メール暗号化 OME(Office 365 Message Encryption)

脱PPAP(パスワード付きzipファイル送信)対策として、Microsoft 365では、2通りの手法がありますが、その内の1つであるOME(Office 365 Message Encryption)をご紹介します。
OMEの最大のメリットは、送信者は従来通りメールに添付するだけなので、送信者の操作手順を変更する必要が無いことが挙げられます。

OMEに必要なライセンス

OMEは下記ライセンスで利用できます。
・Microsoft 365 Business Premium
・Office 365 E3
・Office 365 E5
・Microsoft 365 E3
・Microsoft 365 E5
もしくは、
Exchange Online(Exchange Onlineを含むライセンス)+Azure Information Protection(Plan 1以上)

OME設定

1.Azure Rights Management が有効であることを確認

Azure ポータルへアクセスして、検索窓に「Azure Information Protection」と入力します。
「サービス」一覧の「Azure Information Protection」をクリックします。

左部メニューの「保護のアクティブ化」をクリックします。
「保護の状態は アクティブ化されています。」と表示されることを確認します。

2.Exchange Online PowerShell でOME 構成を確認

まず、PowerShellを管理者モードで起動します。

PowerShellGet モジュールをインストールします。

Install-PackageProvider -Name NuGet -Force
Install-Module -Name PowerShellGet -Force

インストール済みの場合はアップデートします。

Update-Module -Name PowerShellGet
Exit

Windows PowerShell ウィンドウを閉じてから再度開きます。
Install-Module コマンドレットを使用して、PowerShell ギャラリーから EXO V2 モジュールをインストールします。

Install-Module -Name ExchangeOnlineManagement

PowerShell ウィンドウで、次のコマンドを実行して EXO V2 モジュールを読み込みます。

Connect-ExchangeOnline

対象テナントの管理者アカウントでサインインします。

接続に成功すると、下記のような表示になります。

次のコマンドを実行して 「AzureRMSLicensingEnabled」が「True」となっていることを確認します。

Get-IRMConfiguration

(Trueになっていない場合は、「Set-IRMConfiguration -AzureRMSLicensingEnabled $true」コマンドでTrueにします。)

次のコマンドを実行して動作をテストします。

Test-IRMConfiguration -Sender [テストメールアドレス]

「全体的な結果:合格」と表示されればOKです。

3.メール フロー ルールを定義

Exchange Onlineのメールフロールールを作成します。
ここでは、下記2条件を満たした際に暗号化送信する設定を行います。
・ファイルサイズが1KB以上の添付ファイルがある
・社外への送信

Exchange 管理センターより「メールフロー」>「ルール」画面を開きます。
「+」>「Office 365 Message Encryptionと権利保護をメッセージに適用する」をクリックします。

任意の名前「メール暗号化送信」を入力します。
「*このルールを適用する条件」から「任意の添付ファイル」>「サイズが次の値以上である」を選択します。

「添付ファイル サイズの制限(KB)を指定する」枠に「1」と入力します。

「条件の追加」ボタンをクリックします。

「この受信者」>「外部/内部である」を選択します。

「受信者の場所の選択」で「組織外」を選択します。

「次のテンプレートでOffice 365 Message Encryptionと権利保護をメッセージに適用する」右側の「1つ選択してください」をクリックします。

「RMSテンプレートの選択」で「暗号化」を選択します。

「保存」ボタンをクリックして設定完了です。

暗号化メールを送信

実際に暗号化メールを送信してみます。

Outlook on the webより、社外のGmail宛てに花の写真を添付したメールを送信します。

受信者(社外のGmail)は下記のようなメールが届きます。
「メッセージを読む」をクリックします。

ここでは、Gmail以外の受信者の場合と同様に、ワンタイムパスコードで閲覧するので「ワンタイムパスコードを使用してサインイン」をクリックします。

(ちなみに、Gmailの場合は「Sign in with Google」ボタンをクリックしてGoogleアカウントのパスワードを入力すると、ワンタイムパスコードは不要です)

ワンタイムパスコードが送信され、ワンタイムパスコードの入力フォームが表示されます。

受信者(社外Gmail)宛てにワンタイムパスコードが届きます。

ワンタイムパスコードを入力して「→続行」をクリックします。

メール本文及び添付ファイルが閲覧できるようになります。

添付ファイルをプレビュー表示すると下記のようになります。
もちろん、ローカルPCへダウンロードすることもできます。

受信者が閲覧するタイミングでワンタイムパスコードを発行でき、かつワンタイムパスコードの有効期限を15分に制限しているため、安全に閲覧者を限定することができます。

受信者がMicrosoft 365ユーザーで、Outlookを使用している場合は、ワンタイムパスコード無しで通常のメールのように暗号化メールが届きます。その場合、下記画面のように一覧リストには鍵のアイコンが表示され、メッセージには「このメッセージは暗号化されています。」と表示されます。

