移行先 Microsoft 365 グループにおける権限

Fly アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 で Fly アプリ プロファイルを作成して、Fly アプリを使用している Microsoft 365 テナントに接続することができます。

Fly アプリ プロファイルの作成方法および必須権限については、Fly アプリ プロファイル権限 を参照してください。

NOTE

Fly アプリ プロファイルの認証方法のみを使用しており、移行先が Multi-Geo テナントであり、かつ移行先グループが定義済み場所で作成される必要がある場合、Microsoft 365 グローバル管理者SharePoint 管理者Exchange 管理者 ロールを Fly アプリに割り当てる必要があります。ロール割り当ての例として、Exchange 管理者ロールのアプリへの割り当て方法 を参照してください。

NOTE

Fly アプリ プロファイルの認証モードのみを使用して Planner タスク コメントを移行する場合、同意ユーザーは Exchange Online ライセンスを持っている必要があります。

カスタム アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 でカスタム アプリ プロファイルを作成して、カスタム Azure アプリを使用している Microsoft 365 テナントに接続することができます。

NOTE

アプリ プロファイルの認証モードのみを使用して Planner タスク コメントを移行する場合、同意ユーザーは Exchange Online ライセンスを持っている必要があります。

カスタム アプリ プロファイルを作成するには、以下の説明を参照してください。

  1. Microsoft Entra ID で証明書を準備します。詳細については、カスタム Azure アプリ用の証明書の準備 を参照してください。

    証明書がある場合、このステップを無視することができます。

  2. Microsoft Entra IDでカスタム Azure アプリを作成します。詳細については、カスタム Azure アプリの作成 を参照してください。

  3. テナントを AvePoint Online Services に接続 します。

  4. AvePoint Online Services で カスタム Azure アプリ用アプリ プロファイルを作成 します。

NOTE

アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

以下の表の内容に従って、カスタム Azure アプリに Microsoft 365 グループ移行に必要な API アクセス許可を追加してください。

APIアクセス許可タイプ目的
Microsoft Information Protection Sync ServiceUnifiedPolicy.Tenant.Read
(Read all unified policies of the tenant.)
アプリケーションファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。
Microsoft GraphDirectory.ReadWrite.All
(Read and write directory data)
アプリケーション移行先が以下の条件を満たす Multi-Geo テナントである場合にのみ必要です。
認証方法は、カスタム アプリ プロファイルのみを使用します。
移行先グループを定義済みの場所で作成する必要があります。
Microsoft GraphDomain.Read.Allアプリケーションテナントのドメインを取得します。
Microsoft GraphRoleManagement.Read.Directoryアプリケーションディレクトリ ロールを取得します。
Microsoft GraphGroup.ReadWrite.AllアプリケーションMicrosoft 365 グループおよびグループ メンバーを取得して移行します。
Microsoft GraphSites.Read.All
(Read items in all site collections)
アプリケーションチーム サイトを取得します。
Microsoft GraphUser.Read.All
(Read all users’ full profiles)
アプリケーションMicrosoft 365 ユーザー プロファイルの情報を取得します。
Microsoft GraphInformationProtectionPolicy.Read.All
(Read all published labels and label policies for an organization)
アプリケーションファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。
Microsoft GraphReports.Read.All
(Read all usage reports)
アプリケーションテナント検出にのみ必要です。
Microsoft GraphTasks.ReadWrite.All
(Read and write all users’ tasks and tasklists)
アプリケーションPlanner 内の Planner およびデータを移行先に移行します。
Microsoft GraphRoleManagement.ReadWrite.Directoryアプリケーション移行先グループに Microsoft Entra ロールを割り当てることができる場合にのみ必要です。
アプリ プロファイルの同意ユーザーをグループ所有者として追加できることを確認します。
Microsoft GraphReportSettings.Read.All
(Read all admin report settings)
アプリケーションMicrosoft 365 管理センターの レポート 設定を取得します。
Azure Rights Management Services
*注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
Content.DelegatedWriter
(Create protected content on behalf of a user)
アプリケーションファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。
Azure Rights Management Services
*注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
Content.Writer
(Create protected content)
アプリケーションファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。
Office 365 Exchange OnlineExchange.ManageAsApp
(Manage Exchange As Application)
アプリケーションExchange PowerShell を使用してメールボックスの権限を取得します。
Office 365 Exchange OnlineFull_access_as_app
(Use Exchange Web Services with full access to all mailboxes)
アプリケーションすべてのメールボックスからアイテムを取得します。
*注意: この権限をアプリに追加しない場合、アプリに RBAC 割り当てを作成して、特定のメールボックスへのアクセス権のみをアプリに付与します。詳細については、ApplicationImpersonation ロールなしでのメールボックスの移行方法 セクションのオプション 3 を参照してください。
SharePoint/Office 365 SharePoint Online
Sites.FullControl.All
(Have full control of all site collections)
アプリケーションチーム サイトの設定および権限を取得します。
SharePoint/Office 365 SharePoint Online
TermStore.ReadWrite.AllアプリケーションManaged Metadata Service を取得して移行します。
*注意: 用語グループ / 用語セット / 用語が同じ名前を持っており、かつ移行元のレベル (グローバルまたはローカル レベル) と同じである用語グループ / 用語セット / 用語が移行先に存在する場合、この権限を TermStore.Read.All に変更することができます。

