Office 365 ディレクトリ同期環境でのゴーストアカウント/グループ を削除する

こんにちは。新たな発見がありましたので、またまたブログを投稿します。

 

Office 365 にて、Active Directory同期を構成されている環境で、オンプレでは削除済みのアカウント、グループがOffice 365 側では表示される現象に遭遇された方は多いのではないでしょうか?

 

この現象が発生した場合、BPOS時はサポートリクエストをあげる事で対応はして頂けてました(それでも早くて3営業日程度かかってました)が、Office 365 からはPowerShellで削除できることをご存知でしたでしょうか。。

最近変更されたのかは不明ですが、ディレクトリ同期環境においても、以下のPowerShellを用いることで、ゴーストアカウント、グループを削除することが可能です。

 

コマンド

Remove-msoluser

Remove-msolGroup

 

手順

1.Powershellを起動し、「Connect-MsolService」を実行しOffice 365 に接続します

2.Get-msolgroup にて、削除したいグループのObjectId を調べます

3.Remove-msolgroup –ObjectId xxxx-xxxx-xxxx-xxxx を実行することで削除できます

 

ECPの組織管理から該当のグループ、アカウントが表示されていなければ無事削除ができていると思います。

ただ、OABに関しては夜間に更新処理が実施されますので、Outlook側でOABを利用されている方への反映は翌日にはなりますが・・・

 

[補足]

Exchange Shellを利用してディレクトリ同期されたアカウント、グループをOffice 365 側から削除しようとした場合、以下のエラーが返されます。

こちらの方法ではまだ削除できないようですね。。

clip_image001

 

ディレクトリ同期されたオブジェクトに関してはOffce 365 側からは削除できないものと思い込んでましたが、いつのまに削除できるようになったんでしょうか・・・全く知りませんでした。。

削除同期が正常に実施されていないと思い、ADのごみ箱から復元し、miisclientの同期ログを確認し調査を進めてましたが、こうもあっさり削除できるなんて・・・と拍子抜けしてしまいました。

 

またひとつ、Office 365 が便利になりました( ̄ー ̄)

広告

Office 365 移行後にプライマリSMTPアドレスが内部ドメインになる

遂に先日Office 365に移行作業が実施され、問題なく移行されたと思っておりました所、一部アカウントにてプライマリSMTPアドレスが、カスタムドメインではなくOffice 365の内部ドメイン(既定の無料ドメイン)となる事象が発生しておりましたのでその内容と回避策をポストしておきます。

 

前提環境

オンプレミスからBPOSへメールボックス移行後、オンプレミスでMBXを撤去

内部メールフロー、配布リスト等引き続き利用するため、Exchange Hub、スキーマーは存続

 

発生していたアカウント

こちらで確認する限り、オンプレミスでMBXを保有していないかったアカウント且つ、BPOS移行後にディレクトリ同期によりBPOS側でのみメールボックスを保持していたアカウントで発生していることがわかりました

 

対処方法

オンプレミス側にて、以下の属性を追加し、ディレクトリ同期を実行することでプライマリSMTPアドレスを変更することが可能です。う

あくまでの当方の環境ではこの手法で解決できておりますが、実際に実行される場合はテストアカウント等で確認頂くことをお勧めします

Active Directory ユーザーとコンピューターより、該当ユーザーのプロパティを開き、属性エディターを開きます。

image

問題が発生しているアカウントに以下の値を追加します。

※大文字のSMTP側がプライマリと処理されるようですので、既に値が設定されている場合は、プライマリSMTPアドレスに設定したい値を変更し、セカンダリはすべて小文字のsmtpで設定頂くことで対応可能でした

 

SMTP:User@contoso.com

smtp:User@contoso.onmicrosoft.com

 

設定変更後、ディレクトリ同期を実行します。

なお、、ディレクトリ同期ツールインストールフォルダ内に含まれる「DirSyncConfigShell.psc1」を起動し、Start-OnlineCoexistenceSync を実行することで手動同期を行うことができます。

※通りすがりZさん、ご指摘ありがとうございます!

