ブロックリスト機能でドメイン(contoso.com)をブロックしている場合、サブドメイン(spam.contoso.com、marketing.contoso.com)も全てブロックするという設定が実装される、という内容です。
3月中旬から4月頭実装とのことなので、もしかするともう終わってるところのほうが多いかもしれません。
設定に関してPowershellだけというのがややムズで、
Set-CsTenantFederationConfiguration -BlockAllSubdomains $True
というコマンドを入力する必要があります。
デフォルトではオフにされているので、管理人が何かをする必要はありません。
この設定を適用した場合、あらゆるコミュニケーションがブロックされる他、
Teams等のチャットに該当メンバーがいる場合、グループから勝手に外されます。
Teams側の設定で「特定の外部ドメインのみを許可」等の設定をして明示的に許可している場合は、
許可のほうが優先されます。
管理人がするべきことがかなり英語らしい言い方で、
If your organization is using a federation Block list, you should review the Block list domains and determine if a legitimate reason exists for not blocking all subdomains before you enable this new setting.
もし組織でフェデレーションブロックリストを使用している場合、ブロックリストを見直し、この設定を適用する前に、それらのドメインのサブドメインをブロックしない正当な理由を探したほうが良いでしょう。
「この設定しない理由を探しましょう」というあまり日本語では言わない言い方ですが、逆に言うとこの設定は普通はしたほうがいいんじゃないか?というニュアンスがかなり強いです。続く言葉も、
Most organizations should enable this setting to protect users from all related subdomains without manually adding all subdomains to the Block list.
ほとんどの組織ではこれ設定したほうが効率いいしセキュリティ的にもええやん、
と繋がります。
正直デフォルトでONになっても良い設定ではありますが、Powershellでしか設定できないということで、デフォルトOFFなパターンかと思われます。逆にUI側でいじれるようになったらデフォルトONになるかもしれません。
原文
In Microsoft Teams, we have introduced a new Tenant Federation setting to block all subdomains of domains in the federation Block list. If your organization is using a Block list to protect your users from malicious or other domains, you should enable this new setting to also protect users from all related subdomains without manually adding all subdomains to the Block list. For example, if you have contoso.com on your Block list and enable this setting, the subdomains spam.contoso.com and marketing.contoso.com will also be blocked.
When this will happen:
General Availability (Worldwide): We began rolling out mid-March 2024 and completed in early April 2024.
How this will affect your organization:
To enable this setting, use this PowerShell cmdlet:Set-CsTenantFederationConfiguration -BlockAllSubdomains $True
The new -BlockAllSubdomains parameter will be disabled by default (no blocking of subdomains), so there will be no impact to your organization if admins take no action.
If the -BlockAllSubdomains parameter is set to $True, all new communication to and from subdomains in the Block list will be blocked. Existing 1:1 chats with users from blocked subdomains will be disabled. In existing group chats with users from blocked subdomains, the users from the blocked subdomains will be removed from the group chat.
This new setting will not impact organizations who are using closed federation and have configured the list of allowed domains.
What you need to do to prepare:
If your organization is using a federation Block list, you should review the Block list domains and determine if a legitimate reason exists for not blocking all subdomains before you enable this new setting. Most organizations should enable this setting to protect users from all related subdomains without manually adding all subdomains to the Block list.
Learn more
- PowerShell cmdlet configuration: Set-CsTenantFederationConfiguration | Microsoft Learn
- Manage external communication: IT Admins – Manage external meetings and chat with people and organizations using Microsoft identities – Microsoft Teams | Microsoft Learn
- PowerShell Gallery | MicrosoftTeams 6.1.0
