Azure CDNを構築

サブスクリプションのリソースプロバイダーにMicrosoft.Cdnを追加する

1)Azureポータルへログイン
2)「サブスクリプション」から利用のサブスクリプションを選択
3)左メニューの「リソースプロバイダー」をクリック
4)プロバイダー一覧から「Microsoft.Cdn」を選択して「登録」をクリック
5)「Microsoft.Cdn」が「Registered」になれば登録完了

CDNのプロファイル作成

1)Azureポータルへログイン
2)「CDNプロファイル」をクリックして、「CDNのプロファイルの作成」をクリック
2-1)「名前」を入力
2-2)「サブスクリプション」を選択
2-3)「リソースグループ」を選択もしくは新規作成
2-4)「リソースグループの場所」に「東日本」を選択
2-5)価格レベルに「標準Microsoft」を選択
2-6)「作成」ボタンをクリック

エンドポイントの作成

1)CDNのプロファイル画面より、作成したCDNプロファイル名をクリック
2)「+エンドポイント」をクリック
2-1)「名前」を入力
2-2)「配信元の種類」に「カスタムの配信元」を選択
2-3)「配信元のホスト名」にオリジンサーバーのホスト名またはIPアドレスを入力
2-4)「配信元のホストヘッダー」を入力
2-5)「プロトコル」を選択
2-6)「最適化の対象」に「一般的なWeb配信」を選択

DNSの設定

カスタムホスト名にエンドポイントのホスト名をCNAMEレコード設定

カスタムドメインの設定

1)エンドポイントをクリック
2)左メニューの「カスタムドメイン」をクリックして「+カスタムドメイン」をクリック
3)「カスタムホスト名」を入力して「追加」ボタンをクリック

カスタムドメインHTTPSの設定

1)エンドポイントをクリック
2)「カスタムドメインHTTPS」を「オン」を選択
3)「証明書の管理の種類」を「CDNマネージド」を選択して「保存」ボタンをクリック

以上で完了です。

Defender ATPでWebフィルタリング

Microsoft Defender ATPでWebフィルタリングができるようになりました。

Defender ATPのWebフィルタリングでできること

  • Webサイトがカテゴリに分類され、カテゴリ別にアクセス許可/拒否設定が可能

【カテゴリ分類】

  • 成人コンテンツ
    • カルト
    • ギャンブル
    • ヌード
    • ポルノ/性的に露骨
    • 性教育
    • 無味
    • 暴力
  • 高帯域幅
    • ダウンロードサイト
    • 画像共有
    • ピアツーピア
    • ストリーミングメディアとダウンロード
  • 法的責任
    • 児童虐待の画像
    • 犯罪行為
    • ハッキング
    • 憎悪と不寛容
    • 違法薬物
    • 違法なソフトウェア
    • 学校の不正行為
    • 自傷
    • 兵器
  • レジャー
    • チャット
    • ゲーム
    • インスタントメッセージング
    • プロのネットワーキング
    • ソーシャルネットワーキング
    • ウェブメール
  • 未分類
    • 不明

Defender ATPのWebフィルタリングの効果

  • 意図しないWebサイトへのアクセスを防止することでマルウェア感染リスクを低減
  • 不要な通信を制限することで、ネットワーク帯域の正常化
  • 業務に関係のないWebサイトの閲覧を防止することで業務効率を向上
  • ファイル転送サービス等の通信を監視することで情報漏洩を防止

Defender ATPのWebフィルタリングの機能

  • 主要ブラウザでのWebフィルタリング
    • EdgeはSmartScreenでブロック
    • その他主要ブラウザではネットワークブロック

設定方法

Cyrenライセンスへのサインナップ

WebフィルタリングはCyrenのデータベースを利用します。60日間の無料トライアルを提供しています。

[設定]画面より「Web content filtering」を「On」にして「保存する」をクリックします。

「レポート」>「Webプロテクション」画面を開き、「Connect to a partner」リンクをクリックします。

「Open partner page」ボタンをクリックします。

「CONNECT NOW」ボタンをクリックします。

承認内容を確認の上、「承認」ボタンをクリックします。

必要事項を記入の上、「REGISTER」ボタンをクリックします。

Cyrenの登録が完了です。
「Settings – Web content filtering」リンクをクリックします。

「+Add policy」をクリックします。

ポリシー名を入力して「Next」ボタンをクリックします。

ブロックするカテゴリにチェックを入れて「Next」ボタンをクリックします。カテゴリ右部の「↓」をクリックするとサブカテゴリが表示されます。

適用させる範囲を選択します。ここでは全てのPCに適用させています。
マシングループを選択することもできます。

内容を確認して「保存」ボタンをクリックします。

これで設定は完了です。

SharePoint OnlineとNASを同期6~グッドシンクコントロールセンターの設定~

SharePoint OnlineとNAS(Synology)を同期します。
今回が最終回です。

クラウド管理ツールのグッドシンクコントロールセンターの設定をします。

コントロールセンターへログインし、[Jobs]ページを開いて[CREATE NEW JOB]をクリックします。

[CREATE YOUR OWN]タブをクリックして[Click here to select left side]をクリックします。

[Use Server Accounts]をオンにし、アップロードされたジョブのサーバーアカウントを選択できるようにして、[Account]セレクタから[gstps://~]を選択して[Apply]をクリックします。

[Click here to select right side]をクリックします。

[Use Server Accounts]をオンにして[Account]セレクタから[msgraph://~]を選択して[Apply]をクリックします。

[AUTOMATION]をクリックします。

[On File Change]チェックボックスにチェックを入れます。

[ASSIGN RUNNERS]をクリックして、ジョブに割り当てるランナーを選択し、[APPLY]をクリックします。

[Job Name]を入力して、真ん中の緑色の[BACKUP>]ボタンを一度クリックすると[<BACKUP]になり、もう一度クリックすると[<SYNC>]になります。
[SAVE]をクリックしてジョブの作成が完了です。

NASもしくはSharePoint Onlineで、ファイルが追加・編集・削除されると、自動的に差分解析を実行して同期します。
同期の実行結果は[Job Runs]画面の[History Of Job Runs]で確認できます。

