はじめに

いままで、私がハンズオン研修などを開催した時には、まず初めに参加者の方にテナントの作成を実施してもらっています。
その際は、いつも参加者の人のアカウントの状態やテナントの状態を確認しつつ対応する必要がありました。

それと同様に、初めて独学で Azure や Microsoft 365 を学ぼうと思って腰を上げても、最初のテナント作成の時に手順通りの画面にならずに躓いたり、ブロックされてうまく作れない・・・などで引っ掛かる事があると思います。

各個人の立場や所属などによって、さまざまな状況があり、理解しづらい点があると思ったので、その点を記事にまとめました。

テナントとは？

テナントは、コストを請求される単位であり、セキュリティの及ぶ範囲であり、同一の認証を受ける利用者の集まりである・・・と言えると思います。
その理由を以下で述べたいと思います。

テナントという言葉は、不動産の世界でも使われる言葉です。
「不動産＆テナント」でネット検索してみると、以下のような意味があることが判ります。

テナントとは、オフィスビルやショッピングセンター内の区画を賃貸契約して利用することを指しています。

Microsoft Entra テナントも不動産のテナントと同じ語源から来ていると思います。Microsoft が提供するクラウド資源を賃貸契約して利用できる区画の事を指していると言えると思います。賃貸契約ってことは、つまりサブスク契約ってことですね。

私の解釈では、その賃貸（サブスク）契約をする単位であり、そのテナント内で利用した分の総額コストがクレジットカードや請求書などで引き落とされる額になります。
そのため、テナントとは、請求される単位という事ができると思います。

さらには、セキュリティの及ぶ範囲とも考えられます。不動産のテナント（部屋）の中に入るためには、鍵や ICカードを使って中に入ります（鍵が無かったら店内のものが盗まれてしまう為）
同じテナント内に入った人同士で、同じセキュリティの区画内に居るため、その範囲内で顧客などの個人情報や企業秘密などの情報をやり取りできますね。

これと同様に、 Microsoft Entra テナントもテナント内の情報資源がテナント外からアクセスされて盗まれたり、改ざんされないように鍵を掛けます。クラウド上ではこれを解錠する行為が「認証」です。認証は、ID とパスワードなどを使って、Microsoft Entra テナント内の正規のユーザーなのかどうかが確認された場合に、テナント内の情報資源にアクセスすることができます。テナント内のユーザー同士でデジタル文書のやりとりが可能ですがこのやりとりはテナントの外からは見る事ができません。

Office 365 であれば、世界中の誰でも https://www.office.com にアクセスします。
Azure であれば、世界中の誰でも https://portal.azure.com にアクセスします。
皆同じアドレスにアクセスするのですが、その内部はテナントで論理的に区画で分けられていると考えて頂ければ良いと思います。

Microsoft Entra テナントの価格は？

以下の料金プランの記載があります。
単にテナントを作っただけでは、Microsoft Entra ID Free（旧名：Azure Active Directory Free）という扱いになっていて、無料です。
このテナントで追加の機能を使いたい場合にはユーザー単位のライセンスを購入して機能追加をしていく考え方になっています。
Free版であっても、基本的な認証の機能などは利用ができるようになっています。
この記事で紹介している作業は、無料版で実施が可能です。
以下のサイトに無料版と有料版の機能比較などが掲載されています。

アカウントの状態を見極める

新しくテナントを作成するためには、Azure Portal にサインインする必要があります。

Azure Portal にサインインするためには、Microsoft のアカウントがあれば大丈夫です。
Microsoftのアカウントと言っても「Microsoftアカウント」と「職場と学校アカウント」の２種類が存在します。
まずは以下のサイトで現在のアカウントの状態を見極めましょう。

良く間違いやすいのは、Azureサブスクリプションを契約していないと Azure Portal にはサインインできないと思われてしまう点です。
ですが、Azure Portal は、Azureサブスクリプションの契約が無くてもサインインが出来るのです。

