サーバー＆クラウド関連の製品やサービスの発表をお伝えする、マイクロソフト マーケティングチームの公式ブログより、最近の更新をご紹介します。
ぜひブログをブックマークして最新情報をご入手ください。

▼ Cloud and Server Product Japan Blog はこちらから

[最近の更新]

新しい Azure インフラストラクチャに関する発表をまとめてご紹介

あらゆるワークロード向けのインフラストラクチャ

• GPU 対応の仮想マシン
  •  NVv2 VM (プレビュー)
  • NDv2 VM (年内にプレビュー)
•  高性能コンピューティング向け VM
  • HB VM (年内にプレビュー)
  • HC VM (年内にプレビュー)
•  ネットワーク
  • Azure Firewall (一般提供)
  • Virtual WAN (一般提供)
  • ExpressRoute Global Reach (プレビュー)
  • ExpressRoute Direct (プレビュー)
  • Front Door Service (プレビュー)
•  ディスク ストレージ
  • Ultra SSD (プレビュー)
  • Standard SSD (一般提供)
  • マネージド ディスク サイズの拡大 (プレビュー)
•  ハイブリッド
  • Azure Data Box Edge (プレビュー)
  • Windows Server 2019 (近日中に一般提供)
  • Azure Stack

組み込みのセキュリティと管理

•  セキュリティ
  • Confidential Computing DC VM シリーズ (近日プレビュー)
  • Secure Score、脅威保護の強化、ネットワーク マップ (プレビュー)
• 管理
  •  Azure DevOps の Azure Blueprint と Azure Policy (プレビュー)
  • Azure ポータルのコスト管理機能 (プレビュー)

MS クラウド ニュースまとめ (2018 年 10 月 3 日)

• Azure Service Fabric | Updates
• Azure security and operations management | Azure Monitor insights for resource groups
• Azure DevOps tool integrations | Updated Azure support in Ansible 2.7
• Azure SQL Database | Information protection policy management in Azure Security Center
• Azure SQL Database | Save up to 80 percent with reserved capacity and Azure hybrid benefit
• Data Migration Assistant | In preview

MS クラウド ニュースまとめ (2018 年 9 月 24 日)

• Azure Governance | Governance Announce
• Azure IoT Central | GA
• Azure Sphere | Public Preview
• Kubernetes on Azure Stack | Public Preview
• Application Gateway/WAF | Azure App Gateway autoscaling Public Preview
• Azure DNS | Azure DNS Alias Records – GA
• Azure Firewall | GA
• Azure Frontdoor Service | Public Preview
• Azure security and operations management | Protect data in use with Confidential Computing
• Large Disks | Large Disks – Public Preview
• Azure Policy | Azure Policy CI/CD features public preview
• Azure security and operations management | Azure to Azure Site Recovery
• Azure security and operations management | New monitoring capabilities in Azure Monitor
• Azure security and operations management | Security Center updates for workload protection
• Azure Ultra SSD | Ultra SSD – Public Preview
• Azure CDN Standard Microsoft Tier | GA
• Azure Virtual Machines | NVv2 – Public Preview
  Azure Digital Twins | Public Preview disclosure
• Virtual WAN | GA
• Windows Server | Windows Server 2019 Launch
• Azure VNet | Azure Virtual Network Tap
• ExpressRoute | ExpressRoute Direct – Public Preview
• ExpressRoute | ExpressRoute Global Reach
• Virtual WAN | Point-to-site VPN connectivity in Virtual WAN
• Application Gateway/WAF | Azure AppGW Zone Redundancy
• Azure Advisor | New recommendations and tighter integrations
• Azure Service Health | Immediate alerting on resource health events
• Azure IoT Edge | Public Preview – Extended offline feature
• Azure Functions | Python support in preview
• Azure App Service | Java SE Support Disclosure
• Azure DDOS Protection | Azure DDoS Protection new features
• Azure Network Watcher | Network Watcher – Application Gateway support
• Azure Traffic Manager | A/AAAA Records Support in Azure Traffic Manager GA
• Azure Traffic Manager | Custom Header Support in Azure Traffic Manager GA
• Azure Container Registry (ACR) | Multiple Updates
• Azure Functions | Consumption plan for Linux – Public Preview
• Azure IoT Hub | Device Provisioning Service additional capabilities
• Azure VPN | Zone Redundant VPN and ExpressRoute gateways
• ExpressRoute | NPM support for ExpressRoute
• Load Balancer Standard | Outbound Rules
• Load Balancer Standard | TCP Resets
• Azure Traffic Manager | Traffic Manager Custom Health Check Status Codes
• Azure Traffic Manager | Traffic Manager Multi value Routing Method GA
• Azure VNet | Public IP Prefix
• Azure VNet | VNet Service Endpoint Policies
• SQL Server 2019 | SQL Server 2019 – Preview
• Azure SQL Database | SQL DB Managed Instance general purpose coming soon
• Azure SQL Data Warehouse | SQL Vulnerability Assessment
• Azure Databricks | Azure Key Vault support with Azure Databricks
• Azure Redis Cache | Larger cache size available – Public Preview
• Azure Databricks | Azure SQL DW Streaming Support in Azure Databricks
• Azure Databricks | Japan, India, Canada and Australia GA
• Azure Databricks | Azure Databricks Delta Public Preview
• Azure Cosmos DB | Cassandra API – GA
• Azure Cosmos DB | Multi-Master – GA
• Azure Cosmos DB | Reserved capacity – GA
• Azure SQL Data Warehouse | Smaller SKU for Compute Optimized Gen2 Tier
• Azure Bot Service | GA
• Azure HDInsight | GA of Enterprise Security Package for HDI 3.6
• Azure HDInsight | Public Preview of HDInsight 4.0
• Azure SQL Data Warehouse | Flexible restore points
• Azure SQL Data Warehouse | Intelligent insights
• Azure Databricks | AAD conditional access Public Preview
• Azure SQL Data Warehouse | User defined maintenance scheduling
• Azure Database for MariaDB | Azure Database for MariaDB – Preview
• Azure Database for MySQL and PostgreSQL | Performance recommendations for PostgreSQL – Preview
• Azure Database for MySQL and PostgreSQL | Query Performance Insights for PostgreSQL -Preview
• Azure Database for MySQL and PostgreSQL | Query Store for PostgreSQL – Preview
• Azure Database for MySQL and PostgreSQL | Threat Protection for MySQL and PostgreSQL – Preview
• Azure SQL Database | Hyperscale – Public Preview
• Azure HDInsight | BYOK Encryption for Kafka
• Azure HDInsight | Developer Tools enhancements for Spark
• Azure Cosmos DB | JavaScript SDK 2.0 – GA
• Azure SQL Database | Intelligent QP updates – public preview
• Visual Studio App Center | Disclosure: Intune wrapper support
• Power BI Desktop | GA
• Power BI service | GA
• Azure Files AAD Integration Public Preview | Public Preview
• Azure Traffic Manager | Custom subnet routing GA
• Azure IoT Hub | Message routing additional capabilities
• Azure Functions | Functions runtime v2 – GA
• Azure Database Migration Service: SQL to Azure SQL Database offline migration support
• Azure Database Migration Service: Support for SQL to Azure SQL DB Managed Instance online migrations
• Azure Premium Files is now available in preview
• Microsoft R Server is now Microsoft Machine Learning Server
• Azure Stream Analytics | Public Preview- C Sharp UDF for ASA on IoT Edge
• Data Migration Assistant | GA
• Azure DevOps Tool Integrations | Azure ACR Build plugin for Jenkins
• Azure Data Studio | GA
• Announcing Windows Virtual Desktop, the best virtual desktop experience, delivered on Azure
• Quickstart Center | Public Preview
• Azure Logic Apps | Preview Logic Apps extension for Visual Studio Code
• Azure Premium Blob Storage | Public Preview
• Azure Logic Apps | Preview Refresh Logic Apps SAP Connector
• Azure App Service | Java SE Applications on Linux GA
• Azure App Service | Tomcat on Linux GA
• Azure Media Services & Video Indexer | Azure Media Services – Video Indexer GA
• Azure App Service | Bring your own storage on Linux Public Preview
• Azure App Service | New Networking Features Preview
• Azure App Service | Python for App Service Linux Preview
• Azure Functions | App Insights app map integration – Public Preview
• Azure Functions | Key Vault integration – Public Preview
• Azure SignalR Service | SignalR Service GA
• Azure Machine Learning updates | Public Preview
• Azure Cognitive Services | GA
• Azure Data Explorer | Public Preview

MS クラウド ニュースまとめ (2018 年 9 月 5 日)

• Visual Studio for Mac | Update
• Azure security and operations management | Control IPs that can access secrets from Key Vault
• Avere vFXT for Azure | In preview
• Azure IoT Hub | Integration with Azure Event Grid
• Azure SQL Data Warehouse | Azure Government cloud availability
• BulkExecutor for Azure Cosmos DB Gremlin API now available
• Azure Cosmos DB Emulator build task for Azure DevOps now in preview
• Azure Database Migration Service | Support for PostgreSQL to Azure Database for PostgreSQL online migrations
• Azure Database Migration Service | Support for PostgreSQL on-premises or on virtual machines to Azure Database for PostgreSQL

過去のまとめを見るには、Cloud and Server Product Japan Blog タグを参照してください。

製品についての最新情報まとめを見るには最新アップデートタグを参照してください。

本日より Xbox One の 2018 年 10 月度アップデートが一般向けに順次開始されました。おもな新機能は以下の通りです。

• 従来 Kinect やヘッドセットで実現していた音声入力機能を拡張し、コルタナと Alexa 対応デバイスを音声で操作することができるようになりました。(米国のみ)
• Xbox アバター機能を拡張しました。
• Netflix アプリなどのメディア ストリーミング アプリで Dolby Vision 形式のビデオ ストリーミングをサポートしました。
• ナレーター機能にスペイン、ポルトガル、ポーランド、スウェーデン、オランダの 5 言語を追加しました。

Xbox One オペレーティング システムのバージョンとシステム アップデートの詳細については、下記をご参照ください。

• https://support.xbox.com/ja-JP/xbox-one/console/system-update-operating-system

執筆者: Yousef Khalidi (CVP, Azure Networking)

このポストは、2018 年 9 月 24 日に投稿された Azure Networking Fall 2018 update の翻訳です。

発表事項: パブリック クラウドで最も高速な 100 Gbps 接続、ブランチ接続の提供開始、新しいクラウドネイティブ セキュリティ機能、アプリケーション パフォーマンス サービス

企業がかつてないほど高負荷のミッションクリティカルなワークロードをクラウドに移行している中、マイクロソフトは、デプロイ、管理、スケーリング、監視が容易で包括的なネットワーク サービスの提供に取り組んでいます。お客様は、クラウドへの接続方法の改善、クラウド ワークロードの保護の強化、最適なアプリケーション パフォーマンスの提供、包括的な監視サービスを常に求めています。

接続方法に関しては、きわめて帯域幅が広いソリューションが必要だとお客様から声が上がっています。これは、お客様が高度な分析と機械学習を利用するために、クラウドに大量のデータを転送しようとしているからです。SD-WAN (ソフトウェア定義 WAN) は、より多くのトラフィックをインターネットにインテリジェントにルーティングし、ブランチ オフィスへの接続をお客様が適切に管理し、コストを削減できるようになる大きな可能性を秘めています。仮想データセンターのコンセプトは定着しつつありますが、こうしたソリューションをグローバル規模で構築することは依然として容易ではありません。Azure では現在 54 のリージョンを展開しており、今後さらに多くのリージョンを追加する予定であることなど、マイクロソフトのグローバル ネットワークは拡大の一途をたどっており、全体的なキャパシティも増加しています。お客様からは、新しい方法でマイクロソフトのグローバル WAN を活用できるようにしてほしいという声が寄せられています。これに関してマイクロソフトは、ExpressRoute 100 Gbps Direct、ExpressRoute Global Reach、Azure Virtual WAN の一般提供開始と、Virtual Network と DNS の機能強化を発表します。

企業はミッションクリティカルなワークロードを保護する必要があるため、セキュリティは常に最優先課題となっています。アプリケーションを悪意のある目的から保護することは非常に重要であり、すべてのリソースに対するアクセスを完全に制御することが不可欠です。クラウドを利用することで、ゼロ トラストのセキュリティ ポスチャや、DevOps モデルによるセキュリティ管理を取り入れることができます。セキュリティ ポリシーの拡張、管理、把握は、クラウド ネイティブなソリューションを利用することで非常に簡単になります。これに関してマイクロソフトは、Azure Firewall の一般提供開始と、DDoS Protection と Web Application Firewall の機能強化を発表します。

グローバル ワークロードと地域的なワークロードの両方を配信するためには、アプリケーションのパフォーマンス、可用性、回復性も非常に重要です。クラウドは根本的に、アプリケーションのスケーラビリティに対応し、さまざまな種類のトラフィック パターンを動的に処理するように設計されています。Azure とマイクロソフトのグローバル ネットワークを組み合わせることで、Bing、Office 365、Xbox といったマイクロソフトのサービスを高速化するだけでなく、お客様のアプリケーションも高速化できます。これに関してマイクロソフトは、Azure Front Door のプレビュー、Azure CDN の一般提供開始、Application Gateway と Traffic Manager の機能強化を発表します。

DevOps モデルでは、自社のチームがアプリケーションの正常性とパフォーマンスを監視する必要があります。クラウドでは、お客様のサービスを詳細に把握し、測定、トラブルシューティング、通知、対応を行うことができます。Azure を 24 時間 365 日体制で運営するなど、マイクロソフトは豊富な運用実績を誇り、お客様の運用チームの負担や世界水準のエクスペリエンスを提供するための監視要件を十分に理解しています。これに関してマイクロソフトは、Virtual Network TAP のプレビューと Network Watcher の機能強化を発表します。

ここからは、クラウドへの接続、ワークロードの保護、最適なパフォーマンスの提供、お客様のサービスの監視に役立つ新しいネットワーク サービスと既存サービスの機能強化をまとめてご紹介します。

