【Microsoft365参考書】"アカウントの保護にご協力ください"と表示されサインインができない

Office 365 アカウントでサインインする際に、[アカウントの保護にご協力ください] という画面が表示されて、Office 365 へサインインできない場合の対処方法についてご紹介していきたいと思います。

2020 年 11 月 12 日以降に作成された新しいテナントでは、Azure AD の [セキュリティの既定値群] の機能が既定で有効となっているため、対象テナントにアクセスするすべてのユーザーについて、Microsoft Authenticator などの認証用モバイル アプリケーションの登録が必須となっております。 

なお、新規テナント取得時に既定で [セキュリティの既定値群] の機能が有効化されている場合であっても、機能のプロビジョニングによるタイムラグにより、実際の動作反映までに数日かかったとの事例はあります。 

docs.microsoft.com

テナント内のすべてのユーザーは、Azure AD Multi-Factor Authentication のフォームを使用して、多要素認証 (MFA) に登録する必要があります。 ユーザーは、14 日以内に Microsoft Authenticator アプリを使用して、Azure AD Multi-Factor Authentication に登録する必要があります。 14 日が経過すると、ユーザーは登録が完了するまでサインインできなくなります。 14 日の期間は、セキュリティの既定値群が有効になった後、それぞれのユーザーの対話型サインインが最初に成功した時点から始まります。 

[アカウントの保護にご協力ください] という画面以降のウィザードに沿って、Microsoft Authenticator の構成や予備の電話番号などを登録することで、Office 365 へのサインインは完了できます。 

または、[今はしない (期限まで ** 日です)] という項目を選択することで、多要素認証の設定を一時回避してサインインを完了させることが可能です。 

多要素認証を利用した運用を希望されない場合には、[今はしない (期限まで ** 日です)] の項目が選択可能な 14 日間以内に、[セキュリティの既定値群] の機能を無効化する必要があります。 

[セキュリティの既定値群] 機能の設定状況確認、無効化手順の詳細については、以下の内容をご参考としていただけますと幸いです。 

 [セキュリティの既定値群] 機能の設定状況確認、無効化手順例 

1. 対象テナントの全体管理者アカウントにて以下のURL にアクセスします。 

※ [今はしない (期限まで ** 日です)] の項目を選択することで、Microsoft Authenticator の登録を一時的に回避し、サインインを完了することが可能です。 

<Azure Active Directory 管理センター> 

URL : https://aad.portal.azure.com/ 

2. [Azure Active Directory管理センター]が開かれたら、左ペインより [Azure Active Directory] - [プロパティ] の順にクリックします。 
3. 右ペインに[プロパティ] の画面が表示されたら、画面下部の [セキュリティの既定値群の管理] というリンクをクリックします。 
4. 画面右側より[セキュリティの既定値群の有効化] 項目が表示されますので、[はい] に設定されている場合には、[いいえ] に切り替えて画面下部の [保存] ボタンをクリックすることにより、本機能を無効化することが可能です。 

※ 無効化の際には簡単なアンケート画面が表示されますので、無効化する理由にチェックをつけていただくと、 [保存] ボタンがクリック可能となります。 

docs.microsoft.com

【Microsoft365参考書】ディレクトリ同期している環境で、Microsoft365のアカウントがサインイン禁止を解除できない。

オンプレミス AD 上にてアカウントを無効にした場合、Microsoft 365 上ではアカウントを利用できない [サインイン禁止] のステータスに変更されます。 

既定の設定では、定期同期は 30 分毎に行われるため、Microsoft 365 上で該当ユーザーの [サインイン禁止] の解除を行っても、次回のディレクトリ同期で AD 側の情報が Microsoft 365 に上書きされる動作であるため、再度、[サインイン禁止]となります。 

オンプレミス AD の管理者にて、下記の手順でアカウントを有効化することで、サインイン禁止を解除することが可能です。 

ディレクトリ同期ユーザーでブロックされているアカウントを有効にする手順 

1. ADサーバーにて、[Active Directoryユーザーとコンピューター] を起動します。 
2. 該当ユーザーをダブルクリックし[プロパティ] 画面を開きます。 
3. [プロパティ]画面の上部にある[アカウント] タブをクリックします。 
4. [アカウント]画面内の[アカウント オプション(O)] 内の [アカウントは無効] の左側にあるチェックを外す。 
5. [プロパティ]画面の右下にある[適用] ボタンをクリック後 [OK] ボタンをクリックします。 
6. Azure AD Connectサーバーにて、定期同期もしくは手動で強制同期を実行します。

