移行元 Exchange Online における権限

移行元に接続するには、認証方法として、サービス アカウント・Fly アプリ プロファイル・カスタム アプリ プロファイルのいずれかの使用を選択することができます。サービス アカウントと Fly アプリ プロファイルの組み合わせ、またはサービス アカウントとカスタム アプリ プロファイルの組み合わせを使用することもできます。

認証方法によって必要な権限については、以下のセクションを参照してください。

Fly アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 で Fly アプリ プロファイルを作成して、Fly アプリを使用している Microsoft 365 テナントに接続することができます。

Fly アプリ プロファイルの作成方法および必須権限については、Fly アプリ プロファイル権限 を参照してください。

以下のことに注意してください。

  • Exchange Online テナントの検出または Exchange Online 移行を実行する場合、アプリを承認するアカウントがメールボックス (Exchange ライセンスの割り当てまたは PowerShell の使用のいずれかによって作成されているメールボックス) を持っていることを確認してください。

  • 以下の場合に、Exchange 管理者 ロールを AvePoint Fly アプリに割り当てる必要があります。詳細については、以下の Exchange 管理者ロールのアプリへの割り当て方法 を参照してください。

    • 配布リスト、動的配布リスト、メールが有効なセキュリティ グループを移行する

    • 共有予定表の権限を移行する

    • メール転送を有効にする

    • メールボックス権限を移行する

    アプリに Exchange 管理者 ロールを割り当てない場合は、アプリにカスタム ロールを追加して上記の機能が利用可能であることを確保します。詳細については、アプリへのカスタム役割の追加方法 を参照してください。

カスタム アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 でカスタム アプリ プロファイルを作成して、カスタム Azure アプリを使用している Microsoft 365 テナントに接続することができます。

カスタム アプリ プロファイルを作成するには、以下の説明を参照してください。

  1. Microsoft Entra ID で証明書を準備します。詳細については、カスタム Azure アプリ用の証明書の準備 を参照してください。

    証明書がある場合、このステップを無視することができます。

  2. Microsoft Entra IDでカスタム Azure アプリを作成します。詳細については、カスタム Azure アプリの作成 を参照してください。

  3. テナントを AvePoint Online Services に接続 します。

  4. AvePoint Online Services で カスタム Azure アプリ用アプリ プロファイルを作成 します。

NOTE

アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

Exchange Online への移行

NOTE

AvePoint Online Services は、Exchange Web Services (EWS) から Microsoft Graph への移行を実行しています。この移行の一環として、Exchange Online から Exchange Online への移行の場合、管理者は AvePoint アプリケーションを再認証して必要な Microsoft Graph アクセス許可を付与するか、以下の Microsoft Graph API アプリケーションのアクセス許可を移行元カスタム Azure アプリに追加する必要があります。

  • MailboxFolder.Read.All
  • MailboxItem.Read.All
  • MailboxItem.Export.All
  • Mail.Read
  • MailboxSettings.Read

Exchange Online から Exchange Online への移行における移行先カスタム アプリの権限については、カスタム アプリ プロファイル権限 を参照してください。

以下の表の内容に従って、Exchange Online から Exchange Online への移行に必要な API アクセス許可を追加してください。

以下のことに注意してください。

  • Exchange Online テナントの検出または Exchange Online から Exchange Online への移行を実行する場合、アプリを承認するアカウントがメールボックス (Exchange ライセンスの割り当てまたは PowerShell の使用のいずれかによって作成されているメールボックス) を持っていることを確認してください。

  • 以下の場合に、カスタム アプリに Exchange 管理者 ロールを割り当てる必要があります。詳細については、以下の Exchange 管理者ロールのアプリへの割り当て方法 を参照してください。

    • 配布リスト、動的配布リスト、メールが有効なセキュリティ グループを移行する

    • 共有予定表の権限を移行する

    • メール転送を有効にする

    • メールボックス権限を移行する

    アプリに Exchange 管理者 ロールを割り当てない場合は、アプリにカスタム ロールを追加して上記の機能が利用可能であることを確保します。詳細については、アプリへのカスタム役割の追加方法 を参照してください。

