Office365 SharePoint Onlineで障害が発生していたようです。

近頃Office365ではユーザー影響を伴う問題がちょっと多めに発生している印象がありますが、今日もSharePoint Onlineで障害が発生していました。

障害の内容は、OfficeアプリでSharePoint上のファイルを開こうとすると認証ダイアログが表示され先に進めなくなる。という現象でした。

現象自体は2018年5月26日8時から13時ころまでで収まったのですが、障害がおさまってしまうとどんな問題が起きていたのか、簡単には見れなくなってしまうのがちょっといただけない感じですね。

問題が回復した際には、サービスの正常性ページから履歴を追ってみることとなります。この履歴は30日分確認することができます。(最終更新が30日以内のもの)

管理センターでサービス正常性を開きます。

f:id:mohessu:20180526010450p:plain

右側にある履歴の表示を押下します。

f:id:mohessu:20180526010538p:plain

すると過去7日分の問題が表示れます。
今回起きていた問題はSP140058ですね。

f:id:mohessu:20180526010609p:plain

中を確認すると、SharePointで更新プログラムを適用として問題が発生した。とあります。
切り戻して正常に戻した。ということですね。

f:id:mohessu:20180526010710p:plain

f:id:mohessu:20180526014409p:plain

更に下の方を見ると、更新の履歴も表示されています。最終的な状況は上の白い部分に記載されているため、下の方は見なくても問題はないでしょう。

今回の問題も、最終的にはレポートが提供されるようです。5営業日後に出るということなので、来週には結論が。
クラウドSaaS運用は中々に骨が折れる内容だとは思いますが、ぜひこの状況を乗り切っていってもらいたいですね。

音楽:undivided

Office365 攻撃シミュレーターを起動してみました

前回までに多要素認証と初期セットアップをおえ、いよいよ攻撃ができる状態になりました。

ので、三つあるうちのスピアフィッシングを試してみます。

攻撃の詳細を見てみると、、、

f:id:mohessu:20180524002101p:plain

不正なURLを踏ませるタイプの問題のようです。早速攻撃の開始を行ってみましょう。

f:id:mohessu:20180524003202p:plain

攻撃の名前を入れろと出てきましたので、攻撃Aとしてエンターを押します。

f:id:mohessu:20180524002139p:plain

すると、テンプレート選択に。あれ、エンターはUse Templateを押したことになるのですね。。。楽するためにテンプレートでやってみます。

f:id:mohessu:20180524002209p:plain

テンプレートは2種。給与計算の更新を選択してみましょう。

f:id:mohessu:20180524002303p:plain

名前も上書きされてしまいました汗
このまま次に行ってみます。

f:id:mohessu:20180524002327p:plain

フィッシングメールを送る先を選択します。

大規模な配布グループを選択すると、送られるユーザーが一部に限られるようですね。500人というのが閾値となっています。

f:id:mohessu:20180524002400p:plain

一覧からユーザーを選ぶか直接入力してみましょう。

f:id:mohessu:20180524002442p:plain

続いてフィッシングサイトのURLなどを入力します。
メールがくる形なので、いろいろ組み立てられるようですね。
面倒であればそのまま次へで。テンプレートは楽でいいですね。

f:id:mohessu:20180524002547p:plain

次はメールの本文作成です。
これもそのまま使ってみます。
{username}などの変数を設定できるようですね。スピアフィッシングなので名前が知られているケースを想定したメールが作れるというわけですね。

f:id:mohessu:20180524002638p:plain

設定はこれで完了。そのまま完了を押すとフィッシングメールが送付されます。

f:id:mohessu:20180524002705p:plain

送付された側ではこのように表示されます。本来はATPで防いでほしいところですが、シミュレーションなので通ったように表示されているのでしょうか。

せっかくなので下記をクリック。となっているところをクリックしてみます。
わかってるケースなので押しちゃってますが、基本は絶対にやってはいけないケースです。

f:id:mohessu:20180524002809p:plain

そういうことはブラウザはちゃんと抑えています。
ということで、真っ赤になりました。
この画面が出たときは、頑張ってもアクセスできません。やってしまったー!と思いながらブラウザのセキュリティ機構に感謝しておきましょう。

