pikesaku’s blog

個人的な勉強メモです。記載内容について一切の責任は持ちません。

O365 Office OnlineとProPlus

O365

参考

www.amazon.co.jp

OfficeはOffice OnlineとProPlusの2種類あり

Office Online

・Web版
・PCへのアプリインストール不要
・Word、ExcelPowerPointOneNote利用可能
・Pro Plusとの機能差等の詳細は以下参照。
 Office for the web サービスの説明 - Service Descriptions | Microsoft Docs
 Office 365とOffice Onlineの違いを3つのポイントで解説

ProPlus

Microsoft 365 Apps for enterpriseが新しい名前
 Microsoft 365 Apps for enterprise(Office 365 ProPlus)とは?|Office Hack
・デスクトップ版
・O365で利用できるOfficeのバージョン
・以下が利用可能
 Word、ExcelPowerPointOutlookOneNoteSharePoint、OneDrive、Teams
・システム要件
 Microsoft 365 と Office | リソースと製品情報
 Office Standard、Office Professional Plus 2019、Office 2019 for Mac Standard
 CPU: 1.6 GHz 以上、2 コア
 MEM: 4 GB RAM、32 ビット の場合は 2 GB RAM
 HDD: 4GB
 OS: Windows 10 SAC、Windows Server 2019、または Windows 10 LTSC 2019
 ブラウザ: Microsoft EdgeInternet ExplorerChromeFirefox 最新バージョン
 .NET のバージョン: 一部の機能では、.NET 3.5 または 4.6 以降のインストールも必要です。
・インストールファイルサイズ
 1.6GB以上 + 言語毎に250MB
・サブスクアクティブ化にインターネット接続必要。
・未接続でも利用できる。ただ30日過ぎると機能制限モードになる。
・機能制限モードになると、表示と印刷しか出来なくなる。
・展開方法
 ユーザー自身でインストール
  www.office.comからログインし、画面右上の"Officeのインストール"をクリック
  f:id:pikesaku:20210131161930p:plain
 管理者による大量インストール
  クラウドから
   クラウドから Microsoft 365 Apps を展開する - Deploy Office | Microsoft Docs
  ローカルから
   ローカル ソースから Microsoft 365 Apps を展開する - Deploy Office | Microsoft Docs
・インストールはMSIでなく、クイック実行インストール(C2R)を使う。メリットは以下。
 最新をインストール可能
 更新プログラムを継続的にバックグランドで取得し、アプリ起動時に最新になる。
・更新プログラムチャネル
 更新頻度の設定。
 Microsoft 365 Apps の更新チャネルの概要 - Deploy Office | Microsoft Docs
 3つのチャネルあり。
 f:id:pikesaku:20210131162920p:plain
 チャネルの設定は管理センターから可能。
 O365 管理センターの使い方(組織設定→サービス) - pikesaku’s blog
 ※上記ページのOfficeインストールオプション
 

・永続型ライセンス版でもO365に接続可能だが、基本的にメインサポート期間のみ。
 Office2019(2023/10/10迄)
 Office2016(2020/10/13迄→3年延期)
 Microsoft、Office 2016からOffice 365サービスへの接続期限を延長 - CIOニュース:CIO Magazine
 Office2013(未サポート)
未サポートの古いOfficeをO365環境で利用する時の影響
 もうすぐOffice2010・2013・2016からOffice365へ接続できなくなる | アーザスBlogアーザスBlog
 Word、Excel等O365サービスに接続しないのは影響なし。
 OutlookSharePoint、OneDrive等は利用できなくなるのだろう。

O365 Officeクライアント認証

O365

参考

www.amazon.co.jp

Officeクライアント認証はクラシック認証(従来型)とモダン認証の2つ方式あり。

※Officeクライアントは、ProPlusに含まれるutlook等のOffieソフトウェアのこと。
・クラシック認証は仕組み上、多要素認証できない。
・モダン認証=先進認証

先進認証で以下が可能。

・多要素認証
SAMLベースのサードパーティIDプロバイダ連携
スマートカード認証
・証明書ベースの認証(CBA)

先進認証へのOffice対応状況

以下は対応済み
Windows版Office2013(既定で無効、レジストリ変更必要)
 Windows デバイスの Office 2013 の先進認証を有効にする - Microsoft 365 admin | Microsoft Docs
・Office2016以降
・詳細は以下URL
 Office 2013 クライアント アプリと Office 2016 クライアント アプリでの先進認証のしくみ - Microsoft 365 Enterprise | Microsoft Docs

O365 多要素認証

O365

参考

www.amazon.co.jp

認証方式により異なる。

クラウド認証 or フェデレーション認証

クラウド認証利用時

・Azure MFA利用可能。以下3つのバージョンあり。

O365付属のMFA 無償 O365アプリ専用。管理センターで設定可能
AzureAD管理者用のMFA 無償 グローバル管理者ロール割当ユーザーは無償で利用可能
Azure MFA 有償 多機能。AzureADで管理