これで、NASとSharePoint Onlineの同期環境が完成です。
社内では高速なアクセス、社外及び社外とのやりとりにはSharePoint Onlineの便利な機能を利用できます。

SharePoint OnlineとNASを同期1~概要編~
SharePoint OnlineとNASを同期2~グッドシンクコントロールセンターの準備~
SharePoint OnlineとNASを同期3~NAS(Synology)にグッドシンクサーバーをインストール~
SharePoint OnlineとNASを同期4~NAS(Synology)にグッドシンクCCランナーをインストール~
SharePoint OnlineとNASを同期5~管理用PCにグッドシンクエンタープライズワークステーションをインストール~
・SharePoint OnlineとNASを同期6~グッドシンクコントロールセンターの設定~ (このページ)

SharePoint OnlineとNASを同期5~管理用PCにグッドシンクエンタープライズワークステーションをインストール~

SharePoint OnlineとNASのSynologyを同期します。
Synology側の設定がまだの方は「SharePoint OnlineとNASを同期2~NAS(Synology)の設定~」を先にご覧ください。

Windows PCに管理用アプリケーションをインストールして、同期のためのジョブを作成し、そのサーバアカウントをクラウドのコントロールセンターにアップロードします。

https://www.goodsync.com/download/GoodSync-v10-Enterprise-Setup.exe
にアクセスしてWindows版グッドシンクエンタープライズワークステーションをダウンロードします。

ダウンロードしたファイルをダブルクリックして実行します。

言語に[Japanese-Japanese]を選択して、[インストール]をクリックします。

[既存のグッドシンクアカウントを使用]を選択して、[ユーザIDまたはメール]と[パスワード]を入力して、[次へ>]をクリックします。
※グッドシンクアカウントの作成がまだの方は前の記事をご確認下さい。

[ファイルサーバにはならないが、他のコンピュータを呼び出すことは可能]を選択して[次へ>]をクリックします。

アカウント情報を確認して[適用]をクリックします。

インストールが完了したら、グッドシンクアイコンをダブルクリックして起動します。

はじめに最初のジョブを作成します。
ジョブ名を入力して、[同期]を選択して[OK]をクリックします。

左の[クリックしてフォルダを選択してください]をクリックします。

[GoodSync Connect]をクリックします。

Synologyのディレクトリ構成が表示されますので、同期したい共有ディレクトリを選択して[OK]をクリックします。

右の[クリックしてフォルダを選択してください]をクリックします。

[OneDrive Office365]をクリックします。

[確認]をクリックします。

ブラウザが立ち上がり、Microsoftのサインイン画面が表示されるので、SharePoint Onlineのアカウントを入力して[次へ]をクリックします。

SharePoint Onlineのアカウントのパスワードを入力して[サインイン]をクリックします。

「サインインの状態を維持しますか?」で[はい]をクリックします。

アクセス許可を求められますので、[組織の代理として同意する]にチェックを入れて[承諾]をクリックします。

下記画面が表示されたら成功です。
ブラウザを閉じます。

SharePoint Onlineのディレクトリ構成が表示されるので、同期したい共有ディレクトリを選択して[OK]をクリックします。

これで同期設定は完了です。

クラウドのグッドシンクコントロールセンターでの動作の前にこのPC上で動作を確認してみましょう。

[解析]をクリックすると、SynologyとSharePoint Onlineのフォルダ・ファイルの違いを解析します。

[シンクロ]をクリックすると同期します。

次に、上で作成したジョブのサーバアカウントをコントロールセンターへアップロードしますが、アップロードするためには グッドシンクエンタープライズワークステーションの アクティベーションが必要です。

グッドシンクエンタープライズワークステーションのライセンスの評価版を申請します。

[ヘルプ]メニュー > [製品版活性化]をクリックします。

[グッドシンクアカウントで活性化(推奨)]をチェックして[次へ]をクリックします。

下記画面が表示されたら、アクティベーション完了です。

[ツール]メニュー > [プログラムオプション] > [セキュリティ]を開き、グッドシンクコントロールセンターの会社の管理者情報を入力して[保存]をクリックします。

[ツール]メニュー > [高度な設定] > [コントロールセンターへアカウントをアップロード]を選択します。

下記画面が表示されたらアップロード完了です。

コントロールセンターへログインし、[Server Accounts]をクリックして、ジョブのアカウントが表示されていればアップロード成功です。

これで管理用PCの作業は完了です。
次にコントロールセンターでジョブを作成して同期の設定をします。

SharePoint OnlineとNASを同期1~概要編~
SharePoint OnlineとNASを同期2~グッドシンクコントロールセンターの準備~
SharePoint OnlineとNASを同期3~NAS(Synology)にグッドシンクサーバーをインストール~
SharePoint OnlineとNASを同期4~NAS(Synology)にグッドシンクCCランナーをインストール~
・SharePoint OnlineとNASを同期5~管理用PCにグッドシンクエンタープライズワークステーションをインストール~(このページ)
SharePoint OnlineとNASを同期6~グッドシンクコントロールセンターの設定~

SharePoint OnlineとNASを同期4~NAS(Synology)にCCランナーをインストール~

NAS(Synology)にコントロールセンターランナー(CCランナー)をインストールします。CCランナーはコントロールセンターからの解析とシンクロのジョブを受け取って実行するエージェントプログラムです。

CCランナーはコマンドラインでインストールするため、SynologyのSSHを有効にします。

Synologyの管理画面(DSM)にログインします。

コントロールパネル > [端末とSNMP]を開きます。

[SSHサービスを有効にする]にチェックを入れて[適用]をクリックします。

Tera Term等のSSHターミナルクライアントから、Synologyへ接続します。

スーパーユーザーになります。

Administrator@ds218plus:~$ sudo su

Linuxインストーラーをダウンロードします。

ash-4.3# wget https://www.goodsync.com/download/cc-runner-install-x86_64-release.run
–2019-12-03 10:51:39– https://www.goodsync.com/download/cc-runner-install-x86_64-release.run
Resolving www.goodsync.com… 67.208.88.198
Connecting to www.goodsync.com|67.208.88.198|:443… connected.
HTTP request sent, awaiting response… 200 OK
Length: 3422256 (3.3M) [application/octet-stream]
Saving to: ‘cc-runner-install-x86_64-release.run’

cc-runner-install-x 100%[===================>] 3.26M 825KB/s in 4.7s

2019-12-03 10:51:44 (704 KB/s) – ‘cc-runner-install-x86_64-release.run’ saved [3422256/3422256]

