SharePoint OnlineとNASを同期1~概要編~

こんなことでお悩みではありませんか?

・社内共有サーバーとしてSharePoint Onlineを直接マウントするとアクセス速度が遅い
・SharePoint Online標準のOneDriveクライアントがいまいち使いにくい
・セキュリティ上、OneDriveクライアントを使うことで、データを各PCのローカルに保存したくない。
・でもOffice365とは連携して使いたい

そんな時には、社内では高速なNASを使用し、NASとSharePoint Onlineが同期してくれると、速度と利便性の両方が享受できます。

今まで社内でNASを利用していて、SharePoint Onlineのクラウド化を検討する場合、社員の方から
“クラウド化したら遅くなった”
“(OneDriveクライアントで)使い勝手が悪くなった”
と言われたくないですよね。

NASにSharePoint Onlineとの同期機能が付いていると良いのですが、残念ながら現在のところ、そのようなNASは存在しません。

結論から申しますと、最良のソリューションは「グッドシンク」です。

私自身、長い間この問題に悩み、そしていろいろな手法を試してみました。半ば諦め、NASメーカーが対応してくれることを待つしかないと思ったこともありました。

「グッドシンク」はNASの高速で従来通りの使い勝手をそのままに、SharePoint Onlineのクラウドの利便性を利用できる(たぶん)唯一の手法だと思います。

グッドシンクの詳細は公式サイトをご覧ください。
https://www.goodsync.com/jp/

グッドシンクでは、動作用端末を用意する方法と、グッドシンクコントロールセンターというクラウドのWEB管理ツールを使用する方法の2通りから、環境にあわせて最適な手法を選択できます。
ここではグッドシンクコントロールセンターを使ったクラウド手法をご紹介します。
この場合、初期設定時のみ管理用PCを使いますが、通常時はNAS単体で動作し、必要なときだけクラウドのWEB管理画面を見ればよくなります。

グッドシンクコントロールセンターを使ったクラウド手法の概要

構築手順
1)構築概要・要件確認(このページ)
2)グッドシンクコントロールセンターの準備
3)NASにグッドシンクサーバーをインストール
4)NASにグッドシンクCCランナーをインストール
5)管理用PCにグッドシンクエンタープライズワークステーションをインストール
6)グッドシンクコントロールセンターの設定

【仕様上の注意】
■グッドシンクの仕様上の注意
・Office365の同期に使用するユーザーのアカウント表示名に日本語は使用できません。

■SharePoint Onlineの仕様上の注意
・ファイルとフォルダ名に使用できない文字
 ” * : < > ? / \ |
・無効なファイル名またはフォルダ名
 これらの名前は、ファイルまたはフォルダーに使用できません。
 lock、 CON、 PRN、 AUX、 NUL、 COM0 、 LPT0、LPT9、 vti、 desktop.ini、 ~ $で始まるすべてのファイル名。
・パスの長さ制限
 ファイル名を含むパス全体の長さは 400 文字未満に

それでは、実際の構築手順をご紹介いたします。

・SharePoint OnlineとNASを同期1~概要編~(このページ)
SharePoint OnlineとNASを同期2~グッドシンクコントロールセンターの準備~
SharePoint OnlineとNASを同期3~NAS(Synology)にグッドシンクサーバーをインストール~
SharePoint OnlineとNASを同期4~NAS(Synology)にグッドシンクCCランナーをインストール~
SharePoint OnlineとNASを同期5~管理用PCにグッドシンクエンタープライズワークステーションをインストール~
SharePoint OnlineとNASを同期6~グッドシンクコントロールセンターの設定~

Microsoft Defender ATPの価格

Defender ATPのライセンスの価格について、“わかりにくい”とのご質問をいただくので、整理してみました。

Windows 10 Professionalの場合

Defender ATPは、Windows 10 Enterprise E5のライセンスが必要です。
月額1,200円~
となります。

例えば、Windows 10 Professional のPCを10台ご利用の場合、
Windows 10 Enterprise E5 月額1,200円 ×10台 = 月額12,000円
となります。

