LoginSignup
5
6

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@PowerBIxyz(Takeshi Kagata)

お呼ばれされてる Microsoft Teams へのサインインがブロックされてしまっていた顛末など

Posted at

たくさんの方の協力のもと解決となったのでまとめておこうと思うのです。だってアウトプットしなさいって言われちゃったし。反省と学び。

何が起きていたか

オシゴトだったりコミュニティ活動だったりいくつかの役割があるのだけど、お仕事先のみなさんと Teams を介して情報の共有や連絡など取っていたわけです。
image.png
で、お呼ばれされた先を切り替えて使いますよね。でも、特定の招待元だけサインインがブロックされてしまうという事態になっていたのです。
image.png
さて、困ったなと。誰に聞けばいいんだい?

Teams の サポートに聞いてみた

ひとまず、Teams のサポートに聞いてみた。
image.png
サポートアシスタント(Bot) が活躍してるんですね。キャッチボールに誘ってみたけど残念な表情をされてしまった。en-us な環境で使っているのだけど、サポートで利用する言語など指定できるので心配することはない。

  • ゲスト招待されていた Teams にサインインできなくなったときどうすればよいか?
  • Your sign-in was blocked

数度となくやり取りのなかで サポートからのお知らせは、

いま振り返るとユーザーレポートをちゃんと見ればよかったと思っている。サポートを担当してくれた人に無駄な労力を負わせてしまった。申し訳ない。きっと、ブロックに至るポリシーがあるんだろうけど、なぜ ブロックするのさ!って思いこんでたわけです。

なるほど、こういうことだったのかも

Azure Active Directory - Security - Risky users
image.png
あぁ、リスク評価されてる。今でこそなるほどなと思える。悶々としていた時にちゃんと見ていたとしても、え?なんでブロックされるの?と思っていたはず。現にホームテナントの Teams にサインインできるし、他のお呼ばれされた Teams にもサインインできていたし。

きっと招待元個々に条件付きアクセスやポリシーがあって挙動に違いがあるんだろうな。じゃぁ、AAD 運用管理している人に対し、どうしたらよいの?なぜブロックになるの?と聞かないとならないものだと思ってたのです。招待元に聞いてみてっていう経緯もあってそう思い込んでいた。

たまたまなんだけど、Azure B2B の 場所ベースの条件付きアクセス について検証する機会が直前にあり、これは招待元で設定するものであった、条件付きアクセスってたぶんそういうものだよねとも思っていたわけ。でも、

B2B コラボレーション ユーザーの条件付きアクセス - Azure AD | Microsoft Docs

現時点では、リスク評価は B2B ユーザーのホーム組織で実行されるため、B2B ユーザーに対してリスクベースのサインイン ポリシーを適用することはできません。

あぁ、そうなんですね。リスク評価はホーム組織なんですね。
で、何となくこんな感じだったのかと。知らんけど(個人の感想です。)

A :
ホーム組織) うちのアカウントでゲストとしてサインインしたいんですけど、どうですか?

招待元組織) 別に構わないけど、条件はこんな感じです

ホーム組織) 承知した。

ホーム組織) サインインしたぜ

ボンクラ) ぅぇ~ぃ

B :
ホーム組織) うちのアカウントでゲストとしてサインインしたいんですけど、どうですか?

招待元組織) 別に構わないけど、条件はこんな感じです(リスク評価にマークされていないこと含む)

ホーム組織) 承知した。

ホーム組織) あー、このアカウントはリスク評価でマークしてるじゃない。サインインはブロックっていうダイアログを表示するぜ。

ボンクラ) なんでこの招待元だけブロックされるん💢

なので、リスク評価について処理をしてみた。
Azure Active Directory Identity Protection でリスクのフィードバックを提供する | Microsoft Docs

AAD Premium P2 とか EMS E5 とかないので詳しくわからないけれども、なんとなく心当たりがあるので [ユーザーリスクを無視する / Dismiss user(s) risk] とした。
image.png
image.png
image.png
およそ一か月ぶりにゲストでサインインできて解決となった。よかったよかった。
image.png

思ったこと🙄

招待元に聞いてみるというのはかなりな条件が揃っていないとできるものではないので躊躇していたのです。だって、得意先ですし面倒な取引先だなって思われるのはとても困るよねと。招待元の複数のTeamsに参加していることはよくあるだろうし招待してくれた人に聞いてもわかんないよね、たぶん。
各組織で運用するセキュリティポリシーに関わることでもあるから、おいそれと開示してくれるわけもなさそうだし、徹底されたポリシーを運用している組織ってあるよね。

  • ホーム組織 : そもそもぼっちテナントなのでサインインをブロックって何すか🤪
  • よくある組織 : まぁよくあることなので特段にサインインをブロックすることもなく😃
  • 徹底した組織 : リスクが存在するサインインはまかりならん👺
5
6
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
6

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?