pikesaku’s blog

個人的な勉強メモです。記載内容について一切の責任は持ちません。

O365 Teamsゲストアクセスと外部アクセス

O365

Teamsメモ

別の組織のユーザーとの電話およびチャット - Microsoft Teams | Microsoft Docs
外部アクセス (フェデレーション) を管理する - Microsoft Teams | Microsoft Docs
Microsoft Teams でのゲスト アクセス - Microsoft Teams | Microsoft Docs
会議の設定を管理する - Microsoft Teams | Microsoft Docs
Teams のアカウントなしで会議に参加する - Office サポート

外部アクセスとゲストアクセス、匿名アクセスがあり

外部アクセス

ユーザーが他の組織のユーザーを検索、通話、およびチャットできるようにする機能
この機能で組織外のユーザーをチームに招待する事は出来ない。

ゲストアクセス

組織外のユーザーをチームに招待する機能
ゲストには、ネイティブ チーム メンバーとほぼ同機能を使用できるように設定可能
招待されたユーザーは、Azure Active Directory でゲスト アカウントを取得する

匿名アクセス

Teamsアカウントない人が会議に入れる機能。

外部アクセスとゲストアクセスの比較

※上記参考URLより引用

f:id:pikesaku:20210305211741p:plain

f:id:pikesaku:20210305211817p:plain

OktaとO365

O365

参考

OktaのUniversal Directoryを使ってみる │ CloudNative Inc. BLOGs
DirSync と Azure AD Sync からのアップグレード | Microsoft Docs

ポイント

Azure AD Connect、DirSync、Azure Active Directory Syncは、いずれもオンプレAD→AzureAD同期機能

Okta Provisioning Optionの考え方

Provisioning options for Office 365 | Okta

f:id:pikesaku:20210228202949p:plain

ディレクトリがどれになるか?でオプションを分類できる。

Licenses and Roles Management OnlyとProfileSyncの場合
→AzureAD

UserSyncとUniversalSyncの場合
→Okta

この仕組みの為、後者は、たくさんの属性をプロビジョニングできるが、O365側でいじれなくなる。
各オプション毎のProvisioning可能な属性は以下参照
Supported user profile attributes for Office 365 provisioning | Okta

ではUserSyncとUniversalSyncの違いは?

何時間かかったことか。。。。。O365プロビジョニング設定で、なぜかUniversalSyncのオプションが選択できず、はまりまくった。。。
Oktaのローカルディレクトリしか構成してないのが原因か?と思い、CSVディレクトリを作ったが、変わらず。。。

Office 365 Deployment guide_v7.pdf
https://support.okta.com/help/servlet/fileField?id=0BE0Z000000Lbih
でやっとわかった。

グループ同期は、UniversalSyncしかできない。
ユニバーサルディレクトリという機能がポイント。
ユニバーサルディレクトリは、複数のディレクトリ(Okta内部アカウント、CSVLDAP、Active Direcotory)を統合する機能。
UserSync・UniversalSyncともにOktaがO365に対しActive Direcotryとしてふるまう。
UserSyncはプロビジョニングできる属性が少ない。UniversalSyncは多い。
UserSyncはOktaのバックエンドディレクトリとしてActiveDirecoryを構成しなくても使える。
UniversalSyncはOktaのバックエンドディレクトリとしてActiveDirecoryが必須。
UniversalSyncはオンプレAD(Azure AD Connect)→O365の代用になるもの。AD(Okta Agent)→Okta→O365で実現する。
UserSyncが便利な点は、Oktaローカルディレクトリのデータを、O365に対し、ADのように見せれる。結果、ProxyAddressとかのデプロイもできる。
Profile SyncとUser Syncでプロビジョニングした時の、AzureADでの見え方の違い。

f:id:pikesaku:20210301012409p:plain

ガイド抜粋

f:id:pikesaku:20210301001815p:plain
f:id:pikesaku:20210301001831p:plain

O365 セキュリティ&コンプライアンスセンター

O365

参考

www.amazon.co.jp

データ損失防止(DLP)

