クラウド環境でシステムを運用する際、リソースの動作状況を適切に監視することは重要です。 Azureでは、仮想マシン（VM）のログやメトリクスを取得するために、Log Analyticsが利用されます。これにより、システムの状態を可視化し、障害の早期発見やトラブルシューティングが可能になります。 しかし、デフォルトの設定では、VMのログデータはインターネット経由でLog Analyticsに送信されるため、セキュリティリスクが発生する可能性があります。特に、企業ネットワークのポリシーやコンプライアンス要件により、インターネット通信を制限したいケースも多いでしょう。 本記事では、プライベートエンドポイント経由でLog Analyticsに安全にデータを送る方法を紹介します。 Log Analyticsとは？ Azure Monitorエージェントとは？ 構成図 AMPLS（Azure Moni

Microsoft Defender for Cloud Apps (以下MDA) とは、クラウドアプリケーションの可視化、リスク評価、データ保護を提供するセキュリティソリューションです。 企業はこの製品を活用して、サードパーティアプリケーションへのアクセスを監視・制御し、セキュリティポリシーを強化できます。 本記事では、MDA の機能の1つである条件付きアクセス制御をEntra IDと統合して設定する方法について解説いたします。 MDAを使用した条件付きアクセス制御とは アクセス ポリシー セッションポリシー 前提条件 ライセンス 通信要件 サポートされているアプリ セッションポリシーの制限 Entra ID とMDA の統合手順 Entra ID 管理センターでの設定 Microsoft Defender ポータルでの確認 最後に MDAを使用した条件付きアクセス制御とは Micros

Azure Firewallは、Azure環境における高度なセキュリティを提供するためのセキュリティツールです。 Azure Firewallを利用する際には、特に「AzureFirewallSubnet」と「AzureFirewallManagementSubnet」の2つのサブネットを使う必要があります。 この記事では、その重要性とそれぞれの役割を紹介します。 AzureFirewallSubnetの役割 AzureFirewallManagementSubnetの役割 さいごに AzureFirewallSubnetの役割 AzureFirewallSubnetは、Azure Firewallが稼働するために専用に設計されたサブネットです。このサブネットのサイズは最低でも**/26（64個のIPアドレス）が必要です。 AzureFirewallSubnetがデプロイ時に設定されていな

Windows 365は、Azure上に配置されているWindows Desktopにインターネット経由で接続できるMicrosoftのVDIソリューションの1つです。 エンドユーザーにライセンスを割り当てることで、クラウドPCと呼ばれる仮想マシンがデプロイされ、各ユーザー専用のWindows 環境として利用することができます。 新しくデプロイされたすべてのクラウドPCにおいて、ポート3389の通信は既定でブロックするようになっているそうです。*1 learn.microsoft.com そのため、クラウドPCに対するRDP接続は接続元問わず必ずブロックされてしまいます。 以前、Windows365環境を構築した際に、クラウドPCに対して管理者ユーザーでRDP接続を実施したいという要件があり、Intuneを用いてRDP接続を許可させるよう対応しました。 本記事では、その対処法を一部ご紹介し

SSIS(SQL Server Integration Services)はMicrosoftのデータ統合ツールで、データの抽出、変換、ロード(ETL)プロセスを効率的に実行します。 今回はSSISの接続マネージャーの情報を構成ファイルに設定する方法を紹介します。 前提 開発環境 今回使用するデータフロー 構成ファイルの作成 プロジェクト配置モデルに変換 構成ファイルの作成 構成ファイルの参照パスを変更 さいごに 参考資料 前提 本記事は、以下を前提としています。 SSISの開発経験があること プロジェクト配置モデルのSSISプロジェクトがあること 開発環境 Visual Studio 2022 17.13.0 今回使用するデータフロー 今回使用するデータフローは、以下の通りです。 OLE DB ソースでSQL Server に接続後、クエリを実行し、フラット ファイル変換先でクエリ実行結