Azure がお客様のサービスの接続、保護、配信、監視をサポート

接続

10 倍高速な ExpressRoute Direct 100 Gbps 接続

Azure は、クラウド接続の通信速度の障壁を打破しようとしています。ExpressRoute Direct は、きわめて広い帯域幅を必要とするお客様に向けの、100G 接続が可能なソリューションです。これは他のクラウドよりも 10 倍高速です。企業のお客様の多くは、遠隔医療やコンテンツ配信、IoT といった大量のデータを取り込むシナリオへの対応を求めて私たちのところにやってきます。ExpressRoute Direct を使用すると、100 Gbps のネットワーク トラフィックを Azure Storage や Azure Virtual Network といった Azure サービスに送信できます。すべてのトラフィックを単一の 100G ExpressRoute 回線で送信することも、100G 回線を複数の部署で分割して 40G、10G、5G、2G、1G の ExpressRoute 回線を任意に組み合わせて使用することもできます。既定でこれらの回線は、同一の地域 (北米、ヨーロッパ、オーストラリア、日本など) 内のすべての Azure リージョンへの接続を提供する ExpressRoute Standard 回線です。また、任意の回線を ExpressRoute Premium 回線に指定して、グローバル接続を行うこともできます。こうした柔軟性により、さまざまな部署の要件に対応することができます。たとえば、ある部署では、地域内の Azure リージョンのサービスにアクセスするために広い帯域幅が必要なため、40G ExpressRoute Standard 回線を使用します。また、別の部署では 2G のグローバル接続が必要なため、2G ExpressRoute Premium 回線を使用します。このように、お客様が自由に決定することができます。ExpressRoute はミッションクリティカルなワークロードを対象としているため、ExpressRoute Direct は ExpressRoute と同様に、2 台のアクティブ/アクティブ構成の物理ルーター間で物理接続を提供します。ExpressRoute Direct の詳細については、こちらのドキュメントをご覧ください。

ExpressRoute Global Reach: サイト間のプライベート接続

ExpressRoute Global Reach を使用すると、2 つの ExpressRoute 回線を接続できます。そのため、既に ExpressRoute に接続されているサイトでは、ExpressRoute 回線経由でデータをプライベートに交換することができます。たとえば、ある多国籍企業がロンドンと東京にデータセンターを所有していて、それぞれが ExpressRoute 回線に接続されている場合、ExpressRoute Global Reach を有効にすると、ローカルの ExpressRoute 回線とマイクロソフトのグローバル ネットワークを使用して、これらのサイト間でトラフィックをプライベートに送受信することができます。ExpressRoute Global Reach は、ExpressRoute Standard 回線と ExpressRoute Premium 回線の両方で有効にすることができます。ExpressRoute Global Reach は現在、香港、アイルランド、日本、オランダ、英国、米国で提供されており、間もなく韓国とシンガポールでも利用可能になります。年内にはその他の国でも提供が開始される予定です。ExpressRoute Global Reach の詳細については、こちらのドキュメントをご覧ください。

Virtual WAN の一般提供開始

20 Gbps の S2S 接続、新機能、成長を続けるパートナー エコシステム

VPN サービスに接続しているブランチ オフィスのデバイスを 50 台も 100 台も管理するのは難しいことです。そこで今夏、ブランチ オフィスから Azure への接続やインターネット経由でのブランチ オフィス間接続のシナリオで大規模なブランチ接続を簡素化する、Azure Virtual WAN が導入されました。Virtual WAN は、SD-WAN を活用してブランチ オフィスを Azure や別のブランチ オフィスに接続することを検討している小売、医療、製造、石油・ガス業界などの大企業のお客様向けに設計されました。Virtual WAN エコシステムから提供される SD-WAN および VPN デバイスを使用することで、自動プロビジョニング、構成、スケーラビリティ、高いスループットといったメリットが得られます。Virtual WAN は、最大 20 Gbps のブランチ接続をサポートします。これは、VPN ゲートウェイの 20 倍の速度です。Virtual WAN の一般提供開始により、ブランチ接続が管理可能になりました。

マイクロソフトは、Office 365 のお客様がマイクロソフトのグローバル ネットワークに可能な限り迅速にアクセスし、Office 365 の分散エッジ ノード エコシステムを利用できるように、ローカル インターネット ブレークアウトを使用することを推奨しています。お客様向けネットワークの設計における最大の目標は、最寄りの Office 365 フロント ドアへのレイテンシを最適化し、お客様のプライベート ネットワーク全体で Office 365 要求のヘアピン通信を最小限に抑えることです。中心部のネットワークにバックホールしたり、トラフィックのインターネット スキャンを提供する別のクラウド サービス経由で接続をルーティングしたりする代わりに、主な Office 365 トラフィック (英語) に対しては、ユーザーの場所 (ブランチ オフィス) に可能な限り近い場所のインターネットを使用して、マイクロソフトのネットワークに直接送信することを許可する必要があります。このアプローチは直接的なローカル インターネット ブレークアウトと呼ばれ、多くのお客様がポリシーによって指定した一部のアプリケーションについて行っているものです。お客様が Office 365 サービスの直接的なローカル インターネット ブレークアウトを実装するためには、Web サービスを使用するか、認定パートナーが提供する SD-WAN ソリューションを使用して、ブランチ オフィスのルーティング ポリシーを自動化します。Azure Virtual WAN のお客様は、Azure Portal で Office 365 のインターネット ブレークアウト ポリシーを構成し、そのポリシーをブランチ オフィスのサポート対象の SD-WAN デバイスにプッシュすることができます。これにより、主な Office 365 フローの直接的なローカル インターネット ブレークアウトが保証され、最適なエンドユーザー エクスペリエンスが提供されます。

Virtual WAN エコシステムは成長を続けています。Citrix と Riverbed に加えて、128 Technology、Barracuda、Check Point、NetFoundry、Palo Alto Networks (リンク先はすべて英語) でも、Virtual WAN ソリューションの提供が開始されました。近日中には、CloudGenix、Nuage Networks、Silver Peak、Versa Networks、VeloCloud からも Virtual WAN ソリューションが提供される予定です。

Azure Virtual WAN エコシステム

新しい Virtual WAN プレビュー機能には、P2S VPN と ExpressRoute が含まれます。P2S VPN を使用すると、OpenVPN クライアントを使用して Virtual WAN に接続できます。これにより、モバイル ワーカーは、出張中や在宅勤務中にもノート PC やモバイル デバイスから Virtual WAN 経由でリソースに安全にアクセスできます。Azure P2S VPN は、Azure Virtual WAN に含まれており、Virtual WAN ハブにつき最大 10,000 人のリモート ユーザーによる同時実行を 18 Gbps のスループットによってサポートします。

Virtual WAN に含まれる ExpressRoute を使用することで、ブランチ オフィスでインターネットを使用して安全に Virtual WAN にアクセスし、そのトラフィックを ExpressRoute に接続されたデータセンターにプライベートに送信することができます。

Azure Virtual WAN によりあらゆる接続を簡素化

Virtual WAN の詳細については、こちらのページからご確認ください。

Zone Redundant VPN と ExpressRoute Virtual Network Gateways

多くのお客様は、Virtual Network にアクセスするために VPN と ExpressRoute を使用しています。ゲートウェイの回復性、スケーラビリティ、可用性を向上させるために、Azure Availability Zones をサポートする新しい Zone Redundant VPN と ExpressRoute Gateways の提供が開始されました。これらの新しい Zone Redundant/Zonal Gateways では、Azure VPN や Azure ExpressRoute のゲートウェイを Azure Availability Zones にデプロイできるため、リージョン内で物理的にも論理的にも分離して、オンプレミスから Azure へのネットワーク接続をゾーン全体の障害から保護できます。また、これらのゲートウェイのデプロイ時間も短縮されました。Zone Redundant Gateways の詳細については、こちらのドキュメントをご覧ください。

Zone Redundant Gateways により回復性を向上

Public IP Prefix

Public IP Prefix とは、Azure パブリック エンドポイントの連続した IP アドレス範囲であり、既知の固定範囲のパブリック IP アドレスに Azure リソースを関連付けることができます。これにより、新しいリソースに IP アドレスを割り当てる場合に、ファイアウォール ルールを変更する必要がなくなり、管理の負担が大幅に軽減されます。まずはプレビューをお試しください。Public IP Prefix の詳細については、こちらのドキュメントをご覧ください。

Load Balancer: Outbound Rules と TCP Reset on Idle

Outbound Rules を使用すると、パブリック Load Balancer のプール単位の送信ネットワーク アドレス変換 (NAT) を簡単に構成できます。宣言型の構成を使用して、お客様固有のニーズに合わせて送信構成を拡張、調整することができます。

簡単な Load Balancer 構成

Outbound Rules では、変換対象の VM プール、変換先のパブリック IP アドレス、割り当てる送信 SNAT ポートの数が規定され、送信アイドル タイムアウトを変更することができます。Outbound Rules と Public IP Prefix を使用することで、ホワイトリスト登録を簡素化できます。詳細については、Outbound Rules をご覧ください。

任意のルールに対して TCP Reset on Idle を有効にすると、アプリケーションを変更することなく、クリーンな接続を解放し、アプリケーションのパフォーマンスを最適化することができます。この機能を有効にすると、アイドル タイムアウト時にクライアントとサーバーの両方のエンドポイントに TCP Reset パケットが送信されます。Load Balancer の TCP Reset on Idle の詳細については、こちらのドキュメントをご覧ください。

コンテナー向け VNET

Azure Container Networking Interface (CNI) プラグインを使用すると、コンテナーを VNET に接続できます。Azure CNI は、Azure VM で使用されている SDN スタックを利用して、コンテナーに豊富な Azure ネットワーク機能を提供します。これにより、ExpressRoute またはサイト間 VPN 経由でコンテナーをピアリングされた VNET やオンプレミスに接続し、VNET サービス エンドポイントによって保護されたサービス (Storage や SQL など) にアクセスできるようになりました。コンテナーには、ネットワーク セキュリティ グループ (NSG) およびユーザー定義ルーティング (UDR) のルールを直接適用できます。

Azure CNI は、Azure Kubernetes Service で利用されています。また、Azure Container Instances サービスや Azure App Service の Web Apps にも統合されており、これらのサービスでは強化された SDN スタックを利用して、お客様の VNET にコンテナーを迅速かつ安全に挿入することができます。詳細については、こちらのドキュメント (英語) をご覧ください。

Azure DNS での Alias (Reference) Record のサポート

Azure DNS のお客様は、DNS ゾーン内の Azure リソースのライフサイクルを追跡する場合に問題に直面することがあります。たとえば、アプリケーションに関連付けられた Public IP リソースが削除された場合、お客様は DNS ゾーンを手動で更新し、無効な参照を解決することで、トラフィックのブラックホールを防止する必要がありました。今回、DNS ゾーンで Alias Record がサポートされました。これにより、DNS ゾーン内の別の Azure リソースを参照し、参照された Azure リソースのライフサイクル イベントが発生した場合に DNS レコードを自動的に更新することができます。現在、Alias Record の参照は 2 種類の Azure リソース (Public IP と Azure Traffic Manager) でサポートされており、今後さらに多くのリソースがサポートされる予定です。Azure DNS での Alias Record のサポートの詳細については、こちらのブログ記事をご覧ください。

保護

Azure Firewall: 一般提供開始、新機能

今回、Azure Firewall の一般提供が開始されました。Azure Firewall は、VNET リソースに対して完全にステートフルなネットワーク レベルおよびアプリケーション レベルのトラフィック フィルタリングを行い、組み込みの高可用性とクラウドのスケーラビリティをサービスとして提供します。Azure Firewall では、送信、受信、スポーク間、VPN、ExpressRoute の各トラフィックをフィルタリングして VNET を保護します。接続ポリシーは、複数の VNET および Azure サブスクリプションに対して適用できます。Azure Monitor を使用した一元的なログ作成により、ログをストレージ アカウントにアーカイブしたり、イベントを Event Hub にストリーミングしたり、Log Analytics や任意の SIEM に送信したりすることができます。Azure Firewall では、広く使用されているマイクロソフトのサービス (ASE、Azure Backup、Windows Update など) へのトラフィックを許可する FQDN タグや DNAT 構成をサポートしています。

詳細については、Azure Firewall のドキュメントをご覧ください。

現在は、パートナー エコシステムと協力し、Azure Firewall のパブリック REST API を使用した SaaS ベースのセキュリティ ポリシー管理機能の提供に向けて取り組んでいます。年内には、Barracuda や AlgoSec AlgoSaaS による一元管理や、Tufin Orca を使用したコンテナーの Azure Kubernetes Service (AKS) のセキュリティ ポリシー管理といったソリューションの提供が開始される予定です。

成長を続ける Azure Firewall エコシステム

DDoS Protection の攻撃分析

DDoS 攻撃はますます巧妙かつ頻繁に発生するようになり、現在では企業の約 5 分の 2 が攻撃を受けています。DDoS 攻撃はサービス停止の原因となります。大規模な DDoS 攻撃を開始するためのボットネットとなる IoT デバイスのハッキングが急増するなど、ハッカーは悪質な目標を達成するために着々と準備を進めています。そこで、Azure DDoS Protection は、巧妙な DDoS 攻撃への対策を提供します。

今回、Azure DDoS Protection の 3 つの新機能、Attack Mitigation Reports、Attack Mitigation Flow Logs、DDoS Rapid Response の一般提供が開始されました。Azure DDoS Protection を使用して DDoS 攻撃から仮想ネットワークを保護しているお客様は、Azure Monitor の診断設定から攻撃トラフィックの詳細や攻撃による影響を軽減するために実施された対策を確認することができます。DDoS Rapid Response では、攻撃の発生中に DDoS エキスパートに連絡し、専門的なサポートを受けることができます。

