先日の投稿で、Office365がWindows Azure Active Directoryサービスをバックボーンとして利用しているという話をいたしました。
プレビュー版ですが、管理画面に入れるようになっているので早速確認してみました。アクセス先は以下のアドレスです。Office365にアクセスしてから開くか、直接Office365で利用しているID、PASSを入力してログオンするかです。
https://activedirectory.windowsazure.com/
各サービス毎の見た目は以下の通りになります。Windows Azure Active Directoryが根幹にあって、そこから契約している各サービス・機能へのリンクが張られている感じですね。
プランP1のテナント
プランE3のテナント
(新)Office365 Enterpruseテクニカルプレビュー
Office365では、オンプレミスのActive Directory同様、デフォルトで「有効期限:90日」のパスワード有効期限のポリシーが定められており、当初はこちらを変更することはできませんでした。(このポリシーに合わない場合は、「無期限にする」という選択肢しかありませんでした。)
また、Outlookを利用している場合、パスワードの期限切れが近づいた場合にユーザーにそれを通知する機能がありましたが、こちらの通知期間もデフォルトで14日前からとカスタマイズはできない固定値でした。 【参照】Outlook パスワードの有効期限切れ通知
この夏(8月頃)のサービス更新でこちらの両方のパラメータをドメインごとに変更できるように改善されましたので、今回はこちらを紹介します。同じサービスでも、提供期間内にこういった改善事項がどんどん実装されていくというのはクラウドサービスならではですね。
こちらの変更ですが、PowerShellから実行をします。(一時期は管理者ポータルの画面から設定できたように記憶をしているのですが、現時点では確認できませんでした)
Windows PowerShell 用 Microsoft Online Services モジュールをインストールしている環境から、以下のコマンドを実行します。
$LiveCred=Get-Credential Connect-MsolService -Credential $LiveCred Set-MsolPasswordPolicy -NotificationDays xxx -ValidityPeriod yyy -DomainName contoso.onmicrosoft.com Set-MsolPasswordPolicy -NotificationDays xxx -ValidityPeriod yyy -DomainName contoso.com
推察はできるかと思いますが、xxxにパスワード期限切れの事前通知期間を、yyyにパスワードの有効期限を設定します。設定可能な値は、xxx:7(1週間前)~60(2か月前)かつyyy以下 yyy:7(1週間)~1000(約3年間)です。
また、設定はドメインごとに実施をする必要があります。ドメインによってポリシーを変える(例えば関連会社を同一テナントに入れている場合など)ことも可能です。
なお、ここで以前の値より有効期限を短くした場合、このカウントは「そのユーザーが前回パスワードを変更した日」からの日数になりますので、ポリシーを変えた瞬間に期限切れになる可能性がございます。Webからのアクセスであればパスワード変更画面に飛ばされるのでさほど問題はないですが、POP/IMAPやActiveSyncなどは突然接続できなくなるように見えるので、短縮する場合はご注意ください。
先ほど、Office365ライトニングトーク第2回 で発表が完了しました。
発表したスライドは以下で共有しています。
http://www.slideshare.net/genkiw/office365-customize
他にもこんなことできないのとか、こうやったほうが便利だよとか有ったらみんなで共有していければと思います。
MicrosoftスクリプトセンターでMicrosoft Office 365 Federation Metadata Update Automation Installation Toolというスクリプトが公開されました。
こちらですが、やっていることは単純でインストール時に入力した資格情報を元に、毎日0時にUpdate-MsolFederationDomainを実行してくれるという物です。
これの何が嬉しいかと言いますと、Office365のADFSではトークン署名証明書はデフォルトで有効期限が1年間の自己証明書として発行されます。また、自動ロールオーバーの機能によって有効期限の20日前、すなわちインストール時から345日後に新しい証明書が発行され、その5日後(インストールから350日後)に差し替えられます。
この差し替えられた証明書ですが、自動ではOffie365側には登録されないため、インストール後345~350日後の間にOffice365に情報を伝送させておく必要があるということで、これを解決するためにとりあえず毎日情報の更新をOffice365に対して行っておこうというツールです。
