みなさん、こんにちは。

11月1日に SCCM 2007 の最新バージョンである、SCCM 2007 R3 の日本語版がリリースされました！
SCCM 2007 R3 では PC の電源管理といった新機能の追加や、PC キッティング機能の改善、コレクション機能の操作性向上といった機能改善が加えられています。

 Configuration Manager 2007 R3 の新機能
http://technet.microsoft.com/ja-jp/library/ff977104.aspx

SCCM 2007 R3で追加された各機能の詳細ついては今後も本BLOGにて順次情報提供をしていく予定ですが、
本日は SCCM 2007 R3 関連の情報提供第一弾として、SCCM 2007 R3 のサーバーインストール手順をご紹介します。

こちらの手順書は SCCM 2007 R3 サーバーのインストールに必要となる手順を、画面ショット + SCCM プリセールスエンジニアの解説付きでご紹介しているものとなります。

ご存知の方もいらっしゃるかと思いますが、以前よりこちらのblogサイトにてSCCM 2007 R2 対応のインストール手順を公開させていただいておりました。
多くのお客様、パートナー様に SCCM 手順書をご利用いただいており、その中でも “Windows Server 2008 R2” に対応して欲しいといったリクエストも多数いただいておりました。
今回 R3 で新規にインストール手順書を書き直すにあたって、2008 R2 対応のほかにも、今までに頂戴したさまざまなフィードバックを加えています。

既存のSCCM 2007 R2 サーバーインストール手順書からの、主な変更点は以下になります
- SCCM 2007 SP2 のインストールに対応
- SCCM 2007 R3 サーバーのインストール手順を追加
- ベースOSとして、Windows Server 2008 R2 に対応
- データベースは SQL Server 2008 に対応

ぜひこちらの手順書をご活用いただき、SCCM 2007 R3の評価を実施いただければと思います。

ではまた！

「Adobe Flash Player のアップデートを簡単に行う良い方法は無いの？
 WSUS や Windows Update と同じように管理者側で最新の更新プログラム
 を選択したら、自動的にクライアントの Adobe Flash Player をアップデート
 できる仕組みがあるとうれしいんだけど」

上記の内容は、お客様からよく頂く質問のひとつです。以前は、この質問に対して以下のようにお答えしていました。

「SCCM で取得したインベントリ情報をもとに、古い Adobe Flash Player を
 利用している PC を判別 して頂き、判別した PC に対してソフトウェア配布
 機能を利用して最新の実行モジュール (*.exe or *.msi) を配布することが
 できます。」

しかし、今は以下のようにお答えすることができます。

「SCCM を利用することで、WSUS や Windows Update と同じように
 管理者側で最新の更新プログラムを選択して頂くだけで、
 Adobe Flash Player のアップデートを簡単に行うことができます。」

何故 SCCM で Adobe Flash Player のアップデートが簡単に行えるのか？・・ですが、
この背景には Adobe 社より SCCM 専用のカタログ ファイルが提供されるようになったことが挙げられます。

上記の図は Adobe Flash Player を社内展開するために、事前に申請手続きを行った管理者の方のみが
アクセスできるサイトになりますが、ご覧の通り、SCCM で利用可能な Adobe Flash Player のカタログファイルが提供されています。

■ Adobe Flash Player のカタログファイル入手申請はこちらから
http://www.adobe.com/jp/products/players/fpsh_distribution1.html

こちらを SCCM に取り込むことによって WSUS　や Windows Update と同じように簡単に更新プログラムの適用が可能となります。

カタログ ファイルを SCCM に取り込む際には SCUP (System Center Update Publisher)　を利用します。

■ SCUP のダウンロードはこちらから
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=0446cce9-94a4-4fb0-b335-e7516044063d&displaylang=en

SCUP を介して カタログ ファイルを取り込むことで、以下のように SCCM の管理コンソールから適用状況を詳細に把握することやクライアント PC に対する簡単な展開を実現することが出来るようになります。

　　　　　　　　　　　　　　　　
                             管理コンソールによる Adobe Flash Player の適用状態の把握



　 　　クライアント PC への Windows 7 更新プログラムと Adobe Flash Player のアップデート
（ユーザープル型の展開と管理者があらかじめ定めた時間でのサイレントインストールの両方に対応）

