社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。

【Office365参考書】SharePointOnlineで指定したIPアドレス以外やデバイスからはアクセスできないようにしたい

f:id:it-bibouroku:20200324233242j:plain

SharePoint Online へのアクセスを IP アドレス単位で制御する方法につきましては、SharePoint 管理センターの [アクセスの制御] > [ネットワーク上の場所] にて、[特定の IP アドレス範囲からのアクセスのみを許可する] を有効にすることで、指定した IP アドレスからのみアクセスを許可することが可能です。 

  

なお、本機能については、SharePoint Online のみではなく、OneDrive for Business にも適用される動作ですので、片方だけ制御することができないです。 

  

ただし、SharePoint Online の機能だけではできませんが、IP アドレスの制御を有効化したうえで、OneDrive へのアクセスをネットワーク側 (プロキシサーバー、VPN など) で信頼済みIP アドレスを経由するように構成することで実現できる可能性があります。 

  

また、割り当てられるグローバル IP アドレスの固定 IP アドレスでない場合は、IP アドレスが変更されるとアクセスができなくなってしますので、ご注意ください。 

  

なお、現状の SharePoint Online の機能上、IP アドレスでの制限に関して、例外的な設定項目はありません。 

  

 

 

 

 

<設定手順> 

1) 管理者権限アカウントにて Office 365 ポータル (https://portal.office.com) にサインインします。 

2) [管理] をクリックし、Microsoft 365 管理センター左側メニュー内 [管理センター] を展開します。 

3) [SharePoint] をクリックし、SharePoint 管理センターを表示します。 

4) 左側のメニューより [アクセスの制御] をクリックします。 

5) [ネットワーク上の場所] セクションの [特定の IP アドレスの場所からのアクセスのみを許可します] のオンにします。 

6) [IP アドレスまたは範囲を入力してください] 欄にアクセス許可をする グローバル IP アドレスを入力します。 

※ 複数設定する場合には [,] で区切っていただくことで設定可能です。 

 

  

ちなみにデバイス単位での制御については、[管理されていないデバイス] で可能です。 

[管理されていないデバイス] 項目は、SharePoint Online および OneDrive for Business の双方に影響する設定項目でございます。  

本設定項目では、非管理対象デバイス (ドメインに参加していないデバイスまたは Intune 内の準拠していないデバイス) からのアクセスの許可、ブロックの設定を行うことが可能です。  

  

また、デバイスとして PC やモバイル端末を設定できますが、当該設定につきましては、SharePoint Online で設定は行えず、Azure AD から設定する必要があります。  

そのため、本設定項目の操作には、EMS  (Enterprise Mobility Security) ライセンスが必要となります。  

  

   

また、[先進認証を使用していないアプリ] 項目はでは、SharePoint Online および OneDrive for Business に対するレガシー認証 (基本認証) を使用する 2013 以前の Office やサード パーティ アプリケーションなどのクライアント アプリケーションからのアクセスの許可、ブロックの設定をテナント単位で行うことが可能です。  

 

これも、SharePoint Online および OneDrive for Business の双方に影響する設定項目です。  

   

そのため、本設定項目をブロック (無効) としている場合、Office 2010 クライアントや、サードパーティ製アプリにて SharePoint Online や OneDrive for Business 上のファイルを開くことを出来ないよう制御することが可能となります。  

   

 

 

 

補足. [先進認証を使用していないアプリ] の設定  

・ "許可" にしている場合 : 旧バージョンの Office のご利用が可能。 (基本認証で接続が可能です) 

・ "ブロック" にしている場合 : 旧バージョンの Office のご利用が不可。 (先進認証を使用していないアプリである Office 2010 クライアントや、サードパーティ製アプリ等にて SharePoint Online 上のファイルを開くことが出来なくなります。 ) 

【Microsoft365参考書】回復可能なアイテム領域と保持機能について解説します。



メールを削除した場合、削除済みアイテムにメールが移動します。 

  

そして、削除済みアイテムから削除すると、メールが完全に削除されると思いますよね。 

実は回復可能なアイテム領域に格納され、一定期間 (14 日間) 保持される動作となっております。 

  