上記のリンクで、アカウントの状態を見極めたら、新しくテナントを作成するのか、または今利用しているテナントを使えば良いのか以下の表を見ながら判断していきましょう。

	テナントの状態	アカウントの状態	方針案	補足
①	組織のテナント（利用規定がある）	組織アカウント	ルールに従う	組織によってはテナントを扱う際のルールが定められている場合があります。そういったルールが無いかどうかを IT部門に照会して指示に従う必要がある場合もあります。費用負担を自社でやるのか個人で建て替えるのか等。そういうしがらみ無く、自己研鑽で検証などをするなら個人アカウントで新しくテナントを作ると良いと思います。
②	組織のテナント（制限はゆるい）	組織アカウント	組織アカウントを使って、現在のテナントを使う or 組織 or 個人アカウントを使って、新しくテナントを作る	セキュリティポリシーがそれほど高くない組織だったり、開発会社のテナントであれば、自由度が効く場合があるので、その場合には組織内の人と共有して作業をするなら組織のテナントを使い、個別に検証をする場合は個人で新しくテナントを作ると良いと思います
③	個人所有のテナント	個人アカウント	個人アカウントを使って、現在のテナントを使う or 個人アカウントを使って、新しくテナントを作る	過去に Azureの無料サインアップから始めた人は「既定のディレクトリ」という名称で、ドメイン名も使いづらい名前になってしまっています。その場合には、新しいテナントを作成して、自由なテナント名・扱いやすいドメイン名にすることをお勧めします。
④	テナントを持っていない	個人アカウント	個人アカウントを使って、新しくテナントを作る	新しくテナントを作るのみです！

新しくテナントを作ることが決まったら、次章からの手順を実施してください。

テナントを作成する

2024/1/10 追記
現在、この記事で紹介した手順では、テナントを追加で作成できなくなっているようです。
詳細を確認したところ、記事を作成した時と仕組みが変更されたみたいです。
トラブルではなく、仕様変更なもよう。

※この数年間問題が無く使えていた手順であり、2023/10 に検証して、記事化したばかりだったのに💦

原因と回避策までまとめた記事を以下に公開してあります。
なので、この記事の手順は、試用版で動作しているテナントでは利用できず、正規ライセンスで運用中のテナントからしか実施できないので、ご注意ください。

（テナント作成の手順）　※正規ライセンスのあるテナントであれば、実施できます。

Azure Portal にサインイン
https://portal.azure.com/ へアクセスして、個人アカウントまたは組織アカウントでサインインします。
サインインされたら、以下の検索窓に「Microsoft Entra」と入力して、抽出されたサービス一覧から「Microsoft Entra ID」を選択します。
下図のような画面が表示されます。
赤下線部が「Microsoft Entra ID」になっていることを確認してください。
緑枠部分は、サインインしたテナントの組織名になっています。
「テナントの管理」を押します。

ここで、「テナントの管理」のボタンが押せなかったり、押した後にエラーが出る場合にはその組織ではあなたのユーザーアカウントを使ってテナントを作成する事が禁止されています。
その場合は、個人アカウントで新しくテナントを作成することを検討してください

4．以下の画面では、あなたのアカウントが所属しているテナントが一覧表示されます。
この画面から「作成」を押すことでテナントを追加作成します。

5．基本タブでは「Microsoft Entra ID」が選択されていることを確認して「次：構成」を押します。

6．下図の通り、値を入力します。入力し終えたら「次：確認および作成」を押します。

項目名	値	補足
組織名	任意の文字列	会社名や組織名、他のテナントと被っても問題ない
初期ドメイン名	ユニークな文字列	全世界でテナントを識別するために使う被らない名称である必要がある ★サインインで使うので、覚えやすくて短めをお勧めします
場所	日本	テナントのデータが保存される場所のことです機能やサインインは全世界から利用が可能です

