スポンサーサイト

  • 2016.09.11 Sunday

一定期間更新がないため広告を表示しています

  • 0
    • -
    • -
    • -

    フェデレーションサーバーについて

    • 2014.12.24 Wednesday
    • 21:15
    Office 365 を使用する場合に、ただメールアドレスに同じドメインを使用するだけでは、ドメイン内で使用するパスワードと
    Office 365 で使用するパスワードに違いが出るため、ユーザーに混乱が生じます。

    ドメイン環境の Outlook で Outlook プロファイルを使用する場合、自動的にパスワードとユーザー ID が入力されます。
    この情報は、Exchange Server から取得しているわけではなく、ドメインコントローラーから取得しています。
    そのため、Office 365 への接続のため Outlook プロファイルを作成する際に、ドメインで使用されているパスワードを使用してしまい、「Exchange Server へ接続ができません」と表示されることになります。

    こういった現象を防ぐためには、ドメイン内で使用しているパスワードを Office 365 側と同期して同じパスワードを使用することが考えられます。

    すでに構築済みの Active Directory がある場合は、一つ同期用の AD を構築したほうが無難です。
    Office 365 への同期はツールを使用することで簡単なので、不明な点がある場合は Office 365 の無償サポートに連絡することでそれぞれの環境に一番適した同期方法を教えてもらえます。

    ちなみに、いくらパスワードの同期をしてもドメインの外にある Office 365 環境ではシングルサインオンはできません。
    Outlook を使用するたびにパスワードの入力が必要となります。
    もちろん Windows 資格情報に保存することで毎回の入力を防ぐことは可能ではありますが、完全に入力を省略できるわけではありません。

    Office 365 を使用しながらシングルサインオンを実現するためにはフェデレーションサーバーを使用することが一番簡単で安全です。

    フェデレーションサーバーを構築することによって、同じドメイン内のように一度認証を実行しておけばその後どのリソースにアクセスしても認証が自動的に行われるシングルサインオンが可能となります。

    マイクロソフトだけでなく、クラウド化はどの企業でも新たな戦略として売り込みをかけています。
    そんなクラウドの時代には必ずフェデレーションサーバーが必要となりますので、これからエンジニアの需要が増える分野であります。

    是非、今後のお役に立てて見てください!

    グループ ポリシーで組織を管理

    • 2014.12.21 Sunday
    • 09:41
    グループポリシーは非常に便利な機能です。

    Active Directry を使用している環境であれば、標準で用意されている機能であり、指定したドメイン内の PC すべてに、
    自動的に様々な設定を配布する事が可能です。

    実際に配布しているはレジストリー設定であり、すべてのレジストリは policies 配下に設定されるため、ユーザー権限では変更ができなくなります。
    また、その設定に関係するレジストリ設定の中で policies 配下は一番優先されるため、様々な設定はグループ ポリシーによって配布する事が可能です。

    ポリシーを作成するのは非常に大変なのですが、基本的な設定についてはすでに Microsoft によってテンプレート化されています。
    該当のレジストリが分かっている場合は、自身でテンプレートを作成することもできますが、Windows Server 2008 からは、
    テンプレートを作成しなくても該当のレジストリ設定を直接配布することも可能なので、自分でテンプレートを作成することは現在ではほとんどないと思いますが一応可能です。

    使用方法の一例として Outlook 2010 でのキャッシュ モードの強制する方法を案内してみます。

    以下より Office 2010 用のテンプレートをダウンロードします。
    ちなみに、リンクが簡単な ADX ファイルは 2010 までで、2013 からは ADMX をインストールする必要があります。

    Title : Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool download
    URL: http://www.microsoft.com/en-us/download/details.aspx?id=18968

    ダウンロードするといくつかのファイルが解凍されます。

    今回は Office 2013 でもダウンロードできる ADMX で説明します。

    DC 上に以下のルートを作成します。

    %systemroot%¥sysvol¥domain¥policies¥PolicyDefinitions 

    この階層に、ja-jp フォルダーを作成しておきます。

    %systemroot%¥sysvol¥domain¥policies¥PolicyDefinitions  の階層に、outlk1x.admx ファイルを保存します。
    %systemroot%¥sysvol¥domain¥policies¥PolicyDefinitions¥ja-jp の階層に、解凍したフォルダーの ja-jp にある、outlk1x.admx ファイルをコピーして保存します。

