司会:
説明:
書記:
参加者:サポーター16名
オレンジ色の部分は、ミーティング中に挙げられたコメント等です。
最近の事例から
Zoom
質問: Zoomのクラウド録画を削除する作業を進めている。現在の使用量を知りたい。
回答: https://u-tokyo-ac-jp.zoom.us/recording で「エクスポート」を押すと各録画ファイルの容量が記載されたcsvファイルをダウンロードできる。容量の列を合計すると現在の総使用量が分かる。
回答: https://u-tokyo-ac-jp.zoom.us/recording で「エクスポート」を押すと各録画ファイルの容量が記載されたcsvファイルをダウンロードできる。容量の列を合計すると現在の総使用量が分かる。
- Zoomクラウド録画における不要なデータ削除等のお願いに記載の通り、不要なクラウド録画を削除していただくよう呼び掛けを行っています。
- しかし、自分で現在の使用容量を簡単に確認する方法は無いようです。 https://zoom-support.nissho-ele.co.jp/hc/ja/articles/360047320952 には管理者画面での確認方法が書いてありますが、個人別の使用容量は分からないようです。
- (このTipsはutelecon上にも書いてありませんが、ここに書いておけば助かる人がいるかもしれないので取り上げました。)
ECCSクラウドメール (Google Workspace)
質問: ECCS クラウドメールのSSO化によって、メールアプリの動作にどのような影響が出るか
回答1: 特に案内の内容から変化することはありません(❌)
回答2: 厳密には、お使いのメーラーがOAuthでの認証に対応している必要があります。ThunderbirdやOutlookの最新版なら対応していますが、当窓口のサポート範囲はGoogle公式のGmailアプリ・Web版に限られます。
回答1: 特に案内の内容から変化することはありません(❌)
回答2: 厳密には、お使いのメーラーがOAuthでの認証に対応している必要があります。ThunderbirdやOutlookの最新版なら対応していますが、当窓口のサポート範囲はGoogle公式のGmailアプリ・Web版に限られます。
- 後から教職員による訂正が入ってしまいましたので、内容を確認しておきましょう。内部資料
- なぜOAuthなのか(サポーターミーティングでは初出?)
- パスワード(SSO化で使えなくなる)
- 認証: ユーザーがメーラーに自分で決めたパスワードを入力し、メーラーとサーバーの間でそのパスワードをやり取りする。
- 認可: メーラーに全権を委ねることになる。危ない!(特にパスワードを使い回している場合!!)
- アプリパスワード(SSO化後も使える)
- 認証: ユーザーがメーラーに自動生成されたアプリパスワードを入力し、メーラーとサーバーの間でそのアプリパスワードをやり取りする。
- 認可: メーラーに全権を委ねることになる。危ない!
- OAuth
- 認証: ブラウザが開かれて、ユーザーとサーバーの間でSSOなどで認証が行われる。メーラーにはパスワードではなく認証結果だけが渡される。OAuthは認証ではない!
- 認可: 権限を限定できる。例えば、メール・カレンダーにはアクセス許可を出すが、ドライブにはアクセス許可を出さないなど。安心!