(Microsoft 365 E5もWindows 10 Enterprise E5を含んでおりますので、Defender ATPが利用できます。)

※ Windows 10 Home ではご利用いただけません。Home をご利用の場合は、Professional へアップグレード(約14,000円程度)してから、Enterprise E5 を適用する必要があります。

Windows Server OSの場合

Windows Server 2016の場合は、
Azure Security Center  月額1,635.2円~
Log Analytics 1か月を超えて保存するデータ 1GBあたり月額16.8円
       月間5GBを超えて格納するデータ 1GBあたり月額374.08円
Windows 10 Enterprise E5 月額1,200円
が必要になりますので、月額2,835.2円~となります。

Windows Server 2012 R2の場合はもう少し複雑で、上記に加えてSCCM、SCEP Client、MMA が必要になります。

Mac OSの場合

Mac OSの場合もライセンスは同じで、Windows 10 Enterprise E5が必要です。
月額1,200円~
となります。
もちろん、Windows OSとしては使用しません。あくまでAzure ADユーザーのライセンスとして割り当てるだけになります。

Linux OSの場合

2020年にはリリースされそうですので、今後に期待です。

不明点がございましたらお気軽にお問合せ下さい。

関連リンク

Microsoft Defender ATP とは
Windows 10 Enterprise
Microsoft 365

Microsoft Defender ATPの自動調査・自動修復

セキュリティ担当者は、日々アラートの対応に追われているという方も多いのではないでしょうか。
本当に安全なセキュリティの運用とは、“自動化”が鍵になると思います。日々飛んでくる(似たような)アラートを精査することは機械に任せて、セキュリティ担当者は、セキュリティポリシーの精査や社内への周知・徹底、啓蒙活動に重きを置くべきだと思います。

Microsoft Defender ATP の自動調査機能では、さまざまな検査アルゴリズムを利用してアラートを調査し、違反を解決するための修復アクションを実行します。 これによりアラートの量は大幅に削減され、セキュリティ担当者はより高度な脅威や本来もっとやるべき業務に集中することができます。

自動調査を有効にする

自動調査を有効にするには、[設定]>[Advanced features]画面から、[Automated Investigation]を[On]にして、ページ下部の[Save preferences]をクリックします。

これだけで自動調査が有効になります。全ての端末で自動調査が有効になり、「自動調査」画面に、 自動的に開始されたすべての調査が表示され、その状態、検出ソース、調査が開始された日付などのその他の詳細が表示されます。

デフォルトでは、修復は半自動の状態となっており、[自動調査]画面に表示される修復内容を管理者が承認することで、修復アクションが実行されます。


これは、誤検知した内容を修復してしまうリスクを避けるためですが、ケースによっては完全自動化したい、もしくは一部を自動化したい場合もあるのではないでしょうか。

自動修復を設定する

Defender ATPではPCをグルーピングして、グループ毎に自動修復の動作を下記5パターンに設定することができます。

オートメーションレベル説明
保護されませんコンピューターでは、自動調査は実行されません。
修復に対して承認を必須にするこれは既定のレベルです。

すべての修復アクションに承認が必要です。
一時フォルダー以外の修復に対して承認を必須にする一時フォルダー( ユーザーのダウンロードフォルダーやユーザーの temp フォルダーなど )以外の修復アクションには承認が必要です。

一時フォルダーの修復アクションは、必要に応じて自動的に実行されます。
主要なフォルダーの修復に対して承認を必須にする オペレーティングシステムディレクトリ (Windows フォルダーや Program files フォルダーなど)の修復アクションには承認が必要です。

他のすべてのフォルダーの修復アクションは、必要に応じて自動的に実行されます。
修復アクションを全て自動的に行うすべての修復アクションが自動的に実行されます。

まず、PCをグループ分けするために、各PCにタグを付けます。
ここでは「Guest」というタグを付けています。

ナビゲーションウィンドウで、[設定]>[コンピューターグループ] 画面を開き、[コンピューターグループの追加] をクリックします。

グループに所属するには、端末名やドメイン名やタグで分類できます。
ここでは、[Tag]欄に[Guest]と入力することで、[Guest]とタグ付けしたPCがこのグループに所属します。
その他、グループ名や自動修復レベルを選択して[Done]ボタンをクリックします。