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [
  {
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
      {
        "id": "dbb9058a-0e50-45d7-ae91-66909b5d4664",
        "type": "Role"
      },
      {
        "id": "62a82d76-70ea-41e2-9197-370581804d09",
        "type": "Role"
      },
      {
        "id": "19da66cb-0fb0-4390-b071-ebc76a349482",
        "type": "Role"
      },
      {
        "id": "230c1aed-a721-4c5d-9cb4-a90514e508ef",
        "type": "Role"
      },
      {
        "id": "ee353f83-55ef-4b78-82da-555bfa2b4b95",
        "type": "Role"
      },
      {
        "id": "483bed4a-2ad3-4361-a73b-c83ccdbdc53c",
        "type": "Role"
      },
      {
        "id": "332a536c-c7ef-4017-ab91-336970924f0d",
        "type": "Role"
      },
      {
        "id": "44e666d1-d276-445b-a5fc-8815eeb81d55",
        "type": "Role"
      },
      {
        "id": "9e3f62cf-ca93-4989-b6ce-bf83c28f9fe8",
        "type": "Role"
      },
      {
        "id": "df021288-bdef-4463-88db-98f22de89214",
        "type": "Role"
      }
    ]
  },
  {
    "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
    "resourceAccess": [
      {
        "id": "c8e3537c-ec53-43b9-bed3-b2bd3617ae97",
        "type": "Role"
      },
      {
        "id": "678536fe-1083-478a-9c59-b99265e6b0d3",
        "type": "Role"
      }
    ]
  },
  {
    "resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
    "resourceAccess": [
      {
        "id": "dc890d15-9560-4a4c-9b7f-a736ec74ec40",
        "type": "Role"
      },
      {
        "id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
        "type": "Role"
      }
    ]
  },
  {
    "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
    "resourceAccess": [
      {
        "id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",
        "type": "Role"
      }
    ]
  },
  {
    "resourceAppId": "00000012-0000-0000-c000-000000000000",
    "resourceAccess": [
      {
        "id": "d13f921c-7f21-4c08-bade-db9d048bd0da",
        "type": "Role"
      },
      {
        "id": "006e763d-a822-41fc-8df5-8d3d7fe20022",
        "type": "Role"
      }
    ]
  }
],

サービス アカウント権限

移行先 Groups でサービス アカウント認証のみを使用している場合、そのサービス アカウントは以下の条件を満たす必要があります。

NOTE

多要素認証 (MFA) が有効なユーザーは、移行を実行するためのサービス アカウントとして使用することはできません。その代わりに、委任アプリ プロファイルを使用することができます。

  • Exchange Online のライセンスを持っている

    NOTE

    サービス アカウントにライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。

  • 移行先が Multi-Geo テナントである場合、移行先サービス アカウントが Microsoft 365 グローバル管理者SharePoint 管理者 または Exchange 管理者 である

  • 移行先グループのグループ所有者である

    サービス アカウントをグループの所有者として手動追加することができます。サービス アカウントに グループ管理者 または グローバル管理者 ロールを付与すると、Fly はサービス アカウントをグループ所有者として自動追加することができます。