O365付属MFAは以下の多要素認証が可能。

・ランダム生成パスコード
・電話
スマートカード
・生体認証デバイス

フェデレーション認証利用時

AD FS連携時は以下の多要素認証が可能。

・証明書
・Azure MFA
・電話/テキストメッセージ
・モバイルアプリ

O365 ユーザー管理(2)

O365

参考

www.amazon.co.jp

ログイン名

・AzureAD認証時のログイン名はユーザープリンシパルネーム(UPN)。
・UPNはユーザーアカウントのインターネット標準(RFC 822 )
・メールアドレスと同じ(?)形式
・基本的にプライマリメールアドレス=UPNとなる。
 UPNのみ変更は可能。例) ログインはx@hoge.comでメールアドレスはy@hoge.comを使いたい。
 しかし不具合多い。
 【備忘録】Office365でメールアドレスを変えたい - Qiita

ログイン名とパスワードポリシーm

利用できる文字、文字数等
azure-docs.ja-jp/concept-sspr-policy.md at master · MicrosoftDocs/azure-docs.ja-jp · GitHub

パスワードポリシーデフォルトメモ

・有効期限は90日
・期限切れ通知14日
・パスワード変更履歴は1つ前まで管理。1つ前と同じパスワードには変更できない。
・10回失敗すると1分間ロックアウト。更に失敗を繰り返すとロックアウト期間は伸びる。
ロックアウトは管理者が解除可能。

一括ユーザー登録方法

CSVを使い管理センター、PowerShellで登録可能。
・管理センター使う場合は、CSVにパスワードは指定しない。インポート操作後の結果レポートで、自動生成されたパスワードを確認できる。
PowerShell使う場合は、CSVでパスワード指定可能。ただ、コマンドレットでPasswordProfileオブジェクトを生成し、CSV内にパスワードはブランクにして登録する事も可能。

ユーザーアカウントとライセンスの削除

・どちらも削除しても、そのユーザーのデータは30日間保持され、復元可能。
・30日過ぎると削除され復元不能になる。但しSharePointとOneDriveのデータは例外あり。

データ ユーザー削除 ライセンス削除
OneDriveデータ 削除される 削除されない
SharePointデータ 削除されない 削除されない

復職の考慮

・アカウントブロックもあり。
 ブロックするとサインイン不可になる。ライセンス課金は残るが、メール受信は可能。

完全削除前の考慮事項

・ユーザーのメールボックスを共有メールボックスに変換する。
・ユーザーメールアドレスを別ユーザーに転送
・OneDriveデータを別の場所(SharePoint/別ユーザーOneDrive等)に移動する。
・詳細は以下URL参照
 元従業員を削除する - Microsoft 365 admin | Microsoft Docs

ブロック時の動作

・ブロックすると即座に新規ログイン不可になる。
・ブロック前にログインしてた場合、60分以内に全サービスからサインアウトされる。

パスワードリセット方法

・ユーザー自身によるパスワードリセット可能。既定ではオフ。
・設定はAzureADで可能。
f:id:pikesaku:20210131134048p:plain
・オフでも操作は可能でエラーになる。
ログイン画面の"パスワードを忘れた場合"より
f:id:pikesaku:20210131134258p:plain
f:id:pikesaku:20210131134353p:plain

・Teams等で登録されたゲストユーザーは、管理センターの"アクティブなユーザー"で"#EXIT#"付で表示される。
・管理センターではゲストユーザー登録・削除できない。AzureADで操作が必要。

O365 ユーザー管理(1)

O365

参考

www.amazon.co.jp

Azure AD

・ユーザID管理・認証クラウドサービス
・オンプレADとは別物。認証プロトコルも異なる。
・テナント取得時にAzureADにテナントとディレクトインスタンスが作成される。
・O365で利用するユーザー、グループはAzureADで管理される。
・AzureAD上で操作可能だが、基本的にO365管理センター操作でOK
・O365に付随するAzureADエディションはFreeエディションだが、O365固有の機能がついてる