 

同期確認

PowerShellからExchange Onlineに接続し、以下のコマンドを実行し正しくSMTPが同期されているか確認します。

サービスへの接続方法はこちらをご参考下さい。サービスへの Windows PowerShell の接続

 

Get-Mailbox –Identity User@contoso.com | select emailaddress |fl

 

もしくは、%\Microsoft Online Directory Sync\SYNCBUS\Synchronization Service\UIShell に格納されている「miisclient.exe」からも同期の詳細な内容も確認できますが、、上記Shellで確認する方が容易ですね。


動作結果からの所感

発生ケースは不明ですが、ディレクトリ同期を行っている環境且つ、BPOSからの移行でオンプレにメールボックスが存在していなかったアカウントで本事象が発生する可能性があるかと思います。

Office 365 サポートの方に伺う限り、ディレクトリ同期環境ではADのProxyAddress の値を用いてプライマリSMTPアドレスをメンテナンスすることを推奨とのことですので、ディレクトリ同期環境ではオンプレ側のAD属性を管理し運用する必要がありそうです。

 

ディレクトリ同期環境では管理ポータルからのアカウントの属性の変更やECPからの変更、プライマリSMTPアドレスの設定が行うことができませんので、少し対応に戸惑ってしまいました。。

同様の問題が発生した方に少しでもお助けになれば幸いです。

Windows Intune 次期バージョンのベータ版 を触ってみました

現在ロサンゼルスで開催されている Microsoft Worldwide Partner Conference 2011 というイベントにて、Windows Intune の次期バージョン に関する発表がありました。

しかも、その日にBetaの申込み、利用が即日可能な状態という・・・

やっとこの春に Windows Intune が正式サービス始まったところだったのに、時代の流れは早いですね。。

というわけで、少し触ってみたメモを記録しておきたいと思います。

 

次期Intune の管理画面はこんな感じでした。

Silverlight で構成されているので、メニュー画面表示までは少し時間がかかりますが、その後の動きの早さに驚きました。

管理対象のクライアントがまだ1台ってのもあるかもしれませんが、このレスポンスはなかなかいい感じだなと思いました。

あと、細かいですが右クリックによるコンテキスト メニュー が使えるようになってたりといろいろ機能強化されてそうです。

image

 

少し触ってみて驚いたのですが、ソフトウェアの配布が行えるようになってました。。

試しに CRM 2011クライアントをアップロードしてみましたが、ウィザードに従って設定をし、簡単にアップロードができました。

しかも、配布するパッケージは .exe、.msi 、.MSP が利用でき、アップロードしたパッケージは Windows Azure ストレージに保存されているようです。

image image

image 2

6

アップロードが完了すると、以下の通りどのアプリケーションがどの程度 Azure ストレージを利用しているのかも一元管理できるようになってました。

image

このあたりは、時間見つけていろいろ触ってみたいですねー。なんかすごすぎる匂いがぷんぷんします。

 

Intune Beta Client インストール

Windows Intune 管理画面から、セットアップモジュールをダウンロードしてきて、インストールを実施します。

ここは現行と同じですね。

 

さっそくものは試しに、インストールしてみました。(既存のWindows Intune はアンインストールしてから実施しました。)

capture_14072011_170808 capture_14072011_171005

インストール時に表示される画面はほんのこれだけです。。なんの苦労もありません。

※他のセキュリティソフトとかが導入されてる場合は、すんなりいかないかもしれませんが・・・

 

インストール完了後、稼働するまでしばらく時間がかかるようでした。

私の環境では、インストール後は Windows Intune Endpoint Protection エージェントがインストールされていないエラーがでてましたが、少し時間がたつと正常に稼働するようになってました。

capture_14072011_172008

capture_14072011_171605 capture_14072011_171615

Windows Intue で追加されたであろうプログラムの一覧です。

次期バージョンも SCOM 2007 R2 のエージェントなんですね。

imageimage

ローカルコンピュータから Office 365 を管理する

 

