概要
ドメイン名は、多くのMicrosoft Entraデプロイのリソースの識別子の重要な部分です。 これは、ユーザーのユーザー名または電子メール アドレスの一部であり、グループのアドレスの一部であり、アプリケーションのアプリ ID URI の一部になることもあります。 Microsoft Entra IDのリソースには、リソースを含むMicrosoft Entra組織 (テナントとも呼ばれます) が所有するドメイン名を含めることができます。 ドメイン名管理者ロールは、Microsoft Entra IDのドメインを管理するために必要な最小限の特権ロールです。
Microsoft Entra組織のプライマリ ドメイン名を設定する
組織が作成されると、"contoso.onmicrosoft.com" などの初期ドメイン名もプライマリ ドメイン名になります。 プライマリ ドメインは、新しいユーザーを作成したときにそのユーザーの既定のドメイン名になります。 プライマリ ドメイン名の設定によって、管理者がポータルでユーザーを新規作成するプロセスが効率化されます。 プライマリ ドメイン名を変更するには、次の手順に従います。
Microsoft Entra 管理センターに少なくともドメイン名管理者としてサインインします。
Entra ID ドメイン名 に移動します[カスタム ドメイン名] を選択します。
プライマリ ドメインにするドメインの名前を選びます。
[プライマリにする] コマンド を 選択します。 メッセージが表示されたら、選択を確定します。
組織のプライマリ ドメイン名を変更して、フェデレーションされていない検証済みカスタム ドメインを指定することができます。 組織のプライマリ ドメインを変更しても、既存のユーザーのユーザー名は変更されません。
Microsoft Entra組織にカスタム ドメイン名を追加する
マネージド ドメインの名前は最大 5,000 件追加できます。 すべてのドメインを オンプレミスの Active Directory とのフェデレーション用に構成している場合は、各組織で最大 2,500 個のドメイン名を追加できます。
カスタム ドメインのサブドメインの追加
組織に europe.contoso.com などのサブドメイン名を追加する場合は、最初に、contoso.com などのルート ドメインを追加して、確認する必要があります。 Microsoft Entra IDは、サブドメインを自動的に検証します。 追加したサブドメインが検証されたことを確認するには、ブラウザーでドメインの一覧を更新します。
contoso.com ドメインを 1 つのMicrosoft Entra組織に既に追加している場合は、別のMicrosoft Entra組織でサブドメイン europe.contoso.com を確認することもできます。 サブドメインを追加するときに、ドメイン ネーム サーバー (DNS) ホスティング プロバイダーに TXT レコードを追加するように求められます。
カスタム ドメイン名の DNS レジストラーを変更する場合にすべきこと
DNS レジストラーを変更した場合、Microsoft Entra IDには他の構成タスクはありません。 ドメイン名は、中断することなくMicrosoft Entra IDで引き続き使用できます。 Microsoft Entra IDのカスタム ドメイン名に依存するMicrosoft 365、Intune、またはその他のサービスでカスタム ドメイン名を使用する場合は、それらのサービスのドキュメントを参照してください。
カスタム ドメイン名を削除する
組織がそのドメイン名を使用しなくなった場合、または別のMicrosoft Entra組織でそのドメイン名を使用する必要がある場合は、Microsoft Entra IDからカスタム ドメイン名を削除できます。
カスタム ドメイン名を削除する場合は、そのドメイン名を使用しているリソースが組織内にないことを事前に確認する必要があります。 次の状況に当てはまる場合、組織からドメイン名を削除することはできません。
- ユーザーのユーザー名、電子メール アドレス、またはプロキシ アドレスにドメイン名が含まれている。
- グループに付与された電子メール アドレスまたはプロキシ アドレスにドメイン名が含まれている。
- Microsoft Entra ID内のすべてのアプリケーションには、ドメイン名を含むアプリ ID URI があります。
カスタム ドメイン名を削除する前に、Microsoft Entra組織内のそのようなリソースを変更または削除する必要があります。
注
カスタム ドメインを削除するには、少なくとも既定のドメイン (onmicrosoft.com) または別のカスタム ドメイン (mydomainname.com) に基づくドメイン 名管理者 ロールを持つアカウントを使用します。
「ForceDelete」オプション
ForceDeleteドメイン名は、Azure portal または Microsoft Graph API で使用できます。 これらのオプションでは、非同期操作を使用し、"user@contoso.com" などのカスタム ドメイン名から最初の既定のドメイン名 ("user@contoso.onmicrosoft.com." など) へのすべての参照を更新します。
Azure ポータルで ForceDelete を呼び出すには、ドメイン名への参照が 1,000 未満であることを確認し、Exchange がプロビジョニング サービスとして使用されている場合、Exchange Admin Center (EAC) で該当する参照を更新または削除する必要があります。 これには、Exchange Mail-Enabledセキュリティ グループと分散リストが含まれます。 詳細については、「メールが有効なセキュリティ グループの削除」を参照してください。 また、次のいずれかが当てはまる場合、 ForceDelete 操作は成功しません。