なお、回復可能なアイテム領域の配下には、[Deletions] [Purges] [Versions] [DiscoveryHolds] [Audits] [Calendar Logging] と分かれており、削除済みアイテムから削除したものは [Deletions] に格納されます。 

  

今回、ご紹介します訴訟ホールドについては、削除済みアイテムから削除したアイテムを無期限や指定した期限の間、保持することができる機能です。 

  

そのため、本来であれば、14 日間しか保持されないものを、無期限保持しておくこともできます。 

  

保持期間は 1 日から無期限まで設定が可能となっており、有期限と無期限では、削除されたアイテムが格納されるフォルダーが違います。 

  

- 無期限 : 回復可能なアイテム領域配下の [Purges]  

- 有期限 : 回復可能なアイテム領域配下の [DiscoveryHolds]  

  

先に回復可能なアイテム領域の配下のフォルダについてまとめておきましょう。 

 

 

 

 

回復可能なアイテム領域の配下フォルダ 

◇ Deletions 

削除済みアイテム フォルダーから削除されたアイテムが格納されております。 

このフォルダーは、Outlook および Outlook Web App の削除済みアイテムの復元機能によりユーザー画面に表示されます。 

※ 当フォルダーに格納されたアイテムは一定期間 (既定 14日) 経過後、メールボックスから完全削除が行われます。 

  

◇ Purges 

回復可能なアイテム領域(Recoverable Items) 配下のフォルダーとなります。 

訴訟ホールド (無期限) または単一アイテムの回復のいずれかが有効 (単一アイテムの回復は既定で有効) である場合、このフォルダーには、[Deletions]から 削除されたアイテムが格納されています。 

本フォルダーはユーザー操作では確認が行なえない隠しフォルダーとなっております。 

  

◇ Versions 

回復可能なアイテム領域(Recoverable Items) 配下のフォルダーとなります。 

保持機能が有効が有効である場合、このフォルダーには、変更されたアイテムの原本と変更されたコピーが格納されています。 

  

◇ DiscoveryHolds    

インプレース保持、セキュリティ/コンプライアンスセンターの保持ポリシー、有期限の訴訟ホールドが有効な場合は [DiscoveryHolds] フォルダーにて保持が行われる動作となります。 

  

◇ Audits    

メールボックス監査ログは、ユーザメールボックスと紐づいている回復可能なアイテム領域内の [Audits] フォルダーに保存が行われる動作となっており、既定では 90 日間保存が行われ、90 日経過したログは削除が行われる動作となります。 

  

◇ Calendar Logging   

会議出席依頼の変更など予定アイテムの変更などは、回復可能なアイテム領域の [Calendar Logging (予定表ログ)] にアイテムが格納される動作となります。 

  

また、訴訟ホールド以外にも保持機能として、[インプレース保持] と [アイテム保持ポリシー (情報ガバナンス保持)] があります。 

それぞれの概要を以下に解説いたします。 

  

 

 

 

 保持機能の種類について 

 

◇訴訟ホールド 

インプレース保持と同様に、法的にデータの保存が義務付けられている場合などに利用する機能でございます。 

インプレース保持機能との違いといたしましては、対象となるメールボックス全体の保持となり、特定アイテムのみを保持するといった設定は行えません。 

期間の指定に関してはインプレース保持機能と同様に無期限、有期限で設定することが可能となっており、また、ユーザーごとに有効化が可能な為、インプレース保持設定と比べると管理がしやすいといったメリットがあります。 

 

なお、有期限で設定した場合、受信日や作成日から換算されます。

例 : 訴訟ホールドを1年と設定し、作成日から364日経過したアイテムを削除した場合は、回復可能なアイテム領域には1日しか保持されない動作となります。 

  

◇インプレース保持 (廃止されました)

インプレース保持とは、法的にデータの保存が義務付けられているお客様などに対して、誤ってデータが削除されないようにするための設定を行うことを目的とした機能でございます。 

類似の機能として、訴訟ホールドがございます。 

インプレース保持の場合、無期限で保持する設定のほかに、検索クエリを利用し条件に合致したアイテムのみを対象として保持することや、保存期限を設定することが可能です。 

  

