Home > Microsoft 365 グループ移行の実行 > Microsoft 365 グループ移行の必須権限 > 移行元における権限 (移行先が Microsoft 365 グループである場合)
この記事をダウンロードテナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 で Fly アプリ プロファイルを作成して、Fly アプリを使用している Microsoft 365 テナントに接続することができます。
Fly アプリ プロファイルの作成方法および必須権限については、Fly アプリ プロファイル権限 を参照してください。
テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 でカスタム アプリ プロファイルを作成して、カスタム Azure アプリを使用している Microsoft 365 テナントに接続することができます。
カスタム アプリ プロファイルを作成するには、以下の説明を参照してください。
Microsoft Entra ID で証明書を準備します。詳細については、カスタム Azure アプリ用の証明書の準備 を参照してください。
証明書がある場合、このステップを無視することができます。
Microsoft Entra IDでカスタム Azure アプリを作成します。詳細については、カスタム Azure アプリの作成 を参照してください。
AvePoint Online Services で カスタム Azure アプリ用アプリ プロファイルを作成 します。
アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。
以下の表の内容に従って、カスタム Azure アプリに Microsoft 365 グループ移行に必要な API アクセス許可を追加してください。
| API | アクセス許可 | タイプ | 目的 |
|---|---|---|---|
| Microsoft Information Protection Sync Service | UnifiedPolicy.Tenant.Read (Read all unified policies of the tenant.) | アプリケーション | ファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。 |
| Microsoft Graph | Domain.Read.All | アプリケーション | テナントのドメインを取得します。 |
| Microsoft Graph | RoleManagement.Read.Directory | アプリケーション | ディレクトリ ロールを取得します。 |
| Microsoft Graph | Group.Read.All (Read all groups) | アプリケーション | Microsoft 365 グループおよびグループ メンバーを取得します。 |
| Microsoft Graph | Group.ReadWrite.All (Read and write all groups) | アプリケーション | 移行元接続でアプリ プロファイルとサービス アカウントの両方を使用し、移行元のサービス アカウントがグループの所有者でない場合にのみ、サービス アカウントをグループの所有者として自動追加するために必要です。 |
| Microsoft Graph | Sites.Read.All (Read items in all site collections) | アプリケーション | チーム サイトのファイルを取得します。 |
| Microsoft Graph | User.Read.All (Read all users’ full profiles) | アプリケーション | Microsoft 365 ユーザー プロファイルの情報を取得します。 |
| Microsoft Graph | InformationProtectionPolicy.Read.All (Read all published labels and label policies for an organization) | アプリケーション | ファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。 |
| Microsoft Graph | Reports.Read.All (Read all usage reports) | アプリケーション | テナント検出にのみ必要です。 |
| Microsoft Graph | ReportSettings.Read.All (Read all admin report settings) | アプリケーション | Microsoft 365 管理センターの レポート 設定を取得します。 |
| Microsoft Graph | RoleManagement.ReadWrite.Directory | アプリケーション | 移行元グループに Microsoft Entra ロールを割り当てることができる場合にのみ必要です。 アプリ プロファイルの同意ユーザーをグループ所有者として追加できることを確認します。 |
| Microsoft Graph | Tasks.Read.All (Read all users’ tasks and tasklist) | アプリケーション | Planner 内の Planner およびデータを取得します。 |
| Azure Rights Management Services *注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。 | Content.SuperUser (Read all protected content for this tenant) | アプリケーション | ファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。 |