Windows の更新プログラムや Adobe Flash Player のアップデー���はセキュリティを維持するために必須の作業ですが、同時に管理者にとって非常に負担のかかる作業です。
SCCM をご活用いただくことで、 Windows の更新プログラムと Adobe Flash Player を同じ仕組みでまとめて簡単に更新することが出来るようになります。
すでに SCCM を導入されているお客様、まだ導入されていないお客様も是非一度 SCCM による Adobe Flash Player のアップデートをご検証下さい！

尚、WSUS と SCCM 2007 の違いについては、以下のリンクからご確認頂けます。

■ WSUS  と SCCM 2007 の機能比較
http://technet.microsoft.com/ja-jp/windowsserver/cc980793.aspx

それでは、また！ 

 ※12/15追記
SCCM による Adobe Falsh Player のアップデートに関する Link を以下にご案内いたします。
英語ではありますが、是非ご参考下さい！

■  How to setup SCUP and ConfigMgr 2007 to deploy custom updates
http://blogs.technet.com/b/jasonlewis/archive/2007/11/30/how-to-setup-scup-and-configmgr-2007-to-deploy-custom-updates.aspx

 ■ SCUP - Publishing an Update (Webcast)
http://blogs.technet.com/b/jasonlewis/archive/2009/05/22/screencast-system-center-updates-publisher-publishing-an-update.aspx

■ SCUP - Deploying an Update
http://blogs.technet.com/b/jasonlewis/archive/2010/02/23/screencast-system-center-updates-publisher-deploying-an-update.aspx

管理者用の回復パスワードを付与する 

システム管理者は暗号化されたドライブにアクセスするための手段を準備しておくことは非常に重要です。

例えば、
・ユーザーの利用している PC の故障してしまう
・各ユーザーが自分で設定したTPMのPIN番号やパスワードを忘れてしまう
・ユーザーがスマート カードまたは USB スタートアップ キーを紛失してしまう
など、BitLocker で保護されたデータにアクセスできなくなる事は避けなければなりません。
BitLocker ではドライブへのアクセスを回復する方法として以下の 3 つがあります。

これらの中でも BitLocker における障害対応時の最も簡単な方法は 48 桁の回復パスワードを利用する方法です。

回復パスワードはドライブを暗号化する際に任意の 48 桁の数字が割り当てられますが、システム管理部門だけが管理する回復パスワードを 2 つ目、3つ目…の回復パスワードとして追加する事が可能です。この管理者用の回復パスワードを利用することで、その都度、暗号化されたドライブ用の回復パスワードを調べる必要がなくなり、迅速な対応が可能となります。

例えば以下はリモートにある端末の C: ドライブに 2 つ目の回復パスワードとしてすべて数字の 0 を割り当てるコマンド (要管理者権限) になります。

＞ manage-bde.exe –cn “管理対象コンピューター” –protectors –add C: -rp 000000-000000-000000-000000-000000-000000-000000-000000

作成した回復パスワードが正常に反映されているか確認します。こちらのコマンドも管理者権限が必要です。

＞ manage-bde.exe –cn “管理対象コンピューター” –protectors –get C:

2 つ目の数字パスワードとして登録されていることが確認できます。
このようにユーザーに知られることなく管理者用の回復パスワードを追加していくことが出来ます。

回復パスワードを再作成する

次にユーザーに回復パスワードを通知した後に、システム管理者はユーザーが回復パスワードを紛失することを考慮し、回復パスワードを付け替える (＝回復パスワードを再作成する) 方法について記載したいと思います。以下のように 3 つの方法があります。

１） manage-bde.exe を利用して現在の回復パスワードを削除し、新規の回復パスワードを作成する。
２） ResetPassword.vbs を実行して新規の回復パスワードにリセットする。
３） PowerShell を利用する。

■まずは manage-bde.exe を利用する方法ですが、前章の説明で manage-bde.exe –protectors –add と説明したように、manage-bde.exe コマンドを実行すれば新規に任意の数字の回復パスワードを作成し、以前の回復パスワードは manage-bde.exe –protectors –delete で削除することが可能です。

