テナント間移行時のドメインの考慮

Microsoft Entra ID

グループ再編やM&AなどでMicrosoft 365のテナント統合の話をよくいただきますので、プリセールス段階でよく聞かれることを記載します。今回はドメインについて記載をしていきます。

前提

今回はテナント間移行(テナント to テナント)の話に絞ります。
読者のターゲットはMicrosoft 365 管理者で移行に関係する方や移行プロジェクトに関係する方としており、テクニカル寄りの内容です。

自社は移行製品(それ以外にも運用/保守やセキュリティや教育などのソリューションもある)を販売する会社です。顧客の要望次第で実際に自社の製品を使って移行作業をやることもあります。(ここ数年は少なくても随時1件以上は担当してました)
※Google Workspace やBOXといったSaaSやファイルサーバーやSharePoint Serverといったオンプレミス環境などいろいろなシステムからの移行をやってます。

自社の仕事を例えると、引越しのトラック貸出(SaaSないしはソフト提供)です。他社と違ってオフィシャルで日本法人があるため、梱包の仕方なども用意(各種マニュアルやサポート)はしているのですが、引っ越しの作業員(実役務)が欲しいと言われると内容次第ではサポートさせていただいてます。

トラック貸出や作業周りは業務知識で守秘義務のある部分となるので記載できませんが、引越しの時の心構えや引越作業や注意点といった一般論を記載します。

ドメインについて

移行先の環境はテナント間移行の理由によって大きく違います。

「新規の場合」:グループからの離脱や新会社設立などのケース
「既存の場合」:M&Aやグループ再編(シングルテナント化)などのケース

「xxx.co.jp」 や 「xxx.com」といった独自ドメインを移行先にもっていくかという点で大きく考慮ポイントが増えるという点について今回は記載していきたいと思います。※xxxは任意の文字列です

Microsoft 365 の制約について

ドメインを移行しないケースは移行前にドメインを登録すればシンプルな移行ができるので問題ないのですが、ドメインを移行するケースはいろいろな制約があります。
※大手金融機関や大手メーカーとかでも一切の妥協は得られませんでしたが、10万人オーバーとかの実績でイレギュラー対応があるようならこっそり教えてくださいw

前提

Microsoft 365 ではテナント作成時の初期ドメインとしてxxx.onmicrosoft.comがあります。
※onmicrosoft.comのサブドメイン(子ドメイン)であり、ユニーク(世界で1つ)となっています。

今回は下記の構成として以降の話を進めていきます。

移行元のドメイン:source.onmicrosoft.com
移行先のドメイン:destination.onmicrosoft.com
独自ドメイン:m365labo.xyz ※先日の記事でお名前.comで設定したドメインを利用しています

移行先テナントに同じ独自ドメインは設定できない

一番大きな問題はテナントに同時に同じ独自ドメインが設定できないというものです。

まずは認識合わせをしていきます。

①移行元テナントには2つのドメインが存在するとします。「source.onmicrosoft.com」と「m365labo.xyz」
②移行先テナントには1つのドメインが存在するとします。「destination.onmicrosoft.com」
③この状態で移行先テナントに「m365labo.xyz」を追加作業をすると所有権の確認の状況で下記の画面が表示されてドメインの登録ができません。※青で隠されている部分は「source」になっていると思ってください。

該当部分を拡大

全体画面

内容としては移行元で「m365labo.xyz」を消したら登録できるよという内容のエラーです。
タイトルの通りで「移行先テナントに同じ独自ドメインは設定できない」ということが発生します。

ユーザーからするとテナントが違うとAADが違う(xxx.onmicrosoft.com)と見えますが、MicrosoftからするとAAD(onmicrosoftcom)は1つです。世の中で一つのはずのドメインがAADに複数登録されることはおかしいと判断されると理解していただければ仕様としては納得いただけるかと思います。

当然のことなのですが、Google Workspaceからの移行であったり、プロバイダーメールからの移行などの場合はこのシナリオは存在しません。事前に移行先であるMicrosoft 365 テナントにドメイン登録はできるので、そのドメインに対してデータ移行すればよいです。

何が問題となるのか?