送信者側の操作手順を変えずに利用できることは、大変便利に感じます。
この記事では、ブラウザ版のOutlook on the webからメールを送信しましたが、デスクトップ版のOutlookはもちろんのこと、スマホやタブレットからiOS版やAndroid版のOutlookからでも、添付ファイルがあれば自動暗号化送信することができます。

是非一度お試しください。

Microsoft Defender for Business

昨今、サイバー攻撃は増加するとともに、高度化しています。セキュリティの脅威は中小企業も例外ではありません。
Microsoft Defender for Businessは、強力なセキュリティサービスであるDefender for Endpointの中小企業版です。
300人以下の企業向けサービスである、Microsoft 365 Business Premiumで利用できるようになります。

Microsoft 365 Defender for Businessの機能

脅威と脆弱性の管理

ソフトウェアの脆弱性や構成ミスを発見し、緊急度や重要度によって優先順位を付けて、効率的なセキュリティレベル向上に貢献します。

攻撃面の縮小

ランサムウェアの軽減、アプリケーション制御、Web保護、ネットワーク保護、ネットワークファイアウォール、攻撃表面の削減ルールなどの機能を使用して、デバイスやアプリケーション全体で攻撃の表面(企業がサイバー攻撃に対して脆弱な場所)を削減します。

次世代保護

デバイスやクラウドで、マルウェア対策とウィルス対策保護を使用して、フロントドアの脅威を防止し、保護します。

EDR

永続的な脅威を特定し、環境から削除できる行動ベースの検出および応答アラートを取得します。

自動調査と修復

アラートが発報すると、攻撃を解決するために自動的な調査と修復を実行します。迅速な対応で被害を最小限に抑えることができます。

APIと統合

ワークフローを自動化し、セキュリティデータを既存のセキュリティプラットフォームとレポート作成ツールに統合します。

Microsoft 365 Lighthouseとの統合

ネットプロではMicrosoft 365 Lighthouseを使用して、クライアント様のセキュリティを統合管理することができます。

Microsoft 365 Lighthouseとは

この度、Microsoft 365 Business Premiumを利用しているエンドユーザー様にサービスを提供する、マネージドサービスプロバイダー(MSP)を対象に、Microsoft 365 Lighthouseのパブリックプレビューの提供を開始しました。

Microsoft 365 Lighthouseの概要

Microsoft 365 Lighthouseでは、当社のようなMSPが複数のエンドユーザー様のセキュリティを統合管理することができます。それによりコストを抑えたセキュリティ運用を支援することができます。
・マルウェアとウィルスからの保護
・フィッシングとランサムウェア対策
・IDに対する脅威からの保護
・エンドポイントデバイス管理
・コンプライアンス管理

Microsoft 365 Lighthouseの対象ユーザー

企業のセキュリティの管理・運用は日々多様化しており、また必要とされる専門スキルも高まっています。社内でそれらを賄うことが負担になっている企業は少なくありません。Microsoft 365 Lighthouseは下記のようなユーザーに効果的です。
・セキュリティ管理を専門家に任せたい
・セキュリティを管理できていない
・セキュリティ管理が業務の負担になっている
・セキュリティレベルを向上させたい

Microsoft 365 Lighthouseでできること

Microsoft 365 Lighthouseでは、お客様の管理のスケーリング、優先課題への集中的な取り組み、リスクのすばやい発見と調査などにより、お客様の状態を健全で安全に維持することができます。

リスク管理

Microsoft 365 Lighthouseでは、統合された複数のお客様のテナントをモニタリングすることで、積極的なリスク管理が可能です。お客様の環境の推移が可視化されるため、すばやく状況を把握して優先度を決めて対応することができます。

脅威からの保護とウィルス対策

・Windows 10/11デバイスのMicrosoft Defenderウィルス対策の状態を確認
・アクティブな脅威の確認、デバイスの再起動、ウィルス対策の更新、スキャンの実行
・セキュリティイベントの影響を受けるユーザーやデバイス

IDとアクセス管理

・全ユーザーリストを一元管理
・リスクのあるサインインや条件付きアクセスポリシー設定の分析

デバイスコンプライアンス

・デバイスコンプライアンスを統合管理

対象ライセンス

・Microsoft 365 Business Premium
・Microsoft 365 E3

Microsoft 365 Lighthouseの価格

Microsoft 365 Lighthouse自体のライセンスは無料です。
別途対象ライセンスの利用と、「クラウド運用保守サービス」の締結が必要です。

Microsoft 365 Lighthouseでは、中小企業に必要な標準レベル以上のセキュリティ運用を提供いたします。

Microsoft 365 Defender for Endpoint のサービス改訂

Defender for Endpointは、従来Windows 10 Enterprise E5もしくはMicrosoft 365 E5のみで利用できるサービスでしたが、コスト負担が大きくなりがちでした。

