この記事では、DNS CNAME を作成して、Microsoft Intuneを使用してサインイン エクスペリエンスを簡略化およびカスタマイズする方法について説明します。
organizationがIntuneなどの Microsoft クラウドベースのサービスにサインアップすると、your-domain.onmicrosoft.com のようなMicrosoft Entra IDでホストされている初期ドメイン名が付与されます。 この例では、 your-domain はサインアップ時に選択したドメイン名です。 onmicrosoft.com は、サブスクリプションに追加するアカウントに割り当てられたサフィックスです。 サブスクリプションで提供されるドメイン名ではなく、組織のカスタム ドメインを構成して Intune にアクセスできます。
ユーザー アカウントを作成するか、オンプレミスの Active Directoryを同期する前に、.onmicrosoft.com ドメインのみを使用するか、1 つ以上のカスタム ドメイン名を追加するかを決定することを強くお勧めします。 ユーザー管理を簡単にするために、ユーザーを追加する前にカスタム ドメインを設定します。 カスタム ドメインを設定すると、ユーザーは他のドメイン リソースへのアクセスに使う資格情報でサインインできます。
Microsoft からクラウドベースのサービスをサブスクライブすると、そのサービスのインスタンスが Microsoft Entra テナントになります。 Entra テナントは、Intuneとその他のクラウドベースサービスの ID サービスとディレクトリ サービスを提供します。 組織のカスタム ドメイン名を使用するようにIntuneを構成するタスクは他のサービスと同じであるため、Microsoft Entra IDでのカスタム ドメイン名の管理に関するページの情報と手順を使用できます。
ヒント
Intuneで使用されるカスタム ドメイン名を追加、確認、または削除して、ビジネス ID を明確に保つことができますが、初期 onmicrosoft.com ドメイン名の名前を変更したり削除したりすることはできません。
カスタム ドメインの詳細については、「Microsoft Entra IDのカスタム ドメイン名の概念の概要」を参照してください。
ロールベースのアクセス制御
次の組み込み RBAC ロールMicrosoft Entra、カスタム ドメイン名を管理するための十分なアクセス許可を含む最小限の特権ロールです。
- ドメイン名管理者 - このロールは、 カスタム ドメイン名 (読み取り、追加、検証、更新、削除) を管理するのに十分なアクセス許可を提供します。 このロールを割り当てられたユーザーは、ユーザー、グループ、およびアプリケーションに関するディレクトリ情報を読み取ることもできます。これらのオブジェクトにはドメインの依存関係があります。
ロールベースのアクセス制御 (RBAC) を使用する場合、Microsoft では、タスクに最低限必要なアクセス許可を持つアカウントのみを使用し、特権管理者ロールの使用と割り当てを制限することで、最小アクセス許可の原則に従うことをお勧めします。
カスタム ドメインを追加して確認する
Microsoft Entra organizationのカスタム ドメインを管理するには、Entra IDで十分なアクセス許可を持つアカウントを使用する必要があります。 Microsoft Entraでカスタム ドメイン名が有効であることを追加して確認するガイダンスについては、Entra IDドキュメントの「テナントにカスタム ドメイン名を追加する」を参照してください。
Microsoft 365 の初期 onmicrosoft.com ドメインの詳細を確認します。