オンプレミス AD 上でアカウントが無効になっていない場合、一度無効にして同期し、改めて有効にして同期することでアクセス可能となるかご確認ください。 

なお、[サインイン禁止] のステータスになったユーザーはライセンスは付与された状態のため、クラウド上から削除されることはありません。 

そのため、[サインイン禁止] が解除されない場合に、メールデータを復元するには、コンテンツの検索にてPSTファイルにエクスポートし、新規メールボックスにインポートすることで可能です。 

コンテンツの検索は以下の記事をご参照ください。

it-bibouroku.hateblo.jp

【Microsoft365参考書】メールを削除したログはメールボックス監査ログで確認できる？削除したメールを件名から検索可能か？

メールボックスからアイテムが消えてしまった場合など、メールを削除したログが無いか確認したい場合、メールボックス監査ログの機能を利用することで可能です。

メールを削除したログがある場合、ClientIPAddressの値で接続元のクライアントIPを確認することができますので、もし自身で利用しているIPアドレスでない場合は、アカウントの乗っ取りにより削除されている可能性も考えられますので、その際はパスワードを変更することをおススメします。

ClientIPAddressは自身で利用しているものであれば、誤操作などにより削除してしまった可能性が考えられます。

では、以下のメールボックス監査ログを取得するコマンドレットをご紹介します。

以下のサイトを参考にExchangeOnlineに接続してから実行してください。

it-bibouroku.hateblo.jp

[構文] 

Search-MailboxAuditLog -StartDate <mm/dd/yyyy> -EndDate <mm/dd/yyyy> -Identity <監査対象のメールボックス> -ShowDetails -ResultSize 250000 -Operations ＜監査項目＞ | Export-Csv -NoTypeInformation -Encoding UTF8 -NoTypeInformation -Path "<ファイル名を含んだ保存先のパス>" 

[実行例] 

Search-MailboxAuditLog -StartDate 03/01/2021 -EndDate 04/01/2021 -Identity user01@contoso.com -ShowDetails -ResultSize 250000 -Operations MoveToDeletedItems,SoftDelete,HardDelete,Move | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\MailboxAuditLog-User01.csv" 

※ 上記の例では、アイテムを削除したログを出力しております。 

<指定した監査項目> 

MoveToDeletedItems : フォルダーからアイテムを削除したログ (削除済みアイテムフォルダーへの移動) 

HardDelete : [削除済みアイテム復元フォルダー] からアイテムが削除されたログ 

SoftDelete : [削除済みフォルダー] からアイテムが削除されたログ 

Move : アイテムを別フォルダーに移動したログ 

なお、件名を指定してメールボックス監査ログを出力することはできませんが、出力された CSV ファイルを開き、上部の [並び替えとフィルター] > [フィルター] をクリックすることで、各列のフィルターが可能となりますので、[SourceItemSubjectsList] 列にて該当の件名を検索することが可能です。

また、メールだけではなく、連絡先を削除した場合も以下のログが記録されることを確認しました。 

Operation : MoveToDeletedItems 

FolderPathName : \連絡先 

SourceItemSubjectsList : 削除した連絡先 

監査ログについて以下の記事でまとめていますので参考としてくださいね。

it-bibouroku.hateblo.jp

【Office365参考書】共有メールボックスがライセンスを付与せずに100GBの容量が利用できる？

共有メールボックスはライセンスが無くてもメールボックスを利用できる機能ですが、現状では容量は50GBとして作成されます。

以前、共有メールボックスの新規作成を行った際に、Exchange Onilne プラン 2 相当の機能が利用できる状態にて共有メールボックスが作成されていた時期がありました。

その当時に作成した共有メールボックスは、現在でも100GBの容量が利用できる状態であるようです。

上記状況の中、MC142451 にて情報が公開され、2018 年 7 月 31 日以降は新しい共有メールボックスまたはリソースメールボックスを作成した場合は、デフォルトで 50 GBになること、および 50 GBを超える共有メールボックスが必要な場合は Exchange Online Plan2 ライセンスをそのメールボックスに割り当てる必要という内容が展開されております。  

MC142451 について、英文となりますが、以下の内容を抜粋して記述いたします。  

We're making some changes to the way shared and resource mailboxes are created in Exchange Online. Starting July 31st, the creation of a new shared or resource mailbox will default to 50GB. If you require a shared mailbox that is larger than 50GB, an Exchange Online Plan 2 license will need to be assigned to that mailbox. Once a license is assigned, the mailbox size should quickly increase to 100GB. 