今回のサービス改訂により、従来のDefender for Endpointのプランが細分化され、Defender for Endpoint Plan 1として機能の一部をE3でも利用できるようになりました。また、従来のDefender for EndpointはDefender for Endpoint Plan2に名称変更となります。

Defender for Endpoint Plan1の機能

Defender for Endpoint Plan 1 ダイアグラム

Plan1とPlan2の機能比較

機能機能説明P1P2
次世代の保護堅牢なウイルス対策およびマルウェア対策保護
攻撃面の減少ルールリスクの高いソフトウェアの動作を制限
ランサムウェアの軽減フォルダーアクセスの制御により、信頼できるアプリだけが保護されたフォルダーにアクセス
デバイスコントロール承認されていない周辺機器からの脅威がデバイスへ侵害することを防止
Web保護Webの脅威や望ましくないコンテンツから組織のデバイスを保護
ネットワーク保護フィッシング詐欺、悪用、その他の悪意のあるコンテンツのある危険なドメインへのアクセスを防止
ネットワークファイアウォールネットワークセキュリティの脅威のリスクを軽減、機密データと知的財産を保護、セキュリティ投資の拡張
アプリケーション制御システムで信頼できるアプリケーションとコードのみを実行することでエンドポイントを保護
集中管理集中管理ポータルにより、検出された脅威を表示し、脅威を軽減するアクションを実行
レポートセキュリティ管理に有効な各種レポートをが生成可能
デバイス検出企業ネットワークに接続されている管理されていないデバイスを検出可能
脅威と脆弱性の管理脆弱性と誤った設定をリアルタイムで検出し、重要度・緊急性を基に効果的な対応が可能
自動調査および対応セキュリティ侵害が検知されると、自動的に修復アクションを実行可能
高度な追及既知の脅威と潜在的な脅威の両方に対する拘束されていない検出が可能
エンドポイントでの検出と対応アラートの優先順位を設定し、脅威の全容を可視化して総合的な調査や対応が容易に可能
Microsoft脅威エキスパートセキュリティ運用センターに専門家レベルの監視と分析を提供し、管理された脅威検出サービス
サービスプラン当該サービスを含んでいるサービスプランWindows 10/11 Enterprise E3
Microsoft 365 E3		Windows 10/11 Enterprise E5
Microsoft 365 E5
単体プラン価格未発表570円/月

動作要件

  • Windows 10
  • Windows 11
  • Windows Server
  • Azure Virtual Desktop
  • macOS
  • iOS
  • Android
  • Linux

IT導入補助金2021でMicrosoft365クラウドサービスを導入できます

ネットプロはIT導入補助金2021の導入ベンダーですので、補助金を活用してMicrosoft 365クラウドサービスを導入することができます。

IT導入補助金2021の概要

IT導入補助金は、業務改善・業務効率向上のためのITツール導入に対して、費用が補助される制度です。

補助額30万円~450万円
補助率1/2~3/4

ITツールを導入したいけど、費用的に負担が大きいと感じている中小企業に最適な制度です。

IT導入補助金2020との違いについて

IT導入補助金2020では通常枠のA類型・B類型に加えて、コロナ対応の特別枠としてC類型がありました。
IT導入補助金2021では、通常枠のA類型・B類型に加えて、低感染リスク型ビジネス枠としてC類型・D類型が新設されました。感染症対策を進めるための非対面化ツールである場合はC類型・D類型として補助率が1/2から3/4にアップします。

IT導入補助金2021で導入できるITツール

ネットプロではIT導入補助金2021を活用して、下記ITツールを導入することができます。

Microsoft 365系Microsoft 365 Business Basic
Microsoft 365 Business Standard
Microsoft 365 Business Premium
Microsoft 365 E3
Microsoft 365 E5
Enterprise Mobility + Security
Windows 10 Enterprise
Windows 365
Dynamics 365系Dynamics 365 Business Central
Dynamics 365 Sales
Dynamics 365 Customer
Dynamics 365 Marketing
Dynamics 365 Field Service
Power Platform系Power Apps
Power Automate
Power BI

お気軽にお問い合わせ下さい。

Azure上にDynamics 365 開発環境を構築する 3/4

Dockerインストール

下記アドレスへアクセスしてDockerをインストールします。
https://www.docker.com/get-started

インストールが完了したら「Close and restart」ボタンをクリックします。

Linux containerで起動しているので、「Switch to Windows containers」をクリックして、Windows containerに切り替えます。