  

◇ アイテム保持ポリシー (データガバナンスの保持) 

セキュリティ/コンプライアンスセンターより利用可能な機能であり、メールボックス内のアイテムを保持する動作は Exchange 管理センターにて実施可能なインプレース保持と同じ動作となっているため違いはございませんが、保持の対象がメールボックス内のアイテム(メールアイテム、予定表アイテム、タスク等)のみならず、パブリック フォルダーのコンテンツ、SharePoint Online のサイトを対象とした保持も行うことが可能です。 

なお、データガバナンス保持で全メールボックスを対象とした場合、共有メールボックスや会議室メールボックスも保持機能が適用されるため、別途ライセンスを用意する必要があります。 

  

訴訟ホールドの有効化については、Exchange 管理センターから実施が可能ですので、以下に手順を紹介します。 

  

 

 

 

【管理センターにて、訴訟ホールドを有効にする手順】 

  1. 管理者にて Office 365 (https://portal.office.com) へサインインします。
  2. [Exchange] 管理センターの [受信者] - [メールボックス] を開きます。
  3. 該当のメールボックスをダブルクリックします。
  4. メールボックスの編集画面で、[メールボックスの機能] をクリックします。
  5. [訴訟ホールド:無効] の [有効にする] をクリックします。
  6. [訴訟ホールドの期間] を空白のままで期限を無期限とすることができますので、そのままで [保存] をクリックします。
  7. [保存] をクリックします。

 

  

回復可能なアイテム領域について以下に記事をまとめていますので参考としてくださいね。

it-bibouroku.hateblo.jp

 

【Office365参考書】ATPとは何か?

f:id:it-bibouroku:20200305151118j:plain

Exchange Online Advanced Threat Protection (ATP) では、 Exchange Online Protection (EOP) の各種フィルタリングを通過した後に動作して、既知のウイルスやマルウェアシグネチャ(識別データ)が含まれていないメッセージと添付ファイルは、すべて特別なハイパーバイザー環境にルーティングされ、そこでさまざまな機械学習や分析の手法によって挙動が分析されています。 

  

※補足 

基本的に EOP を補完するためのものであるため、セキュリティを強化したい場合に利用するものです。 

  

なお、ATP では、添付ファイルのマルウェア保護をおこなう [安全な添付ファイル] と悪意のあるリンクから保護する [安全なリンク] の機能があります。 

  

ATP については、Exchange 管理センターの [高度な脅威] に表示されている [安全な添付ファイル] ならびに [安全なリンク] の各ポリシーを構成し、ポリシーの適用先に対象のユーザーを指定することでご利用いただけるようになります。 

  

※重要 

上記ポリシーにて指定していないユーザーに対する保護は有効となりません。 

ライセンスを付与している場合も、ポリシーで指定する必要があることをご注意ください。 

  

 

以下にそれぞれの概要とポリシーの適用方法をご紹介していきたいと思います。 

  

  

 

 

□ 添付ファイル保護 (安全な添付ファイル) 

添付ファイル保護は、未知のマルウェアやウイルスから保護し、メッセージング システムを保護するゼロデイ保護を提供します。 

ATP は 既知のウイルス/マルウェア署名がないすべてのメッセージと添付ファイルに対して、リアルタイムにマルウェアの行動分析を実行し、新種のマルウェアやゼロディ攻撃を検出します。 

不審な動作が検出されない場合、メッセージは解放されてメールボックスに配信されます。 

  

※ 補足 

ATP では、Zip 形式などで圧縮格納されたファイルについても内容を精査しますが、パスワードで保護された部分についてはパスワードがわからないため内容が精査されない動作となります。 

  

  

[セーフ アタッチメントのポリシー設定可能な処理動作] 

・ オフ : 添付ファイルのマルウェアをスキャンしません。 

・ モニター : マルウェアの検出後もメッセージの配信を続行し、スキャン結果のみ追跡します。 

・ ブロック : マルウェアが検出されたメッセージと添付ファイルをブロックします。 

・ 置換 : マルウェアが検出された添付ファイルのみブロックし、メッセージの配信を続行します。 

・ 動的配信 : 添付ファイルのスキャンを行う前にメール本文をユーザーに配送し、スキャン完了後に添付ファイルが有害と判断された場合には、警告ファイルである [Unsafe Attachments Blocked.msg] に置き換えます。 

