Azure Active Directory の非管理対象ディレクトリを管理者として引き継ぐ
この記事では、Microsoft Entra の一部である Azure Active Directory (Azure AD) の非管理対象ディレクトリにある DNS ドメイン名を引き継ぐ 2 つの方法について説明します。 セルフサービス ユーザーは、Azure AD を使用しているクラウド サービスにサインアップするときに、電子メールのドメインに基づいて管理されていない Azure AD ディレクトリに追加されます。 サービスに対するセルフサービス ("バイラル") サインアップについては、「Azure Active Directory のセルフサービス サインアップについて」をご覧ください
非管理対象ディレクトリを引き継ぐ方法を決定する
管理者の引き継ぎのプロセスでは、「カスタム ドメイン名を Azure Active Directory に追加する」で説明されているように、所有権を証明できます。 次のセクションでは管理者エクスペリエンスを詳細に説明しますが、概要を以下に示します。
管理されていない Azure ディレクトリの "内部" 管理者の引き継ぎを実行、その非管理対象ディレクトリのグローバル管理者として追加されます。 管理しているその他のディレクトリには、ユーザー、ドメイン、またはサービス プランは移行されません。
管理されていない Azure ディレクトリの "外部" 管理者の引き継ぎを実行すると、その非管理対象ディレクトリの DNS ドメイン名が管理対象の Azure ディレクトリに追加されます。 ドメイン名を追加するとき、ユーザーが引き続き中断されずにサービスにアクセスできるように、リソースに対するユーザーのマッピングが管理対象の Azure ディレクトリに作成されます。
内部管理者の引き継ぎ
Microsoft 365 など SharePoint と OneDrive が搭載されている一部の製品では、外部引き継ぎをサポートしていません。 このシナリオに該当する場合、または管理されていない ("シャドウ") Azure AD 組織の作成をセルフサービス サインアップを使用したユーザーから引き継ぎたいと考えている管理者の場合は、内部管理者の引き継ぎを使ってこれを実行できます。
Power BI のサインアップを使って、管理されていない組織にユーザー コンテキストを作成します。 わかりやすい例にするために、この手順では Power BI を使用した方法を仮定します。
Power BI サイトを開き、 [無料体験を開始する] を選びます。 たとえば、
admin@fourthcoffee.xyz
のように、組織のドメイン名を使用しているユーザー アカウントを入力します。 認証コードを入力したら、電子メールで確認コードをチェックします。Power BI からの確認の電子メールで、 [Yes, that's me](はい、私です) を選びます。
Power BI ユーザー アカウントで、Microsoft 365 管理センターにサインインします。 管理されていない組織で既に確認済みのドメイン名の [管理者になる] に誘導するメッセージを受信します。 [Yes, I want to be the admin](はい、管理者になります) を選択します。
TXT レコードを追加して、ドメイン名のレジストラーでドメイン名 fourthcoffee.xyz を所有していることを証明します。 この例では、GoDaddy.com になります。
DNS TXT レコードがドメイン名のレジストラーで確認済みの場合、Azure AD 組織を管理できます。
上記の手順を完了すると、Microsoft 365 の Fourth Coffee 組織のグローバル管理者になります。 お使いの他の Azure サービスとドメイン名を統合するには、ドメイン名を Microsoft 365 から削除して、Azure の別の管理対象組織に追加します。
Azure AD の管理対象組織にドメイン名を追加する
Microsoft 365 管理センターを開きます。
[ユーザー] タブを選択し、カスタム ドメイン名を使用していない user@fourthcoffeexyz.onmicrosoft.com のような名前で、新しいユーザー アカウントを作成します。
新しいユーザー アカウントに Azure AD 組織のグローバル管理者特権が付与されていることを確認します。
Microsoft 365 管理センターで [ドメイン] タブを開き、ドメイン名を選択して [削除] を選択します。
削除されたドメイン名を参照しているユーザーまたはグループが Microsoft 365 にある場合、.onmicrosoft.com ドメインに名前を変更する必要があります。 ドメイン名を強制的に削除した場合、すべてのユーザーの名前が自動的に変更されます。この例では、user@fourthcoffeexyz.onmicrosoft.com になります。
Azure AD 組織のグローバル管理者アカウントで Azure portal にサインインします。
[カスタム ドメイン名] を選択してドメイン名を追加します。 DNS TXT レコードを入力して、ドメイン名の所有権を確認する必要があります。
Note
Microsoft 365 組織に割り当てられているライセンスを所有する、Power BI または Azure Rights Management サービスのユーザーは、ドメイン名が削除された場合、ダッシュ ボードを保存しておく必要があります。 ではなく、user@fourthcoffeexyz.onmicrosoft.comuser@fourthcoffee.xyz のようなユーザー名でサインインする必要があります。
外部管理者の引き継ぎ
Azure サービスまたは Microsoft 365 を使って既に組織を管理している場合、別の Azure AD 組織で既に確認されているカスタム ドメイン名を追加することはできません。 ただし、Azure AD で管理されている組織から、外部管理者の引き継ぎとして管理されていない組織を引き継ぐことは可能です。 一般的な手順については、カスタム ドメインの Azure AD への追加に関する記事に従ってください。
