Home > サービス アカウント > Microsoft サービス アカウント プロファイルの管理

この記事をダウンロード

Microsoft サービス アカウント プロファイルの管理

サービス アカウント認証方法に対応するサービスについては、以下の表を参照してください。

  • Cense

  • Classic DocAve Backup

  • Cloud Archiving

  • Cloud Backup for Dynamics 365

  • Cloud Backup for IaaS + PaaS

  • Cloud Backup for Microsoft 365

  • Cloud Governance

  • Cloud Management

  • EnPower

  • Fly

  • Opus

  • Policies for Microsoft 365

  • AvePoint Portal Manager

NOTE

AvePoint Online Services 共通サービス オプションは、サービス プロバイダーがサービス アカウント プロファイルを作成する際にのみサポートされます。

テナント所有者およびサービス管理者は、管理 > サービス アカウント の順に移動し、サービス アカウント プロファイルを管理することができます。サービス アカウント ページで、Microsoft サービス アカウント タブを選択し、以下のアクションを実行することができます。

  • 作成[作成] をクリックします。詳細については、サービス アカウント プロファイルの作成 を参照してください。

    NOTE

    テナントでサービス アカウント プロファイルが必要であるかどうかを確認するには、トピック データ管理要件を満たすアプリ プロファイル方法 を参照してください。

  • 編集 – サービス アカウント プロファイルを選択して、[編集] をクリックします。

    サービス アカウント プロファイルの詳細を表示するには、プロファイル名 列内のリンクをクリックします。サービス アカウント プロファイルの詳細を表示する際に、[編集] をクリックしてその詳細を編集することもできます。

  • 削除 – サービス アカウント プロファイルを 1 件以上選択して、[削除] をクリックします。確認のポップアップ ウィンドウが表示されます。[確認] をクリックし、削除を確認します。

サービス アカウント プロファイルの作成

サービス アカウント プロファイルを作成するには、[作成] をクリックします。サービス アカウント プロファイルの作成 画面で以下の設定を構成してください。

NOTE

クラシック UI でサービス アカウント プロファイルを構成した場合、これらのサービス アカウント プロファイルは新しい UI でオブジェクトのスキャンおよびユーザーの招待に使用することができます。

  1. プロファイル名 – サービス アカウント プロファイルの名前を入力します。

  2. 説明 – 必要に応じて説明を入力します。

  3. テナントの選択 – ドロップダウン リストからテナントを選択します。

  4. サービスの選択 – ドロップダウン リストからサービスを 1 件以上選択します。

  5. ユーザー名 – テナントのクラウド サービスで必要な権限を持つアカウントを指定します。Microsoft 365 サービス アカウントの権限は、テナントが使用しているクラウド サービスによって異なります。詳細については、以下の クラウド サービスの必要な権限 セクションを参照してください。

    以下のことに注意してください。

    • アクティブな個人ユーザー アカウントをサービス アカウントとして使用することはお勧めしません。個別のサービス アカウントを使用してすべての管理作業を管理することをお勧めします。

    • スキャン プロファイルを実行して SharePoint サイト / Microsoft 365 グループをスキャンすると、指定したサービス アカウントは用語ストア管理者として自動追加されます。

    • 指定した Microsoft 365 アカウントで多要素認証 (MFA) を有効にすることはできません。組織で MFA が有効になっている場合、サービス アカウントの検証テストに合格するための注意点 を参照してください。

  6. パスワード – 上記のアカウントのログイン パスワードを入力します。

    NOTE

    このパスワードは Microsoft 365 API で検証されます。Microsoft 365 API の制限により、パスワードの確認結果が無効であっても、このパスワードを使用して Microsoft 365 に正常にログインできるという問題が発生する可能性があります。この問題を解決するには、Microsoft 365 でパスワードを変更して、ここに新しいパスワードを入力する必要があります。パスワードの制限および要件については、パスワード制限および Microsoft 365 アカウントの要件 を参照してください。

  7. [保存] をクリックすると、構成が保存されます。[キャンセル] をクリックすると、構成が保存せずに サービス アカウント ページに戻ります。

  8. エラー Your organization has set access policies that block the validation が発生し、サービス アカウント プロファイルを保存できない場合、トラブルシューティングのために以下の サービス-アカウントの検証テストに合格するための注意点 セクションのソリューションを参照してください。

パスワード制限および Microsoft 365 アカウントの要件

パスワード制限および Microsoft 365 アカウントの要件の詳細は以下の表のとおりです。パスワード制限および要件は Microsoft 365 からのものであることに注意してください。

