Microsoft Entra ID でのカスタム ドメイン名の管理

ドメイン名は、多くの Microsoft Entra デプロイでリソースの識別子の重要な一部となります。 これは、ユーザーのユーザー名または電子メール アドレスの一部であり、グループのアドレスの一部であり、アプリケーションのアプリ ID URI の一部になることもあります。 Microsoft Entra ID のリソースには、そのリソースを含む Microsoft Entra 組織 (テナントと呼ばれることがあります) によって所有されているドメイン名を含めることができます。 全体管理者とドメイン名管理者は Microsoft Entra ID でドメインを管理できます。

Microsoft Entra 組織のプライマリ ドメイン名を設定する

ヒント

この記事の手順は、開始するポータルに応じて若干異なる場合があります。

組織を作成すると、"contoso.onmicrosoft.com" などの初期ドメイン名がプライマリ ドメイン名に設定されます。 プライマリ ドメインは、新しいユーザーを作成したときにそのユーザーの既定のドメイン名になります。 プライマリ ドメイン名の設定によって、管理者がポータルでユーザーを新規作成するプロセスが効率化されます。 プライマリ ドメイン名を変更するには、次の手順に従います。

1. Microsoft Entra 管理センター に 少なくともグローバル管理者 としてサインインします。

2. [Microsoft Entra ID] を選びます。

3. [カスタム ドメイン名] を選択します。

   

4. プライマリ ドメインにするドメインの名前を選びます。

5. [プライマリにする] コマンドを選びます。 メッセージが表示されたら、選択を確定します。

   

組織のプライマリ ドメイン名を変更して、フェデレーションされていない検証済みカスタム ドメインを指定することができます。 組織のプライマリ ドメインを変更しても、既存のユーザーのユーザー名は変更されません。

Microsoft Entra 組織にカスタム ドメイン名を追加する

マネージド ドメインの名前は最大 5,000 件追加できます。 オンプレミス Active Directory とのフェデレーションをすべてのドメインに構成する場合、各組織に最大 2,500 件のドメイン名を追加できます。

カスタム ドメインのサブドメインの追加

組織に europe.contoso.com などのサブドメイン名を追加する場合は、最初に、contoso.com などのルート ドメインを追加して、確認する必要があります。 サブドメインは、Microsoft Entra ID によって自動的に検証されます。 追加したサブドメインが検証されたことを確認するには、ブラウザーでドメインの一覧を更新します。

contoso.com ドメインを 1 つの Microsoft Entra 組織に既に追加している場合に、別の Microsoft Entra 組織でサブドメイン europe.contoso.com を検証することもできます。 サブドメインを追加すると、DNS ホスティング プロバイダーに TXT レコードを追加するように求められます。

カスタム ドメイン名の DNS レジストラーを変更する場合にすべきこと

DNS レジストラーを変更する場合、Microsoft Entra ID では他に構成タスクは存在しません。 中断することなく、Microsoft Entra ID でドメイン名の使用を続けることができます。 Microsoft 365、Intune、その他の Microsoft Entra ID のカスタム ドメイン名に依存するサービスで、カスタム ドメイン名を使用する場合は、それらのサービスのドキュメントを参照してください。

カスタム ドメイン名を削除する

組織がカスタム ドメイン名を使用しなくなったり、ドメイン名を別の Microsoft Entra 組織で使用する必要がある場合、Microsoft Entra ID からドメイン名を削除することができます。

カスタム ドメイン名を削除する場合は、そのドメイン名を使用しているリソースが組織内にないことを事前に確認する必要があります。 次の状況に当てはまる場合、組織からドメイン名を削除することはできません。

• ユーザーのユーザー名、電子メール アドレス、またはプロキシ アドレスにドメイン名が含まれている。
• グループに付与された電子メール アドレスまたはプロキシ アドレスにドメイン名が含まれている。
• Microsoft Entra ID 内のすべてのアプリケーションは、ドメイン名を含むアプリ ID URI を持っています。

カスタム ドメイン名を削除する前に、Microsoft Entra 組織内のそのようなリソースをすべて変更するか削除する必要があります。

Note

カスタム ドメインを削除するには、既定のドメイン (onmicrosoft.com) または別のカスタム ドメイン (mydomainname.com) のいずれかに基づくグローバル管理者アカウントを使用します。

ForceDelete オプション

Azure portal で、または Microsoft Graph API を使用して、ドメイン名を ForceDelete (強制削除) できます。 これらのオプションでは、非同期操作が使用され、"user@contoso.com" のようなカスタム ドメイン名からのすべての参照が、"user@contoso.onmicrosoft.com" などの既定の初期ドメイン名に更新されます。

Azure portal で ForceDelete を呼び出すには、ドメイン名に対する参照が 1000 個未満であることを確認し、Exchange がプロビジョニング サービスであるすべての参照を、Exchange 管理センターで更新または削除する必要があります。 これには、Exchange のメールが有効なセキュリティ グループと配布リストが含まれます。 詳細については、メールが有効なセキュリティ グループの削除に関するページを参照してください。 また、次のいずれかの場合、ForceDelete 操作は成功しません。

