npo に office365 nonprofit 版導入してみました。
Post on 23-Jan-2018
836 Views
Preview:
TRANSCRIPT
NPOにOffice365Nonprofit版導入してみました
STUDIOさきあると 鶴田貴則
AL-QASAS株式会社 伊東聰
2017/11/04 第20回 Office 365 勉強会
はじめに
【概要】 Office365 は NPO にも使える Office 365 Nonprofit がございます。 その導入を、
実際にNPOへ行った時の 体験談や注意点をメインにご紹介いたします。
STUDIOさきあると 鶴田貴則 自己紹介
鶴田 貴則(あると沙樹)
鶴田 貴則https://www.facebook.com/sakiaruto
• ITエンジニアです。• ライブ配信、Azure MediaServices してます。• 最近 主にOffice365 、Azureのトラブルシューティングをやってます。
Studioさきあると
あると沙樹https://www.twitter.com/sakiaruto
鶴田 貴則http://www.slideshare.net/sakiaruto
動画配信コミュニティhttps://www.facebook.com/groups/119666864376
2182/
AL-QASAS株式会社 伊東聰 自己紹介
伊東 聰(いとう さとし)※聴覚障害あり
「IT傭兵、B級エンジニア」ライフワーク:人間改造論、イスラム法学、地理歴史地学、心身医学、障害学、医療情報技師、古代エジプト考古学…
「今はまだ食えないので」・ライスワークとして、システム開発20年・得意技:言語間翻訳(自然言語およびプログラミング言語)
既存システム・ソース解析などの考古学的な手法を使用したリバースエンジニアリング
利益相反 Conflicts of interest (COI)
• STUDIOさきあると
プリセールスおよびアドバイザー
(AL-QASAS株式会社と顧問契約あり~2017年)
• AL-QASAS株式会社
構築およびメンテナンス業務請負(発表者)
• エージェント
株式会社オープンメディア様(AL-QASAS株式会社取引先)
• エンドユーザ様
日本ジオパークネットワーク様(以下、JGN様)
(株式会社オープンメディア様取引先)
JGN様は東京都より「仮認定NPO法人」として認可されています。(2016)
当プロジェクトは下記のような関係性で行われたものです。
注意事項
本資料について個人で準備した環境において、個人的に実施した結果や調査をもとに記載しております。また、本資料の内容ならびに閲覧により生じた一切の問題及び不利益について、発表者は一切の責任を負うことができませんのでご了承ください。
構築しておもったこと■4つのポイント
「おもったよりも大変だった」「片手間ではできない」
「NPO審査の流れや準備、DNS設定の問題」「アクセス権限の設計がカギ」
■小規模NPOの5つの特徴
1. 構築時間・教育どうする?⇒ ※JGNは本部で5名、平日10:00-16:00 土日祝日休み
2. 【課題】人材がいないため、サービスイン長期化⇒伊東は別の案件を平日終日常駐
3. 一般にNPO法人ではシステムのメンテナンスコストを大きく負担できない。
4. 特にシステム管理者を常駐させるための負担ができない
5. 事務職の常駐者はITやPCはくわしくない⇒負担を感じさせないしくみが必要
➢ 「富山の置き薬プロジェクト」⇒他の案件(WEB案件)との併用
「ポータルサイトがほしいね」
からはじまる
8
なぜOffice365を選んだのか
1. NPO版があったから。原則無料で使える(今は本部の5ユーザについてはE3を採用)
2. ほかのポータルサイトツールの問題⇒サービス終了時の移行問題
• 事業所の規模が小さすぎて、隙間案件でしか対応できない。
• サービスが終了した時のシステム移行にエンジニアを派遣することができないため、なるべく終了しないツールを採用する必要がある。
3. Office365であれば、知らない人がいないツールであるし、長期運用が可能である。
<Office365の弱点>
ITエンジニアや大規模事業所向けに自由に設計することができるために、素人には構築の難易度が高すぎる⇒片手間ではできず、構築の長期化
※たまたま地方自治体でのシステム運用の経験のある方がJGN様におられた⇒GO!