APIアクセス許可タイプ目的
Azure Rights Management Services
*注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
Content.SuperUser
(Read all protected content for this tenant)
アプリケーションメールの秘密度ラベルを管理する場合にのみ必要です。
(移行に Graph API または EWS を使用している場合に必要です。)
Microsoft Information Protection Sync ServiceUnifiedPolicy.Tenant.Read
(Read all unified policies of the tenant)
アプリケーションメールの秘密度ラベルを管理する場合にのみ必要です。
(移行に Graph API または EWS を使用している場合に必要です。)
Office 365 Exchange OnlineExchange.ManageAsApp
(Manage Exchange As Application)
アプリケーションExchange PowerShell を使用してメールボックスの権限、配布リスト、動的に配布リストを移行します。
(移行に Graph API または EWS を使用している場合に必要です。)
Office 365 Exchange Onlinefull_access_as_app
(Use Exchange Web Services with full access to all mailboxes)
アプリケーションすべてのメールボックスからアイテムを取得して移行します。
*注意: この権限をアプリに追加しない場合、アプリに RBAC 割り当てを作成して、特定のメールボックスへのアクセス権のみをアプリに付与します。詳細については、ApplicationImpersonation ロールなしでのメールボックスの移行方法 セクションのオプション 3 を参照してください。
(移行に EWS を使用している場合に必要です。)
Microsoft GraphOnlineMeetings.ReadWrite.All
(Read and create online meetings)
アプリケーション移行先で置き換えられた会議リンクが、すべての出席者に利用できるようにします。
(移行に Graph API または EWS を使用している場合に必要です。)
Microsoft GraphUser.Read.All
(Read all users’ full profiles)
アプリケーションメールボックス タイプを取得して、会議リンクの置き換えおよびユーザー ID の取得を実行します。
(移行に Graph API または EWS を使用している場合に必要です。)
Microsoft GraphMailboxFolder.Read.All
(Read all the users' mailbox folders)
アプリケーションメールボックス フォルダーを取得します。
(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphMailboxItem.Export.All
(Allows the app to perform backup and restore for all mailbox items)
アプリケーションメールボックス アイテムをバックアップします。
(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphMailboxItem.Read.All
(Read all the users' mailbox items)
アプリケーションメールボックス アイテムを取得します。
(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphMail.Read
(Read mail in all mailboxes)
アプリケーションメール アイテムを取得します。
(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphMailboxSettings.Read
(Read all user mailbox settings)
アプリケーション自動応答設定など、メールボックス設定を取得します。
(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphDirectory.Read.All
(Read directory data)
アプリケーションExchange Online テナントの検出を実行する場合にのみ必要です。
(移行に EWS を使用している場合に必要です。)
Microsoft GraphGroup.Read.All
(Read all groups)
アプリケーションMicrosoft 365 グループおよびグループ所有者を取得します。
(移行に EWS を使用している場合に必要です。)
Microsoft GraphReports.Read.All
(Read all usage reports)
アプリケーションExchange Online テナントの検出を実行する場合にのみ必要です。
(移行に EWS を使用している場合に必要です。)
Microsoft GraphReportSettings.Read.All
(Read all admin report settings)
アプリケーションExchange Online テナントの検出を実行する場合にのみ必要です。
(移行に EWS を使用している場合に必要です。)

