Hebikuzure's Tech Memo

2018年9月14日

Office 365 デスクトップ アプリの更新チャネルの変更

Filed under: Microsoft Office — タグ: , , — hebikuzure @ 6:28 午後

企業向け Office 365 はサブスクリプション モデルなので Office デスクトップ アプリケーションもインストール後に定期的な機能更新プログラムが提供されます。この機能更新は Windows 10 の更新と同様、提供のタイミングでいくつかのチャネルが用意されています。チャネルとそれが既定で提供される製品は「Office 365 ProPlus 更新プログラムのチャネルの概要」に掲載されていますが、

  • Office 365 Pro Plus は半期チャネル
  • Office 365 Business で提供される Office は月次チャネル

となります。

どのチャネルでもセキュリティ更新プログラムは毎月提供されます。

現在の更新チャネルは Office アプリケーションの [ファイル] – [アカウント](Outlook では [Office アカウント])- [バージョン情報] に表示されます。

キャプチャ2

更新チャネルの変更

どの更新チャネルを利用するかは、管理者が Officev365 のインストール時に構成できます。方法としては

などがあります。

Office 展開ツールや System Center Configuration Manager、Microsoft 365 admin center でインストール時にチャネルを構成した場合や、特に構成変更をせず既定の設定のままインストールした場合で、後からチャネルを変更したい場合はレジストリを構成します。チャネル変更のためのレジストリ設定は以下の通りです。
※ HKLM なので変更には管理者権限が必要です。

レジストリ値を変更後、Windows の サインアウト/サインインを行うと変更が反映されます。

広告

2018年9月8日

Application ログの警告ID64「証明書の有効期限がまもなく切れるか、既に切れています。」

Filed under: Windows トラブル — タグ: , , , — hebikuzure @ 7:27 午後

Windows 10 のコンピューターでイベント ログの Application ログを確認すると、以下のような「警告」が多数見つかる場合があります。

ログの名前:         Application
ソース:           Microsoft-Windows-CertificateServicesClient-AutoEnrollment
日付:            2018/09/04 11:30:27
イベント ID:       64
タスクのカテゴリ:      なし
レベル:           警告
キーワード:         クラシック
ユーザー:          N/A
コンピューター:       ********
説明:
拇印 ************************************************ の ローカル システム の証明書の有効期限がまもなく切れるか、既に切れています。

キャプチャ

どの警告も拇印が同じなので、特定の証明書の期限切れの警告が繰り返し出ていると考えられますが、思い当たるような証明書のインストールは行っていないのです。

このような警告が出る原因と対処方法について説明します。

警告の正体

この警告はコンピューターにインストール済みの証明書の期限切れの警告ですが、証明書スナップインを使って拇印から該当の証明書を探すと、これは XBL Client IPsec lssuing CA が発行元になっているクライアント証明書であることが分かりました。

キャプチャ2

キャプチャ3

この “XBL Client IPsec lssuing CA” とは何かというと、その実態は Windows 10 の Xbox アプリの証明機関と思われます。

実際に動作を確認すると、Xbox アプリを起動して Microsoft のゲーム サーバーと何らかのネットワーク アクティビティを行うと(簡単なのは Xbox アプリを起動して、[設定] – [ネットワーク] でネットワーク ステータスを検査する)証明書が自動的に更新され、有効期間が24時間の新しい証明書に置き換えられました。上のスクリーンショットはその更新後の証明書の表示です。

この証明書は Xbox アプリ以外では利用されていないと考えられますので安全に削除可能ですし、Xbox アプリを利用しているのであれば必要に応じて更新されるので、警告が出ていても安全に蒸してきます。

参考情報

もし警告の対象となっている証明書が XBL Client IPsec lssuing CA 発行のものでなかった場合は、以下を参考に対処しましょう。

2018年9月7日

一部のセキュリティ対策ソフトで Web カメラへのアクセスが警告される

Filed under: Windows Info — タグ: , , — hebikuzure @ 6:25 午後

Windows 10 でサードパーティ製のセキュリティ対策ソフトウエアを利用している場合、PC に搭載/接続されている Web カメラへのアクセスが警告されることがあるようです。

ここでカメラにアクセスしていると警告されるプロセスは

  • Device Census (プログラム名:DeviceCensus)
  • Host Process for Windows Tasks (プログラム名:taskhostw)

の二つです。

この二つのうち DeviceCensus はWindows 10 の「診断 & フィードバック」の機能で利用されているデバイス情報収集のプログラムで、この情報収集はタスクスケジューラて定期的に実行されるために、タスクのホスト プロセスである taskhostw も検知されると考えられます。

