移行先 SharePoint Online/OneDrive における権限

移行先に接続するには、認証方法として、サービス アカウント・Fly アプリ プロファイル・カスタム アプリ プロファイルのいずれかの使用を選択することができます。サービス アカウントと Fly アプリ プロファイルの組み合わせ、またはサービス アカウントとカスタム アプリ プロファイルの組み合わせを使用することもできます。

認証方法によって必要な権限については、以下のセクションを参照してください。

Fly アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 で Fly アプリ プロファイルを作成して、Fly アプリを使用している Microsoft 365 テナントに接続することができます。

Fly アプリ プロファイルの作成方法および必須権限については、Fly アプリ プロファイル権限 を参照してください。

カスタム アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 でカスタム アプリ プロファイルを作成して、カスタム Azure アプリを使用している Microsoft 365 テナントに接続することができます。

カスタム アプリ プロファイルを作成するには、以下の説明を参照してください。

  1. Microsoft Entra ID で証明書を準備します。詳細については、カスタム Azure アプリ用の証明書の準備 を参照してください。

    証明書がある場合、このステップを無視することができます。

  2. Microsoft Entra IDでカスタム Azure アプリを作成します。詳細については、カスタム Azure アプリの作成 を参照してください。

  3. テナントを AvePoint Online Services に接続 します。

  4. AvePoint Online Services で カスタム Azure アプリ用アプリ プロファイルを作成 します。

NOTE

アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

カスタム Azure アプリに移行先 SharePoint Online に必要な API 権限を追加するには、以下の表を参照してください。

API 名権限名説明タイプ目的
Microsoft GraphUser.Read.AllRead all usersアプリケーションMicrosoft 365 ユーザーを取得して移行します。
Microsoft GraphRoleManagement.Read.DirectoryRead all directory RBAC settingsアプリケーションサービス アカウントの利用可能なロールを確認します。
Microsoft GraphGroup.Read.AllRead all groupsアプリケーション移行先 SharePoint グループ情報を取得してグループを作成します。
Microsoft GraphFiles.Read.AllRead files in all site collectionsアプリケーションユーザーの OneDrive サイト URL を取得します。
SharePointSites.FullControl.AllHave full control of all site collectionsアプリケーションデータを SharePoint に移行します。

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [
                {
                        "resourceAppId": "00000003-0000-0000-c000-000000000000",
                        "resourceAccess": [
                                {
                                        "id": "01d4889c-1287-42c6-ac1f-5d1e02578ef6",
                                        "type": "Role"
                                },
                                {
                                        "id": "5b567255-7703-4780-807c-7be8301ae99b",
                                        "type": "Role"
                                },
                                {
                                        "id": "483bed4a-2ad3-4361-a73b-c83ccdbdc53c",
                                        "type": "Role"
                                },
                                {
                                        "id": "df021288-bdef-4463-88db-98f22de89214",
                                        "type": "Role"
                                }
                        ]
                },
                {
                        "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
                        "resourceAccess": [
                                {
                                        "id": "678536fe-1083-478a-9c59-b99265e6b0d3",
                                        "type": "Role"
                                }
                        ]
                }
        ],

サービス アカウント権限

Microsoft 365 テナントに AvePoint Online Services を接続するには、テナントの所有者およびサービス管理者は Microsoft 365 に対して サービス アカウント プロファイルの作成 を実行することもできます。

NOTE

多要素認証 (MFA) が有効なユーザーは、移行を実行するためのサービス アカウントとして使用することはできません。

移行先にサービス アカウント認証のみを使用している場合、サービス アカウントは以下の要件を満たす必要があります。

  • サイト コレクションの管理者である

    サービス アカウントが サイト コレクション管理者 ではなく、SharePoint 管理者 または グローバル管理者 ロールを持っていることが検出された場合、サービス アカウントはサイト コレクションの サイト コレクション管理者 として自動追加されます。

  • SharePoint 管理者である

    SharePoint 管理者 が SharePoint 管理センターにアクセスできない場合、グローバル管理者 が必要です。

  • 移行先がグループ サイトまたはモダン サイトである場合、拒否 権限が移行元または移行先サイトから削除されていることを確認してください。

NOTE

移行先用のアプリ プロファイルも構成されている場合、Fly は移行先への接続にアプリ プロファイルを使用します。そのため、サービス アカウントに必要な権限要件がありません。ただし、ジョブが正常に実行できるように、サービス アカウントは移行先サイト コレクションの サイト コレクション管理者 として自動追加されます。

