Microsoft 365 の導入経緯としては、もともとオンプレミスや他のサービスを使っており、リプレースなどのタイミングで SaaS のグループウェアとして導入するというのが一番多かったかと思います。Office を購入するときに Microsoft 365 Apps for business/Enterprise(旧:Office 365 ProPlus) を導入するのが切っ掛けということもあるかと思いますが、インストールをユーザーにさせるケース以外は独自ドメインを登録しないことの方が多いようで今回記載するようなシナリオは少なったように思います。
ここ数年の傾向としては Google workspace など Microsoft 365 以外の SaaS のグループウェア をお使いの会社が Windows の管理をするために Microsoft Intune を導入するという文脈が多いように思います。具体的には EMS E3 などのライセンスを購入することになるので合わせて IdP も Microsoft Entra に変更したいというのもセットになるケースが多いのですが、実際にこういったサポートの依頼はここ数年途切れることがありません。
今回はMicrosoft 365 の導入サポートの中でよくある Microsoft 365 テナントへのドメイン追加時のトラブルについてまとめていきます。
ドメインの追加の画面遷移(トラブルに関連する部分のみ)
①テナントに登録したいドメインを入力します。
②該当ドメインを所有していることを確認するための方法を選択します。
③「ドメインのDNSレコードにTXTレコードを追加する」を選択した場合
(MXレコードしか登録できない場合やDNS管理者が別にいてFTPだけ使えるケースなどを除くとこれが一般的な対応かと思います。)
所有権の確認方法が書かれていますので対応します(お使いのDNSにより実作業が異なるので、ここで詳細は割愛します)
※お名前.comの場合の手順を以前書いています。現時点で画面など細部は違う可能性もありますがイメージはつかめるかと思います。
管理者がいない「非管理テナント」が存在している場合
このケースでは②の時点で画面が変わります。セルフサービス サインアップで登録されたドメインの場合は管理者がいない「非管理テナント」が存在している場合は下記のような画面が表示されます。※ドメインの部分を黒で消しています
セルフサインアップの詳細:https://learn.microsoft.com/ja-jp/microsoft-365/admin/misc/self-service-sign-up
対応方法としては「非管理テナント」の管理者となって、該当テナントからドメインを削除する必要があります。具体的には下記の流れになるかと思います。
①該当ドメインでメール受信ができる方に対して招待を送信します
②メールが届きますので「非管理テナント」の「Microsoft365管理センター」にサインインします。※通常の Microsoft 365 のサイトにアクセスしてもサインインできないのでご注意ください
③管理者になるといった画面が表示されますので、ドメイン所有権確認の対応をします。
④DNS登録後に管理者になりますので、Microsoft管理センターの[ユーザ]タブで登録状況を確認して対応をします。
一般的な対応方法
・ユーザーが在籍している場合
→利用有無を確認して不要ならアカウント削除をします。必要な場合はonmicrosoft.comにサインインが変更になる旨を伝えた後に作業を行います。※システム管理者の方がユーザーに何も言わずにすべて消したケースも見たことありますw
・ユーザーが在籍していない場合
→アカウント削除をします
過去の経験からは利用者の方がセルフサービス サインアップをしたサービスを使い続けているケースは少なく、トラブル防止の観点としてテナントを削除するケースがほとんどでした。ごく稀にデータが存在するから残したいという理由で、該当のドメインを削除するためにサインインアドレスをonmicrosoft.comに変更して、その方のためにだけテナントを残すという対応のケースもありました。
⑤ドメインを削除する
該当のドメインを使ったオブジェクトがあるとドメインを削除することができません。対応としてはGUIないしはコマンドでUPNを変えるということをすることが多いです。※不要な場合はテナント削除も行った方が良いです。
別のテナントにドメインが紐づいている場合
タイトルを読んで「そんなことあるはずがない!」と思われる管理者の方も多いかと思いますが、大きな会社だとこのケースがあったりします。実際にグローバルで同じドメインを使っているために海外で勝手に使ってたケースとか、スタートアップの会社で特定部署が勝手に入れてたなんてケースなどを実際に経験してます。
このケースは所有権の確認をした後にしかわからないので注意が必要です。
DNSレコードを引いてTXTレコードに Microsoft 365 の所有権確認レコードがないから大丈夫という誤った判断をする方がいますが不要なレコードを消す会社は多いです。実際にこの方法で確認した気になっていてドメイン登録を後回しにしたら、このケースに該当してスケジュール大遅延していた案件が……げふんげふん。
ドメインの追加の画面遷移の③の所有権確認をした際に下記のように別のテナントで登録されている旨の画面が表示されます。
対応方法としてはこの情報をもとに社内で確認をしていただくことになるかと思います。利用用途によってはデータ移行などいろいろ考えなくてはいけないことが増えるので、最初に考えていたスコープから大きく作業が増えるますし、スケジュールも大きくずれるかと思います。
ちなみに別のテナントの管理者がわからないとか退職者した場合でも対応方法はあるのでライセンスを調達している会社のサポートに問い合わせしてください(煩雑な手続きと時間はかかるのは覚悟してください)
まとめ
新しく Microsoft 365 を使う場合でユーザーにサインインをさせる場合(管理者が全部やる場合は別とする)は独自ドメインを登録することになるかと思います。その際によく問い合わせを受ける内容を記事にしてみました。※ユーザーにサインインをさせるのに onmicrosoft.com のままで対応している会社もごく稀にいますが、機能制約がありますしユーザーの体験が悪いのでおすすめしません。
実際に『管理者がいない「非管理テナント」が存在している場合』というシナリオが直近で3件ほど発生しそう(うち1件発生して対応中)なので書きました。Google Workspace を使っていて Microsoft Intune を使うときにそこそこ高い割合で発生するのですが、検証の時にここでつまずいて「Microsoft 意味わからん!」と導入を挫折する方が時々いるので、少しでも参考になればと思います。
ドメインを追加する要件があったらスケジュールに影響する可能性が高いので、所有権の確認まではすぐにやることを強くおすすめします(実際に後回しにして炎上したSIerさんや情シスさんを結構な数見ています)
本件に関連する記事として以前に「非管理テナント」について書いていますので。気になった方はこちらもご参照いただければと思います。