ダウンロードしたファイルに実行権限を付与します。

ash-4.3# chmod +x ./cc-runner-install-x86_64-release.run

次に、ダウンロードしたインストーラーを実行します。

ash-4.3# ./cc-runner-install-x86_64-release.run

インストーラーは、ユーザーに次の情報の入力を求めます。

インストールディレクトリ:アプリケーションがインストールされるパス
 ⇒そのまま[Enter]キー

システムユーザー:コントロールセンターに接続するユーザーアカウント
 ⇒ユーザー名(root)を入力

Job Server URL :コントロールセンターのURLアドレス。デフォルトはhttps://jobs.goodsync.comです。
 ⇒そのまま[Enter]キー

会社ID :特定の会社のコンソールをランナーに示します。
 ⇒コントロールセンターの[設定]タブにあります

会社PIN :着信ランナーをホワイトリストに登録するために使用されるPIN(オプション)
 ⇒コントロールセンターでPINを設定した場合はその値を入力。無ければそのまま[Enter]キー

暗号化パスワード:アップロードされたアカウントまたはジョブを暗号化するためのパスワード
 ⇒アカウント暗号化用パスワードを入力

下記コマンドでCCランナーを実行します。

ash-4.3# gs-cc-runner /cc-runner

しかし、このコマンドはシャットダウン時に終了してしまうため、コマンドが常時動作するように起動時に自動的に動作するための設定をします。

Synologyの管理画面(DSM)にログインし、[コントロールパネル] > [タスクスケジューラー]画面で、[作成] > [トリガーされたタスク] > [ユーザー指定のスクリプト]をクリックします。

[タスク名]を入力して、[有効]にチェックを入れます。
[イベント]に「ブートアップ」が選ばれていることを確認します。

[タスク設定]タブをクリックして、[ユーザー指定スクリプト]欄に下記スクリプトを記述します。

export HOME=”/root”
gs-cc-runner /cc-runner

[OK]をクリックします。

Synologyを再起動後、GoodSyncコントロールセンターの[Runners]画面で緑色の[Online]としてリストアップされていることを確認します。

次にSynologyのCCランナーをアクティベーションします。
現在はAssignedは[false]表示です。

[Actions▼]から[Activate]をクリックします。

[SAVE]をクリックします。

Assignedが[True]表示となり、CC Runner接続完了です。

これでコントロールセンターとSynologyが通信可能な状態となりました。

次に管理用PCで同期のためのジョブを作成します。

あっ、あとSSHを無効に戻しておくことをお忘れなく。

SharePoint OnlineとNASを同期1~概要編~
SharePoint OnlineとNASを同期2~グッドシンクコントロールセンターの準備~
SharePoint OnlineとNASを同期3~NAS(Synology)にグッドシンクサーバーをインストール~
・SharePoint OnlineとNASを同期4~NAS(Synology)にグッドシンクCCランナーをインストール~(このページ)
SharePoint OnlineとNASを同期5~管理用PCにグッドシンクエンタープライズワークステーションをインストール~
SharePoint OnlineとNASを同期6~グッドシンクコントロールセンターの設定~

SharePoint OnlineとNASを同期3~NAS(Synology)にグッドシンクサーバーをインストール~

SharePoint OnlineとNASのSynologyを同期します。
概要と構成については「SharePoint OnlineとNASを同期1~概要編~」をご覧ください。

NASのSynologyにグッドシンクサーバーを設定します。
https://help.goodsync.com/hc/en-us/articles/115003536431-Synology
へアクセスし、[ goodsync-release.spk ]リンクをクリックしてグッドシンクサーバをダウンロードします。

Synologyの管理画面(DSM)にログインします。

パッケージセンターを開き、[手動インストール]をクリックします。

[参照]ボタンから、先ほどダウンロードした「goodsync-release.spk」を選択して[次へ]をクリックします。

[はい]をクリックします。

設定内容を確認して[適用]をクリックします。

インストールが完了したら[OK]をクリックします。

パッケージの一覧から「GoodSync Server」の[開く]をクリックします。

新しいタブでウィンドウが開きますので、グッドシンクアカウントを入力して[Next]をクリックします。

「Congratulations!・・・」と表示されたら完了です。[here]をクリックするとアカウント内容を確認できます。

[Manage my GoodSync Account]をクリックします。

ライセンスをアサイン(割り当て)します。
※ライセンス発行がまだの場合、下記URLより30日間の無料トライアルを申し込みます。
https://www.goodsync.com/jp/business-file-server#target-form

これでSynology側のグッドシンクサーバーのインストールと設定が完了し、グッドシンクコネクトに接続可能な状態になります。

SharePoint OnlineとNASを同期1~概要編~
SharePoint OnlineとNASを同期2~グッドシンクコントロールセンターの準備~
・SharePoint OnlineとNASを同期3~NAS(Synology)にグッドシンクサーバーをインストール~(このページ)
SharePoint OnlineとNASを同期4~NAS(Synology)にグッドシンクCCランナーをインストール~
SharePoint OnlineとNASを同期5~管理用PCにグッドシンクエンタープライズワークステーションをインストール~
SharePoint OnlineとNASを同期6~グッドシンクコントロールセンターの設定~

SharePoint OnlineとNASを同期2~グッドシンクコントロールセンターの準備~

まず、グッドシンクアカウントを作成します。

下記URLにメールアドレスとパスワードと名前を入力して、グッドシンクアカウントを作成します。
https://www.goodsync.com/manage/add-user-form