Microsoft Office 365 Federation Metadata Update Automation Installation Tool
http://gallery.technet.microsoft.com/scriptcenter/Office-365-Federation-27410bdc
インストールは簡単で、ADFSサーバ上で実行し、Office365の管理者IDの資格情報とローカルサーバ上の資格情報を入力すれば、自動的にC:Office365-Scripts配下にMicrosoft-Office365-Update-MSOLFederatedDomain-CONTOSO.COM.ps1(ドメイン名入り)というps1ファイルと、同じ名前のDailyタスク(毎日0:00起動)を作成してくれます。
私の環境では、ADFS2.0のRU1が出た際に一度再セットアップとUpdate-MsolFederatedDomainを掛けてしまったので、まだこう言った事象には出くわしたことが無いのですが、気づくとこういった物は期限になっていたりするので、今のうちにやっておきましょうという感じですね。
【参考】
シングル サインオンを確認および管理する
トークン署名証明書の有効期限が毎年切れる:既定では、AD FS 2.0 は、毎年有効期限の切れる 20 日前に、自己署名証明書のトークン署名証明書を新たに生成します。証明書のロールオーバー、すなわち証明書の有効期限が近づいたときに新しい証明書を生成してプライマリ証明書に昇格させる機能は、AD FS 2.0 によって生成された自己署名証明書にのみ適用されます。
AD FS 2.0 が新しいトークン署名証明書を生成するタイミングを構成できます。証明書のロールオーバーの時期が近づくと、既存の証明書と名前が同じで秘密キーと拇印が異なる新しい証明書が AD FS 2.0 によって生成されます。新しい証明書は生成後、セカンダリ証明書として 5 日間経過した後プライマリ証明書に昇格します。既定で 5 日間に設定されていますが、変更が可能です。
個々の記事とは別に、まとめ記事として上の固定ページの方に「Office365まとめ」の公開を始めます。とはいっても、結構前から上に出てましたけどね;;;
Office365まとめ
https://blog.o365mvp.com/o365/
元は自分の作業のメモ書き程度に利用してましたが、これからは意図してちゃんとこちらのページの方も一緒に更新していきたいと思います。
うまく纏めていって、TIPS集にしていければと思います。
5月に引き続き、7/6に品川のマイクロソフト本社で第2回のOffice365ライトニングトークが開催されます。
Office365 ライトニングトーク第2回 「俺にOffice365についてしゃべらせろ!」
前回はアクセス制御の部分の話をしましたが、今回はもう少しOffice365の全般的な話をしたいと思っています。
普段からちょこちょこと「Office365まとめ」にメモを書いているのですが、Office365のカスタマイズ(設定変更)について簡単に話をしようかなと思います。
ワールドワイドで見ると、結構日本ではOffice365のデフォルト設定がうまく現在の運用やポリシーに適合しないことがあるので、その辺のところを喋れればなと思います。
ご都合よろしければご来場いただけると幸いです。
Office365で、全体管理者のアカウントでログオンを行なおうとすると、一部通常とは異なる挙動となります。
画面がグレーアウトし、「引き続きアカウントにアクセスできるようにする」とポップアップします。IDとPassを入力してサインインすると、(設定されていなければ)携帯の番号とOffice365以外のe-mailアドレスの入力を求められます。
全体管理者は最初1名しか設定されておらず、かつ他のユーザーからパスワード変更を行なうことは勿論ですができません。その唯一の管理者がパスワードを忘れてしまった場合、何も操作ができなくなってしまう事態になるので、これを防止するために作られている機能になります。昨年末くらいのバージョンアップで実装されました。
ちなみに、上記の画面はESCを押したり閉じたりできないのですが、アドレスバーを一度選択して押下(同じアドレスに再接続)もしくはリロードボタンを押せば閉じることができます。
さて、この機能ですが、例えば全体管理者のアカウントが複数あり、相互にパスワードのリセットが可能な状況などの場合は無くても問題ない場合があります。
また、例えば最初に作った管理アカウントadmin@xxxx.onmicrosoft.comなど、個人に紐づいていない管理者アカウントに携帯電話番号など無いと言う場合も有るかと思います。(もちろん、ダミーで入れておくという手も有りますが)
こちらを無効化するには、PowerShellでSet-MsolCompanySettingsのSelfServePasswordResetEnabledにて制御を行なうことが可能です。