参考

Windows の Device Census によるカメラへのアクセスは、どのような種類・機能のカメラが接続されているのかを調べているだけで、(Microsoft の主張によれば)撮影を行っているわけではありません。したがってこのような警告は通常安全に無視できると考えられます。

またこの「診断 & フィードバック」の設定は [設定] – [プライバシー] – [診断 & フィードバック] で構成できますが、「基本」を選んでも「完全]を選んでもデバイスに関する情報は収集されるので、サードパーティ製セキュリティ対策ソフトウエアによる警告をなくすることはできないでしょう。なお Enterprise エディションの場合はこの他に「セキュリティ」という設定が利用でき、収取/送信されるデーターを最小限に抑止できます。

参考情報

2018年9月4日

OneDrive のファイルが削除できない

Filed under: Windows トラブル — タグ: , , , — hebikuzure @ 4:55 午後

複数のクライアントで同じアカウントを使って OneDrive でファイルとフォルダーの同期をしている場合などで、バックアップからの復元を行う、ユーザープロファイルのマイグレーションを行うなどの操作をきっかけに OneDrive の同期情報に不整合が生じて、ファイルやフォルダーの削除ができなくなることがあるようです。典型的なエラーは『予期しないエラーのため、フォルダーを削除できません。このエラーが再発する場合は、エラーコードを使用して、この問題についてのヘルプを検索してください。 エラー 0x8007016B: クラウドファイルへのアクセスが拒否されました。』といったものです。

対処方法

この場合の対処方法として考えられるのは

  1. ブラウザーで Web の OneDrive にアクセスして、そこで当該のファイルが存在していれば削除する
  2. 削除できないファイルがあるコンピューターをセーフモードで起動して削除する

です。「1.」の方法で削除してもクライアントに反映されない場合や、Web 上では当該のファイルが見つからない場合は「2.」を試すと良いでしょう。「2.」の方法で削除可能になるのは、セーフモードでは OneDrive クライアントが起動していないからですね。

以下の事例ではセーフモードで削除できています。

OneDriveの同期を解除せずにユーザーを削除したが、OneDrive以下のローカルファイル削除でエラー0x8007016A, 0x8007016Bが出る

2018年8月29日

非管理者ユーザーにセーフモードでサインインさせない

Filed under: Windows Tips — タグ: , , , , , — hebikuzure @ 5:06 午後

Windows 10 を含めて Windows 7 以降のバージョンでは、Windows をセーフモードやセーフモードとネットワークで起動した場合、管理者権限の有無を問わずどのユーザーでもサインイン(ログオン)が可能です。しかしセーフモードでは通常起動の際には自動的に動作するサービスやプログラムが起動していない状態になるため、挿入しているセキュリティ ソリューションが無効になってしまう場合があります。またセーフモードでは通常アクセスできない機能などにアクセスできる場合もあります。

こうしたことを考えると、管理者権限を持たない通常のユーザーがセーフモードでサインインできなくすることは、コンピューターのセキュリティ強化に繋がるといえます。

非管理者にセーフモードでサインインさせない設定

管理者権限を持たないユーザーをセーフモードでサインインできなくするには、以下のレジストリを構成します。
※Windows 7 / Windows Server 2008 R2 の場合は SP1 の適用が必要です

キー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
名前:SafeModeBlockNonAdmins
種類:REG_DWORD
データ:1

ドメイン環境であれば、このレジストリ構成をグループポリシーで配布できます。

コンピューターの構成 > 基本設定 > Windows の設定 > レジストリ
image

参考情報

2018年8月28日

Windows の「ユーザー名」

Filed under: Windows Info — タグ: , , , , , — hebikuzure @ 6:08 午後

Windows の利用上でよくある質問が

  • サインイン(ログオン)画面で表示される名前を変えたい
  • ユーザー名を変えたい
  • ユーザー プロファイル フォルダー名(C:\Users\ の配下のフォルダー名)を変えたい

というものです。これらの質問はいずれも Windows では利用する「ユーザー名」に関わるものですが、Windows の「ユーザー名」が正しく理解されていない場合も少なくないので、解説しておきたいと思います。