■続いては ResetPassword.vbs を利用する方法です。サンプル スクリプトは以下のTechNetにて公開されています。
http://technet.microsoft.com/ja-jp/library/cc771778(WS.10).aspx#BKMK_AppendixB

回復パスワードを再発行したい端末にてこのVBスクリプトを実行すると以下の図のように自動的に回復パスワードの入れ替え処理を実施します。

タスクスケジューラーにこの ResetPassword.vbs をセットしておくことで定期的な回復パスワードの変更も可能となります。また、グループポリシーによって AD DS に回復パスワードを自動的に保存する設定を行っている場合には、このスクリプトが実行される際に新規の回復パスワードが AD DS 側に追加されます。

[ご参考情報] 回復パスワードを AD DS にバックアップするためのコマンド
> manage-bde.exe -protectors -adbackup C: -id { recoveryGUID }

※ 上記コマンドは、PC キッティング時に Workgroup 環境で BitLocker を有効化 (ユーザーに端末を渡す前に暗号化処理を終えておく) させておき、PC  配布後にドメインに参加させる場合に効果的です。ドメイン参加後に回復パスワードの AD バックアップコマンドを実行することによって AD DS に安全に保存することが可能となります。

■最後に PowerShell を利用した管理方法です。

Windows 7 には BitLocker 用の WMI Provider のクラス (Win32_EncryptableVolume) が用意されており、このクラスを使った PowerShell によるローカルもしくはリモート制御が可能です。
クラスに関する情報はこちら Win32_EncryptableVolume Class
http://msdn.microsoft.com/en-us/library/aa376483(v=VS.85).aspx

メソッドの利用例
回復パスワードの新規作成　/　ProtectKeyWithNumericalPassword() メソッドを実行
古い回復パスワードの削除　/　DeleteKeyProtector("{ recoveryGUID }") や DeleteKeyProtectors() メソッドを実行
回復パスワードの確認　/　GetKeyProtectorNumericalPassword() メソッドを実行

以上、今回紹介させて頂いた手法によって BitLocker 回復パスワードを簡単に管理ができます。
システム管理者はユーザー側への作業や負担をかけることなく端末の集中管理を行うことができます。

みなさん、こんにちは。
先日は、MED-V 2.0 Public Beta が10月12日に公開されたことを当ブログでお知らせいたしました。
今回も引き続き MED-V 2.0 についての最新情報をお届けし、ユーザーにとってより使いやすくなった
MED-V 2.0の機能についてもご紹介していきたいと思います。

■ MED-V 2.0 最新情報

1 . Beta ドキュメント (日本語翻訳版) リリース！

11 月 4 日に MED-V 2.0 Beta ドキュメント 日本語翻訳版 がリリースされました。
ドキュメントには以下のコンテンツが含まれています。

・MEDV_Deployment_Guidance_beta.pdf  (MED-V 展開ガイド)
・MED-V Evaluation.pdf  (MED-V 評価ガイド)
・MED-V Administration Toolkit.pdf (MED-V Administration Toolkit 利用ガイド)

MED-V 2.0 Beta の基本的な評価ポイントは概ね以下に記載した3つの作業となります。

1. 展開用 workspace (ゲスト OS) のセットアップと汎用化 （sysprep による初期化）
2. MED-V Workspace Packager による展開用 workspace パッケージ （インストーラー） の作成
3. MED-V Client (ホストOS) への workspace パッケージのインストールと workspace の初期設定 

 展開ガイドと評価ガイド、そして製品ヘルプをご活用頂き、
上記の評価を行う際の参考として是非ご利用下さい！  

2 . MED-V 2.0 Public Beta Refresh リリース！

MED-V 2.0 Public Beta 公開からまだ数日しか経っていませんが、
先日 11 月 5  日に早くもアップデート版である MED-V 2.0 Public Beta Refresh  が公開されました！

MED-V 2.0 Public Beta Refresh の主な改善点は以下の 2 つの内容となっています。

・Workspace Packager のアップデート （MED-V ゲスト OS への任意のコンピューター名の適用が可能）
・MED-V ゲスト OS の初期設定プロセスの変更
 （初期設定時に MED-V ゲスト エージェントが ゲスト OS 上にインストールされる ）