初期ドメイン名を入力している際に、メッセージが表示される場合には既に他のテナントで利用されているため使えません。他の名前を考えてください。

7．下図の通り「検証に成功しました」と表示されていれば OK です。「作成」ボタンを押します。

8．ロボット認証をクリアしてください。

9．ロボット認証をクリアすると、以下の状態になります。

10．テナントが作成されると、以下の画面になるので、赤枠の [テナント名] のリンクをクリックします。

ここで認証画面が出た場合はテナント作成時に利用していたアカウントを使ってサインインしてください

このタイミングでブロックのエラーが出てしまう場合は「テナント制限」が掛けられていて現在の PC からは、新しく作成したテナントにはサインインすることができません。その場合は社外のプライベートな環境からアクセスしてみてください。それでもアクセス制限が掛かってダメな場合は組織アカウントでの利用をあきらめて、別途個人アカウントで新しいテナントを作成することを検討してください。

11．以下が新しいテナントにサインインした状態です。
右上の赤枠部分でサインインに使ったアカウントと、現在接続している「テナント名」を確認できます。

12．左ペインで「ユーザー」を押すと、テナントに所属するユーザーの一覧を参照できます。
テナント作成直後は、以下のとおり１ユーザーだけが存在しています。

このユーザーのユーザープリンシパル名を見ると、以下のようなややこしい名称のアカウントになっていることが確認できます。
testnogu_carol226.com#EXT#@qiitatest1007.onmicrosoft.com
ID欄には「ExternalAzureAD」と表示されています。

「ExternalAzureAD」とはこのアカウントの実態は別のテナントに存在していて、そのアカウントにリンクしたような状態になっていることを指しています。

このユーザーの権限（ロール）を見るために、まずユーザーID をクリックしてユーザーの概要ページを開き、続いて左ペインの「割り当てられたロール」を押します。
すると「グローバル管理者」のロールが付与されていることが判ります。
「グローバル管理者」は、テナントの最高権限を持っているので、すべての操作が行えます。

（参考：組織の新しいテナントを作成する）
https://learn.microsoft.com/ja-jp/azure/active-directory/fundamentals/create-new-tenant#create-a-new-tenant-for-your-organization

テナントを切替えるには

今回テナントを作成したユーザーは、以下の通り、２つのテナントに所属している状態になります。

今後は、この２つのテナントを切替えて利用する事になります。
この仕組みを理解しておかないと、困る事になるので理解しておきましょう。

サインインしているテナントの確認方法

Azure Portal の右上の場所で確認します。

新規作成したテナント	元のテナント
	マスクされていて判りづらいですがこの場所に元のテナント名が表示されています

テナントの切替

下図の通り、赤枠の「歯車マーク」を押します。
下図で、切替えたい「テナント名」の右側にある「切り替え」のボタンを押します。
切替が終わったら、以下の赤枠の箇所を確認して、意図したテナントになっていることを確認します。

グローバル管理者を作成する（強く推奨）

テナントの作成に使ったユーザーは、既にこのテナントのグローバル管理者なのですが、ゲストユーザー扱いになっています。
これでも、管理は可能なのですが、制約もあるためこのテナント内のユーザーを作成して、そのユーザーをグローバル管理者にしておきます。

もし外部テナント側の要因でアカウントが削除・ロック、サインイン先の制限などが行われると新規で作ったテナントを管理できなくなる恐れがある

Microsoft365 管理センターへサインインができない（外部テナントユーザーだと自テナントへのサインインになってしまう）

（参考：新しいテナントのユーザーアカウント）
https://learn.microsoft.com/ja-jp/azure/active-directory/fundamentals/create-new-tenant#your-user-account-in-the-new-tenant