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [
	{
		"resourceAppId": "00000003-0000-0000-c000-000000000000",
		"resourceAccess": [
			{
				"id": "df021288-bdef-4463-88db-98f22de89214",  //Required when using either the Graph API or EWS for migration.
				"type": "Role"
			},
			{
				"id": "b8bb2037-6e08-44ac-a4ea-4674e010e2a4",  //Required when using either the Graph API or EWS for migration.
				"type": "Role"
			},
			{
				"id": "810c84a8-4a9e-49e6-bf7d-12d183f40d01", //Required when using the Graph API instead of EWS for migration.
				"type": "Role"
			},
			{
				"id": "99280d24-a782-4793-93cc-0888549957f6", //Required when using the Graph API instead of EWS for migration.
				"type": "Role"
			},
			{
				"id": "76577085-e73d-4f1d-b26a-85fb33892327", //Required when using the Graph API instead of EWS for migration.
				"type": "Role"
			},
			{
				"id": "7d9f353d-a7bd-4fbb-822a-26d5dd39a3ce", //Required when using the Graph API instead of EWS for migration.
				"type": "Role"
			},
			{
				"id": "40f97065-369a-49f4-947c-6a255697ae91", //Required when using the Graph API instead of EWS for migration.
				"type": "Role"
			},
			{
				"id": "5b567255-7703-4780-807c-7be8301ae99b", //Required when using the EWS for migration.
				"type": "Role"
			},
			{
				"id": "230c1aed-a721-4c5d-9cb4-a90514e508ef",  //Required when using the EWS for migration.
				"type": "Role"
			},
			{
				"id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61",  //Required when using the EWS for migration.
				"type": "Role"
			},
			{
				"id": "b8bb2037-6e08-44ac-a4ea-4674e010e2a4",  //Required when using either the Graph API or EWS for migration.
				"type": "Role"
			},
			{
				"id": "ee353f83-55ef-4b78-82da-555bfa2b4b95",  //Required when using the EWS for migration.
				"type": "Role"
			}
		]
	},
	{
		"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
		"resourceAccess": [
			{
				"id": "dc890d15-9560-4a4c-9b7f-a736ec74ec40",  //Required when using the EWS for migration.
				"type": "Role"
			},
			{
				"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",  //Required when using either the Graph API or EWS for migration.
				"type": "Role"
			}
		]
	},
	{
		"resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
		"resourceAccess": [
			{
				"id": "8b2071cd-015a-4025-8052-1c0dba2d3f64", //Required when using either the Graph API or EWS for migration.
				"type": "Role"
			}
		]
	},
	{
		"resourceAppId": "00000012-0000-0000-c000-000000000000",
		"resourceAccess": [
			{
				"id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0", //Required when using either the Graph API or EWS for migration.
				"type": "Role"
			}
		]
	}
],

Gmail への移行

NOTE

AvePoint Online Services は、Exchange Web Services (EWS) から Microsoft Graph への移行を実行しています。この移行の一環として、Exchange Online から Gmail への移行の場合、管理者は AvePoint アプリケーションを再認証して必要な Microsoft Graph アクセス許可を付与するか、以下の Microsoft Graph API アプリケーションのアクセス許可を移行元カスタム Azure アプリに追加する必要があります。

  • Calendars.Read
  • Contacts.Read
  • Mail.Read
  • MailboxFolder.Read.All
  • MailboxItem.Read.All
  • MailboxSettings.Read
  • OnlineMeetings.ReadWrite.Al
  • Tasks.Read.All

以下の表の内容に従って、Exchange Online から Gmail への移行に必要な API アクセス許可を追加してください。

以下のことに注意してください。

  • Exchange Online テナントの検出または Exchange Online から Gmail への移行を実行する場合、アプリを承認するアカウントがメールボックス (Exchange ライセンスの割り当てまたは PowerShell の使用のいずれかによって作成されているメールボックス) を持っていることを確認してください。

  • メールボックス権限を移行するには、カスタム アプリに Exchange 管理者 ロールを割り当てる必要があります。詳細については、以下の Exchange 管理者ロールのアプリへの割り当て方法 を参照してください。

    アプリに Exchange 管理者 ロールを割り当てない場合は、アプリにカスタム ロールを追加して上記の機能が利用可能であることを確保します。詳細については、アプリへのカスタム役割の追加方法 を参照してください。

