Help us understand the problem. What is going on with this article?

セルフサービス サインアップ テナントを作成し、カスタム ドメインを Azure AD テナントに移行するまでの流れを一から紹介する

はじめに

セルフサービス サインアップ テナントは、文字通り「セルフサービス」と書いてあるとおり、ユーザーが自分自身の電子メールアドレスを使って、Microsoft が提供する Power BI などのツールをサインアップすることで利用ができる仕組みのことです。

よくあるお問い合わせとして、なんだかよく分からないけど、Power BI を無料で使いたくて、サインアップしたら Azure AD のテナントができていた、何とかしてほしい、というお問い合わせをいただきますが、これはサインアップ時に指定したメールアドレスに含まれるドメイン名が自動的に Azure AD のテナント上に「カスタム ドメイン」として登録されているからです。

上記一連の流れがセルフサービス サインアップ テナントと呼びます。

また、セルフサービス サインアップ テナントの特徴としては、「管理者」が存在しないことです。
同じドメイン名を持ったユーザーが複数いる場合は、同じように Power BI にサインアップすると、当該のテナントにユーザーが追加されていきます。
(逆にいうと、管理が行き届かないので、管理者として昇格したアカウントがそのテナントを見ると、知らない間に複数人そのテナントに参加していた、ということがあり得ます)

他にも、よくあるお問い合わせとして、あるカスタム ドメインを Azure AD に登録して利用したいのに、セルフサービス サインアップ テナントにそのカスタム ドメイン名が使われてしまっていて使いまわせない、どうしたらいいんですか?というお問い合わせがあります。

この場合は、既存のセルフサービス サインアップ テナント上のカスタム ドメインを削除して、利用したい Azure AD のテナントにカスタム ドメインとして登録し直す必要があります。

今回は、上記のケースを踏まえて以下内容を検証しましたので順番に画面ショット付きで説明していきます。

1.Zoho (メール ホスティング)セットアップ
2.セルフサービス サインアップ テナントを作成する
3.セルフサービス サインアップ テナントのカスタム ドメインを削除し、作成済みの Azure AD テナントにカスタム ドメインを登録する

セルフサービス プログラム 一覧

セルフサービス が利用できるサービス一覧とセルフサービス サインアップ用の Web サイトが記載された情報は下記 Microsoft 公開情報に記載されています。

-参考情報
利用可能なセルフサービス プログラム
URL:https://docs.microsoft.com/ja-jp/office365/admin/misc/self-service-sign-up?view=o365-worldwide#av

検証前提条件

今回の検証を行うにあたり、事前に準備、利用するサービスは以下のとおりです。

No. 項目 利用サービス
1. ドメイン お名前.com
2. DNS お名前.com
3. メールサーバー Zoho
4. セルフサービス Power BI

やってみる

セルフサービス サインアップ テナントを作成するための前提条件として、メールを受信できるメールアドレスを持っている必要があります。
メールを受信するためにはメールサーバーを用意する必要があり、Linux を触ったことがある人あれば、postfix をインストール、設定することで、比較的簡単にメールサーバーをたてる事が出来ます。

ただ今回は、それすらも面倒だという人のために、Zoho という無料で使えるメール ホスティング サービスを使った利用方法を紹介します。
まず、Zoho のメール ホスティング サイト (https://www.zoho.com/jp/mail/) にアクセスします。

Zoho セットアップ

トップ画面にて、「メール アドレス」にチェックが入っていることを確認し、「無料登録」をクリックします。
image.png

画面を下にスクロールさせて、永久無償の無料プランの中の「無料お試し登録」をクリックします。
image.png

image.png

下記画面で、取得済みのドメイン名を入力し、「Add」をクリックします。
image.png

次の画面で、必要な情報を入力します。
必要な情報とは、「ユーザー名」「管理者アカウント」「携帯番号(認証コードを受け取るために必要」「管理者アカウントのパスワード」「連絡先のメール アドレス」になります。
image.png