Attack Mitigation Reports では、攻撃に関するほぼリアルタイムの情報が提供されるほか、攻撃による影響が軽減された後に攻撃を要約した包括的なレポートが提供されます。Attack Mitigation Flow Logs には、ネットワーク レベルの 5 つのタプルのパケット データ (プロトコル、送信元/送信先ポート、送信元/送信先 IP) と、DDoS 攻撃の発生中に実施された対策が表示されます。このデータを Event Hub 経由でセキュリティ情報イベント管理 (SIEM) システムに統合することで、ほぼリアルタイムの監視を行うことができます。Mitigation Reports と Flow Logs はいずれも Azure Analytics に統合して、データを視覚化できます。

DDoS Attack Mitigation Reports

攻撃の発生中には、DDoS Rapid Response (DRR) チームに連絡し、専門的なサポートを受けることができます。DRR チームは、攻撃の調査、攻撃中のカスタムの軽減策、攻撃後の分析を支援します。詳細については、こちらのブログ記事 (英語) およびサービス ドキュメントをご覧ください。

Azure Virtual Network Service Endpoint Policies

Azure Virtual Network Service Endpoint Policies を使用すると、仮想ネットワークから Azure サービスのリソースへの不正アクセスを防止することができます。Endpoint Policies により、ネットワーク セキュリティ グループ (NSG) のサービス タグをより詳細に制御できます。Service Endpoint Policies を使用すると、特定の Azure サービスのリソース (Azure ストレージ アカウントなど) のみにアクセスを制限することができます。この機能は、Azure Storage でプレビューとして提供されています。詳細については、Service Endpoint Policies のドキュメントをご覧ください。

配信

Azure Front Door Service: グローバル HTTP の負荷分散

Azure Front Door (AFD) Service は、グローバルかつスケーラブルなエントリ ポイントであり、マイクロソフトのインテリジェント ネットワーク エッジを利用して、高速かつ安全で大規模なスケーリングに対応した Web アプリケーションを作成することができます。AFD は、Bing、Office 365、Xbox Live、MSN、Azure DevOps といったマイクロソフトの最大規模の Web ワークロードをサポートするために構築されており、Web 規模の信頼性とスケーラビリティを提供します。

Azure Front Door Service によりお客様のアプリケーションを高速化

AFD は現在、マイクロソフトのグローバル WAN によって接続された世界 33 か国のマイクロソフト ネットワーク エッジで提供されており、アプリケーションの高速化や SSL オフロードによってアプリケーションのパフォーマンスを向上させ、グローバル HTTP トラフィックを最寄りのバックエンドにルーティングし、自動インスタント フェールオーバーによってエンタープライズ クラスの信頼性を実現します。

AFD のパス対応ルーティング、インライン キャッシュ、レート制限、アプリケーション層セキュリティを使用することで、Azure で最先端のグローバル アプリケーションを開発できます。集中制御プレーンとダッシュボードでは、Azure 内外のサービス トラフィックやグローバルなマイクロサービス バックエンドを管理、監視できます。

AFD と Azure Web Apps、Azure Monitor、Log Analytics の統合により、アプリケーションを簡単に高速化し、アプリケーションのレイテンシの短縮、信頼性の向上、グローバル トラフィックの詳細な把握を行うことができます。アプリケーションを高速化する方法については、AFD のドキュメントをご確認ください。

マイクロソフトの Azure CDN の一般提供開始

クラウド サービスには、信頼性、スケーラビリティ、俊敏性、パフォーマンスが求められます。Azure CDN は、動画、ファイル、Web サイト、その他の HTTP コンテンツを世界中に配信するためのセットアップと使用を簡単に行える CDN プラットフォームです。CDN サービスは現在、Verizon、Akamai、そして新たにマイクロソフトから提供されています。Azure CDN は、Azure アプリケーションのマルチ CDN エコシステムを活用して、業界トップ レベルの CDN サービスを提供するようにゼロから構築されています。

Azure CDN のマルチ CDN エコシステムでは、オンデマンドの API 駆動モデルにより、CDN を Azure リソースとして管理できます。この柔軟性と 3 つの強力な CDN インフラストラクチャにより、お客様のコンテンツ配信戦略の一部としてマルチ CDN を簡単に追加することができます。これらの CDN ソリューションは、単独で使用したり、マルチ CDN ソリューションでサイドバイサイドで実行したり、階層化して信頼性、オフロード、パフォーマンスを最大化したりなど、お客様のビジネス ニーズに合わせて配信を最適化することができます。詳細については、Azure CDN のドキュメントをご覧ください。

Application Gateway の自動スケーリング、5 倍のパフォーマンス向上、ゾーン冗長性、分析

Application Gateway と Web Application Firewall (WAF) により、サービスとしての ADC (Application Delivery Controller) が提供されます。今回、新しい柔軟性に優れた自動スケーリング オプションのプレビューが開始され、アプリケーションのトラフィック パターンに基づいて自動的にスケールアップ/スケールダウンするデプロイメントが可能になりました。お客様が予想されるピーク トラフィック量を事前にプロビジョニングする必要がないため、管理が大幅に簡素化されます。自動スケーリングでは、Azure Availability Zones もサポートされ、ゾーン全体の障害に対する回復性が確保されます。これにより、単一の Application Gateway または WAF を物理的かつ論理的に分離された複数の Availability Zones にデプロイし、任意のゾーンのバックエンド サーバーにトラフィックをルーティングすることができます。また、Application Gateway の自動スケーリングにより、パフォーマンスが向上し、プロビジョニング時間が短縮されるほか、静的 VIP がサポートされます。SSL オフロードのパフォーマンスは 5 倍に向上しました。詳細とチュートリアルについては、ドキュメントをご覧ください。

Zone Redundant Web Application Firewall

今回、Application Gateway と Azure Kubernetes Service (AKS) Ingress Controller の統合のプレビューが開始されました。Application Gateway Ingress Controller は、AKS クラスター内のポッドとして実行され、Application Gateway を AKS クラスターの Ingress として使用することができます。Ingress Controller は、Kubernetes API サーバーから Kubernetes Ingress リソースをリッスンし、Azure Application Gateway 構成に変換するほか、Azure Resource Manager (ARM) を使用して Application Gateway を更新します。詳細については、こちらのドキュメント (英語) をご覧ください。

Web Application Firewall (WAF) の構成が強化され、要求本文とファイルのアップロード サイズを制御できるようになりました。この機能は現在、プレビューとして提供されています。これにより、要求本体のペイロード検査を有効/無効にすることができます。Web Application Firewall では、除外リストを使用して、ルールの評価から要求のヘッダー、クッキー、クエリ文字列を除外することができます。これにより、WAF ルールのベアラー トークンなどの既知の安全なパラメーターをホワイトリストに登録し、誤検知を減らすことができます。詳細とチュートリアルについては、こちらのドキュメントをご覧ください。

Azure Traffic Manager のルーティングおよびエンドポイント監視オプションの追加

お客様は、IPv4 または IPv6 アドレスを使用して Traffic Manager プロファイルにエンドポイントを追加し、そのプロファイルに対する DNS クエリについて A/AAAA 形式の応答を得ることができるようになりました。このオプションは、現時点では外部エンドポイントに制限されています。DNS 名が関連付けられていないエンドポイントを Traffic Manager ルーティング方法の一部として使用し、エンド ユーザーに高可用性かつ低レイテンシ接続のメリットを提供します。これに関連して、新しいルーティング方法である Multivalue ルーティング (英語) が追加されました。このルーティング方法では、単一の DNS クエリの応答の一部として返される正常なエンドポイントの数を指定できます。この機能により、呼び出し元が正常なエンドポイントのクエリを再度実行する前に複数の再試行オプションが提供され、アプリケーションの信頼性が向上します。

Traffic Manager では、マルチテナント エンドポイントがサポートされ、Traffic Manager によって開始された正常性チェックでヘッダー (ホスト ヘッダーを含む) を指定できるようになりました。これにより、マルチテナント エンドポイントの正常性チェックが正確になり、それらのエンドポイントにトラフィックが適切にルーティングされます。Traffic Manager のこれらの新機能の詳細については、エンドポイント監視のドキュメントをご覧ください。

監視

Virtual Network TAP: 監視、セキュリティ、パフォーマンスの可視性

パブリック クラウドで初となるネイティブの分散ネットワーク TAP のプレビューが開始されました。Azure Virtual Network TAP では、エージェントを使用することなく、VM のネットワーク トラフィックをパケット コレクターに継続的にミラーリングします。

Azure Virtual Network TAP によりアウトオブバンド監視が可能

Virtual Network には、アウトオブバンド監視、セキュリティ、パフォーマンス ソリューションをデプロイできるようになりました。現在、Big Switch Networks、ExtraHop、Fidelis、Flowmon、Gigamon、Ixia、Netscout、Nubeva、RSA、Vectra の各社 (リンク先はすべて英語) がソリューションを提供しています。

Azure Virtual Network TAP エコシステム

詳細については、Azure Virtual Network TAP のドキュメントをご覧ください。

まとめ

マイクロソフトは、Azure への接続、ワークロードの保護、優れたネットワーク エクスペリエンスの提供、広範な監視を提供し、お客様のデプロイメントと運用コストを簡素化すると共に、お客様のカスタマー サポートの強化を支援します。Ignite 2018 では、今回の発表についてさらなる詳細をご紹介しています。テクニカル セッションの一覧については、こちらのページ (英語) をご確認ください。今後も、革新的なネットワーク サービスとクラウドを最大限に活用するためのガイダンスを提供してまいります。マイクロソフトのネットワーク サービスによって実現された新しいシナリオをぜひご紹介ください。引き続き、皆様からのフィードバックをお待ちしています。

執筆者: Erich Andersen (Corporate Vice President, Deputy General Counsel)

このポストは、2018 年 10 月 10 日に投稿された Microsoft joins Open Invention Network to help protect Linux and open source の翻訳です。

このたびマイクロソフトは、Open Invention Network (OIN) に加入することを発表しました。OIN とは、Linux を始めとするオープン ソース ソフトウェア プログラムを特許関連のリスクから保護することを目的としたコミュニティです。

OIN への加入は、マイクロソフトとオープン ソース コミュニティの間に特許関連の不和があったことを知る皆様にとって、驚きの出来事だったかもしれません。しかし当社のこれまでの歩みを知っている方なら、今回の発表は納得のいくステップだと受け止めていただけるでしょう。なぜならマイクロソフトは、お客様や開発者の皆様に常に耳を傾け、Linux を始めとするオープン ソース プログラムに真摯に貢献してきたからです。

OIN は 2005 年の設立以来、企業の特許関連のリスク管理において中心的な役割を担ってきました。OIN の設立以前は、オープン ソース ライセンスの大部分は著作権にのみ明示的に対応し、特許には沈黙を保っていました。OIN はこの問題への対処を目的に設立された組織であり、Linux システム テクノロジを扱う複数の加盟企業が特許をクロスライセンス化するために有志で運営しています。また、OIN はコミュニティを守るために積極的に特許を取得したり、オープン ソースと知的財産の関係性について教育やアドバイスを提供するなどの活動も行っています。現在 OIN では、CEO の Keith Bergelt 氏と委員会のもとで、世界約 2,650 社にライセンス プラットフォームを提供しています。ライセンスの被許諾者は、個人開発者やスタートアップ企業から大手テクノロジ企業や特許権者まで、多岐にわたります。

OIN への加入は、マイクロソフトの特許に対する着実な取り組みと、Linux を始めとするオープン ソース テクノロジを普及させたいという当社の見解を反映しています。マイクロソフトの特許に対する取り組みは 2 年以上前に開始しており、具体的には、Azure IP Advantage プログラムなどがあります。このプログラムは、Azure サービスに使用されているオープン ソース ソフトウェアの補償対象を拡大するものです。また、Red Hat などの企業と共に、GPLv3 の「治癒」規定を GPLv2 のコードに適用することへの支持を表明したことで、このアプローチをさらに強化しました。さらに、つい先日には、LOT Network に加入することも発表しました。LOT Network は特許を主張する企業による特許悪用への対処を目的とした専門組織です。

マイクロソフトは開発者の皆様が、Windows か Linux か、あるいは .NET か Java かといったような二者択一の選択を迫られるのではなく、これらすべてのテクノロジに対応するクラウド プラットフォームが提供されることを望んでいると理解しています。最新のテクノロジをユーザーのニーズに合わせて、あらゆるデバイスでデプロイできるようになりたいとお考えなのです。また、イノベーションを促進するには、オープン ソース プロセスを通じて共同で開発することが効率的であることもマイクロソフトは理解しています。このためマイクロソフトは、10 年以上前から自社テクノロジのオープン ソース化に取り組み (ASP.NET の一部をオープン ソース化したのは、なんと 2008 年でした)、オープン ソースに大きく貢献する世界有数の企業の 1 つになりました。マイクロソフトの従業員は 2,000 以上のプロジェクトに協力しており、Azure で使用されている主な Linux ディストリビューションのすべてに最高クラスのサポートを提供しています。また、マイクロソフトは、.NET Core、TypeScript、VS Code、PowerShell などの主要プロジェクトをオープン ソース化しています。

OIN に加入したことをきっかけに、マイクロソフトはこれまで以上に Linux を始めとする重要なオープン ソースのワークロードを特許主張から保護できるようになると考えています。マイクロソフトは、当社が保有する専門性の高い貴重な 60,000 件超の特許を OIN に開放します。また、当社の加入が他社の加入を促進し、オープン ソース コミュニティのライセンス ネットワーク強化につながることを期待しています。

マイクロソフトは今後 OIN およびそのメンバーに貢献し、コミュニティと共同で取り組むことによって、オープン ソースの開発者とユーザーが Linux エコシステムを保護し、オープン ソース ソフトウェアのイノベーションをさらに促進できるようになることを願っています。

物流や測量、倉庫管理、警備など、さまざまな産業分野において、ドローン ( 無人航空機) の活用が話題となっています。しかし、日本では航空法の制限や操縦の困難さなどから、空撮分野を除いては普及がそれほどすすんでいません。そうした中、産業活用のハードルを引き下げることでドローン ビジネスの行く末を照らそうとしているのが、Liberaware とホロラボです。両社は、Microsoft HoloLens による直感的なドローン・ナビゲーション システムを開発し、さらにドローンをセンサー デバイスとしてとらえ直すことによって、今までにないソリューションを構築しました。2018 年春に同システムをリリースして以降、多くの大手企業が、ドローン活用の具体的なアイデアをもって両社を訪れています。Microsoft HoloLens とドローンを組み合わせたあらたな可能性が、いま、着々と現実化しつつあるのです。

続きはこちら

Over the past month I've been running training events for Microsoft's distribution partners on Windows Server 2019, and one of the things that was mostly kept under wraps until the product launch was the differences between the different SKUs. Now we have some extensive comparison documentation available, but let's start with the top line overview from the Windows Server 2019 pricing and licensing page.