APIアクセス許可タイプ目的
Azure Rights Management Services
*注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
Content.SuperUser
(Read all protected content for this tenant)
アプリケーションメールの秘密度ラベルを管理する場合にのみ必要です。(移行に Graph API または EWS を使用している場合に必要です。)
Microsoft Information Protection Sync ServiceUnifiedPolicy.Tenant.Read
(Read all unified policies of the tenant)
アプリケーションメールの秘密度ラベルを管理する場合にのみ必要です。(移行に Graph API または EWS を使用している場合に必要です。)
Office 365 Exchange OnlineExchange.ManageAsApp
(Manage Exchange As Application)
アプリケーションExchange PowerShell を使用してメールボックスの権限を移行します。(移行に Graph API または EWS を使用している場合に必要です。)
Office 365 Exchange Onlinefull_access_as_app
(Use Exchange Web Services with full access to all mailboxes)
アプリケーションすべてのメールボックスからアイテムを取得して移行します。
*注意: この権限をアプリに追加しない場合、アプリに RBAC 割り当てを作成して、特定のメールボックスへのアクセス権のみをアプリに付与します。詳細については、ApplicationImpersonation ロールなしでのメールボックスの移行方法 セクションのオプション 3 を参照してください。(移行に EWS を使用している場合に必要です。)
Microsoft GraphDirectory.Read.All
(Read directory data)
アプリケーションExchange Online テナント検出を実行する場合にのみ必要です。(移行に Graph API または EWS を使用している場合に必要です。)
Microsoft GraphGroup.Read.All
(Read all groups)
アプリケーションMicrosoft グループおよびグループ所有者を取得します。(移行に Graph API または EWS を使用している場合に必要です。)
Microsoft GraphReports.Read.All
(Read all usage reports)
アプリケーションExchange Online テナント検出を実行する場合にのみ必要です。(移行に Graph API または EWS を使用している場合に必要です。)
Microsoft GraphReportSettings.Read.All
(Read all admin report settings)
アプリケーションExchange Online テナント検出を実行する場合にのみ必要です。(移行に Graph API または EWS を使用している場合に必要です。)
Microsoft GraphUser.Read.All
(Read all users' full profiles)
アプリケーションユーザー プロファイルを取得して、ユーザー ID を取得します。(移行に Graph API または EWS を使用している場合に必要です。)
Microsoft GraphCalendars.Read
(Read calendars in all mailboxes)
アプリケーション予定表アイテムを取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphMail.Read
(Read mail in all mailboxes)
アプリケーションメール アイテムを取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphMailboxFolder.Read.All
(Read all the users' mailbox folders)
アプリケーションメールボックス フォルダーを取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphMailboxItem.Read.All
(Read all the users' mailbox items)
アプリケーションメールボックス アイテムを取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphMailboxSettings.Read
(Read all user mailbox settings)
アプリケーション受信トレイのルールなど、メールボックスの設定を取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphOnlineMeetings.ReadWrite.All
(Read and create online meetings)
アプリケーション移行先の置き換えられた会議リンクがすべての出席者に利用可能であることを確認します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphContacts.Read
(Read contacts in all mailboxes)
アプリケーション連絡先アイテムを取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphTasks.Read.All
(Read all users' tasks and tasklist)
アプリケーションタスク アイテムを取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [
	{
		"resourceAppId": "00000003-0000-0000-c000-000000000000",
		"resourceAccess": [
			{
                "id": "5b567255-7703-4780-807c-7be8301ae99b", // Required when using either the Graph API or EWS for migration.
                "type": "Role"
            },
            {
                "id": "df021288-bdef-4463-88db-98f22de89214", // Required when using either the Graph API or EWS for migration.
                "type": "Role"
            },
			{
				"id": "230c1aed-a721-4c5d-9cb4-a90514e508ef", //Required when using either the Graph API or EWS for migration.
				"type": "Role"
			},
			{
				"id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61", //Required when using either the Graph API or EWS for migration.
				"type": "Role"
			},
			{
				"id": "ee353f83-55ef-4b78-82da-555bfa2b4b95", //Required when using either the Graph API or EWS for migration.
				"type": "Role"
			},