Microsoftアカウントと「組織または学校アカウント」の違い

・前者はOutlook.com、OneDrive(消費者向け)のアカウント
・後者はAzureAD管理アカウント

ID管理の選択肢

2種類あり

クラウド認証

AzureADがユーザー認証をする。3つの方針あり。

1) クラウドのみ

・AzureADのみでユーザー認証する

2) パスワードハッシュの同期

・オンプレのアカウント情報(パスワード以外も)をAzureADに同期する。
・Azure Active Directory Connectを利用する。
基本的に同期方向はオンプレAD→AzureADのみ(AzureAD上位ライセンス一部例外あり)
・ユーザー管理はオンプレADで行う。
・構成時にフル同期、以降は既定で30分間隔で同期。(パスワードのみ2分固定)
・パスワード情報はハッシュで送信される
・パスワードの複雑性ポリシーはオンプレADが優先される。
・パスワードの有効期限は、同期対象アカウントの有効期限はAzureAD上で"期限なし"に設定される為、オンプレで期限切れでも、AzureADでは利用可能になる。
・同期されるが、AzureADへサインインする場合は、ID/PWを要求される。これを回避する2つの方法あり。
 |*方法|*説明|
 |シームレスシングルサインオン|IDのみでOK。|
 |サイレントサインオンエクスペリエンス|ID/PW両方不要。OWA等、一部のブラウザ利用アプリが対象。|

3) パススルー認証

・ハッシュを送信せずに認証を実現する。
・パススルーエージェントを利用。実現フローは以下の通り。
 (1) パススルーエージェントを、ADもしくは別サーバにインストールし、鍵ペア生成
 (2) AzureADに公開鍵を設定
 (3) AzureADは認証要求あった時、ユーザー名+公開鍵でパスワードを暗号化しキューに格納
 (4) パススルーエージェントがキューから取り出し、秘密鍵で復号化し認証する。結果をAzureADに返す。
 (5) AzureADが認証結果をアプリに応答
 ★パススルーエージェントの通信は、AzureADに対しクライアントとなる為、グローバル公開不要★
・パスワードハッシュとの並行利用可能。しかし、切替操作が必要。
・パスワードハッシュと同様、シームレスシングルサインオンの利用可能。

②フェデレーション認証

・SSOを実現する。
・用途は、AzureAD未対応のオンプレアプリをフェデレーションさせたい場合等
・方法は2つあり。オンプレAD使う場合と、サードパーティID管理、認証プロバイダを使う場合。
・書籍にはオンプレAD利用ケースの実現方式等記載あり。詳細は書籍参照。

O365 管理センターの使い方(組織設定→サービス)

O365

参考

www.amazon.co.jp

メモ

・組織内全ユーザーに適用されるグローバル設定を定義(超重要)
・詳細設定や関連情報へのリンクのみサービスもあり

Microsoft Forms

f:id:pikesaku:20210131083954p:plain

Microsoft Teams

チームスへのゲストアクセス設定あり

f:id:pikesaku:20210131084114p:plain

O365グループ

チーム所有者によるゲスト追加、ゲストによるコンテンツアクセス許可の設定あり
ゲスト追加を不可に設定しても、既に追加されてるゲストは、"ゲストグループメンバーにグループコンテンツへのアクセスを許可する"がオンである限り、継続して利用可能。

f:id:pikesaku:20210131084345p:plain

Officeインストールオプション

Office機能更新プログラムのリリース時期の設定あり

f:id:pikesaku:20210131085508p:plain

インストール許可アプリの設定あり

f:id:pikesaku:20210131085551p:plain

Microsoftによるユーザーへの情報提供

f:id:pikesaku:20210131085950p:plain

Modern authentication

Outlook2013以降へのOutlookへの先進認証の利用可否を設定
先進認証とは、MFAやサードパーティ利用によるSAML連携等。
利用不可にすると、Outlookは基本認証でのみ接続する。

f:id:pikesaku:20210131090405p:plain

Outlook in Exchange Online での最新認証の有効化または無効化 | Microsoft Docs
f:id:pikesaku:20210131090833p:plain

基本認証プロトコルの適用範囲(POP/IMAP等)を設定

f:id:pikesaku:20210131090907p:plain

Office on the web

f:id:pikesaku:20210131091509p:plain

SharePoint

f:id:pikesaku:20210131091802p:plain

ユーザーが所有するアプリとサービス

Officeストア表示をオフにしても、アプリ起動ツール上で表示されないだけ。アクセスは可能。
試用版はライセンス、請求に影響なし。

f:id:pikesaku:20210131092040p:plain

Calender

組織外のユーザーとのカレンダの共有可否を設定。

f:id:pikesaku:20210131095854p:plain

許可すると以下操作で共有が可能

f:id:pikesaku:20210131100919p:plain

拒否にすると以下動作となる

f:id:pikesaku:20210131101003p:plain

O365 便利ネタ

O365

参考

www.amazon.co.jp

メモ

管理者向けモバイルアプリあり

Microsoft 365 Admin アプリをダウンロード
各サービスの設定はできなさそう。
ただ、サービス正常性・メッセージセンターが見れるのは便利そう。

PowerBIによるO365活用状況分析

Microsoft 365 利用状況分析 - Microsoft 365 admin | Microsoft Docs
無料で利用できる。