「Switch」ボタンをクリックします。

Dynamics 365 Business Centralサンドボックス環境構築

PowerShell(管理者)を立ち上げます。

docker pull mcr.microsoft.com/businesscentral/sandbox

docker run -e accept_eula=Y -m 4G -e ACCEPT_OUTDATED=Y mcr.microsoft.com/businesscentral/sandbox

完了すると、
https://<IPアドレス>/BC/
で、下記Dynamics 365 Business Centralサンドボックス環境のログイン画面が表示されます。

【はまりどころ】

1)Docker を Swich to Windows Containerしようとすると下記エラーが出た場合
「an error occurred required windows feature not enabled containers docker desktop will exit」
管理者用PowerShellにて実行(Containersを有効に):
Enable-WindowsOptionalFeature -Online -FeatureName containers -All

2)docker runで下記のようなエラーが出た場合
docker: Error response from daemon: hcsshim::CreateComputeSystem xxx:
The virtual machine could not be started because a required feature is not installed.
下記を実行して再起動
Enable-WindowsOptionalFeature -Online -FeatureName containers –All
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V –All

3)汎用仮想マシンのシリーズであれば、Dv3シリーズ(StandardD#v3、#はvCPU数)とDsv3シリーズ(StandardD#sv3、#はvCPU数)でのみサポートしているため、VMの種類を確認。

Azure上にDynamics 365 開発環境を構築する 1/4

ローカルPCにDynamics 365の開発環境を構築していましたが、環境維持のためAzure VM上に構築したいと思います。

  • Azure VMにWindows 10環境を構築
  • Gitインストール
  • Dockerインストール
  • Dynamics 365 Business Centralサンドボックス環境構築
  • Visual Studio Codeインストール

Azure VMにWindows 10環境を構築

Azureポータルから「仮想マシン」を作成します。

基本情報を入力して「次:ディスク>」ボタンをクリックします。

「新しいディスクを作成し接続する」をクリックし、新しいディスクを作成します。

ディスクを設定して「次:ネットワーク>」ボタンをクリックします。

ネットワークを設定して「次:管理>」ボタンをクリックします。

管理情報を設定して「次:詳細>」ボタンをクリックします。

詳細画面で「次:タグ>」ボタンをクリックします。

タグ画面で「次:確認および作成>」ボタンをクリックします。

設定内容を確認して「作成」ボタンをクリックします。

「デプロイが完了しました」と表示されたら完了です。

Defender for Endpoint新機能「デバイスのMicrosoftセキュアスコア」

マイクロソフトは、Microsoft Defender for Endpoint(旧称Defender ATP)に新機能を追加しました。デバイスのセキュアスコアは、デバイスとネットワークのセキュリティを分析します。

あなたの会社のデバイスはどれくらい安全ですか?管理者が日常的に苦労している問題です。企業の安全性を向上させるために、マイクロソフトはDefender for Endpointの新機能をリリースしました。デバイスのセキュアスコアにより、管理者は会社のネットワークとデバイスのセキュリティステータスの概要を明確に把握できます。

スコアは、Microsoft Defender Security Center の脅威と脆弱性の管理ダッシュボードに表示されます。セキュアスコアが高いほど、デバイスがハッカーの攻撃から十分に保護されていることを示します。この目的のために、プログラムは、アプリケーション、オペレーティングシステム、ネットワーク、アカウント、およびセキュリティ管理に関連するデバイスの構成を考慮します。ダッシュボードでは、一般的なスコアに続いて、カテゴリごとのスコアが表示されます。これにより、どのドメインでアクションが必要かを簡単に確認できます。

推奨事項

さらに、マイクロソフトは、セキュリティの問題を解決してスコアを向上させるための推奨事項のリストも提供します。これらの推奨事項をカテゴリ別に検索するか、推奨事項の完全なリストを表示できます。次に、そのリストをCSV形式でエクスポートして、電子メールで同僚と共有できます。推奨を行うと、安全スコアが増加します。

Defender for Endpointから脆弱性月次レポートを自動送信

Power Automateを使って、Defender for Endpoint(旧称:Defender ATP)の脆弱性月次レポートを毎月1日にメールにて自動配信させます。

高度なハンティングクエリを使って、メールに添付するレポートCSVファイルのクエリを記述します。

DeviceTvmSoftwareInventoryVulnerabilities  
| project  DeviceName, SoftwareName, CveId, SoftwareVersion, VulnerabilitySeverityLevel 
| join (DeviceTvmSoftwareVulnerabilitiesKB
| project AffectedSoftware, VulnerabilityDescription , CveId , CvssScore , IsExploitAvailable 
)
on CveId 
| project CveId , SoftwareName , SoftwareVersion , VulnerabilityDescription , VulnerabilitySeverityLevel, IsExploitAvailable , CvssScore 
| distinct SoftwareName , SoftwareVersion, CveId, VulnerabilityDescription , VulnerabilitySeverityLevel, IsExploitAvailable  
| sort by SoftwareName asc , SoftwareVersion

