たくさんの方の協力のもと解決となったのでまとめておこうと思うのです。だってアウトプットしなさいって言われちゃったし。反省と学び。
何が起きていたか
オシゴトだったりコミュニティ活動だったりいくつかの役割があるのだけど、お仕事先のみなさんと Teams を介して情報の共有や連絡など取っていたわけです。
で、お呼ばれされた先を切り替えて使いますよね。でも、特定の招待元だけサインインがブロックされてしまうという事態になっていたのです。
さて、困ったなと。誰に聞けばいいんだい?
Teams の サポートに聞いてみた
ひとまず、Teams のサポートに聞いてみた。
サポートアシスタント(Bot) が活躍してるんですね。キャッチボールに誘ってみたけど残念な表情をされてしまった。en-us な環境で使っているのだけど、サポートで利用する言語など指定できるので心配することはない。
- ゲスト招待されていた Teams にサインインできなくなったときどうすればよいか?
- Your sign-in was blocked
数度となくやり取りのなかで サポートからのお知らせは、
- ダイアログから予想される原因について
- Azure portal におけるリスクのフラグ付きユーザー レポートをみたらいいかも
- Azure Active Directory のサポートの方がいいかも(有償になるかもだけど)
- 招待元に直接問い合わせた方がいいかも
いま振り返るとユーザーレポートをちゃんと見ればよかったと思っている。サポートを担当してくれた人に無駄な労力を負わせてしまった。申し訳ない。きっと、ブロックに至るポリシーがあるんだろうけど、なぜ ブロックするのさ!って思いこんでたわけです。
なるほど、こういうことだったのかも
Azure Active Directory - Security - Risky users
あぁ、リスク評価されてる。今でこそなるほどなと思える。悶々としていた時にちゃんと見ていたとしても、え?なんでブロックされるの?と思っていたはず。現にホームテナントの Teams にサインインできるし、他のお呼ばれされた Teams にもサインインできていたし。
きっと招待元個々に条件付きアクセスやポリシーがあって挙動に違いがあるんだろうな。じゃぁ、AAD 運用管理している人に対し、どうしたらよいの?なぜブロックになるの?と聞かないとならないものだと思ってたのです。招待元に聞いてみてっていう経緯もあってそう思い込んでいた。
たまたまなんだけど、Azure B2B の 場所ベースの条件付きアクセス について検証する機会が直前にあり、これは招待元で設定するものであった、条件付きアクセスってたぶんそういうものだよねとも思っていたわけ。でも、
B2B コラボレーション ユーザーの条件付きアクセス - Azure AD | Microsoft Docs
現時点では、リスク評価は B2B ユーザーのホーム組織で実行されるため、B2B ユーザーに対してリスクベースのサインイン ポリシーを適用することはできません。
あぁ、そうなんですね。リスク評価はホーム組織なんですね。
で、何となくこんな感じだったのかと。知らんけど(個人の感想です。)
A :
ホーム組織) うちのアカウントでゲストとしてサインインしたいんですけど、どうですか?
↓
招待元組織) 別に構わないけど、条件はこんな感じです
↓
ホーム組織) 承知した。
↓
ホーム組織) サインインしたぜ
↓
ボンクラ) ぅぇ~ぃ
B :
ホーム組織) うちのアカウントでゲストとしてサインインしたいんですけど、どうですか?
↓
招待元組織) 別に構わないけど、条件はこんな感じです(リスク評価にマークされていないこと含む)
↓
ホーム組織) 承知した。
↓
ホーム組織) あー、このアカウントはリスク評価でマークしてるじゃない。サインインはブロックっていうダイアログを表示するぜ。
↓
ボンクラ) なんでこの招待元だけブロックされるん💢
なので、リスク評価について処理をしてみた。
Azure Active Directory Identity Protection でリスクのフィードバックを提供する | Microsoft Docs
AAD Premium P2 とか EMS E5 とかないので詳しくわからないけれども、なんとなく心当たりがあるので [ユーザーリスクを無視する / Dismiss user(s) risk] とした。
およそ一か月ぶりにゲストでサインインできて解決となった。よかったよかった。
思ったこと🙄
招待元に聞いてみるというのはかなりな条件が揃っていないとできるものではないので躊躇していたのです。だって、得意先ですし面倒な取引先だなって思われるのはとても困るよねと。招待元の複数のTeamsに参加していることはよくあるだろうし招待してくれた人に聞いてもわかんないよね、たぶん。
各組織で運用するセキュリティポリシーに関わることでもあるから、おいそれと開示してくれるわけもなさそうだし、徹底されたポリシーを運用している組織ってあるよね。
- ホーム組織 : そもそもぼっちテナントなのでサインインをブロックって何すか🤪
- よくある組織 : まぁよくあることなので特段にサインインをブロックすることもなく😃
- 徹底した組織 : リスクが存在するサインインはまかりならん👺