    グループポリシーの管理を起動します。

    変更したいドメインまで展開し、変更したいポリシー (既定では Default Domain Policy) で右クリックして編集を選択します。

    エディターが起動するので、ユーザーの構成を展開し、Office Outlook 2010 を探します。

    ここまでで準備完了となります。

    内容を見ると、テンプレートでここまで多数の設定を強制できるのかと感じられると思います。
    ちなみに、キャッシュ モードを強制する設定は以下の手順で設定します。

    [Outlook 2010] - [アカウントの設定] - [Exchange] - [Exchange キャッシュ モード] と展開し、[新規および既存の Outlook プロファイルで Exchange キャッシュ モードを使用する] をダブル クリックします。

    [有効] にてして [OK] をクリックすると設定完了です。

    時間が経てば自動的に全クライアントまで反映されますが、急いでいる場合はそれぞれのクライアントで以下のコマンドを入力します。

    gpupdate /force

    この状態ではユーザーはオンライン モードに変更することはできなくなります。
    特に Exchange Online などではキャッシュ モード推奨となっているので、組織として強制する場合はグループ ポリシーを使用してみてください!

    AD RMSでファイルのセキュリティー管理

    • 2014.12.21 Sunday
    • 09:38
    セキュリティーについてはどこの会社でも神経をとがらせている頭の痛い問題だと思います。

    サーバーやクライアント PC に存在するファイルを覗き見ることをハッキングやクラッキングなどと言いますが、
    サーバーを外部からの攻撃で落とすことは結構簡単にできますが、実際にサーバーを乗っ取って自由にデータを覗くなどということは非常に高度な知識が必要であると同時に、そもそもサーバー側があまりにも無防備である必要があります。

    分かりやすく言うと、Windows XP を使用されている方は未だに多いですが、すでにセキュリティーパッチの提供は終了しています。

    そのため、Windows 全体で起こりうるセキュリティーの警告が発生した時に Windows XP では修正が行われないことになります。
    それを利用すれば私でも多少はセキュリティー ホールをついて侵入することは可能です。
    しかししっかりとアップデートされている Windows に侵入することは基本的には無理です。

    ではハッキング・クラッキングはどのような方法を一般的に取るかというと・・一番多いのは自身も含めた内部犯行になります。
    例えば、動画を再生した際にポップアップが上がります。
    「この動作をスムーズに動作するためにはxxxxxxxxが必要です。インストールしますか?」
    この時、多くの人は Yes を押してしまいなんらかのアプリをインストールしてしまいます。

    このようにしてハッキングが行われます。

    また、明らかに悪意があるユーザーがいる場合、顧客データを USB メモリに移動したり、外部にメール送信をしたりすることでデータの移動をします。
    USB メモリについては、ベネッセの事件がすぐに思い出せますが、USB で接続するスマホを PC に差し込んだところ、
    ストレージとして認識してしまったために発生いたしました。

    このようにして起きる、顧客データの流失は会社に多大な影響を及ぼすだけでなく、実際の処理には莫大なお金は必要となることから対策は必須です。

    今回は、RMS 機能についてご紹介いたします。

    Active Directry にはいくつかの種類があり、ファイルの転送や許可していないユーザーでの閲覧を禁止する機能として、
    AD RMS があります。
    例えば、Outlook で機密性の高い文章を作成したとします。
    この内容が外部に流失すると非常に大きな問題が発生する場合、メールを作成した時点で「転送禁止」の設定をします。

    このメールを受診したユーザーは通常通りメールの閲覧が可能です。
    しかし、転送を試みても転送のアイコンがグレーアウトするため転送することができません。
    また、メールアイテムを msg ファイル等に変換し、外部に持ち出して見る可能性だってあります。

    その場合は、閲覧可能なグループ、もしくはユーザーを指定することで外部の PC = ドメインに参加していない PC では、
    AD RMS サーバーに接続ができたとしても、認証が通らずファイルの閲覧はできなくなります。

    このようにとにかく外部に流失したら非常に問題となるファイルに設定することで、閲覧できる人間を限定することが可能です。

    Office 製品に標準で使用される IRM 機能を利用して作成されたすべてのファイルは上記の RMS サーバーに問い合わせることでアクセス権を取得できるため、Excel や Word などのファイルでももちろん使用可能です。

    AD RMS サーバーの構築は特別難しくないので、Windows Server を使用しているのであれば是非構築し、セキュリティーの向上を目指してみてください!