- ※なぜOAuthは認証ではないのか。メーラーとサーバーの間の認証方法はトークン認証などと呼ぶべきものである。例えばメーラーごとの秘密情報(クライアントID等)とユーザーごとの秘密情報(トークン)の組をやり取りする。
- パスワード(SSO化で使えなくなる)
- ↑分かりやすさ重視の適当な説明ですので、厳密なところはご自身でお調べください。
質問: 現在、自分は学生でありながら教職員としての雇用も受けており、先のUTokyo Account一元化の連絡に「希望する」と回答した。今朝学生アカウントでGmailを開こうとしたら教職員アカウントに飛ばされる現象が起こった。これは正常な挙動なのか。学生アカウントでサインインすることはできなくなったのか。
回答: 一元化には関連しておらず、SSO化による挙動と考えられます。学生アカウントでサインインするには、一度教職員のUTokyo Accountからサインアウトし、改めて学生のUTokyo Accountでサインインをお試しください。
回答: 一元化には関連しておらず、SSO化による挙動と考えられます。学生アカウントでサインインするには、一度教職員のUTokyo Accountからサインアウトし、改めて学生のUTokyo Accountでサインインをお試しください。
- SSO化と一元化の影響を切り分けている案件でしたので取り上げました。
- 切り分けのために日付などの時間に関する情報を使うことは役に立つことが多い印象です。(ミスリードになることもありますが)今回の場合、一元化実施が2/26で、相談が2/22だったので一元化に起因する問題ではないのではないかという考察が成り立ちます。【内部情報】を読んでおくことがこうした見事な対応にもつながると思います。
UTAS
質問: 自動証明書発行機でパスワードの失敗回数が上限に達しロックされた。ロックを解除してほしい。
回答: ロックアウトの具体的な条件は不明ですが、ともかく本窓口でロックを解除することはできないので所属部局の窓口へご相談ください。
回答: ロックアウトの具体的な条件は不明ですが、ともかく本窓口でロックを解除することはできないので所属部局の窓口へご相談ください。
- 証明書発行機がロックされる事例にあまり見覚えがないので取り上げました。
- (内部限定の話題あり)
ITC-LMS
質問: UTOLの氏名のカナ表記が間違っている
回答: UTASに登録されているカナが間違っているためと考えられます。部局の教務担当窓口へご相談ください。
回答: UTASに登録されているカナが間違っているためと考えられます。部局の教務担当窓口へご相談ください。
- 相談先が人事担当ではなく教務担当なのがポイントです。
- すべての教職員は人事給与系に名前があって、一部の教職員は学務系にも名前がある。UTOLを英語表示にすると違いが分かる。……のは常識ではないですね。
UTokyo Account
質問: 一元化の数年後に大学院を卒業し、同時に教職員として着任する見込みである。学生アカウントに一元化したら、卒業後にどのような不都合が想定されるか。
回答: 今片方消すか、離籍するときに片方消すかの違いしかなく、特に不都合はないと考えられます。
回答: 今片方消すか、離籍するときに片方消すかの違いしかなく、特に不都合はないと考えられます。
- 一元化してもしなくてもUTokyo Accountは離籍するときに消えます。
- (ECCSクラウドメールなどデータの引き継ぎを気にするシステムもあります。学生アカウントにたくさんデータがあるなら、一元化して教職員アカウントを消す方が楽で、教職員アカウントにたくさんデータがあるなら、卒業時に学生アカウントを消す方が楽なのではないでしょうか。)
- 一元化すると、再雇用時に過去のデータを参照できるシステムにおいて、学生と教職員の両方のデータを参照できます。また、教職員としての離籍が後になるとき、学生としてのデータに引き続きアクセスできます。
UTokyo Accountにおける多要素認証
質問: MFAのスマホでの本人確認が面倒なので、メールで本人確認したい
回答:
UTokyo Accountを用いた普段のサービスのサインインでは、一度多要素認証でサインインすると、サインアウトしない限り再度多要素認証を求められることはありません。
ただし、多要素認証の設定変更時には、サービス利用時とは別に本人確認が必要です。教職員調査により、設定変更のための多要素認証が繰り返し求められていることが分かりました。
ご要望いただいたメールでの多要素認証は利用できません。各メールアカウントの安全性を確認することが難しいためです。
スマートフォンを介さずに認証できるFIDOセキュリティキーや、プロファイルごとにアカウントを利用し、サインアウトせずに利用できるブラウザのプロファイルの利用をご検討ください。
UTokyo Accountの多要素認証は東京大学の情報セキュリティ向上のために行われているものであり、ご協力をお願い申し上げます。
回答:
UTokyo Accountを用いた普段のサービスのサインインでは、一度多要素認証でサインインすると、サインアウトしない限り再度多要素認証を求められることはありません。
ただし、多要素認証の設定変更時には、サービス利用時とは別に本人確認が必要です。教職員調査により、設定変更のための多要素認証が繰り返し求められていることが分かりました。
ご要望いただいたメールでの多要素認証は利用できません。各メールアカウントの安全性を確認することが難しいためです。
スマートフォンを介さずに認証できるFIDOセキュリティキーや、プロファイルごとにアカウントを利用し、サインアウトせずに利用できるブラウザのプロファイルの利用をご検討ください。
UTokyo Accountの多要素認証は東京大学の情報セキュリティ向上のために行われているものであり、ご協力をお願い申し上げます。
- 単なる質問や相談の場合は、事実の説明だけで良いかもしれませんが、今回は要望として伝えられたので、理由を丁寧に説明するよう努めました。
Microsoft 365 (Office)