一般ユーザにとってのMicrosoft Office 365について
1. Office が使える法人・団体向けのクラウド グループウェアである
2. 電子メール、スケジュール、オンライン会議を提供している
3. 最新の Office ドキュメントに、どこからでもアクセスできる
4. PC、タブレット、スマートフォン、どのデバイスからもアクセスできる
5. 安全にアクセスできる
6. 定期的にデータの自動バックアップが行われる
7. クラウドサービスにドキュメントを保管できる
8. クラウドサービス上でメールがスパムやウイルスから保護される10
Office 365 Nonprofitについて
Office 365 Nonprofitとは◆
非営利団体や NGO による活動の支援を目的としたグローバルサービスのOffice365です。
➢情報サイト
https://products.office.com/ja-jp/nonprofit/office-365-nonprofit
➢対象団体
11
非営利団体に必要なツールを提供
無料のメール機能、ドキュメントのオンライン編集機能
やストレージを利用できる
ビデオ会議、インスタント メッセージングで
世界中のチームをまとめることができる
オンライン ストレージとリモート ファイル共有で
いつでもどこにいてもアクセスできる
12
セキュリティ、法令遵守、プライバシー
つまり、セキュリティ、
プライバシーについて強固である
すべてのお客様に対して、堅牢なデータ処理契約、EU モデル条項、HIPAA ビジネス アソシエート契約への準拠を契約上保証している
独立監査人の検証を受けたセキュリティ フレームワークのクラウドベース グループウェア
ISO 27001 標準に準拠している
13
気にするところも意外とあるので
大事なところです。
イントラネット上のチーム サイト
情報共有機能
SharePoint Onlineをつかえばイントラネットも構築できる!
1.ニュースフィード(社内版Facebookのようなもの)
2.ドキュメントの共有
3.タスク管理
4.予定表
5.ディスカッション掲示板
http://news.mynavi.jp/series/365/007/
14
Office365、ひとつのIDですべてが使える
15
欲しい機能 Office365
メール Outlook
スケジュール管理
ファイル管理 One Drive for Business
オンライン会議 Skype for Business
情報伝達 SharePoint
イントラネット(ポータル)
+Office アプリケーション
ここまでのまとめ その1
1. Office 365 Nonprofitは「NPO向け」のOffice365である
2. 内容は通常のOffice365とほとんど差はない
3. Microsoftがお客様のデータをみることはない
4. JGNは東京都から認可されているNPOなので、対象になる
16
公益法人社会福祉法人もOKだよポイント
夢を大きくかきすぎないように!
まずは導入したい
17
利用できるプランについて
➢E1プラン(無償)
オンラインのみのOfficeを使用できる
➢E3プラン(月額410円/1ユーザー)
E1に加えてOfficeクライアント(PCインストール版)を
月額課金で1ユーザーあたり5台までのデバイスで利用できる
➢使用期間
制限なし(2013 年 9 月30 日現在)。ただし 2 年ごとにユーザー資格の再検証を行います。
18
ここまでのまとめ その2
1. 利用できるプランはE1とE3であり、E3は有償である
2. E1はNPO対象の特別なプランである
3. PCインストールのOfficeが必要な場合はE3になる
4. Officeアプリケーションからポータルまでサービスがある
5. Outlook、One Drive for Business、Skype、SharePointで構築か
⇒最終的にshaerPointを使うことになった
19
申し込みの流れ
1. 独自ドメインの「SRVレコード等」編集可能なDNSサーバーを用意する
2. 「Office 365 Nonprofit のプランと料金」のページへいく
3. 必要なサービスの無料試用版のボタンをクリックする
4. アカウントをセットアップする
5. 非営利団体に所属していることの確認がおこなわれる
(通常、3 日から 7 日程度、場合によっては20日ぐらい)
5. 試用版の登録手続きで本プログラムの利用資格の有無が確認される
6. 試用期間中に、管理ポータルの [ライセンスの管理] タブで、ユーザーを割り当てる
(ユーザー数の上限は 25 )
5. 利用資格の検証結果がメールで届く(1か月~50日後)
6. 「Office 365 Nonprofit 」を Office 365 管理ポータルで利用できる
7. 試用版のユーザーをいずれかの Office 365 Nonprofit (寄贈版の E1 や Business Essentials など) に割り当て直す
20
「Office 365 Nonprofit のプランと料金」のページへいく
https://products.office.com/ja-jp/nonprofit/office-365-nonprofit-plans-and-pricing