メール本文に掲載するレポートのクエリを記述します。

DeviceTvmSoftwareInventoryVulnerabilities  
| project DeviceName, SoftwareName, CveId, SoftwareVersion, VulnerabilitySeverityLevel
| join (DeviceTvmSoftwareVulnerabilitiesKB
| project AffectedSoftware, VulnerabilityDescription , CveId , CvssScore , IsExploitAvailable 
)
on CveId 
| project CveId , SoftwareName , SoftwareVersion , VulnerabilityDescription , VulnerabilitySeverityLevel, IsExploitAvailable , CvssScore 
| distinct SoftwareName , SoftwareVersion, CveId, VulnerabilityDescription , VulnerabilitySeverityLevel, IsExploitAvailable  
| summarize count() by VulnerabilitySeverityLevel
| sort by VulnerabilitySeverityLevel nulls last
配信するメール
添付ファイル

SharePoint OnlineとSynologyの同期

Cloud Sync 2.4.0 Beta版がリリースされました。
SharePoint Onlineのドキュメントライブラリとの同期がサポートされたとのことなので早速試してみました。

「パッケージセンター」から「ベータ パッケージ」>「Cloud Sync」の「ベータ版を試す」ボタンをクリックします。

SynologyとSharePoint Onlineの双方向同期ができました。
処理速度、精度共に問題ないと思われます。

Azure VPNとFortigateの拠点間VPN

仮想ネットワークの作成

Azureポータルのリソースグループ画面から「+追加」ボタンをクリックします。

検索窓に「Virtual Network」と入力して検索し、「Virtual Network」をクリックします。

「作成」ボタンをクリックします。

「名前」を入力して「次:IPアドレス>」をクリックします。

「IPアドレス」欄に「10.2.0.0/16」と入力して「+サブネットの追加」ボタンをクリックします。
「サブネット名」と「サブネットアドレス範囲」に「10.2.0.0/24」と入力して「追加」ボタンをクリックします。

再度「+サブネットの追加」をクリックします。
「サブネット名」と「サブネットアドレス範囲」に「10.2.2.0/24」と入力して「追加」ボタンをクリックし、「次:セキュリティ>」をクリックします。

「次:タグ>」をクリックします。

「次:確認および作成>」をクリックします。

内容を確認の上、「作成」ボタンをクリックします。

「デプロイが完了しました」と表示されたら完了です。

仮想ネットワークゲートウェイの作成

リソースグループ画面から「+追加」ボタンをクリックします。

検索窓に「仮想ネットワーク」と入力して検索し、「仮想ネットワークゲートウェイ」をクリックします。

「作成」ボタンをクリックします。

下記の通り必要事項を入力して「次:タグ>」をクリックします。

「次:確認および作成>」をクリックします。

内容を確認の上、「作成」ボタンをクリックします。

「デプロイが完了しました」と表示されたら完了です。

ローカルネットワークゲートウェイの作成

リソースグループ画面から「+追加」ボタンをクリックします。

検索窓に「ローカルネットワーク」と入力して検索し、「ローカルゲートウェイネットワーク」をクリックします。

「作成」ボタンをクリックします。

名前:(任意)
IPアドレス:自社のWAN側パブリックIPアドレス
アドレス範囲:自社のLAN側プライベートIPアドレス
を入力して「作成」ボタンをクリックします。

接続の作成

仮想ネットワークゲートウェイ画面の左メニューより「接続」をクリックします。

「追加」ボタンをクリックします。

下記の通りに入力して「OK]ボタンをクリックします。

「〇〇〇が正常に作成されました」と表示されたら完了です。

Fortigateの設定

Fortigate管理画面の「IPsecウィザード」から、下記の画面の通りに進めます。

「アドレス」オブジェクトを作成します。

「IPv4ポリシー」を作成します。

接続確認

Fortigate管理画面の「モニタ」>「IPsecモニタ」から、該当する行がアップ(↑)になっていれば接続しています。

Azureポータルからは、仮想ネットワークゲートウェイの「接続」画面で、状態が「接続済み」になっていれば接続しています。

上手く接続できないときはこちら。
https://docs.fortinet.com/document/fortigate/6.2.3/cookbook/137844/vpn-ipsec-troubleshooting

クラウド ファイル共有サーバー(Azure Files)の構築

クラウド上で利用できる共有サーバーであるAzure Filesを構築してみます。

前提条件

  • 事業所からのみ拠点間VPNで接続(インターネットからの接続は許可しない)
  • Azure上で仮想ネットワークを構築済み
  • 事業所とAzure間は拠点間VPN接続済み

