👥

Teamsの匿名ユーザーって何?外部ドメインをブロックする設定による影響に関して

に公開
Teams
外部ドメイン
匿名ユーザー
tech

はじめに 既定の動作について

そもそもTeamsで扱われるテナント外のユーザーには種別があります。

ゲスト - ゲスト アカウントを使用してorganizationで Teams にログインしているユーザーをPeopleします。 ゲストには、会議で名前に "(Guest)" が追加されて表示されます。
信頼できる組織からのPeople - 相互に信頼関係を持つ他の Microsoft 365 組織の Teams にログインしているPeople。 信頼された組織からのPeopleは、会議で名前に "(External)" が追加されて表示されます。
匿名 - ID を検証できないPeople。 相互の信頼関係を持たないorganizationにログインしたり、アカウントを持っていない場合があります。 匿名の参加者は、会議で名前に "(Unverified)" が付加された状態で表示されます。

https://learn.microsoft.com/ja-jp/microsoftteams/plan-meetings-external-participants

ちなみに信頼できる組織とは、既定ではすべての外部ドメイン、設定をしていればその外部ドメインという意味だそうです。

会議や他の Microsoft 365 組織とのチャットでは、信頼するドメインを指定できます。 既定では、すべての外部ドメインが許可されます。 特定のドメインを許可またはブロックして、外部会議やチャットにorganization信頼する組織を定義できます。
(中略)
すべての外部ドメインを許可する - Teams の既定の設定であり、organizationのユーザーは、任意のドメインのorganization外部のユーザーとの会議を見つけ、通話、チャット、セットアップできます。
https://learn.microsoft.com/ja-jp/microsoftteams/trusted-organizations-external-meetings-chat?tabs=organization-settings#specify-trusted-microsoft-365-organizations

つまり、既定値では、すべての外部の組織テナントと信頼関係が結ばれており、会議やチャットができるということです。

ほかの組織とチャットをさせたくない!という場合

テナント外のユーザーとチャット等をさせたくない場合に、
「外部アクセス」>「組織設定」>「外部組織のTeamsおよびSkype For Businessユーザ」の設定において、「すべての外部ドメインをブロック」の設定をすると、どのような影響があるのか調べてみた。

テナントA:自組織とする
テナントB:自組織ではない他の組織とする

・テナントAにおいて、「外部アクセス」>「組織設定」>「外部組織のTeamsおよびSkype For Businessユーザ」の設定において、「すべての外部ドメインをブロック」の設定をしているとする。

すべての外部ドメインをブロックする - organizationのユーザーが、任意のドメインのorganization外部のユーザーと会議を検索、呼び出し、チャット、セットアップできないようにします。

https://learn.microsoft.com/ja-jp/microsoftteams/trusted-organizations-external-meetings-chat?tabs=organization-settings#specify-trusted-microsoft-365-organizations

この場合、テナントAのユーザーはテナントBの会議に参加できず、チャットも使えなくなるといった挙動になるのか、それとも会議参加自体ができなくなるのか。
※テナントAのユーザーはテナントBへゲストとして招待済みのユーザーではないユーザーとする。

結果:匿名ユーザーとしてのアクセスとなり、匿名ユーザーが許可される設定となっていれば会議参加が可能。

自テナントの Microsoft Teams 管理センターの [外部アクセス] にて、"外部組織の Teams および Skype for Business ユーザー" を "すべての外部ドメインをブロックする" に設定した場合、外部ドメインとの通信が行えなくなるため、テナントA内ユーザーは、外部テナントBにて開催された会議に参加できず、会議チャットにてやり取りを行うことができなくなる。
そのため、今までに参加していた会議も含め、外部テナントBで開催された会議への参加およびチャットでのやり取りは制限される動作となる。
なお、自テナントAにて、上述の設定を行った場合においても、外部テナントBの会議自体が自動的に削除されることはない。

なお、上述の設定に加え、会議開催側のテナントAの会議ポリシーにて、匿名ユーザーの参加を許可している場合、外部ユーザーAでテナントB会議に参加しようとしたユーザーは、自動的に匿名ユーザーとして会議に参加する動作となる。
<匿名ユーザーの許可設定>
https://learn.microsoft.com/ja-jp/microsoftteams/anonymous-users-in-meetings#anonymous-users-can-join-a-meeting

<匿名ユーザーとして動作する条件について>

同様に、organizationの会議開催者に外部アクセス許可がない場合、会議に参加するすべての外部参加者は、ゲスト アカウントでサインインしていない限り匿名と見なされます。

https://learn.microsoft.com/ja-jp/microsoftteams/plan-meetings-external-participants#meetings-with-other-microsoft-365-organizations

つまり、会議開催側のテナントA にて、会議ポリシーの "匿名ユーザーが会議に未確認で参加できる" をオフにした場合、自テナントのユーザーが外部テナントで開催されたチャネル会議に参加できない動作となる。

なお、公式ドキュメントから調査する限り、匿名ユーザーとのチャットを許可する設定はない模様。
[外部アクセス] にて、"外部組織の Teams および Skype for Business ユーザー" を "すべての外部ドメインをブロックする" の設定により、
会議中のチャットおよび1対1、グループ等すべてのチャットに関して、テナント外のユーザーと実施できなくなるようです。

おわりに

Teamsの「外部アクセス」>「組織設定」>「外部組織のTeamsおよびSkype For Businessユーザ」の設定において、「すべての外部ドメインをブロック」とすると、
外部ユーザーへのアクセス許可がなくなるため、すべてのテナント外のユーザー(ゲスト除く)は匿名ユーザー扱いとなる。
さらに「会議」>「会議の設定」>「会議参加とロビー」>「匿名ユーザーが会議に参加できる」:オン と設定し、匿名ユーザーによる会議への参加が許可されていれば、匿名ユーザーとして会議に参加できる。

Discussion