As communicated in MC805200 Microsoft Teams: Tenant Federation setting to control external access with trial-only tenants (June 2024), we introduced a new admin control to enable you to block external access (federation) with Teams trial-only tenants. Some malicious actors have used free Teams trials to launch phishing or abuse attacks against Teams users. With this setting you can add another layer of protection for users against some of these attacks.

Between June 2024 and August 2024, we provided a 45-day window to allow you to review and update the setting before enforcement began. Now, by default, this new setting will block external access with trial-only tenants and requires explicit action from you to continue to federate with trial tenants. 

[When this will happen:]

General Availability (Worldwide): Available now. Blocking or allowing external access with trial-only tenants with this setting was enabled August 15, 2024. If you missed MC805200, you can still manage the setting for your organization at any time.

[How this will affect your organization:]

Teams PowerShell now supports the new Tenant Federation setting -ExternalAccessWithTrialTenants with the values Allowed or Blocked. When set to Blocked, all external access with users from Teams subscriptions that contain only trial licenses will be blocked. This means users from these trial-only tenants will not be able to search or reach your users via chats, Teams calls, and meetings (using the users’ authenticated identity) and your users will not be able to reach users in these trial-only tenants. If this setting is set to Blocked, users from the trial-only tenant will also be removed from any existing chats. The default setting will be to block external access with trial-only tenants.

Important Notes

• A “trial-only” tenant is defined as a tenant with a Teams service plan that has only Trial subscriptions (0 purchased licenses).
• Shared Channels, Guest access and Anonymous Meeting joins will not be affected by this setting.
• This new setting only controls external communication with trial-only tenants within the same Microsoft 365 cloud environment. When enforcement starts, users from trial-only tenants in public clouds will be blocked by default from external communication with users in other Microsoft 365 cloud environments and with Microsoft Skype for Business server users. No admin control will exist to allow cross-cloud external communication with trial tenants.
• If your tenant has enabled Allow only specific domains and specified domains in the Allow list, and if -ExternalAccessWithTrialTenants is set to Blocked, trial-only tenants in the Allow list will be blocked. If this setting is set to Allowed, all domains in the Allow list will be allowed.
• If your tenant has enabled Block all external domains, the -ExternalAccessWithTrialTenants setting has no impact.
• If your tenant has enabled Block specific domains and specified domains in the Block list, and if the -ExternalAccessWithTrialTenants setting is set to Blocked, trial-only tenants not in the Block list will also be blocked. If set to Allowed, this setting has no impact.
• For two trial-only tenants to be able to federate, both of them need to have the -ExternalAccessWithTrialTenants set to Allowed.

[What you need to do to prepare:]

Review your settings for external access to determine if you need to change the default value for this new setting. To change this setting, install the latest PowerShell package (6.4.0) and use the Set-CsTenantFederationConfiguration command to set the desired value when the setting is available:

1. Download or upgrade to the latest PowerShell package: https://www.powershellgallery.com/packages/MicrosoftTeams/
2. To allow external communication with trial-only tenants, use this command: Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Allowed"
3. To block external communication with trial-only tenants, use this command: Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Blocked"

Learn more

• PowerShell cmdlet configuration: Set-CsTenantFederationConfiguration | Microsoft Learn
• Manage external communication: IT Admins – Manage external meetings and chat with people and organizations using Microsoft identities

You may want to notify your admins about this change and update any relevant documentation as appropriate.

「MC805200 Microsoft Teams: 試用版専用テナントとの外部アクセスを制御するテナント フェデレーション設定 (2024 年 6 月)」でお伝えしたように、Teams 試用版専用テナントとの外部アクセス (フェデレーション) をブロックできるようにする新しい管理者コントロール を導入しました。一部の悪意のあるアクターは、無料の Teams 試用版を使用して、Teams ユーザーに対してフィッシング攻撃や悪用攻撃を仕掛けています。この設定を使用すると、これらの攻撃の一部に対するユーザーの保護をさらに強化できます。

