Free Download “A Crash Course in Microsoft 365 Business”

Author: Mark O’Shea MVP TechNet Blogs

Late last year we ran some technical events on Microsoft 365 with our local distributors on Microsoft 365, and have been doing some content refinement for the next round of deliveries that start in February. While we are waiting for the upcoming dates and cities to be published, why not download and read A Crash Course in Microsoft 365 Business. This was released toward the end of last year, and it would have been easy to miss in the lead up to the holidays.

Take a few minutes to read A Crash Course in Microsoft 365 Business and discover how it makes work easier by:
Creating, connecting and collaborating with people inside and outside organisations.
Enabling employees to be productive anywhere, on their favourite devices.
Helping protect data and devices through one simple dashboard that is always up to date.

 IP 構築の秘訣 案ずるより産むが易し【1/14 更新】

Author: MPN_Japan TechNet Blogs

(この記事は2017年11月7日にMicrosoft Partner Network blog に掲載された記事 The secret to building IP: It’s easier than you think の翻訳です。最新情報についてはリンク元のページをご参照ください。)

クラウド コンピューティングの人気が高まっていることから、パートナー様の競争は激化しています。このような状況にあってさらなる差別化を図るには、特定の業界内で独自の専門サービスを提供する必要があります。そして、ビジネスを差別化するにあたって最も収益性の高い方法は、知的財産 (IP) を構築することです。

パートナー様の大半はパッケージド IP の有望な点を理解してはいるものの (2017 年 6 月に MDC Research が実施したクラウド プラクティス開発スタディによると、経常収益ベースの粗利率は平均 70%)、一部のパートナー様はまだ投資する準備ができていないと感じています。しかし、そのビジネス チャンスは非常に大きいため、本格的にご検討されることをお勧めします。またこれとは別に、自覚のないまま IP を提供していて、有償サービスとしてビジネスを展開する準備が整っていないパートナー様もいらっしゃいます。

IP を構築することで、より包括的なサービスを提供すると共に、顧客維持率を高めて真の顧客生涯価値を生み出して、クライアントにとって唯一の存在になることができます。経営者にとっては、企業価値が劇的に高まるというメリットもあります。最近の調査によると、所有する IP の大部分を収益化しているパートナー様は、そうでない企業と比較して企業価値が 5 ~ 10 倍になることが判明しています。

では、どのように始めれば良いのでしょうか。

自社の IP を発見する

まずは、既に所有している隠れた IP を探し出して、それに対するイノベーションを継続します。顧客からの要望を精査し、特に要望の多いソリューションを見極め、その機能をパッケージ化することを検討します。専門的な製品に変換できる、再現可能な要素を特定しましょう。

そのためには、ソリューションを製品化する機会を積極的に模索する必要があります。重点的に取り組む分野を 1 つか 2 つに絞り込んでトライアル プロジェクトを立ち上げ、その分野のターゲット顧客のプロファイルを作成することで、独自のソリューションを構築できるようにします。

視野を狭めやしないかと不安に思う必要はありません。ある機能を自動化する数行のコードであっても、ターゲットとなる市場にとって特別な価値を生み出すなら、りっぱな IP です。

ソリューションを完全に差別化するために、サービスを特定業種に特化させる方法や市場投入のアプローチを検討してください。

パートナー様のコア コンピテンシーの範囲外であるからというだけで、ビジネス チャンスを無視しては損です。リソースが限られている場合は、IP 開発の提携やアウトソーシングを検討してみましょう。そうすることで、顧客に対しても自社にとっても大きな効果が期待できます。

RedPixie のアプローチ

ロンドンに拠点を置くマイクロソフト パートナー RedPixie (英語) は、2 つの IP ソリューションの構築に成功しました。このうち新しい方のソリューションは、IoT デバイスから心拍数や体温のデータを追跡する、医療用のウェアラブル テクノロジです。これは Project WellWatch というスケーラブルな Azure IoT 医療サービスであり、リアルタイムの分析結果をデータ ウェアハウスに抽出して、計算、機械学習、インサイトの取得を行います。収集される情報は、問題発生の前兆を見極めるためにも使用されます。生死にかかわる状況では、デバイスから病院に直接情報を送信することもあります。