    NOTE

    移行前に移行先グループが存在せず、移行中に作成する必要がある場合、サービス アカウントは Microsoft 365 ユーザーであるだけで済みます。サービス アカウントはグループの所有者として自動追加されます。

    移行の実行後、PowerShell を使用してサービス アカウントをグループの所有者から削除するか、サービス アカウントを直接ブロックすることができます。アカウントを削除するには、サービス アカウントの削除 を参照してください。サービス アカウントをブロックするには、Microsoft 365 管理センター > ユーザー に移動して、ユーザーの表示名をクリックします。サインインのブロック アイコンをクリックして、ユーザーによるサインインをブロックする を選択して変更を保存します。

  • サービス アカウントが SharePoint 管理者 または グローバル管理者 である場合、完全移行ジョブの実行中、サービス アカウントは移行先グループのチーム サイトの サイト コレクション管理者 として自動追加されます。移行の実行後、チーム サイトからサービス アカウントを削除することができます。

  • サービス アカウント プールは移行で利用できなくなりました。以前移行先にサービス アカウント プールを使用したことがあり、そのサービス アカウント プールを引き続き使用したい場合、グループ接続を作成する際に複数のサービス アカウントを選択し、選択したすべてのサービス アカウントが上記の条件を満たしていることを確認してください。

アプリ プロファイルも使用する場合の必須権限

移行先 Groups でサービス アカウント認証とアプリ プロファイル認証の両方を使用している場合、サービス アカウントは以下の条件を満たす必要があります。

NOTE

多要素認証 (MFA) が有効なユーザーは、移行を実行するためのサービス アカウントとして使用することはできません。その代わりに、委任アプリ プロファイルを使用することができます。

  • Exchange Online のライセンスを持っている

    NOTE

    サービス アカウントにライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。

  • 移行先が Multi-Geo テナントである場合、移行先サービス アカウントが Microsoft 365 グローバル管理者SharePoint 管理者 または Exchange 管理者 である

  • グループに移行する際に、サービス アカウントは対応するグループの所有者である

    接続のアプリ プロファイルが存在する場合、手動でグループ所有者を追加する必要はありません。サービス アカウントはグループの所有者として自動追加されます。

    移行の実行後、サービス アカウントを直接ブロックすることができます。サービス アカウントをブロックするには、Microsoft 365 管理センター > ユーザー に移動して、ユーザーの表示名をクリックします。サインインのブロック アイコンをクリックして、ユーザーによるサインインをブロックする を選択して変更を保存します。

  • 移行ジョブの実行中、サービス アカウントは移行先グループのチーム サイトの サイト コレクション管理者 として自動追加されます。移行の実行後、チーム サイトからサービス アカウントを削除することができます。

  • サービス アカウント プールは移行で利用できなくなりました。以前移行先にサービス アカウント プールを使用したことがあり、そのサービス アカウント プールを引き続き使用したい場合、グループ接続を作成する際に複数のサービス アカウントを選択し、選択したすべてのサービス アカウントが上記の条件を満たしていることを確認してください。

委任アプリ プロファイル権限

Fly 委任アプリ プロファイルまたはカスタムの委任アプリ プロファイルを使用してワークスペースに接続することができます。

NOTE

同意ユーザーのライセンスと権限の要件は、サービス アカウントのライセンスと権限の要件と同じです。詳細については、サービス アカウント権限 を参照してください。

NOTE

委任アプリ プロファイルの同意ユーザーの多要素認証 (MFA) が有効になっている場合、MFA の有効化後に委任アプリ プロファイルを承認または再承認する必要があります。MFA の有効化後にアプリ プロファイルを承認または再承認しないと、委任アプリ プロファイルを使用している移行ジョブは失敗します。

NOTE

アプリ プロファイルの認証モードのみを使用して Planner タスク コメントを移行する場合、同意ユーザーは Exchange Online ライセンスを持っている必要があります。