Compare Windows Server 2016 feature support by Windows Server SKU.

Feature	Standard edition	Datacenter edition
Core Windows Server functionality
Hybrid integration
Hyper-Converged Infrastructure
OSEs*/Hyper-V containers	2[*]	Unlimited
Windows Server containers	Unlimited	Unlimited
Host Guardian Service
Storage Replica	[**]
Shielded virtual machines (VMs)
Software-defined networking
Software-defined storage

Had an interesting request -

Customer is migrating agents from a complex environment into new management groups.  Before they did this – they wanted to ensure that agents were not firewalled off from the new management servers.  This can be a monumental task in large environments, especially with unique gateway and firewall deployments.

I have added a discovery which will handle this scenario to the SCOM.Management MP available here:

https://blogs.technet.microsoft.com/kevinholman/2017/05/09/agent-management-pack-making-a-scom-admins-life-a-little-easier/

In the SCOM.Management.Agent.Class.PowerShell.Properties.Discovery.ps1 script, you can configure which parents you’d like to see tested:

# Constants section - modify stuff here:
#=================================================================================
# Assign script name variable for use in event logging
$ScriptName = "SCOM.Management.Agent.Class.PowerShell.Properties.Discovery.ps1"
$EventID = "1006"

#SCOM Management Servers or Gateways that we wish to test the port availability to using FQDN seperated by a comma such as "scom1.opsmgr.net","scom2.opsmgr.net","scom3.opsmgr.net"
[array]$Parents = "scom1.opsmgr.net","scom2.opsmgr.net","scom3.opsmgr.net"  

#=================================================================================

This will do a port check on 5723 from the agent to each management server or gateway in this list, and report back in a class property, and another property to gather the IP address of the agent, to make quick work of new firewall requests you might have to make:

I have also updated the MP to support agent and server versions for SCOM 2016 UR6, SCOM 1801 and 1807.

https://blogs.technet.microsoft.com/kevinholman/2017/05/09/agent-management-pack-making-a-scom-admins-life-a-little-easier/

この記事は、2018 年 1 月 25 日 に Data Platform Tech Sales Team Blog にて公開された内容です。

Microsoft Japan Data Platform Tech Sales Team

中川

ログ収集に Fluentd を利用されている方は多いかと思います。その収集したログを kafka にキューイングし、必要に応じて Spark で処理をしつつストレージ等に蓄積されているケースもあるかと思いますが、Azure には大量のストリーミングデータをキューイングする Event Hubs、更にキューイングされたデータを加工した後に別サービスに出力する Stream Analytics という PaaS が用意されております。今回は Fluentd から Azure Event Hubs にログを飛ばしてキューイングし、Stream Analytics でAzure Blob Storage に出力してログを蓄積する方法について触れたいと思います。
Fluentd は他のコンポーネントと連携するためのプラグインが豊富であり、Azure Event Hubs 用のプラグインも (Microsoft が提供しているわけではないですが) github に公開され、gem リポジトリにもご登録いただいております。この Event Hubs 用プラグインを使用すると非常に簡単に Fluentd から Event Hubs にデータを流し込むことが可能です。今回は Treasure Data 殿が提供されている Fluentd の配布パッケージである td-agent にプラグインとして上記プラグインをインストールして動作確認していきます。

今回、OS は Red Hat Enterprise Linux 7.3 を用意し yum で td-agent をインストールした環境を準備しましたが、td-agent へのパスを設定しておきます。

export PATH=/opt/td-agent/embedded/bin/:$PATH
export LD_LIBRARY_PATH=/opt/td-agent/embedded/lib:$LD_LIBRARY_PATH

gem にて Azure Event Hubs のプラグインをインストールします。

gem install fluent-plugin-azureeventhubs

Td-agent のプラグインとしてインストールされたら、下記フォルダ下にライブラリ等のファイルが格納されているのでご確認ください。

/opt/td-agent/embedded/lib/ruby/gems/x.x.0/gems/fluent-plugin-azureeventhubs-x.x.x

次に Fluentd がログを送信する先の Event Hubs 環境を Azure Portal より作成します。

Event Hubs

1. Name Space の作成

Name Space の名前、リソースグループの名前、場所、Throughput Unit 数を指定します。ここで Throughput Unit とは Event Hubs の性能を制御する単位であり、1つの Throughput Unit につき以下の容量が含まれます。

• • イングレス(受信): 1 秒あたり最大で 1 MB または 1,000 イベント (どちらか先に到達した方)

• • エグレス(送信): 1 秒あたり最大で 2 MB

また、auto-inflate というのは性能負荷が増加した際に、設定した Throughput Unit 数まで自動で拡張してくれる機能となります。

2. Event Hubs の作成

Event Hubs の名前、およびパーティション数を指定します。Message Retention は受信したデータを Event Hubs に保持する期間であり、今回はデフォルトの1日のままにしておきます。

3. Access Policy の作成

Policy Name、および付与する権限 (ここでは Send ) を指定します。このポリシーは Fluentd から Azure Event Hubsにデータを送信する際に使用します。

4.  作成した Policy の接続文字列を確認

5. Fluentd の出力設定

/etc/td-agent/td-agent.conf に以下を追加

<match <tagname>>
 @type azureeventhubs_buffered
 connection_string Endpoint=sb://<namespace name>.servicebus.windows.net/;SharedAccessKeyName=<policy name>;SharedAccessKey=<shared access key>
 hub_name <event hubs name> 
</match> 

6. td-agent の再起動

systemctl restart td-agent.service

以上により、Fluentd の該当する source のデータが Event Hubs に流し込まれるようになります。Service Bus Explorer を使用して Event Hubs にデータが流し込まれているかを確認することもできます。

Stream Analytics

1. Azure Event Hubs の Access Policy の作成

Policy Name、および付与する権限 (ここでは Listen ) を指定します。このポリシーは Azure Stream Analytics から Azure Event Hubs にキューイングされたデータを抽出する際に使用します。

2. Job の作成

ジョブ名、リソースグループの名前、場所を指定し Stream Analytics のジョブを作成

3. 入力の作成

入力として、上記で作成したEvent Hubs、および Event Hubs のポリシー名を指定して入力を作成。

4. 出力の作成

今回の出力先は Azure Blob Storage なため、シンクとして Blob ストレージを選択し、Blog Storage の情報(ストレージアカウント、キー、コンテナー)を入力し、必要に応じて指定したコンテナー下にどのパスで保存するかも指定します。また、出力形式として今回は CSV 形式を選択して、出力を作成します。

5. クエリの作成

今回は上記で作成した入力 (Event Hubs) からデータを受け取り、そのまま出力 (Azure Blob Storage) にデータを出力する簡単なクエリを定義し、作成します。

6. ジョブの開始

作成したジョブを開始します。

以上により、Fluentd で収集したデータを Event Hubs –> Stream Analytics を介して Azure Blog Storage に保存するストリームが出来上がりました。実際に Fluentd で収集したログなどが Azure Blob Storage に保存されていくか Azure Storage Explorer などを利用してご確認ください。

Stream Analytics では出力先を Azure Blob Storage だけではなく、以下のような出力先を指定することが可能で、一つのジョブで複数出力先にデータを出力することも可能です。また、出力形式として Avro、CSV、JSON を指定することもできます。今回は簡易なジョブ（受け取ったデータをそのまま出力）を作成しましたが、5秒間隔の集計値を出力したり、データを変換したりといったジョブを SQL ライクな Stream Analytics クエリ言語を用いて定義することも可能です。

これまで、ログ収集のプラットフォームは複雑になりがちで、運用も工数を要することが多かったかと思いますが、Event Hubs、Stream Analytics を使用することにより、Fluentd の収集機構を活かしつつ、その裏のキューイング、処理、蓄積をシンプルなアーキテクチャで実現することが可能となります。

是非ご活用いただければと思います。

訪日外国人旅行者向けのスマートフォンアプリ「JAPAN Trip Navigator」は、年々増加する訪日外国人旅行者に対して「デジタル×ヒューマンタッチ」をコンセプトに、訪日外国人旅行者に常に寄り添った旅行のサポートサービス提供を目的としてJTBと、ナビタイムジャパン、日本マイクロソフトにて協業開発し、2018年2月にリリースしましたが、9月に機能拡張をしました。開発にあたっては、マイクロソフトのクラウドプラットフォーム「Microsoft Azure」を基盤として活用し、JTBがもつ豊富な観光情報とナビタイムジャパンのアプリ開発技術、移動経路情報を活かした機能を搭載しています。

AIを活用したチャットボットによるガイド機能や自分だけの観光プランを作成できる機能に加え、今回の機能拡充ではツアー・アクティビティなど旅ナカでの「コト消費」予約機能の強化、自治体・DMO との連携によるその地域ならではの情報の発信、さらには47都道府県を網羅する情報拡充とユーザーの利便性向上を実現しました。旅行前の情報収集や旅行中の空き時間に気軽に利用することができるだけでなく、訪日外国人旅行者の小さな疑問やお困りごとへも対応します。

続きはこちら

Welcome back for another analysis of contributions to TechNet Wiki over the last week.

First up, the weekly leader board snapshot...

As always, here are the results of another weekly crawl over the updated articles feed.

Most Revisions Award Who has made the most individual revisions

#1 George Chrysovaladis Grammatikos with 100 revisions.

#2 Dave Rendón with 39 revisions.

#3 RajeeshMenoth with 24 revisions.

Just behind the winners but also worth a mention are:

#4 get2pallav with 13 revisions.

#5 Arleta Wanat with 11 revisions.

#6 Stephan Bren with 10 revisions.

#7 serg_23 with 9 revisions.

#8 Edward van Biljon with 7 revisions.

#9 Cherkaoui.Mouad with 3 revisions.

#10 Nonki Takahashi with 2 revisions.

Most Articles Updated Award Who has updated the most articles

#1 Dave Rendón with 22 articles.

#2 RajeeshMenoth with 15 articles.

#3 George Chrysovaladis Grammatikos with 10 articles.

Just behind the winners but also worth a mention are:

#4 get2pallav with 8 articles.

#5 Arleta Wanat with 6 articles.

#6 Edward van Biljon with 6 articles.

#7 Richard Mueller with 2 articles.

#8 Nonki Takahashi with 2 articles.

#9 Denis Dyagilev with 1 articles.

#10 Jaliya Udagedara with 1 articles.

Most Updated Article Award Largest amount of updated content in a single article

The article to have the most change this week was SQL Server: Securing Network Communications, by Lain Robertson

This week's reviser was George Chrysovaladis Grammatikos

Longest Article Award Biggest article updated this week

This week's largest document to get some attention is RDS Remote Desktop Client Disconnect Codes and Reasons, by jagilber

This week's reviser was George Chrysovaladis Grammatikos

Most Revised Article Award Article with the most revisions in a week

This week's most fiddled with article is Windows 10: Set up a PC as a kiosk, by S.Sengupta. It was revised 13 times last week.

This week's revisers were RajeeshMenoth, Dave Rendón & S.Sengupta

Most Popular Article Award Collaboration is the name of the game!

The article to be updated by the most people this week is Create Power BI report and publish in SharePoint, by Maruthachalam

This week's revisers were get2pallav, Dave Rendón, George Chrysovaladis Grammatikos & Smith Alice

Ninja Edit Award A ninja needs lightning fast reactions!

Below is a list of this week's fastest ninja edits. That's an edit to an article after another person

• Revision 61 of Hyper-V: How to Run Hyper-V on a Laptop was saved by Dave Rendón just 6 minutes after George Chrysovaladis Grammatikos

  Congratulations to Dave Rendón!
  Also in the top ten are:

• Revision 51 of Create Power BI report and publish in SharePoint was saved by George Chrysovaladis Grammatikos just 10 minutes after Smith Alice
• Revision 62 of Azure Storage: Overview Of The Azure Storage Services was saved by George Chrysovaladis Grammatikos just 10 minutes after Peter Geelen
• Revision 1 of SharePoint 2010 Troubleshooting: The workbook cannot be opened was saved by Dave Rendón just 13 minutes after Stephan Bren
• Revision 19 of Azure: Create an IoT Hub and connect your IoT Device was saved by Dave Rendón just 13 minutes after George Chrysovaladis Grammatikos
• Revision 12 of Azure: How to move resources between subscriptions under different tenants? was saved by Dave Rendón just 18 minutes after George Chrysovaladis Grammatikos
• Revision 4 of SharePoint 2010 Troubleshooting: The workbook cannot be opened was saved by Stephan Bren just 66 minutes after Peter Geelen
• Revision 2 of SharePoint 2010 Troubleshooting: The workbook cannot be opened was saved by Peter Geelen just 68 minutes after Dave Rendón
• Revision 30 of Cloud App Discovery: Frequently Asked Questions was saved by Peter Geelen just 88 minutes after Martin Coetzer [MSFT]
• Revision 69 of Azure Storage: Overview Of The Azure Storage Services was saved by Dave Rendón just 170 minutes after George Chrysovaladis Grammatikos

Winner Summary Let's celebrate our winners!

Below are a few statistics on this week's award winners.

Most Revisions Award Winner
The reviser is the winner of this category.