            {
                "id": "798ee544-9d2d-430c-a058-570e29e34338", //Required when using the Graph API instead of EWS for migration.
                "type": "Role"
            },
            {
                "id": "089fe4d0-434a-44c5-8827-41ba8a0b17f5", //Required when using the Graph API instead of EWS for migration.
                "type": "Role"
            },           
            {
                "id": "810c84a8-4a9e-49e6-bf7d-12d183f40d01", //Required when using the Graph API instead of EWS for migration.)
                "type": "Role"
            },
            {
                "id": "99280d24-a782-4793-93cc-0888549957f6", //Required when using the Graph API instead of EWS for migration.
                "type": "Role"
            },
            {
                "id": "7d9f353d-a7bd-4fbb-822a-26d5dd39a3ce", //Required when using the Graph API instead of EWS for migration.
                "type": "Role"
            },
            {
                "id": "40f97065-369a-49f4-947c-6a255697ae91", //Required when using the Graph API instead of EWS for migration.
                "type": "Role"
            },
            {
            	"id": "b8bb2037-6e08-44ac-a4ea-4674e010e2a4", // Required when using the Graph API instead of EWS for migration.
                "type": "Role"
            },
            {
                "id": "f10e1f91-74ed-437f-a6fd-d6ae88e26c1f", // Required when using the Graph API instead of EWS for migration.)
                 "type": "Role"
            },

		]
	},
	{
		"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
		"resourceAccess": [
			{
				"id": "dc890d15-9560-4a4c-9b7f-a736ec74ec40", //Required when using EWS for migration.
				"type": "Role"
			},
			{
				"id": "dc50a0fb-09a3-484d-be87-e023b12c6440", //Required when using either the Graph API or EWS for migration.
				"type": "Role"
			}
		]
	},
	{
		"resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
		"resourceAccess": [
			{
				"id": "8b2071cd-015a-4025-8052-1c0dba2d3f64", //Required when using either the Graph API or EWS for migration.
				"type": "Role"
			}
		]
	},
	{
		"resourceAppId": "00000012-0000-0000-c000-000000000000",
		"resourceAccess": [
			{
				"id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0", //Required when using either the Graph API or EWS for migration.
				"type": "Role"
			}
		]
	}
],

サービス アカウント権限

Microsoft 365 テナントに AvePoint Online Services を接続するには、テナントの所有者およびサービス管理者は Microsoft 365 に対して サービス アカウント プロファイルの作成 を実行することもできます。

NOTE

多要素認証 (MFA) が有効なユーザーは、移行を実行するためのサービス アカウントとして使用することはできません。その代わりに、委任アプリ プロファイルを使用することができます。

サービス アカウントは以下の要件を満たすメールボックス (Exchange ライセンスの割り当てまたは PowerShell の使用のいずれかによって作成されているメールボックス) を持っていることを確認してください。

NOTE

サービス アカウントがメールボックスを持っていることを確認するには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。

Exchange Online への移行

以下の表の内容に従って、Exchange Online から Exchange Online への移行に必要な権限を追加してください。

必須権限注記
移行で移行元メールボックスに対する フル アクセス 許可Microsoft は、Exchange Online の ApplicationImpersonation ロールを廃止することを発表しました。詳細については、Exchange Online の ApplicationImpersonation ロール廃止の影響と対応策 を参照してください。
移行でグループ メールボックスを移行しない場合、ApplicationImpersonation ロールを追加せずに フル アクセス 許可を付与することができます。
Distribution Groups ロール配布リストまたは動的配布リストを移行する場合に必要です。
Mail Recipients ロールメールボックス権限の移行、メールボックス エイリアスの移行、メール転送などを実行する際にメールボックスを取得します。
組織の スーパー ユーザー ロール詳細については、スーパー ユーザー機能の構成 を参照してください。秘密度ラベルを管理する場合に必要です。

アプリ プロファイルも使用する場合の必須権限

移行元 Exchange Online でサービス アカウント認証とアプリ プロファイル認証の両方を使用している場合、一部のサービス アカウント権限は必要なくなります。サービス アカウントがメールボックスおよび以下の権限を持っていることを確認してください。

NOTE

サービス アカウントがメールボックスを持っていることを確認するには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。

移行元サービス アカウント権限注記
Distribution Groups ロール配布リスト / 動的配布リスト / メールが有効なセキュリティ グループに移行する場合にのみ必要です。
Mail Recipients ロールメールボックス権限の移行、メールボックス エイリアスの移行、メール転送などを実行する際にメールボックスを取得します。

