars listed outside of your time zone as they may work for your morning or evening schedule.

Technical Consultations for Data Platform & Analytics

Interested in one-on-one technical consultation focused on real-world scenarios, such as proof of concept, demos, architecture review, migration guidance, and more! Leverage your MPN technical presales and deployment benefit to engage with a Partner Technical Consultant through a one-to-one technical consultation.  

For more information on the Data Platform & Analytics technical journey and the recommended path to consume these webinars and consultations visit aka.ms/DataAITechJourney.

Interested in building your Business Applications skillset? Engage in one of the many upcoming technical webinars and technical consultations listed below, focused on Business Applications scenarios. You’ll learn how to sell and deploy solutions faster with technical guidance from a Microsoft expert.

Technical Webinars for Business Applications

Participate in instructor-led webcasts that include interactive training and real-time Q&A capabilities. Register today for an upcoming remote technical webinar, available at NO cost to Microsoft Partner Network members.  Various dates and times are available to suit your schedule. IMPORTANT: Be sure to check out all the webinars listed outside your time zone as they may work for your morning or evening schedule.

Technical Consultations for Business Applications

Interested in one-on-one technical consultation focused on real-world scenarios, such as proof of concept, demos, architecture review, migration guidance, and more! Leverage your MPN technical presales and deployment benefit to engage with a Partner Technical Consultant through a one-to-one technical consultation.

For more information on the Customer Engagement and Unified Operations technical journeys and the recommended path to consume these webinars and consultations visit aka.ms/BusinessApplicationsTechJourney.

Interested in building your Teamwork skillset? Engage in one of the many upcoming technical webinars and technical consultations listed below, focused on Teamwork scenarios. You’ll learn how to sell and deploy solutions faster with technical guidance from a Microsoft expert.

Technical webinars for Teamwork

Participate in instructor-led webcasts that include interactive training and real-time Q&A capabilities. Register today for an upcoming remote technical webinar, available at NO cost to Microsoft Partner Network members.  Various dates and times are available to suit your schedule. IMPORTANT: Be sure to check out all the webinars listed outside your time zone as they may work for your morning or evening schedule.

Technical consultations for Teamwork

Interested in one-on-one technical consultation focused on real-world scenarios, such as proof of concept, demos, architecture review, migration guidance, and more! Leverage your MPN technical presales and deployment benefit to engage with a Partner Technical Consultant through a one-to-one technical consultation.

For more information on the Teamwork technical journey and the recommended path to consume these webinars and consultations visit aka.ms/TeamworkTechJourney.

Interested in building your Intelligent Communications skillset? Engage in one of the many upcoming technical webinars and technical consultations listed below, focused on Intelligent Communications scenarios. You’ll learn how to sell and deploy solutions faster with technical guidance from a Microsoft expert.

Technical webinars for Intelligent Communications

Participate in instructor-led webcasts that include interactive training and real-time Q&A capabilities. Register today for an upcoming remote technical webinar, available at NO cost to Microsoft Partner Network members.  Various dates and times are available to suit your schedule. IMPORTANT: Be sure to check out all the webinars listed outside your time zone as they may work for your morning or evening schedule.

Technical consultations for Intelligent Communications

Interested in one-on-one technical consultation focused on real-world scenarios, such as proof of concept, demos, architecture review, migration guidance, and more! Leverage your MPN technical presales and deployment benefit to engage with a Partner Technical Consultant through a one-to-one technical consultation.

For more information on the Intelligent Communications technical journey and the recommended path to consume these webinars and consultations visit aka.ms/IntelligentCommsTechJourney.