①m365labo.xyzという最終的に利用するオブジェクトに対して移行をするということができません。
②移行元テナントでドメインを消す → 移行先テナントでドメインを追加するという作業が必要になります。

ここでピンとくる方とこない方がいると思うのでもう少し掘り下げます。

①に対する対応

Google Workspaceからの移行であったり、プロバイダーメールからの移行などの場合
移行元:m365labo.xyz →(データ移行)→ 移行先:m365labo.xyz

Microsoft 365 間の移行の場合
移行元:m365labo.xyz →(データ移行)→ 移行先:m365labo.xyz
これが技術的にできません

対応としては下記を行います。
移行元:m365labo.xyz →(データ移行)→ 移行先:destination.onmicrosoft.com

具体的には上記でデータ移行を行います。
後にdestination.onmicrosoft.comをm365labo.xyzに変更をするという対応をします。

ここで細かな問題が2つ発生します(今回は触れません)
・onmicrosoft.comは1度作ったものを変更できない
 (5/2追記)AADCで同期した場合に@前がミスしてたとしても変えられないという意味
・ドメイン変更後に増分などの移行する際には下記になることを考慮しないといけない
 移行元:source.onmicrosoft.com →(データ移行)→ 移行先:m365labo.xyz

②に対する対応

「移行元テナントでドメインを消す」という作業をすることでどうなるのかという部分のイメージを合わせたいと思います。

ドメインを消すという作業はドメインの追加の画面で「削除」をクリックするだけなので簡単です。しかし、削除を「成功」するためには実は条件があり、この部分が大きく影響を及ぼします。

条件は「ドメインを使っているすべてのオブジェクトのドメインを変更すること」です。

ユーザー、グループ(配布/メールが有効なセキュリティグループ/Microsoft 365 Group)など様々なところで使っているドメインをすべて切り替える必要があります。

ここでほとんどの方はお気付きかと思いますが、言い換えると「独自ドメインを使った受信がすべて止まるということ」を意味します。

簡単に整理すると移行元と移行先では下記の作業が必要となります。
・移行元:削除予定のドメインを使ったオブジェクトすべてのドメインの変更
・移行元:ドメインの削除
・移行先:ドメインの登録(DNS変更は同じドメインであれば原則不要:通常SRでMSは言質はくれないので自己責任。)
・移行先:必要なオブジェクトの「destination.onmicrosoft.com」を「m365labo.xyz」に変更をする

これを行うのにどれぐらい時間がかかるかはボリュームもそうですが、移行元の管理者・移行元のDNS管理者・移行先の管理者・移行先のDNS管理者など登場人物が多いので調整も大変であり、各社ごとに大きく違う部分となります。

上記はAADで運用している場合のおおまかな手順ですので、AADCを使っている場合はさらに考慮ポイントが増えますし、Microsoft 365単体の視点だけで書いていますので、外部システム連携をしている場合はそれの考慮も必要となるという点を記載しておきます。
※エンジニアの方はAADC のMicrosoft の保証している値を知って多分頭を抱えると思います(苦笑)

結論

ドメインを継続して利用する場合はMicrosoft 365 だけで何とかしようとすると「痛みを伴う移行」になります。※ドメインの部分でいい方法ある方はぜひ教えてください。

システム的に難しいからではドメインを変えるかというと、それはそれで影響が大きいので実際は上記の作業をすることになるかと思います。(環境次第ですがメールの配送ルート次第では少し影響を緩和させることなどもできたりするケースもあります)

Microsoft 365 間の移行ではいろいろ大変な観点はありますが、情報を早めに整理してしっかりステークホルダーと合意を取って進めていくことが重要になります。
また、どうやってもできないことがあるので悪い部分を早めに共通理解にして対応を合意することがコツかなと個人的に思っています。

タイトルとURLをコピーしました