・個人情報(≒PII)の漏洩を防ぐ機能
SharePoint・OneDrive・Exchangeを監視し、個人情報を検知した場合、アクションを起こす。
 例)
 クレジットカード番号を含むメールがあった場合、ブロック/通知する
・ポリシー作成で詳細動作定義可能。

保持(Retension)

・データの保持ポリシーを決める。
 例) 5年間は保持する。それ以上古いデータは削除する。

脅威からの保護

メルウェア検出状況・迷惑メール割合がわかる。

コンテンツ探索

以下が可能。
・メール、ドキュメント、チャットメッセージを検索
・マッチしたコンテンツのダウンロード
・マッチしたメールの削除
PowerShellで複雑な条件指定も可能

監査ログ

ユーザー、管理者のアクティビティを記録

O365 送信コネクタ、受信コネクタ、ExpressRuteについて

O365

送信コネクタ

Postfixのrelayhost、transport_maps的なもの。
・以下2パターン設定可能

送信元 送信先 想定されるユースケース
O365 組織のメールサーバ ハイブリッド構成。テナントに存在しないアドレスはオンプレ転送
O365 パートナー組織 SMTPS送信を強制したい場合

受信コネクタ

Postfixのpermit_mynetworks的なもの。(指定条件でリレー許可。送信元ドメイン、証明書で条件指定可能)
・以下2パターン設定可能

送信元 送信先 想定されるユースケース
組織のメールサーバ O365 信頼できる接続元からのメール配送許可。テナント外ドメインが宛先の場合は、EOPライセンス必要。
パートナー組織 O365 信頼できる接続元からのメール配送許可。テナント外ドメインが宛先の場合は、EOPライセンス必要。

ExpressRoute

ExpressRoute for Office365の期待とギャップ | 日々徒然
組織とAzure間の専用性接続的なもの。
安定した通信トラフィックが必要な場合に利用。



画面

送信コネクタ

f:id:pikesaku:20210215063128p:plain
f:id:pikesaku:20210215063148p:plain
f:id:pikesaku:20210215063210p:plain

受信コネクタ

f:id:pikesaku:20210215063242p:plain
f:id:pikesaku:20210215063452p:plain
f:id:pikesaku:20210215063527p:plain
f:id:pikesaku:20210215063927p:plain

O365 MAPIとは

O365

参考URL

【Office 365】Outlook構成時のメールプロトコルの種類について | BIZLOG.TECH
Office 365 で POP3、IMAP、MAPI、Outlook Web App、または ActiveSync を有効または無効にする | Microsoft Docs
RPC over HTTP は、2017年10月31日に Office 365 でサポートが終了しています。 | Microsoft Docs

メモ

・MAPIはMessaging Application Programming Interfaceの略
・OutllookとExchangeサーバ間で利用される。
・POP/IMAPと異なり、予定表・タスク・連絡先等、Exchangeサーバ上の情報をクライアントに同期できる。
・現在はMAPI over HTTPが主流。かつてはRPC/RPC over HTTP。

O365メールボックスにアクセスするプロトコル一覧

・Post Office Protocol (POP)
・インターネット メッセージ アクセス プロトコル (IMAP)
・Messaging Application Programming Interface (MAPI)
Outlook Web App
Microsoft Exchange ActiveSync

O365 Exchange ユーザーの役割(作成中)

O365

参考

ユーザーが Office 365 で配布グループを作成および管理できないようにする | Microsoft Docs
一般ユーザーの配布グループの利用制限 – クラウドサーフ
配布グループ - Outlook
【Office365参考書】ユーザによる転送設定を禁止するには? - 社畜の所業

メモ

・ユーザーはOutlookから配布リスト作成、削除が可能。
・役割の変更で制御可能
・Exchange管理センタ→アクセス許可→ユーザーの枠割/Outlook Web Appポリシー
・各制御パラメタを調査する。(★ToDo★)
・RBAC=Role Base Access Control
・組織全体に適用する場合は、デフォルトポリシーをいじる。
・新規にポリシー作成し、ユーザ個別に適用も可能。

画面キャプチャ

全体の役割設定

f:id:pikesaku:20210215035719p:plain
f:id:pikesaku:20210215041256p:plain
f:id:pikesaku:20210215041329p:plain

ユーザー個別の役割設定

f:id:pikesaku:20210215041106p:plain