NOTE

アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

移行先用の既定の委任アプリ プロファイルまたはカスタム委任アプリ プロファイルの作成手順は、移行元用の 委任アプリ プロファイル権限 の作成手順と同じです。

Fly 委任アプリ プロファイルの権限については、Fly 委任アプリ プロファイルの権限 を参照してください。

カスタム委任アプリ プロファイルの権限については、以下の説明を参照してください。

NOTE

カスタム委任アプリ プロファイルを使用して、移行先 Multi-Geo テナントの特定場所でグループを作成する場合、Microsoft 365 グローバル管理者SharePoint 管理者Exchange 管理者 ロールをアプリに割り当てる必要があります。ロール割り当ての例として、Exchange 管理者ロールのアプリへの割り当て方法 を参照してください。

APIアクセス許可タイプ目的
Microsoft Information Protection Sync ServiceUnifiedPolicy.User.Read委任済みファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。
Microsoft GraphDirectory.ReadWrite.All委任済み移行先が Multi-Geo テナントであり、かつ移行先グループを定義された場所に作成する必要がある場合にのみ必要です。
Microsoft GraphDomain.Read.All委任済みテナントのドメインを取得します。
Microsoft GraphRoleManagement.Read.Directory委任済みMicrosoft グローバル グループを取得します。
Microsoft GraphGroup.ReadWrite.All委任済みMicrosoft 365 グループおよびグループ メンバーを取得して移行します。
Microsoft GraphSites.Read.All委任済みサイト コレクションを取得します。
Microsoft GraphRoleManagement.ReadWrite.Directory委任済み移行先グループに Microsoft Entra ロールを割り当てることができる場合にのみ必要です。
アプリ プロファイルの同意ユーザーをグループ所有者として追加できることを確認します。
Microsoft GraphUser.Read.All委任済みMicrosoft 365 ユーザー プロファイルの情報を取得します。
Azure Rights Management Services
*注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
user_impersonation委任済みファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。
Office 365 Exchange OnlineEWS.AccessAsUser.All委任済みExchange Web サービスを使用し、偽装でユーザー データへのフル アクセスを実現します。
Office 365 Exchange OnlineExchange.Manage委任済みメールボックスの権限を取得します。
SharePoint/Office 365 SharePoint OnlineAllSites.FullControl委任済みチーム サイトの設定および権限を取得します。
SharePoint/Office 365 SharePoint OnlineTermStore.ReadWrite.All委任済みManaged Metadata Service を取得して移行します。

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [
  {
    "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
    "resourceAccess": [
      {
        "id": "59a198b5-0420-45a8-ae59-6da1cb640505",
        "type": "Scope"
      },
      {
        "id": "56680e0d-d2a3-4ae1-80d8-3c4f2100e3d0",
        "type": "Scope"
      }
    ]
  },
  {
    "resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
    "resourceAccess": [
      {
        "id": "ab4f2b77-0b06-4fc1-a9de-02113fc2ab7c",
        "type": "Scope"
      },
      {
        "id": "3b5f3d61-589b-4a3c-a359-5dd4b5ee5bd5",
        "type": "Scope"
      }
    ]
  },
  {
    "resourceAppId": "00000012-0000-0000-c000-000000000000",
    "resourceAccess": [
      {
        "id": "c9c9a04d-3b66-4ca8-a00c-fca953e2afd3",
        "type": "Scope"
      }
    ]
  },
  {
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
      {
        "id": "c5366453-9fb0-48a5-a156-24f0c49a4b84",
        "type": "Scope"
      },
      {
        "id": "2f9ee017-59c1-4f1d-9472-bd5529a7b311",
        "type": "Scope"
      },
      {
        "id": "4e46008b-f24c-477d-8fff-7bb4ec7aafe0",
        "type": "Scope"
      },
      {
        "id": "741c54c3-0c1e-44a1-818b-3f97ab4e8c83",
        "type": "Scope"
      },
      {
        "id": "205e70e5-aba6-4c52-a976-6d2d46c48043",
        "type": "Scope"
      },
      {
        "id": "d01b97e9-cbc0-49fe-810a-750afd5527a3",
        "type": "Scope"
      },
      {
        "id": "a154be20-db9c-4678-8ab7-66f6cc099a59",
        "type": "Scope"
      }
    ]
  },
  {
    "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
    "resourceAccess": [
      {
        "id": "34f7024b-1bed-402f-9664-f5316a1e1b4a",
        "type": "Scope"
      }
    ]
  }
],