確認メールが送信されるので、承認リンクをクリックします。

次に下記URLより、グッドシンクコントロールセンターの無料トライアルを申し込みます。
https://jobs.goodsync.com/ui/signup

こちらも確認メールが送信されるので、承認リンクをクリックします。
登録が完了したら、下記URLよりログインできます。
https://jobs.goodsync.com/ui/user-login

こちらも確認メールが送信されるので承認リンクをクリックします。

申し込みが完了したら、下記URLよりグッドシンクコントロールセンターのログイン画面にアクセスします。

下記画面が表示されたらログイン成功です。

SharePoint OnlineとNASを同期1~概要編~
・SharePoint OnlineとNASを同期2~グッドシンクコントロールセンターの準備~(このページ)
SharePoint OnlineとNASを同期3~NAS(Synology)にグッドシンクサーバーをインストール~
SharePoint OnlineとNASを同期4~NAS(Synology)にグッドシンクCCランナーをインストール~
SharePoint OnlineとNASを同期5~管理用PCにグッドシンクエンタープライズワークステーションをインストール~
SharePoint OnlineとNASを同期6~グッドシンクコントロールセンターの設定~

SharePoint OnlineとNASを同期1~概要編~

こんなことでお悩みではありませんか?

・社内共有サーバーとしてSharePoint Onlineを直接マウントするとアクセス速度が遅い
・SharePoint Online標準のOneDriveクライアントがいまいち使いにくい
・セキュリティ上、OneDriveクライアントを使うことで、データを各PCのローカルに保存したくない。
・でもOffice365とは連携して使いたい

そんな時には、社内では高速なNASを使用し、NASとSharePoint Onlineが同期してくれると、速度と利便性の両方が享受できます。

今まで社内でNASを利用していて、SharePoint Onlineのクラウド化を検討する場合、社員の方から
“クラウド化したら遅くなった”
“(OneDriveクライアントで)使い勝手が悪くなった”
と言われたくないですよね。

NASにSharePoint Onlineとの同期機能が付いていると良いのですが、残念ながら現在のところ、そのようなNASは存在しません。

結論から申しますと、最良のソリューションは「グッドシンク」です。

私自身、長い間この問題に悩み、そしていろいろな手法を試してみました。半ば諦め、NASメーカーが対応してくれることを待つしかないと思ったこともありました。

「グッドシンク」はNASの高速で従来通りの使い勝手をそのままに、SharePoint Onlineのクラウドの利便性を利用できる(たぶん)唯一の手法だと思います。

グッドシンクの詳細は公式サイトをご覧ください。
https://www.goodsync.com/jp/

グッドシンクでは、動作用端末を用意する方法と、グッドシンクコントロールセンターというクラウドのWEB管理ツールを使用する方法の2通りから、環境にあわせて最適な手法を選択できます。
ここではグッドシンクコントロールセンターを使ったクラウド手法をご紹介します。
この場合、初期設定時のみ管理用PCを使いますが、通常時はNAS単体で動作し、必要なときだけクラウドのWEB管理画面を見ればよくなります。

グッドシンクコントロールセンターを使ったクラウド手法の概要

構築手順
1)構築概要・要件確認(このページ)
2)グッドシンクコントロールセンターの準備
3)NASにグッドシンクサーバーをインストール
4)NASにグッドシンクCCランナーをインストール
5)管理用PCにグッドシンクエンタープライズワークステーションをインストール
6)グッドシンクコントロールセンターの設定

【仕様上の注意】
■グッドシンクの仕様上の注意
・Office365の同期に使用するユーザーのアカウント表示名に日本語は使用できません。

■SharePoint Onlineの仕様上の注意
・ファイルとフォルダ名に使用できない文字
 ” * : < > ? / \ |
・無効なファイル名またはフォルダ名
 これらの名前は、ファイルまたはフォルダーに使用できません。
 lock、 CON、 PRN、 AUX、 NUL、 COM0 、 LPT0、LPT9、 vti、 desktop.ini、 ~ $で始まるすべてのファイル名。
・パスの長さ制限
 ファイル名を含むパス全体の長さは 400 文字未満に

それでは、実際の構築手順をご紹介いたします。

・SharePoint OnlineとNASを同期1~概要編~(このページ)
SharePoint OnlineとNASを同期2~グッドシンクコントロールセンターの準備~
SharePoint OnlineとNASを同期3~NAS(Synology)にグッドシンクサーバーをインストール~
SharePoint OnlineとNASを同期4~NAS(Synology)にグッドシンクCCランナーをインストール~
SharePoint OnlineとNASを同期5~管理用PCにグッドシンクエンタープライズワークステーションをインストール~
SharePoint OnlineとNASを同期6~グッドシンクコントロールセンターの設定~

Microsoft Defender ATPの使い方~その1~

社内のセキュリティ担当者が実際に日々行う業務についてです。
Defender ATPは、高機能なだけではなく、わかりやすい画面構成や運用をサポートしてくれる機能があります。
どんなに検知率が高いツールであったとしても、使いにくかったり難しかったりするツールでは意味がありません。
運用しやすいツールであることは、セキュリティを常に安全に保つための最重要ポイントだと思います。

セキュリティセンタートップ画面

Defender ATPを開くと、まずはじめに開くのがこの画面になります。
現在のセキュリティの全体像が把握できるようになっています。

アクティブなアラート

ネットワークの過去30日間のアクティブなアラートの合計数をタイルから確認できます。 アラートは [New] (新規) と [In progress] (処理中) に分類されます。

各グループは、さらにアラートの重大度レベルに分類されます。 各アラート リング内に表示されているアラート数をクリックすると、そのカテゴリのキューを整理したビューが表示されます ([New] (新規) または [In progress] (処理中))。各行には、1 つのアラート重大度カテゴリと、アラートの短い説明が含まれます。 通知をクリックすると、その詳細ビューが表示されます。

危険な端末

このタイルでは、アクティブなアラートが最も多く発生しているコンピューターの一覧が表示されます。 コンピューター名の横の円の中に、各コンピューターの合計アラート数が表示され、タイルの右端に重大度レベルごとの内訳が表示されます (重大度の縦線をポイントするとラベルが表示されます)。