質問: ①WindowsアプリのOutlookメーラーを使っていたところ、6か月以上経過した古いメールの一部がなくなった。スマホアプリのGmailアプリで確認しても、古いメールは残っていなかった。②また、WindowsのOutlookで利用していたフォルダ分けがスマホのGmailに反映されない。
回答:
①Outlookの設定によって半年前のメールが削除されている可能性があります。
Outlookでのメール取得方法にはPOPとIMAPの2つの方法があります。POPではサーバ上のメールが削除されてしまうため、IMAPを使用することをお勧めします。
また、Outlookの既定の設定では6か月経つと受信トレイのメールが自動的にアーカイブされます。アーカイブフォルダに残っているかもご確認ください。
②別途調査いたしますので、詳細情報をお教えください。
回答:
①Outlookの設定によって半年前のメールが削除されている可能性があります。
Outlookでのメール取得方法にはPOPとIMAPの2つの方法があります。POPではサーバ上のメールが削除されてしまうため、IMAPを使用することをお勧めします。
また、Outlookの既定の設定では6か月経つと受信トレイのメールが自動的にアーカイブされます。アーカイブフォルダに残っているかもご確認ください。
②別途調査いたしますので、詳細情報をお教えください。
- 「メール取得方法にはPOPとIMAPの2つの方法があります」の詳細についてはこちら→ https://support.microsoft.com/ja-jp/office/ca2c5799-49f9-4079-aefe-ddca85d5b1c9
- POPは「全て移動」のイメージです。メールデータは1台のPCに保管されるので、メールサーバーの容量が少なくて済みます。昔はISPなどで提供されていたメールサーバーの容量が限られていたので、新着メールを全てダウンロードした後、メールサーバーを空にしなければ新しいメールを受信できなくなってしまいました。
- IMAPは「必要な分だけコピー」のイメージです。メールデータはサーバーに保管されるので、PCとスマホなど複数のデバイスからメールを確認できます。PCやスマホなどでメールを開いたらそのメールだけがダウンロードされ、メールサーバーにもデータが残ります。昔のGmailはメールサーバーの容量の大きさも画期的でした。
質問: 研究室で新規購入したラップトップにUTokyo Microsoft LicenseでOffice365のアプリをインストールできない。(派遣職員の方)
回答: Microsoftとの契約の都合上、派遣職員の方には、ご自身のUTokyo AccountでOffice365のアプリをインストールしてご利用いただくことはできない旨を説明し、ご所属先でPCを手配してくださった方にも、その旨をお伝えいただくこととした。
回答: Microsoftとの契約の都合上、派遣職員の方には、ご自身のUTokyo AccountでOffice365のアプリをインストールしてご利用いただくことはできない旨を説明し、ご所属先でPCを手配してくださった方にも、その旨をお伝えいただくこととした。
- 「学生および東京大学に雇用されている教職員のみが利用できます」と明記されました。
- この条件に該当しない方には、「ご所属先でPCを手配してくださった方」に言及しているこの対応が良いと思います!
質問: Microsoft Copilot は Microsoft 365 と連携して使用できるか
回答: 本学のライセンスで利用できるのは、Microsoft Copilotというサービスです。一方で、ご質問いただいた「WordでのCopilot利用」は、Copilot for Microsoft 365という別の製品に該当します。後者は現在提供されているライセンスには含まれておらず、ご利用いただけません。
回答: 本学のライセンスで利用できるのは、Microsoft Copilotというサービスです。一方で、ご質問いただいた「WordでのCopilot利用」は、Copilot for Microsoft 365という別の製品に該当します。後者は現在提供されているライセンスには含まれておらず、ご利用いただけません。
- 最初の回答は先方の質問への答えになっていませんでした。
- サポーターの手元で「WordでのCopilot利用」を試してみれば、その機能がないことに気づけたのではないでしょうか。
質問: OneDrive for Businessのみ同期されなくなり、画面には「サインインするときに問題が発生しました(0x8004da9a)」などと表示されている。ブラウザからもOneDriveにアクセスできず、画面には「問題が発生しました [エラーメッセージ]不明なレンダリングエラー」と表示されている。OneNoteにもアクセスできない。
質問: UTokyo VPNに接続することでOneDriveにアクセスできるようになったが、ローカルのプリンターが使えなくなった。
質問: UTokyo VPNに接続することでOneDriveにアクセスできるようになったが、ローカルのプリンターが使えなくなった。
- 2024年3月11日に一部ネットワークからOneDriveやSharePoint(UTokyo Portal含む)にアクセスできないトラブルが発生しました。
- ワークアラウンドとしてUTokyo VPNを経由するなどネットワークを変える方法を案内しました。(DNSをGoogleやらCloudflareやらのパブリックDNSに変更する方法もありますが、上級者向けなのでメール回答には含めていませんでした。)
- しかし、UTokyo VPNに接続すると研究室等のプリンターやファイルサーバーにアクセスできない副作用の訴えもありました。これは、「ローカル(LAN)アクセスを許可する」にチェックを入れると解消できると考えられます。
- 根本原因はDNSサーバーでしたが、サポーターの皆さんはDNSについてどれくらい理解されているでしょうか?