そのため、共有メールボックスをライセンスを付与していない状態で 100 GB にて利用することは、ライセンス要件を満たしていない状態であり、サポートされていない状態となります。

サポートされた状態で利用したいのであれば、ライセンスを購入せずに100GB利用するのはやめたほうがいいと思います。

公開情報にて、ライセンスが付与されていない共有メールボックスは、サイズ制限を 50 GB に制限されることが明記されており、100 GB に拡張するには、Exchange Online Plan2などのライセンスを割り当てていただくよう記述されてます。  

docs.microsoft.com

ライセンスがない場合は、共有メールボックスは 50 GB に制限されます。 サイズ制限を 100 GB に増やすには、Exchange Online プラン 2 のライセンス、または Exchange Online Archiving アドオンのライセンス付きの Exchange Online プラン 1 のライセンスを共有メールボックスに割り当てる必要があります。

ライセンスを付与しないのであれば、以下の Powershell のコマンドレットにて、現在の上限である 50 GB に変更してください。

CSV ファイルを利用し、一括でサイズを変更する手順  

1. 対象メールボックスをまとめた CSV ファイルを作成する  

設定を行うメールボックスを記載した CSV ファイルを作成します。  

CSV ファイルの記述方法について、以下にサンプルをご案内いたします。  

<CSV ファイルの構文>  

Identity  

"対象共有メールボックスのアドレス"

<CSV ファイルの作成例>  

Identity  

User01@contoso.com  

User02@contoso.com  

(以下 省略)  

※ 1 行目は固定で、設定を行うユーザーやアドレスを 2 行目以降に記載します。  

※  UTF-8 形式での保存をお願いします。    

[補足] UTF-8 での保存の手順  

(1). CSV ファイルを右クリックし、[プログラムから開く] - [メモ帳] の順にクリックします  

(2). 開いたメモ帳で [ファイル] - [名前を付けて保存] の順にクリックします。  

(3). ファイルの種類で「すべてのファイル」を選択します。  

(4). 文字コードで「UTF-8」を選択します。  

(5). [保存] をクリックします。  

 2. 作成した CSV ファイルを用い、特定の複数メールボックスの値を変更する  

[構文]  

Import-Csv "<保存した CSV ファイルパス>" | Foreach {Set-Mailbox -Identity $_.Identity -ProhibitSendReceiveQuota <設定する容量> -ProhibitSendQuota <設定する容量> -IssueWarningQuota <設定する容量>}  

[実行例]  

Import-Csv "C:\Temp\MailboxList.csv" | Foreach {Set-Mailbox -Identity $_.Identity -IssueWarningQuota 49GB -ProhibitSendQuota 49.5GB -ProhibitSendReceiveQuota 50GB}  

【Office365参考書】SharePointサイトのニュースwebパーツのニュースリンクでファイルを投稿するには？

SharePointサイトのホーム画面のニュースwebパーツにて、[+追加]をクリックすると、[ニュースの投稿]と[ニュースリンク]が指定可能です。 

[ニュースの投稿]は、ページサイトを作成するような動作となりますが、[ニュースリンク]は、URLを指定してページサイトや外部サイトを投稿することが可能です。

また、ニュースリンクでドキュメントライブラリに格納しているOfficeファイルやPDFを指定できるかについて確認したところ、ドキュメントライブラリにアイテムを格納しURLを設定すると、「問題が発生しました」とエラーになることを確認しました。 

原因としては、URLの長さの上限が255文字であるため、 ドキュメントライブラリからファイルを開いた際のURLが255文字を超えているため、投稿ができないようでした。

そのため、該当のファイルのリンクのコピー(リンクの共有)でURLを短くすると、ニュースリンクの投稿が可能であることを確認しました。

ファイルに関わらず、ニュースリンクでURLを指定した際に「問題が発生しました」とエラーになった場合は、URLが255文字を超えていないかご確認ください。