これから検証を始められるお客様、或るいは、既に MED-V 2.0 Public Beta をご利用のお客様も、
是非こちらの MED-V 2.0 Public Beta Refresh をご評価下さい！

尚、上記でご紹介したドキュメントは MED-V 2.0 Public Beta Refresh の評価を行う際にも、ご利用頂ける内容となっています。

今回ご紹介した、ドキュメント、Public Beta Refresh はいずれも Microsoft Connect で公開されています。
ダウンロード メニューから最新版をご入手下さい！

・Microsoft Connect サイト
  https://connect.microsoft.com/medv/InvitationUse.aspx?ProgramID=6452&InvitationID=MEDV-6CJC-Y6X2
  ※ご利用には Connect サイトへの登録が必要です。

■ ユーザーにとってより使いやすくなったMED-V 2.0 Beta

仮想 OS のアプリケーションで作成されたデータの拡張子も自動登録可能！

前回はホスト OS  とゲスト OS 間でお互いのデスクトップ環境をシームレスに共有できるようになったことをご紹介致しました。
今回は、こちらの機能についてもう少し掘り下げたいと思います。
まずは、前回のおさらいも含め、ホスト OS とゲスト OS  のデスクトップ環境の共有から見ていきましょう。

(1) ホスト OS 上のスタートメニューから ゲスト OS 上のアプリケーション (Excel 97) を起動します。

一見、ホスト OS 上にインストールされているアプリケーションを起動しているように見えますが、
実は、ゲスト OS 上にインストールされているアプリケーションを起動しています。
MED-V 2.0 ではユーザーに対して今まで以上に仮想環境を意識させない作りになっています。

(2) ゲスト OS 上のアプリケーションでデータを作成します。

まるでホスト OS 上にインストールされているアプリケーションと同じような操作環境を提供します。 
お気づきかもしれませんが、仮想 OS 上のアプリケーションを操作している際は、
IME も自動的に仮想 OS 上のものに切り替わっていることが見て頂けますね。
（心なしか、懐かしの「カイル君」もいつもよりうれしそうにも見えます。）

(3) ゲスト OS 上のアプリケーション作成したデータを保存します。

データの保存先には、もちろんホスト OS 上の各ドライブを選択することができますが、
特に、仮想 OS 上のデスクトップとマイドキュメントを保存先に指定した場合は特別な扱いとなっており、
自動的にホスト OS のデスクトップとマイドキュメントにリダイレクトされるようになっています。

自動的にホスト OS のデスクトップ上に仮想 OS で作成したデータがリダイレクトされ、保存されることをご確認頂けます。

(4) ゲスト OS 上のアプリケーション作成したデータのプロパティから拡張子の割り当てを確認します。

ご覧の通り、ホスト OS 上に保存されているデータの拡張子の関連付けが、仮想 OS 上のアプリケーションとなるように自動で割り当てられます！

今回は前回に引き続き、MED-V 2.0 の最新情報とより使いやすくなったMED-V 2.0 の機能について触れました。
デスクトップ仮想化 (MED-V) は Windows 7 の早期導入を実現するための一つのアプローチです。
是非、MED-V 2.0 Beta Refresh をご評価頂き、Windows 7 の早期導入を実現するためにご活用ください！

みなさん、こんにちは。
今回はクライアント関連の情報をお伝えしたいと思います。

先月10月12日に MED-V 2.0 Public Beta がリリースされましたが、みなさまご存知でしょうか？
特に MED-V は、XP から Win7 への移行時の業務アプリ延命策として最近注目されている技術です。
今回リリースされた最新バージョンは、以前より使い勝手もよくなっていますのでぜひ検証してみてください。

 ■ MED-V 2.0 Public Beta

MED-V 2.0 の最大の特徴は、専用の管理サーバーが不要になったということです。
サーバー配置などインフラ設計、環境構築、運用の手間、と新しい技術を導入するたびに増えていくサーバーを
きちんと管理していくのは大変です。
MED-V 2.0 では既存の資産配布の仕組みを使ってクライアントへの配布、管理を行うことできるようになりました。
(マイクロソフトのお勧めは OS 展開もできる System Center Configuration Manager です！)