もう 1 つのソリューションは、一部の顧客が Microsoft Excel を使用して、監視されていない危険性の高いデスクトップ環境でミッションクリティカルな基幹業務プロセスを実行していることに気付いたことから生まれました。そのような顧客の状況から、Excel 自体を使用せずにコードから Excel ワークブックの計算を行うバックグラウンド処理エンジンを開発するというビジネス チャンスを見いだしたのです。同社はワークブックを処理するために Azure Calculation Engine (英語) というスケーラブルな Azure ベースのアーキテクチャを構築し、顧客が事業運営に専念できるようにしました。

RedPixie は、顧客の基幹業務部門の経営幹部と協力して、カスタムのパッケージ ソリューションを実装しました。RedPixie の顧客にとってこのソリューションは、PC ベースの Excel コンピューティング グリッドを実行するよりも低コストで管理しやすく、Azure のスケーラビリティによって主要なビジネス プロセスの実行時間は最大で 88% も短縮されました。

独自の価値を提供する

自社の IP を定義したら、再現可能なメソッドやプロセスに変換する必要があります。ただし、イノベーションを中断してはいけません。新しいクラウド コンピューティングの世界では、独自のソリューションも短期間のうちにコモディティ化したり、新しいソリューションに取って代わられたりすることがあります。

RedPixie の最高デジタル責任者を務める Mitchell Feldman 氏は、この状況を「デジタル戦争」と表現します。「飛行機の操縦に似ています。正しく操縦すれば飛び続けますが、何もしなければ墜落します。」ここで重要なのは、顧客生涯価値に着目すること、成功事例を公開すること、そして顧客サポートやビジネス展開について顧客が考えもしないようなアイデアを絶えず提示し続けることです。

そして引き続き、自社の IP 中心のソリューションを他の業種の同様のユース ケースに拡張する道を模索して、リーチを拡大します。IDC 電子ブック『モダン マイクロソフト パートナー シリーズ』 のパート 2 では、ある垂直市場におけるコンピテンシーを発展させることで、別の垂直市場のビジネス チャンスを発見する方法について説明しています。場合によっては、戦略、組織構造、開発プロセス、販売プロセス、基盤となるコードを別の垂直市場向けに簡単に変換できることもあります。

また、自社の IP を構築することで、チャネル パートナーを通じて自社ソリューションを販売するというビジネス チャンスが開かれる可能性もあります。パートナー ネットワークに目を向け、バンドルできる補完的なソリューションを探して、独自のソリューションを完成させてはいかがでしょうか。

皆様は、ビジネスを差別化し、収益性を高めるために IP をどのように活用していますか。マイクロソフト パートナー コミュニティ (英語) で皆様の事例をご紹介ください。

Office 365 の TLS 1.0/1.1 無効化に伴う AD FS / WAP (AD FS Proxy) の対応

Author: Azure Identity Support Japan TechNet Blogs

こんにちは、 Azure ID の三浦です。

今回は Office 365 での TLS 1.01.1 のサポート無効化に伴う AD FS / WAP (AD FS Proxy) での対応についてまとめました。

次の情報にありますように 2018/3/1Office 365 では TLS 1.01.1 のサポートを無効化することを予定しています。

Office 365 への TLS 1.2 の実装に対する準備

https://support.microsoft.com/ja-jp/help/4057306/preparing-for-tls-1-2-in-office-365

フェデレーション環境では、 AD FS および WAP (Windows Server 2012 以前AD FS Proxy)TLS 1.2 による接続を有効にする必要があります。実際のところ以下の表のとおり最近の OS (Windows Server 2012 以降) であれば既定で TLS 1.2 を利用するようになっており、このときには特別な対処は必要ありません (例えば AD FS および WAPWindows Server 2012 R2 で構成されている場合)。