コンピューターの名前をクリックすると、コンピューターに関する詳しい情報が表示されます。 詳細については、「 Microsoft Defender Advanced Threat Protection マシン」の一覧でコンピューターを調査します。
タイル上部の [Machines list] (コンピューター一覧) をクリックして、アクティブなアラート数で並べ替えられた [Machines list] (コンピューター一覧) に直接移動することもできます。

センサーの正常性

[センサーの正常性] タイルには、個々のコンピューターの機能に関する情報が表示され、MICROSOFT Defender ATP サービスにセンサーデータを提供できます。 注意が必要なコンピューターの数が報告され、問題があるコンピューターを識別するのに役立ちます。

サービスに正しく報告していないコンピューターの数に関する情報を提供するステータス インジケーターが 2 つあります。

  • 正しく構成されていません。これらのコンピューターでは、一部が MICROSOFT Defender ATP サービスにセンサーデータを報告しており、修正する必要がある構成エラーが発生している可能性があります。
  • 非アクティブ-過去1ヶ月以内に MICROSOFT Defender ATP サービスへの報告が停止されているコンピューター。

いずれかのグループをクリックすると、選択内容に基づいてフィルター処理されたコンピューターの一覧が表示されます。

サービスの正常性

[Service health] (サービスの正常性) タイルは、サービスがアクティブであるかどうかや、問題があるかどうかを通知します。

端末の日々の推移

[Daily machines reporting] (日付ごとの報告があるコンピューター) タイルでは、過去 30 日間の日付ごとに報告しているコンピューターの数を表す棒グラフが表示されます。 グラフでそれぞれの棒をポイントすると、日付ごとに報告があるコンピューターの正確な数を確認できます。

アクティブな自動調査

[アクティブな自動調査] タイルでは、ネットワーク内の過去30日間の自動調査の全体的な数を表示できます。 調査は保留中のアクションにグループ化され、コンピューターを待機して実行されます。

自動調査の統計

このタイルには、過去30日間の自動調査に関連する統計が表示されます。 完了した調査の数、正常に修復された調査の数、調査が開始されるまでの期間の平均、通知の修復にかかる平均時間、調査対象の通知の数を示すことができます。一般的な手動調査から保存されたオートメーションの時間数。

自動調査、再 mif された調査、およびアラートをクリックして、適切なカテゴリでフィルター処理された [調査] ページに移動することができます。 これにより、コンテキストの調査の詳細が表示されます。

危険な状態のユーザー

タイルには、最もアクティブなアラートと、高、中、低のアラートで発生したアラートの数が表示されたユーザーアカウントの一覧が表示されます。

ユーザー アカウントの詳細を表示するには、ユーザー アカウントをクリックします。

Microsoft Defender ATPの価格

Defender ATPのライセンスの価格について、“わかりにくい”とのご質問をいただくので、整理してみました。

Windows 10 Professionalの場合

Defender ATPは、Windows 10 Enterprise E5のライセンスが必要です。
月額1,200円~
となります。

例えば、Windows 10 Professional のPCを10台ご利用の場合、
Windows 10 Enterprise E5 月額1,200円 ×10台 = 月額12,000円
となります。

(Microsoft 365 E5もWindows 10 Enterprise E5を含んでおりますので、Defender ATPが利用できます。)

※ Windows 10 Home ではご利用いただけません。Home をご利用の場合は、Professional へアップグレード(約14,000円程度)してから、Enterprise E5 を適用する必要があります。

Windows Server OSの場合

Windows Server 2016の場合は、
Azure Security Center  月額1,635.2円~
Log Analytics 1か月を超えて保存するデータ 1GBあたり月額16.8円
       月間5GBを超えて格納するデータ 1GBあたり月額374.08円
Windows 10 Enterprise E5 月額1,200円
が必要になりますので、月額2,835.2円~となります。

Windows Server 2012 R2の場合はもう少し複雑で、上記に加えてSCCM、SCEP Client、MMA が必要になります。

Mac OSの場合

Mac OSの場合もライセンスは同じで、Windows 10 Enterprise E5が必要です。
月額1,200円~
となります。
もちろん、Windows OSとしては使用しません。あくまでAzure ADユーザーのライセンスとして割り当てるだけになります。

Linux OSの場合

2020年にはリリースされそうですので、今後に期待です。

不明点がございましたらお気軽にお問合せ下さい。

関連リンク

Microsoft Defender ATP とは
Windows 10 Enterprise
Microsoft 365

Microsoft Defender ATPの自動調査・自動修復

セキュリティ担当者は、日々アラートの対応に追われているという方も多いのではないでしょうか。
本当に安全なセキュリティの運用とは、“自動化”が鍵になると思います。日々飛んでくる(似たような)アラートを精査することは機械に任せて、セキュリティ担当者は、セキュリティポリシーの精査や社内への周知・徹底、啓蒙活動に重きを置くべきだと思います。

Microsoft Defender ATP の自動調査機能では、さまざまな検査アルゴリズムを利用してアラートを調査し、違反を解決するための修復アクションを実行します。 これによりアラートの量は大幅に削減され、セキュリティ担当者はより高度な脅威や本来もっとやるべき業務に集中することができます。

自動調査を有効にする

自動調査を有効にするには、[設定]>[Advanced features]画面から、[Automated Investigation]を[On]にして、ページ下部の[Save preferences]をクリックします。

これだけで自動調査が有効になります。全ての端末で自動調査が有効になり、「自動調査」画面に、 自動的に開始されたすべての調査が表示され、その状態、検出ソース、調査が開始された日付などのその他の詳細が表示されます。