必要な情報を入力後に、「I agree to the Terms of Service and Privacy Policy.」にチェックをいれて、「PROCEED」ボタンをクリックします。
image.png

Summary 画面で「SIGN UP」ボタンをクリックします。
image.png

登録した携帯電話宛に送られてきた認証コードを入力後、「携帯を認証する」をクリックします。
image.png

認証が成功すると、下記画面のとおり TXT レコードを DNS サーバーに登録するように要求されるので、今回の場合はお名前.com の対象ドメインに対して TXT レコードを追加します。
image.png

お名前.com の DNS レコード設定画面で以下のように TXT レコードを追加します。
image.png

DNS サーバー側で TXT レコード追加後に、Zoho の画面に戻って、「TXT認証に進む」をクリックします。
image.png

DNS 浸透まで TTL を短くしてもそれなりに時間がかかるので、レコード追加直後は以下のとおり TXT レコードの検証に失敗しますので、しばらく待ちましょう。
image.png

レコードの検証が成功すると、メールアカウントを作成できますので、任意のアカウントを指定して、「Create Account」をクリックします。
image.png

ユーザーの追加画面で、文字通りメール アカウントを追加して作成できますが、今回は不要なので、「スキップ」をクリックします。
image.png

グループの作成も今回は不要なので、「スキップ」をクリックします。
image.png

下記画面では、Zoho をメール サーバーとして指定するために、必要な MX レコードが記載されています。
image.png

具体的には、DNS サーバー上に下記画面ショットのように、 MX レコードを 3 レコード分追加します。
image.png

追加後に、Zoho の画面に戻り、「MXのルックアップ」をクリックします。
MX レコードが引けるようになると、下記画面ショットのように、ステータスにチェックが付きます。
「次へ」をクリックします。
image.png

セキュリティ対策として、 SPF や DKIM の設定もできますが、今回はメールが受信できればいいので、「スキップ」をクリックします。
image.png

メールの移行は行わないので、そのまま「スキップ」をクリックします。
image.png

今回は Web メールで受信できればいいので、モバイル アプリはインストール不要です、「スキップ」をクリックします。
image.png

以上で設定はひととおり完了しました。「Go to Zoho Workplace」をクリックします。
image.png

こちらがトップ画面になります。「メール」をクリックすることで、メールボックスを閲覧できます。
image.png

セルフサービス サインアップ テナントを作成する

さて、メール アドレスを受信できるようになったので、実際にセルフサービス サインアップ テナントを作成してみます。

ブラウザーで (https://signup.microsoft.com/signup?sku=a403ebcc-fae0-4ca2-8c8c-7a907fd6c235) にアクセスし、画面中央に「メール アドレス」を入力後に、「サインアップ」をクリックします。
image.png

ID を検証するために、SMS 認証可能な携帯電話番号(最初の0を省く)を入力し、送信をクリックします。
image.png

検証コードを入力後に、「サインアップ」をクリックします。
image.png

下記画面ショットのように、サインアップに利用したメール アドレスが会社から取得した(自分で取得した)ものかどうか確認されるので、「はい」をクリックします。
image.png

サインアップに利用したメールアドレス宛に確認コードが送られてくるので、Zoho のメール ボックスに戻って確認コードを確認します。
image.png

確認コードを含め、姓名とパスワード、国または地域を下記のように設定し、「開始」をクリックします。
image.png

同じドメインのユーザーに対して招待することができますが、今回は招待はしないので、「スキップ」をクリックします。
image.png

すると、下記画面ショットのように、Office 365 ポータルに、「Power BI」のアイコンが追加された状態となります。
image.png

Power BI のアイコンをクリックすると、下記画面ショットのように、 Power BI が利用できます。
image.png

セルフサービス サインアップ テナントは管理者ユーザーがいない、と記載しましたが実際にいないか確認してみます。
Azure ポータル「portal.azure.com」にサインアップしたユーザーでサインインします。
image.png