UTokyo Wi-Fi
質問: ゲスト用Wi-FiアカウントはZoomのホストに繋げられるほどの速度や帯域を持っているのか。
回答: 起票して確認したところ、特に帯域制限はなかった。
回答: 起票して確認したところ、特に帯域制限はなかった。
- ポイント1: UTokyo-Guestとゲスト用Wi-Fiアカウントは別物です。
- ポイント2: どちらの場合も帯域制限はありません。これは知っておいて損はない事実だと思います。
質問: 年始からUTokyo Wi-Fiに繋がらなくなった。スマホでもPCでも繋がらない。他のWi-Fiにはつながる。
回答: 2024年1月5日にUTokyo Wi-Fiのサーバ証明書が更新されたことに伴い、改めて新しい証明書を信頼する操作が必要です。時期と挙動から見て、それを何らかの理由で行わなかったことが原因ではないかと考えられます。プロファイルの削除と再設定をご案内
回答: 2024年1月5日にUTokyo Wi-Fiのサーバ証明書が更新されたことに伴い、改めて新しい証明書を信頼する操作が必要です。時期と挙動から見て、それを何らかの理由で行わなかったことが原因ではないかと考えられます。プロファイルの削除と再設定をご案内
- プロファイルの再設定を行うことで、「証明書を信頼するかどうか尋ねる画面」を再び出せると考えられます。
- 証明書を更新したタイミングで「新しい証明書を信頼してください」とアナウンスしていただけると親切ではないかと思います。
質問: 情報セキュリティ教育の合格・多要素認証の設定を行っているにもかかわらず、UTokyo Wi-Fiアカウントメニューに入れない。
回答: チャットでリアルタイムに受講・合格を確認したが、システムには反映されていない。
回答: チャットでリアルタイムに受講・合格を確認したが、システムには反映されていない。
- Microsoftフォームからの情報連携に不具合がありました。
- 他の可能性をつぶしきったら起票するのがよいでしょうか。Zendesk上に情報を集めるとこういった異変を察知できるかもと期待できます。
UTokyo VPN
質問: VPNに接続しようとすると、Connect capability is unavailable because the VPN service is unavailable.のエラーメッセージ
- 3月にUTokyo VPNがバージョンアップされ多くの問題が生じました。
- Windowsではインストーラを起動できない問題がありました。種類の異なるCPU向けのインストーラを配っていたためで、再インストールですぐに解決しました。
- Macでは本件のように「バックグラウンドでの実行を許可」されておらず接続できない問題がありました。
- まず、これらの問題を混同しないように注意してください。
- 解決策は色々です:
- システム設定アプリで「バックグラウンドでの実行を許可」をオンにして解決したケース
- 再インストールして解決したケース
- 「バックグラウンドでの実行を許可」に表示されないバグに当たりコマンドを実行してもらったケース
質問: UTokyo VPNが突然使用できなくなり、再インストールを試みたところ、下記のエラーが出た。
Cisco Secure Clientはこのディスクにインストールできません。version5.1.1.42 of Cisco Secure Client is already installed.
回答: 完全にアンインストールされておらず、一部が残ってしまっていると考えられます。つきましては、一度以下の手順に従って、完全なアンインストールと再インストールをお願いいたします。
Cisco Secure Clientはこのディスクにインストールできません。version5.1.1.42 of Cisco Secure Client is already installed.
回答: 完全にアンインストールされておらず、一部が残ってしまっていると考えられます。つきましては、一度以下の手順に従って、完全なアンインストールと再インストールをお願いいたします。
- (uteleconにはアンインストール方法がまだ書かれていないようですね?)
