EntraIDでのカスタムドメイン追加に関する掟やお作法を記載します。
まず、Entra IDにreqtc.comというドメインを追加したいと考えているとします。
例1
1. sample01@onmicrosoft.com
2. sample01@reqtc.com
ドメインを追加すると上記のようになります。 更に追加でサブドメインを追加していきます。
例2
1. sample01@onmicrosoft.com
2. sample01@reqtc.com
3. sample01@pre.reqtc.com
はい、追加できました。
ここでEntraID上でカスタムドメインを追加した際の掟として覚えていただきたいのは、最初に登録した親ドメインに対する子ドメインは親ドメインの認証方式を受け継ぎます。
例えば、@reqtc.comで外部IdPへのフェデレーションを構成していたとします。
そうすると、@pre.reqtc.comのサブドメインで構成したIDでログインした場合にも、外部IdPへフェデレーションされます。
ただし追加した子ドメインが親ドメインの認証方式を受け継いでしまう事を避ける場合には、先に@pre.reqtc.comをサブドメインとして追加する必要があります。
順番的には下記です。
例3
1. sample01@onmicrosoft.com
2. sample01@pre.reqtc.com
3. sample01@reqtc.com
このように登録の順番を変更すると、@reqtc.comの認証方式は引き継がれずに、@pre.reqtc.comで独自の認証方式を構成する事が可能になります。
どんな時に使うんだと思われるかもしれませんが、認証の構成は様々存在しておりますので、環境によっては@reqtc.comは特定のIdPを経由する事を必須としている構成である場合など、別途環境を用意する際の弊害になる場合がありますので、EntraIDでのドメインの考え方を覚えておくと便利です。
文字ばかりだとわかりづらいので、通常のDNSの考え方と混合すると理解が難しくなるので図を添付します。
ご参考ください!