ここで主な機能を2つ、ご紹介したいと思います。

1．ホスト /  ゲスト間のデータ共有
MED-V v1 SP1 では、ホストからゲスト、ゲストからホストへデータを受け渡すには専用のツールを使ったり、
ネットワーク上の共有フォルダーを利用するなど、どうしても 1クッションが必要でした。
MED-V v2 では、ホストとゲストでお互いのデスクトップ環境をシームレスに共有できるようになります。

　　(1) スタートメニューからゲスト OS  (仮想のWindows XP) で動作している
　　　　Excel を起動
　　　　※ ゲスト上のアプリケーションは、ホスト (Windows 7) のスタートメニューから
　　　　　　シームレスに起動できます
　　　

　　(2) ゲスト上の Excel から、「名前を付けて保存」を実行
　

　　(3) 「デスクトップ」上に保存
　　　

　

 2．Web リダイレクション機能の拡張
Web リダイレクションは、特定のサイトを自動的にホスト側 (IE8) からゲスト側 (IE6) に振り分けることができる、
非常に便利な機能です。
MED-V v1 では、この Web リダイレクション機能は「Domain suffix」「IP prefix」「All Local addresses」の
3種類で設定するようになっていました。
MED－V v2 では、より柔軟に、「ワイルド カード」「サイト」「ページ or アプリケーション」「ポート」の4種類の
設定ができるようになり、より柔軟に対応できます。

　［Web リダイレクションで自動的に振り分けられ、2 バージョンのブラウザーが起動］


　［Web リダイレクションの設定画面：Workspace Packager］

◆　［Workspace Packager］
上記の Web リダイレクションを設定しているツールは「Workspace Packager」 といいます。
MED-V v1 では Workspace というモジュールをゲスト OS にセットアップします。
（ゲスト OS となる Windows XP に対して Workspace をインストールします）
MED-V 2.0 では Workspace の代わりに Workspace Packager というツールを使いますが、使い方と位置づけが
異なっています。

MED-V v1 では VHD ファイルのいわば内側に Workspace を配置しましたが、MED-V v2 は Packager という名前が
表すようにVHD ファイルの外側から、パッケージングする形になります。
さらに、 Workspace Packager は MED-V v1 の管理コンソールが持っている Web リダイレクションをはじめとした
ポリシーの設定機能も包含しています。

Workspace Packager や実装された機能の詳細については次回 （1週間後？） の投稿をお待ちください。

◆MED-V 2.0 Public Beta のモジュールは、下記の Microsoft Connect サイトからダウンロードできます。
11月以降、ベータ版の展開ガイド、ラボ環境の計画ガイドなどを日本語化して提供する予定になっていますので、
ぜひ検証してみてください。(MED-V のモジュールは英語版のみの提供です)
ご利用には Connect サイトへの登録が必要です。
　https://connect.microsoft.com/medv/InvitationUse.aspx?ProgramID=6452&InvitationID=MEDV-6CJC-Y6X2

 ■ Information
◆Windows 7 / Windows Server 2008 R2 SP1 リリース候補版
　　
　　クライアント向けには機能追加されていません。セキュリティ パッチの集積です。
　　モジュールはこれまでとは違い、サーバーとクライアントで共通モジュールになっています。
　　こちらからダウンロードいただけます。

　　Windows 7 Service Pack 1 RC および Windows Server 2008 R2 Service Pack 1 RC
　　http://www.microsoft.com/japan/windowsserver2008/sp1.mspx
　　※ リリース候補版の使用期限は2011年11月30日です。

◆The Microsoft Conference Japan Tour 2010 開催！
　　
　　11月25, 26日の東京を皮切りに、12月中旬まで全国 8 都市で MSC Japan Tour 2010 を開催します。
　　「最新のクラウド ソリューション」がメイン テーマですが、クライアント関連のセッションもありますし、
　　無償セミナーですのでぜひお越しください。

