Teamsに関して、有益そうな情報を共有させていただきます。

【外部テナントへゲストアクセスする際のエラーについて】

社内環境のTeamsから社外のチームへゲストアクセスする際に発生するエラーについて、対処法をご紹介します。


■エラーメッセージ
アカウントがブロックされました。
お客様のアカウントについて、疑わしいアクティビティが検出されました。
申し訳ございません。アクセスしようとしている組織では危険なユーザーを制限しています”テナント名”の管理者にお問い合わせください。

このメッセージは、社内環境に接続しているPCで、ゲスト招待されている社外のチームにアクセスしようとする際に発生する場合があります。

【原因】

ゲスト招待されている側（以下ホームディレクトリ）のAzureAD上で、該当ユーザーアカウントがリスク検知されている場合に発生する。

■リスクの確認手順
①管理者権限のあるアカウントで、テナントのAzureAD管理センターにアクセスする
② [Azure Active Directory] > [セキュリティ] > [危険なユーザー]の順に展開する
③危険なユーザーの一覧に、該当ユーザーアカウントが含まれていることを確認する

■リスク検知とは
AzureAD Identitiy Protectionの機能の一つ。
（Identitiy protectionでユーザーリスクポリシーが構成されていて、ユーザーのリスクが検知された場合にアクセスを「ブロックする」設定をしていると本エラーメッセージが発生します。

【危険なユーザー】の一覧では、以下の内容を確認できます。

・どのユーザーにリスクがあり、リスクが修復されたか無視されたか
・検出の詳細
・すべての危険なサインインの履歴
・リスクの履歴

管理者は、これらのイベントに対して、以下のアクションを実行することができます。

・ユーザーのパスワードをリセットする
・ユーザーの侵害を確認する
・ユーザーのリスクを無視する
・ユーザーによるサインインをブロックする
・ユーザーによるサインインをブロックする
・AzureATP（Azure Advanced Threat Protection）を使用してさらに調査する

参考 : https://docs.microsoft.com/ja-jp/azure/active-directory/identity-protection/howto-identity-protection-investigate-risk

■ユーザーリスクが検知される原因

ユーザーのリスクは、ユーザー関連の疑わしいアクティビティが行われた場合に検知される。疑わしいアクティビティの内容は以下の通りです。

・漏洩した資格情報
 このリスク検出の種類は、ユーザーの有効な資格情報が漏洩したことを示します。サイバー犯罪者によって有効なパスワードが侵害された場合、その情報の多くは闇サイトや貼り付けサイト等の闇市場で取引されます。Microsoftの資格情報サービスはこれらの闇市場を監視しており、ユーザの資格情報が取引されたことを確認すると、「漏洩した資格情報」としてリスク検知します。

・AzureAD脅威インテリジェンス
 このリスクの検出の種類は、Microsoftの内部および外部の脅威インテリジェンスのソースに基づいて、特定のユーザーにとって異常で合ったり、基地の攻撃パターンに一致したりするユーザーアクティビティを示します。


【対処法】
このエラーメッセージが発生した場合の対処法は、以下の2通りです。

①ユーザーのパスワードをリセットする
  「https://passwordreset.microsoftonline.com」にアクセスし、自身でアカウントのパスワードをリセットする。テナントでこの動作が許可されていない場合は、
ホームディレクトリの管理者に依頼し、パスワードをリセットしてもらう。

②リスクを無視する
 AzureAD管理センター上の危険な―ユーザー一覧の中から、該当のユーザーにチェックを入れ、「ユーザーリスクを無視する」を選択する。

上記2パターンでAzureAD上からユーザーリスクがクリアすることによりエラーは解消します。

【所感】
「リスクを無視する」を選択する場合、本当に無視してよいかは吟味する必要があります。情報漏洩により資格情報が外部に出回っていると、不正利用されるリスクが高まるため、ユーザーに検出されているリスクの種類が何なのか、無視して問題ないかを検討して対応することが重要だと思います。

以上です。