Azure ポータルの画面より、左ペインの「Azure Active Directory」をクリックします。
image.png

概要画面より、「ユーザー」をクリックします。
image.png

サインアップしたユーザーを選択します。
image.png

プロファイルより、「ディレクトリロール」をクリックします。
image.png

管理者ロールが割り当てられていないことが確認できます。
image.png

同画面上の「ライセンス」をクリックすると、割り当てられているライセンスは無料の Power BI であることが確認できます。
image.png

また、概要画面に戻って、「カスタム ドメイン名」をクリックすると、下記画面ショットのように、サインアップした際に利用したドメイン名がカスタム ドメインとして登録されていることが確認できます。
image.png

この作業は蛇足ですが、セルフサービス サインアップ テナントでも下記のとおり、他テナントの Azure AD ユーザーを「ゲストユーザー」をして招待することが可能です。
image.png

セルフサービス サインアップ テナントのカスタム ドメインを削除し、作成済みの Azure AD テナントにカスタム ドメインを登録する

この手順は、セルフサービス サインアップ テナントで利用されているカスタム ドメインを既に利用している Azure AD に移行する手順になります。
セルフサービス サインアップ テナントは説明しているとおり、「管理者」が存在しません、そのため、セルフサービス サインアップ テナント上のユーザーを「グローバル 管理者」に昇格させる必要があります。

まず、Office 365 管理ポータル (https://portal.office.com) にアクセスします。

サインイン画面にてセルフサービス サインアップ テナント上のユーザー(shyamag@yamarara.work)を入力して「次へ」をクリックします。
image.png

image.png

パスワードを入力して、「サインイン」をクリックします。
image.png

画面左上のマークをクリック後、「管理者」をクリックします。
image.png

管理者になるの画面にて、「はい、私が管理者になります」をクリックします。
image.png

DNS サーバーに表示されている TXT レコードを追加する画面が表示されるので、管理している DNS サーバ上に TXT レコード及び TTL を設定します。
※表示される TXT 値は環境によって異なるので、適宜置き換えてください。また、 TTL (Time To Live) の値は 60 (秒) などの短い値にすることで、反映される時間が短くなります。
image.png

下記はお名前.com で設定した場合の画面例です。
image.png

DNS サーバーに TXT レコードを設定後、一定期間 (DNS サーバーに TXT レコードが浸透するまでの時間) 待って、「レコードを追加しました」をクリックします。
image.png

TXT レコードが確認できない場合は、下記画面ショットのように、レコードが見つからない画面が表示されますので、反映されるまで待つ必要があります。
image.png

TXT レコードが確認できると、下記画面ショットのように、「完了しました。」の画面が表示されます。「OK」ボタンをクリックします。
image.png

次に、Azure ポータル (portal.azure.com) にアクセスし、カスタム ドメインを削除する作業を行います。

手順としては、以下流れで作業を行います。
1. 「xxx.onmicrosoft.com」のグローバル管理者を作成します。
2. ユーザー一覧より、1.で作成したユーザー以外を削除します。
3. カスタム ドメイン (yamarara.work) を削除します。
4. 移行先の Azure AD テナントでカスタム ドメイン (yamarara.work) を登録します。

左ペインより、Azure Active Directory をクリックします。
image.png

概要画面より、「ユーザー」をクリックします。
image.png

画面上部の「+新しいユーザー」をクリックします。
image.png

新しいユーザーの画面にて、ユーザー名に「xxx.onmicrosoft.com」ドメインを指定し、名前を設定後に、グループとロールの欄の「ユーザー」のリンクをクリックします。
image.png
image.png

ディレクトリ ロールの画面にて、グローバル管理者を検索し、チェックを入れた後に、「選択」をクリックします。
image.png

パスワードを表示を有効化し、表示されるパスワードをメモします。
次に、役割に「グローバル管理者」が追加されたことを確認し、「作成」をクリックします。
image.png