デフォルトでは、修復は半自動の状態となっており、[自動調査]画面に表示される修復内容を管理者が承認することで、修復アクションが実行されます。


これは、誤検知した内容を修復してしまうリスクを避けるためですが、ケースによっては完全自動化したい、もしくは一部を自動化したい場合もあるのではないでしょうか。

自動修復を設定する

Defender ATPではPCをグルーピングして、グループ毎に自動修復の動作を下記5パターンに設定することができます。

オートメーションレベル説明
保護されませんコンピューターでは、自動調査は実行されません。
修復に対して承認を必須にするこれは既定のレベルです。

すべての修復アクションに承認が必要です。
一時フォルダー以外の修復に対して承認を必須にする一時フォルダー( ユーザーのダウンロードフォルダーやユーザーの temp フォルダーなど )以外の修復アクションには承認が必要です。

一時フォルダーの修復アクションは、必要に応じて自動的に実行されます。
主要なフォルダーの修復に対して承認を必須にする オペレーティングシステムディレクトリ (Windows フォルダーや Program files フォルダーなど)の修復アクションには承認が必要です。

他のすべてのフォルダーの修復アクションは、必要に応じて自動的に実行されます。
修復アクションを全て自動的に行うすべての修復アクションが自動的に実行されます。

まず、PCをグループ分けするために、各PCにタグを付けます。
ここでは「Guest」というタグを付けています。

ナビゲーションウィンドウで、[設定]>[コンピューターグループ] 画面を開き、[コンピューターグループの追加] をクリックします。

グループに所属するには、端末名やドメイン名やタグで分類できます。
ここでは、[Tag]欄に[Guest]と入力することで、[Guest]とタグ付けしたPCがこのグループに所属します。
その他、グループ名や自動修復レベルを選択して[Done]ボタンをクリックします。

部署や権限などで分類する数だけ、自動修復レベルグループを作成します。

Defender ATPでは、それぞれの組織にあわせた自動調査・自動修復の設定を行うことで、より安全で、より効率的なセキュリティの運用を行うことができます。

AzureAD登録済みデバイスにIntuneの登録をする

Azure ADに登録済みのWindows 10デバイスに、Intuneのデバイス登録のみを行う手順です。

「スタート」メニューから「設定」アイコンをクリックします。

「アカウント」をクリックします。

「職場または学校にアクセスする」をクリックします。

「デバイス管理のみに登録する」をクリックします。

Azure ADアカウントのメールアドレスを入力して「次へ」をクリックします。

アカウントのパスワードを入力して「サインイン」をクリックします。

しばらくしてから、Intuneポータルで該当デバイスが「登録済み」となっていることを確認します。

IT導入補助金2019でMicrosoft Defender ATPを導入できます

当社はIT導入補助金の ITベンダー・サービス事業者ですので、補助金を利用して半額でMicrosoft Defender ATPを導入いただけます。

Microsoft Defender ATPを導入する場合、「Windows 10 Enterprise E5」または「Microsoft 365 Enterprise E5」のどちらかのライセンスが必要になります。
IT導入補助金2019を活用する場合、Windows 10 Enterprise E5 + EMS E3(E5でも可) の組み合わせで申請基準を満たすことが可能です。

是非この機会に補助金を活用して最新のセキュリティ対策を導入してみませんか?

IT導入補助金とは

IT導入補助金は、中小企業・小規模事業者等のみなさまが自社の課題やニーズに合ったITツールを導入する経費の一部を補助することで、みなさまの業務効率化・売上アップをサポートするものです。

IT導入補助金の補助額は

A類型 40万~150万円未満
B類型 150万~450万円
補助率 1/2以下

IT導入補助金を利用できる方は

IT導入補助金の対象者は 中小企業・小規模事業者等(飲食、宿泊、卸・小売、運輸、医療、介護、保育等のサービス業の他、製造業や建設業等も対象)

IT導入補助金の活用例

PC20台の事務所にMicrosoft Defender ATPを導入する場合

Windows 10 Enterprise E5 + EMS E3

初期導入費用

クラウド設定費70,000円1式70,000円
現地インストール作業費10,000円20台200,000円
初期導入費合計270,000円

月額費用

EMS E3950円20台19,000円
Windows 10 Enterprise E51,200円20台24,000円
保守費15,000円1式15,000円
セキュリティ運用費30,000円1式30,000円
月額費用合計88,000円


初年度合計 1,326,000円

→IT導入補助金を利用すると半額の663,000円が補助されます。

Microsoft Defender ATPについての詳細はこちら

Windows 10 Enterpriseについての詳細はこちら

EMSについての詳細はこちら

IT導入補助金2019についての詳細はこちら

お問い合わせはこちらからどうぞ

Microsoft Defender ATP 脆弱性管理(TVM)

マイクロソフトは2019年6月30日より脅威及び脆弱性管理 Threat & Vulnerability Management(TVM)を正式リリースしました。
TVMはMicrosoft Defender ATPの機能の1つで、PCの脆弱性と設定の誤りを発見して、管理・修正を行います。

  • 脆弱性及び設定ミスをリアルタイムで発見
  • 脅威インテリジェンスに基づいた緊急度と重要度をスコア化
  • Microsoft Intuneと連携して、検知から修復までを自動化
  • 脆弱性検知はマイクロソフト製品のみならず、サードパーティアプリケーションも対応

ダッシュボード画面では、脆弱性を可視化してグラフィカルにわかりやすく表示します。特に、脅威インテリジェンスに基づいてスコア化されており、“何が”“どれくらい”危険なのかが一目でわかります。

Threat &Vulnerability Management(TVM)ダッシュボード

セキュリティの推奨事項画面では、脆弱性や設定ミスの個々の項目についてスコア化して、スコアの高い順(=リスクの高い順)に一覧表示します。セキュリティ管理者は上から順に対応するだけで、効率良くセキュリティ対策を行うことができます。

セキュリティの推奨事項

修復管理画面では、脆弱性の修正対応状況を管理することができます。現場担当者へ対応依頼を行ったまま、作業洩れするようなことはありません。

修復管理

ソフトウェアインベントリ画面では、PCにインストールされているソフトウェアの一覧が管理できます。

ソフトウェアインベントリ

脆弱性管理画面では、共通脆弱性識別子(CVE)をベースに脆弱性を管理することができます。

脆弱性管理

マイクロソフトではあまりTVMの告知を行っていないようですが、Windows OSでは標準コンポーネント(=追加インストール不要)で、リアルタイムで脆弱性と設定ミスを一元管理できるため、セキュリティを常に最新状態に保つための非常に強力なツールです。

関連コンテンツ

Microsoft Defender ATPとは

IT導入補助金2019でOffice365を導入できます

当社はIT導入補助金の ITベンダー・サービス事業者ですので、補助金を利用して半額でOffice365を導入いただけます。

■Office365に興味はあるが導入に躊躇していた方

■初期導入費が導入障壁になっている方

■ちょっと試してみたい方

是非この機会に補助金を活用してクラウド化してみませんか?