部署や権限などで分類する数だけ、自動修復レベルグループを作成します。

Defender ATPでは、それぞれの組織にあわせた自動調査・自動修復の設定を行うことで、より安全で、より効率的なセキュリティの運用を行うことができます。

IT導入補助金2019でMicrosoft Defender ATPを導入できます

IT導入補助金2019は終了しました。
IT導入補助金2020はこちらよりどうぞ。

2020年3月13日更新

当社はIT導入補助金の ITベンダー・サービス事業者ですので、補助金を利用して半額でMicrosoft Defender ATPを導入いただけます。

Microsoft Defender ATPを導入する場合、「Windows 10 Enterprise E5」または「Microsoft 365 Enterprise E5」のどちらかのライセンスが必要になります。
IT導入補助金2019を活用する場合、Windows 10 Enterprise E5 + EMS E3(E5でも可) の組み合わせで申請基準を満たすことが可能です。

是非この機会に補助金を活用して最新のセキュリティ対策を導入してみませんか?

IT導入補助金とは

IT導入補助金は、中小企業・小規模事業者等のみなさまが自社の課題やニーズに合ったITツールを導入する経費の一部を補助することで、みなさまの業務効率化・売上アップをサポートするものです。

IT導入補助金の補助額は

A類型 40万~150万円未満
B類型 150万~450万円
補助率 1/2以下

IT導入補助金を利用できる方は

IT導入補助金の対象者は 中小企業・小規模事業者等(飲食、宿泊、卸・小売、運輸、医療、介護、保育等のサービス業の他、製造業や建設業等も対象)

IT導入補助金の活用例

PC20台の事務所にMicrosoft Defender ATPを導入する場合

Windows 10 Enterprise E5 + EMS E3

初期導入費用

クラウド設定費70,000円1式70,000円
現地インストール作業費10,000円20台200,000円
初期導入費合計270,000円

月額費用

EMS E3950円20台19,000円
Windows 10 Enterprise E51,200円20台24,000円
保守費15,000円1式15,000円
セキュリティ運用費30,000円1式30,000円
月額費用合計88,000円


初年度合計 1,326,000円

→IT導入補助金を利用すると半額の663,000円が補助されます。

Microsoft Defender ATPについての詳細はこちら

Windows 10 Enterpriseについての詳細はこちら

EMSについての詳細はこちら

IT導入補助金2019についての詳細はこちら

お問い合わせはこちらからどうぞ

IT導入補助金2019でOffice365を導入できます

当社はIT導入補助金の ITベンダー・サービス事業者ですので、補助金を利用して半額でOffice365を導入いただけます。

■Office365に興味はあるが導入に躊躇していた方

■初期導入費が導入障壁になっている方

■ちょっと試してみたい方

是非この機会に補助金を活用してクラウド化してみませんか?

IT導入補助金とは

IT導入補助金は、中小企業・小規模事業者等のみなさまが自社の課題やニーズに合ったITツールを導入する経費の一部を補助することで、みなさまの業務効率化・売上アップをサポートするものです。

IT導入補助金の補助額は

A類型 40万~150万円未満
B類型 150万~450万円
補助率 1/2以下

IT導入補助金を利用できる方は

IT導入補助金の対象者は 中小企業・小規模事業者等(飲食、宿泊、卸・小売、運輸、医療、介護、保育等のサービス業の他、製造業や建設業等も対象)

IT導入補助金の活用例

PC10台の事務所にOffice365とセキュリティ対策を導入する場合

Office365 Business Premium + EMS E3 + Windows 10 Enterprise E5

初期導入費用

クラウド設定費70,000円1式70,000円
現地インストール作業費10,000円10台100,000円
初期導入費合計170,000円

月額費用

Office365 Business Premium1,360円10台13,600円
EMS E3950円10台9,500円
Windows 10 Enterprise E51,200円10台12,000円
保守費10,000円1式10,000円
セキュリティ運用費20,000円1式20,000円
月額費用合計65,100円