Gmail への移行

以下の表の内容に従って、Exchange Online から Gmail への移行に必要な権限を追加してください。

必須権限注記
移行で移行元メールボックスに対する フル アクセス 許可Microsoft は、Exchange Online の ApplicationImpersonation ロールを廃止することを発表しました。詳細については、Exchange Online の ApplicationImpersonation ロール廃止の影響と対応策 を参照してください。
移行でグループ メールボックスを移行しない場合、ApplicationImpersonation ロールを追加せずに フル アクセス 許可を付与することができます。
Mail Recipients ロールメールボックスの権限を移行する際にメールボックスを取得します。
組織の スーパー ユーザー ロール詳細については、スーパー ユーザー機能の構成 を参照してください。秘密度ラベルを管理する場合に必要です。
Distribution Groups ロール配布リストまたは動的配布リストを移行する場合に必要です。

アプリ プロファイルも使用する場合の必須権限

移行元 Exchange Online でサービス アカウント認証とアプリ プロファイル認証の両方を使用している場合、一部のサービス アカウント権限は必要なくなります。サービス アカウントがメールボックスおよび以下の権限を持っていることを確認してください。

NOTE

サービス アカウントがメールボックスを持っていることを確認するには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。

移行元サービス アカウント権限注記
Mail Recipients ロールメールボックスの権限を移行する際にメールボックスを取得します。
Distribution Groups ロール配布リストまたは動的配布リストを移行する場合に必要です。

委任アプリ プロファイル権限

Fly 委任アプリ プロファイルまたはカスタムの委任アプリ プロファイルを使用してワークスペースに接続することができます。

委任アプリ プロファイルを使用するには、以下のことに注意してください。

  • 同意ユーザーのライセンスと権限の要件は、サービス アカウントのライセンスと権限の要件と同じです。詳細については、サービス アカウント権限 を参照してください。

  • 委任アプリ プロファイルの同意ユーザーの多要素認証 (MFA) が有効になっている場合、MFA の有効化後に委任アプリ プロファイルを承認または再承認する必要があります。MFA の有効化後にアプリ プロファイルを承認または再承認しないと、委任アプリ プロファイルを使用している移行ジョブは失敗します。

  • アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

  • 21Vianet テナントに委任アプリ プロファイルのみを使用している場合、Exchange PowerShell を使用することはできません。

必要な権限を持っているカスタム委任アプリ プロファイルを使用するには、Fly 委任アプリ プロファイルの権限 セクションを参照してください。

必要な権限を持っているカスタムの委任アプリ プロファイルを使用するには、以下の説明を参照してください。

  1. Microsoft Entra ID でアプリを登録した後、アプリに必要な権限を追加します。以下のセクションには、カスタム アプリの必要な権限が表示されます。

  2. アプリの画面の左側の [認証] をクリックします。

  3. [プラットフォームを追加] をクリックします。

  4. プラットフォームの構成 パネルで Web を選択します。

  5. Web の構成 パネルで、リダイレクト URI フィールドにAvePoint Online Services URL (https://www.avepointonlineservices.com) を入力します。

    Web の構成パネル

  6. [構成] をクリックします。

  7. 認証 ページで アクセス トークン および ID トークン チェックボックスを選択します。

    アクセス トークンおよび ID トークン チェックボックス

  8. [保存] をクリックします。

  9. AvePoint Online Services で モダン モード を使用してアプリ用のアプリ プロファイルを作成するには、委任されたアクセス許可を持つカスタム Azure アプリへの同意 を参照してください。

    NOTE

    アプリに同意する際に、アプリに管理者の同意権限を付与し、パブリック クライアント フローを許可している場合、グローバル管理者の同意 または ユーザーの同意 方法を選択することができます。そうしない場合、グローバル管理者の同意 方法のみを使用できます。

Exchange Online への移行のカスタム委任アプリ プロファイル権限

カスタム委任アプリ プロファイルには以下の権限が付与されていることを確認してください。

APIアクセス許可タイプ目的
Office 365 Exchange OnlineEWS.AccessAsUser.All
(Access mailboxes as the signed-in user via Exchange Web Services)
委任済み指定したユーザーにアクセスし、データをエクスポートします。
Office 365 Exchange OnlineExchange.Manage
(Manage Exchange configuration)
委任済みメールボックス権限、配布リスト、動的配布リストを移行する Exchange PowerShell を使用します。
Microsoft GraphGroup.Read.All
(Read all groups)
委任済みMicrosoft グループおよびグループ所有者を取得します。
Microsoft GraphUser.Read.All
(Read all users' full profiles)
委任済みメールボックス タイプを取得して、会議リンクの置き換えおよびユーザー ID の取得を実行します。
Microsoft Information Protection Sync ServiceUnifiedPolicy.User.Read
(Read all unified policies a user has access to)
委任済みメールの秘密度ラベルを管理する場合にのみ必要です。
Azure Rights Management Services
*注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
user_impersonation
(Create and access protected content for users)
委任済みメールの秘密度ラベルを管理する場合にのみ必要です。

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [
	{
		"resourceAppId": "00000012-0000-0000-c000-000000000000",
		"resourceAccess": [
			{
				"id": "c9c9a04d-3b66-4ca8-a00c-fca953e2afd3",
				"type": "Scope"
			}
		]
	},
	{
		"resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
		"resourceAccess": [
			{
				"id": "34f7024b-1bed-402f-9664-f5316a1e1b4a",
				"type": "Scope"
			}
		]
	},
	{
		"resourceAppId": "00000003-0000-0000-c000-000000000000",
		"resourceAccess": [
			{
				"id": "5f8c59db-677d-491f-a6b8-5f174b11ec1d",
				"type": "Scope"
			},
			{
				"id": "a154be20-db9c-4678-8ab7-66f6cc099a59",
				"type": "Scope"
			}
		]
	},
	{
		"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
		"resourceAccess": [
			{
				"id": "ab4f2b77-0b06-4fc1-a9de-02113fc2ab7c",
				"type": "Scope"
			},
			{
				"id": "3b5f3d61-589b-4a3c-a359-5dd4b5ee5bd5",
				"type": "Scope"
			}
		]
	}
],

Gmail への移行のカスタム委任アプリ プロファイル権限

NOTE

AvePoint Online Services は、Exchange Web Services (EWS) から Microsoft Graph への移行を実行しています。この移行の一環として、Exchange Online から Gmail への移行の場合、管理者は AvePoint アプリケーションを再認証して必要な Microsoft Graph アクセス許可を付与するか、以下の Microsoft Graph API アプリケーションのアクセス許可を移行元委任アプリに追加する必要があります。

  • Calendars.Read
  • Contacts.Read
  • Mail.Read.Shared
  • MailboxFolder.Read
  • MailboxItem.Read
  • MailboxSettings.Read
  • OnlineMeetings.Read
  • Tasks.ReadWrite.Shared

