Teams: "Vaše přihlášení se zablokovalo"

Your Sign-in was blocked“ je chybová hláška která se u nás začíná objevovat uživatelům Microsoft Teams, kteří jsou pozváni jako hosté do jiné ogranizace aby pracovali společně v jednom týmu. Nejzajímavější na tom je, že ale jejich kolega sedící o židli vedle, se v pohodě do externího týmu připojí. Jak je to možné a co to typicky způsobuje?

Proč zrovna nyní a u nás

Pro všechny účastníky lokální https://www.microsoftacademy.cz/ pořádané v ČR a SK jsme interně v Microsofu (v doméně microsoft.com) vytvořili Teams skupinu a nyní je tam zveme jako hosty pro diskuzi s námi i mezi sebou. Ve stejné době se zvýšil tlak na naše Cloud Solution Provider partnery poskytující cloudové služby a starající se o zákazníky aby implementovali Premium úroveň zabezpečení AAD. Někteří z pozvaných IT odborníků, (account byl vždy z nějakého firemního AAD, typu jmeno@partnerfirma nikoli Microsoft Account např. jmeno@hotmail) mívají nyní problémy s tuto hláškou. Jejich kolegové, kteří sedí na vedlejší židli, dostali pozvánku současně, ale do Teams skupiny se dostanou! Kde je pak problém?

AAD Risky users

Problém není na straně společnosti, která zve externí uživatele do svých Teams (v našem případě microsoft.com) ale na straně AAD hosta, který se tam chce připojit. Daný uživatel a jeho činnost je totiž v rámci nových bezpečnostních pravidel AAD, které jsou implementovány jeho společností, označen za rizikového a je mu, na základě jeho minulé činnosti, „odpíráno“ se zalogovat svým firemním účtem do cizího AAD tenantu s Teams.

Administrátoři vše mohou monitorovat v AAD Azure portálu a učinit kroky aby se tak již nedělo, označit některý z alertů za chybný, vymazat všechny, nejlépe ale nakonfigurovat vše aby se podobné věci nestávali ani ostatním.

Stránka s přehledem zabezpečení pro povolení zásad rizik uživatelů a přihlašování

https://docs.microsoft.com/en-us/azure/active-directory/reports-monitoring/concept-user-at-risk

Pokud se vám toto stane, požádejte tedy své AAD administrátory o „výmaz vašeho rejstříku“ :

Azure Portal -> Azure Active Directory -> Security -> Risky Users -> User -> “Dismiss all events”

… nebo o jiný způsob „povolení vycházek“ do cizího AAD (Teams) …

https://docs.microsoft.com/en-us/azure/active-directory/identity-protection/howto-identity-protection-remediate-unblock

Buri