初年度合計 951,200円

→IT導入補助金を利用すると半額の475,600円が補助されます。

Office365についての詳細はこちら

EMSについての詳細はこちら

Windows 10 Enterpriseについての詳細はこちら

IT導入補助金2019についてはこちら

お問い合わせはこちらからどうぞ

Azure Sentinelのセットアップ

Azure SentinelというSIEM(Security Information and Event Management)がプレビューになりました。
SIEMは情報セキュリティの監視・運用に重要な役割を果たしますが、MicrosoftがSIEMを出してきたことは、デバイス・OS・アプリ・クラウドの情報を集めやすいことからもメリットがあるといえます。

まずはセットアップしてみたいと思います。

Azureポータルより「すべてのサービス」を開き、検索窓に「Sentinel」と入力します。

「Connect Workspace」ボタンをクリックします。

新しいワークスペースを作成するか、既存のワークスペースがあれば選択します。

「Connect」ボタンをクリックして、データを接続します。

接続データの一覧から選択します。ここでは「Azure Active Directory」を選択します。

「Azure AD Sign-in logs」の「Connect」ボタンをクリックします。

「Data received」と表示されれば接続完了です。

「Dashboards」の「Install」ボタンをクリックします。

しばらく待つと、ダッシュボードにデータが表示されます。

WVDのタイムゾーン設定

Windows Virtual Desktop(WVD)では、タイムゾーンがデフォルトで「(UTC)協定世界時」になっています。デスクトップでタイムゾーンを変更しても、次回ログインするとUTCに戻ってしまいます。

リモートデスクトップのタイムゾーンリダイレクトを行い、RDP接続元端末のタイムゾーンを反映するように設定します。
WVDはドメインに参加しているため、ポリシー変更はActive Directoryのグループポリシーを変更する必要があります。当該環境ではAzure Active Directory Domain Services(AADDS)を使用しているため、WVDからAADDSのグループポリシーを設定します。

まず、Windows10用のリモートサーバー管理ツール(RSAT)をダウンロードします。
https://www.microsoft.com/ja-jp/download/confirmation.aspx?id=45520

一番近いと思われる!?「WindowsTH-RSAT_WS_1803-x64.msu」を選択しました。

インストールが完了したら、「スタート」>「Windows管理ツール」>「グループポリシーの管理」を開きます。

「フォレスト:[ドメイン名]」>「ドメイン」>「[ドメイン名]」>「グループポリシーオブジェクト」>「AADDC Computers GPO」を右クリックして「編集」をクリックします。

「コンピューターの構成」>「ポリシー」>「管理用テンプレート:ローカルコンピューターから取得したポリシー定義(ADMX)ファイルです」>「Windowsコンポーネント」>「リモートデスクトップサービス」>「リモートデスクトップセッションホスト」>「デバイスとリソースのリダイレクト」をクリックして「タイムゾーンリダイレクトを許可する」を開きます。

「有効」を選択して「適用」ボタンをクリックして完了です。

WVDを業務時間中のみ起動させる(スケジュール自動起動・シャットダウン)

Windows Virtual DesktopはAzure VMで稼働しているため、使用していない時間はシャットダウンしていれば、その分コストを抑えることができます。仮に1日8時間起動であれば、コストは3分の1になります。

Azure VMではスケジュールで自動起動・自動シャットダウンする機能がありますので、設定してみたいと思います。

ここでは、平日の午前8時に自動起動し、午後8時に使用していなければシャットダウン、午前0時にも使用していなければシャットダウンをします。
D4s V3タイプの場合、常時稼働で月額15,698円のところが、上記稼働の場合は月額5,604円に抑えることができます。

“使用していなければ”とは、CPU稼働率5%をしきい値としています。CPUが5%以上動いていればシャットダウンしません。(使っている人がいるのに突然シャットダウンしたら嫌ですからね)