ユーザー名と「表示名」

先ほどの質問のうち、「サインイン(ログオン)画面で表示される名前を変えたい」という場合の「表示される名前」は「表示名」(フルネーム)で、実際の「ユーザー名」ではありません。表示名はサインイン(ログオン)画面やアカウントの管理画面、スタート画面(スタートメニュー)などに表示されますが、表示にだけ使われる「看板」のようなもので、Windows の内部的な管理情報としては利用されませんし、必須でもありません(ユーザーを新規作成した時は「表示名」は付けられていません)。

これに対して「ユーザー名」は実際に Windows の内部的な管理情報として利用される名前です。先ほどの質問のうちの「ユーザー プロファイル フォルダー名」もこのユーザー名を元に(通常はユーザー名そのまま)作成されます。またファイルとフォルダーの共有を行うなどのリモート アクセスの際に必要となる資格情報で使われるのもこの「ユーザー名」です。

したがって Windows を利用するには「ユーザー名」は必須で、ユーザー名なしに Windows にサインインして利用することはできません。また「表示名」が設定されていない場合は、ユーザー名がそのまま表示名として利用されます。

Windows 10 の場合、これらの名前は以下のように決められます。

ローカルアカウントの場合

アカウントの作成時に付けた名前がユーザー名になります。下のスクリーンショットの場合、「山田太郎」がユーザー名になります。この画面でのアカウントの作成時には「表示名」を設定できないので、「山田太郎」が表示名としても使われます。

キャプチャ

表示名を設定・変更するには、コントロールパネルを利用します。下の画面で「アカウント名の変更」をクリックすると設定・変更ができます。

キャプチャ3

Microsoft アカウントの場合

Microsoft アカウントの場合は、Microsoft アカウントのユーザ名(@ の左側の部分、myuser@hotmail.com なら myuser )が内部的なユーザー名として利用されますが、通常は Microsoft アカウント全体(@ の左側のドメイン名まで含めて)を「ユーザー名」と考えても良いでしょう。
表示名は Microsoft アカウントに設定している表示名(名前)がそのまま使われます。これは https://account.microsoft.com/profile/ で編集・変更することが可能です。

Active Directory ドメイン ユーザーや Azure AD ユーザーの場合

コンピューターが Active Directory ドメインに参加していて、ドメインユーザーでサインインしている場合のユーザー名と表示名はドメインの管理者が登録した情報になります。ユーザーが直接変更することはできませんので、表示名を変えたい場合はドメインの管理者に依頼する必要があります。

AzureAD に参加したコンピューターで AzureAD ユーザーでサインインした場合も AzureAD に登録されている内容になりますが、表示名はユーザーが変更可能です(Office365 ユーザーなら https://portal.office.com/account/#personalinfo から編集できます)。

ローカル ユーザーとグループ

Windows のエディションが Pro (Professional) 以上なら、[コンピューターの管理] の中に [ローカル ユーザーとグループ] があります。

キャプチャ3

これを使うとローカル アカウントのユーザー名や表示名をより簡単に確認・変更できます。ここでは「表示名」は「フルネーム」として扱われていますが、変更したいユーザーをダブルクリック(または右クリックして [プロパティ])すれば、フルネームの編集ができます。またユーザー名自体もここで変更可能です。ユーザー名を変更するには、変更したいユーザーを右クリックし、[名前の変更] を選択します。

エディションが Home の場合「ローカル ユーザーとグループ」が利用でいません。そのため Home エディションでユーザー名を変更するにはコマンドプロンプトを利用する必要があります。以下のコマンドで「山田太郎」というユーザー名を「Tyamada」に変更できます(もちろん Pro 以上のエディションでも利用できます)。

wmic useraccount where name=’山田太郎’ call rename name=’Tyamada’

[ローカル ユーザーとグループ] には Microsoft アカウントのユーザーも表示されおり、変更などの操作も可能になっていますが、Microsoftアカウントのユーザーの名前変更はここで行わない方が良いと思います(試したことがありませんが、問題が起きる可能性も考えられます)。

ユーザー名と SID

先に「ユーザー名は Windows の内部的な管理情報として利用されている」と書きましたが、実際に最終的な管理情報として使われているのはユーザー名ではなく SID と呼ばれる一意の(重複することがない)管理番号です。

SID は次のような形式で表されます。

S-1-5-21-4260733700-639579216-3482586806-1001

この SID とユーザー名が紐づけられて管理されています。したがって表示名(フルネーム)まで含めると

SID ⇒ ユーザ名 ⇒ 表示名(フルネーム)