| Office 365 Exchange Online | Exchange.ManageAsApp (Manage Exchange As Application) | アプリケーション | Exchange PowerShell を使用してメールボックスの権限を取得します。 |
| Office 365 Exchange Online | Full_access_as_app (Use Exchange Web Services with full access to all mailboxes) | アプリケーション | すべてのメールボックスからアイテムを取得します。 *注意: この権限をアプリに追加しない場合、アプリに RBAC 割り当てを作成して、特定のメールボックスへのアクセス権のみをアプリに付与します。詳細については、ApplicationImpersonation ロールなしでのメールボックスの移行方法 セクションのオプション 3 を参照してください。 |
| SharePoint/Office 365 SharePoint Online | Sites.FullControl.All (Have full control of all site collections) | アプリケーション | チーム サイトの設定および権限を取得します。 |
| SharePoint/Office 365 SharePoint Online | TermStore.ReadWrite.All (Read and write managed metadata) | アプリケーション | Managed Metadata Service を取得して移行します。 *注意: 管理されたナビゲーションで使用されている用語セットを移行するには、TermStore.ReadWrite.All 権限が必要です。管理されたナビゲーションで使用されている用語セットを移行する必要がない場合、権限を TermStore.Read.All に置き換えることができます。 |
簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。
移行元 Groups にサービス アカウント認証のみを使用している場合、サービス アカウントは以下の権限を持っている必要があります。
多要素認証 (MFA) が有効なユーザーは、移行を実行するためのサービス アカウントとして使用することはできません。その代わりに、委任アプリ プロファイルを使用することができます。
Exchange Online のライセンスを持っている
サービス アカウントにライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。
移行元グループのグループ所有者である
サービス アカウントをグループの所有者として手動追加することができます。サービス アカウントに グループ管理者 または グローバル管理者 ロールを付与すると、Fly はサービス アカウントをグループ所有者として自動追加することができます。
移行の実行後、PowerShell を使用してサービス アカウントをグループの所有者から削除するか、サービス アカウントを直接ブロックすることができます。アカウントを削除するには、サービス アカウントの削除 を参照してください。アカウントをブロックするには、Microsoft 365 管理センター > ユーザー に移動して、ユーザーの表示名をクリックします。サインインのブロック アイコンをクリックして、ユーザーによるサインインをブロックする を選択して変更を保存します。
サービス アカウントが SharePoint 管理者 または グローバル管理者 である場合、完全移行ジョブの実行中、サービス アカウントは移行元グループのチーム サイトの サイト コレクション管理者 として自動追加されます。移行の実行後、チーム サイトからサービス アカウントを削除することができます。
サービス アカウント プールは移行で利用できなくなりました。以前移行元にサービス アカウント プールを使用したことがあり、そのサービス アカウント プールを引き続き使用したい場合、グループ接続を作成する際に複数のサービス アカウントを選択し、選択したすべてのサービス アカウントが上記の条件を満たしていることを確認してください。
アプリ プロファイルも使用する場合の必須権限
移行元 Groups でサービス アカウント認証とアプリ プロファイル認証の両方を使用している場合、サービス アカウントは以下の条件を満たす必要があります。
多要素認証 (MFA) が有効なユーザーは、移行を実行するためのサービス アカウントとして使用することはできません。その代わりに、委任アプリ プロファイルを使用することができます。
Exchange Online のライセンスを持っている
サービス アカウントにライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。
移行元グループのグループ所有者
サービス アカウントをグループの所有者として手動追加することができます。既定の Fly アプリまたは必要な権限を持つカスタム アプリを使用し、サービス アカウントとアプリ プロファイルの両方を提供する場合、Fly はサービス アカウントをグループ所有者として自動追加することができます。
移行の実行後、サービス アカウントを直接ブロックすることができます。アカウントをブロックするには、Microsoft 365 管理センター > ユーザー に移動して、ユーザーの表示名をクリックします。サインインのブロック アイコンをクリックして、ユーザーによるサインインをブロックする を選択して変更を保存します。
完全移行ジョブの実行中、サービス アカウントは移行元グループのチーム サイトの サイト コレクション管理者 として自動追加されます。移行の実行後、チーム サイトからサービス アカウントを削除することができます。
サービス アカウント プールは移行で利用できなくなりました。以前移行元にサービス アカウント プールを使用したことがあり、そのサービス アカウント プールを引き続き使用したい場合、グループ接続を作成する際に複数のサービス アカウントを選択し、選択したすべてのサービス アカウントが上記の条件を満たしていることを確認してください。