サービスプリンシパルを利用することで、特定のユーザーアカウントを利用せずに、必要最小限のアクセス権でAzureリソースを操作できます。 本記事では、サービスプリンシパルについての説明と、サービスプリンシパルとAzure PowerShellを利用してAzureリソースを操作する手順をご紹介します。 サービスプリンシパルとは 概要 メリット デメリット サービスプリンシパルとAzure Powershellを利用してAzureリソースを操作する手順 さいごに サービスプリンシパルとは 概要 サービスプリンシパルとは、「ユーザーの代わりにAzureリソースへアクセスするためのID」です。 サービスプリンシパルを利用することで、アプリケーションや自動化ツールがAzureに対して認証を行い、Azureリソースを操作することができます。 メリット 特定の権限のみを付与できる 必要最小限のアクセス権を

Azure上に作成した仮想マシンをAzure Backupで保護する場合、Microsoft Azure Recovery Services（MARS）エージェントを利用します。 MARSエージェントを使用したバックアップ設定をする際には、バックアップ先としてRecovery Serviceコンテナーを紐づける必要がありますが、誤って別のRecovery Serviceコンテナーへ紐づけを行ってしまったため、正しいRecovery Serviceコンテナーへ変更する必要がありました。 本記事では、MARSエージェントを使用したバックアップにおいて、紐づけ先のRecovery Serviceコンテナーを別のものに再設定する方法について記載します。 前提条件 コンテナー紐づけ再設定手順 バックアップ状況を確認する サーバ登録の再設定 バックアップ スケジュールの再設定 設定変更前のコンテナーか

VMware vSphere環境で検証用マシンが複数台必要なとき、テンプレートを用いて簡単に仮想マシンを作成することができます。 本記事ではPowerCLIを活用してテンプレートから仮想マシンをデプロイする方法をご紹介します。 仮想マシンの作成 仮想マシンテンプレート作成 仮想マシンのカスタマイズ仕様作成 スクリプトファイル作成 スクリプト実行 おわりに 仮想マシンの作成 まず、テンプレートにするための仮想マシンを作成します。 通常の仮想マシンを1台作成し、OSのインストールや、リモートデスクトップ有効化などのOS設定を行います。 なお、テンプレートとなる仮想マシンではIPアドレス設定は不要となります。 設定が完了したら仮想マシンをパワーオフにします。 仮想マシンテンプレート作成 続いて、先ほど作成した仮想マシンをテンプレート化します。 仮想マシン画面から「アクション」-「テンプレート」-

Microsoft Entraでは、テナントに対してカスタムドメインを設定する事が出来ます。 このカスタムドメインは、複数のテナントに跨がってつけることはできません。そのため、カスタムドメインを移行したい際は、移行元テナントからドメインの紐づけを削除する必要があります。 今回は、既にテナントに紐づけされているカスタムドメインを、他のテナントに移管する手順を記載します。 Step1:移行元テナントでカスタムドメインを使用ユーザーを削除する Step2:移行元テナントでカスタムドメインを削除する Step3:移行先テナントにドメインを登録する 終わりに Step1:移行元テナントでカスタムドメインを使用ユーザーを削除する テナントからカスタムドメインを削除するためには、そのテナント上でカスタムドメインを使用するユーザーがいない状態にする必要があります。 そのため、まずはカスタムドメイン（例：e

Teams会議を開催した際、参加者によるマイクの利用をコントロールしたいと思ったことがある人も多いかと思います。 本記事では、参加者の「マイクを無効にする方法」と「ミュートにする方法」をパターン別にご紹介します！ マイクを無効にする方法 会議前 会議中 マイクをミュートにする方法 会議参加者全員をミュートにする 特定の参加者をミュートにする 補足：自動ミュート まとめ マイクを無効にする方法 「マイクの無効」とは、参加者自身ではマイクのオン/オフを変更できない状態のことを指します。 参加者の画面にはポップアップが表示され、マイクが無効化される 会議前 新しい会議を作成後、会議開催前に会議の開催者は出席者に対してマイクを無効にすることができます。 カレンダーから会議をダブルクリックまたは会議詳細画面を開きます [会議オプション]を選択します [オーディオとビデオ]から[出席者のマイクを許可す