プロパティ要件
許可された文字- A-Z
- a-z
- 0-9
- @ # $ % ^ & * - _ ! + = [] | \ : ' , .? / ` ~ ” () ;
許可されない文字- Unicode 文字
- スペース
- 強力なパスワードのみ: @ シンボルの直前にドット文字 (.) を含めることはできません。
パスワード制限- 最小 8 文字と最大 16 文字
- 強力なパスワードのみ: 以下の条件のうち 3 件が必要です。 - 小文字
- 大文字
- 数値 (0-9)
- シンボル (上の 許可された文字 に一覧表示されているシンボルを参照)
パスワードの有効期限既定では、パスワードの有効期限が有効になっています。

パスワードの有効期限を無効にするには、Microsoft 365 > 管理 > 設定 > セキュリティとプライバシー > パスワード ポリシー に移動し、[編集] をクリックして オフ ボタンをクリックします。
パスワードの有効期限既定では、パスワードは 90 日後に失効します。

期間を変更するには、Microsoft 365 > 管理 > 設定 > セキュリティとプライバシー > パスワード ポリシー に移動し、[編集] をクリックして パスワードの有効期限が切れるまでの日数 フィールドの数値を編集します。
パスワード有効期限通知既定では、パスワードが失効する 14 日前にパスワード有効期限切れの通知はユーザーに送信されます。

通知時間を変更するには、Microsoft 365 > 管理 > 設定 > セキュリティとプライバシー > パスワード ポリシー に移動し、[編集] をクリックして 有効期限の何日前にユーザーに通知するか フィールドの数値を編集します。

サービス アカウントの検証テストに合格するための注意点

組織が多要素認証 (MFA) が使用している場合、またはエラー Your organization has set access policies that block the validation が発生し、サービス アカウント プロファイルを保存できない場合、トラブルシューティングのために以下のソリューションを参照してください。

  • アクセス ポリシー / 多要素認証を削除または無効化します。

  • アクセス ポリシーを編集して、サービス アカウントとして設定されている Microsoft 365 ユーザーを除外します。

    アクセス ポリシーからの Microsoft 365 ユーザーの除外

  • アクセス ポリシーを編集して、AvePoint Online Services の予約された IP アドレスを除外します。予約された IP アドレスは システム管理 > セキュリティ でダウンロードすることができます。

    アクセス ポリシーからの予約された IP アドレスの除外

クラウド サービスの必要な権限

以下のサービスは、認証に Microsoft 365 サービス アカウントを使用することをサポートしています。Microsoft 365 サービス アカウントの権限は、テナントが使用しているクラウド サービスによって異なります。Microsoft 365 アカウントを準備し、このアカウントに必要なロールを割り当てるには、以下のリンクを参照してください。

アカウント プールの管理 (旧形式)

NOTE

このセクションの情報は、AOS クラシック UI (2023 年 6 月リリース以前) でサービス アカウント プールを構成した顧客のみを対象としています。

SharePoint Online には 1 件のアカウントで複数の要求を同時に処理することを防ぐ Built-in 調整機能が存在します。SharePoint Online のスロットリングやブロックを回避するため、複数の Microsoft 365 アカウントを含むアカウント プールを使用することができます。

AvePoint Online Services (AOS) が SharePoint Online サイト コレクションおよび OneDrive に登録する場合、AOS は サイト、メールボックス、グループ、チーム / Project サイト / Exchange パブリック フォルダー のアカウント プールで設定されたグループに対して、サイト コレクション管理者の権限を付与します。アカウント プール内の Microsoft 365 アカウントは、グループからサイト コレクション管理者の権限を継承します。これらのアカウントの資格情報により、AvePoint サービスがスムーズに動作できます。例えば、Cloud Backup for Microsoft 365 は大量のデータを同時に管理すること、Cloud Governance は複数の要求を同時に処理することが可能になります。*

Microsoft 365 アカウント プールを使用できるサービスの概要については、Microsoft 365 アカウント プールで使用できるサービス セクションを参照してください。

AvePoint Online Services でアカウント プールを構築するには、先に Microsoft 365 でグループを作成しておく必要があります。グループ タイプとして利用可能であるのは、Microsoft 365 グループ、メールが有効なセキュリティ グループ、セキュリティ グループです。このグループには一定数以上のユーザーを含める必要があります。Microsoft 365 でライセンスが割り当てられているユーザーもこのグループに追加できます。

各オブジェクト タイプの必要な情報は以下の表のとおりです。

オブジェクト タイプアカウント プールの要否ユーザー名の要否パスワードの要否SharePoint 管理者 ロールの要否ライセンスの要否
SharePoint Online サイト コレクション××
OneDrive××
Microsoft 365 グループ チーム サイト××
Exchange Online メールボックス××
Microsoft 365 グループ メールボックス××
Microsoft 365 グループ×〇Microsoft 365 で SharePoint Online および Exchange Online 製品ライセンスが割り当てられています。
Microsoft Teams×〇Microsoft 365 で Exchange Online および Microsoft Teams 製品ライセンスが割り当てられています。
Project Online サイト コレクション****×〇Microsoft 365 で Project Online 製品ライセンスEssentialsProfessionalsPremium のいずれかが割り当てられています。
Exchange Online パブリック フォルダー****××〇Microsoft 365 で Exchange Online 製品ライセンスが割り当てられています。
Microsoft 365 ユーザー×*〇Microsoft 365 で Microsoft Entra ID 製品ライセンスPremium P1 または Premium P2 のいずれかが割り当てられています。****
Viva Engage コミュニティ×××××

以下のことに注意してください。

  • SharePoint Online サイト コレクション、OneDrive、Microsoft 365 グループ チーム サイトでは、SharePoint 管理者ロールが Cloud Management > 管理センター および Classic DocAve Backup 機能に必要です。

  • Microsoft 365 ユーザーを管理するには、EnPower サービスは Microsoft 365 グローバル管理者ロールが必要です。

テナント所有者およびサービス管理者は、管理 > サービス アカウント に移動して、クラシック UI リンクをクリックして アカウント プールの管理 ページを新しいタブで開くことで、アカウント プールを管理することができます。アカウント・プールの管理 ページで設定を構成する詳細については、以下の説明を参照してください。

  1. テナントの選択 – ドロップダウン リストからテナントを選択します。テナントは構成済みのアプリ プロファイルまたは Microsoft 365 サービス アカウント プロファイルから取得されます。

  2. Microsoft 365 向けのサービス経由でバックアップ・管理するオブジェクトに従って、**サイト、メールボックス、グループおよびチーム、**Project サイトExchange パブリック フォルダー のアカウント プールを構成します。

    NOTE

    サイト、メールボックス、グループ、チーム タブには、以下のクラウド サービス用の異なるオブジェクト タイプが含まれています。

    • EnPower サービスの場合、このタブには SharePoint サイト、OneDrive、Microsoft 365 グループ チーム サイト、Exchange Online メールボックス、Microsoft 365 メールボックスが含まれます。

    • Fly サービスの場合、このタブには SharePoint サイト、OneDrive、Microsoft 365 グループ チーム サイト、Exchange Online メールボックス、Microsoft 365 グループ、および Microsoft Teams が含まれます。

    • その他のサービスの場合、このタブには SharePoint サイト、OneDrive、Microsoft 365 グループ チーム サイトが含まれます。

    タブをクリックして以下の設定を構成します。

    1. グループ名 – 用意したグループの名前を入力します。

    2. グループ名の横にある [検証] をクリックします。グループ メンバーは グループ ユーザー フィールドに表示されます。グループに含める必要なユーザーの最小数については、アカウント プールに追加する必要があるアカウント数 セクションを参照してください。

      以下のことに注意してください。

      • ユーザー アカウントがサービス アカウント プロファイルに存在する場合、このサービス アカウントは、AvePoint Online Services テナントの操作管理に使用され、アプリケーション レベル ジョブの実行にも使用されます。

      • 偽装技術により、Exchange Online パブリック フォルダーをバックアップする際に、アカウントのパスワードを提供する必要はありません。偽装の詳細を表示するには、リンク https://msdn.microsoft.com/ja-jp/library/office/dn722377(v=exchg.150).aspx をクリックしてください。

      • Planner データを保護するため、アカウントはスキャン済み Microsoft 365 グループおよびチームの所有者およびメンバーである必要があります。

      • Microsoft Entra で構成された条件付きアクセス ポリシーによって、ユーザー アカウントで多要素認証が有効になっている場合、このアカウントはアカウント プールに追加することはできません。

    3. カスタム SharePoint Online 管理センター URL – 1 件以上のアカウントの MFA を有効にした場合、お使いの SharePoint Online 管理センター URL をテキスト ボックスに入力する必要があります。

  3. すべての希望のアカウント プールの構成完了後、[保存] をクリックして構成を保存します。アカウント プールからグループを削除する場合は、グループ名の横にある [クリア] をクリックして、[保存] をクリックします。

    NOTE

    テナントのアカウント プールを保存すると、そのアカウント プールは次回の自動検出スキャン ジョブに反映されます。

アカウント プールを編集してグループを変更する場合、自動検出スキャンの再実行を推奨するポップアップ ウィンドウが表示されます。スキャン プロファイルを再実行して、変更をただちに反映します。スキャン プロファイルを再実行しない場合、変更は保存されますが、次回のスキャンが完了するまで反映されません。

Microsoft 365 アカウント プールで使用できるサービス

対応する自動検出スキャン プロファイルでサービス アカウント認証方法が使用される場合、以下のサービスが Microsoft 365 アカウント プールを使用します。

  • AvePoint Cloud Backup for Microsoft 365 – SharePoint サイト、Project サイト、OneDrive、Microsoft 365 グループ チーム サイト、Exchange パブリック フォルダーのバックアップ
  • AvePoint Cloud Management – 管理センター内のセキュリティ検索および Policy Enforcer 機能

  • Classic DocAve Backup – SharePoint サイト、OneDrive、Microsoft 365 グループ チーム サイトのバックアップ

  • AvePoint Cloud Governance – すべての機能

  • AvePoint Fly – Exchange Online、SharePoint Online、OneDrive、Microsoft Teams、および Microsoft 365 グループの移行

  • AvePoint EnPower – Exchange Online、Microsoft 365 グループ、および Microsoft 365 ユーザーの管理

アカウント プールに追加する必要があるアカウント数

オブジェクトの初回管理である場合、アカウント プールに追加されたグループには、1000 件のオブジェクトの管理にあたり 7 名以上のユーザーを含めることをお勧めします。オブジェクトの初回管理ではない場合、アカウント プールに追加されたグループには、2000 件のオブジェクトの管理にあたり 3 名以上のユーザーを含めることをお勧めします。

例:

  • AvePoint Cloud Backup for Microsoft 365 を使用して、2000 件の SharePoint Online サイト コレクションを初めてバックアップする場合、アカウント プールに 14 名以上のユーザーを追加する必要があります。

  • AvePoint Cloud Backup for Microsoft 365 を使用して、1000 件の SharePoint Online サイト コレクションおよび 2000 件の OneDrive を初めてバックアップする場合、アカウント プールに 21 名以上のユーザーを追加する必要があります。

  • 初回バックアップ ジョブの実行後、2000 件の SharePoint Online サイト コレクションをバックアップする場合、アカウント プールに 3 名以上のユーザーを追加する必要があります。

  • 初回バックアップ ジョブの実行後、1000 件の SharePoint Online サイト コレクションおよび 2000 件の OneDrive をバックアップする場合、アカウント プールに 4 名以上のユーザーを追加する必要があります。

クラシック MFA サービス アカウントの確認

NOTE

このセクションの情報は、AOS クラシック UI (2023 年 6 月リリース以前) で MFA サービス アカウント プロファイルを構成した顧客のみを対象としています。

組織が AOS クラシック UI (2023 年 6 月リリース以前) で MFA サービス アカウント プロファイルを構成している場合、Microsoft お知らせ からの変更予定により、SharePoint Online および OneDrive for Business の認証は影響されます。そのため、以下の説明を参照して、クラシック MFA サービス アカウントを確認して削除してください。

  1. クラシック MFA サービス アカウント プロファイルを確認して削除します。

    テナント所有者およびサービス管理者は、管理 > Microsoft サービス アカウント に移動して、クラシック MFA サービス アカウント プロファイルを 1 件ずつクリックして確認することができます。

    クラシック MFA サービス アカウント プロファイルの確認

    サービス アカウントをクリックして AOS クラシック UI に移動される場合、そのアカウントはサブスクリプトしたサービスに構成されたクラシック MFA サービス アカウントです。

    NOTE

    サービス アカウントをクリックして、クラシック UI に移動されない場合、クラシック サービス アカウントを使用していなく、その他の操作は必要ありません。

    クラシック MFA サービス アカウント

    クラシック MFA サービス アカウント プロファイルを削除するには、管理 > サービス アカウント に戻って、プロファイルを選択して [削除] をクリックします。

  2. サービス アカウント プールからクラシック MFA サービス アカウントを確認して削除します。

    テナント所有者およびサービス管理者は 管理 > サービス アカウント に移動し、[クラシック UI] リンクをクリックして新しいタブで アカウント プールの管理 ページを開くことができます。

    クラシック UI リンクのクリック

    アカウント プールの管理 ページで、MFA の有効化 の切り替えがオンになっているサービス アカウントが存在するかどうかを確認します。存在する場合、サブスクリプトしたサービスに構成されたクラシック MFA サービス アカウントがあります。アカウント プールの管理 ページの [削除] をクリックすることで、クラシック MFA サービス アカウントを削除することができます。

    アカウント プールからのクラシック MFA アカウントの削除