Fly 委任アプリ プロファイルまたはカスタムの委任アプリ プロファイルを使用してワークスペースに接続することができます。
同意ユーザーのライセンスと権限の要件は、サービス アカウントのライセンスと権限の要件と同じです。詳細については、サービス アカウント権限 を参照してください。
委任アプリ プロファイルの同意ユーザーの多要素認証 (MFA) が有効になっている場合、MFA の有効化後に委任アプリ プロファイルを承認または再承認する必要があります。MFA の有効化後にアプリ プロファイルを承認または再承認しないと、委任アプリ プロファイルを使用している移行ジョブは失敗します。
アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。
必要な権限を持っているカスタム委任アプリ プロファイルを使用するには、Fly 委任アプリ プロファイルの権限 セクションを参照してください。
必要な権限を持っているカスタムの委任アプリ プロファイルを使用するには、以下の説明を参照してください。
Microsoft Entra ID でアプリを登録した後、以下の表内の権限をアプリに追加します。
| API | アクセス許可 | タイプ | 目的 |
|---|---|---|---|
| Microsoft Information Protection Sync Service | UnifiedPolicy.User.Read | 委任済み | ファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。 |
| Microsoft Graph | Directory.Read.All | 委任済み | 移行元が Multi-Geo テナントである場合にのみ必要です。 |
| Microsoft Graph | Domain.Read.All | 委任済み | テナントのドメインを取得します。 |
| Microsoft Graph | RoleManagement.Read.Directory | 委任済み | ディレクトリ ロールを取得します。 |
| Microsoft Graph | Group.Read.All | 委任済み | Microsoft 365 グループおよびグループ メンバーを取得します。 |
| Microsoft Graph | Group.ReadWrite.All | 委任済み | 委任アプリ プロファイルのみを使用しており、同意ユーザーが移行元グループのグループ所有者ではない場合に必要です。つまり、同意ユーザーは グループ管理者 ロールを持っている必要があります。この権限は、同意ユーザーをグループ所有者として自動追加することができます。 同意ユーザーが既にグループ所有者である場合、この権限を Group.Read.All に変更することができます。 |
| Microsoft Graph | Sites.Read.All | 委任済み | チーム サイトのファイルを取得します。 |
| Microsoft Graph | RoleManagement.ReadWrite.Directory | 委任済み | 移行元グループに Microsoft Entra ロールを割り当てることができる場合にのみ必要です。 アプリ プロファイルの同意ユーザーをグループ所有者として追加できることを確認します。 |
| Microsoft Graph | User.Read.All | 委任済み | Microsoft 365 ユーザー プロファイルの情報を取得します。 |
| Azure Rights Management Services *注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。 | user_impersonation | 委任済み | ファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。 |
| Office 365 Exchange Online | EWS.AccessAsUser.All | 委任済み | Exchange Web サービスを使用し、偽装でユーザー データへのフル アクセスを実現します。 |
| Office 365 Exchange Online | Exchange.Manage | 委任済み | メールボックスの権限を取得します。 |
| SharePoint/Office 365 SharePoint Online | AllSites.FullControl | 委任済み | チーム サイトの設定および権限を取得します。 |
| SharePoint/Office 365 SharePoint Online | TermStore.Read.All | 委任済み | Managed Metadata Service データを取得します。 |
簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。
アプリの画面の左側の [認証] をクリックします。
[プラットフォームを追加] をクリックします。
プラットフォームの構成 パネルで Web を選択します。
Web の構成 パネルで、リダイレクト URI フィールドにAvePoint Online Services URL (https://www.avepointonlineservices.com) を入力します。
暗黙的な許可およびハイブリド フロー フィールドで アクセス トークン および ID トークン を選択します。

[構成] をクリックします。
[保存] をクリックします。
AvePoint Online Services で モダン モード を使用してアプリ用のアプリ プロファイルを作成するには、委任されたアクセス許可を持つカスタム Azure アプリへの同意 を参照してください。
アプリに同意する際に、アプリに管理者の同意権限を付与し、パブリック クライアント フローを許可している場合、グローバル管理者の同意 または ユーザーの同意 方法を選択することができます。そうしない場合、グローバル管理者の同意 方法のみを使用できます。