ファイルの保護方法として、Microsoft Purviewの秘密度ラベルの利用があげられます。 今回はラベルの利活用方法の一つ、動的透かしについて確認していきましょう。 はじめに 「透かし」とは 静的透かし 静的透かしとは 静的透かしを利用する場合のポイント 動的透かし 動的透かしとは 動的透かしを利用する場合のポイント 最後に はじめに 必要ライセンスや、秘密度ラベルの概要については、以下の記事を参照してください。 blog.jbs.co.jp 「透かし」とは そもそも「透かし」とは、背景にドキュメントを保護するための「社外秘」など特定の情報を入力する事です。 wordでは [デザイン]タブ>[透かし] からドキュメントへ透かしを挿入することが可能です。 印刷時にも透かしは適用されるため、機密性が守られます。 上記に記載の通り手動で透かしを挿入することも可能ですが、今回はMicroso

今回は、Google サイトで作成したサイトに[編集者]を追加、削除する方法を解説します。また、サイトのオーナー権限を譲渡する方法についても解説します。 サイトのオーナーと編集者について 編集者を追加する 編集者を削除する 対象グループ単位で編集者を設定する 事前確認 設定方法 オーナー権限を譲渡する おわりに サイトのオーナーと編集者について Google サイトでは、サイトを作成したユーザーがそのサイトの[オーナー]となります。サイトの編集は[オーナー]もしくは[編集者]であるユーザーが実施可能です。サイトの削除は、そのサイトの[オーナー]であるユーザーのみが実施可能です。 ※オーナー権限はユーザーに対して付与可能であり、グループに対しては付与できません。1つのサイトに対して[オーナー]は1ユーザーのみ設定可能です。 編集者を追加する ユーザーまたはグループ単位で編集者を追加する方法を

皆様、こんにちは！今回は、Microsoft 365 管理センター上でCopilotを利用した情報取得の方法と、フィードバックから学べることをご紹介したいと思います。 これまでの連載 Microsoft 365 管理センターでのCopilot 利用できる内容 情報収集でのCopilot 設定状況確認に利用するCopilot 設定画面への誘導に使うCopilot フィードバックから学ぶ 利用シーンとメリット、注意点 まとめ おまけ(Copilot Chatによる本記事の要約) これまでの連載 これまでの連載記事一覧はこちらの記事にまとめておりますので、過去の連載を確認されたい方はこちらの記載をご参照ください。 blog.jbs.co.jp Microsoft 365 管理センターでのCopilot Microsoft 365 管理センターではMicrosoft 365に関する様々な管理業務が

こんにちは！今回はMicrosoft Defender for IdentityやAD FSの利用時にたびたび作成することがある、グループ管理サービスアカウント（以下：gMSA）の作成方法について書くことができたらと思います！ KDSRootKeyの作成 KDSRootKeyの確認 KDSRootKeyの作成 gMSAの作成 まとめ KDSRootKeyの作成 gMSAを作成するためには、まずAD DS環境が必要です。その上で、KDSRootKeyを作成する必要があります。 ※ もしすでに作成済みの場合は、この章はスキップしていただいて構いません。 KDSRootKeyの確認 まず作成したいサーバーにKDSRootKeyが作成されているかどうか確認します。 使用しているドメインコントローラーを起動し、サーバーマネージャーの[Active Directtory サイトとサービス]を開きます。

先日、MigrationWizのテナントの作成方法についてご紹介しました。(MigrationWizのテナント作成手順 - JBS Tech Blog) 今回は、MigrationWizを使用してGmailからExchange Onlineへメールデータ移行をする際の制約の一部についてご紹介します。 差分移行の制約 メールサイズ・メールボックスサイズが超過した際の挙動 メールサイズが受信制限を超過した場合 メールボックスサイズが超過した場合 連絡先移行の制限 おわりに 差分移行の制約 一度移行されたアイテムは差分移行の対象外となります。 移行した後に、移行元で移行済みのメールのフォルダを移動したり、メッセージを既読にしても、更新内容は移行先には反映されません。 メールサイズ・メールボックスサイズが超過した際の挙動 メールサイズが受信制限を超過した場合 メール1通あたりのサイズが受信制限を超