という構造になっています。このように SID はユーザーを識別する根本であるため、表示名やユーザー名は変更可能ですが、一度ユーザーに割り振られた SID は変更できません。ユーザーのサインイン パスワードやファイル/フォルダーに対するアクセス権、記憶させた資格情報は SID と紐づけられて管理されているため、ユーザー名を変更してもこれらの情報は新しいユーザー名でそのまま利用することができます。

SID についての詳細は以下も参照してください
Well-known security identifiers in Windows operating systems

プロファイル フォルダー名

最初に書いた質問のうち「ユーザー プロファイル フォルダー名(C:\Users\ の配下のフォルダー名)を変えたい」というものはよく見かけるのですが、結論から言えばこれは「できない(正式な手段が提供されていない)」になります。先に書いたようにこのプロファイル フォルダー名はユーザーが最初にサインインする際に、そのユーザー名を使って命名され作成されるのですが、その情報はレジストリに SID と関連付けられて記録されます。そのため表示名やユーザー名を変更しても、プロファイル フォルダーの名前は変更されませんし、また(別のユーザーでサインインして操作するなど)無理やり名前を変更すると、利用できなくなって一時プロファイルが使われるようになってしまいます。

レジストリに記録されている情報をすべて書き換えることで変更ができる/できたという情報もありますが、公式に提供されている手段ではありませんので、どのような副作用が起きるかわかりません。これはやらない方が良いことだと思います。

まとめ

Windows でユーザーを識別する情報と、変更可能かどうかをまとめています。

  • SID:変更不可
  • ユーザー名:変更可能([ローカル ユーザーとグループ] またはコマンド)
  • 表示名(フルネーム):変更可能(コントロール パネルやオンライン アカウントのプロファイルから)

2018年8月26日

BitLocker の回復パスワードを確認する

Filed under: Windows Tips — タグ: , , , — hebikuzure @ 2:15 午後

Windows のセキュリティー機能にディスクを暗号化する BitLocker があります。

BitLocker と「回復パスワード」

BitLocker 暗号化では復号のために必要となるキーを TPM チップに格納して、暗号化したディスクが同じデバイスに接続されている限りは透過的に復号が行われるようになってるため、ユーザーは普段は復号のための操作をする必要はありません。

追加の構成で TPM チップではなく USB ドライブを使用したり、起動時にパスワードや PIN を求めるようにすこことも可能です。
BitLocker についての詳細は Microsoft Docs の「BitLocker」を参照してください。

ただしデバイスのブート構成が変更された場合や、PC が起動できなくなってドライブを別のデバイスで読み取る必要がある場合、また上記の追加の構成で USB ドライブを紛失したり PIN を忘れたりした場合、「回復パスワード」を使うことで暗号化されたディスクにアクセスすることが可能になります。回復パスワードは 48桁の数字からなるパスワードです。

回復パスワードだ求められる場合については「BitLocker 回復ガイド」の「BitLocker 回復が実行される原因」を参照してください。

BitLocker を有効にする場合、次のようなメッセージが表示されて「回復キー」の保存を求められますが、ここで保存できるのが「回復パスワード」です(資料や UI、実際のデータで用語が混乱していますが、ここで「回復パスワード」が自動生成され、指定した方法で保存できます)。

image

この他に Active Directory ドメインに参加している PC の場合は、ドメイン内のサーバーに自動的に保存されるよう構成できます。
AzureAD に参加している PC では AzureAD に保存することもできます。

回復パスワードが不明になったら

さて、何らかの理由でここで保存した回復パスワードの情報が利用できなくなった場合、例えば利用していた Microsoft アカウントが利用できなくなったり、保存したファイルや印刷物を紛失した場合、設定済みの回復キーを調べなければならなくなります。

回復パスワードを求めれれる状況にならなければ通常の使用には問題ないのですが、ひとたび回復パスワードを求められると、それを入力しない限りそのディスクを読み取ることはできなくなります。

参考:BitLocker 回復キーを探す

参考資料に書かれているように、起動ディスクが暗号化されていて回復パスワードが分からない場合、PC を初期化しなければ利用できなくなります。当然ディスクに保存していたデーターもすべて失われます。

回復パスワードを調べる

設定済みの回復パスワードを調べるには管理者コマンドプロンプトで以下のコマンドを実行します。

manage-bde.exe –protectors –get C:
(C ドライブを暗号化した場合)