委任アプリ プロファイル権限

Fly 委任アプリ プロファイルまたはカスタムの委任アプリ プロファイルを使用してワークスペースに接続することができます。

NOTE

委任アプリ プロファイルの同意ユーザーの多要素認証 (MFA) が有効になっている場合、MFA の有効化後に委任アプリ プロファイルを承認または再承認する必要があります。MFA の有効化後にアプリ プロファイルを承認または再承認しないと、委任アプリ プロファイルを使用している移行ジョブは失敗します。

アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

必要な権限を持っているカスタム委任アプリ プロファイルを使用するには、Fly 委任アプリ プロファイルの権限 セクションを参照してください。

必要な権限を持っているカスタムの委任アプリ プロファイルを使用するには、以下の説明を参照してください。

  1. Microsoft Entra ID でアプリを登録した後、以下の表内の権限をアプリに追加します。

    APIアクセス許可タイプ目的
    Microsoft GraphUser.Read.All
    (Read user profiles)
    委任済みMicrosoft 365 ユーザーを取得して移行します。
    Microsoft GraphRoleManagement.Read.Directory
    (Read directory RBAC settings)
    委任済みMicrosoft 365 ユーザーを取得して移行します。
    Microsoft GraphFiles.Read.All
    (Read files in all site collections)
    委任済みユーザーの OneDrive サイト URL を取得します。
    Microsoft GraphGroup.Read.All
    (Read all groups)
    委任済み移行元サイトに関連するグループの所有者およびメンバーを取得します。
    SharePoint/Office 365 SharePoint OnlineAllSites.FullControl
    (Have full control of all site collections)
    委任済み
    SharePoint Online サイト コレクションの設定および権限を取得します。
    SharePoint/Office 365 SharePoint OnlineUser.Read.All
    (Read user profiles)
    委任済みOneDrive サイトを移行します。

    簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

    "requiredResourceAccess": [
     		{
     			"resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
     			"resourceAccess": [
     				{
     					"id": "56680e0d-d2a3-4ae1-80d8-3c4f2100e3d0",
     					"type": "Scope"
     				},
     				{
     					"id": "0cea5a30-f6f8-42b5-87a0-84cc26822e02",
     					"type": "Scope"
     				}
     			]
     		},
     		{
     			"resourceAppId": "00000003-0000-0000-c000-000000000000",
     			"resourceAccess": [
     				{
     					"id": "df85f4d6-205c-4ac5-a5ea-6bf408dba283",
     					"type": "Scope"
     				},
     				{
     					"id": "5f8c59db-677d-491f-a6b8-5f174b11ec1d",
     					"type": "Scope"
     				},
     				{
     					"id": "741c54c3-0c1e-44a1-818b-3f97ab4e8c83",
     					"type": "Scope"
     				},
     				{
     					"id": "a154be20-db9c-4678-8ab7-66f6cc099a59",
     					"type": "Scope"
     				}
     			]
     		}
     	],
  2. アプリの画面の左側の [認証] をクリックします。

  3. [プラットフォームを追加] をクリックします。

  4. プラットフォームの構成 パネルで Web を選択します。

  5. Web の構成 パネルで、リダイレクト URI フィールドに AvePoint Online Services URL (https://www.avepointonlineservices.com) を入力します。

  6. 暗黙的な許可およびハイブリド フロー フィールドで アクセス トークン および ID トークン を選択します。

    Web の構成パネル

  7. [構成] をクリックします。

  8. [保存] をクリックします。

  9. AvePoint Online Services で モダン モード を使用してアプリ用のアプリ プロファイルを作成するには、委任されたアクセス許可を持つカスタム Azure アプリへの同意 を参照してください。

    NOTE

    アプリに同意する際に、アプリに管理者の同意権限を付与し、パブリック クライアント フローを許可している場合、グローバル管理者の同意 または ユーザーの同意 方法を選択することができます。そうしない場合、グローバル管理者の同意 方法のみを使用できます。