作業概要

  1. Azure Files構築
  2. オンプレDNS調整
  3. クライアントPC設定

①Azure Files構築

Azureポータルより、リソースグループを開き「+追加」ボタンをクリックします。

検索窓に「ストレージ」と入力して検索し、「ストレージアカウント – Blob、file、Table、Queue」をクリックします。

「作成」ボタンをクリックします。

ストレージアカウント名:(任意)
場所:東日本
パフォーマンス:Standard
アカウントの種類:StandardV2(汎用 v2)
レプリケーション:ローカル冗長ストレージ(LGS)
アクセス層(既定):クール

を入力して「次:ネットワーク>」をクリックします。

接続方法:プライベート エンドポイント

を選択して「+追加」をクリックします。

場所:東日本
名前:(任意)
ストレージのサブリソース:file
仮想ネットワーク:構築済みの仮想ネットワークを選択
サブネット:構築済みのサブネットを選択
プライベートDNSゾーンと統合する:はい
プライベートDNSゾーン:そのまま

を入力して「OK」ボタンをクリックします。

表示内容を確認して「次:詳細>」ボタンをクリックします。

「次:タグ>」ボタンをクリックします。

「次:確認および作成>」ボタンをクリックします。

表示内容を確認して「作成」ボタンをクリックします。

「デプロイが進行中です」と表示されて、しばらく待つとストレージアカウントの作成が完了します。

ストレージアカウント画面を開き、「ファイル共有」ボタンをクリックします。

「+ファイル共有」ボタンをクリックします。

名前:(任意)
クオータ:5120

と入力して「作成」ボタンをクリックします。

②オンプレDNS調整

接続先「storageaccount.file.core.windows.net」は、インターネットからもアクセスできるようにできるため、パブリックIPアドレスが返されますが、今回は拠点間VPNからのみアクセスを許可するため、プライベートIPアドレスでの通信になります。しかし、IPアドレスでの接続はできないため、AzureドキュメントではプライベートIPアドレスが返されるDNS転送が推奨されています。

Azure FilesのDNS転送の構成(Azureドキュメント):
https://docs.microsoft.com/ja-jp/azure/storage/files/storage-files-networking-dns

ここでは、DNS転送できる環境がなかったため、FortigateのDNS変換機能を使用しています。
具体的には「storageaccount.file.core.windows.net」のパブリックIPアドレスをプライベートIPアドレスに変換しています。

③クライアントPC設定

クライアントPCでの設定方法について、AzureドキュメントではPowerShellを使ってマウントする手法が紹介されています。

Windows で Azure ファイル共有を使用する(Azureドキュメント):
https://docs.microsoft.com/ja-jp/azure/storage/files/storage-how-to-use-files-windows

ここでは、エクスプローラーからアドレスを入力してアクセスししています。

エクスプローラーを立ち上げ、アドレス欄に「\\[ストレージアカウント名].file.core.windows.net\[ファイル共有名]」を入力して[エンター]キーをクリックします。

認証情報を求められますので、

ユーザー名:Azure\[ストレージアカウント名]
パスワード:下記場所に記載のあるパスワード

を入力します。

※パスワードの確認方法
Azureポータルの「ストレージアカウント」画面の左メニューより、設定の「アクセスキー」を開き、key1の「キー」がパスワードになります。

Azure Filesのファイル共有が使えるようになりました。

Windows Server 2016 Defender ATP オンボード

Windows Server 2016 Defender ATP オンボード

必要なライセンス
Windows 10 Enterprise E5
Defender ATP 無償試用版のサインナップ:
https://www.microsoft.com/microsoft-365/windows/microsoft-defender-atp?ocid=docs-wdatp-minreqs-abovefoldlink

診断データサービスの設定確認
コマンドプロンプトを管理者モードで起動
sc qc diagtrack
START_TYPE が AUTO_START になっていればOK

Azure セキュリティセンターを使用したオンボードサーバー

ナビゲーションウィンドウで、[設定 > ]、[コンピューター管理 > のオンボード] の順番に選びます。

オペレーティングシステムとして Windows Server 2008 R2 SP1、2012 R2、2016を選択します。

[ Azure Security Center でオンボードサーバー] をクリックします。

「Microsoft Defender Advanced Threat Protection In Azure Security Center」のオンボード手順に従います。
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-wdatp

Microsoft Defender セキュリティセンターポータルからサーバーの監視を有効にする

ナビゲーションウィンドウで、[設定 > ]、[コンピューター管理 > のオンボード] の順番に選びます。

オペレーティングシステムとして Windows Server 2012 R2 と2016を選びます。

Turn on server monitoring をクリックし、環境のセットアップに進むことを確認します。 セットアップが完了したら、[ワークスペース ID] フィールドと [ワークスペース キー] フィールドに一意の値が挿入されます。 MMA エージェントを構成するには、これらの値を使う必要があります。