新しいグローバル管理者の作成手順

テナントの概要画面で「ユーザー」を押します。
「新しいユーザー①」を押して「新しいユーザーの作成②」を押します。
基本タブでは、「ユーザープリンシパル名」にテナント内でユニークな名前を付与します。「表示名」は利用者の氏名などを設定します。次に「赤枠の目玉」を押して、緑枠のようにパスワードを表示させて、メモします（あとで使います）
入力が終わったら「次：プロパティ」を押します。
プロパティタブでは、特に入力が必要な項目はありません。
「次：割り当て」を押します。
割り当てタブでは、このユーザーに権限を追加するために「＋ロールの追加」を押します。
以下の一覧から「グローバル管理者」を探して「チェックON」にして「選択」ボタンを押します。
以下の画面の一覧に「グローバル管理者」が追加されたことを確認し、「次：管理と作成」を押します。
作成されるユーザーの設定を最終確認して、「作成」ボタンを押します。
ユーザーの一覧を参照して、新規ユーザーが作成されている事を確認します。ユーザーが表示されない場合は「更新」ボタンを押します。
ユーザープリンシパル名が qiitaadmin@qiitatest10007.onmicrosoft.com は、テナント内のユーザーであり、ID欄には qiitatest10007.onmicrosoft.com というドメイン名が記載されています。
外部ユーザーのばあは、ExternalAzureAD になっているので、ココでユーザーの種類を識別できます。

（参考：新しいユーザーを作成する）
https://learn.microsoft.com/ja-jp/azure/active-directory/fundamentals/how-to-create-delete-users#create-a-new-user

（参考：ロールを割り当てる）
https://learn.microsoft.com/ja-jp/azure/active-directory/fundamentals/users-assign-role-azure-portal#assign-roles

作成されたグローバル管理者での動作確認

前章で作成したアカウントを使って、サインインのテストを行います。

Azure Portal をサインアウトします。
再度 Azure Portal にサインインします。
認証ウィンドウには、さきほど作成したユーザーアカウントを入力します。
パスワード欄には、先ほどアカウント作成時に緑枠で示していたパスワードを入力します。
初回のサインインとなるため、新しいパスワードに変更が求められるので変更します。
次回以降は、ここで変更したパスワードを使用します。
サインインできましたか？
下図の赤枠の箇所が「新しいグローバル管理者」と「新しいテナント」になっていることを確認します。
念のため、ユーザーの追加や削除を行いグローバル管理者の権限を持っている事を確認しましょう。
今後は、この手順で作成したグローバル管理者を使って管理をしていきましょう。

Microsoft 365 管理センターへのサインイン

続いて、「Microsoft 365 管理センター」にも入れるかどうかを確認します。

ブラウザで https://admin.microsoft.com へアクセスします。
先ほど Azure Portal にサインインしたブラウザのままであれば、シングルサインオンされて認証無しで M365管理センターが開くはずです。
※ もし認証を求められたら先ほど作成した「グローバル管理者」でサインインしてください。

下図の赤枠部分が、「作成したテナント名」になっていることを確認します。

以下のような画面が表示された場合は、以下の２点のいずれかが原因の可能性があります。
① "qiitatest10007" テナントのゲストユーザーである
② "qiitatest10007" テナントのユーザーだが、グローバル管理者では無い

① は、testnogu@carol226.com という外部テナントのアカウントを使った場合です。どのテナントにサインインするのかが @以降のドメイン名で決定されるので、"qiitatest10007" ではなく、"carol226.com" のテナントに入ろうとしてしまっています。このような状況を未然に防ぐために、「グローバル管理者」はゲストユーザーではなく、テナント内のユーザーを作っておく必要があるという事です。

検証後にテナントが不要になった場合

テナントの削除が必要になった場合は、以下の記事を参考にしてみてください。

Next Step 1

テナントが作成できたら、続いてカスタムドメインの利用を検討してみましょう。
カスタムドメインの構成は必須では無く任意です。メリットを感じたら構成してみましょう。

Next Step 2

カスタムドメインの有無を判断および構成できたら、次はライセンスを購入（無料試用版もあり）して、Microsoft 365 のサービスをためしてみましょう。

おススメ記事

今回の作業で操作に使った「Azure Portal」と「Microsoft 365 管理センター」の関係性についてまとめてみました。これを読んでいただくとよりテナントについての理解が深まると思います。

はじめての Microsoft Entra テナント の作成