3/11の震災をきっかけにして、DR対策の一環としてOffice365を検討されている方も多いかと思います。確かにOffice365自体はアジア圏の2地域(シンガポールと香港)にサーバが有り、地域的には十分な冗長性が確保されているのではと思います。
ただ、アクセス制御などの目的でAD FSを入れる構成とした場合、Office365へのインターネットアクセスの他に、いくつか接続性を確保する必要が出てくるポイントがあります。
Category Archives: Office365全般
IDフェデレーション時のブラウザの設定
Microsoftでもようやく KB:2530713 で紹介されておりますが、現時点でOffice365のフェデレーション環境を利用するには、以下の通りゾーンの設定を各クライアントのブラウザに設定する必要があります。これをしない場合、ID/Passwordの入力を求めるポップアップが出たり、他のブラウザを開いているとOffice365からサインアウトできないなどの事象が発生することがあります。
Office365導入準備の為のUPN一括変更
Office365 Deployment Readiness Toolの紹介でも書きましたが、Office365でIDフェデレーション環境を構築する場合、UPN名がインターネットから解決できる自社の保有するドメインである必要があります。
このため、example.localなどのUPN名でActive Directoryを構築済みである場合、ローカルのUPN名を変更する必要があります。また、NTドメインからアップグレードして、そのままのユーザ(UPN名が設定されていないユーザ)なども、ドメイン名ユーザ名の形式のNTログイン名の他、UPN名を設定する必要があります。
PowerShellによるサブスクリプション割り当て(フィルタ有り)
PowerShellによるサブスクリプション一括割り当てで紹介した方法でEプランなど、複数のサブスクリプションが含まれるサブスクリプションを割り当てると、全てのサブスクリプションが割り当てられます。
今回は、一部のソフトウェアを利用させたくないようなユーザに、サブスクリプションをフィルタリングして割り当てる方法を紹介します。
Office365 Deployment Readiness Toolの紹介
Office365をオンプレミスのActive Directoryと連携してシングルサインオン環境を実現しようとすると、やれ「UPNサフィックスがxxx.localとかだとダメ」「シングルフォレストじゃなきゃダメ」「特定属性に禁則文字や文字数制限有り」など、細々とした事前のチェック事項が存在します。
最初は、1個1個チェックシート作って確認するなり、ある程度の所はスクリプト作って自動で調べるようにしなきゃダメかな~と考えていましたが、Microsoftがそう言った面倒な事を一気に調べてくれる「Office365 Deployment Readiness Tool」というツールをリリースしてくれましたので、紹介したいと思います。
PowerShellでのOffice365自動接続
Office365へは、ブラウザを使ったアクセスの他、PowerShellを利用してもログインすることができます。
通常はGet-Credentialコマンドレットを利用してID・Passwordを毎回入力するのですが、頻繁にアクセスする必要がある場合やタスクスケジューラーでの定期処理などを行いたい場合などは、以下の手順でログイン処理を自動化することができます。
PowerShellによるサブスクリプション一括割り当て
ディレクトリ同期ツールを利用して作成されたアカウントは、当初はサブスクリプションが有効になっていない状態で作成されます。つまり、Exchange OnlineやSharePoint Onlineのサービスは利用することができません。
ちなみに、ローカルでDisable状態のまま同期されたアカウントは、サインインが禁止された状態で作成されますので、Microsoft Onlineポータルにもログインできません。
Office365で特定ユーザのパスワードを無期限にする
Office365では、パスワードポリシーとして「8-16文字」「大文字小文字混在」「1文字以上の数字/記号」「有効期限90日」「過去1世代使用不可」「ユーザ名を含めない」などが設定されております。
ただし、運用上パスワードの変更周期を無期限(もしくは、管理者側のタイミングに)設定したい場合が有ります。例えば、ディレクトリ同期ツールに設定された管理用アカウントなどです。PowerShellでアクセスして、特定アカウントのパスワードの有効期限を変更することができます。
Office365を独自ドメインで利用する
登録時に作成されるxxxxx.onmicrosoft.comではなく、ログインIDやメールアドレスとして自社の所有するドメインを利用したい場合の手順です。(Office365オープンベータ版での手順です。詳しくて分かりやすいページが既にいくつか公開されてますが、5月中旬くらいに認証方法が変わったので、その方法をメモ代わりに。8月に確認したところ認証用のレコード名が一部変更になっていたので変更します)