Google Workspaceにセカンダリドメインを追加する

現在のテナントに対して、もう１つ別のドメインを追加して、１つのテナントで複数のドメインで運用するケースは、そこそこ大きな企業の場合グループ会社を別ドメインとして取得して運用することが多いかと思います。

同一ドメインでグループ会社全員同じにしてしまうと、特にメールの送受信に於いて同じメアドからだけ送る事となるため、親会社として送ってるのか？グループ企業側として送ってるのか？また受信しているのか？が非常にわかりづらくなるといった弊害もあるため、基本わけて運用するのが吉です。

今回はセカンダリドメインとして追加する手法についてまとめました。

今回必要となるもの

• 新規ドメイン
• ドメインをセットするDNSサーバ

今回は自分がメインで使ってるさくらインターネットで新規にドメインをオーダーして、DNSについてもさくらインターネット上でゾーン編集を行っています。Googleの関連ドキュメントはこちらになります。

ここから先はDNS⇔Google Workspaceの管理画面を行ったり来たりするので、慎重に作業を行います。

DNS側での作業

ゾーン編集までの作業【手順①】

今回はさくらでドメインを取得させていて、DNSもさくらなのでスムーズにそのままDNS編集へと入ることが可能です。

1. さくらのDNS編集画面へログインする
2. 左サイドバーから契約中のドメイン一覧を開き、目的のドメインを見つける
3. Whois情報変更をクリックする
4. 左サイドバーからさくらのドメインをクリックする
5. 目的のドメインを見つけて、ゾーンをクリックする
6. 今回はレンタルサーバで使わけじゃないので、「さくらのDNSに設定する」の追加して設定をクリックする
7. ゾーン情報の項目が出てくるので、編集をクリック

ここで一旦Google Workspace側のドメイン追加作業と所有権確認の為のコードを取得する処理を行います。

図：ゾーン編集画面

TXTレコードの追加【手順③】

Google側でドメイン追加後に確認コードを取得したら、この内容をDNSに登録する必要があります。

1. エントリ名は「@」を入力する
2. タイプを「TXT」に変更する
3. データに、Google側で取得したTXTの内容を貼り付ける（ダブルコーテーションで括って入力が必要）
4. TTLの指定にチェックをいれて、300くらいに設定する
5. 追加をクリックする。その後保存をクリックする。

また、ここでGoogle Workspaceの管理コンソール側でドメインの所有権の証明作業を行う。

図：確認用コードを追加した様子

MXレコードとSPFレコードを追加【手順⑤】

新しいドメインでメールの受信が出来るように、DNS側にMXレコードの追加と、SPFレコードを追加する必要があります。

1. さくらのDNS編集画面で続けて作業を行います。
2. エントリ名を「@」で入力する
3. タイプを「TXT」に変更する
4. データに以下の項目を追加する（ダブルコーテーションで括ること）
   
   v=spf1 include:_spf.google.com ~all

   1	v=spf1 include:_spf.google.com ~all

5. TTLを300にして、追加をクリック
6. 続けて、以下のMXレコードを追加する。自分は2023年より前にテナントを作ったので複数行入れる必要があります。最後のドットを忘れずに入れないと、「レコードの参照先にAレコード以外が指定されています」とエラーが出てしまいます。
   
   //2023年より前に開設したテナント 1 aspmx.l.google.com. 5 alt1.aspmx.l.google.com. 5 alt2.aspmx.l.google.com. 10 alt3.aspmx.l.google.com. 10 alt4.aspmx.l.google.com. //2023年以降に開設したテナント 1 SMTP.GOOGLE.COM.

   1 2 3 4 5 6 7 8 9

   //2023年より前に開設したテナント 1 aspmx.l.google.com. 5 alt1.aspmx.l.google.com. 5 alt2.aspmx.l.google.com. 10 alt3.aspmx.l.google.com. 10 alt4.aspmx.l.google.com.   //2023年以降に開設したテナント 1 SMTP.GOOGLE.COM.

7. 保存をクリックして閉じる

これで、メールに関してはGoogle Workspace側へ向けて飛ぶようになります。次に、Google Workspace側でユーザのアカウントに予備のメールアドレスで追加処理を行います。

Google Workspace側での作業

ドメインの追加【手順②】

DNSのゾーン編集画面まで到達したら、今度はGoogle Workspaceの管理コンソールを開いてドメインの追加作業を行います。この時、ドメインの所有権証明のTXTレコードを取得することになります。

1. Google Workspace管理コンソールにログインする
2. 左サイドバーからアカウント=>ドメイン=>ドメインの管理を開く
3. ドメインを追加をクリックする
4. ドメイン名を入力し、セカンダリドメインを選択する
5. ドメインを追加して所有権を証明をクリックする
6. 確認手続きの流れが表示されるので、続行をクリックする
7. 確認コードが表示されるのでこれをコピーしておく。ここで作業を中断しておく。

ここで、次はさくらDNS編集画面側に戻って、TXTレコードを追加する

図：ドメイン追加画面の様子

ドメインの所有権証明【手順④】

さくら側でTXTレコードを追加したら、ここでGoogle Workspace管理コンソールでとめて置いた続きを行う

1. ドメインの所有権を証明をクリックする
2. 確認がされるとドメイン管理画面に遷移します。さくら側のTXTレコードのTTLのチェックは外してしまってかまいません。