- Uninstall Cisco Secure Client.app を実行してアンインストールできれば、それで良いです。
- コマンドを使用する方法はCisco AnyConnect Secure Mobility Client 4.x のアンインストール手順 (MacOS)で説明されていますが、パスが /opt/cisco/anyconnect/bin/vpn_unistall.sh だったり /opt/cisco/secureclient/bin/vpn_uninstall.sh だったりに変わっていて、難しいです。
質問: macOSでVPNに接続するときに手順Fで接続ボタンを押してUTokyo Accountにサインインすると”The certificate on the secure gateway is invalid. A VPN connection will not be established.”とエラーがでる
回答: エラーメッセージから原因がわからず、最近頻出している問題であるbackground processの許可と再インストールを試してもらうべきか迷うところだった
回答: エラーメッセージから原因がわからず、最近頻出している問題であるbackground processの許可と再インストールを試してもらうべきか迷うところだった
- 中間者攻撃のようなことをしている特殊なネットワークからアクセスされていた模様です。
- 証明書の不備をきちんと弾いてくれることが分かり安心です。(ダメな例 https://blog.tokumaru.org/2014/09/androidkindlesslcve-2014-3908.html )
質問: UTokyo VPNの接続中にサイト(東大ポータルやGmail)にアクセスできない。VPNに繋いだ時点でインターネットが切断された。
回答: 教職員のログ調査によりセキュリティソフトウェア「ノートン」のVPNとUTokyo VPNが干渉を起こしている可能性があると分かりました。
一般に、VPNソフトウェアやそれに伴うセキュリティ機能は、他社製品間で干渉するケースがあることが知られています。
つきましては、もしノートンやその他のVPNサービスを利用されているようでしたら、一度オフにした状態で接続をお試しいただけますでしょうか。
回答: 教職員のログ調査によりセキュリティソフトウェア「ノートン」のVPNとUTokyo VPNが干渉を起こしている可能性があると分かりました。
一般に、VPNソフトウェアやそれに伴うセキュリティ機能は、他社製品間で干渉するケースがあることが知られています。
つきましては、もしノートンやその他のVPNサービスを利用されているようでしたら、一度オフにした状態で接続をお試しいただけますでしょうか。
- ノートンとの干渉が最近多く見られます。学生が対応する段階で干渉の可能性を疑えると良いでしょう。
- 干渉の可能性を確定させるためには、VPN接続元ログを調べないといけないので大変です。
その他
質問: 短縮URL、QRコードによる短縮URLの危険性について聞きたい
回答:
1.「短縮URLが危険」と一般的に言われている理由について
URLの見た目だけではアクセス先が信頼できるサイトかどうか判断しにくくなり、短縮URLを受け取った側はフィッシングサイトなどに誘導されていないか注意する必要が出てきます。
2. Googleフォームの短縮URLと、その他短縮URLサービスにおける注意点
Googleフォームの短縮URL( https://forms.gle/ )は、アクセス先がGoogleのサービスであることが受け手側でもわかります。
しかしながら、外部の短縮URLサービスを利用する場合は、アクセス先のURLが分からないため、受け取った人がアクセスを躊躇する可能性があります。また、秘匿すべきURLを外部のサービスに入力することはセキュリティ上問題になります。
3. QRコードについて
QRコードも短縮URLと同様に、受け取る側ではアクセス先のURLが分からないため、フィッシングサイトに誘導されるリスクがあります。受け取った人がアクセスを躊躇する可能性があります。
回答:
1.「短縮URLが危険」と一般的に言われている理由について
URLの見た目だけではアクセス先が信頼できるサイトかどうか判断しにくくなり、短縮URLを受け取った側はフィッシングサイトなどに誘導されていないか注意する必要が出てきます。
2. Googleフォームの短縮URLと、その他短縮URLサービスにおける注意点
Googleフォームの短縮URL( https://forms.gle/ )は、アクセス先がGoogleのサービスであることが受け手側でもわかります。
しかしながら、外部の短縮URLサービスを利用する場合は、アクセス先のURLが分からないため、受け取った人がアクセスを躊躇する可能性があります。また、秘匿すべきURLを外部のサービスに入力することはセキュリティ上問題になります。
3. QRコードについて
QRコードも短縮URLと同様に、受け取る側ではアクセス先のURLが分からないため、フィッシングサイトに誘導されるリスクがあります。受け取った人がアクセスを躊躇する可能性があります。
- どこまで踏み込んで回答するか悩ましい質問ですが、いい感じに練られているので取り上げました。