  

  

また、検出時に添付ファイルをリダイレクトする機能を有効にすることで、添付ファイルを指定したメール アドレスに送信することが可能です。 

セーフアタッチメントの実行結果につきましては、[メッセージの追跡] の詳細結果にて、セーフアタッチメントにルーティングされた各メッセージと添付ファイル情報が、その処理方法を含めて記載されます。 

  

  

 

 

■ [安全な添付ファイル] ポリシーの設定手順 

  1. Exchange 管理センター (EAC) で、[高度な脅威] > [安全な添付ファイル] に移動します。
  2. 新しい添付ファイル ポリシーを作成します。
  3. [+ (新規作成)] アイコン をクリックして、安全な添付ファイルに関するポリシーを作成します。
  4. 新しいポリシーの名前を追加します。
  5. [安全な添付ファイルに不明なマルウェアが検出された場合の対応] にて 、このポリシーで使用するオプションを選択します。
  6. [適用先] にて、[受信者が次の値である] を選択し、適用するユーザーをダブルクリックし、[OK] をクリックします。

※条件は任意で指定してください。 

  1. [保存] をクリックします。

  

  

  

□ リンク保護 (安全なリンク) 

ATP のリンク保護機能は、メッセージ内の悪質なハイパーリンクから予防的にユーザーを保護します。 

リンクをクリックした後も保護は毎回継続し、悪意のあるリンクは動的にブロックされ、適切なリンクにはアクセスできます。 

  

安全なリンクで保護された電子メール内の悪意のあるリンクをユーザーがクリックすると、クリックしようとしているリンクが悪意のあるものであることを通知する Web ページが表示されます。 

  

【各項目について】 

・ [安全な添付ファイル機能を使用して、ダウンロード可能なコンテンツをスキャンします。] 

有効にすると、Office 365 クラウド上の仮想環境内でリンク先のコンテンツが開かれ、中身がスキャンされます。 

コンテンツが悪意のあるものであると判明した場合、警告ページを表示することができます。 

  

・ [組織内で送信されるメッセージに "安全なリンク" 機能を適用します。] 

有効にすると、組織内のユーザー間で送信される電子メールメッセージに ATP セーフリンク機能が適用されます。 

  

・ [ユーザーが安全なリンクをクリックしたときに追跡しません。] 

有効にすると、組織外からのメールで書き換えられた URL をクリックした場合、ユーザーがクリックした記録を残しません。 

  

・ [ユーザーに安全なリンクから元の URL へのクリックスルーを許可しません。] 

有効にすると、元の URL がブロックされている場合、ユーザーが警告ページから元の URL へクリックし、アクセスすることを禁止します。 

  

・ [次の URL を書き換えません:] 

セーフリンクによる書き換えから除外する URL の一覧を指定します。 

  

  1. Exchange 管理センター (EAC) で、[高度な脅威] > [安全なリンク] に移動します。
  2. [特定の受信者に適用されるポリシー] にて [+ (新規作成)] アイコン をクリックして、新しいポリシーを作成します。
  3. 新しいポリシーの名前を追加します。
  4. [設定] より、[不明で悪意ある可能性がある URL がメッセージに含まれる場合の対処法を選びます] にて、[オン] を選択します。これにより、URL が書き換えられ、チェックされます。
  5. 書き換えを防止したい URL がある場合は [次の URL を書き換えません:] にて該当の URL を入力し、[+] をクリックします。

※ 他の項目は任意でチェックを入れてください。 

  1. [適用先] にて、[受信者が次の値である] を選択し、適用するユーザーをダブルクリックし、[OK] をクリックします。

※ ご利用のテナント全体に適用したい場合は、一覧のすべてのドメインを追加します。 

※ 条件はご運用にあわせてご指定してください。 

  1. [保存] をクリックします。

  

  

 

 

