初期設定はどうする？――Microsoft Entra IDでの「テナントの作成」から「セキュリティ設定」までの流れを解説：今日から始めるMicrosoft Entra ID入門（2）

「Microsoft Entra ID」は、Microsoftのクラウドサービスを利用する際に欠かせないIDおよびアクセス管理サービスです。今回は、初めてMicrosoft Entra IDを利用する方に向けて、基本的な初期設定の流れを解説します。「テナントの作成」から「セキュリティ設定」までの手順を一緒に見ていきましょう。

[森下えみ，株式会社インテルレート]

連載目次

［手順1］Microsoft Entraテナントを作成する

　「Microsoft Entra ID」（旧称：Azure Active Directory）を利用するには、まずは「テナント」と呼ばれる管理領域を作成する必要があります。テナント（Microsoft Entraテナント）は、組織が自分たちのユーザーやリソースを一元管理するための専用空間のような役割を果たします。

　しかし、実際の運用において、Microsoft Entraテナントを作りたいと思って一から作成するケースは少ないかもしれません。通常、「Microsoft 365」などのMicrosoftのクラウドサービスを契約すると、それに対応するMicrosoft Entraテナントが自動的に作成されるからです。

　同時に「example.onmicrosoft.com」の形式で初期ドメインも設定されます。なお、「example」部分は他のテナントと重複しない、一意のサブドメイン名でなければなりません。

　Microsoft Entraテナント作成後は、「Microsoft Entra管理センター」（https://entra.microsoft.com/）へアクセスしてさまざまな管理作業を行います。

［手順2］カスタムドメインを追加する

　テナントを作成後は、会社名やブランド名に基づいた「カスタムドメイン」を設定すると、より信頼性のあるID管理が可能になります。カスタムドメインとは、「contoso.com」や「company.example.com」のような、“自社独自のドメイン名”を使用することを指します。初期ドメイン（例：example.onmicrosoft.com）もインターネット上で利用可能で、メールなどのサービスに使えますが、多くの企業では初期ドメインからカスタムドメインへ切り替える場合が多いです。

　カスタムドメインを使用する理由としては、まず「企業の信頼性やブランド力を強化できること」が挙げられます。カスタムドメインを使えば、「username@company.example.com」のような自社ドメインで統一できるため、取引先や顧客に「会社として責任を持ったサービスを提供しています」というメッセージを自然に伝えることができます。

　カスタムドメインの設定が完了すると、全てのユーザーが自社ドメインを使った覚えやすいメールアドレスでサインインやサービスの利用が可能になり、スムーズなコミュニケーションを実現できます。

●カスタムドメインの設定方法

　Microsoft Entra IDにカスタムドメインを設定するには、インターネット上で利用できるドメインが必要です。このドメインは、DNS（Domain Name System）を通じてグローバルに登録されている必要があります。そのため、事前に信頼できるサービス（例：お名前.com、さくらインターネット、Amazon Route 53など）からドメインを購入しておく必要があります。

　購入したドメインは、所有権を確認する手続きが必要です。これは、購入したドメインが確かに自分の組織のものであることを証明するために行います。

　Microsoft Entra管理センターからカスタムドメインを設定する場合は、左メニューにある［ID］→［設定］から［ドメイン名］をクリックします（メニューが見当たらない場合は、［…表示数を増やす］をクリックします）。［カスタムドメインの追加］をクリックし、インターネット上で利用できる自社のドメインを入力します（画面1）。

画面1　Microsoft Entra管理センターでカスタムドメインを追加する

　［ドメインの追加］をクリックすると、ドメインの所有権を確認するためのTXTレコードが表示されるので、指定されたレコードをドメインのDNS設定画面で追加し、数分待ってから［確認］をクリックします。この手順により、Microsoftがドメインの所有権を確認し、カスタムドメインを使用できるようになります（画面2）。

画面2　カスタムドメインの所有権が確認されると［状態］が［確認済み］としてマークされる

　カスタムドメインを設定したら、「プライマリードメイン」として設定することをお勧めします。プライマリードメインとは、ユーザーのメールアドレスやサービスにデフォルト（初期設定）で使用されるドメインのことです。設定はMicrosoft Entra管理センターの［カスタムドメイン名］から該当のドメインを選択することで変更できます。

［手順3］「会社のブランド化」を設定する

　Microsoft Entra IDで「会社のブランド化」を設定すると、サインイン画面に自社のロゴや背景画像を反映させることができます。これにより、ユーザーは「自社の正規のサインイン画面だ」と認識しやすくなるため、安心感が向上します。また、サポート連絡先を表示することで、ユーザーが問題に直面したときにもすぐにヘルプを受けられるようになり、利便性が向上します。

