1.はじめに
Microsoft 365を利用する場合、初期ドメインのXXX.onmicrosoft.comではなく、カスタムドメインを利用するかと思います。
ただ、月日が流れ、会社の分離などで、現在利用しているカスタムドメインを他のM365テナント(YYY.onmicrosoft.com)に引っ越したいという日が来るかもしれません。
そんな日のために、カスタムドメインの引っ越し方法の注意事項に関して、記載します。
2.カスタムドメインの引っ越し注意事項
2-1.注意事項
カスタムドメインの引っ越し(あるカスタムドメインを異なるM365テナントに移動させること)を考えるにあたって、注意事項があります。
それは、
- 1. 登録済みのカスタムドメインは、他のテナントに登録できない
- 2. カスタムドメインの登録を解除するためには、カスタムドメインに紐づくリソースの変更や削除をする必要がある
- 3. フェデレーションドメインの場合は、マネージドドメインに変更する必要がある
という点です。
2-2.登録済みのカスタムドメインは、他のテナントに登録できない点
「登録済みのカスタムドメインは、他のテナントに登録できない点」に関しては、別の組織によって、ドメインを盗まれることがないようにするためには必要な仕様です。ただ、カスタムドメインの引っ越しを考えるにあたっては、移行するのが大変になる要素となっています。
例えば、移行先テナント上で、移行元テナントで利用中のカスタムドメインを登録しようとします。そのとき、DNSに、所有権確認のためのDNSレコードを登録しても、以下画像のように、NGとなります。
このため、移行元テナント、移行先テナントの両方で、同じカスタムドメインを同時に利用することができません。データ移行やメールの移行を考えると、簡単に移行できませんね。
2-3.カスタムドメインの登録を解除するためには、カスタムドメインに紐づくリソースの変更や削除をする必要がある点
具体的には、対象となるカスタムドメインを利用中のユーザのUPNサフィックス (ユーザ名の@以降の部分)を変える必要があります。
例えば、「user @example.com」の場合は、カスタムドメインの「@example.com」を消したタイミングで、user@[初期ドメイン].onmicrosoft.comに変更となり、当該ユーザはブロックされたユーザとなります。
以下画像は、Microsoft 365管理センターで、とあるカスタムドメインを削除しようとしている画像となります。
「自動的に削除」をクリックすると、そのカスタムドメインをUPNサフィックスに利用している場合、UPNサフィックスが初期ドメインに変更となります。
つまり、ユーザがEntra IDによる認証をする際のサインインユーザ名が変更になるため、ユーザへ周知をしておく必要があります。
注意点
「自動的に削除」を利用した場合、UPNサフィックスが初期ドメインに変わった後は、無効なユーザになります。
そのため、改めて、ユーザを有効化する必要があります。
2-4.フェデレーションドメインの場合は、マネージドドメインに変更する必要がある点
カスタムドメインが、フェデレーションドメインとなっている場合は、カスタムドメインを削除することができません。
以下画像は、Microsoft 365管理センターで、対象となるドメインに対して、「ドメインを削除」をクリックした画像となります。先ほどのように、「自動的に削除」のボタンは表示されず、まずは依存関係の削除をするように指示があります。
3.実際にカスタムドメインを削除する
ここからは、上記フェデレーションドメインとなっているドメインを削除します。
なお、ドメインの登録に関しては、以下リンク先の通りとなるので、割愛します。
3-1.フェデレーションドメインの解除
まず最初に、フェデレーションドメインを解除するため、PowerShellで以下コマンドを実行します。
[Domain]の部分は、ご自身のカスタムドメイン名を入力下さい。
#Entra IDに接続
#Entra IDの認証が発生しますので、権限をもつユーザでサインイン
Connect-MgGraph -Scopes "User.Read.All","Group.ReadWrite.All" -NoWelcom
#ドメインがフェデレーションドメインであることを確認
Get-MgDomain -DomainID [Domain]
#マネージドドメインに変更
Update-MgDomain -DomainId [Domain] -AuthenticationType "Managed"
#ドメインがマネージドドメインであることを確認
Get-MgDomain -DomainID [Domain]
実行時の画面は以下となります。
Update-MgDomainの実行前後で、Get-MgDomainの実行結果の「AuthenticationType」が、「Federated」から「Managed」に変わっていることが分かります。
3-2.カスタムドメインの削除
それでは、カスタムドメインを消していきます。
Entra管理センターに移動し、「設定 > ドメイン名」から、削除対象のドメイン名をクリックします。
「削除」を選択します。
次は、ドメイン名を入力し、「削除」を選択し、完了です。
ID同期をしていた場合
この削除対象のカスタムドメインをEntra Connectで同期していた場合でも、カスタムドメインの削除は可能です。
削除後も同期は継続され、[user name]@ [initial_domain].onmicrosoft.com のまま、各属性が同期されます。
加えて、AD側で新規ユーザを作成した場合は、UPNサフィックスが[initial_domain].onmicrosoft.comで、ユーザ同期されます
数分待つとカスタムドメインが削除され、削除したカスタムドメインをUPNに使っていたユーザのUPNサフィックスが[initial domain].onmicrosoft.comに変わっています。
そして、有効なアカウントの属性は、「いいえ」になっていました
UPNサフィックスを事前に変更した場合
カスタムドメインを削除する前に、UPNサフィックスを事前に変更しておいた場合は、有効なアカウントの属性は、「はい」のままとなっており、事前に変更したUPNサフィックスのままとなっていました。
しかし、Entra Connectの同期は継続しているため、UPNサフィックスは、[initial_domain].onmicrosoft.comに変わっています。
このことから、カスタムドメイン削除時は、事前に、Entra Connectの同期を停止させておいた方がよさそうです。
4.おわりに
カスタムドメインの引っ越しには、上記以外にも、データ移行やメールの移行(MXレコードの変更など)といった考慮ポイントがまだありそうですが、少しでも参考になりましたら幸いです。