• Microsoft 365 ドメイン サブスクリプション サービスを使用してドメインを購入した
• 別の顧客組織の代わりに管理を行っているパートナーである

ForceDelete 操作の一部として、次のアクションが実行されます。

• カスタム ドメイン名を参照しているユーザーの UPN、EmailAddress、ProxyAddress の名前が既定の初期ドメイン名に変更されます。
• カスタム ドメイン名を参照しているグループの EmailAddress の名前が既定の初期ドメイン名に変更されます。
• カスタム ドメイン名を参照しているアプリケーションの identifierUris の名前が既定の初期ドメイン名に変更されます。
• Azure または Microsoft Entra 管理センターで、および Graph API を使用する場合は必要に応じて、ForceDelete オプションの影響を受けたユーザー アカウントを無効にします。

次の場合はエラーが返されます。

• 名前を変更されるオブジェクトの数が 1,000 を超える
• 名前が変更されるアプリケーションの 1 つが、マルチテナント アプリである

ドメインの検疫に関するベスト プラクティス

ドメイン名の変更、登録の有効期限、期限切れドメインの猶予期間に関する適切な通知を提供し、またドメイン名の構成と TXT レコードにアクセスできるユーザーを制御するために高いセキュリティ基準を維持する、信頼できるレジストラーを使用します。 レジストラーでドメイン名を最新の状態に保ち、TXT レコードが正確であることを確認します。

• ドメイン名を意図的に有効期限切れにしたり、(Microsoft Entra テナントを離れて) 他者に所有権を譲渡したりする場合、有効期限切れや譲渡の前に、Microsoft Entra テナントからそのドメイン名を削除する必要があります。
• ドメイン名が有効期限切れになるようにし、そのドメイン名を再アクティブ化または再制御できるようにする場合、レジストラーですべての TXT レコードを慎重に調べて、ドメイン名の改ざんが行なわれていないことを確認します。
• ドメイン名をただちに再アクティブ化したり制御を取り戻すことができない場合、Microsoft Entra テナントからそのドメイン名を削除する必要があります。 ドメイン名の所有権が解決され、全 TXT レコードが正しいことを確認できるまで、読み取りまたは再検証を行わないでください。

Note

Microsoft は、複数の Microsoft Entra テナントでのドメイン名の検証は許可していません。 テナントからドメイン名を削除すると、後にそのドメイン名が別の Microsoft Entra テナントで追加および検証された場合、元の Microsoft Entra テナントでそのドメイン名を再追加/再検証することはできなくなります。

よく寄せられる質問

Q:このドメイン名に Exchange マスター グループがあることを示すエラーでドメインの削除が失敗するのはなぜですか。
A: 現在、Exchange のメールが有効なセキュリティ グループや配布リストなどの特定のグループは、Exchange によってプロビジョニングされており、Exchange 管理センター (EAC) で手動によりクリーンアップする必要があります。 カスタム ドメイン名に依存していて、手動で別のドメイン名に更新する必要がある、残留 ProxyAddresses が存在する可能性があります。

Q: admin@contoso.com としてログインしても、ドメイン名 "contoso.com" を削除できません。
A: ユーザー アカウント名で削除しようとしているカスタム ドメイン名を参照することはできません。 グローバル管理者アカウントで admin@contoso.onmicrosoft.com のような既定の初期ドメイン名 (. onmicrosoft.com) が使用されていることを確認してください。 admin@contoso.onmicrosoft.com などの別のグローバル管理者アカウント、またはアカウントが admin@fabrikam.com である "fabrikam.com" のような別のカスタム ドメイン名で、サインインしてください。

Q: [ドメインの削除] ボタンをクリックすると、In Progress という削除操作の状態が表示されます。 どのくらいの時間がかかりますか? 失敗するとどうなりますか。
A: ドメインの削除操作は、ドメイン名に対するすべての参照の名前を変更する非同期のバックグラウンド タスクです。 完了するまでに最大 24 時間かかる場合があります。 ドメインの削除が失敗する場合は、次のものがないことを確認してください。

• appIdentifierURI のドメイン名で構成されているアプリ
• カスタム ドメイン名を参照しているメールが有効なグループ
• ドメイン名に対する 1,000 個を超える参照
• 組織のプライマリ ドメインとして設定された削除対象のドメイン

また、ドメインでフェデレーション認証タイプが使用されている場合、ForceDelete オプションは機能しないので注意してください。 その場合、ドメインの削除を再試行する前に、オンプレミス Active Directory を使用して、ドメインのユーザーまたはグループの名前を変更するか、ユーザーまたはグループを削除する必要があります。 どの条件も当てはまらないことがわかった場合は、手動で参照をクリーンアップし、もう一度ドメインの削除を試みてください。

PowerShell または Microsoft Graph API を使用してドメイン名を管理する

Microsoft Entra ID のドメイン名に関する管理タスクの多くは、Microsoft PowerShell を使用するか、プログラムから Microsoft Graph API を使用して実行することもできます。

• PowerShell を使用して Microsoft Entra ID のドメイン名を管理する
• Domain リソース タイプ

次のステップ

• カスタム ドメイン名を追加する
• Exchange 管理センターで Microsoft Entra ID のカスタム ドメイン名に対する Exchange メールが有効なセキュリティ グループを削除する
• Microsoft Graph API でカスタム ドメイン名を強制削除する