　　登録・詳細はこちらから
　　http://www.microsoft.com/japan/cloud/msc2010/default.mspx

　「チーム メンバーのセッション」
　　T2-3 ：デスクトップ移行の有効な選択肢 デスクトップ仮想化 (VDI) を考える
　　T2-4 ：App-V を使った Microsoft Office 2010 の展開ノウハウ
　　T2-5 ：Windows 7 + Microsoft Office 2010 展開と互換性対応のポイント
　　T2-7 ：Internet Explorer 8 への移行方法解説
　　T2-8 ：Windows 7 展開 ～ OS 互換性の解決策 : MED-V ～

　　T3-1 ：次世代の仮想化テクノロジを搭載! Windows Server 2008 R2 SP1 の新機能紹介
　　T3-6 ：クラウド基盤の運用管理 ～ System Center と Dynamic Datacenter Toolkit ～
　　T3-7 ：クラウド時代に求められるセキュリティ ～ ADFS と Forefront で守る Windows インフラ ～

皆様こんにちは

今回は再びTMGのお話です。

ご存知の通り、TMGには Firewall , IPS , Anti-Virus , URL フィルタリング等、様々な機能が実装されているわけですが、多くご利用頂いているシナリオの一つに「監査ログ」があります。
以前のブログでもお伝えした通り、TMGにはURL フィルタリングの機能が実装されており、ビジネスに不必要なサイト等に対してアクセス制限をかけることで、「君子危うきに近寄らず」な構成を実現する事ができます。

更に、近年では、「誰がどこを閲覧しているのか？」を知りたい、ログにとっておきたいという要望が多くあり、TMGの監査ログ機能で実現する事ができます。
TMGの監査ログ機能では、TMGを介して行われる通信の送信元を Active Directory と連携する事で、ユーザー名で記録する事ができます。

また、監査ログでは、監査証跡としての信頼性が重要になります。
通常のプロキシやファイアウォールでは、送信元をＩＰアドレスでロギングする事はできますが、これだと、ＤＨＣＰ等により動的なアドレス配布を実施している環境に置いては、送信元を特定するための監査証跡としては信頼性に欠けると言えます。無線ＬＡＮを導入されている環境であれば、ＤＨＣＰによる動的なアドレス配布が多いため、該当する環境も多いのではないでしょうか。

また、静的な固定ＩＰアドレス環境であっても、管理者権限を持たせて運用しているような環境であれば、ＩＰアドレスは変更することができてしまいます。
このケースも監査証跡の信頼性に欠けると言えます。 監査証跡の信頼性を確保するには、「識別され、認証された」識別子を利用する事が大事ですが、TMG監査ログの機能を利用する事で、ユーザー名という「識別され、認証された」識別子をもってロギングする事が可能になるというわけです。

下記がＴＭＧで記録された通信ログですが、ドメイン名\ユーザー名の形式でしっかりと送信元ユーザー名が記録されています。更に、CONTOSO\junnoake が、カテゴリ「検索エンジン」のbingを閲覧している事がわかります。



また、監視を持って社員が不正を働く抑止力とする考え方が一般的に浸透しつつあります。ＴＭＧで取得した監査ログを毎月部長に提示する等、監視を告知する事で、より抑止力を向上する事ができ、ビジネスに対するリソースの集中化を図ると同時に、不正を抑止する効果が期待できます。 ネットワークの監査ログを検討されている方は是非一度お試し下さい。

皆さん、こんにちは、2週間ほど更新できておりませんでしたが、また再開させていただきます。今後ともよろしくお願いいたします。
涼しくなりましたね。あの夏の猛暑はどこに！？といった感じです。うちの犬は暑さに非常に弱く、夏の間は夜中に散歩させないといけない状態で、また散歩に出てもすぐにバテバテ状態になり、ウチに帰ると水をがぶ飲みしておりました。でも今は軽快（？）な足取りで散歩をしております。

さて今回は、以前に出版させていただきました「Active Directory ID 管理ガイド Forefront Identity Manager 2010で実装する ID統合ソリューション」（通称：青本）の環境構築時の注意事項を紹介させていただきます。