f:id:mohessu:20180524002934p:plain

戻ってシミュレーターをみてみると、履歴ということで、何人にメールが送られ、何人が被害を受けたのかがわかるようになっていました。

f:id:mohessu:20180524004247p:plain

レポートも表示され、リンクをクリックしたユーザー数と、アクセスできてしまったユーザー数などが表示されるようです。気を付けるよう勧告をするのにはちょうど良いレポートですね。

f:id:mohessu:20180524004423p:plain

最初はATPなどのセキュリティ機構が動くことをシミュレーションしてくるのかと思ってみていたのですが、ユーザー側に対するシミュレーションだったようです。

これはセキュリティ管理者としては面白い機能ですね。
不定期に実施し、組織内の問題意識をチェックするときなどに利用できそうです。

音楽:Before Breakfast

Office365 多要素認証を有効化してみました

セキュリティ/コンプライアンスセンターにある、脅威の管理という項目に最近よく更新が入っています。

この項目に、ちょっと面白そうな機能があったので前々から使てみたいなーと思っていました。それは、攻撃のシミュレーションという項目で、疑似的な攻撃をOffice365に仕掛け、安全性を検証するための機能のようです。(組織管理者のアクセス許可レベルがあると表示されます)

この項目を使ってみたいと思い見ていたのですが、どうもセットアップとMFA(多要素認証)を有効化する必要があるらしく、事前に設定してみることにしました。

【攻撃のシミュレーション】

f:id:mohessu:20180523001244p:plain

未設定のため、攻撃の開始ボタンは押せません。

f:id:mohessu:20180523001315p:plain

というわけで、多要素認証を有効化する前に攻撃のシミュレーションについてセットアップを開始しておきます。

今すぐセットアップを行うボタンを押下すると、10分弱でセットアップが完了します。
ただし、数時間待ってから実行するようにと促されました。

f:id:mohessu:20180523001458p:plain

攻撃の詳細に入ってみるも、多要素認証も有効化されていないため、まだ何もできません。

f:id:mohessu:20180523001646p:plain

というわけで今回の本題、多要素認証を有効化してきます。
管理センターより、ユーザーごとに設定していくことが可能となっています。
アクティブなユーザーの画面を表示し、その他メニューより Azure Multi-Fac...をクリックしましょう。なんで文字が切れているのかは謎です。

f:id:mohessu:20180523001831p:plain

この画面に入ると、ユーザー一人一人の設定もしくは一括で更新を選ぶことができます。今回は1名のみテスト的に有効化してみました。

f:id:mohessu:20180523002124p:plain

ユーザーを選択すると右側に有効にするボタンが表示されます。これを押しましょう。

f:id:mohessu:20180523002324p:plain

ダイアログが表示され、有効化するかどうかを聞かれます。デプロイガイドを読め。という文言が表示されているので初めてのケースでは従いましょう。

ガイドはこちらです。

Get started Azure MFA in the cloud | Microsoft Docs 

読んだら有効化するボタンを押していきます。

f:id:mohessu:20180523002411p:plain

10秒足らずで有効化完了です。
はやい、、、

f:id:mohessu:20180523002637p:plain

これで管理者側の設定は完了です。
後はユーザー側でちょいとした設定を行います。
まずはログインしていきましょう。

f:id:mohessu:20180523002852p:plain

多要素認証が有効化されていると、懐かしの高速道路が表示されます。
ここで、今すぐセットアップを行っていきます。

f:id:mohessu:20180523002811p:plain

多要素の多の部分をどのように行っていくかを設定します。
基本は認証用電話機にSMSを送ってもらう形でしょう。
その場合は電話番号を入力し、方法でテキストメッセージを選んでおくだけです。

f:id:mohessu:20180523002936p:plain

すると、010から始まる電話番号から、SMSが送付されてきます。
010はアメリカのコードですが、文面はちゃんと日本語化されていました。
受け取った確認コードを入力し、認証を押していきましょう。