Windows PowerShell を使って、ローカルコンピュータからOffice 365 に接続する方法の備忘録です。

 

前提として、Windows 管理フレームワーク (Windows PowerShell 2. 0、WinRM 2. 0、および BITS 4. 0)

  • Windows PowerShell 2.0 がインストールされていること
  • Windows リモート管理(WinRM) がインストールされていること
    接続元クライアントが、Windows 7、Windows 2008 R2 の場合は既にインストールされているので、何かをインストールする必要はありません。

      PowerShell ポリシーの確認

      Windows PowerShellを起動し、以下のコマンドを実行します。

      Get-ExecutionPolicy

    RemoteSigned以外の値が返された場合は、以下のコマンドを実行し、スクリプトを実行できるようにします。

    Set-ExecutionPolicy RemoteSigned

     

    ローカルのPowerShellから Office 365 のサービスに接続する

    PowerShellを実行し、以下のコマンドを実行します。

    $Cred = Get-Credential
    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $Cred -Authentication Basic -AllowRedirection
    Import-PSSession $Session

     

    このコマンドが問題なく完了すると、Office 365側のサービスで利用できるコマンドレットがローカルのコンピュータ側セッションにインポート処理が行われます。

    Office 365 クライアントアクセス制御

    PowerShellの情報がちらほら公開されてきてましたので、オンプレのExhchangeと同様クライアントアクセスについて制御が可能か確認してみましたのでメモを兼ねて投稿しておきます。

    PowerShellでOffice 365 を管理するにはローカルコンピュータから Office 365 を管理する を参考

     