George Chrysovaladis Grammatikos

George Chrysovaladis Grammatikos has won 23 previous Top Contributor Awards. Most recent five shown below:

• 14 Oct '18: Most Revisions Award
• 14 Oct '18: Most Articles Updated Award
• 06 Oct '18: Most Revisions Award
• 29 Sep '18: Most Revisions Award
• 29 Sep '18: Most Articles Updated Award

George Chrysovaladis Grammatikos has not yet had any interviews, featured articles or TechNet Guru medals (see below)

George Chrysovaladis Grammatikos's profile page

Most Articles Award Winner
The reviser is the winner of this category.

Dave Rendón

Dave Rendón has been interviewed on TechNet Wiki!

• 28 May '18: https://blogs.technet.microsoft.com/wikininjas/2018/05/28/interview-with-enterprise-data-and-applications-management-specialist-dave-rendon/

Dave Rendón has won 64 previous Top Contributor Awards. Most recent five shown below:

• 14 Oct '18: Most Revisions Award
• 14 Oct '18: Most Articles Updated Award
• 14 Oct '18: Ninja Edit Award for hyper-v-how-to-run-hyper-v-on-a-laptop
• 06 Oct '18: Most Revisions Award
• 06 Oct '18: Most Articles Updated Award

Dave Rendón has TechNet Guru medals, for the following articles:

• In Feb '18: Troubleshooting Azure App Service PHP application returning HTTP Error 503 – The service is unavailable
• In Feb '18: Migrating WordPress Database from ClearDB to MySQL in Azure

Dave Rendón has not yet had any featured articles (see below)

Dave Rendón's profile page

Most Updated Article Award Winner
The author is the winner, as it is their article that has had the changes.

Lain Robertson

This is the first Top Contributors award for Lain Robertson on TechNet Wiki! Congratulations Lain Robertson!

Lain Robertson has not yet had any interviews, featured articles or TechNet Guru medals (see below)

Lain Robertson's profile page

Longest Article Award Winner
The author is the winner, as it is their article that is so long!

jagilber

jagilber has won 2 previous Top Contributor Awards:

• 14 Oct '18: Longest Article Award for rds-remote-desktop-client-disconnect-codes-and-reasons
• 06 May '17: Longest Article Award for rdp-direct-connection-with-nla-rds-session-host-network-trace

jagilber has not yet had any interviews, featured articles or TechNet Guru medals (see below)

jagilber's profile page

Most Revised Article Winner
The author is the winner, as it is their article that has ben changed the most

S.Sengupta

S.Sengupta has won 7 previous Top Contributor Awards. Most recent five shown below:

• 14 Oct '18: Most Revised Article Award for windows-10-set-up-a-pc-as-a-kiosk
• 06 Oct '18: Most Popular Article Award for windows-10-how-to-use-cloud-clipboard
• 22 Sep '18: Ninja Edit Award for microsoft-photos-creating-automatic-video-with-music
• 08 Sep '18: Most Popular Article Award for windows-10-troubleshooting-microsoft-store-is-blocked-error-code-0x800704ec
• 01 Sep '18: Ninja Edit Award for windows-10-how-to-install-drivers-which-are-not-digitally-signed

S.Sengupta has not yet had any interviews, featured articles or TechNet Guru medals (see below)

S.Sengupta's profile page

Most Popular Article Winner
The author is the winner, as it is their article that has had the most attention.

Maruthachalam

Maruthachalam K has won 5 previous Top Contributor Awards:

• 14 Oct '18: Most Popular Article Award for create-power-bi-report-and-publish-in-sharepoint
• 24 Sep '17: Most Revised Article Award for sharepoint-online-modern-team-sites
• 12 Aug '17: Most Revised Article Award for sharepoint-online-communication-sites
• 15 Jul '17: Most Updated Article Award for sharepoint-lookup-columns
• 15 Jul '17: Most Revised Article Award for sharepoint-lookup-columns

Maruthachalam K has TechNet Guru medals, for the following articles:

• In Aug '15: Tabbed View Report using SSRS
• In Sep '15: Creating reports using OData Feed in Power BI
• In Jul '17: SharePoint Online: Filtering Single & Multi-Value Lookup Columns
• In Aug '17: SharePoint Online: Communication Sites
• In Aug '17: Create Power BI report and publish in SharePoint
• In Sep '17: SharePoint Online Modern Team Sites

Maruthachalam K has not yet had any interviews or featured articles (see below)

Maruthachalam K's profile page

Ninja Edit Award Winner
The author is the reviser, for it is their hand that is quickest!

Dave Rendón

Dave Rendón is mentioned above.

 Says: Another great week from all in our community! Thank you all for so much great literature for us to read this week!

Please keep reading and contributing, because Sharing is caring..!!

Best regards,
— Ninja [Kamlesh Kumar]

• Join the Wiki Ninjas Group on Facebook
• More about TechNet Wiki Ninja Belts
• Get nominated for a TechNet Wiki Featured Article
• More about being interviewed on TechNet Wiki blogs
• And if you want to get listed HERE, you'd better get busy!

The Email Phishing Protection Guide is a multi-part blog series written to walk you through the setup of many security focused features you may already own in Microsoft Windows, Microsoft Office 365, and Microsoft Azure. By implementing some or all of these items, an organization will increase their security posture against phishing email attacks designed to steal user identities. This guide is written for system administrators with skills ranging from beginner to expert.

Introduction: Email Phishing Protection Guide - Enhancing Your Organization's Security Posture

Part 1: Customize the Office 365 Logon Portal

Part 2: Training Users with the Office 365 Attack Simulator

Part 3: Deploy Multi Factor Authentication (MFA)

Part 4: Deploy Windows Hello

Part 5: Define Country and Region Logon Restrictions for Office 365 and Azure Services

Part 6: Deploy Outlook Plug-in to Report Suspicious Emails

Part 7: Deploy ATP Anti-Phishing Policies

Part 8: Deploy ATP Safe Link Policies

Part 9: Deploy ATP Safe Attachment Policies

Part 10: Deploy and Enforce Smart Screen for Microsoft Edge, Microsoft Internet Explorer and Google Chrome

Part 11: Monitor Phishing and SPAM Attacks in Office 365

Part 12: Discover Who is Attacking Your Office 365 User Identities

Part 13: Update Your User Identity Password Strategy

Part 14: Prevent Brute Force and Spray Attacks in Office 365

Part 15: Implement the Microsoft Azure AD Password Protection Service (for On-Premises too!)

Part 14: Discover Weak Passwords to Prevent Brute Force and Spray Attacks

In a previous blog I wrote about how it is time to change your user password strategies that have been in place for decades to something new and more complex. I provided several recommendations from a recent Microsoft Research paper about our recommendations based on years of research. In addition to these recommendations, there are additional actions you can take to discover weak passwords being used in your environment as well as how to prevent the use of common passwords used and that attackers are using in dictionary attacks. How about running an attack on your own environment to see just how vulnerable user passwords are?

See the different sections below to learn more about these valuable techniques to further secure your environment:

• Perform a Brute Force Password Attack
• Perform a Password Spray Attack

Perform a Brute Force Password Attack

A Brute Force password attack is typically launched against a targeted set of high profile users. These are users that could be part of a company's leadership team or someone with financial approving authorization. A dictionary of commonly used passwords is used to continuously try to guess the password of these specific users. Beyond the common passwords, also used are passwords based on a local sports team, the current weather season, the holiday season, project names used specifically within a company, etc.

While many have experienced this breach scenario, others can only imagine what could happen… Imagine the username and password of your Chief Financial Officer (CFO) was discovered by an attacker. That attacker could use the CFO's account to request a wire transfer to an account by someone in the financial department. The money would be wired to the (attackers) account and no one would think a thing of it. The email/request came from the CFO as it may have been done many times before. There is typically no insurance on wire transfers and since the receiving account is outside of your country, there is usually no way to recover the funds. This scenario is playing out time and time again resulting in wire fraud that can be detrimental to a business. This is a recent FBI article about the practice that has damages into the billions of dollars.

As I've stated in earlier blogs, remember that the attackers are extremely smart people who write complex algorithms used in these attacks. They have all the time in the world to attack you, yet only need to be successful in the username and password combination once. You must make sure none of these easy to guess passwords are being used in your environment. Using the Brute Force and Password Spray Password attack utilities in Microsoft Office 365, this is now possible and easy to run.

Before you proceed, note that neither of these attack utilities will display user passwords in the results. Rather, it will only identify individuals using weak or commonly used passwords. Users will be unaware this type of attack is running, so there will be no impact.

Note: You must enable Multi-Factor Authentication (MFA) on the account you will logon as to setup and execute the attack. MFA is not required on the accounts you will be attacking.

1. As a global administrator with MFA enabled, logon to https://protection.office.com
2. Expand Threat Management and then click on Attack Simulator.
3. Locate the middle option called Brute Force Password (Dictionary Attack).

4. Click on the Launch Attack option.
5. Provide a name for the new attack and click Next.

6. Select several users to target or select a group of users. Names of users and groups will auto populate as you start to type them.

7. In the next screen, enter each password you would like to use in the attack. As you enter each password, press Enter. After each value entered, you will see a series of dots appear instead of the password just entered. You may also search for a dictionary of common passwords on the Internet to use that can then be uploaded for use. Be cautious in your search for these dictionary attacks as several I located did not appear safe for download and use.

8. Confirm that you are ready to start the attack and click Finish to begin.

9. After a few minutes, depending on how many users you are running the brute force password attack against and/or the number of passwords used, the attack details should be ready to view. On a refresh of the screen, you will find a note indicating the attack has been completed.

   Click on the option to View Report to see the results

10. We can see in the report below that two of the users I selected in this attack were found to be using weak passwords or passwords in the specific list I entered. In all fairness, for this example I entered the passwords used for a few of these users in this demonstration tenant environment (these are fictitious accounts).

Summary: You have now identified the users in your organization using weak passwords. If these users are part of your company leadership team or anyone with financial approving capabilities, I recommend you work with them to develop a more complex password and enable MFA as soon as possible.

Perform a Password Spray Attack

A Password Spray Attack is similar to a Brute Force Attack, but instead of using a dictionary of possibly millions of password combinations at specific users, in this attack a single password is tried against a list of many valid Office 365 users.

Many password policies will detect multiple bad password logon attempts within a period of several minutes and lock an account for a specified period of time. Again, attackers are smart and know this policy well. To avoid detection, they will move down a long list of users for each password try so no single account has a multiple sign in attempts in a short period of time. Remember, an attacker has all the time in the world to guess the right combination of a username and password. Eventually, they will win if you allow easy to guess and commonly used passwords by your users.

With this in mind, let's setup a Password Spray Attack in the environment.

Note: You must enable Multi-Factor Authentication (MFA) on the account you will logon as to setup and execute the attack. MFA is not required on the accounts you will be attacking.

1. As a global administrator with MFA enabled, logon to https://protection.office.com
2. Expand Threat Management and then click on Attack Simulator.
3. Locate the middle option called Password Spray Attack.

4. Click on the Launch Attack option.
5. Provide a name for the new password spray attack.

6. Enter the user names or groups of users you want to run this attack against.

7. Enter the password you want to use in this attack. You can only enter a single password in this attack that will then be used to logon to all the users you identified.

8. Click Finish to begin the attack.
9. Click on the Refresh button at the top of this screen. Notice that the attack has been completed and you are given an option to View Report.

10. Click on the View Report option. Note that two of the users were breached by using the password examples I provided in this example.

Summary:

You now have a known list of users using a password that may be as common as just "Password!" You can now work with them with a request to change their password. It is also highly recommended to enable MFA on administrator and user accounts.

The Email Phishing Protection Guide is a multi-part blog series written to walk you through the setup of many security focused features you may already own in Microsoft Windows, Microsoft Office 365, and Microsoft Azure. By implementing some or all of these items, an organization will increase their security posture against phishing email attacks designed to steal user identities. This guide is written for system administrators with skills ranging from beginner to expert.

Introduction: Email Phishing Protection Guide - Enhancing Your Organization's Security Posture

Part 1: Customize the Office 365 Logon Portal

Part 2: Training Users with the Office 365 Attack Simulator

Part 3: Deploy Multi Factor Authentication (MFA)

Part 4: Deploy Windows Hello

Part 5: Define Country and Region Logon Restrictions for Office 365 and Azure Services

Part 6: Deploy Outlook Plug-in to Report Suspicious Emails

Part 7: Deploy ATP Anti-Phishing Policies

Part 8: Deploy ATP Safe Link Policies

Part 9: Deploy ATP Safe Attachment Policies

Part 10: Deploy and Enforce Smart Screen for Microsoft Edge, Microsoft Internet Explorer and Google Chrome

Part 11: Monitor Phishing and SPAM Attacks in Office 365

Part 12: Discover Who is Attacking Your Office 365 User Identities

Part 13: Update Your User Identity Password Strategy

Part 14: Prevent Brute Force and Spray Attacks in Office 365

Part 15: Implement the Microsoft Azure AD Password Protection Service (for On-Premises too!)

Part 15: Implement the Microsoft Azure AD Password Protection Service (for On-Premises too!)

Prevent the Use of Weak Passwords in Azure AD as well as Active Directory On-Premises

Microsoft has a very large user base across 200+ products such as Office 365, Outlook.com, Hotmail.com, Xbox Live, etc. and with that, receives billions of authentication requests - many legitimate from real users, while many were from attackers.

In August 2018, Microsoft blocked over 1.29 billion (yes, billion) authentication requests from malicious attempts to obtain a username and password. Many of these come from password spray attacks which is when an attacker has a set of commonly used passwords that are then used in an attempt to guess the password of a defined set of user accounts. The thinking is that one of these passwords will be common enough to match what a user has chosen for their password. Remember, attackers are smart and know the typical passwords people use such as incrementing a common password by a number each time they are required to change it, use an exclamation point or some other character at the end, etc. They have advanced algorithms to help work through these password combinations as well as password dictionaries available from the Internet that contains millions of passwords. While commonly targeted accounts are often from those in leadership positions at an organization, other user accounts are valuable as well. If an attacker can get access a sales person's account, a logistical planning person, a user who stocks shelves at a store, etc. he or she can then begin to look around the rest of the organization for valuable data, harvest the email directory to perform additional targeted attacks, and more. The attacker has all the time in the world to look around once they are in and start to work their way through the organization.