f:id:mohessu:20180523003138p:plain

すると通常のログイン永続化確認画面に遷移し、いつも通りの動きとなります。

f:id:mohessu:20180523005716p:plain

この状態で攻撃のシミュレーションを見てみると、今度は攻撃の開始が押せるようになっていますね。

f:id:mohessu:20180523003636p:plain

ちなみに次回移行のログイン時はパスワード入力後にコードの入力画面に飛ばされるようになります。この画面にくると都度SMSが飛んでくるようになります。

f:id:mohessu:20180523004009p:plain

ネットワーク的にもお金がかかる内容となっているため、以下のライセンスを持っていることが前提となっていますが、安心感はかなりのものですので、ぜひ利用してみてください。

Azure Multi-Factor Authentication
Azure Active Directory Premium
Enterprise Mobility + Security

次回は攻撃シミュレーターを動かして行きたいと思います。

音楽:ダイビング

Office365 自社テナント外のアクセス制限について

Office365などのクラウドの世界では、利用者すべてが一つのアドレスに対しアクセスを行い、CDNなどを介して利用者個人に関連する情報を返す。という動作となります。

この動作自体は入り口さえ覚えておけばアクセスは非常に容易に行うことができるという利点があるのですが、旧来の接続先のアドレスを制限することでアクセスを制御するという仕組みを用いたアクセス制限は非常に難しいものとなります。

同一アドレスで複数テナントがぶら下がる仕組みとしては仕方のないところかと思いますが、これに対するアプローチとして、Tenant Restrictionsという機能がOffice365では提供されています。

自社テナント以外へのアクセス制御 – “テナントの制限” 機能 (Tenant Restrictions) – MS Japan Office 365 Tech Blog

詳細は見てもらった方が早いですが、以下URLに対し、ヘッダを追加提供するだけで認知していないテナントに対するアクセス制限対応が行えます。追加提供するヘッダはアクセスを許可するテナント名を設定するとこのと。表記を見る限り、onmicrosoft.comを含んだテナント名を入れることでよいようです。

login.microsoftonline.com
login.windows.net
login.microsoft.com

【追加ヘッダ】
Restrict-Access-To-Tenants: contoso.onmicrosoft.com,fabrikam.onmicrosoft.com

このヘッダを追加提供するという作業ですが、簡単に行うためにはProxyを介したアクセスを行わせ、Proxyでヘッダを付与する。といったところでしょうか。

Office365についてはダイレクトアクセスさせているようなケースにおいては、PACなどの仕組みを用いて選択的にProxy経由させるような仕組みを提供してあげなくてはならないこととなります。

このアドレス群はExpressRouteにも対応しているため、場合によってはProxy-ExpressRouteの経路となるケースも出てきますので、忘れずに覚えておきましょう。また、SSL接続をインターセプトする必要があるので、Proxy側の要件は結構高いものとなりそうですね。

試験に関しては、以下のサイトにあるように、Fiddlerを用いて手元で実施すると簡単そうですね。

テナントを制限してクラウド アプリへのアクセスを管理する - Azure | Microsoft Docs

いずれにせよ、テナント外のアクセス制限はクラウド世代のアクセス制限として必要になるケースかと思います。
自社の状況によりけりかと思いますが、一つのケースとして必要となる可能性を意識しておくとよいのではないでしょうか。

音楽:預言者

Office365 SharePoint Onlineのバージョン管理が最低100バージョンになるようです。

なんだかすごいことが記載されているようです。

7月より、SharePoint Onlineのバージョン設定のうち、メジャーバージョンの最低保持数が100となるようです。

https://techcommunity.microsoft.com/t5/SharePoint/Versioning-update-to-Document-Libraries-in-team-sites-in/m-p/194211

規定値は500なので、既定のまま利用しているケースではあまり意識しなくてもよいかもしれませんが、大きいファイルをアップロードしているケースなどにおいてはかなり急を要する変更となりそうです。というもの、SharePointでのバージョン管理は古いファイルをそのまま保持しておくスタイル(差分とかではなくフルでデータを持っている)のため、動画ファイルなどをアップロードして、更新を何度か行うようなライブラリがあった場合、通常は特性に応じてバージョン管理を無効にしたり、数バージョンのみを持つようにして、ディスクの減りを抑えるような設計をしているかと思います。