Set-MsolCompanySettings -SelfServePasswordResetEnabled $false
これをfalseに設定しておけば、上記のような画面が出ずに、通常通り管理者アカウントでログインできるようになります。
Office365で独自ドメインを利用する場合、Lync Onlineで利用するSRVレコードを追加して下さいという指示が来ます。
ただ、世の中を見回してみますとDNSホスティングサービスでSRVレコードを提供している物は少ない…というか殆ど無いというのが現状です。今回は、対応している数少ない事業者さんの中でGMOさんの提供されているRocketNetというサービスを紹介します。
DNSサービスは、ホスティングサービス(”年”額1000円から)を契約するか、扱っているドメインの種別は限定されますが、ドメインを新規で取るか移管を行えば利用できます。
操作は、ロケット操縦席という管理コンソールから行います。
一覧からドメインを選択します。
DNSゾーンのタブを選択
新しいレコードを選択
Office365の認証用のTXTレコードを追加します。
しばらく待って確認が取れるとOffice365で独自ドメインが利用できるようになります。
指示だと、このままNSレコードをOffice365に切り替えるということになりますが、ここは移行のタイムラグが大きい工程なので、事前に現在のDNSにもレコードを登録して影響が最小限になるようにしたいと思います。(なお、プランEの場合はDNSを切り替えなくて良いので、この次の工程までで完了です。)
まずは、登録するべき情報をOffice365で取得します。
続いて、これを先ほどのDNS管理のレコードの追加で登録します。
SRVレコードのみ、追加が少し分かりづらいですが以下の様に入力します。ゾーンの名称は「_sipfederationtls._tcp」になります。
この状態で、ネームサーバーのタブからOffice365のDNSサーバに切り替えを行えば完了です。
ちなみにこちらのサービスですが、DNSの方は上記の通り利用可能なドメインの種別が少ない(同じGMOさんのサービスですが、お名前.comの方が断然多いです)のと、取得したドメインのwhois情報がGMOに固定になる(通常はwhois公開代行と呼ばれている機能)ということで、少し利用可能な環境を選ぶかもしれません。
ただ、Webサービスを購入すればDNS管理も利用できるっぽいので、公開Web用を兼ねて借りても良いかもですね。
今年に入ってから、Microsoftより人気の自習書コンテンツとして、 Office365自習書AD FS によるシングルサインオン環境構築ステップバイステップガイド が公開されました。早速拝見させて頂きましたが、非常に参考になりました。
これからOffice365のシングルサインオン環境を構築しようという方には、是非ご覧頂いて一度実際に触ってみて頂くのが良いかなと思うのですが、少しだけOffice365側の仕様変更に伴ってこの手順からの差分が出てしまっているところがあり、躓いてしまう可能性がありますので、簡単に纏めさせて頂きたいと思います。
説明の記述が誤っていて訂正したいなと思っているところが有ったり、企業向けに必須な機能である「アクセス制御」の機能を実現するために必要なAD FS 2.0 RU1についても是非取り込んだ形で、何か簡単な物でも作って公開していきたいと思います。
#今の自習書ベースに直すなら簡単ですが、MSさんの著作物なので勝手に改変する訳にもいかないですしね…
気づくと年が明けてもう1月後半です。本業の方の忙しさにかまけて更新サボってしまってしまっておりました、いけないですね。気を取り直して今年の初投稿です。
久しぶりにPowerShellでOffice365(Exchange Onlineではなく)に接続したところ、以下の様なメッセージが表示されるようになりました。
何やら、モジュールが新しくなったのでポータルからダウンロードしろということ。早速ポータルからAdministrationconfig-ja.msi をダウンロードして実行してみます。
アンインストールしてからインストールとのこと。開いているPowerShellウィンドウを閉じてアンインストールを実行します。再起動は必要有りませんでした。そして、もう一度インストーラーを実行すると無事にインストールが完了します。
エラーも表示されなくなりました。
何が変わったのかと調べてみると、これかな?というのがTechNetに詳細がありました。
Microsoft Online Services – 2011 年 12 月の新機能
http://technet.microsoft.com/ja-jp/library/hh771296.aspx
どうやら、
の2つのコマンドが追加されたとのこと。早速試したところ、そんなコマンドは無いと怒られてしまいます。
もう一度TechNetで確認したところ Online Services – Business Productivity Online とのこと。これはBPOSに関する更新のことっぽいですね。
ということで、何が変わったかは調査中なのですが、とりあえず警告メッセージは出なくなったので良しとしますか。