Microsoft Monitoring Agent (MMA) をインストールして構成し、Microsoft Defender ATP にセンサーデータを報告します。

エージェント セットアップ ファイル (Windows 64 ビット エージェント) をダウンロードします。

前の手順で提供されたワークスペース ID とワークスペース キーを使って、次のいずれかのインストール方法を選んでエージェントをサーバーにインストールします。

セットアップを使ってエージェントを手動でインストールする

[エージェントのセットアップ オプション] ページで、[エージェントを Azure Log Analytics (OMS) に接続する] を選びます。コマンド ラインを使ってエージェントをインストールし、スクリプトを使ってエージェントを構成します。

Microsoft Monitoring Agent のプロキシ設定を構成する必要があります。 詳しくは、「プロキシ設定の構成」をご覧ください。

完了すると、1 時間以内にオンボード サーバーがポータルに表示されます。

Azure Security Center との統合
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-onboarding

Microsoft Defender ATP の最小要件:
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/minimum-requirements
Microsoft Defender ATP サービスに対するオンボードサーバー:
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-atp/configure-server-endpoints

IT導入補助金2020でMicrosoft 365を導入できます

このページは2020年度の内容です。
2021年度版についてはこちらをご覧ください。

当社はIT導入補助金の ITベンダー・サービス事業者ですので、補助金を利用してMicrosoft 365を導入いただけます。

■テレワークに興味はあるが導入に躊躇していた方

■初期導入費が導入障壁になっている方

■ちょっと試してみたい方

是非この機会に補助金を活用してクラウド化してみませんか?

公募スケジュール

下記スケジュールで申請を受け付けています。

交付申請期間 2020年8月31日(月)17:00 まで
交付決定日 2020年9月30日(水)(予定)
交付申請期間 2020年9月30日(水)17:00 まで
交付決定日 2020年10月30日(金)(予定)

IT導入補助金とは

IT導入補助金は、中小企業・小規模事業者等のみなさまが自社の課題やニーズに合ったITツールを導入する経費の一部を補助することで、みなさまの業務効率化・売上アップをサポートするものです。

IT導入補助金の補助額は

類型補助率補助額備考
A類型 1/2 30万~150万円
B類型 1/2 150万~450万円
C類型 -12/3 30万円~450万円サプライチェーンの毀損への対応のみ
C類型-23/430万円~450万円非対面型ビジネスモデルへの転換
テレワーク環境の整備

IT導入補助金を利用できる方は

IT導入補助金の対象者は 中小企業・小規模事業者等(飲食、宿泊、卸・小売、運輸、医療、介護、保育等のサービス業の他、製造業や建設業等も対象)

IT導入補助金の活用例

PC10台の事務所にOffice365でテレワークとセキュリティ対策を導入する場合

Office 365 E3 + EMS E3 + Windows 10 Enterprise E5 + Phone System + Unitalk

初期導入費用

導入コンサルティング費200,000円1式200,000円
クラウド初期設定費560,000円1式560,000円
インストール作業費30,000円10台300,000円
Unitalk初期費用1,000円10台10,000円
操作・利用指導費140,000円1式140,000円
初期導入費合計1,210,000円

月額費用

Office365 E32,170円10台21,700円
EMS E3950円10台9,500円
Windows 10 Enterprise E51,200円10台12,000円
Phone System870円10台8,700円
Unitalk800円10台8,000円
保守費10,000円1式10,000円
セキュリティ運用費20,000円1式20,000円
月額費用合計89,900円
年額費用合計1,078,800円


初年度合計 2,288,800円

→IT導入補助金を利用すると3/4の1,716,600円が補助されます。

ご利用いただけるサービス一覧

IT導入補助金は、ITツールとして事前に登録されているサービスしかご利用いただくことができません。弊社で登録済みのサービスは下記の通りです。

Microsoft 365 E5
Microsoft 365 E3
Microsoft 365 F3
Microsoft 365 Apps for enterprise
Microsoft 365 Business Premium
Microsoft 365 Business Standard
Microsoft 365 Business Basic
Microsoft 365 Apps for business
Office 365 E5
Office 365 E3
Office 365 E1
Enterprise Mobility + Security E5
Enterprise Mobility + Security E3
Microsoft Cloud App Security
Microsoft Power Apps
Dynamics 365 Business Central Premium
Dynamics 365 Business Central Essential
Dynamics 365 Business Central Team Members
Dynamics 365 for Sales Professional
Dynamics 365 for Customer Service Professional
Dynamics 365 for Field Service
Windows 10 Enterprise E5
Windows 10 Enterprise E3
HoloLens 2
クラウド導入コンサルティングサービス
クラウド構築サービス
クラウド運用保守サービス