■テストをおこなう方法 

安全な添付ファイルについては、サンプルとなるファイルやコードは公開されていないため、実施することができませんが、安全なリンクについては、サンプルとなる URL がありますので、それを本文に張り付けてポリシーが適用されているユーザーに送信すると動作を確認することができます。 

  

<テスト用 URL> 

http://www.*spamlink.contoso*.com/ 

  

※重要 

URL 内の 2 つの アスタリスク [*] を削除して利用してください。(セキュリティ上、*を入れてます) 

広告

高スペックPCが約3万円で購入できます


【楽天年間ランキングでパソコン1位!】初期設定不要!すぐ使える! ノートパソコン 中古 Windows10 Office付き 新品 爆速SSD 中古パソコン Corei5 店長おまかせNECノート 4GB 15インチ 中古ノートパソコン リフレッシュPC

 

キーボード入力の手首の疲労軽減 低反発クッション

 

【Office365参考書】SharePointの予定表アプリで休日を色付けしたい

f:id:it-bibouroku:20200324233242j:plain

Outlookの予定表では、休日を色付けすることができますが、SharePointサイトの予定表アプリは色付けすることができません。 

 

でも、予定表の重ね合わせを利用することで休日の色付けができることを確認しましたので、ご紹介していきたいと思います。 

 

ただし、日曜日は定期的なイベントして設定することができるのですが、祝日はその日ごとに個別に設定しなくてないけません。 

 

以下の手順でお試しください。 

 

 

 

<概要>  

  1. 休日予定表を作成する 
  2. 休日のアイテムを作成する 
  3. 作成した予定表 (休日予定表) を他の予定表 (例 : 全体予定表) に重ね合わせる 

  

  1. 休日予定表を作成する 

1) Office 365 にサイト コレクションの管理者権限を持つアカウントでサインインします。  

2) 予定表を配置したいサイトにアクセスします。  

3) 画面右上歯車のマークをクリックし、[アプリの追加] をクリック、表示されたアプリの一覧から [予定表] をクリックし、任意の名前を入力して [作成] をクリックします。(例 : 休日予定表)  

4) 作成された休日予定表を表示し、予定を入力します。  

  

  1. 休日のアイテムを作成する 

1) "1. 休日予定表を作成する" にて作成した "予定表" を表示します。  

2) 画面左上に表示されている [イベント] タブ > [新規] セクション の [新しいイベント] をクリックします。  

3) [タイトル] に "休日" と入力します。  

4) [終日] にて [開始時間と終了時間を指定しない終日イベントとして設定する] にチェックを入れます。  

5) [定期的なイベント] にて、以下を設定します。  

----- [定期的なイベントとして設定する] にチェックを入れます。  

----- [週単位] を選択します。  

----- [日曜日] を選択します。  

----- [終了日未定] を選択します。  

6) [保存] をクリックします。  

7) 祝日については個別に設定が必要なため、本手順の 2) から 4) を該当日に対して都度行い、保存します。  

  

  1. 作成した予定表 (休日予定表) を他の予定表 (例 : 全体予定表) に重ね合わせる 

1) 上記 1. 手順を繰り返し、休日予定表を重ねて表示する予定表を作成します。(例 : 全体予定表)  

2) 画面左上の [予定表の重ね合わせの設定] 画面にて [新しい予定表] をクリックし、[予定表の重ね合わせの設定] 画面を表示します。  

3) [予定表の重ね合わせの設定] 画面にて、以下を入力後 [OK] をクリックしてください。  

  

・ 予定表の名前: 任意の名前を入力してください。  

・ 予定表の種類: SharePoint  

・ 色: 任意の表示色を選択ください  

・ Web URL: 既定で該当サイトの URL が入力されていますので、[解決] をクリックしてください。  

・ リスト: 1. で作成した [休日予定表] を選択してください。  

・ リスト ビュー: [予定表] を選択してください。  

  

4) 該当の予定表を表示し、ご指定いただいた色にて、[休日予定表] が、[全体予定表]に重ねて表示されていることをご確認ください。 

 