IT導入補助金とは

IT導入補助金は、中小企業・小規模事業者等のみなさまが自社の課題やニーズに合ったITツールを導入する経費の一部を補助することで、みなさまの業務効率化・売上アップをサポートするものです。

IT導入補助金の補助額は

A類型 40万~150万円未満
B類型 150万~450万円
補助率 1/2以下

IT導入補助金を利用できる方は

IT導入補助金の対象者は 中小企業・小規模事業者等(飲食、宿泊、卸・小売、運輸、医療、介護、保育等のサービス業の他、製造業や建設業等も対象)

IT導入補助金の活用例

PC10台の事務所にOffice365とセキュリティ対策を導入する場合

Office365 Business Premium + EMS E3 + Windows 10 Enterprise E5

初期導入費用

クラウド設定費70,000円1式70,000円
現地インストール作業費10,000円10台100,000円
初期導入費合計170,000円

月額費用

Office365 Business Premium1,360円10台13,600円
EMS E3950円10台9,500円
Windows 10 Enterprise E51,200円10台12,000円
保守費10,000円1式10,000円
セキュリティ運用費20,000円1式20,000円
月額費用合計65,100円


初年度合計 951,200円

→IT導入補助金を利用すると半額の475,600円が補助されます。

Office365についての詳細はこちら

EMSについての詳細はこちら

Windows 10 Enterpriseについての詳細はこちら

IT導入補助金2019についてはこちら

お問い合わせはこちらからどうぞ

Microsoft Defender ATPとは

Microsoft Defender ATPとは、Windows 10 Enterprise E5で利用できるクラウドベースのセキュリティ分析サービスです。

従来、Microsoft製のセキュリティソフトでは心許ないということで、トレンドマイクロやシマンテックといったサードパーティ製のセキュリティソフトを追加でインストールしていたケースが多く見受けられましたが、Defender ATPはマイクロソフトのファーストパーティとしての本気度を感じずにはいられないサービスとなっています。

Defender ATPの特徴

1)統合管理
2)脅威インテリジェンス
3)セキュリティスコア
4)EDR

1)統合管理

従来、Microsoft製セキュリティソフトの管理といえば、グループポリシーかIntuneで設定を管理することしかできませんでした。
Defender ATP Security Centerでは、管理デバイスを統合管理することができます。クラウド上のダッシュボードに、ネットワーク全体から各端末の詳細に至るまでセキュリティ状況をグラフィカルに可視化することができます。

また、PCにウィルス感染の疑いがある場合には、管理画面からウィルススキャンを実行することもできます。

2)脅威インテリジェンス

Windows OSは10億台以上の端末にインストールされており、OSの世界シェアNo.1です。そのため、膨大なセキュリティ情報がMicrosoft社に集約されています。それらの膨大なセキュリティ情報をMicrosoftのセキュリティスペシャリストが24時間365日監視してDefender ATPに反映してくれるのです。

脅威インテリジェンス情報を提供しているサービスは他社にもありますが、このコストで利用でき、さらにスコア化してエンドユーザにもわかりやすく提供してくれるサービスは他にはありません。

3)セキュリティスコア

セキュリティ状況をスコア化する機能です。
ネットワーク全体の安全度を確認したり、各PCの安全度を確認するのに、とてもわかりやすく数値化してくれます。
当然、そのスコアの詳細情報も提供されますので、重要度・緊急度の高い項目から対応していくことで、セキュリティリスクを効率的に下げることが可能です。
また、スコア化する項目は、端末の脆弱性や設定ミスなど多岐に渡っており、Defender ATPが特定のカテゴリのみで威力を発揮するものではなく、システム・ネットワーク全体としてセキュリティレベルを向上させることが可能であることがわかります。

4)EDR

EDRとはEndpoint Detection and Responseの略で、エンドポイントの検知と対応という意味になります。
情報セキュリティに100%はあり得ません。
情報セキュリティに対する考え方は、攻撃を防御するだけではなく、被害が発生した際に、いかに早く・適切に対応できるかが求められるように変わってきています。
Defender ATPのEDR機能は、早期の検知と万が一被害に遭った際に迅速に原因調査と影響の範囲を把握することができます。

その他のメリット

Defender ATPは、Windows OSの標準コンポーネントとして提供されており、新たにソフトウェアを追加インストールする手間はありません。また、OSのアップデートと共にDefender ATPの機能も自動的に拡充されています。OSメーカーであるMicrosoftならではのメリットといえます。

関連コンテンツ

Microsoft Defender ATPの使い方~その1~
Microsoft Defender ATPの自動調査・自動修復
Microsoft Defender ATP 脆弱性管理
Microsoft Defender ATPの価格

Azure Sentinelのセットアップ

Azure SentinelというSIEM(Security Information and Event Management)がプレビューになりました。
SIEMは情報セキュリティの監視・運用に重要な役割を果たしますが、MicrosoftがSIEMを出してきたことは、デバイス・OS・アプリ・クラウドの情報を集めやすいことからもメリットがあるといえます。

