ゲストユーザーのアクセスは、組織内のユーザー管理と比べて、トラブルが出やすい。前回書いた【備忘録】ゲストユーザーがSharePointサイトにアクセスできなくなったでもおきたけど、今度はそもそも招待したはずのゲストユーザーがチームを開けない、とケースが発生したのでまとめてみた。
概要
同一ドメインのゲストユーザーを招待しているチームがある。
ここに同一ドメインの方を追加したところ、アクセスできない、と言われた。
諸般の事情でチームから直接は招待できないようにしている。かわりに、AzureADにゲストユーザーとして招待・承認後、Office365グループに追加する、という手順で行っている。
今までこの手順で問題なかったんだが、ということで仮説を立てみた。
仮説1 ゲストの方の参加テナントが異なる
Teamsアプリで、どのテナントのユーザーとして参加するか、テナントを選択できる。
ここを弊組織側に変えてもらったらいけんじゃないか?
結論:そもそもここに表示されてませんでした。(解決せず)
仮説2 AzureAD上のアカウントの状態が異なる
Azure AD上でゲストユーザーの状態を確認する。ゲストユーザーへの招待は承諾済みとは言ってたけど、実は承諾されてないんじゃないか?
結論:きちんと承諾されてました。(解決せず)
仮説3 AzureADアカウントと同名のMicrosoftアカウントだったりしないか?
今は作成できないけど昔は作成できた(私も会社メールアドレスと同じMSA持ってる)。その関係でSharePointのゲストユーザーでも何度かトラブってる経験があるし、それかな?
結論:AAD上でもきちんと外部のAADになってるし、MSAアカウントはお持ちではない方でした。(解決せず)
仮説4 Teamsグループ上の役割が異なる
テナントのユーザーの場合、チームの役割は所有者か、メンバーの2つ。
ゲストユーザーの場合は、ゲストになる。
しかし、このユーザーだけゲストユーザーにもかかわらず「メンバー」になっていた。
AAD上のゲストユーザーなのに、メンバー?
仮説4掘り下げ
いつもはAADでゲストとして招待→AAD上で、対象のグループに追加している。UPN表示は先方のUPN(多くの場合メールアドレスと同じ)になっていた。
そういえば今回は、AADでゲストとして招待→Microsoft365管理センター上で、対象のグループに追加している。M365管理センターで招待するときのUPN表示は、ゲスト用のUPNになっていたな・・・ひょっとしてこれか?
john.smith@anotherdomain.com だったら、
john.smith_anotherdomain.com#EXT#@mydomain.onmicrosoft.com みたいな感じ。
対象のゲストユーザーを、チームから削除し、AADから削除し、AADの削除済みから削除し。そのうえで、AADのゲストとして再招待し、AAD上でグループに追加したところ、正常にアクセスできるようになりました。
結論:解決しました!
まとめ
ゲストユーザーのグループへの追加という操作でも、Azure Portalでの操作とMicrosoft365管理センターでの操作で挙動が違うのかもしれない。再調査はまた後日。
Microsoft 365 のゲストユーザーは扱いが難しいところがありますね。