広告

高スペックPCが約3万円で購入できます


【楽天年間ランキングでパソコン1位!】初期設定不要!すぐ使える! ノートパソコン 中古 Windows10 Office付き 新品 爆速SSD 中古パソコン Corei5 店長おまかせNECノート 4GB 15インチ 中古ノートパソコン リフレッシュPC

 

キーボード入力の手首の疲労軽減 低反発クッション

 

【Office365参考書】SharePointの権限の継承と固有の権限とは?

f:id:it-bibouroku:20200324233242j:plain

今回はSharePointの権限の継承と固有の権限について紹介していきたいと思います。

 

 

 

権限の継承と固有の権限について  

サイト上のコンテンツは、既定の状態では上位ディレクトリから権限を継承していますが、 サブサイトごと、ライブラリやリストごと、ライブラリのフォルダーやファイルごと、リスト アイテムごと等に固有の権限を設定することが可能です。  

   

SharePoint Online では、既定の状態では以下のように、上位ディレクトリから権限を継承しております。  

   

親サイト -> サブサイト -> ライブラリやリスト -> フォルダー -> ファイル  

   

サイトに対して権限を付与すると、その配下にある ライブラリやリストを通してフォルダやファイルなどに同様の権限が設定されます。  

   

上述のような "権限の継承" を "中止" して "固有の権限" に設定することで、サイト単位やアプリ (リストやライブラリなど) 単位、アイテム単位等、細かく権限を分けることが可能となっております。  

   

その為、"固有の権限" に設定し サイトに対しては [閲覧] の権限を付与し、特定のライブラリに対しては [投稿] 権限を設定するというように、独立した権限の設定が可能でございます。  

 

  

※既存のグループの権限 (メンバー、所有者など) に対して、下位ディレクトリで権限を削除した場合、上位ディレクトリの権限も削除される動作となること確認しました。 

そのため、上位ディレクトリで新規でグループを作成し、下位ディレクトリで削除することで上位ディレクトリに反映しないことを確認いたしました。 

 

 

 

 

"制限付きアクセス" について 

サイトよりも下の階層であるリストに固有の権限を設定すると、リストのコンテンツへのみアクセス権を付与されているユーザーに対しては、サイトのコンテンツに対する "制限付きアクセス" の権限が付与されます。 

  

当該ユーザーに対し、リストのコンテンツのみにアクセス権を付与していただいた場合にも、上の階層となるサイトのコンテンツにアクセスするためには、何らかの権限を付与していただく必要がございます。 

通常は上の階層であるサイトへ自動的に "制限付きアクセス" が付与されることによりリストの階層へのアクセスを可能にしています。 

 

◆ フォルダーに固有の権限を設定する 

  1. 管理者権限アカウントにて、該当のドキュメント ライブラリにアクセスします。
  2. 権限を設定したいフォルダー名の右側の […] をクリックし、[詳細] をクリックします。
  3. 画面右の "アクセス権を持つ" セクションの [アクセス許可の管理] をクリックします。
  4. 画面右下の [詳細設定] をクリックします。
  5. 画面左上の [権限の継承を中止] をクリックし、メッセージ画面が表示されましたら [OK] をクリックします。

  

※ ライブラリから継承されている権限の継承は中止されましたが、ユーザーの権限は残っている状態です。 

  

  1. フォルダーのアクセス権限を削除したいユーザーまたは SharePoint グループの左側のチェックボックスにチェックを入れ、画面上部の [ユーザー権限の削除] をクリックします。

  

上述の手順にて削除したユーザーは、ライブラリへアクセスは可能ですが、該当のフォルダーまたはファイルへのアクセスは不可となります。 

  

なお、該当のフォルダーのみアクセス権を付与したい場合は、以下の手順をご確認くださいますようお願い申し上げます。 

  

  1. 画面上部 [権限] タブから [アクセス許可の付与] をクリックします。
  2. 表示された "共有" 画面内の上段のボックスに権限を付与したいユーザーのメール アドレスまたは SharePoint グループ名を入力します。
  3. [オプションの表示] をクリックし、表示された "アクセス許可レベルの選択" のプルダウン メニューより、付与するアクセス許可レベルを選択します。
  4. [共有] をクリックします。