まずはセットアップしてみたいと思います。

Azureポータルより「すべてのサービス」を開き、検索窓に「Sentinel」と入力します。

「Connect Workspace」ボタンをクリックします。

新しいワークスペースを作成するか、既存のワークスペースがあれば選択します。

「Connect」ボタンをクリックして、データを接続します。

接続データの一覧から選択します。ここでは「Azure Active Directory」を選択します。

「Azure AD Sign-in logs」の「Connect」ボタンをクリックします。

「Data received」と表示されれば接続完了です。

「Dashboards」の「Install」ボタンをクリックします。

しばらく待つと、ダッシュボードにデータが表示されます。

WVDのタイムゾーン設定

Windows Virtual Desktop(WVD)では、タイムゾーンがデフォルトで「(UTC)協定世界時」になっています。デスクトップでタイムゾーンを変更しても、次回ログインするとUTCに戻ってしまいます。

リモートデスクトップのタイムゾーンリダイレクトを行い、RDP接続元端末のタイムゾーンを反映するように設定します。
WVDはドメインに参加しているため、ポリシー変更はActive Directoryのグループポリシーを変更する必要があります。当該環境ではAzure Active Directory Domain Services(AADDS)を使用しているため、WVDからAADDSのグループポリシーを設定します。

まず、Windows10用のリモートサーバー管理ツール(RSAT)をダウンロードします。
https://www.microsoft.com/ja-jp/download/confirmation.aspx?id=45520

一番近いと思われる!?「WindowsTH-RSAT_WS_1803-x64.msu」を選択しました。

インストールが完了したら、「スタート」>「Windows管理ツール」>「グループポリシーの管理」を開きます。

「フォレスト:[ドメイン名]」>「ドメイン」>「[ドメイン名]」>「グループポリシーオブジェクト」>「AADDC Computers GPO」を右クリックして「編集」をクリックします。

「コンピューターの構成」>「ポリシー」>「管理用テンプレート:ローカルコンピューターから取得したポリシー定義(ADMX)ファイルです」>「Windowsコンポーネント」>「リモートデスクトップサービス」>「リモートデスクトップセッションホスト」>「デバイスとリソースのリダイレクト」をクリックして「タイムゾーンリダイレクトを許可する」を開きます。

「有効」を選択して「適用」ボタンをクリックして完了です。

WVDを業務時間中のみ起動させる(スケジュール自動起動・シャットダウン)

Windows Virtual DesktopはAzure VMで稼働しているため、使用していない時間はシャットダウンしていれば、その分コストを抑えることができます。仮に1日8時間起動であれば、コストは3分の1になります。

Azure VMではスケジュールで自動起動・自動シャットダウンする機能がありますので、設定してみたいと思います。

ここでは、平日の午前8時に自動起動し、午後8時に使用していなければシャットダウン、午前0時にも使用していなければシャットダウンをします。
D4s V3タイプの場合、常時稼働で月額15,698円のところが、上記稼働の場合は月額5,604円に抑えることができます。

“使用していなければ”とは、CPU稼働率5%をしきい値としています。CPUが5%以上動いていればシャットダウンしません。(使っている人がいるのに突然シャットダウンしたら嫌ですからね)

更に、VMがシャットダウン中に急に使わなくてはいけなくなった場合のために、スマホアプリからリモート起動できるようにします。

Automationアカウントの作成

Marketplaceから「オートメーション」を開きます。

アカウント名や場所を設定して「作成」をクリックします。

VMの開始/停止ソリューションの設定

Automationアカウントを開きます。

作成したAutomationアカウント名をクリックします。

関連リソースの「VMの開始/停止」画面を開き、「詳細を表示して、ソリューションを有効にします」リンクをクリックします。

「作成」をクリックします。

ワークスペースを選択します。

パラメータを設定します。

追加設定

上記の設定で不足している設定を行います。
まず、起動スケジュール設定のタイムゾーンを日本にして、月~金のみ起動するように設定します。

共有リソースの「スケジュール」を開き、「Scheduled-StartVM」をクリックします。

タイムゾーンを「日本」、週のうち月~金にチェックを入れます。

デフォルトで有効になっているシャットダウンスケジュール設定「Scheduled-StopVM」は、CPUの稼働率を考慮しないので、CPU稼働率に応じてシャットダウンする「Schedule_AutoStop_CreateAlert_Parent」を設定します。

まず、「共有リソース」>「スケジュール」から「Scheduled-StopVM」を開いて、スケジュールを無効に設定します。

次に、「Schedule_AutoStop_CreateAlart_Parent」を開きます。

「有効」にして、シャットダウン時間等を設定します。

2つ目のシャットダウンスケジュールを追加します。

プロセスオートメーションの「Runbook」から「AutoStop_CreateAlert_Parent」を開き、リソースの「スケジュール」を開きます。

0時に動作する追加のスケジュールを設定します。

アクションパラメータを設定します。

20時と0時の2つのシャットダウンスケジュールができました。

シャットダウン条件は「変数」画面でパラメータを設定します。
ここでは、「External_AutoStop_TimeWindow」(条件の分析時間)をデフォルトの6時間から15分に変更しています。

Microsoft Defender ATPのセットアップ

Windows 10 Enterprise E5もしくはMicrosoft 365 Enterprise E5では、Microsoft Defender ATPが利用できます。
Defender ATPをセットアップしてみたいと思います。

まず、セキュリティセンターへアクセスします。
https://securitycenter.windows.com/

Azure ADアカウントでログインして、ウィザードの通りに進めると、ダッシュボードが表示されます。

Defender ATPに、端末をオンボード(登録)します。
オンボードの手順は複数あり、「ローカルスクリプト実行」「グループポリシー」「MDM/Intune」などからできますが、今回はローカルスクリプトを実行します。
プルダウンより「local script」を選択して「DOWNLOAD」をクリックします。

ダウンロードしたファイルを展開して、管理者として実行します。

コマンドプロンプトで「y」を押して、オンボード完了です。

データが表示されるようになりました。

【おまけ】
Defender ATPは日本語化されておらず、全て英語表記なのですが、人によっては英語に抵抗を感じる方もいるようですので、なんちゃって日本語化します。
Google Chromeでセキュリティセンターにアクセスして、画面右上部にでてくる「翻訳」ボタンをクリックします。

Google翻訳がページ丸ごと翻訳してくれるので、まるで日本語対応になったように表示されます。(よく見ると微妙な訳もありますが)