To increase an organization's security posture, there are many locks and adjustments that should be made as described in this blog series. When it comes to passwords, adopting a password-less strategy using Windows Hello, the Microsoft Authenticator app, and/or FIDO2 security keys is highly recommended. If you are unable to start the password-less journey in your organization and need to fortify your user accounts quickly, the modernization of password policies is needed as described in the previous blog. In addition to these strategies, consider using the features Microsoft now has in place both in the cloud and on-premises to prevent the use of these easy to guess passwords.

With the recently launched (June 2018) Azure Active Directory Password Protection service you can prevent cloud and on-premises Active Directory users from using commonly used passwords. This is a great way to defend against the commonly used password spray attacks. By using this service, some organizations were able to determine that up to 52% of the passwords used in their organization were weak and easily guessed by attackers, and then able to significantly reducing the attack surface. The list of these commonly used passwords is determined by analyzing the attack patterns from across the Microsoft cloud and developing a list of the weak strings being used to attack with. This list is a dynamic global list that is constantly updated based on new attacks and is one of the items used by the Azure Active Directory Password Protection service.

While this works well for Azure Active Directory cloud users, there is also a way to extend this same service to on-premises Active Directory Domain Controllers. This is done by installing a small agent either directly on the domain controllers or, if you block direct Internet access to domain controllers you can instead install a proxy agent on another server for them to use. If using the proxy agent setup or direct domain controller communication, password changes will use end-to-end encryption between the domain controller and Azure.

The agents are lightweight, quick to setup and highly recommended to take advantage of Azure Active Directory Password Protection. Once setup, you will want to first use only the Audit mode to see how many users are using weak passwords. After additional planning, the Audit mode can be switched to Enforced. The service supports multi-forest environments as well as a high availability architecture. As off September 2018, this service remains in a public preview.

Below are instructions about how to view current settings in Azure Active Directory Information Protection and how to set this up on-premises. For additional information, diagrams, agent downloads, and answers to common questions about this service, see the reference documentation.

Microsoft Azure Active Directory:

1. Logon to https://portal.azure.com as a global administrator.
2. Click on Azure Active Directory

3. Click on Authentication Methods

4. In this screen, you can configure the custom smart lockout functions for Azure AD users. Keep in mind that these lockout threshold and durations are only for Azure AD users. Active Directory still has its own lockout and password protection policies that is in place for on-premises based users. Azure Active Directory Password Protection is in addition to this.

5. In the screen above, in addition to the list of passwords Microsoft is preventing by default (this default list is never exposed as to not give attackers any insight), you may enter custom passwords to block from being used. In this custom list, you may want to enter terms such as the sports teams local to your office locations, your organization's name, key project names, key products a company produces, and anything else that users in your organization may typically use. You can then test this policy by using a test user account in Azure AD.
6. Also in the screen above, notice the two settings for Windows Server Active Directory. These are for your on-premises Active Directory Domain Controllers (covered in next section). When ready, set the first option to enable password protection to Yes and then set the Mode to Audit.

Microsoft Active Directory (On-Premises) Password Protection Agent Installation

Before you get started to implement the on-premises portion of this setup, be sure to read the requirements section of the service documentation. It is important to note that each domain controller must have an agent installed to participate in this protection service.

Below are instructions for how to install the Active Directory Password Protection Proxy agent as well as the Domain Controller agent. I recommend installing this agent FIRST in a testing, non-production environment. For additional information on this process, see the installation guide here.

1. Go do the download site to access the Domain Controller agent as well as the Protection Proxy agent. Select both for download.

2. On your first domain controller, open the AzureADPasswordProtectionProxy.msi file to start the installation. Click Install to initiate the installation. This will take under 30 seconds to complete.

3. The Installation completes within about ten seconds. Click Finish to end the installer and proceed to the next step. There is no reboot required for the proxy agent installation.

4. You must now register the proxy and the Active Directory Forest to communicate with Azure. These steps are done in PowerShell.
   1. Open PowerShell in Administrator mode
   2. Make sure the Azure AD password Protection Proxy agent is running by typing: get-service AzureADPasswordProtectionProxy.

   3. Register the proxy agent with Azure Active Directory by typing: Register-AzureADPasswordProtectionProxy. You will be prompted for credentials.

   4. Register the on-premesis Active Directory Forest with Azure Active Directory by entering: Register-AzureADPasswordProtectionForest. You will again be prompted for credentials.

   5. If needed, you may change the port the Azure AD Password Protection Proxy Service is listening on. Use instructions here if needed.
5. On the first domain controller, open the downloaded Domain Controller agent and select Install to start the installation.

   Note: A reboot will be required to complete the installation of the domain controller agent.

6. Within a few seconds, the installation is complete.

7. The agent installer will prompt for a reboot of the domain controller.

8. After the domain controller agent is installed and the domain controller has rebooted, there is no other configuration required on the servers.
9. At this point, make sure to follow the options in the Password Protection for Windows Server Active Directory below are set correctly. Select Yes to enable the Windows Server Active Directory protection and set the Mode to Audit.

10. Information about monitoring the domain controller agent and proxy agent is located here. Once ready, go back to the configuration in the previous step and change the Mode to Enforced.

Summary:

By eliminating the use of easy to guess and commonly used weak passwords in your environment, you are further shrinking the attack landscape. To provide even more secure logon capabilities, it is recommended that you update aging password policies, use Windows Hello, FIDO2 keys and the Microsoft Authenticator app.

この記事は、2016 年 12 月 6 日 に Data Platform Tech Sales Team Blog にて公開された内容です。

Microsoft Japan Data Platform Tech Sales Team

大林裕明

最近、Microsoft が提供する翻訳サービスの精度が向上してきていると思いませんか？

これは翻訳に従来の辞書を使った統計的な翻訳からニューラルネットワークを利用するようになったためです。

ニューラルネットワークを使った翻訳については 日本マイクロソフト株式会社 CTO の榊原の下記ページをご覧ください。

Microsoft Translator がニューラル ネットワークによる翻訳の提供を開始

ニューラルネットワークを使った自動翻訳は Bing 翻訳だけでなく、Office 製品、Edgeなどででも使われるようになってきています。

皆さんは日常業務で社内にある英語のドキュメントを読む際に、便利なのでブラウザの翻訳機能や翻訳サイトを気軽に使っていませんか？

実は翻訳のために送ったデータは翻訳精度を上げるためなどの目的で再利用されることが利用規約に明記されています。

これは Microsoft のサービスだけでなく、他社の翻訳サイトも同様です。

企業によっては機密情報を翻訳の際にトレースをされたくないため、社内のドキュメントを翻訳サイトで翻訳することやOffice 製品の翻訳機能の利用を禁止されているところもあります。

そういったお客様には朗報です。

Azure Cognitive Services に含まれる Translator Text API を S2 以上の価格レベルに設定し、No-Trace Option を申込みいただくことで、Microsoft にトレースされることなく翻訳できます。

No-Trace Option

2018/1/18 よりすべての価格レベルでなにもしなくてもトレースなしになりました。

https://www.microsoft.com/en-us/translator/notrace.aspx

このAPIを利用した、Word、PowerPoint、Excel、PDF、テキストを翻訳するアプリケーションも提供されています。

Document Translator

こちらのアプリでは、ご契約いただいた Microsoft Azure の Translator Text API を呼び出すことができますので、こちらをS2 以上の価格レベルを選択していただくことで、Microsoft にトレースされることなく翻訳をすることができます。

追加情報

Offie 製品の翻訳機能についてもいくつかデフォルトでトレースなしになっています。

https://www.microsoft.com/en-us/translator/office.aspx#privacy

https://cognitive.uservoice.com/knowledgebase/articles/1809835-business-applications-security-and-privacy-in-mic

是非、試してみてください。

To be fair, most of the Windows Server sessions during Ignite 2018 did include Windows Admin Center content, but these are the ones that focused heavily on it. You will also find it covered in the sessions I included in yesterday's post. In these videos you'll see an overview of Windows Admin Center, as well as how it works with Server Core and Azure Networking to simplify administration tasks.

Windows Server management reimagined with Windows Admin Center

Windows Admin Center (formerly Project “Honolulu”) represents a new era in the remote management of Windows Server and Windows PCs. It is generally available, and has enjoyed extremely positive reception and fast adoption from the IT pro community. Come learn how Windows Admin Center was designed for you, with your input, to address your graphical management needs. Through customer stories and partner investments, we show how Windows Admin Center continues to grow in functionality and value, and how this reimagined experience and ecosystem will benefit you.

Enhance your Windows Admin Center capabilities with partner extensions

Windows Admin Center provides a rich web experience for Windows Server administrators, but it can go beyond the initial deployment when you add the available partner extensions to it! Come and see how Windows Admin Center can be even better with a partner extension!

The Perfect Match: Windows Admin Center & Server Core

In this session, learn how Visa, an industry leader in payments, was able to decrease its security vulnerability footprint by 30–40% by adopting the Server Core installation option in Windows Server. Come to hear tips on how to introduce Server Core into your environment and break down barriers to adoption.

Establishing hybrid connectivity with Windows Server 2019 and Microsoft Azure

Windows Server 2019 has the most advanced networking capabilities ever shipped in a Windows operating system. See how we’re using Windows Admin Center to make Windows Server 2019 the easiest OS to connect to your Azure virtual network. In this session we  also cover advancements in the data plane, transports, security (802.1x), container networking, and time accuracy.

Intune recently added the option to deploy Win32 Apps which allows the ability to directly deploy CCMSetup.exe via Intune.

The process is straightforward -

• Wrap CCMSetup.exe with Intune Win App Util.
• Add the App to Intune
• Assign to group.

Wrap CCMSetup.exe with Intune Win App Util

Download the Intune-Win32-App-Packaging-Tool

Run IntuneWinAppUtil.exe and specify -

• Source Folder: <Location of the folder which contains CCMSetup.exe>
• Setup File: <Specify the file name which is CCMSetup.exe>
• Output Folder: <Destination folder which will generate the CCMSetup.Intunewin file as Output>

Add the App to Intune

Grab the resultant output CCMSetup.intunewin from the above operation.

Specify the software setup file

1. Sign in to the Azure portal.
   
2. Select All services > Intune. Intune is in the Monitoring + Management section.
   
3. In the Intune pane, select Client apps > Apps > Add.
   
4. In the Add app pane, select Windows app (Win32) - preview from the provided drop-down list.
   

   
   

Upload the app package file [CCMSetup.intunewin]

1. In the Add app pane, select App package file to select a file. The App package file pane will be displayed.
   

   
   

2. In the App package file pane, select the browse button. Then, select ccmsetup.intunewin
   
3. When you're finished, select OK.
   

Configure Program

Install Command: ccmsetup.exe <Copy the rest from Co-Management window>

Don't forget to remove CCMSETUPCMD = ""

In my lab I am using an internal CA hence I also added /nocrlcheck

Configure Properties

Customize App Information, Requirements, Detection Rules and Return Codes as desired.

Add the app

1. In the Add app pane, verify that you configured the app information correctly.
   
2. Select Add to upload the app to Intune.
   

Assign the app

• In the app pane, select Assignments.
  
• Select Add Group to open the Add group pane that is related to the app.
  
• For the specific app, select an assignment type:
  
  • Available for enrolled devices: Users install the app from the Company Portal app or Company Portal website.
    
  • Required: The app is installed on devices in the selected groups.
    
  • Uninstall: The app is uninstalled from devices in the selected groups.
    
• Select Included Groups and assign the groups that will use this app.
  
• In the Assign pane, select OK to complete the included groups selection.
  
• If you want to exclude any groups of users from being affected by this app assignment, select Exclude Groups.
  
• In the Add group pane, select OK.
  
• In the app Assignments pane, select Save.
  

