Teamsでキャリアメールのゲストユーザーを招待し、チームに登録する手順

はじめに

　「キャリアメール」を例示として書いておりますが、Entra ID（Azure AD）でなく、マイクロソフトアカウント（MSA）でもなく、ワンタイムパスワードを使うことになるゲストユーザー全般に適用できる話です。

　Microsoft Teams（以下、Teams）のチーム利用では、外部の方をチームに招待できるゲストアクセスという素晴らしい機能があります。ゲストアクセスでは、Microsoft Entra ID B2B（従来の名称はAzure AD B2B、以下Entra ID B2B）の仕組みが利用されます。

Entra ID B2Bで招待される方のメールアドレスは、どこで認証されるか、その認証の過程での多要素認証の登録はどういった手続きでというのが複数あるため、チーム招待を承諾して利用可能になるまで手間取ることがあります。
　今回は、au.comのドメインをもつキャリアメールの一つをチームに登録する手順がやや煩雑だと経験したので、そのメモになります。

（参考）様々なゲストユーザーのホームディレクトリ等

実際のテナント内の利用状況の例です。

• ExternalAzureAD : 招待されるユーザーもM365等Entra IDを利用している
• MicrosoftAcount : マイクロソフトアカウント（MSA）の場合
• mail : ホームディレクトリがなく、ワンタイムパスワード(OTP)を利用する （今回の対象）

ゲスト招待の承諾における確認シーケンスはこちらです。

上図は以下のLearnを参照しました。

説明する環境

• 2023年9月1日時点の確認です。
• 招待されるゲストユーザ　xxxx@au.com
• AndroidのTeamsのチームに登録する（iOS、PCでも同様）
• AndroidにはTeamsアプリと、Microsoft Authenticatorをインストールしておく
• 招待するテナントは「Entra IDのセキュリティデフォルト」で、ゲストを含めてすべてのユーザーに2要素認証の登録を要求する

準備

　ゲストユーザーについて、一度認証方法の登録、ゲストユーザーの承諾をリセットしたところから説明します。
まずは、認証方法でMicrosoft Authenticatorを削除します。

次のB2Bの受入が完了しているのをリセットします。

確認メッセージがあり...

すぐに右上にメッセージがでます。

Androidでの流れ 招待メールの承諾より

auメールアプリで、招待のメールを受信しました。

承諾を押します。

OTPの送信

ワンタイムのコードを送信します。

メールにくるこの8桁が必要ですね。

コピペしてサインインします。

承諾します。

認証方法（MFA）の登録へ

そのまま続けて認証方法の登録です。

MFAのデファクトスタンダードの方法は、認証アプリ Microsoft Authenticator でしょう。事前にインストールしていることを確認して、次へに進みます。

まず次へです。

ここで画面のいったりきたりが発生します。ぐるぐるしているうちに

Microsoft Authenticator へのペアリングのリンクを押します。

ここの数字は前の画面にあり、そこをアプリを切り替えて確認します。入力したら「はい」を。

前の画面はこちら

通知が承認され

成功 となれば完了です。

Teamsのチームへの招待

　ゲストユーザーを登録します。そして、チームのURLをメールで送り、招待します。

(1)のメンバーを追加のみで招待メールがでます。個別に、リンクを送りたいときは、(2)のチームへのリンクを取得して送ります。

メールが届いたらこちらから、Teamsを起動します。

iOSではリンクからすぐアプリが開きました。Androidでは以下のようになります。ブラウザ(URL)接続ですかね。

Teamsが起動しました。サインインに進みます。

メールアドレスを入力して次へ

画面がかわりまして、、、

OTPのコード送信になり、サインインに進みます。

「アクセス許可の要求者」の画面を承諾します。

Microsoft Authenticatorの確認プロセスですね。

Teamsに戻ると無事入れました～

おわりに

iPhoneもほぼ同様で対応できるかと思います。一度だけ、Microsoft Authenticatorに認証方法を登録するところ、少しわかりずらいですね。
　こちらは2023年9月1日時点での情報です。クラウドサービスは進化しますので、今後ステップが変わる可能性があります。

(おまけ) 「このユーザー名は間違っている可能性」とは

関連する余談です。xxx@au.comで、 https://aka.ms/MySecurityInfo からMFAの登録状態をみてみよう、とやろうとすると...

このユーザー名は間違っている可能性があります。正しく入力したことをご確認ください。入力に問題がない場合は、管理者にお問い合わせください。

なんてことになります。このエラーメッセージがまたわかりずらいですね、、、

この対応としては、先にサインインオプションで、ドメインを指定し

そのあとメールアドレスを入れます。

そうするとこのように進みます。

OTPを入れ、Microsoft AuthenticatorのMFAをクリアすると

このようにアクセスできます。

一度、MFAの登録ができてしまって、正しい手順を知っていたら便利ですね！

（おそるべし、海のように深し、Entra ID B2Bの世界! ww）