司会:竹内
説明:德永
書記:金子
参加者:サポーター10名+教職員1名
オレンジ色の部分は、ミーティング中に挙げられたコメント等です。
最近の事例から
ここで事例紹介をするミーティングは、これで本セメスター最後になります。皆さまありがとうございました。今日は積みません!!
ECCSクラウドメール (Google Workspace)
中国からECCSクラウドメールにログインしようとすると”Google couldn’t verify this account belongs to you. Try again later or use Account Recovery for help.”のエラーが出る。
=>メールアドレスは3か月前に設定していて、クラウドメール専用のパスワードも昨日設定したとのことで、明らかな設定ミスをした様子ではありませんでした。端末を変えたり、VPNの設定も変えたようですが、状況は変わらなかったので、起票しました。
=>教職員の方が調査したところログインに成功した記録があったとのこと。ただ警告マークも表示されていた。現状確認(ログインできているかどうか)と、二段階認証設定のお願い、ログインできていないようであれば利用回線変更を試していただくようお願いする文案を作成、レビューに回した。
=>メールアドレスは3か月前に設定していて、クラウドメール専用のパスワードも昨日設定したとのことで、明らかな設定ミスをした様子ではありませんでした。端末を変えたり、VPNの設定も変えたようですが、状況は変わらなかったので、起票しました。
=>教職員の方が調査したところログインに成功した記録があったとのこと。ただ警告マークも表示されていた。現状確認(ログインできているかどうか)と、二段階認証設定のお願い、ログインできていないようであれば利用回線変更を試していただくようお願いする文案を作成、レビューに回した。
- その後お返事がないので結末はよくわからず。
- 不審なログインはもはやあるあるに。
- 対処法としては:環境を変えてもらう(特にVPNを利用している場合は可能な範囲で回線を変えてもらう)、2段階認証を設定してもらう
- ログを見る限りログインに成功したみたい?の謎について(完全に管理者画面の話になってしまったので、興味のある人だけ)
- まずは状況を補足:
- それまでのログインについては、「不審なログインのブロック」のアラートが管理者から確認できた。
- しかし、この上手くいっていたように見えるログインについては、このアラートは出ていなかった。
- が、「~さんがログインしました」のイベントには警告マークが表示されていた。
- この謎の警告マークの正体は不審なログイン:
- ユーザーが通常とは特徴の異なるログインを行うたびに発生(見慣れない IP アドレスからログインした場合など)。
-
不審なログイン イベントは赤い警告アイコン付きで表示されます。(ログイン監査ログ)
- で、今回の謎を解く鍵は多分、この不審なログインは必ずブロックされる訳ではない、ということ?
-
通常は、管理者にアラートが送信される前に、ユーザーに対してログイン時の本人確認の画面が表示されます。ユーザーが本人確認に失敗した場合、または本人確認を行わなかった場合は、不審なログインとして管理者にアラートが送信されます。(アラートの詳細を表示する)
- 逆に、ここで本人確認に成功すれば、「不審なログイン」ではあるが「不審なログインのブロック」は起こらず(管理者へのアラートも送信されず)、無事にログインできる?
-
- まずは状況を補足:
- どんな条件で問題が発生するかはGoogle先生のみぞ知るので、上記一般的な提案以外に手を出しづらい。
UTokyo Account
Zendeskにて問い合わせられていた方。UTokyo VPNを使うため多要素認証を有効にしたところ、①シンクライアント(事務業務端末)への接続ができなくなった②職員メール( mail.u-tokyo.ac.jp )の接続もできなくなった
=> ①「現在担当部署で状況を確認中となっております。大変恐れ入りますが当チャット窓口ではお答えが困難です。担当部署へチャット窓口へお越しになったことを伝えますので、メールでの回答をお待ちいただけますでしょうか。」
②Thunderbirdをお使いになっているとのこと。こちらはZendeskに回答事例が多数ありましたので、「認証方式」を『OAuth2』 認証に設定していただくようお伝えしました。
=> ①「現在担当部署で状況を確認中となっております。大変恐れ入りますが当チャット窓口ではお答えが困難です。担当部署へチャット窓口へお越しになったことを伝えますので、メールでの回答をお待ちいただけますでしょうか。」
②Thunderbirdをお使いになっているとのこと。こちらはZendeskに回答事例が多数ありましたので、「認証方式」を『OAuth2』 認証に設定していただくようお伝えしました。
(続き)ThunderbirdでOAuth2を有効にしようとしてもログインできない
=> 結論としてはMFAを利用終了することになったのでOAuth2が必要ではなくなりました。
Thunderbirdのエラーメッセージ:メールサーバー pop-mail.outlook.com からの応答: Logon failure: unknown user name or bad password.
