Exchange 学習帳

ExchangeやOffice 365の備忘録です。

Exchange Onlineでエラー処理をしたい

こんにちは!
Exchange Onlineである処理を実行したく、スクリプトを書いていたのですが、
エラー処理のTry-Catch構文がうまく動かず…
調べてみると、どうやら-ErrorActionオプションがうまく動かないようです。

 

Exchange Online のリモート PowerShell におけるエラー ハンドリング

紹介されている方法だと制限が多い…

 

ということで、Try-Catch構文を代替する方法を思いつきました。
$?変数という、直前のコマンドの実行状態をbool型で示す変数を使います。
成功していればTrue、失敗(エラー)していればFalse、シンプルです。
以下のように書きます。

 

ForEach($User in $Users){
    Get-Mailbox $User.Mailaddress
    If($? -eq $False){
        Write-Host "$User is not found"
    }
    }

 

エラー処理したいコマンド(例ではGet-Mailbox)の直後にIf文で$?を評価してます。
エラーが発生していれば(Falseならば)別の処理を追加で実行する、Catchの役割を果たしています。

 

応用すれば、いろいろなシーンで代替できそうです。
他にもこんな使い方があるよ!などあれば教えてください。

 

ps1ファイルを常にPowerShell ISEで開く

こんにちは!

 

PowerShellスクリプトを書いている皆さんは、どのツールを使っていますでしょうか。
Windows標準の[メモ帳]や[PowerShell ISE]、フリーのエディターツール、[Microsoft Visual Studio]など、
さまざまな環境で作成/編集できるのがPowerShellスクリプトの利点ですね。

 

私はPowerShell ISEをメインで使っているので、*.ps1の拡張子を持つファイルを開くときは、既定でPowerShell ISEから開くよう設定しました。

 

端末を変えて再設定するときのために方法を以下に記載しておきます。

 

1.[コントロールパネル](表示方法:小さいアイコン)-[既定のプログラム]-[ファイルの種類またはプロトコルのプログラムへの関連付け]をクリック
2.[.ps1]を選択して、[プログラムの変更]をクリック
3.[この.ps1ファイルを今後どうやって開きますか?]画面で[その他のアプリ↓]-[このPCで別のアプリを探す]をクリック
4.既定で使用するツールを選択して[開く]をクリック
  PowerShell ISEのファイルの場所(既定):
  %windir%\system32\WindowsPowerShell\v1.0\PowerShell_ISE.exe

 

#PowerShell ISE以外でも設定の方法は同じです。

 

写真のダウンロード

今回は、Exchangeと同時に使われることも多い、Skype for Businessも話に絡めます。

オンプレミス/Online問わず、ExchangeやSkype for Businessを利用している環境では、
ユーザーが自身の写真を設定して、OutlookやOWAやSkype for Businessで表示することができます。

この写真は、用意した画像ファイルをアップロードするわけですが、
元の画像ファイルを消してしまったときなどに、アップロードした写真をダウンロードする方法を調べたのでまとめておきます。


①OWAからドラッグ&ドロップ
この方法は、オンプレミスのExchangeで実行できます。
1.OWAにサインイン
2.写真の設定画面を開く
3.表示された写真をデスクトップにドラッグ&ドロップする


②URLを使用する
この方法は、オンプレミスのExchangeで実行できます。
以下のURLにブラウザでアクセス
https://の仮想ディレクトリ>/ews/Exchange.asmx/s/GetUserPhoto?email=<メールアドレス>&size=HR648x648

<EWSの仮想ディレクトリ>に入力する文字列は組織によって異なります。
<メールアドレス>を変更すると、組織内のどのユーザーの写真でも表示することができます。


③Skype for Businessクライアントのキャッシュファイル
1.エクスプローラーで、Skype for Businessのキャッシュファイルが保存されているフォルダーを開く
#Skype for Business 2015(Lync 2013)の場合
C:\Users\<ユーザー名>\AppData\Local\Microsoft\Office\15.0\Lync\sip_<SIPアドレス>
2.[Photo]フォルダーを開く
3.対象ユーザーのSIPアドレスがファイル名のCACHEファイルを任意の別のフォルダーにコピーする
4.コピーしたCACHEファイルの拡張子をPNGまたはJPGに変更する


④Skype for Business Web App(Lync Web App)を使用する
1.Skype for Business Web AppでSkype会議に参加する
2.表示される参加者の写真を右クリックして[名前をつけて保存]をクリック