OS のバージョン毎にサポートされるセキュリティ プロトコル一覧

TLS 1.2 の設定状況の確認と設定方法

Windows 8 / 2012 以降の OS であれば、特に明示的に設定を変えていなければ対処は不要です。

本当に大丈夫かは HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols キー配下に何も設定が無い (既定の状態)、もしくは以下のように明示的に有効にする設定が入っているかで判断でき、この状態では TLS 1.2 が利用されています。

Windows 7 / 2008 / 2008 R2 の場合には、既定では TLS 1.2 は無効であり、対処が必要です。このときはに次のように値を設定します。

値を変更した場合には、システムの再起動をします。

キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client

名前:Enabled

タイプ: REG_DWORD

値:1

名前:DisabledByDefault

タイプ: REG_DWORD

値:0

キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server

名前:Enabled

タイプ: REG_DWORD

値:1

名前:DisabledByDefault

タイプ: REG_DWORD

値:0

なお、管理者権限で次の PowerShell コマンドを実行することで一括して上記設定が可能です。

New-Item ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server’ -Force | Out-Null

New-ItemProperty -path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server’ -name ‘Enabled’ -value ‘1’ -PropertyType ‘DWord’ -Force | Out-Null

New-ItemProperty -path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server’ -name ‘DisabledByDefault’ -value ‘0’ -PropertyType ‘DWord’ -Force | Out-Null

New-Item ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client’ -Force | Out-Null

New-ItemProperty -path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client’ -name ‘Enabled’ -value ‘1’ -PropertyType ‘DWord’ -Force | Out-Null

New-ItemProperty -path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client’ -name ‘DisabledByDefault’ -value ‘0’ -PropertyType ‘DWord’ -Force | Out-Null

Write-Host ‘TLS 1.2 has been enabled.’

TLS 1.2 を実際に利用しているか確認する方法

クライアントが TLS 1.2 を利用しているかは、以下のサイトでテストできます。

Qualys SSL Labs

https://www.ssllabs.com/

アクセスすると以下の画面が表示されますので、画面赤枠の [Test your browser >>] をクリックします。

※ 実行した結果、「Your user agent supports TLS 1.2, which is recommended protocol version at the moment.」 と表示された場合には TLS 1.2 を利用している状態です。

※ 以下のように表示された場合には、TLS 1.2 の設定状況の確認と設定方法に従って有効化します。

なお、 TLS 1.2 を利用するかはブラウザ側でも設定がありますので、ブラウザの設定で TLS 1.2 が使用できるように構成されているかも合わせてご確認ください。

以上、クライアント側での確認方法となりますが、サーバー側についても WAP サーバーに対しては、同じく Qualys SSL Labs のサイトで Test your server >> から AD FS のサービス名 (sts.xxxxx.xxx など) を指定して Submit することでサーバー側の TLS の対応状況を確認できます。

(TLS 1.2 のみを利用するように構成したブラウザからアクセスしてアクセスできるか確認するという方法もあります )

TLS 1.01.11.2 に対応している場合の表示結果例です。

TLS 1.0 / TLS 1.1 を無効にする方法

Office 365 での TLS 1.2 必須化に伴い、 AD FS やアクセスするクライアントで TLS 1.0 / 1.1 を無効にすることは必須ではありません。ただ、セキュリティ観点から TLS 1.0 /1.1 を無効にしたいという要件もあると思います。AD FSWAP (AD FS Proxy) 間では .NET Framework を利用した通信を実施しますが、この通信は既定で TLS 1.0 を利用するように設定されています。そのため、AD FS で TLS 1.0/1.1 を無効にするには事前に .NET Framework で TLS 1.2 を利用するように構成し、そのあとで TLS 1.0 / 1.1 を無効にする必要があります。