Validate a successful install

Thanks,

Arnab Mitra

こんにちは、Azure & Identity サポート チームの小野です。

今回は、Azure AD における多要素認証 (Multi-Factor Authentication = MFA) のリセット手順についてご紹介します。

Azure AD では、ログイン時の追加認証方式として電話・スマートフォンアプリ・メールなどを使った多要素認証 (Multi-Factor Authentication = MFA) を利用することができ、パスワードのセルフサービス リセット時にも同様の認証方式を利用させることが可能です。MFA の設定を有効にしている場合、Azure AD にログインをするためには認証方法に指定したスマートフォンなどを利用できる必要がありますが、スマートフォンを紛失してしまった場合や電話番号およびメールアドレスが無効になった場合には、MFA で設定していた認証を利用できない状況となり、ユーザー認証を完了することができずサービスを利用することができなくなります。
このような場合は、Azure AD  の管理者による対象ユーザーのMFA 設定のリセットを実施します。

なお、一般ユーザー権限では他ユーザーのMFA 認証設定のリセットは行うことができません。一般ユーザーは 、ログインができる状態であればユーザー自身で登録されている MFA の設定を変更することはできますが、MFA の追加の認証を受け取れるスマートフォンを紛失したなどの場合に、自ら MFA 設定のリセットを行うことはできません。

MFA のリセットは、Azure Portal またはPowerShell より行うことが可能です。Azure Portal からの操作では事前準備が不要なため、すぐに操作を実施することができます。PowerShell からの操作では、CSV 形式で用意した全ユーザーに対してリセットを行うことができるため、多くのユーザーに対し一括でリセットを行いたい場合に有効です。

Azure Portal での手順

1.多要素認証設定画面へアクセスします。

全体管理者でAzure Portal へログイン後、[すべてのサービス] > [Azure Active Directory] > [ユーザー] > [Multi-Factor Authentication] を選択します。

2.多要素認証設定画面にて該当のユーザーにチェックをつけ、"ユーザー設定の管理"を選択します。

3.“選択したユーザーについて連絡方法の再指定を必須にする”にチェックし、”保存”を選択します。

この後、上記操作が行われたユーザーがサインインしようとすると、MFA のセットアップ画面が表示されます。ユーザーは、新しく電話・スマートフォンアプリ・メールなどを使用して、多要素認証を構成できます。

PowerShell での手順

コマンドを実行する前に、MSOnline モジュールのインストールが必要となります。MSOnline モジュールのインストール方法は、下記ブログをご参照ください。

https://blogs.technet.microsoft.com/jpazureid/2017/12/04/aad-powershell/

以下コマンドを実行し、ユーザーのMFA 設定をリセットできます。 

Connect-MsolService＃Azure AD へログイン

Set-MsolUser -UserPrincipalName "<リセットしたいユーザーのUPN>" -StrongAuthenticationMethods @()

例えば、以下のようにCSV からユーザーを読み込んで、一括でリセットを行うことも可能です。

Connect-MsolService＃Azure AD へログイン

$users = Import-Csv "CSV のファイルパス"

foreach ($user in $users) {

Set-MsolUser -UserPrincipalName $user.UserPrincipalName -StrongAuthenticationMethods @()

}

用意するCSV の例

以下のコマンドで、MFA の設定がされていない（リセット済み）であるユーザーの一覧を確認することができます。

Get-MsolUser  -all | ?{ !$_.StrongAuthenticationMethods }

ご不明な点がございましたら弊社サポートまでお気軽にお問い合わせください。

上記内容が少しでも皆様の参考となりますと幸いです。

※本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

（この記事は2018年9月24日にMicrosoft Partner Network blogに掲載された記事Train and certify for your role, your wayの翻訳です。最新情報についてはリンク元のページをご参照ください。）

多くのパートナー様にとって特に重要な課題となっているのは、お客様が望む IP ソリューションや IP サービスを作成、配信するために欠かせない技能を持つ従業員を見つけ、雇用を維持することです。

Global Knowledge の調査によると、高いスキルを持つスタッフが不足していると回答した IT 企業は 68% に上ります。こうした企業は、従業員が必要とするトレーニング プログラムの提供に苦労しています。

77% の企業が正式なトレーニング部門を持たず、従業員が必要とする学習支援コンテンツを提供するためにマイクロソフトなどの外部ソースに依存しています。

マイクロソフトでは以前から、複数のソースで製品トレーニングを提供し、職務に直接関係がないスキルについても学習していただけるように、必要な製品認定を幅広く提供してきました。

しかし、その流れが変わりつつあります。今年の Ignite で、マイクロソフトは Microsoft Learn という新しいアプローチにより、お客様とパートナー様にトレーニングと認定を提供することを発表しました。

学習の開始と継続をサポート

Microsoft Learn では、チームでマイクロソフト ソリューションの作成と配信、認定に向けた準備を行うために必要なスキルの習得に取り組むことができます。学習は個人で行うため、Microsoft Learn では短いチュートリアルや長めのラーニング パス、Microsoft Learning 認定パートナー様が提供する対面形式のコースなど、お好きな学習方法をお選びいただけます。どの方法においても、職務上の役割に基づいた新しい認定の取得に向けて必要なあらゆる支援コンテンツを提供します。

Microsoft Learn は、従業員が、マイクロソフトのテクノロジや社内での役割に最も関連した実践的な職務スキルを学習する際に役立ちます。以下のような先進的で実績のあるトレーニング方法を採用しています。

• 製品、スキル レベル、職務上の役割別に提供される、ステップバイステップの短いチュートリアル
• ブラウザー ベースのインタラクティブなスクリプト環境でのハンズオン ラーニング
• 認定とセットになっている、役割に基づくラーニング パス
• 無料試用版アカウントを使用すると製品やサービスを簡単にテスト可能
• タスクごとに達成度を設定し実践的なスキルの習得を表彰
• 知識問題を通じてすぐにレベルを評価
• エキスパートによるライブでの学習セッション
• 専用フォーラムでさらに詳細な学習が可能

お好みの方法でトレーニング

Microsoft Learn では、短いチュートリアルの他にも、個人が利用できるトレーニング オプションをご用意しています。

• Pluralsight ラーニング パス: Pluralsight Role IQ では、特定の Azure ロールに必要な一連の技術スキルの習熟度を測定します。それぞれの Skill IQ で各自の不足しているスキルが特定され、お勧めのコースが表示されます。Azure ロールに基づく Pluralsight では、これらのロールに基づく認定取得を目指したプロセスが明確に示され、Skill IQ の結果を基に、ガイドに従い自分のペースで学習を進めることができます。これらのコースはすべて無料でご利用いただけます。
• Massive Open Online Courses (MOOC): 高度に体系化された詳細なトレーニングをご希望の方に向けたコースです。
• エキスパートによる授業: Microsoft Learning パートナーが、お客様のスタイルに合わせて対面形式とオンライン形式を組み合わせた学習コースを提供します。

Microsoft Learn は、今後も進化していきます。従業員の皆様が今後必要となるスキルを習得できるように、新しいスキルやチュートリアルを追加していく予定です。Microsoft Learn の機能や長期的なロードマップについては、Jeff Sandquist のブログ記事をご覧ください。

役割に基づく認定

これらの役割に基づくトレーニング オプションは、すべて新しい役割に基づく認定の取得と結び付いています。これらの認定はジョブ タスク分析 (JTA) を基にして、職務上の役割に必要なスキルを把握することを目的に作成されています。スキル リストをまとめた後、マイクロソフトのチームが認定プロセスで測定する内容を決定しました。

このたび、マイクロソフトは Microsoft Azure のアプリとインフラストラクチャに関する認定を新たに公開しました。

• Azure Administrator: ストレージ、セキュリティ、ネットワーク、コンピューティングの各クラウド機能にまたがるクラウド サービスの管理者で、IT ライフサイクル全体の各サービスを深く理解していることを示す認定です。
• Azure Developer: アプリケーションやサービスなどのクラウド ソリューションの設計や構築など、あらゆる段階で開発に携わる方に向けた認定です。
• Azure Solutions Architect: 関係者にアドバイスを提供し、ビジネス要件から安全かつスケーラブルな信頼性の高いソリューションを実現し、さまざまな IT 運用に関する高度な経験や知識を習得していることを示す認定です。

今後、さらに他のロールや認定が追加される予定です。トレーニングや認定に関する新しいアプローチの詳細については、Alex Payne のブログ記事 (英語) をご覧ください。コンピテンシーに対する新しい認定の影響については、数週間以内に詳細をお伝えする予定です。

チームとビジネスの成長をサポート

マイクロソフトの委託により MDC Research が実施した調査によると、トレーニングを継続的に実施する機会が不足していることで、従業員の在職期間が 4 年に満たないという結果が出ています。Microsoft Learn は、従業員が効率的にトレーニングを行い、認定を取得するうえで貴重な資産となります。適切な学習方法とパートナーを選ぶことで、従業員が重要なスキルのトレーニングを受けられ、その定着率を高めることができます。

こんにちは。

Windows プラットフォーム サポート担当の佐々木です。
今回は、UEFI Boot 環境のWindows 10 において、OS 用のハードディスクの RAID 1を構成する手順についてご説明させていただきたいと思います。

BIOS に代わるファームウェア (UEFI) に対応したWindows Server 2008 以降のバージョンでは、2 TB 以上の容量をサポートできる GPT ディスクから OS の起動が可能になります。
本ブログでは、ディスクの耐障害性を高めるため、 UEFI Boot 環境でダイナミックディスクの RAID 1を構成する手順について説明いたします。
 

■　RAID 1 (ミラーリング)とは？

RAID 1とは、ディスクの破損に備え、同じデータを２本のディスクに書き込む方式のことです。「ミラーリング」と呼ばれることもあります。
同じ内容のディスクを２本用意しておくことにより、１本のディスクが破損した場合でももう１本のディスクから OS を起動することができます。
つまり RAID 1を組むことにより、ディスクの耐障害性を高めることにつながります。
 

■　 HDD の種類

HDD の扱いには、ベーシック ディスクとダイナミック ディスクがあります。

〇ベーシックディスク
パーティションを4つまで作成でき、プライマリ パーティション(3 つまで)と拡張パーティション(1 つのみ)によって構成されています。
ベーシック ディスクでは、ソフトウェア RAID を構成することができません。

〇ダイナミック ディスク
シンプルボリューム、スパンボリューム、ストライプボリューム、ミラーボリュームの４種類のボリュームを作成できます。
ダイナミック ディスクでは、ソフトウェア RAID を構成することができます。

※ベーシック ディスクからダイナミック ディスクに変換した場合は、データを残したままの状態でベーシック ディスクに戻すことはできません。
 

■　事前準備

既存のディスク( Windows 10がインストールされたもの)に加えて、新規のディスクを1本追加接続してください。
既存ディスクをディスク 0、追加したディスクをディスク 1としてご説明をいたします。
今回は、ディスク 0のデータをディスク 1にミラーし、新規で作成するディスク 1のみで OS が起動できるよう設定を行います。

※お使いの PC のディスク構造は、『ディスクの管理』画面にて確認できます。

※RAID 1を構成する前のディスク構造

※RAID 1を構成した後のディスク構造

■　対象 OS

• Windows 10

UEFI Boot 環境でダイナミック ディスクの RAID 1 を構成する手順は、おおまかに以下の5ステップで構成されます。

1. 新規ディスクを GPT フォーマットに変換
2. 回復パーティションを作成
3. EFI システム パーティションを作成
4. ディスクをダイナミック ディスクに変換し、ミラーを構成
5. BCD (ブート構成データ)の修正

それぞれの具体的な手順については、次回以降のブログでご説明させていただきます。

〇ステップ 1 からステップ 4 まで
UEFI Boot 環境でダイナミック ディスクの RAID 1 (ミラーリング)を組む方法 2 / 3
〇ステップ 5
UEFI Boot 環境でダイナミック ディスクの RAID 1 (ミラーリング)を組む方法 3 / 3

いかがでしたでしょうか。
本ブログが少しでも皆様のお役に立てれば幸いです。

こんにちは。

Windows プラットフォーム サポート担当の佐々木です。
今回は、UEFI Boot 環境のWindows 10 において、OS 用のハードディスクの RAID 1を構成する具体的な手順についてご説明させていただきたいと思います。
本ブログでは、ディスクをダイナミック ディスクに変換し、システム ボリュームをコピーするところまでの手順をご説明をさせていただきます。

前回のブログ
UEFI Boot 環境でダイナミック ディスクの RAID 1 (ミラーリング)を組む方法 1 / 3

■　作業手順

1. まずは新規ディスク(ディスク 1)を GPT フォーマットに変換します。

1-1. 管理者コマンドプロンプトを起動します。
1-2. Diskpart.exe を実行し、 Diskpart ユーティリティーを起動します。
1-3. 以下のコマンドを順番に実行します。

Select disk 0
Select partition 1
※ディスク 0の回復パーティションを選択しています。

Detail partition
※ディスク0の回復パーティションの GUID を記憶しておきます。（種類の項目）

Select disk 1
Convert mbr
Convert gpt
※ここまででディスク 1の GPT フォーマットへの変換が完了しました。

2. 続いて回復用パーティションを作成します。

2-1. 以下のコマンドを順番に実行します。

Select partition 1
Create partition primary size=300
Format fs=ntfs quick label=recovery
※ディスク1上に新たな回復用のパーティション/ボリュームを作成しております。

Select partition 1
Select me 4
※ たった今作成したパーティション上の回復ボリュームを選択しています。

Set id=identifier
※ identifier には 1-3. で確認したディスク 0 の回復パーティションの GUID を入力します。

※『ディスクの管理画面』にてディスク 1に回復パーティションが作成されていることが確認できます。

3. ボリュームの内容をコピーするため、ボリュームにドライブ文字を割り当てます。

3-1. 以下のコマンドを順番に実行します。

Select disk 0
Select partition 1
Assign letter=q
※ディスク 0 上の回復パーティション上のボリュームに、レター Q を割り当てています。
Select disk 1
Select partition 1
Select me 4
Assign letter=r
※ディスク 1 上の回復パーティション上のボリュームに、レター R を割り当てています。

4. OS 起動のための EFI システムパーティションを作成し、内容をコピーします。

4-1. EFI システム パーティションを作成するため、以下のコマンドを実行します。

Select disk 1
Create partition efi size=100
====================================================================================
※ もし4K セクタを使用している場合には、EFIサイズを260に設定してください。
以下のコマンドを実行し、『セクタあたりのバイト数』を確認することにより、お使いの PC のセクタを確認することができます。
fsutil fsinfo ntfsinfo C:
====================================================================================
Format fs=fat32 quick
assign letter=t
※ディスク 1 上の EFI システム パーティション上のボリュームに、レター T を割り当てています。

select disk 0
select partition 2
assign letter=s
※ディスク 0 上の EFI システム パーティション上のボリュームに、レター S を割り当てています。

4-2. ディスク 0 の EFI システム パーティションの内容を、ディスク 1 に作成したEFI システム パーティションにコピーします。

新たに管理者権限のコマンド プロンプトを起動し、以下のコマンドを実行します。
robocopy.exe s: t: * /e /copyall /dcopy:t /xf BCD.* /xd “System me Information”
※ S ドライブの内容を T ドライブにコピーしています。

5. ディスクをダイナミックディスクに変換し、システム ボリュームをミラーします。

5-1. 手順 4-1.まで使用していた Diskpart ユーティリティー画面にて、以下のコマンドを順番に実行します。

Select disk 1
Convert dynamic
Select disk 0
Convert dynamic

5-2. 続いて以下のコマンドを実行し、システム ボリュームをコピーします。

select me=c
add disk=1 wait
※ 同期にしばらく時間がかかります。そのままお待ちください。

※完了すると、成功したメッセージが表示されます。

次回のブログでは、作成したEFI システムパーティションの BCD (ブート構成情報)を訂正し、
新規に作成したディスクから OS の起動をさせるまでの手順についてご説明させていただきたいと思います。