↓ https://www.takameron.info/post/thunderbird_exchange_online/ を参考に認証設定の変更をお試しいただく
訴え:(Microsoftのサインイン画面で)「別のアカウントでサインインする」のオプションがなく、「このユーザー名は間違っている可能性があります」というエラーメッセージが出る。(サインインできないままThunderbirdに戻ると)「設定を検証できませんでした。サーバー管理者があなたが選択した設定を無効化している可能性があります。」というエラーメッセージが出る。
原因:UTokyo Accountのサインインに メールアドレス@mail.u-tokyo.ac.jp を入力していたため。
結果:UTokyo Accountを入れたらMicrosoftのサインイン画面でエラーは出ずに、Thunderbirdの画面に戻れた。
↓ しかし
訴え:Thunderbirdを立ち上げ直してみると、「設定」→「サーバー設定」で認証方式がOAuth2から元に戻っていて、(上に書いたメールサーバーの)同じエラーメッセージが出る。
原因?(確証なし): https://support.microsoft.com/ja-jp/office/pop-imap-smtp-%E3%81%AE%E8%A8%AD%E5%AE%9A-8361e398-8af4-4e97-b147-6c6c4ac95353 によればPOPサーバーは http://outlook.office365.com|outlook.office365.com が正解であるが、昔のPOPサーバーにつないでいた。(古いからOAuth2に対応していないとか? そんな可能性は高くないとは思いますが、他に手掛かりもなく。)
↓ ところが
Zendeskでの対応にて事務業務端末の接続問題がMFA利用終了で解決することになったため、Thunderbirdの設定(変えたのは、POPメールサーバーと認証方式)も元に戻していただくことになった。
補足:なぜか昨日はシンクライアントに接続できなかったが、先ほど接続できた。
結論:よく分からなかった。
=> 結論としてはMFAを利用終了することになったのでOAuth2が必要ではなくなりました。
Thunderbirdのエラーメッセージ:メールサーバー pop-mail.outlook.com からの応答: Logon failure: unknown user name or bad password.
↓ https://www.takameron.info/post/thunderbird_exchange_online/ を参考に認証設定の変更をお試しいただく
訴え:(Microsoftのサインイン画面で)「別のアカウントでサインインする」のオプションがなく、「このユーザー名は間違っている可能性があります」というエラーメッセージが出る。(サインインできないままThunderbirdに戻ると)「設定を検証できませんでした。サーバー管理者があなたが選択した設定を無効化している可能性があります。」というエラーメッセージが出る。
原因:UTokyo Accountのサインインに メールアドレス@mail.u-tokyo.ac.jp を入力していたため。
結果:UTokyo Accountを入れたらMicrosoftのサインイン画面でエラーは出ずに、Thunderbirdの画面に戻れた。
↓ しかし
訴え:Thunderbirdを立ち上げ直してみると、「設定」→「サーバー設定」で認証方式がOAuth2から元に戻っていて、(上に書いたメールサーバーの)同じエラーメッセージが出る。
原因?(確証なし): https://support.microsoft.com/ja-jp/office/pop-imap-smtp-%E3%81%AE%E8%A8%AD%E5%AE%9A-8361e398-8af4-4e97-b147-6c6c4ac95353 によればPOPサーバーは http://outlook.office365.com|outlook.office365.com が正解であるが、昔のPOPサーバーにつないでいた。(古いからOAuth2に対応していないとか? そんな可能性は高くないとは思いますが、他に手掛かりもなく。)
↓ ところが
Zendeskでの対応にて事務業務端末の接続問題がMFA利用終了で解決することになったため、Thunderbirdの設定(変えたのは、POPメールサーバーと認証方式)も元に戻していただくことになった。
補足:なぜか昨日はシンクライアントに接続できなかったが、先ほど接続できた。
結論:よく分からなかった。
- まずは何よりもお疲れ様でした🍵
- 顛末としては:
- MFAの利用終了を実施
- ※そもそも現在、事務業務端末利用者は多要素認証を利用しないようにということになっている。
- 事務業務端末ではそもそもUTokyo VPNなしでリモートアクセスができる。
- ※そもそも現在、事務業務端末利用者は多要素認証を利用しないようにということになっている。
- その後事務業務端末への接続について、ヘルプデスクに再度問い合わせがあり解決:
- 事務業務端末のリモートアクセスでは、UTokyo AccountのMFAとは別物の、MS Authenticator等からのワンタイムパスワードによる認証が必要。
- UTokyo Account のMFA設定に当たって、MS Authenticatorの設定がぐちゃぐちゃになっていたので、もう一度設定し直してもらった。
- 職員メールについては依然として未解決。
- MFAの利用終了を実施
- なお、職員メールシステムについてはOutlookをサポートし、それ以外のメーラーを選択されるのであればご自身でということになっている。
- Thunderbirdについてもサポート対象外とは言え、参考になりそうなサイトを渡す等のできる限りの簡単な案内はしているが、どこまで込み入ったサポートが可能かというと難しいのが現状。
UTokyo Accountの多要素認証の設定で、間違ったメールアドレスを入力してしまい、コードが分からず先に進めなくなった。