Advanced Threat Protection(ATP)を学ぶ④ ATPはライセンス違反に注意

こんにちは!
「Advanced Threat Protection(ATP)を学ぶ」シリーズ第4回です。

前回までの記事はこちら↓
Advanced Threat Protection(ATP)を学ぶ① 基本的なこと
Advanced Threat Protection(ATP)を学ぶ② ATPを使い始めるとき
Advanced Threat Protection(ATP)を学ぶ③ ATPの設定方針を考える


今回は、ATPのライセンスに関する注意事項です。

[② ATPを使い始めるとき]では、
Office 365テナントでATPのライセンスをひとつでも保有していると、
ATPの設定ができるようになるということを書きました。

ここで注意したいのは、
ATPの設定ができるようになると、保有するライセンスの数に関わらず、全てのメールボックスをATPの対象にすることができます。
言い換えると、ATPの適用先に含まれるメールボックスは、ATPのライセンスの割り当てが無くとも、
ATPが動作して保護の対象となる、ということです。

しかし、ATPの適用先のメールボックス数と同数以上のATPライセンスを購入していないと"ライセンス違反"になります。

また、ATPのライセンスは、ユーザーメールボックスのほかに共有メールボックスにも必要です。
共有メールボックスにExchange Onlineのライセンスは不要のため、ATPのライセンスも不要と思われがちなので注意してください。


以上を踏まえて、ライセンス違反をしないように適用先の指定方法を考える必要があるかと思います。

もっとも確実なのは、
ATPの適用対象とする専用のセキュリティグループを作成する方法です。
この方法であれば、セキュリティグループにメールボックスを追加しない限りATPが適用されることはありません。

基本的に全てのメールボックスをATPの適用対象とするのであれば、
例外としてATP適用対象から除外する専用のセキュリティグループを作成するのも手段のひとつです。
ユーザーのライセンス購入時にATPのライセンスも同時購入する、という運用をすれば、
共有メールボックスの数にのみ注意を払えばライセンス違反のリスクは抑えられるかと思います。

Advanced Threat Protection(ATP)を学ぶ③ ATPの設定方針を考える

こんにちは!
「Advanced Threat Protection(ATP)を学ぶ」シリーズ第3回です。

前回までの記事はこちら↓
Advanced Threat Protection(ATP)を学ぶ① 基本的なこと
Advanced Threat Protection(ATP)を学ぶ② ATPを使い始めるとき


今回は、ATPの設定で気になる箇所をいくつか見ていきたいと思います。

●安全な添付ファイルの不明なマルウェアに対する対処法を選びます
[安全な添付ファイル]機能で、危険なマルウェアを検出したときにどうしますか?という設定です。

  ・[オフ]:スキャンしません
  ・[モニター]:メッセージは配信します。追跡だけ行います。
  ・[ブロック]:メッセージおよび添付ファイルをブロックします。
  ・[置換]:添付ファイルを置き換えて、メッセージは配信します。

以上の4択です。
とはいえ、[オフ]と[モニター]ではユーザーに危険な添付ファイルが届いてしまうので、
[ブロック]か[置換]のどちらかを検討するのがよいでしょう。


●次のメールアドレスに添付ファイルを送信する
[安全な添付ファイル]機能でマルウェアを検出した添付ファイルを、宛先とは別のメールアドレスにリダイレクトすることができます。
そこで気になるのは、いったいどのようなメールアドレスにリダイレクトすればいいの?ということです。

添付ファイルは、zipファイル化などはされず、そのまま送信される、との情報があります。
(危険なファイルを用意できないため検証できていません、すみません)

ということは、通常の業務で利用しているメールアドレスを使うと、誤ってファイルを開いてしまう可能性がありとても危険ですね。

また、配布グループを宛先にすると、危険な添付ファイルが複数になってメンバーのメールボックスにそれぞれ配信されてしまい、危険です。

望ましいのは、専用のユーザーメールボックスまたは共有メールボックスを作成することでしょうか。
共有メールボックスであれば担当者が複数いても確認しやすいですね。

また、Exchange Online組織外のメールアドレスでも設定はできるようです。
マルウェアと認識される添付ファイルを外部まで配送できるのか不安ですが。)


●次のURLを書き換えません
[安全なリンク]機能では、基本的に全てのURLをExchange Online上のサーバーを経由するよう書き換えます。
業務上必要なURLがブロックされてしまった場合や、書き換えられると不都合が生じる場合などは、ここで書き換えないURLを設定できます。