ユーザー一覧に作成したグローバル管理者が追加されたことを確認します。
image.png

画面右上のアイコンをクリックし、「別のアカウントでサインインする」をクリックします。
image.png

作成したグローバル管理者を入力し、「次へ」をクリックします。
image.png

グローバル管理者作成時にメモしたパスワードを入力し、「サインイン」をクリックします。
image.png

初回サインイン時は新しいパスワードを設定するよう要求されるので、現在のパスワードと新しいパスワードを設定し、「サインイン」をクリックします。
image.png

左ペインより Azure Active Directory をクリックします。
image.png

概要画面より、「ユーザー」をクリックします。
image.png

新規に作成したグローバル管理者以外のユーザーを選択し、画面上部の「ユーザーの削除」をクリックします。
image.png

確認画面が表示されるので、「はい」をクリックします。
image.png

下記画面ショットのように、グローバル管理者以外のユーザーが表示されない状態になることを確認します。
image.png

次に、概要画面より、「カスタム ドメイン名」をクリックします。
image.png

カスタム ドメイン名の画面より、「xxx.onmicrosoft.com」 ドメインをクリックします。
image.png

下記画面ショットのように、「プライマリにする」をクリックします。
※カスタム ドメインがプライマリの状態の場合、削除することができません。そのため、「xxx.onmicrosoft.com」ドメインをプライマリ ドメインにする必要があります。
image.png

確認画面が表示されるので、「はい」をクリックします。
image.png

「xxx.onmicrosoft.com」ドメインのプライマリ ドメインが「はい」になることを確認します。
image.png

カスタム ドメイン名の画面にてカスタム ドメイン名 (yamarara.work) をクリックします。
image.png

画面上部の「削除」をクリックします。
image.png

カスタム ドメイン名の削除の画面にて、すべてのチェックに成功しました。と表示されることを確認し、「削除」をクリックします。
image.png

カスタム ドメインが削除されることを確認します。
image.png

続いて移行先の Azure AD テナントにグローバル管理者でサインインします。
グローバル管理者のユーザー名を入力し「次へ」をクリックします。
image.png

パスワードを入力し「サインイン」をクリックします。
image.png

左ペインより「Azure Active Directory」をクリックします。
image.png

概要画面より、「カスタム ドメイン名」をクリックします。
image.png

カスタム ドメイン名の画面より、画面上部の「+カスタム ドメインの追加」をクリックします。
image.png

追加するカスタム ドメイン名を入力し、「ドメインの追加」をクリックします。
image.png

下記画面ショットに画面が遷移するので、表示される TXT レコードをコピーし、 DNS サーバーにレコードを追加します。
image.png

以下はお名前.com の例です。
image.png

TXT レコードを追加後、DNS サーバーにレコードが浸透後 「確認」ボタンをクリックします。
DNS レコードの浸透が完了していない場合、下記画面ショットのように、DNS レコードが見つかりません。と表示されますので、浸透されるまで待ちます。
image.png

確認に成功すると、下記画面ショットのように、「確認に成功しました。」と表示されます。
image.png

カスタム ドメイン名の一覧に登録したカスタム ドメインが「確認済み」と表示されていればカスタム ドメインの登録は完了となります。
image.png

カスタム ドメインが追加されることで、ユーザー作成時に、下記画面ショットのように、カスタム ドメインを選択できるようになります。
image.png

おわりに

今回はセルフサービス サインアップ テナントを作成するまでの事前準備も含めた手順と、セルフサービス サインアップ テナント上のカスタム ドメインを 既存の Azure AD 上にカスタム ドメインとして移行する手順をご案内しました。

今回検証に使った費用は、お名前.com で取得した「.work」ドメインの 1 円だけです。
ほぼ無料ご案内した環境は作れるので、興味のある方はぜひお試しください。

また、意図せず Azure AD にカスタム ドメインが登録されてしまった、という場合のドメイン移行の方法も参考にしていただければ幸いです。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした