はじめに

Microsoft Entra テナントに対して、カスタムドメインを構成したい場面があるとおもいます。
通常は、ドメインを取得するにはレジストラでドメインを購入して、外部DNSサーバーを運用する必要があります。つまり他社のサービスと組み合わせて利用する必要があります。

しかし、今回の記事では「App Service ドメイン」を使ってドメインを購入し、「Azure DNS ゾーン」で外部 DNSサーバーを運用し、Microsoft Entra テナントの「カスタムドメイン」を構成するという方法をご案内したいと思います。

つまり、テナント、ドメイン、外部 DNS が、Microsoft で完結できる方法となります。

カスタムドメインとは？

Microsoft Entra テナントでは、テナントを取得すると、"xxx.onmicrosoft.com" という形式でドメイン名が発行されます。"xxx" の箇所を任意で選べはしますが、自社のドメイン名を使う事はできないため、企業のブランディングや社員のメールアドレスとして使うには、あまり適切な状態とは言えません。
そのため、各企業が独自に取得したドメインをテナントに割り当てて使う事が可能です。
その機能が "カスタムドメイン" というサービスとなっています。

以下の記事にて、機能の紹介とドメイン取得や外部 DNS サーバーの選択についてまとめて解説しています。

本記事では、上記の記事で紹介しているいくつかの選択肢のうち、 Azure（App Service ドメインと DNS ゾーン）をつかう方法を説明しています

App Service ドメインとは？

通常は、外部レジストラ（JPRS やお名前ドットコムなど）で外部ドメインを購入するのが一般的です。

しかし、App Service ドメインを使うと、ドメインを Azure で購入する事が可能になります。
そのため、外部サービスを一切使うことなく、ドメインを保有することができる、なかなかスゴイサービスです。

App Service ドメインで購入できるドメインは、"com、net、co.uk、org、nl、in、biz、org.uk、co.in" に限定されています。
".co.jp" などの JPドメインは購入できません。

App Service ドメインは、以下の公開情報でしか説明が見当たらないのですが、この内容を見ても判るように、Azure の "App Service" という Webサイトで利用するために用意されたサービスだと考えられます。

上記サイトの "前提条件" の説明では、"App Service" が必要であることが書かれていて、これを真に受けると混乱してしまいます。
しかし、単に App Service ドメインで購入したドメインをテナントのカスタムドメインとして利用する場合は、特に制限はありません。

この記事の手順を参考に作業を進めていただけば、構成できますので、ご安心ください。

なお、App Service ドメインは、非常に安価（年間で 1,800円弱）ではありますが、有料のサービスです。

（上記画面は、以下の URL「App Service ドメインの価格」より抜粋）
https://azure.microsoft.com/ja-jp/pricing/details/app-service/windows/

初めて Azure をサインアップした人は US$200クレジット分が無料（約3万円分）が付与されますが、このクレジットで App Service ドメインの費用に充てる事はできません。ご注意ください。
画面上部にある「アップグレード」を実施して "従量課金プラン" にする必要があります。

Azure DNS ゾーンとは？

Azure で提供される外部DNS のサービスです。
外部レジストラで購入したドメインを使って、Webサービスのホスト名を DNSの機能を使って公開することができます。

外部レジストラで、"xyz.co.jp" どいうドメインを購入した場合は、DNS ゾーンで xyz.co.jp のゾーンレコードを構成しておきます。
そして、外部レジストラには NSレコードを構成してもらい、"xyz.co.jp" ドメインの名前解決を Azure DNS ゾーンに委任してもらいます。
DNSゾーンでは、A レコードとして www = 203.154.25.4 というレコードを発行することで、www.xyz.co.jp という FQDN 名の Webサイト(IP=203.154.25.4) を外部に公開することが可能になります。

通常は外部レジストラで購入したドメインを使うのですが、実は "App Service ドメイン" で購入したドメインも使える・・・というのがミソです。

そのため、App Service ドメインと、DNS ゾーンを組み合わせることで、Microsoft Entra テナントのカスタムドメインを構成するための要件を満たすことができます。

前提事項

本作業を行う前に必要なもの

① Microsoft Entra テナントの手配

以下の記事を参照して、Microsoft Entra テナントを手配してください。

② Azure サブスクリプションのサインアップ

以下の記事を参照して、Azure サブスクリプションを手配してください。

③ App Service ドメインを購入し DNSゾーンを作成する

以下の記事を参照して、Azure Service ドメインを手配してください。

カスタムドメインの構成手順

（操作概要）

Microsoft Entra ID で、カスタムドメイン名を作成する
カスタムドメイン名に表示された TXTレコードの情報を DNSゾーンに登録する
カスタムドメイン名をプライマリに変更する（任意）
既存ユーザーのユーザープリンシパル名の変更
カスタムドメイン名でサインインのテスト
Microsoft 365 サービスのための DNS 設定を行う

1. Microsoft Entra ID で、カスタムドメイン名を作成する

事前に作成済みの Microsoft Entra テナントのアカウントを使って、Azure Portal にサインインします。
https://portal.azure.com
　
以下のテナントの画面で、意図したテナントになっているのかを確認して、「カスタムドメイン名」を押します。

　
下図の通り、初めは xxx.onmicrosoft.com という既定のドメイン名だけが一覧に存在しています。ここで、「＋カスタムドメインの追加」ボタンを押します。

　
さきほど App Service ドメインで発行したドメイン名を下図の通り入力し、「ドメインの追加」を押します。

　
下図のように表示されれば OK です。
まだ「確認」ボタンは押さないでください（押すとエラーになります）

なお、稀に、このタイミングでドメイン名が他人に使われていて利用できない旨のエラーが出る事があります。過去に他の利用者によってテストなどで利用されそのまま放置されている場合が考えられます（ドメインとしては解放されているが、テナント側では残っている状態）
その場合はサポートに問い合わせて対応を依頼してください。