.NET Framework の設定を変更しておけば、AD FS と WAP (AD FS Proxy) で TLS 1.0/1.1 を無効にしても、このバージョンのみを使用できるクライアントからのアクセスができなくなる以外に基本的には想定される影響はありません。ただ、過去に TLS 1.0 を無効にした場合にいくつか発生する問題も報告されており、ご使用の環境では TLS 1.0/1.1 を無効にすると問題が発生し、再度有効にする必要がある場合もありますので、以下の公開情報も参照ください。

Considerations for disabling and replacing TLS 1.0 in ADFS

https://support.microsoft.com/en-us/help/3194197/considerations-for-disabling-and-replacing-tls-1-0-in-adfs

.NET Framework を利用した通信で TLS 1.2 を利用するようにする方法

AD FS および WAP (AD FS Proxy) サーバーで .NET Framework に関するレジストリを設定します。

Windows Server 2016 よりも前の OS では、 .NET FrameworkTLS 1.2 を利用できるような修正プログラムがインストールされていることが必要です。そのためには以下のセキュリティ アドバイザリ 2960358 を適用します。

マイクロソフト セキュリティ アドバイザリ 2960358

https://technet.microsoft.com/library/security/2960358

この更新プログラムのインストール時に発生する可能性のある既知の問題が報告されておりますので、併せてご確認ください。

(.NET Framework を使用している製品は多くあります。 AD FS / WAP 以外の役割を兼ねている場合には、更新プログラムの適用、 TLS 1.2 を利用させるように変更する際に他に影響が無いかの動作確認が必要です)

セキュリティ更新プログラム 2960358 をインストールした後に、Internet Explorer でホストされるマネージ コントロールを含むアプリケーションとノータッチ デプロイメントが正しく機能しないことがある

https://support.microsoft.com/ja-jp/kb/2978675

更新プログラムの適用が完了しましたら以下のレジストリを変更します。

Windows Server 2016 および Windows Server 2012 R2.NET Framework4.0/4.5 を利用するため v4.0.30319 キー配下に設定を実施します。

Windows Server 2012 以前は .NET Framework 3.5 を利用するため v2.0.50727 キー配下に設定を実施します。

(両方ともに設定を実施しても問題ありません)

キー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

名前: SchUseStrongCrypto

タイプ: REG_DWORD

値:1

 キー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727

 名前: SchUseStrongCrypto

タイプ: REG_DWORD

 値:1

TLS 1.0 / 1.1 無効化方法

.NET Framework の設定が完了しましたら TLS 1.0/1.1 をレジストリ設定により無効にします。

AD FS / WAP (AD FS Proxy) 以外でも TLS 1.0/1.1 を無効にする際のレジストリは以下になります。レジストリを変更しましたら、システムを再起動します。

キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Client

名前:Enabled

タイプ: REG_DWORD

値:1

名前:DisabledByDefault

タイプ: REG_DWORD

値:0

キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.0\Server

名前:Enabled

タイプ: REG_DWORD

値:1

名前:DisabledByDefault

タイプ: REG_DWORD

値:0

キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client

名前:Enabled

タイプ: REG_DWORD

値:1

名前:DisabledByDefault

タイプ: REG_DWORD

値:0

キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server

名前:Enabled

タイプ: REG_DWORD

値:1

名前:DisabledByDefault

タイプ: REG_DWORD

値:0

なお、管理者権限で次の PowerShell コマンドを実行することで一括して上記設定が可能です。

New-Item ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server’ -Force | Out-Null

New-ItemProperty -path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server’ -name ‘Enabled’ -value ‘0’ -PropertyType ‘DWord’ -Force | Out-Null

New-ItemProperty -path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server’ -name ‘DisabledByDefault’ -value 1 -PropertyType ‘DWord’ -Force | Out-Null

New-Item ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client’ -Force | Out-Null

New-ItemProperty -path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client’ -name ‘Enabled’ -value ‘0’ -PropertyType ‘DWord’ -Force | Out-Null

New-ItemProperty -path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client’ -name ‘DisabledByDefault’ -value 1 -PropertyType ‘DWord’ -Force | Out-Null

Write-Host ‘TLS 1.0 has been disabled.’