　さらに、「会社のブランド化」設定はセキュリティ対策としても有効です。特に、フィッシングのような偽のサインイン画面を使った攻撃に対しては、ブランド化されたサインイン画面が「いつもと違う」と気が付くきっかけとなり、被害を防ぎやすくなります。

画面3　通常のMicrosoft 365へのサインイン画面（左）と「会社のブランド化」を設定したサインイン画面（右）

●「会社のブランド化」の設定方法

　Microsoft Entra管理センターの左メニューにある［ID］→［ユーザーエクスペリエンス］から［会社のブランド化］をクリックします（メニューが見当たらない場合は、［…表示数を増やす］をクリックします）（画面4）。初めて設定する場合は、［既定のサインインエクスペリエンス］の［カスタマイズ］をクリックします（※「Microsoft Entra ID P1」を保有していることが前提条件になります）。

画面4　Microsoft Entra 管理センターで会社のブランドを設定する画面

　以下の画面5は、［基本］タブで［背景の画像］を、［サインインフォーム］タブで［バナーロゴ］と［サインインページのテキスト］を設定しています。

画面5　前述（画面3）のカスタマイズしたサインイン画面を設定したときの内容

［手順3］「セキュリティの既定値群」のMFAを設定する

　Microsoft Entra IDの「セキュリティ既定値群」は、組織のセキュリティを強化するためにあらかじめ設定されたセキュリティポリシーの集まりです。特別なITの知識がなくても、企業がセキュリティのベストプラクティスを簡単に実装できるように設計されています。

　きっと最初に直面するのは、多要素認証（MFA）の設定でしょう。以下の画面6のようにMicrosoft 365などのクラウドサービスにサインインした際、追加の認証設定を求められて戸惑った経験がある方もいるかもしれません。

画面6　多要素認証（MFA）の登録画面。この画面が表示されるとユーザーは登録が完了するまでサインインできなくなる

　これはセキュリティ既定値群に含まれる重要な仕組みで、パスワードに加えてスマートフォンアプリやSMS（ショートメッセージサービス）などを使った認証を追加することで、不正アクセスを防ぎます。これにより、管理者アカウントがサインインするときは常にMFAが必須となります。一般ユーザーの場合は、MFAの登録完了までが必須で、サインイン時にMFAを利用するかどうかはMicrosoft Entra IDが判断します。

　このセキュリティの既定値群の設定は、デフォルト（初期設定）では「有効」にされていますが「無効」にすることもできます。例えば、組織でMicrosoft Entra ID P1の「条件付きアクセス」機能を利用するときは、セキュリティの既定値群をあらかじめ無効にしておく必要があります。他にも、一部のユーザーがスマートフォンも持たない状況など、組織がMFAの利用準備が完了するまでは一時的に無効化できます。

●「セキュリティの既定値群」を「無効」にする方法

　Microsoft Entra 管理センターの左メニューにある［ID］→［概要］をクリックして、［プロパティ］タブをクリックします。その後、画面下にある［セキュリティの既定値群］の［セキュリティ既定値の管理］をクリックします。

　すると以下の画面7のように［セキュリティの既定値群］画面が表示されるので［無効］を選択します。無効にする理由を選択して［保存］をクリックすると、画面右上に確認メッセージが表示されるので［無効化］をクリックします。

画面7　セキュリティ既定値群の設定画面

　なお、セキュリティの既定値群を無効化しても2024年10月16日からは、Microsoft Entra管理センターや「Microsoft Intune管理センター」「Azureポータル」にサインインする際は、MFAが義務付けられました。2025年初頭からは、「Microsoft 365管理センター」もMFA義務化の対象となります。

• 【参考情報】Azureやその他の管理ポータルにおける多要素認証の義務化の計画（Microsoft Learn）

　Microsoft Entra IDのセキュリティ既定値群は、MFAの設定をきっかけに、段階的にセキュリティを強化していく仕組みです。有効化することも検討しながら、安全で安心なIT環境を一緒に目指していきましょう。きっと組織の役に立つ選択となるはずです。

　最初は「何から始めたらいいのだろう？」と戸惑うこともあるかもしれませんが、本稿で紹介した手順を進めることで、Microsoft Entra IDのオススメ設定を理解し、安心して使い始めることができます。次回からは、「ユーザー」や「グループ」の管理方法について詳しく解説します。少しずつ理解を深めながら、Microsoft Entra IDを使いこなしていきましょう。

筆者紹介

森下 えみ（もりした えみ）

株式会社インテルレート 代表取締役。2010年からマイクロソフト認定トレーナーとして活動を開始。企業向けのクラウドサービス活用からセキュリティセミナーまで幅広い講師経験を持つ。Microsoft 365にはサービス提供開始時からセミナー講師として関わるだけでなく、プリセールス活動やMicrosoft 365の構築設計支援にも携わっている。プライベートでは『機動戦士ガンダムSEEDシリーズ』を改めて視聴中。