このタイミングで「確認」ボタンを押すと、該当のドメイン内に TXT レコードが存在するかどうかのチェックが行われます。しかしまだ Azure DNS ゾーンに TXTレコードの登録が行われていないため、エラーが発生します。

2. カスタムドメイン名に表示された TXTレコードの情報を DNSゾーンに登録する

下図のとおり、左側にテナントのカスタムドメイン名の画面、右側に Azure DNS ゾーンの画面を表示させます。
赤枠の「＋レコードセット」を押します。

　
下図の通り、左側の画面の値を、右側の画面の同じ色の場所に転記して「OK」を押します。
なお、TTL の 3600 秒は、1 時間を意味しています。

　
以下の赤線のように TXT レコードが追加されたら、左側の「確認」ボタンを押します。

　
通知欄に「ドメイン名の確認」が正常に行われた旨が表示されます。
左上部の「カスタムドメイン名」の箇所をクリックします。
ここでエラーが出た場合は、DNSの反映よりも早く操作してしまった可能性があるため、少し待ってから「確認」を押してみてください。

※この画像のみ、作業時の画像を紛失したため、別の作業時に取得した画面を使用しています。
　
以下のように、一覧に取得した赤枠（カスタムドメイン名）が追加されていれば OK です。この時点では、緑枠のように既定のドメイン名 (xxx.onmicrosoft.com) が "プライマリ" になっています。
反映が遅れる場合があるので「更新」ボタンを押してみてください。

以上で、テナントにカスタムドメイン名が追加され利用できる状態になっています。

3. カスタムドメイン名をプライマリに変更する（任意）

さらにお勧めの設定は、カスタムドメイン名をプライマリへ変更することが挙げられます。
新規ユーザーを追加する際に、「プライマリ」に設定されているドメイン名が自動で選択されるようになります。

以下の画面で、赤枠のドメイン名の箇所をクリックします。

　
以下の画面で「プライマリにする」を押します。

　
以下の確認画面で「はい」を押します。

　
すると、以下のエラーの通知が届くのですが、気にしなくても大丈夫です。
ここでエラーが出るのは、数年前からバグみたいで改善されていないようです。

　
以下の画面で、カスタムドメインの方が「プライマリ」に変わっていれば OK です。

以後、テナントでユーザーを作成する際に、テナントに登録されたドメイン名から選択することができるようになります。緑枠の箇所にプライマリドメイン名が表示されます。

赤枠の箇所を押すと、以下のようにドメインの選択が可能です。

4. 既存ユーザーのユーザープリンシパル名の変更

既に、作成済みのユーザーであっても、ドメイン名の変更が可能です。

Microsoft Entra テナントの「すべてのユーザー」を表示して、変更したユーザーの緑枠の箇所を押します。

　
下図の画面で、赤下線を見ると既定のドメイン名（xxxxx.onmicrosoft.com）になっています。
「プロパティの編集」を押します。

　
下図の画面で、赤枠を押してから、一覧表示されたドメイン名から橙枠（カスタムドメイン名）を選択します。

　
以下の赤枠のように変更されたことを確認して「保存」を押します。

　
下図のように、ドメイン名が変更されたことを確認します。

5. カスタムドメイン名でサインインのテスト

以下のように、カスタムドメイン名を使って、Azure Portal にサインインできることを確認します。

既存のブラウザセッションは、サインアウトし、その後 Azure Portal にアクセスします。
https://portal.azure.com
　
下図の通り、新しいカスタムドメイン名を付与したユーザー名でサインインします。

　
以下の通り、新しいドメイン名でサインインする事ができました。

6. Microsoft 365 サービスのための DNS 設定を行う

前章までの設定でカスタムドメイン名を使ってテナントへサインインすることができますが、その他の Microsoft 365 サービスを利用するためには、それ以外にも設定が必要です。

この設定を行っていないと、メールボックスにメールが届きません。

Microsoft 365 管理センターへテナントのグローバル管理者でサインインします。
https://admin.microsoft.com
　
左ペインから、「設定」－「ドメイン」を選択して、赤枠（カスタムドメイン名の箇所）をクリックします。

　
以下の画面で、「セットアップを続ける」を押します。

　
以下の画面は、「続く」を押します。
なお、緑枠のリンク先は以下の URL になっていました。
https://learn.microsoft.com/ja-JP/microsoft-365/admin/get-help-with-domains/dns-basics?view=o365-worldwide&WT.mc_id=365AdminCSH_inproduct

　
以下のように取得したカスタムドメインに関して、外部DNSに追加すべき DNSレコードが表示されます。これらの情報を後述する Azure DNS ゾーンに設定します。

　
前項で示した図内の色枠に合わせて、以下の通り Azure DNS ゾーンに値を設定して「OK」を押します。

　
前項で示した図内の色枠に合わせて、以下の通り Azure DNS ゾーンに値を設定して「OK」を押します。

　
前項で示した図内の色枠に合わせて、以下の通り Azure DNS ゾーンに値を設定して「保存」を押します。

　
Microsoft 365 管理センターの画面に戻り、「処理中」のボタンを押します。

　
テナント側から、Azure DNS ゾーンに追加されたレコードのチェックが行われて、問題がなければ以下の画面になります。

　
もし、レコードのチェックでエラーがあると、以下のような画面になります。エラーになったレコードに関して、 Azure DNS ゾーンへ登録したレコード内容をチェックしてください。
以下は、３レコードとも未登録の状態でチェックを行った場合です。

　
正常に登録されると、以下の画面で「状態」が「正常」になります。

　
最終的に Azure DNS ゾーンには、以下のレコードが登録された状態になっています。