21
Office 365 Nonprofit Business Premium
を選択する
試用期間中に、MS社がNPOに認定非営利団体としての資格があるかどうか確認を行う。
組織が認定非営利団体として認定されると、寄贈版のNonprofit E1 に切り替えることができる。試用期間の終了時に、
自動的に課金されることはありません。
22
実際の審査はMicrosoftではなく、techsoupjapanという団体に委託されています。https://www.techsoupjapan.org/
独自ドメインのDNSサーバーについて
➢Office 365 Nonprofit 利用に独自ドメインが必須
ドメインに特定の DNS レコードを書き込む必要があります。
TXTレコード、CNAMEレコード、MXレコード、SRVレコード
上記編集のできるサービスは限られている
※伊東・鶴田が各自自社に導入した時は「ロケットネット」を使用していた
⇒弊社で普段使いしていたさくらインターネットにはこの機能がなかったため
※JGN様ではヘテムルを使用
これに関してはお客様の状況にあわせたDNSサーバの選定が必要
http://www.slideshare.net/angelndxp/office365dns
23
困った! その1
「今まで使っている独自ドメインを使いたい!」
⇒ややNG 正直この規模ではやめたほうがいい。
独自ドメインが必要です通常使用しているものと別途用意
理由:
採用できるかどうかの調査と設定後のテスト期間が必須
今まで使えていたメールが使えなくなるため、Office365専用のメールと2つ払い出す必要がある
つかえるレンタルサーバーの制限がある
エンジニアサイドの事情:
DNSの設定がややこしくなる。
その分工数がかかる
⇒「片手間分の工数では対応は無理」※JGN様についてはこの対応を行った。
お客様の要望(一般企業/NPO法人
ともに)「すでにあるドメインにOffice365を追加して使いたい」要望は一番多いです。
メーリングリストがあったのを忘れていまし
た。
審査の経緯(メールで行われる)
1. 登録後、以下のメールが届く
「非営利団体向けOffice 365」の資格確認のための追加情報ご提供のお願い
➢審査のためには以下の必要書類を求められる(ケースバイケース)
専用の申請書(団体確認書)※法人印の捺印を含む
登記簿謄本
定款
2. PDFファイルをメールで送付
3. MS社より『承認されました: 慈善団体資格に関するリクエスト』
※承認まで1か月~50日かかる見込み25
審査中の場合、試用期間の延長を依頼する30 日の試用期間の終了期
限が近づいても、Office365 から利用資格に関する通知が届かない場合は、カスタマー サポート
に問い合わせる。
NPOヒロバ=NPO法人のデータベースについて
<NPOヒロバの入力>下記のとおり、申請のための情報が厳しいです。・事務局スタッフ数、・活動分野、・主たる活動分野、・事業内容、・財政規模、・事業年度、・総収入額・総支出額
も必須入力・公開事項とのことです。
※放置されていて、メンテナンスされていないことも多いので、早めに準備
構築のためのチェックシート作成
ここまでのまとめ その3
1. まずは「試用期間」申し込む
2. DNSを編集できる独自ドメインを準備する
3. 審査時に「専用の申請書(団体確認書)」「登記簿」「定款」を提出
4. 申し込み~審査完了まで1か月~50日(その間使える)
※間に合いそうにないときは、カスタマーセンターに連絡して延期を(たいがい間に合う)
5. 申し込み完了後、E1にきりかえることができる
28
結局、開設完了は10
月になった。ここまでは2016年8月~10月までのことである
2017年1月からが大変だった…
困った!その2 グループでお客様大混乱!
当初はOffice365グループのみでの構築を考えていた…。
が、「ゲストアクセス」のしかけがほしいとのこと。
現状の365グループによるプライベートグループでは、グループ所有者以外も
ファイルやフォルダの共有を行えてしまうとの情報をお客様が入手。
「不安が残るため」
セキュリティグループによるアクセス権限設定でSharePointを使うことにした。
管理上の理由で一般ユーザにこの選択はおすすめしません!
サイトの希望は以下の通り
グループの中には「関係者以外立ち入り禁止」グループがあります。事務局や運営会議、役所関係の部門などは関係者しかはいれません。各地ジオパーク各自でも有効活用していただこうと、各ブランチを作成します。そこではブランチ内の議論や企画やイベント等おこなわれている予定です。公共の図書館のような(とはいってOffice365メンバーのみですが)情報の倉庫も作成いたします。
大変なことになりますよ
管理上の理由で一般ユーザにこの構成はおすすめしません!
先の構成をざっくりと書くと…
審査機関
セキュリティグルー
プA
セキュリティグルー
プB
図書館
新潟
岡山
サイト
ライブラリ
ドキュメントフォルダ
権限のある人のみ 全員閲覧できる
新潟の権限の人しか入れない
岡山の権限の人しか入れない
上層から下層に設定していく
困った!その3 アクセス権限がわかりません!