    クライアントアクセスの設定を行うには、「Set-CASMailbox」コマンドレットを使用します。

    まずは、Office 365 サービスにPowerShell を接続し、設定を確認してみます。

    Get-CASMailbox –identity UserName で確認してみた所、オンプレ時と同じような値が返されてきます。

    RunspaceId                         : beff9f08-9b3c-4cee-9b9d-077d2631bf7b
    EmailAddresses                     : {SIP:test01@bbfs.testystem.co.jp, SMTP:test01
                                         @shigeta.onmicrosoft.com, smtp:test01@bbfs.
                                         testystem.co.jp}
    LegacyExchangeDN                   : /o=ExchangeLabs/ou=Exchange Administrative
                                          Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=
                                         user4966d99ab1ae9a5f
    LinkedMasterAccount                : 
    PrimarySmtpAddress                 : test01@shigeta.onmicrosoft.com
    SamAccountName                     : test 小太50587725310164
    ServerLegacyDN                     : /o=ExchangeLabs/ou=Exchange Administrative
                                          Group (FYDIBOHF23SPDLT)/cn=Configuration/
                                         cn=Servers/cn=SINPRD0202MB102
    ServerName                         : sinprd0202mb102
    DisplayName                        : test 小太郎
    ActiveSyncAllowedDeviceIDs         : {}
    ActiveSyncBlockedDeviceIDs         : {}
    ActiveSyncMailboxPolicy            : Default
    ActiveSyncMailboxPolicyIsDefaulted : True
    ActiveSyncDebugLogging             : 
    ActiveSyncEnabled                  : True
    HasActiveSyncDevicePartnership     : False
    ExternalImapSettings               : 
    InternalImapSettings               : 
    ExternalPopSettings                : 
    InternalPopSettings                : 
    ExternalSmtpSettings               : 
    InternalSmtpSettings               : 
    OwaMailboxPolicy                   : OwaMailboxPolicy-Default
    OWAEnabled                         : True
    ECPEnabled                         : True
    EmwsEnabled                        : False
    PopEnabled                         : True
    PopUseProtocolDefaults             : True
    PopMessagesRetrievalMimeFormat     : BestBodyFormat
    PopEnableExactRFC822Size           : False
    PopSuppressReadReceipt             : False
    ImapEnabled                        : True
    ImapUseProtocolDefaults            : True
    ImapMessagesRetrievalMimeFormat    : BestBodyFormat
    ImapEnableExactRFC822Size          : False
    ImapSuppressReadReceipt            : False
    MAPIEnabled                        : True
    MAPIBlockOutlookNonCachedMode      : False
    MAPIBlockOutlookVersions           : 
    MAPIBlockOutlookRpcHttp            : False
    EwsEnabled                         : True
    EwsAllowOutlook                    : 
    EwsAllowMacOutlook                 : 
    EwsAllowEntourage                  : 
    EwsApplicationAccessPolicy         : 
    EwsAllowList                       : 
    EwsBlockList                       : 
    ShowGalAsDefaultView               : True
    IsValid                            : True
    ExchangeVersion                    : 0.10 (14.0.100.0)
    Name                               : test 小太郎
    DistinguishedName                  : CN=test 小太郎,OU=shigeta.onmicrosoft.com,OU=M
                                         icrosoft Exchange Hosted Organizations,DC=
                                         apcprd02,DC=prod,DC=outlook,DC=com
    Identity                           : test 小太郎
    Guid                               : 8393164e-883a-4142-992a-43357f241a93
    ObjectCategory                     : apcprd02.prod.outlook.com/Configuration/Sc
                                         hema/Person
    ObjectClass                        : {top, person, organizationalPerson, user}
    WhenChanged                        : 2011/06/23 13:24:43
    WhenCreated                        : 2011/05/17 18:40:07
    WhenChangedUTC                     : 2011/06/23 4:24:43
    WhenCreatedUTC                     : 2011/05/17 9:40:07
    OrganizationId                     : apcprd02.prod.outlook.com/Microsoft Exchan
                                         ge Hosted Organizations/shigeta.onmicrosof
                                         t.com - apcprd02.prod.outlook.com/Configur
                                         ation/Services/Microsoft Exchange/Configur
                                         ationUnits/shigeta.onmicrosoft.com/Configu
                                         ration
    OriginatingServer                  : SINPRD0202DC002.apcprd02.prod.outlook.com

    上記内容にもありますが、ActiceSync、OWA、IMAP、POP、Mapi、EWSの項目があります。
    .csharpcode, .csharpcode pre
    {
    font-size: small;
    color: black;
    font-family: consolas, “Courier New”, courier, monospace;
    background-color: #ffffff;
    /*white-space: pre;*/
    }
    .csharpcode pre { margin: 0em; }
    .csharpcode .rem { color: #008000; }
    .csharpcode .kwrd { color: #0000ff; }
    .csharpcode .str { color: #006080; }
    .csharpcode .op { color: #0000c0; }
    .csharpcode .preproc { color: #cc6633; }
    .csharpcode .asp { background-color: #ffff00; }
    .csharpcode .html { color: #800000; }
    .csharpcode .attr { color: #ff0000; }
    .csharpcode .alt
    {
    background-color: #f4f4f4;
    width: 100%;
    margin: 0em;
    }
    .csharpcode .lnum { color: #606060; }

    早速、下記コマンドを実行し、機能が制限されるか確認してみた所、反映には少し時間がかかりましたが、正常にアクセス制御することが可能でした。

    例:特定のアカウントのOWA、ActiveSyncを無効化する場合

    Set-CASMailbox -identity UserNAme -ActiveSyncEnabled $false -OWAEnabled $false

    .csharpcode, .csharpcode pre
    {
    font-size: small;
    color: black;
    font-family: consolas, “Courier New”, courier, monospace;
    background-color: #ffffff;
    /*white-space: pre;*/
    }
    .csharpcode pre { margin: 0em; }
    .csharpcode .rem { color: #008000; }
    .csharpcode .kwrd { color: #0000ff; }
    .csharpcode .str { color: #006080; }
    .csharpcode .op { color: #0000c0; }
    .csharpcode .preproc { color: #cc6633; }
    .csharpcode .asp { background-color: #ffff00; }
    .csharpcode .html { color: #800000; }
    .csharpcode .attr { color: #ff0000; }
    .csharpcode .alt
    {
    background-color: #f4f4f4;
    width: 100%;
    margin: 0em;
    }
    .csharpcode .lnum { color: #606060; }