続けて、DNSにSPFレコードとMXレコードを追加する作業を行います。

ユーザの予備のメールアドレスで追加【手順⑥】

次に、対象ユーザの予備のメールアドレスとして、新規追加ドメインで設定を追加します。全く新しいアカウントで新ドメインを使ってアカウントを作ると、アカウント枠を消費してしまう為、予備のメールアドレスとして追加し、プライマリドメインのメールボックスでセカンダリも送受信できるようにするため、この手法を取っています。

この手法の場合、エイリアスみたいなものなので、アカウント枠を消費する事がありません。

1. Google Workspaceの管理コンソールで追加したいユーザを検索
2. ユーザ情報をクリックする
3. 予備のメールアドレス項目をクリックする
4. メールアドレスの頭部分を入力し、ドメインはプルダウンから新規追加したドメインを入力する
5. 保存する

これで、対象ユーザは自分のメールボックスで両方のメールの送受信の前準備が整いました。続けて、次項のGmailを有効にするの項目を実行します。

図：予備のメールアドレスで追加してあげる

Gmailを有効にする【手順⑦】

続けて、Gmailをこのドメインで使えるように設定を追加します。DNSにも作業が必要なのでまだしばらく、あっちこっち行き来することになります。

1. Google Workspace管理コンソールのドメイン管理画面で、対象ドメインのGmailを有効にするをクリックする
2. MXレコードを設定を選び、次へをクリック
3. 続行をクリック
4. なにか画面が一瞬出ますがすぐに管理画面へリダイレクトされたらオッケー。

ここまで来たら次項の最後の項目である、個々のメールボックスでの設定を行います。

図：ここで得たMXレコードをDNSにセット

個々のメールボックスでの設定【手順⑧】

個々のセカンダリドメインで割り当てたメールアドレスで送受信できるように、以下の手順で個人アカウントのGmailに対して他のメールアドレスを追加する作業を行います。

1. Gmailを開き、右上の⚙アイコンをクリックする
2. 全ての設定を表示をクリックする
3. アカウントタブをクリックし、他のメールアドレスを追加するをクリックする
4. 名前と新ドメインでのメアドを入力し、エイリアスとして扱いますにチェックをいれておく
5. 次のステップをクリックすると閉じて、追加が完了する
6. これで新ドメインでのメールの送信が可能になります。受信については自動的に受信されるようになってるので、特に設定は必要ありません。

これで、送信する前に差出人をクリックすると、ドロップダウンで差出元のメアドを選び、送信するだけ。受信は新ドメインのメアドあてに送れば届きます。但し、DNSの反映が24時間～48時間ほど掛かるので、成功しているかどうかは待つ必要があります。

送受信テストできたら、DNSのTTL指定は外してあげましょう。

図：これで新ドメインで送受信が出来る

注意点

Google Driveのホワイトリストに追加は必要？

セカンダリドメインとして追加した場合、対象のメンバーのGoogle Driveへのアクセスについて、厳しいアクセス制限をつけてる企業では、自社テナント内以外のユーザのアクセスはデフォルトで弾く設定になってると思います。

しかし、セカンダリドメインでの設定では、ホワイトリスト運用せずとも、対象のメアドを入れておけばアクセスさせることが可能になっていますので、セキュリティレベルを下げる必要はありません。ホワイトリストは別のテナントのドメインについて作用するものになるので、同一テナント内であれば不要です。

※但しこの運用をするには、エイリアスではなく独立したアカウントで運用が必要です。

SAML認証等は出来るのか？

出来ません。単独のアカウントではなくメールの送受信に対して有効であるため、このアドレスでSAML認証は出来ません。プライマリドメインのアドレスでのみSAML認証は可能です（当然、OAuth認証も同じ）。

どうしても、他のウェブサービスと連携が必要な場合には、エイリアスではなく個別のアカウントとして作る必要性があります。

個別のメールアカウントにしたい場合

SAML認証させたい等が発生した場合や、外部IDPを使う必要性などが生じた場合には、エイリアスではなく個別のアカウントとする必要があります。既に予備のメールアドレスとして追加してしまってるので、これを独立したアカウントにする場合には

1. 予備のメールアドレスの設定を削除する
2. 新規にアカウントを同じアドレスで作成する
3. そのアカウントでもってログインしプロファイルを作っておく。

SAML認証の設定等は改めて作る必要性はないかと思います。また、メールゲートウェイなどを導入してる場合は、Google Workspace側ではなくメールゲートウェイサービス側で新ドメインを追加してチェックするようにしてあげる必要があります（またその場合、MXレコードの変更やSPFレコードの追加などが生じると思うので別途作業が必要です）

関連リンク

• セカンダリ ドメインを追加
• Google Workspace のテナント統合をした話
• ドメインの所有権を TXT レコードで証明する
• Google Workspaceの独自ドメイン設定･移管方法
• メールを委任する、メールで共同作業する
• Project Googrename: Google Workspace で 14 年運用されたドメインエイリアスをプライマリドメインに変更 & 全ユーザーを安全にリネームする
• 社名変更に伴うGoogle Workspaceアカウントの引越し手順を解説します
• サブドメインをセカンダリドメインとして追加する方法【GoogleWorkspace】
• Google Workspace のログイン ID をセカンダリドメインに付け替えた話
• Google Workspace のプライマリ ドメインを変更する
• Google Workspaceのプライマリドメイン変更が大変だった話