New-Item ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server’ -Force | Out-Null

New-ItemProperty -path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server’ -name ‘Enabled’ -value ‘0’ -PropertyType ‘DWord’ -Force | Out-Null

New-ItemProperty -path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server’ -name ‘DisabledByDefault’ -value 1 -PropertyType ‘DWord’ -Force | Out-Null

New-Item ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client’ -Force | Out-Null

New-ItemProperty -path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client’ -name ‘Enabled’ -value ‘0’ -PropertyType ‘DWord’ -Force | Out-Null

New-ItemProperty -path ‘HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client’ -name ‘DisabledByDefault’ -value 1 -PropertyType ‘DWord’ -Force | Out-Null

Write-Host ‘TLS 1.1 has been disabled.’

参考情報

Solving the TLS 1.0 Problem

https://www.microsoft.com/en-us/download/details.aspx?id=55266

Managing SSL/TLS Protocols and Cipher Suites for AD FS

https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/manage-ssl-protocols-in-ad-fs

Transport Layer Security (TLS) registry settings

https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings

[IT 管理者向け] TLS 1.2 への移行を推奨しています

https://blogs.technet.microsoft.com/jpsecurity/2017/07/11/tlsmigration/

Enable Office 365 MFA for Skype for Business On Premises Users

Author: Steve Moore – Skype for Business TSP TechNet Blogs

Hi All

I have been playing around with MFA today in a lab and working on getting MFA working for my on premises users. I have SFB setup in hybrid mode (split domain), i.e both O365 and SFB On premises are looking after by domain.

On December 6th 2017 we announced that we support MFA for SFB On premises users (with EXO mailboxes) which is pretty cool. Blog post here https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/Hybrid-Modern-Auth-for-SfB-and-Exchange-goes-GA/ba-p/134756

So I figured I had better give it a go. Fortunately we have a pretty comprehensive guide out on how to turn it on, just here https://support.office.com/en-us/article/How-to-configure-Skype-for-Business-on-premises-to-use-Hybrid-Modern-Authentication-522d5cec-4e1b-4cc3-937f-293570717bc6

So I followed the key steps and voila worked a treat. Some thoughts to be aware of:

  • Once you turn on SFB MFA auth in on premises, all users will start to be authenticated against O365, not just those you enable for MFA in O365. i.e I enabled a user victor for MFA and he started working beautifully. I then tried to sign in as Anna, another onprem user who wasn’t enabled for MFA in O365. When signing in, I am now prompted to auth against Office 365 from the SFB client. (see below).

  • Once having signed in with a password, you will of course be prompted for a 2nd factor, in my case using a One time code from O365 text’d to my mobile phone. After putting in the code (see prompt in SFB client below), voila I was in .
  • You need to turn on per user MFA in Office 365, and the user then needs to setup how they would like to use MFA when signing into O365 apps including SFB. Once those two steps are done, the SFB client will start using O365 MFA.
  • Make sure you check out the pre-reqs as this is designed for SFB Hybrid and Exchange Online scenarios, and will not work with all customer scenarios (so please be careful here and read up on all the supported scenarios).
  • There is a great video on SFB Modern Auth from Ignite 2017, go here to have a look https://myignite.microsoft.com/videos/53262;
  • It’s also worth reading the Planning for MFA in Office 365 before tackling this approach https://support.office.com/en-us/article/Plan-for-multi-factor-authentication-for-Office-365-Deployments-043807b2-21db-4d5c-b430-c8a6dee0e6ba?ui=en-US&rs=en-US&ad=US;

Anyway, it is exciting we now have this as it will help a lot of my customers who want SFB MFA but still have users on premises. So exciting stuff.

Happy Skype’ing/Team’ing

Steve
PS. Don’t forget lab this stuff up before you go and do in production, test test and test