ブルートフォース攻撃対策の1つとして、PCロックアウト設定があります。 設定を行うことで、一定回数パスワードを間違えるとPCをロック状態にすることができます。 本記事では、PCロックアウトをグループポリシーで設定する方法と、設定後の実際の挙動について記載します。 PCロックアウトとは 設定箇所 設定後の動作 1~5回目 6回目以降 18回目 20回目（しきい値） まとめ PCロックアウトとは PCロックアウトとは、ユーザーが誤ったパスワードを何度も入力したり、システムのセキュリティ設定によってPCがロックされたりすることで、アクセスできなくなる状態を指します。 無数にパスワード入力を試みることができないため、ブルートフォース攻撃対策に適した設定となります。 設定箇所 設定箇所は以下となります。 パス コンピューターの構成＞ポリシー＞Windowsの設定＞セキュリティの設定＞ローカルポリシー

SharePointリストでは、アクセス許可の管理設定からアイテムごとにアクセス権を管理することができますが、この操作はPower Automateを使って自動化する事が可能です。 本記事では、Power Automateを使って、特定の条件でアクセス権を自動で設定する方法についてご説明します。 フロー作成 注意点 まとめ フロー作成 今回は、SharePointリストにアイテムが作成または変更された時、「部署」列の値によって、異なるユーザーにアクセス権を付与するフローを構築します。 「部署」列を含むリストを用意します。既定のアクセス許可は下記の通りになっています。 「アイテムが作成または変更されたとき」トリガーでフローを作成します。 「変数を初期化する」アクションを追加し、権限付与ユーザーを格納する変数を用意します。 「アイテムまたはファイルの共有を停止します」アクションを追加し、一度該

リモートワークの増加やマルウェア感染への対策が必要になってきている現代において、Secure Access Service Edge（以下、SASE）/Security Service Edge（以下、SSE）のニーズが増えてきています。 SASE/SSEの代表的なソリューションとして、Zscaler / Microsoft Entra / Cato / Cisco Secure Connect の4つのソリューションがあります。各ソリューションの特徴を踏まえ、機能面の比較について、前回に引き続きご紹介していきます。 境界型ネットワークからゼロトラストネットワークへの変革 各ソリューションの特徴 Zscaler / Microsoft Entra Cato / Cisco Secure Connect（本記事） 各ソリューションの機能比較 SASE/SSE 導入ユースケース 今回は、「2.

Azure Virtual Desktop（以下AVD）にてクリップボードのリダイレクトを有効化すると、テキストやファイルなどのコンテンツをコピーアンドペーストでAVDと接続元端末間で転送することができます。 これまでクリップボードリダイレクトは転送方向による制御ができませんでしたが、2024年8月に片方向のクリップボードリダイレクトがMicrosoftより一般公開されました。 今回はクリップボードリダイレクトの片方向制御について、設定方法や注意事項をご紹介したいと思います。 ※記載の内容は執筆時点の公開情報を元にしております。 AVDにおけるリダイレクト機能とは クリップボードリダイレクトの片方向制御とは クリップボードリダイレクトの片方向制御の設定方法 GPO設定 RDPプロパティ設定 設定時の注意事項 おわりに AVDにおけるリダイレクト機能とは AVDの実態はAzure上の仮想マシ

Intuneで管理しているデバイスに対して、管理センターからリモートで端末の操作を行うことができます。再起動やパスワードのリセットのほか、端末を工場出荷状態へワイプすることも可能です。 これらのリモート操作のうちの一つである「紛失モード」の設定方法と、紛失モードを設定された時の端末側の動作を以下の記事で検証しました。 ※ 紛失モードの基本操作については以下をご覧ください。 Microsoft Intune を使った iOS および iPadOS 紛失モードの有効化 | Microsoft Learn 前提 紛失モードの有効化（管理者側の操作） 紛失モードが有効になった端末側の動き 終わりに 前提 この紛失モードはiOS/iPadOSのみに適用できます。Windows端末等には適用できません。 また、この紛失モードを利用するには、iOS/iPadOSを監視モードで利用している必要があります。