*(ワイルドカード)は使用できませんが、前方一致で判断するので、ルートとなるページのURLを設定すればそれ以下は全て除外されます。

ただ、一般的なURLであればブロックされることは無いようなので、ひとまず設定せずに運用開始で問題なさそうです。


●適用先
[安全な添付ファイル]と[安全なリンク]それぞれで適用先を設定できます。
ここはライセンスとの絡みがあるので、要件に合わせて慎重に設定したい部分です。
詳しくは次回まとめたいと思います。

Advanced Threat Protection(ATP)を学ぶ② ATPを使い始めるとき

こんにちは!
「Advanced Threat Protection(ATP)を学ぶ」シリーズ第2回です。

前回の記事はこちら↓
Advanced Threat Protection(ATP)を学ぶ① 基本的なこと


今回は、ATPを使い始めるときの注意点です。

ATPのライセンスについては前回ご紹介しましたが、
ライセンスを購入してもすぐにATPの機能が有効になるわけではありません。
ATPはExchange管理センターの[高度な脅威]タブからポリシーを作成して初めて有効になります。

ただし、E3などATPのライセンスが含まれないライセンスでOffice 365テナントを作成した場合は、
この[高度な脅威]タブは表示されていません。

Office 365テナントで1つでもATPのライセンスを購入すると、
[高度な脅威]タブが表示され、ATPのポリシーを作成することができるようになります。

ここで注意したいのが、
ATPのライセンスを購入してから[高度な脅威]タブが表示されるまでは、タイムラグがあります。
数分で表示されることもあれば、最大24時間程度かかる場合がある、との情報もあります。

したがって、ATPのライセンスを新しく購入して利用開始する予定であれば、
予め余裕を持ったスケジュールでライセンスを購入することをおすすめします。

ちなみに、E5などATPのライセンスが含まれるライセンスでテナントを作成した際は、
初めから[高度な脅威]タブが表示されるので心配無用です。

次回は、ATPのポリシーの設定値について考えたいと思います。

Advanced Threat Protection(ATP)を学ぶ① 基本的なこと

こんにちは!すっかりご無沙汰になってしまいました。

今日から数回に分けて、Office 365で利用可能なセキュリティ対策、
"Advanced Threat Protection"についてまとめたいと思います。


●"Advanced Threat Protection"とは?
"Advanced Threat Protection"は未知のスパム/マルウェア/ウイルスに対抗できる、
Office 365の新しいセキュリティ対策機能です。
受信したメッセージを検閲して、メールボックスを保護します。
"Advanced Threat Protection"は"ATP"と略されます。


●ATPでできること
①危険な添付ファイルからの保護 [安全なファイル(Safe Attachments)機能]
 添付ファイルを"サンドボックス"と呼ばれるサービス上の仮想OSで展開し、
 悪意のあるファイルを検出します。
 悪意のあるファイルと判断された場合は、添付ファイルを外したり、
 メッセージ自体をブロックしたりすることができます。
 また、管理者に悪意のあるファイルが検出された旨を通知できます。

②危険なサイトURLからの保護 [安全なリンク(Safe Links)機能]
 メッセージ内の全てのURLを、Office 365内のウェブサーバーを経由するように書き換えます。
 元のURLをリアルタイムで検閲し、悪意のあるリンク先であると判断した場合は、
 ユーザーに警告を表示したり、サイトの閲覧をブロックしたりすることができます。
 管理者は誰がどのリンクをクリックしたかを追跡することができます。


●ATPのすごいところ
Office 365には従来から"Exchange Online Protection"(EOP)というスパム/マルウェア対策のクラウドサービスが導入されています。
EOPは既知のウイルスや一般的なスパムのほとんどをブロックすることができますが、
ATPは機械学習を用いて、EOPでも検出することのできない脅威に対抗できます。
(ATPはEOPのチェックをクリアした受信メッセージに対して動作します)


●ATPを使うには
Office 365でExchange Onlineを利用している場合、ATPのライセンスを購入することですぐに利用可能です。
最新のE5ライセンスにはATPのライセンスが含まれています。
E3などATPのライセンスが含まれないサブスクリプションを利用している場合でも、
ATPのライセンスのみを追加購入することができます。
また、オンプレミスのExchange環境を利用している場合でも、
受信メッセージがEOPを経由するようルーティングされていれば、ATPを利用することができます。


今回は以上です。
ATPの全体像をぼんやりと掴んでもらえていればと思います。

次回以降は、もう少し細かくATPについて学びたいと思いますので、ご期待ください!

今回の参考情報です。
Exchange Online Advanced Threat Protection サービスの説明:
https://technet.microsoft.com/ja-jp/library/exchange-online-advanced-threat-protection-service-description.aspx