更に、VMがシャットダウン中に急に使わなくてはいけなくなった場合のために、スマホアプリからリモート起動できるようにします。

Automationアカウントの作成

Marketplaceから「オートメーション」を開きます。

アカウント名や場所を設定して「作成」をクリックします。

VMの開始/停止ソリューションの設定

Automationアカウントを開きます。

作成したAutomationアカウント名をクリックします。

関連リソースの「VMの開始/停止」画面を開き、「詳細を表示して、ソリューションを有効にします」リンクをクリックします。

「作成」をクリックします。

ワークスペースを選択します。

パラメータを設定します。

追加設定

上記の設定で不足している設定を行います。
まず、起動スケジュール設定のタイムゾーンを日本にして、月~金のみ起動するように設定します。

共有リソースの「スケジュール」を開き、「Scheduled-StartVM」をクリックします。

タイムゾーンを「日本」、週のうち月~金にチェックを入れます。

デフォルトで有効になっているシャットダウンスケジュール設定「Scheduled-StopVM」は、CPUの稼働率を考慮しないので、CPU稼働率に応じてシャットダウンする「Schedule_AutoStop_CreateAlert_Parent」を設定します。

まず、「共有リソース」>「スケジュール」から「Scheduled-StopVM」を開いて、スケジュールを無効に設定します。

次に、「Schedule_AutoStop_CreateAlart_Parent」を開きます。

「有効」にして、シャットダウン時間等を設定します。

2つ目のシャットダウンスケジュールを追加します。

プロセスオートメーションの「Runbook」から「AutoStop_CreateAlert_Parent」を開き、リソースの「スケジュール」を開きます。

0時に動作する追加のスケジュールを設定します。

アクションパラメータを設定します。

20時と0時の2つのシャットダウンスケジュールができました。

シャットダウン条件は「変数」画面でパラメータを設定します。
ここでは、「External_AutoStop_TimeWindow」(条件の分析時間)をデフォルトの6時間から15分に変更しています。

Microsoft Defender ATPのセットアップ

Windows 10 Enterprise E5もしくはMicrosoft 365 Enterprise E5では、Microsoft Defender ATPが利用できます。
Defender ATPをセットアップしてみたいと思います。

まず、セキュリティセンターへアクセスします。
https://securitycenter.windows.com/

Azure ADアカウントでログインして、ウィザードの通りに進めると、ダッシュボードが表示されます。

Defender ATPに、端末をオンボード(登録)します。
オンボードの手順は複数あり、「ローカルスクリプト実行」「グループポリシー」「MDM/Intune」などからできますが、今回はローカルスクリプトを実行します。
プルダウンより「local script」を選択して「DOWNLOAD」をクリックします。

ダウンロードしたファイルを展開して、管理者として実行します。

コマンドプロンプトで「y」を押して、オンボード完了です。

データが表示されるようになりました。

【おまけ】
Defender ATPは日本語化されておらず、全て英語表記なのですが、人によっては英語に抵抗を感じる方もいるようですので、なんちゃって日本語化します。
Google Chromeでセキュリティセンターにアクセスして、画面右上部にでてくる「翻訳」ボタンをクリックします。

Google翻訳がページ丸ごと翻訳してくれるので、まるで日本語対応になったように表示されます。(よく見ると微妙な訳もありますが)

WVDにOffice365ProPlusをインストール

Windows Virtual Desktopには、Officeはそのままではインストールできません。
Office365ProPlusのインストール方法です。

Office展開ツールページにアクセスして、「Download」ボタンをクリックします。

https://www.microsoft.com/en-us/download/details.aspx?id=49117

ライセンス同意にチェックを入れて「Continue」をクリックします。

ファイルを解凍し、設定ファイルを生成します

コマンドラインからSetup.exeを実行します。
Setup.exe /configure configuration.xml

インストール完了

Windows Virtual Desktop(WVD)プレビューを構築

Windows Virtual Desktopプレビューを構築してみます。

WVDへの接続は専用クライアントソフトからとWebクライアントからの2通りがあります

専用クライアントソフトは下記よりダウンロードできます。
https://go.microsoft.com/fwlink/?linkid=2068602

Webクライアントアクセスは下記より接続できます。
https://rdweb.wvd.microsoft.com/webclient