    Title : Active Directory Rights Management サービス
    URL : http://technet.microsoft.com/ja-jp/library/cc771234(v=WS.10).aspx

    ActiveDirectryとは

    • 2014.12.15 Monday
    • 19:48
    会社内でPCを使用する場合は、家庭用と違ってドメインという組織を作成し、各クライアントをログインさせることがほとんどになります。
    なぜこのようなシステムが必要かと言いますと、組織を作成していない場合、共通のファイルサーバーにアクセスする場合に、 ファイルサーバーからはだれからアクセスをされているのか分からないため、簡単にアクセスを許すことができません。
    しかし、ActiveDirectryによってドメインが作成されている場合には、ファイルサーバーにアクセスを試みる場合に、ID とパスワードを入力することでアクセスがすぐにできるようになります。
    これはファイルサーバーも同じドメインにいることで、Active Directry に対して、アクセスを試みているユーザーの情報を問い合わせることでどのような安全なアクセスなのかがすぐに判断できるシステムとなっております。

    通常ユーザーが使用する場合に意識することはありませんが、大規模組織であればサーバーは無数に用意されており、ユーザーは様々なサーバーにアクセスをしています。
    そんな時に、一度だけパスワードを入力することですべてのサーバーへのアクセスが可能になることをシングルサインオンといい、シングルでアクセスできる範囲をドメインと呼びます。
    海外などでよく利用されている、スマートカード方式のログオン方式なども Active Directry が提供している機能で、 SSL通信で使用する証明書や、作成したファイルの安全性を高めるRMSなども標準で使用することが可能となっています。
    以前はこのシステムだけでMCPの科目があったくらい、本当に奥の深いシステムとなっております。

    ADSIエディターを見ることで、そのアカウントの属性をすべて確認することができますが、実はこの値を変更することで、 ユーザーの上司の情報であったり、どの組織に所属しているのか、電話番号など組織を構成するうえで人事のシステムすら統合できるシステムとなっています。

    ちなみに Active DirectryはDNSとセットで使用することが大前提です。

    今のWindowsServerは、Active Drectryのインストー時に自動的にDNSもインストールするので間違える人はいないと思いますが、Active Directryのエンジニアと名乗りたいのであれば、DNSについても深い知識が必要となるのは周知のとおりです。

    メインとは、ユーザーとコンピューターの管理単位になります。 一つのフォレストの下に複数のドメインを作成することが可能であり、グループポリシーを使用することで組織内のPCに強制的に各種設定を配布する事が可能です。
    WindowsServer2008からはレジストリの配布も簡単に行えることができるので、USBメモリの接続禁止などセキュリティー向上のための設定や、ログオン時に実行されるスクリプトを登録することでほぼできないことはなくなります。

    また会社の合併などで、複数のフォレストが必要となった場合も柔軟に対応が可能です。

    それぞれの会社のフォレストに信頼関係を結ぶことで、権限さえあれば A 社の人間が B 社のオブジェクトにサクセスすることが可能になります。
    逆に現在でも稀に残っている、ワークグループ環境で同じことを使用とした場合、ユーザーが100人もいた場合にどのようにセキュリティーを向上させれば良いのか途方に暮れるのはすぐに想像できます。
    少し複雑になりますが、現在、Office 365 でもAzureと組み合わせることで、RMSサーバーを構築可能となっております。 これからはオンプレのエンジニアはほとんど必要と無くなる時代です。

    エンジニアを目指すのであれば、今のうちにAzureについても勉強してくださいね!

    PR

    calendar

    S M T W T F S
          1
    2345678
    9101112131415
    16171819202122
    23242526272829
    30      
    << September 2018 >>

    selected entries

    categories

    archives

    recent comment

    recommend

    links

    profile

    search this site.

    others

    mobile

    qrcode

    powered

    無料ブログ作成サービス JUGEM