2024 年 6 月から 2024 年 8 月にかけて、違反措置が開始される前に設定を確認して更新できるように、45 日間の期間を設けました。現在、既定では、この新しい設定では試用版のみのテナントでの外部アクセスがブロックされ、試用版テナントとのフェデレーションを続行するには、明示的なアクションが必要になります。 

[これがいつ起こるか:]

一般提供 (全世界): 現在利用可能です。この設定を使用して、試用版のみのテナントでの外部アクセスのブロックまたは許可は、2024 年 8 月 15 日に有効になりました。MC805200見逃した場合でも、組織の設定をいつでも管理できます。

[これがあなたの組織にどのように影響しますか:]

Teams PowerShell で、値 Allowed または Blocked を持つ新しいテナント フェデレーション設定-ExternalAccessWithTrialTenantsがサポートされるようになりました。Blockedに設定すると、試用版ライセンスのみを含む Teams サブスクリプションのユーザーとのすべての外部アクセスがブロックされます。つまり、これらの試用版専用テナントのユーザーは、チャット、Teams 通話、会議 (ユーザーの認証済み ID を使用) を介してユーザーを検索または連絡できず、ユーザーはこれらの試用版専用テナントのユーザーに到達できなくなります。この設定を Blocked に設定すると、試用版のみのテナントのユーザーは、既存のチャットからも削除されます。既定の設定では、試用版のみのテナントで外部アクセスがブロックされます。

重要な注意事項

• “試用版のみ” のテナントは、試用版サブスクリプション (0 個の購入済みライセンス) のみを持つ Teams サービス プランを持つテナントとして定義されます。
• 共有チャネル、ゲスト アクセス、匿名会議への参加は、この設定の影響を受けません。
• この新しい設定は、同じ Microsoft 365 クラウド環境内の試用版のみのテナントとの外部通信を制御します。適用が開始されると、試用版のみのテナント in public clouds のユーザーは、他の Microsoft 365 クラウド環境のユーザーや Microsoft Skype for Business サーバー ユーザーとの外部通信から既定でブロックされます。試用版テナントとのクラウド間外部通信を許可する管理者制御は存在しません。
• テナントで [許可] リストで [特定のドメインと指定したドメインのみを許可する ] が有効になっている場合、[ -ExternalAccessWithTrialTenants ] が [ Blocked] に設定されている場合、許可リスト内の試用版のみのテナントはブロックされます。この設定を Allowed に設定すると、許可リスト内のすべてのドメインが許可されます。
• テナントで [すべての外部ドメインをブロックする ] が有効になっている場合、 -ExternalAccessWithTrialTenants 設定は影響しません。
• テナントで [ブロック一覧の 特定のドメイン と指定したドメインをブロックする] が有効になっている場合、 -ExternalAccessWithTrialTenants 設定が Blocked に設定されている場合、ブロック一覧に含まれていない試用版のみのテナントもブロックされます。 Allowedに設定した場合、この設定は影響しません。
• 2 つの試用版のみのテナントをフェデレーションできるようにするには、両方のテナントで -ExternalAccessWithTrialTenants を Allowed に設定する必要があります。

【準備に必要なこと】

外部アクセスの設定を確認して、この新しい設定の既定値を変更する必要があるかどうかを判断します。この設定を変更するには、最新の PowerShell パッケージ (6.4.0) をインストールし、設定が使用可能な場合は Set-CsTenantFederationConfiguration コマンドを使用して目的の値を設定します。

1. 最新の PowerShell パッケージをダウンロードまたはアップグレードします: https://www.powershellgallery.com/packages/MicrosoftTeams/
2. 試用版のみのテナントとの外部通信を許可するには、次のコマンドを使用します。 Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Allowed"
3. 試用版のみのテナントとの外部通信をブロックするには、次のコマンドを使用します。 Set-CsTenantFederationConfiguration -ExternalAccessWithTrialTenants "Blocked"

詳細情報

• PowerShell コマンドレットの構成: Set-CsTenantFederationConfiguration |マイクロソフト ラーン
• 外部コミュニケーションの管理: IT 管理者 – Microsoft ID を使用して外部会議を管理し、ユーザーや組織とチャットします

この変更について管理者に通知し、必要に応じて関連ドキュメントを更新することをお勧めします。