まず「心配になる」5つの疑問
1. SharePoint Online サイトコレクションメンバーがメンバー以外の人に URL 送れる?
2. Office 365 メンバー以外がアクセスできる?
3. サイト コレクションに権限が付与されていないメンバーは?
4. アクセス権限はだれでも付与出来る?
5. 各サイトの作成者と指名したユーザー以外はすべての管理ができますか?
つまり、情報漏えいこわい
結論:ご安心ください。すべてできません!ただし、設定を「正しくする」必要があります。
ユーザー設定⇒グループ設定⇒サイト設定
1. ユーザーを設定
2. グループを設定
3. 設定したグループ単位でサイトへのアクセス権限を設定する
4. サイト(サブサイト)を設定
5. ライブラリ設定
6. ドキュメント設定
<このやり方の利点>
サイトのアクセス権限はグループで設定するということが重要!
ユーザーの管理をグループで行えば、サイトのアクセス権限に影響を与えない
グループを3種類つくるゲストとゲスト以外
ゲスト以外の中に各都道府県をつくる
困った!その4 固有のアクセス権限って何よ?
office365の高専高校の情報漏洩事件を覚えていますか!
⇒一例ですが、簡単に再現できます。
・原因は「office365のアクセス権限の継承設定を間違えた」可能性
・が、気づかずそのまま運用に。
・事故がおきるポイントは新しくユーザーを追加するとき
➢ シナリオ
・shaerpointの構築で、webページの上(サイト)で「図書館」をつくる
・アクセス権限は、その「図書館」に入館証を与えるイメージ
これが構築の重要なポイントになります。
推察される事故の状況 前提条件
・たとえばMSセンタービルのなかに図書館があり、各都道府県の
「秘密の部屋」があるとする
・新潟のアクセスok のひとは、 MSセンタービル、図書館、新潟の
3つのアクセス権限がいる。
・新潟のアクセス権限のあるひとは他の都道府県ははいれない
・アクセス権限には「shaerpointのアクセス権限」と「固有のアク
セス権限」がある
・新潟のアクセス権限は「固有のアクセス権限」でつくる
・図書館まではすべての都道府県のアクセス権限がある
・新潟の秘密の部屋を作って、新潟のアクセス権限をつける
事故を「再現」する手順 その1
1. 図書館に「サイトのアクセス権限」をつける⇒全都道府県がアクセスできる
2. 「新潟」フォルダ(ドキュメント=ライブラリ)を作成する
3. ドキュメント> 「新潟」で「共有」で「新潟」に権限を与える
4. ここで与えた「新潟」のアクセス権限はsharePointの権限である
事故を「再現」する手順 その2
5. ドキュメントからライブラリ設定>このドキュメント ライブラリに対する権限へ
6. 「権限の継承を中止」をクリックする
⇒ここで「すべての継承がリセットされた」と誤解してドキュメントに戻り、
各都道府県フォルダ作成作業を続行する
事故を「再現」する手順 その3
7. 岡山のフォルダを作成して、共有設定を行う
8. そのときに「固有のアクセス許可を持つアイテムを含む~」をそのままにする
事故を「再現」する手順 その4
9. 共有を確認すると権限がないはずの「新潟」のユーザーにアクセス権限が付与されている!
新潟のユーザはここにいる
アクセス権限の「継承」について
1. 「権限の継承の中止」とは
「固有の権限を設定する」ときに「SharePointの権限の継承」を解除し、割り当てる設定
SharePoint権限は配下の階層へと必ず継承される。
2. 「固有の権限の削除」とは
ライブラリの独立した権限設定を削除する設定。
設定するためには[権限の継承を中止] で解除し、「固有の権限 (権限の継承が解除された状態)」を設定
いずれも「これから設定する」ものについて切り替えるだけ。自動的になくなるわけではない。
それまで継承されていた権限は残る。そのため不要な権限を削除する必要がある。
3. [固有のアクセス許可を持つアイテムを含む、このフォルダー内のすべてのアイテムを共有します。] とは
現在設定しているライブラリの配下に存在する固有の権限があるすべてのアイテムをユーザーへ共有する
疑問?SharePoint 既存のアクセス権限が付与されているグループを削除したらどうなる?管理がややこしくなるので、
自分が設定したアクセス権限以外を削除したが…
<例>
sharepoint company administrator
疑問:"<サイト名> 所有者グループ" と "一般ユーザー" に付与されている
フル コントロール権限に違いはあるのか?