ドメイン名の所有権を確認するときは、Azure AD では、管理されていない組織からドメイン名を削除し、既存の組織に移動します。 非管理対象ディレクトリの外部管理者の引き継ぎには、内部管理者の引き継ぎと同じ DNS TXT の確認プロセスを行う必要があります。 相違点は、ドメイン名と共に次の内容も移行されることです。
- ユーザー
- サブスクリプション
- ライセンスの割り当て
外部管理者の引き継ぎのサポート
外部管理者の引き継ぎは、次のオンライン サービスによってサポートされています。
- Azure Rights Management
- Exchange Online
サポートされているサービス プランは次のとおりです。
- Power Apps 無料
- Power Automate 無料
- 個人向け RMS
- Microsoft Stream
- Dynamics 365 無料試用版
外部管理者の引き継ぎは、たとえば、Office の無償のサブスクリプション経由など、SharePoint、OneDrive、または Skype For Business を含むサービス プランを保持しているサービスではサポートされません。
Note
クラウドの境界を越える外部管理者の引き継ぎはサポートされていません (例: Azure Commercial から Azure Government)。 そのようなシナリオの場合、別の Azure Commercial テナントへの外部管理者引き継ぎを実行し、このテナントからドメインを削除することをお勧めします。それにより、宛先の Azure Government テナントに正常に検証できます。
管理されていない組織からドメイン名を削除し、目的の組織でその有効性を確認する ForceTakeover オプションを任意で使用できます。
個人向け RMS の詳細
個人向け RMS の場合、所有している組織と同じリージョンに管理されていない組織があるとき、自動的に作成された Azure Information Protection 組織キーと既定の保護テンプレートもドメイン名と共に移動します。
管理されていない組織が異なるリージョンにあるときは、キーとテンプレートは移動しません。 たとえば、管理されていない組織がヨーロッパにあり、所有している組織が北米にあるとします。
個人向け RMS は保護コンテンツを開くために Azure AD 対応として設計されていますが、ユーザーがコンテンツ保護もすることを防ぎません。 ユーザーが個人向け RMS サブスクリプションでコンテンツを保護したとき、キーとテンプレートが移動していなければ、ドメイン引き継ぎ後、そのコンテンツにアクセスできなくなります。
ForceTakeover オプションの Azure AD PowerShell コマンドレット
「PowerShell の例」で使用されているコマンドレットを以下に示します。
コマンドレット | 使用法 |
---|---|
connect-msolservice |
指示に従い、管理対象組織にサインインします。 |
get-msoldomain |
現在の組織に関連付けられているドメイン名を表示します。 |
new-msoldomain –name <domainname> |
"未確認" (DNS の確認がまだ実行されていない) として組織にドメイン名を追加します。 |
get-msoldomain |
ドメイン名は、管理対象組織に関連付けられているドメイン名の一覧に含まれるようになりましたが、"未確認" として表示されます。 |
get-msoldomainverificationdns –Domainname <domainname> –Mode DnsTxtRecord |
ドメインの新しい DNS TXT レコード (MS=xxxxx) に含める情報を提示します。 TXT レコードのプロパゲートに一定の時間がかかるため、確認が直ちに行われるわけではありません。数分間待機してから、 -ForceTakeover オプションを検討します。 |
confirm-msoldomain –Domainname <domainname> –ForceTakeover Force |
|
get-msoldomain |
ドメインの一覧に、ドメイン名が "確認済み" と表示されるようになりました。 |
Note
外部の引き継ぎ強制オプションの実行から 10 日後に管理対象外の Azure AD 組織が削除されます。
PowerShell の例
セルフ サービス プランに対応するために使用された資格情報を使用して Azure AD に接続します。
Install-Module -Name MSOnline $msolcred = get-credential connect-msolservice -credential $msolcred
ドメイン一覧を、次のコマンドレットで取得します。
Get-MsolDomain
次のように Get-MsolDomainVerificationDns コマンドレットを実行してチャレンジを作成します。
Get-MsolDomainVerificationDns –DomainName *your_domain_name* –Mode DnsTxtRecord
次に例を示します。
Get-MsolDomainVerificationDns –DomainName contoso.com –Mode DnsTxtRecord
このコマンドから返される値 (チャレンジ) をコピーします。 次に例を示します。
MS=32DD01B82C05D27151EA9AE93C5890787F0E65D9
パブリック DNS 名前空間で、前の手順でコピーした値を含む DNS txt レコードを作成します。 このレコードの名前は親ドメインの名前です。このリソース レコードを Windows Server の DNS ロールを使用して作成する場合は、[レコード名] を空のままにして、テキスト ボックスに値を貼り付けます。
次のように Confirm-MsolDomain コマンドレットを実行してチャレンジを確認します。
Confirm-MsolDomain –DomainName *your_domain_name* –ForceTakeover Force
次に例を示します。
Confirm-MsolDomain –DomainName contoso.com –ForceTakeover Force
チャレンジがクリアされると、エラーなしでプロンプトに戻ります。