FIM 2010では、ID管理ポータルを利用する事で同期対象の属性のマッピングや属性データの加工処理はポータル上（GUI）で定義することができます。
そのため、ILM 2007では、管理エージェント（MA）で定義していた、属性のマッピングは不要となり、FIM 2010では、MAの種類、接続先、接続するユーザーID/パスワード、同期対象オブジェクトなど、最低限の定義のみすれば良くなっています。（設定が非常に簡単になりました。）
ID管理ポータルを利用するためには、コンポーネントのインストールは勿論ですが、ID管理ポータル用DBである FIM Service DBを構成していただき、さらにポータルと同期サービスを連携させるためにMAを定義していただく必要があります。
ID 管理ポータル用のMA（FIM Service Management Agent）は、通常のMAと同様にSynchronization Service Manager（ILM 2007の管理コンソールと同等の同期サービス用の管理コンソール）を利用してMAの定義を行いますが、他のMAとは異なり、属性のマッピングを行う必要があります。具体的には「Configure Attribute Flow」にて属性のマッピングの指定を行います。（詳細はFIM 青本 P65 3.3 「Synchronization Service Manager」による設定をご参照ください。）
前置きが長くなりましたが、このような設定を行う必要があるのですが、ここで注意事項がございます。
この「Configure Attribute Flow」で既定にて設定されている項目が、FIM 2010 RTM版とFIM 2010 Update1版では異なります。
FIM 2010 RTM版の「Configure Attribute Flow」画面では、同期対象オブジェクトであるUserおよびGroupに既定で設定されている属性は最低限の属性しか定義されていません。しかし、FIM 2010 Update1版では、同期対象オブジェクトのユーザーおよびグループに対して既定で「detectedRulesList」および「expectedRulesList」が定義されています。以下にFIM 2010 RTM版とFIM 2010 Update1版のそれぞれ既定の「Configure Attribute Flow」画面を示します。

 
●FIM 2010 RTM版「Configure Attribute Flow」画面

●FIM 2010 Update1版「Configure Attribute Flow」画面

 このRTM時では「detectedRulesList」および「expectedRulesList」は手動にて追加登録する必要がありましたが、Update1では既定でｌこれらの属性が追加されています。
この「detectedRulesList」および「expectedRulesList」は、FIM 2010でID管理ポータルで定義された同期規則を含めた管理ポリシーの情報が登録されプロビジョニン時に処理される機能を担っており、ID管理ポータルと密接な関係を持った属性です。簡単に表現すると、属性を追加しなかった場合、ID管理ポータル上で定義した管理ポリシーの処理が行われなくなります。

FIM 青本では、FIM 2010 Update1を前提に記載していますので、この設定作業の詳細は記載しておりません。RTM版ベースで環境を構築する場合は、「Configure Attribute Flow」画面で「detectedRulesList」および「expectedRulesList」を手動で追加する作業が発生しますのでご注意ください。（P86 8.［Configure Attribute Flow］画面の設定を参照）

今後も、FIM 2010関連の情報を提供させていただきますので、今後ともよろしくお願いいたします。

皆様こんにちは、今回は ISA Server の後継製品である、Forefront Threat Management Gateway(TMG)2010 のURL フィルタリング機能について紹介致します。
URL フィルタリング機能は、従業員が業務に関係ないサイトの閲覧、悪意のあるサイトへの接続をカテゴリにもとづいてブロックします。
Microsoft Reputation Service(Microsoft 評価サービス)によって評価された、URL のカテゴリリストはマイクロソフトのデーターセンター内で保持しています。
カテゴリリスト画面

 フィルタリングの動作の流れは、ユーザーが“http://www.microsoft.com” の閲覧を行うと、プロキシサーバーとして構成された TMG にリクエストが届きます。リクエストを受けた TMG は MRS に対して“http://www.microsoft.com” がどのカテゴリに属しているか照会を行います。照会を受けた MRS は登録されたカテゴリをTMGに返します。(“http://www.microsoft.com” は一般ビジネスにカテゴライズされています)TMG の WEB アクセスルールで一般ビジネスのカテゴリが許可されている場合ユーザーはページを表示し閲覧が可能となります。
TMG では Active Direcroty(AD) を参照することで、AD のユーザー、セキュリティグループでインターネットへのアクセスを制御することも可能です。また、AD と連携することでアクセスログに個人を特定できるログを取得することも可能です。
ログ画面
 