いかがでしたでしょうか。
本ブログが少しでも皆様のお役に立てば、幸いです。

こんにちは。

Windows プラットフォーム サポート担当の佐々木です。
今回は、UEFI Boot 環境のWindows 10 において、OS 用のハードディスクの RAID 1を構成する具体的な手順についてご説明させていただきたいと思います。
本ブログでは、ディスクをダイナミック ディスクに変換し、システム ボリュームをコピーするところまでの手順をご説明をさせていただきます。

■　作業手順

1. まずは新規ディスク(ディスク 1)を GPT フォーマットに変換します。

1-1. 管理者コマンドプロンプトを起動します。
1-2. Diskpart.exe を実行し、 Diskpart ユーティリティーを起動します。
1-3. 以下のコマンドを順番に実行します。

Select disk 0
Select partition 1
※ディスク 0の回復パーティションを選択しています。

Detail partition
※ディスク0の回復パーティションの GUID を記憶しておきます。（種類の項目）

Select disk 1
Convert mbr
Convert gpt
※ここまででディスク 1の GPT フォーマットへの変換が完了しました。

2. 続いて回復用パーティションを作成します。

2-1. 以下のコマンドを順番に実行します。

Select partition 1
Create partition primary size=300
Format fs=ntfs quick label=recovery
※ディスク1上に新たな回復用のパーティション/ボリュームを作成しております。

Select partition 1
Select me 4
※ たった今作成したパーティション上の回復ボリュームを選択しています。

Set id=identifier
※ identifier には 1-3. で確認したディスク 0 の回復パーティションの GUID を入力します。

※『ディスクの管理画面』にてディスク 1に回復パーティションが作成されていることが確認できます。

3. ボリュームの内容をコピーするため、ボリュームにドライブ文字を割り当てます。

3-1. 以下のコマンドを順番に実行します。

Select disk 0
Select partition 1
Assign letter=q
※ディスク 0 上の回復パーティション上のボリュームに、レター Q を割り当てています。
Select disk 1
Select partition 1
Select me 4
Assign letter=r
※ディスク 1 上の回復パーティション上のボリュームに、レター R を割り当てています。

4. OS 起動のための EFI システムパーティションを作成し、内容をコピーします。

4-1. EFI システム パーティションを作成するため、以下のコマンドを実行します。

Select disk 1
Create partition efi size=100
====================================================================================
※ もし4K セクタを使用している場合には、EFIサイズを260に設定してください。
以下のコマンドを実行し、『セクタあたりのバイト数』を確認することにより、お使いの PC のセクタを確認することができます。
fsutil fsinfo ntfsinfo C:
====================================================================================
Format fs=fat32 quick
assign letter=t
※ディスク 1 上の EFI システム パーティション上のボリュームに、レター T を割り当てています。

select disk 0
select partition 2
assign letter=s
※ディスク 0 上の EFI システム パーティション上のボリュームに、レター S を割り当てています。

4-2. ディスク 0 の EFI システム パーティションの内容を、ディスク 1 に作成したEFI システム パーティションにコピーします。

新たに管理者権限のコマンド プロンプトを起動し、以下のコマンドを実行します。
robocopy.exe s: t: * /e /copyall /dcopy:t /xf BCD.* /xd “System me Information”
※ S ドライブの内容を T ドライブにコピーしています。

5. ディスクをダイナミックディスクに変換し、システム ボリュームをミラーします。

5-1. 手順 4-1.まで使用していた Diskpart ユーティリティー画面にて、以下のコマンドを順番に実行します。

Select disk 1
Convert dynamic
Select disk 0
Convert dynamic

5-2. 続いて以下のコマンドを実行し、システム ボリュームをコピーします。

select me=c
add disk=1 wait
※ 同期にしばらく時間がかかります。そのままお待ちください。

※完了すると、成功したメッセージが表示されます。

次回のブログでは、作成したEFI システムパーティションの BCD (ブート構成情報)を訂正し、
新規に作成したディスクから OS の起動をさせるまでの手順についてご説明させていただきたいと思います。
UEFI Boot 環境でダイナミック ディスクの RAID 1 (ミラーリング)を組む方法 3 / 3

前回のブログ
UEFI Boot 環境でダイナミック ディスクの RAID 1 (ミラーリング)を組む方法 1 / 3

いかがでしたでしょうか。
本ブログが少しでも皆様のお役に立てば、幸いです。

こんにちは。

Windows プラットフォーム サポート担当の佐々木です。
今回は、UEFI Boot 環境のWindows 10 において、前回のブログで作成した EFI システム パーティションの BCD を訂正し、
新規に作成したディスクから OS の起動をさせるまでの手順についてご説明させていただきたいと思います。

前回までのブログ
UEFI Boot 環境でダイナミック ディスクの RAID 1 (ミラーリング)を組む方法 1 / 3
UEFI Boot 環境でダイナミック ディスクの RAID 1 (ミラーリング)を組む方法 2 / 3

■　BCD (ブート構成データ)とは?

OS の起動に関する情報が埋め込まれたデータのことです。
BCDEdit.exe というコマンドツールから BCD を編集することができます。

1. BCD を修正する。

1-1. 管理者権限でコマンド プロンプトを起動し、以下のコマンドを順番に実行します。

bcdedit.exe /enum all

(I) 表示された一覧から、 詳細に Windows Boot Manager または Windows Boot Manager – Primary Disk と記載のある Windows Boot Manager の GUID を記憶します。

(II)bcdedit.exe /copy { identifier} /d “Windows Boot Manager – Secondary Disk”
※ identifier には (I) のコマンドの結果で記憶した GUIDを入力します。

bcdedit.exe /set { identifier} device partition=t:
※ identifier には (II) のコマンドの結果で記憶した GUIDを入力します。

Bcdedit.exe /enum all

(III) 表示された一覧から、 詳細に Windows Resume Application – secondary plex と記載のある “休止状態からの再開” のGUID を記憶します。

(IV) 表示された一覧から、 詳細に Windows 10 – secondary plex と記載のある “ Windows ブートローダー” のGUID を記憶します。
Bcdedit.exe /export t:EFIMicrosoftbootBCD
Bcdedit.exe /store s:EFIMicrosoftBootBCD /delete { identifier}
※ identifier には (III) のコマンドの結果で記憶した GUID を入力します。

Bcdedit.exe /store s:EFIMicrosoftBootBCD /delete { identifier}
※ identifier には (IV) のコマンドの結果で記憶した GUID を入力します。

Bcdedit.exe /store t:EFIMicrosoftbootBCD /enum all
(V) 表示された一覧から、”Device Options” のGUID を記憶します。

(VI) 表示された一覧から、 詳細に Windows Recovery Environment と記載のある “Windows Boot Loader” のGUID を記憶します。

(VII) 表示された一覧から、 詳細に Windows Resume Application と記載のある “休止状態からの再開” のGUID を記憶します。

(VIII) 表示された一覧から、 詳細に Windows 10 と記載のある “Windows Boot Loader” のGUID を記憶します。

(IX) 表示された一覧から、 詳細に Windows Boot Manager – Primary Disk と記載のある “Windows Boot Manager” のGUID を記憶します。

(X) 表示された一覧から、 詳細に Resume Application – secondary plex と記載のある “休止状態からの再開” のGUID を記憶します。

(XI) 表示された一覧から、 詳細にWindows 10 – secondary plex と記載のある “Windows Boot Loader” のGUID を記憶します。

(XII) 表示された一覧から、 詳細にWindows Boot Manager – secondary disk と記載のある “Windows Boot Manager” のGUID を記憶します。

Bcdedit.exe /store t:EFIMicrosoftbootBCD /set { identifier} ramdisksdidevice partition=r:
※ identifier には (V) のコマンドの結果で記憶した GUID を入力します。

Bcdedit.exe /store t:EFIMicrosoftbootBCD /set {memdiag} device partition=t:
bcdedit.exe /store t:EFIMicrosoftbootBCD /set { identifier1} device ramdisk=[r:]RecoveryWindowsREWinre.wim { identifier2}
※ identifier1 には (VI) のコマンドの結果で記憶した GUID を入力します。
※ identifier2 には (V) のコマンドの結果で記憶した GUID を入力します。

bcdedit.exe /store t:EFIMicrosoftbootBCD /set { identifier1} osdevice ramdisk=[r:]RecoveryWindowsREWinre.wim { identifier2}
※ identifier1 には (VI) のコマンドの結果で記憶した GUID を入力します。
※ identifier2 には (V) のコマンドの結果で記憶した GUID を入力します。

bcdedit.exe /store t:EFIMicrosoftbootBCD /delete { identifier}
※ identifier には (VII) のコマンドの結果で記憶した GUID を入力します。

bcdedit.exe /store t:EFIMicrosoftbootBCD /delete { identifier}
※ identifier には (VIII) のコマンドの結果で記憶した GUID を入力します。

bcdedit.exe /store t:EFIMicrosoftbootBCD /delete { identifier} /f
※ identifier には (IX)のコマンドの結果で記憶した GUID を入力します。

bcdedit.exe /store t:EFIMicrosoftbootBCD /set { identifier} description “Windows Resume Application”
※ identifier には (X) のコマンドの結果で記憶した GUID を入力します。

bcdedit.exe /store t:EFIMicrosoftbootBCD /set { identifier} description “Windows 10”
※ identifier には (XI) のコマンドの結果で記憶した GUID を入力します。

bcdedit.exe /store t:EFIMicrosoftbootBCD /set { identifier1} resumeobject { identifier2}
※ identifier1 には (XI) のコマンドの結果で記憶した GUID を入力します。
※ identifier2 には (X) のコマンドの結果で記憶した GUID を入力します。

bcdedit.exe /store t:EFIMicrosoftbootBCD /set { identifier1} recoverysequence { identifier2}
※ identifier1 には (XI) のコマンドの結果で記憶した GUID を入力します。
※ identifier2 には (VI) のコマンドの結果で記憶した GUID を入力します。

bcdedit.exe /store t:EFIMicrosoftbootBCD /set { identifier1} default { identifier2}
※ identifier1 には (XII) のコマンドの結果で記記憶した GUID を入力します。
※ identifier2 には (XI) のコマンドの結果で記憶した GUID を入力します。

bcdedit.exe /store t:EFIMicrosoftbootBCD /set { identifier1} resumeobject { identifier2}
※ identifier1 には (XII) のコマンドの結果で記憶した GUID を入力します。
※ identifier2 には (X) のコマンドの結果で記憶した GUID を入力します。

1-2. ディスク 1 上のセカンダリ プレックスの情報を更新するため以下のコマンドを実行します。

bcdedit.exe /enum all
(I) 表示された一覧から、 詳細にWindows Boot Manager – secondary disk と記載のある “Windows Boot Manager” のGUID を記憶します。

bcdedit.exe /set {fwbootmgr} displayorder { identifier} /addfirst
※ identifier には (I) のコマンドの結果で記憶したGUID を入力します。

1-3. システムを再起動するため、以下のコマンドを実行します。
shutdown.exe /r /t 0

1-4. 再起動完了後、管理者コマンドプロンプトで Diskpart ユーティリティーを起動し、以下のコマンドを順に実行します。
Select disk 0
Select partition 2
Assign letter=s
※ ディスク 0 上の EFI システム パーティションにレター S を割り当てています。

Select disk 1
List partition
※ 表示された一覧から、 EFI システム パーティションの番号を記憶します。

Select partition X
※ X…1つ前のコマンドで確認した EFI システム パーティションの番号を指定します。

Assign letter=t
※ ディスク 1 上の EFI システム パーティションにレター T を割り当てています。

1-5. 新たな管理者権限のコマンド プロンプトを起動し、以下のコマンドを順番に実行します。
bcdedit.exe /store s:EFIMicrosoftbootBCD /enum all
(I) 表示された一覧から、 詳細に Windows Boot Manager – secondary disk と記載のある “Windows Boot Manager” のGUID を記憶します。

Bcdedit.exe /store s:EFIMicrosoftbootBCD /delete { identifier }
※ identifier には (I) のコマンドの結果で記憶していた、GUID を入力します。

bcdedit.exe /enum all
(II) 表示された一覧から、 詳細に Windows Boot Manager – Primary Disk と記載のある “Firmware Application {101fffff}” のGUID を記憶します。

bcdedit.exe /set {fwbootmgr} displayorder { identifier } /addfirst
※ identifier には (II) のコマンドの結果で記憶したGUID を入力します。

bcdboot c:windows

bcdedit /enum firmware
(III) 表示された一覧から、 詳細に Windows Boot Manager – secondary disk と記載のある “Windows Boot Manager” のGUID を記憶します。

bcdedit /delete { identifier }
※ identifier には (III) のコマンドの結果で記憶した GUID を入力します。

bcdedit /set {bootmgr} description “Windows Boot Manager – Secondary Disk”
bcdedit /enum firmware
(IV) 表示された一覧から、 詳細に Windows Boot Manager – Primary Disk と記載のある “Firmware Application {101fffff}” のGUID を記憶します。

bcdedit.exe /set {fwbootmgr} displayorder { identifier } /addfirst
※ identifier には (IV) のコマンドの結果で記憶した GUID を入力します。

1-6. システムを再起動します。以下のコマンドを実行します。
shutdown.exe /r /t 0

以上でダイナミックディスクの RAID 1を構成する手順は完了です。
ディスク 0を取り外し、新たに作成したディスク 1から OS の起動が可能かお試しください。
※以下の画像のように起動できれば、ディスクのミラーリングに成功しています。

いかがでしたでしょうか。
本ブログが少しでも皆様のお役に立てば幸いです。

－ 参考情報

Virtual Disk Service is transitioning to Windows Storage Management API
https://msdn.microsoft.com/ja-jp/windows/compatibility/vds-is-transitioning-to-windows-storage-management-api