【今はまだ10等の小さい数を設定できます。】

f:id:mohessu:20180522001035p:plain

この更新が入ると、メジャーバージョンは最低100、そしてバージョン管理を行わない設定ができなくなるとのことなのです。

小さい数値に設定していたり、バージョン管理をしない設定にしていても、今回の更新で100にかさ上げされるとのこと。SharePointの容量増加とタイミングが合わさってくるようなので、総容量は意識しなくてもよいかもしれませんが、サイトコレクションのクォータ量は意識的にチェックをしておかないと、容量オーバーが多発する可能性が出てきます。

どうもCSOM APIでは今後も変更ができるようなので、以下のenableVersioningを適用させる方式を検討しておく必要があるかもしれません。

https://msdn.microsoft.com/ja-jp/library/jj244795.aspx

音楽:クローン

Windows 10 Build 17672リリース

April 2018 Updateがリリースされてから、ようやく一般的な週一回リリースに戻りつつあるInsider Previewですが、今週も例のごとく新しいリリースが提供されていました。

今回のリリースではウィルススキャンアプリで保護されたプロセスとしての実行が必須となった。という変更点がとりだたされていました。
最近はWindows 10の新版リリースからウィルススキャンソフトが追随するまでに期間がかかることが多く、個人環境ではWindows Defender一本に任せっきりになっていたのでこの変更の恩恵にあずかることはないのかな、、、と考えていたのですが、

よくよく見ると、Windows Defenderセキュリティセンターが改名されていますね。
新名称はWindows セキュリティとなったようです。

f:id:mohessu:20180520000535p:plain

起動してみたところ、ダッシュボードには変化が見えませんでした。

f:id:mohessu:20180520000832p:plain

ざっとチェックすると、ウィルスと脅威の防止画面で、スキャンしたファイル数が大々的に乗っていたページがなくなり、スキャンの履歴側にのみスキャンしたファイル数が表示されるようになったようです。

f:id:mohessu:20180520000936p:plain

f:id:mohessu:20180520001143p:plain

そのほか、タイトルが設定へのリンクとなっていた構成が改められ、
それぞれのタイトル下にManage settingsであるとか、Check for updatesといったリンクが表示される構成に変わっていました。

f:id:mohessu:20180520000941p:plain

中を見ていくとまだ翻訳ができていない場所などがあるため、おそらく何らかの変更が入ることになっていくのかと思われます。

f:id:mohessu:20180520000952p:plain

セキュリティ周りはWindows10を導入する際の目玉機能でもあるので、どんどん最適化を推し進めていってもらいたいですね。

音楽:Diamond

Windows10 更新履歴サイトから更新されたファイルの一覧を閲覧することができます

Windows 10の機能更新時はすべてのファイルがアップデートされるため、更新されたファイルはわからない。という思い込みがあったのですが、実は更新ファイルの一覧が提供されていましたので紹介しておきます。

https://support.microsoft.com/ja-jp/help/4099479

上記サイトに入ると、バージョン1803の更新情報が記載されています。
トップページなのでこのページはあまり意識せず、左側のKBXXXXXXX(OSビルド~)をクリックしてみましょう。

f:id:mohessu:20180519003135p:plain

こちらのページでは、そのビルドで修正された内容や既知の問題が表示されています。

f:id:mohessu:20180519003955p:plain

このページの最下部、入手方法の下にあるファイル情報にあるリンクを押下するとCSVファイルがダウンロードされます。

f:id:mohessu:20180519004102p:plain

ダウンロードされたファイルは以下の形になっています。
なんとパスがわからないため、ファイル名ではどのファイルなのかわからないという面白い一覧となっていました。(同名のファイルが多くあるようですね。)

f:id:mohessu:20180519004625p:plain

全部で75,000行もあるので、何が何だかわからないファイルになっていますが、こういった一覧があるだけで安心感が違いますね。

音楽:心