回答:サイトの設定内、[アクセスの依頼と招待状]による
内部ユーザー、また外部ユーザーへのアクセスの依頼状況を確認できなくなる。
2017年11月現在、それ以外の不自由は今のところ発見されていない。
このプロジェクトでやった設定方法 その1
1. 図書館に「サイトのアクセス権限」をつける⇒全都道府県がアクセスできる
2. 権限の継承を中止をクリックする
3. SharePointの権限を削除してドキュメントに戻る
このプロジェクトでやった設定方法 その2
5. 「新潟」フォルダ(ドキュメント=ライブラリ)を作成する
6. 「アクセス許可を付与」で共有をおこなう
7. 「固有の権限がある~」をオフにする
8. 権限が「新潟」のみであることを確認した。
このプロジェクトでやった設定方法 その3
7. 岡山のフォルダを作成して、共有設定を確認する(新潟が継承されていないことを確認)
8. 「固有のアクセス許可を持つアイテムを含む~」をオフにする
9. 岡山のみが追加されることを確認
10. デフォルトの「固有のアクセス権限〜」を解除する方法はない(こまめにチェックボックスのチェックをはずす)
※フォルダを作成するごとに、関係ない権限が継承されていないか、確認する
このプロジェクトでやった設定方法 その4
9. ライブラリ設定で確認すると、権限が別々に設定されていることを確認できる。
10. 【事故発生の別事例】ライブラリ設定で権限を付与すると、フォルダを作成したときにその権限が設定されてしまう
[例]広島の権限をライブラリ設定で設定すると、それ以後東京を作成した際に、広島の権限が継承されてしまう
※1 継承の可否を設定する機能はライブラリ設定にはない(固有の権限の削除を勘違いしやすい)
※2 固有の権限が設定されているアイテムは必ずアイテムの権限確認画面まできて設定すること
まとめ その4
➢ 事故防止のワークフロー
1. 親の権限を解除する
2. 残留した権限を削除する (必要に応じて)
3. 新しく権限を割り当てる
➢ まとめ
1. ShaerPointの権限(システム)と、固有の権限(オリジナル)の2つある
2. 「権限の継承の中止」と「固有の権限の削除」でそれぞれを切り替える
3. それまでに作成した権限がそのまま継承される
4. こまめにサイトの設定やライブラリの設定を確認する
5. グループ単位で権限を付与すれば、ユーザーの追加削除の影響を権限がうけることはない
Office 365 Supportへの
問い合わせ40件
抜粋して紹介します
48
疑問!SharePoint
サイトを一括で複製できないの?
たとえばPowershellとか…
A:できません。
テンプレートを使えばできるが…
希望:SharePointの予定表をOffice365 内のユーザーの予定表に取り込みたい
Exchange Online の予定表に SharePoint OnlineのWeb内の予定表を重ね合わせする機能は実装されていない。
つまり、「できません」ということ
Exchange Online と SharePoint Onlineの領域は独立していて、高度な上級エンジニアがかかわるような領域だと、重なる部分もあるかもしれないが、一般人ユーザレベルでコントロールはできない。
逆に言うとその分セキュリティは強固ということ。
※ ただし、Exchange Online の予定表と SharePoint Onlineの予定表を重ね合わせて表示することは、Outlook クライアントを利用すればできるとのこと。自動的に同期をとることはできない。
疑問!ごみ箱に移動したアイテムはどうなる?
A:ユーザが違えばごみ箱から拾った別ユーザのアイテムはみられない
※ サブ サイト A にてごみ箱へ移動したアイテムは、ユーザー B はみられな
い
トップ サイトの 「サイト コレクションの管理者"」へ設定しているユー
ザーは、
配下の各サブサイトのごみ箱の中のアイテムを参照できる。
ユーザー A/B を「サイト コレクションの管理者」にしない注意が必要
希望!外部への情報漏洩の制御、もっと強くできない?いろいろなやりかたができるので、管理するのが怖いのだけど…
IRM 機能というものがある。
許可されていない人々が機密情報を印刷、
転送、またはコピーできなくする。
強すぎて専用ツールでないとみえない
ドキュメントがでるので却下
悲報!アクセス権限消してしまった!
アクセス権限削除したら復活できない
アクセス権限のメンテナンスは
心落ち着かせて行いましょう
ちなみにこのプロジェクト中に120ユーザを消す事故を起こし、
復旧に5時間かかりました…
あやまって消さないために、ぜひグループをかませての登録をお願いいたします。
ご清聴ありがとうございました。
今回も
top related