Office365を活用したテレワークについての詳細はこちら

IT導入補助金2020についてはこちら

お問い合わせはこちらからどうぞ

Azure CDNを構築

サブスクリプションのリソースプロバイダーにMicrosoft.Cdnを追加する

1)Azureポータルへログイン
2)「サブスクリプション」から利用のサブスクリプションを選択
3)左メニューの「リソースプロバイダー」をクリック
4)プロバイダー一覧から「Microsoft.Cdn」を選択して「登録」をクリック
5)「Microsoft.Cdn」が「Registered」になれば登録完了

CDNのプロファイル作成

1)Azureポータルへログイン
2)「CDNプロファイル」をクリックして、「CDNのプロファイルの作成」をクリック
2-1)「名前」を入力
2-2)「サブスクリプション」を選択
2-3)「リソースグループ」を選択もしくは新規作成
2-4)「リソースグループの場所」に「東日本」を選択
2-5)価格レベルに「標準Microsoft」を選択
2-6)「作成」ボタンをクリック

エンドポイントの作成

1)CDNのプロファイル画面より、作成したCDNプロファイル名をクリック
2)「+エンドポイント」をクリック
2-1)「名前」を入力
2-2)「配信元の種類」に「カスタムの配信元」を選択
2-3)「配信元のホスト名」にオリジンサーバーのホスト名またはIPアドレスを入力
2-4)「配信元のホストヘッダー」を入力
2-5)「プロトコル」を選択
2-6)「最適化の対象」に「一般的なWeb配信」を選択

DNSの設定

カスタムホスト名にエンドポイントのホスト名をCNAMEレコード設定

カスタムドメインの設定

1)エンドポイントをクリック
2)左メニューの「カスタムドメイン」をクリックして「+カスタムドメイン」をクリック
3)「カスタムホスト名」を入力して「追加」ボタンをクリック

カスタムドメインHTTPSの設定

1)エンドポイントをクリック
2)「カスタムドメインHTTPS」を「オン」を選択
3)「証明書の管理の種類」を「CDNマネージド」を選択して「保存」ボタンをクリック

以上で完了です。

Defender ATPでWebフィルタリング

Microsoft Defender ATPでWebフィルタリングができるようになりました。

Defender ATPのWebフィルタリングでできること

  • Webサイトがカテゴリに分類され、カテゴリ別にアクセス許可/拒否設定が可能

【カテゴリ分類】

  • 成人コンテンツ
    • カルト
    • ギャンブル
    • ヌード
    • ポルノ/性的に露骨
    • 性教育
    • 無味
    • 暴力
  • 高帯域幅
    • ダウンロードサイト
    • 画像共有
    • ピアツーピア
    • ストリーミングメディアとダウンロード
  • 法的責任
    • 児童虐待の画像
    • 犯罪行為
    • ハッキング
    • 憎悪と不寛容
    • 違法薬物
    • 違法なソフトウェア
    • 学校の不正行為
    • 自傷
    • 兵器
  • レジャー
    • チャット
    • ゲーム
    • インスタントメッセージング
    • プロのネットワーキング
    • ソーシャルネットワーキング
    • ウェブメール
  • 未分類
    • 不明

Defender ATPのWebフィルタリングの効果

  • 意図しないWebサイトへのアクセスを防止することでマルウェア感染リスクを低減
  • 不要な通信を制限することで、ネットワーク帯域の正常化
  • 業務に関係のないWebサイトの閲覧を防止することで業務効率を向上
  • ファイル転送サービス等の通信を監視することで情報漏洩を防止

Defender ATPのWebフィルタリングの機能

  • 主要ブラウザでのWebフィルタリング
    • EdgeはSmartScreenでブロック
    • その他主要ブラウザではネットワークブロック

設定方法

Cyrenライセンスへのサインナップ

WebフィルタリングはCyrenのデータベースを利用します。60日間の無料トライアルを提供しています。

[設定]画面より「Web content filtering」を「On」にして「保存する」をクリックします。

「レポート」>「Webプロテクション」画面を開き、「Connect to a partner」リンクをクリックします。

「Open partner page」ボタンをクリックします。

「CONNECT NOW」ボタンをクリックします。

承認内容を確認の上、「承認」ボタンをクリックします。

必要事項を記入の上、「REGISTER」ボタンをクリックします。

Cyrenの登録が完了です。
「Settings – Web content filtering」リンクをクリックします。

「+Add policy」をクリックします。

ポリシー名を入力して「Next」ボタンをクリックします。

ブロックするカテゴリにチェックを入れて「Next」ボタンをクリックします。カテゴリ右部の「↓」をクリックするとサブカテゴリが表示されます。

適用させる範囲を選択します。ここでは全てのPCに適用させています。
マシングループを選択することもできます。

内容を確認して「保存」ボタンをクリックします。

これで設定は完了です。