カスタム委任アプリ プロファイルには以下の権限が付与されていることを確認してください。

APIアクセス許可タイプ目的
Office 365 Exchange OnlineEWS.AccessAsUser.All
(Access mailboxes as the signed-in user via Exchange Web Services)
委任済み特定のユーザーにアクセスしてデータをエクスポートします。(移行に EWS を使用している場合に必要です。)
Office 365 Exchange OnlineExchange.Manage
(Manage Exchange configuration)
委任済みExchange PowerShell を使用してメールボックスの権限を移行します。(移行に Graph API または EWS を使用している場合に必要です。)
Microsoft GraphGroup.Read.All
(Read all groups)
委任済みMicrosoft グループおよびグループ所有者を取得します。(移行に Graph API または EWS を使用している場合に必要です。)
Microsoft GraphUser.Read.All
(Read all users' full profiles)
委任済みユーザー プロファイルを取得して、ユーザー ID を取得します。(移行に Graph API または EWS を使用している場合に必要です。)
Microsoft GraphCalendars.Read.Shared
(Read user and shared calendars)
委任済み予定表アイテムを取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphContacts.Read.Shared
(Read user and shared contacts)
委任済み連絡先アイテムを取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphMail.Read.Shared
(Read user and shared mail)
委任済みメール アイテムを取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphMailboxFolder.Read
(Read a user's mailbox folders)
委任済みメールボックス フォルダーを取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphMailboxItem.Read
(Read a user's mailbox items)
委任済みメールボックス アイテムを取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphMailboxSettings.Read
(Read user mailbox settings)
委任済み受信トレイのルールなど、メールボックスの設定を取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphOnlineMeetings.Read
(Read user's online meetings)
委任済み移行先の置き換えられた会議リンクがすべての出席者に利用可能であることを確認します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft GraphTasks.ReadWrite.Shared
(Read and write user and shared tasks)
委任済みタスク アイテムを取得します。(移行に EWS の代わりに Graph API を使用している場合に必要です。)
Microsoft Information Protection Sync ServiceUnifiedPolicy.User.Read
(Read all unified policies a user has access to)
委任済みメールの秘密度ラベルを管理する場合にのみ必要です。(移行に Graph API または EWS を使用している場合に必要です。)
Azure Rights Management Services
*注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
user_impersonation
(Create and access protected content for users)
委任済みメールの秘密度ラベルを管理する場合にのみ必要です。(移行に Graph API または EWS を使用している場合に必要です。)

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [
	{
		"resourceAppId": "00000012-0000-0000-c000-000000000000",
		"resourceAccess": [
			{
				"id": "c9c9a04d-3b66-4ca8-a00c-fca953e2afd3", //Required when using either the Graph API or EWS for migration.
				"type": "Scope"
			}
		]
	},
	{
		"resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
		"resourceAccess": [
			{
				"id": "34f7024b-1bed-402f-9664-f5316a1e1b4a", //Required when using either the Graph API or EWS for migration.
				"type": "Scope"
			}
		]
	},
	{
		"resourceAppId": "00000003-0000-0000-c000-000000000000",
		"resourceAccess": [
			{
				"id": "5f8c59db-677d-491f-a6b8-5f174b11ec1d", //Required when using either the Graph API or EWS for migration.
				"type": "Scope"
			},
			{
				"id": "a154be20-db9c-4678-8ab7-66f6cc099a59", //Required when using either the Graph API or EWS for migration.
				"type": "Scope"
			},
            {
                "id": "2b9c4092-424d-4249-948d-b43879977640", //Required when using the Graph API instead of EWS for migration.
                "type": "Scope"
            },
            {
                "id": "242b9d9e-ed24-4d09-9a52-f43769beb9d4", //Required when using the Graph API instead of EWS for migration.
                "type": "Scope"
            },
            {
                "id": "7b9103a5-4610-446b-9670-80643382c1fa", //Required when using the Graph API instead of EWS for migration.
                "type": "Scope"
            },
             {
                "id": "52dc2051-4958-4636-8f2a-281d39c6981c", //Required when using the Graph API instead of EWS for migration.
                "type": "Scope"
            },
            {
                "id": "82305458-296d-4edd-8b0b-74dd74c34526", //Required when using the Graph API instead of EWS for migration.
                "type": "Scope"
            },
            {
                "id": "87f447af-9fa4-4c32-9dfa-4a57a73d18ce", //Required when using the Graph API instead of EWS for migration.
                "type": "Scope"
            },
            {
                "id": "9be106e1-f4e3-4df5-bdff-e4bc531cbe43", //Required when using the Graph API instead of EWS for migration.
                "type": "Scope"
            },
            {
                "id": "c5ddf11b-c114-4886-8558-8a4e557cd52b", //Required when using the Graph API instead of EWS for migration.
                "type": "Scope"
            }
		]
	},
	{
		"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
		"resourceAccess": [
			{
				"id": "ab4f2b77-0b06-4fc1-a9de-02113fc2ab7c", //Required when using either the Graph API or EWS for migration.
				"type": "Scope"
			},
			{
				"id": "3b5f3d61-589b-4a3c-a359-5dd4b5ee5bd5", //Required when using EWS for migration.
				"type": "Scope"
			}
		]
	}
],