これで最初に保存した時と同じ ID とパスワードを表示することができます。改めてファイルに保存したり印刷したりして、大切に保管しておきましょう。

2018年4月4日

2018年2月28日

Excel でセル中に文字と数値を共存させて文字だけ左詰めにする

Filed under: Microsoft Office — タグ: — hebikuzure @ 4:44 午後

Excel ではデータの合計や平均を集計する場合が多いでしょう。その場合、こんな表を作ると思います。

image

この表の場合、集計対象となるデータには「氏名」というラベルがあるので、B 列に「氏名」の列を作っています。そのため10行で集計している平均値にも B列に「平均」というラベルを表示できます。

では例えば箱の中に入っている沢山のみかんから任意の何個かを取り出してその重量を図って平均し、みかんの標準的な重さを調べよう、というような場合だとどうなるでしょう。この場合、個々の重さのデータには特にラベルとなる情報はありませんから、次のような表を作ってしまうかと思います。

image

しかしよく見ると B 列は「平均」を表示するためだけに用意されていて、もったいないですね。できれば C10 セルに「平均   119.43」とまとめて表示できれば良いでしょう。

こういう場合にユーザー設定表示形式を利用すれば良いことは、Excel のレッスンで必ず習います。C10 セルの現在の書式は

image

このように(0.00)なっているので、これをこのように(”平均 “0.00)

image

変更すると、先ほどの表は以下のようにできます。

image

ここまではたいていの Excel の教科書にも出ていますが、ここからもうひと手間かけることができます。この表示形式はセルの値の数値の前に「平均 」という文字列(「平均」と空白文字)をくっ付けていますが、これだと表示される数値の桁数が異なると「平均」が表示される場所も変わってしまいます。そこで「平均」という文字を疑似的に常に左詰めにするユーザー定義表示形式を作ります。

先ほどのユーザー定義表示形式を以下のように変更します。

image

新しい表示形式は「”平均”* 0.00」です。「*」は直後の文字を全体がセル幅一杯になるまで繰り返す、という意味の記号です。これによって先ほどの表は

image

このようになります。B 列の幅が変わっても、また B10 に表示する数値の桁数が増減しても、「平均」の文字は常にセルの左端から表示されます。

参考情報

2018年2月13日

Microsoft 製品とサービスの利用規約(EULA)

Filed under: Windows Info — hebikuzure @ 4:56 午後

Microsoft 製品(Windows や Office などのソフトウェア製品)やサービス(Outlook.com  や OneDrive などの個人向けサービス、Office 365 や Azure などの企業向けサービス)の利用規約について、「マイクロソフト コミュニティ」や「TechNet フォーラム」などでよく質問が上がるので情報源としてまとめてみました。

「利用規約」と一言で書きましたが、実際には「ライセンス条項」「サービス規約」「サービス条件」などいろいろな名称が使われています。またこれらをまとめて EULA(End-User License Agreements)と呼ぶこともあります。

ソフトウェア製品の利用規約

Microsoft のソフトウェア製品(リテール版、OEM 版)および個人向け Office 365(Hone, Personal, Solo, University)のライセンス条項(EULA)は以下のページから検索して確認することができます。

またボリュームライセンス製品のライセンスについては以下のページから確認できます。

オンライン サービスの利用規約

Microsoft の企業向けオンライン サービス(Office 365 や Microsoft Azure)のサブスクリプション契約は以下のページです。

なおサブスクリプションをボリュームライセンスで購入している場合は以下のページの各条項も対象となります。

また Microsoft Azure については以下の条項も適用されます。

個人向けのオンライン サービス(Outlook.com や OneDrive など)についての規約は次のページです。
※この規約はオンラインサービスだけでなく、マイクロソフトの消費者向けの製品、Web サイト全般の使用に適用されます。

Microsoft コンテンツの利用に関する規約

Microsoft のソフトウェア製品やオンライン サービス、Web サイトなどを通じて提供されるコンテンツの利用についても規約が公開されています。

全般的な規約は以下になります。

著作物や商標については以下のような規約があります。

Microsoft のゲーム内のコンテンツについては以下の規約も適用されます。

フォーラムなど

Microsoft のオンライン フォーラムの利用規約は以下の通りです。

TechNet フォーラムと MSDN フォーラムには明示的な独自の利用規約はありませんが、以下の Forums Help に利用上のルールが示されています。

また以下の注意事項も適用されます。

日本語版はありませんが、Microsoft Tech Community の規約は以下です。

その他

Microsoft ストアの利用規約は以下の通りです。

プライバシーについては以下が公開されています。

Microsoft のソーシャルメディア公式アカウントについては、以下の利用規約が適用されます。

Older Posts »

WordPress.com Blog.

%d人のブロガーが「いいね」をつけました。