    上記コマンド後、Get-CASMailbox で確認し、false で設定されていれば設定は完了です。

     

    これはすごく便利ですね♪

    Office 365 プロキシ環境で利用する為の注意点

    BPOS プロキシ環境で利用するための注意点 と同様に、Office 365 でもプロキシを経由して接続した場合、Office 365 への接続、利用が正しく行えない可能性があります。

    全ての試したわけではないですが、プロキシ経由の場合Outlookでの接続が正常に行えませんでした。

     

    この門愛を回避するためには、Office 365 への接続に用いられるIPアドレスに対する接続時、プロキシ認証を無効化、若しくは例外設定を行う必要があります。(6月17日現在)

     

    メモを兼ね記載しておきます。

     

    Exchange Online

    ·         94.245.117.128/25

    ·         65.55.126.0/25

    ·         65.55.181.128/25

    ·         65.55.174.0/25

    ·         65.55.113.64/26

    ·         65.54.62.0/25

    ·         65.55.94.0/25

    ·         65.55.39.128/25

    ·         213.199.174.0/25

    ·         213.199.177.0/26

    ·         213.199.177.0/26

    ·         207.46.203.128/26

    ·         207.46.198.0/25

    ·         207.46.4.128/25

    ·         207.46.58.128/25

     

    Lync Online

    ·         207.46.5.0/24

    ·         207.46.7.128/27

    ·         65.55.127.0/24

    ·         65.55.121.128/27

     

    Microsoft Office 365 Beta Deployment Guide for Enterprises – Download documents – Office 365 – Microsoft Office 365 Community (こちらのドキュメントより抜粋)

     

    上記ドキュメント 3.5.4     Ports and Protocols に、Office 365 で利用するプロトコルとポートが記載されてましたのであわせて貼り付けておきます。

    image

    SharePoint 2010 PDFファイル、emlファイル のブラウザで開く手法

    SharePoint 2010 で PDFファイルや、htmlファイルがブラウザから開く事ができないと質問を受けたので、簡単にまとめておきます。

    SharePoint Server 2010 では、ブラウザーでのファイル処理が制限されております。

    この為、PDF、htmlファイルをブラウザから開こうとした場合、自動的に実行されず一旦ローカルに保存してから起動させる必要があります。

    ※Office 製品の拡張子であれば基本的には大丈夫ですが・・・

     

    PDFを開く方法については、既にこちらのサイトでまとめられてましたのでこちらを参照頂ければと思います。

    SharePoint 2010 でPDF を開く « クリエ・イルミネート ブログ

    この手法では、PDFファイルのみ上記制限を解除し、ブラウザから開くことができます。

     

    Webアプリケーション単位での設定

    もう一つの手法として、Webアプリケーション単位でファイル処理の制限を解除する事ができます。

    これにより、.htmlファイルや、.emlファイル等すべてのファイルを直接開く事が可能になります。

    以下の箇所から設定が可能です。

     

    サーバーの全体管理から、アプリケーション構成の管理 → Webアプリケーションを開きます。

    ファイル処理の制限を解除したいWebアプリケーションを選択し、全般設定を開きます。

    image

     

    ブラウザーでのファイル処理にて、「制限しない」にチェックを入れます。

    image

     

    設定後、ブラウザから.eml ファイルをクリックした際に、「ファイルを開く」が選択できるようになります。

    image

     

    少し強引な方法になりますが、この手法では楽に設定する事が可能です。

    %d人のブロガーが「いいね」をつけました。