- ドメイン サブスクリプション サービスを使用してドメインMicrosoft 365購入した
- あなたは別のお客様組織の代理で管理を行うパートナーです
ForceDelete 操作の一部として、次のアクションが実行されます。
- カスタム ドメイン名を参照しているユーザーの UPN、EmailAddress、ProxyAddress の名前が既定の初期ドメイン名に変更されます。
- カスタム ドメイン名を参照しているグループの EmailAddress の名前が既定の初期ドメイン名に変更されます。
- カスタム ドメイン名を参照しているアプリケーションの identifierUris の名前が既定の初期ドメイン名に変更されます。
- Microsoft Entra 管理センターの ForceDelete オプションの影響を受けたユーザー アカウントを無効にします。また、Graph APIを使用する場合は必要に応じて無効にします。
次の場合はエラーが返されます。
- 名前を変更されるオブジェクトの数が 1,000 を超える
- 名前が変更されるアプリケーションの 1 つが、マルチテナント アプリである
ドメインの検疫に関するベスト プラクティス
ドメイン名の変更、登録の有効期限、期限切れドメインの猶予期間に関する適切な通知を提供し、またドメイン名の構成と TXT レコードにアクセスできるユーザーを制御するために高いセキュリティ基準を維持する、信頼できるレジストラーを使用します。 ドメイン名をレジストラーで最新の状態に保ち、TXT レコードの精度を確認します。
- 意図的にドメイン名の有効期限が切れている場合、または (Microsoft Entra テナントとは別に) 他のユーザーに所有権を引き継ぐ場合は、期限切れまたは譲渡する前に、Microsoft Entra テナントから削除する必要があります。
- ドメイン名の有効期限が切れる場合、ドメイン名の再アクティブ化/制御の回復が可能な場合は、レジストラーですべての TXT レコードを慎重に確認して、ドメイン名の改ざんが行われないようにします。
- ドメイン名をすぐに再アクティブ化または制御を回復できない場合は、Microsoft Entra テナントからドメイン名を削除する必要があります。 ドメイン名の所有権を解決し、TXT レコード全体の正確性を確認できるようになるまで、読み取り/再検証は行いません。
注
Microsoftでは、複数のMicrosoft Entra テナントでドメイン名を検証することはできません。 テナントからドメイン名を削除すると、後で別のMicrosoft Entra テナントで追加および検証された場合、Microsoft Entra テナントでドメイン名を再追加または再検証することはできません。
よく寄せられる質問
Q: ドメイン名にExchangeで管理されているグループが含まれているというエラーで、ドメインの削除が失敗するのはなぜですか?
A: 現在、Mail-Enabled セキュリティ グループや分散リストなどの特定のグループはExchangeによってプロビジョニングされ、Exchange 管理センターで手動でクリーンアップする必要があります。 カスタム ドメイン名に依存し、別のドメイン名に手動で更新する必要がある ProxyAddresses が残っている可能性があります。
Q: admin@contoso.com としてログインしていますが、ドメイン名 "contoso.com" を削除できませんか?
A: ユーザー アカウント名で削除しようとしているカスタム ドメイン名を参照することはできません。 少なくとも ドメイン名管理者 ロールを持つアカウントで、 admin@contoso.onmicrosoft.comなどの初期の既定のドメイン名 (.onmicrosoft.com) が使用されていることを確認します。 異なるアカウントでサインインします。このアカウントはドメイン名管理者のロールを持っている必要があります。admin@contoso.onmicrosoft.com や、例えばアカウントが admin@fabrikam.com にある "fabrikam.com" などのカスタムドメイン名が考えられます。
Q: [ドメインの削除] ボタンをクリックすると、In Progress という削除操作の状態が表示されます。 どのくらいの時間がかかりますか? 失敗するとどうなりますか。
回答: ドメインの削除操作は、ドメイン名に関連するすべての参照を変更する非同期バックグラウンド タスクです。 完了までに最大 24 時間かかる場合があります。 ドメインの削除が失敗する場合は、次のものがないことを確認してください。
- appIdentifierURI のドメイン名で構成されているアプリ
- カスタム ドメイン名を参照している、メール対応の任意のグループ
- ドメイン名に対する 1,000 個を超える参照
- 削除するドメインは、組織のプライマリ ドメインとして設定されます
また、ドメインでフェデレーション認証タイプが使用されている場合、ForceDelete オプションは機能しないので注意してください。 その場合、ドメインの削除を再試行する前に、オンプレミスの Active Directoryを使用してドメインのユーザー/グループの名前を変更または削除する必要があります。 どの条件も当てはまらないことがわかった場合は、手動で参照をクリーンアップし、もう一度ドメインの削除を試みてください。
PowerShell または Microsoft Graph APIを使用してドメイン名を管理する
Microsoft Entra IDのドメイン名のほとんどの管理タスクは、Microsoft PowerShell を使用するか、Microsoft Graph APIを使用してプログラムで実行することもできます。
Microsoft Entra ID -
Domainリソースの種類