MRS で評価される URL は管理者が事前に TMG の管理コンソールから URL を入力しカテゴリを確認することも可能です。
URL カテゴリ確認画面

TMG SP1からは閲覧が禁止されているサイトであってもユーザーがOverride(上書き設定)を行う事で管理者が指定した時間内だけ閲覧を行う事も可能です。この場合、TMG のログに誰がどのサイトをOverride したか記録を残すことも可能です。
Override画面


以下 URL から評価版のダウンロードも可能ですので興味のある方は是非お試し下さい。
評価版：http://technet.microsoft.com/ja-jp/evalcenter/ee423778.aspx
技術情報：http://technet.microsoft.com/ja-jp/library/ff684071.aspx
製品ホームページ：http://www.microsoft.com/japan/forefront/threat-management-gateway/default.mspx

皆様こんにちは

セキュリティチームです。
本日は、Forefront Threat Management Gateway (TMG) の仮想パッチという機能についてお話を致します。

TMGは、ISA 2006 の後継製品で、ISA 2006の機能を踏襲しつつも、新機能を実装することで、よりUTM化を推し進めた製品になります。
本日のお話である仮想パッチは、一般的に言うところの、IPS の機能です。

企業環境の場合、セキュリティ更新プログラムの適用までのリードタイムが非常に危険な時間帯と言えますが、常時稼動を必須とされるようなサーバー等、現実的には、即座にセキュリティ更新プログラムを適用する事は難しい状態となっています。また、ミッションクリティカルなシステム全般に言える事ですが、適用すべきセキュリティ更新プログラムの選定、検証、展開等のプロセスを経て適用が行われる以上、適用までの時間を短縮するには限界が出てしまいます。

こういった時に、TMGの仮想パッチ機能が役に立ちます。

TMGの仮想パッチ機能では、脆弱性を狙った攻撃に対する定義ファイルを随時更新しておくことで、攻撃ペイロードを含む通信自体を切断する事で、セキュリティ更新プログラムが、サーバーやクライアントに適用されていない状態でも、攻撃を食らうリスクを低減する事ができます。

下記がTMG仮想パッチ機能の実際の画面ですが、ご覧の通り、TMGの仮想パッチ機能では、定義ファイルとセキュリティ更新プログラムの型番が紐づいて提供されますので、どの型番を狙った攻撃に対応しているかが一目で分かるようになっています。



パケットをドロップし、通信自体を切断することもできますし、「検出のみ」を行うこともできます。
この手の機能は、導入する際に懸念となるのが、誤検出によって正常な業務の通信まで止めてしまうことですが、「検出のみ」にしていると、攻撃の検出やログへの記録は行いますが、通信自体は止めずに通してしまう運用が可能になりますので、検証にも最適です。

このTMGを、守りたいサーバーの前に置くだけで、バックエンドのサーバーにセキュリティ更新プログラムが適用されていなくても、攻撃をうけるリスクを低減する事ができますので、ご興味のある方は、評価版を使って、是非お試しください！

TMG評価版
http://technet.microsoft.com/ja-jp/evalcenter/ee423778.aspx

TMG Technet
http://technet.microsoft.com/ja-jp/library/ff355324.aspx
 

皆様、こんにちは。 マイクロソフトのプリセールス エンジニアのチームです。
このブログでは、マイクロソフトの Core Infra 製品 [Windows Server, Windows Client, System Center, ForeFront] に関する情報をお伝えしていきます。
皆様の業務に役立つ情報をご提供できれば、と考えておりますのでよろしくお願いいたします。

# これまでインフラチームでは Windows Server、 Windows Client、マネジメント & セキュリティ の
　3つに分かれてブログを運営しておりました。
　今後はこちらの「Windows インフラチーム ブログ」に統合されますので、リンクをいただいていた方は
　お手数ですが、変更をお願いいたします。

　Windows Server 使い倒し塾　　　   ：http://blogs.technet.com/b/windowsserverjp/
　Windows くらいあんと通信　　　　　：http://blogs.technet.com/b/wincltjp/
　運用管理とセキュリティのウタタゴト：http://blogs.technet.com/b/mgmtsecjp/