=>多要素認証の設定画面にはアクセスできて、本人確認方法としてMicrosoft AuthenticatorとiPhoneが登録されていました。その画面から「方法の追加」をクリックして、電子メールアドレスを正常に追加することができました。
=>多要素認証の設定画面にはアクセスできて、本人確認方法としてMicrosoft AuthenticatorとiPhoneが登録されていました。その画面から「方法の追加」をクリックして、電子メールアドレスを正常に追加することができました。
- 電子メールは、MFAの本人確認方法の追加の流れでなぜか登録を求められるが、サインイン時の本人確認に使うことはできない。
- 逆に言えば、電子メールの登録がうまくいかずとも、多要素認証のサインインには何も問題無い。
- UTokyo Accountのパスワードを忘れた際に再設定のメールが送られてくる宛先にはできる。
- 電子メールの登録まで進んでいるなら、その手前の多要素認証のサインインに使える本人確認方法の追加は無事完了している可能性が高いので、(電子メールの登録で詰まろうが何しようが)多要素認証のサインインはできる状態のはず。
- それは、つまり多要素認証の設定画面にアクセスできる状態のはず、ということ。今回のように対応すればOK。
SMSもしくは電話によるIDの確認を求められたのですが、
その画面に表示されている番号(+XX XXXXXXXXX91)の下2桁には身に覚えがありません
自身のスマートフォンにもSMSが届かないため、多要素認証のリセットを希望します
=>自身の電話番号以外が多要素認証に登録されることがあるのか、状況がよくわからなかったのでUTokyoAccount担当に回して、多要素認証の登録履歴などを確認していただくことにしました。
その画面に表示されている番号(+XX XXXXXXXXX91)の下2桁には身に覚えがありません
自身のスマートフォンにもSMSが届かないため、多要素認証のリセットを希望します
=>自身の電話番号以外が多要素認証に登録されることがあるのか、状況がよくわからなかったのでUTokyoAccount担当に回して、多要素認証の登録履歴などを確認していただくことにしました。
- 結局UTokyo Account担当でもよくわからず、多要素認証をリセットして解決。
- なぜ身に覚えのない番号が登録されていたのか……
- 音声電話の場合、関係ない人がかかってきた電話に促されるままわけもわからず#を押してしまって要素が登録されてしまう危険がありそう。SMSの場合はコードを入力しなければならないためそうした問題はないが。
- 管理者がAzure ADのログを見る限り、アカウントを乗っ取られたり別の人が勝手に要素を追加したりしたような形跡は見当たらない。
Microsoft 365 (Office)
MacOS Sierra 10.13.6 以降が必要ですという画面からDLしたOffice 356が,macOS 10.15以降でないと
動かないといわれインストールできない
=> 調べたところ11月の更新から10.15が要求されるようになっており,表記漏れだと考えられる。
過去の更新から古いバージョン(10月以前のもの)をダウンロードすればインストールはできそうだが,セキュリテイ的な面から案内していいものか迷うため,以上の内容と共にMicrosoft365担当に割り振り判断を仰いだ。
動かないといわれインストールできない
=> 調べたところ11月の更新から10.15が要求されるようになっており,表記漏れだと考えられる。
過去の更新から古いバージョン(10月以前のもの)をダウンロードすればインストールはできそうだが,セキュリテイ的な面から案内していいものか迷うため,以上の内容と共にMicrosoft365担当に割り振り判断を仰いだ。
公式の記事
https://support.microsoft.com/ja-jp/office/macos-をアップグレードして-microsoft-365-および-office-for-mac-の更新プログラムを引き続き受信する-16b8414f-08ec-4b24-8c91-10a918f649f8
- Microsoft 365の管理者から、セキュリティサポート対象外のものを案内することは難しいので、macOSのバージョンアップを検討していただくよう返答。
- 皆さんOSはバージョンアップしましょう。
その他
他の参加者の氏名が参加者に表示されないような形でWeb会議を開きたい。(早くて10日後の予定)そのような方法はあるか。
=>zoomウェビナーとWebex Eventsを案内。
ただし、zoomウェビナーは遅くとも2週間前にはライセンス申請しておく必要があること、また空きがない場合はいつライセンス付与されるかが分からないことをお伝えする。
それに対し、Webex Eventsはサインインしていればすぐに会議を開ける(その場でサインインを試してもらったところ、サインインできた。)が、参加者の人数が表示されてしまうことをお伝えする。
どちらにするかは検討されるとのこと。
=>zoomウェビナーとWebex Eventsを案内。
ただし、zoomウェビナーは遅くとも2週間前にはライセンス申請しておく必要があること、また空きがない場合はいつライセンス付与されるかが分からないことをお伝えする。
それに対し、Webex Eventsはサインインしていればすぐに会議を開ける(その場でサインインを試してもらったところ、サインインできた。)が、参加者の人数が表示されてしまうことをお伝えする。
どちらにするかは検討されるとのこと。
- ZoomのウェビナーっぽいことをWebexでやりたいときは、基本的にはWebex Events。
- ただ、ここ最近のWebexは「まったく新しいWebex」とか言って新旧混在している部分が結構ややこしいので注意が必要。
- 具体的な違いを把握しておく必要はないと思うが、違いがあること自体は認識しておくとよいかも:https://help.webex.com/en-US/article/8wf2bb/
- (実際、今回の件に関してもEvents(new)とEvents(classic)で微妙に挙動が違った)