移行先 Teams チャットにおける権限

移行先に接続するには、認証方法として委任アプリ プロファイルを使用する必要があります。Teams チャット移行でチャット ファイルを移行する場合、移行パフォーマンスを向上させるために、Fly アプリ プロファイルまたはカスタム アプリ プロファイルを同時にすることもできます。

認証方法によって必要な権限については、以下のセクションを参照してください。

委任アプリ プロファイル権限

Fly は、移行先に対して既定の委任アプリ プロファイルおよびカスタム委任アプリ プロファイルをサポートします。

NOTE

委任アプリ プロファイルの同意ユーザーの多要素認証 (MFA) が有効になっている場合、MFA の有効化後に委任アプリ プロファイルを承認または再承認する必要があります。MFA の有効化後にアプリ プロファイルを承認または再承認しないと、委任アプリ プロファイルを使用している移行ジョブは失敗します。

  • 必要な権限を持っているカスタム委任アプリ プロファイルを使用するには、Fly 委任アプリ プロファイルの権限 セクションを参照してください。

  • 必要な権限を持っているカスタム委任アプリ プロファイルを使用するには、以下の カスタム委任アプリ プロファイル セクションを参照してください。

NOTE

アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

また、移行先への接続に委任アプリ プロファイルのみを使用する場合、委任アプリ プロファイルの同意ユーザーは以下の要件を満たす必要があります。

  • Microsoft Teams のライセンスを持っています。

    NOTE

    同意ユーザーにライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、同意ユーザーの ライセンスとアプリ タブで Microsoft Teams を選択します。

  • 移行先チャット ユーザーの OneDrive サイトを確実にプロビジョニングできるため、SharePoint 管理者 である必要があります。

    同意ユーザーが SharePoint 管理者 または グローバル管理者 である場合、完全移行ジョブの実行中に同意ユーザーは移行先チャット ユーザーの OneDrive サイトの サイト コレクション管理者 として自動追加されます。移行の実行後、サイトから同意ユーザーを削除することができます。

アプリ プロファイルも使用する場合の必須権限

移行先のチーム チャットに、委任アプリ プロファイル認証とアプリ プロファイル認証の両方を使用する場合、委任アプリ プロファイルの同意ユーザーが以下の要件を満たす必要があります。

  • Microsoft Teams のライセンスを持っています。

    NOTE

    同意ユーザーにライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、同意ユーザーの ライセンスとアプリ タブで Microsoft Teams を選択します。

  • 移行前に移行先チャット ユーザーの OneDrive サイトが初期化されていない場合、同意ユーザーは SharePoint 管理者 である必要があります。移行先チャット ユーザーの OneDrive サイトが既に初期化されている場合、管理者ロールを持たない標準ユーザーを同意ユーザーとして指定することができます。

    完全移行ジョブ中、同意ユーザーは移行先チャット ユーザーの OneDrive サイトの サイト コレクション管理者 として自動追加されます。移行の実行後、サイトから同意ユーザーを削除することができます。

カスタム委任アプリ プロファイル

必要な権限を持っているカスタムの委任アプリ プロファイルを使用するには、以下の説明を参照してください。

  1. Microsoft Entra ID でアプリを登録した後、以下の表内の権限をアプリに追加します。

    APIアクセス許可タイプ目的
    Microsoft GraphUser.Read.All
    (Read all users' full profiles)
    委任済みMicrosoft 365 ユーザーを取得して移行します。
    Microsoft GraphTeamsTab.Create(Create tabs in Microsoft Teams)委任済みタブを移行します。
    Microsoft GraphTeamsTab.Read.All
    (Read tabs in Microsoft Teams)
    委任済みチーム タブを取得して移行します。
    Microsoft GraphTeamsTab.Read.All
    (Read tabs in Microsoft Teams.)
    委任済みチャット メンバー / チャッ トメッセージを移行します。
    Microsoft GraphTeamsTab.Read.All
    (Read tabs in Microsoft Teams.)
    委任済みチャット ファイルを移行します。
    Microsoft GraphTeamsTab.ReadWriteSelfForChat
    (Allow the Teams app to manage only its own tabs in chats)
    委任済み移行先チャットのタブを更新します。
    Microsoft Information Protection Sync ServiceUnifiedPolicy.User.Read
    (Read all unified policies a user has access to)
    委任済みファイル / メール / チームの秘密度ラベルを管理する場合にのみ必要です。
    Azure Rights Management Services
    *注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
    user_impersonation
    (Create and access protected content for users)
    委任済みファイル / メール / チームの秘密度ラベルを管理する場合にのみ必要です。
    SharePoint/Office 365 SharePoint OnlineAllSites.FullControl
    (Have full control of all site collections)
    委任済みOneDrive サイトの設定および権限を取得します。
    SharePoint/Office 365 SharePoint OnlineAllSites.FullControl
    (Have full control of all site collections)
    委任済みOneDrive サイトを移行します。

    簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

    "requiredResourceAccess": [
         {
           "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
           "resourceAccess": [
             {
               "id": "56680e0d-d2a3-4ae1-80d8-3c4f2100e3d0",
               "type": "Scope"
             },
             {
               "id": "0cea5a30-f6f8-42b5-87a0-84cc26822e02",
               "type": "Scope"
             }
           ]
         },
         {
           "resourceAppId": "00000003-0000-0000-c000-000000000000",
           "resourceAccess": [
             {
               "id": "9ff7295e-131b-4d94-90e1-69fde507ac11",
               "type": "Scope"
             },
             {
               "id": "5c28f0bf-8a70-41f1-8ab2-9032436ddb65",
               "type": "Scope"
             },
             {
               "id": "a9ff19c2-f369-4a95-9a25-ba9d460efc8e",
               "type": "Scope"
             },
             {
               "id": "59dacb05-e88d-4c13-a684-59f1afc8cc98",
               "type": "Scope"
             },
             {
               "id": "0c219d04-3abf-47f7-912d-5cca239e90e6",
               "type": "Scope"
             },
             {
               "id": "a154be20-db9c-4678-8ab7-66f6cc099a59",
               "type": "Scope"
             }
           ]
         },
         {
           "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
           "resourceAccess": [
             {
               "id": "34f7024b-1bed-402f-9664-f5316a1e1b4a",
               "type": "Scope"
             }
           ]
         },
         {
          "resourceAppId": "00000012-0000-0000-c000-000000000000",
          "resourceAccess": [
             {
               "id": "c9c9a04d-3b66-4ca8-a00c-fca953e2afd3",
               "type": "Scope"
             }
           ]
         }
       ],
  2. アプリの画面の左側の [認証] をクリックします。

  3. [プラットフォームを追加] をクリックします。

  4. プラットフォームの構成 パネルで Web を選択します。

  5. Web の構成 パネルで、リダイレクト URI フィールド に AvePoint Online Services URL https://usgov.avepointonlineservices.com を入力します。

  6. 暗黙的な許可およびハイブリド フロー フィールドで アクセス トークン および ID トークン を選択します。

    Web の構成パネル

  7. [構成] をクリックします。

  8. [保存] をクリックします。

  9. AvePoint Online Services で モダン モード を使用してアプリ用のアプリ プロファイルを作成するには、委任されたアクセス許可を持つカスタム Azure アプリへの同意 を参照してください。

    NOTE

    アプリに同意する際に、アプリに管理者の同意権限を付与し、パブリック クライアント フローを許可している場合、グローバル管理者の同意 または ユーザーの同意 方法を選択することができます。そうしない場合、グローバル管理者の同意 方法のみを使用できます。

Fly アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 で Fly アプリ プロファイルを作成して、Fly アプリを使用している Microsoft 365 テナントに接続することができます。

Fly アプリ プロファイルの作成方法および必須権限については、Fly アプリ プロファイル権限 を参照してください。

カスタム アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 でカスタム アプリ プロファイルを作成して、カスタム Azure アプリを使用している Microsoft 365 テナントに接続することもできます。

カスタム アプリ プロファイルを作成するには、以下の説明を参照してください。

  1. Microsoft Entra ID で証明書を準備します。詳細については、カスタム Azure アプリ用の証明書の準備 を参照してください。

    証明書がある場合、このステップを無視することができます。

  2. Microsoft Entra IDでカスタム Azure アプリを作成します。詳細については、カスタム Azure アプリの作成 を参照してください。

  3. テナントを AvePoint Online Services に接続 します。

  4. AvePoint Online Services で カスタム Azure アプリ用アプリ プロファイルを作成 します。

NOTE

アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

以下の表の内容に従って、カスタム Azure アプリに Microsoft Teams チャット移行に必要な API アクセス許可を追加してください。

APIアクセス許可タイプ目的
Microsoft Information Protection Sync ServiceUnifiedPolicy.Tenant.Read
(Read all unified policies of the tenant.)
アプリケーションファイルの秘密度ラベルを管理する場合にのみ必要です。
Microsoft GraphFiles.Read.All
(Read files in all site collections)
アプリケーションOneDrive ファイルを取得して移行します。
Microsoft GraphChat.Create
(Create Chat)
アプリケーションチャットを作成します。
Microsoft GraphUser.Read.All
(Read all users’ full profiles)
アプリケーションチャット ユーザー プロファイルの情報を取得します。
Microsoft GraphChat.ReadWrite.All
(Read and write all chat messages)
アプリケーションチャット メンバー / チャッ トメッセージを取得して移行します。
Microsoft GraphTeamsTab.Create
(Create tabs in Microsoft Teams)
アプリケーション移行先チャットでタブを作成します。
Microsoft GraphTeamsTab.Read.All
(Read tabs in Microsoft Teams)
アプリケーション移行先チャットでタブを取得します。
Microsoft GraphTeamsTab.ReadWriteSelfForChat.All
(Allow the Teams app to manage only its own tabs for all chats)
アプリケーション移行先チャットのタブを更新します。
SharePointSites.FullControl.All
(Have full control of all site collections)
アプリケーションOneDrive サイトの設定および権限を取得します。
SharePointUser.Read.All
(Read user profiles)
アプリケーションSharePoint ユーザー プロファイル サービスを取得します。
Azure Rights Management Services
*注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
Content.DelegatedWriter
(Create protected content on behalf of a user)
アプリケーション
ファイルの秘密度ラベルを管理する場合にのみ必要です。
Azure Rights Management Services
*注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
Content.Writer
(Create protected content)
アプリケーションファイルの秘密度ラベルを管理する場合にのみ必要です。

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [
  {
    "resourceAppId": "00000012-0000-0000-c000-000000000000",
    "resourceAccess": [
      {
        "id": "006e763d-a822-41fc-8df5-8d3d7fe20022",
        "type": "Role"
      },
      {
        "id": "d13f921c-7f21-4c08-bade-db9d048bd0da",
        "type": "Role"
      }
    ]
  },
  {
    "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
    "resourceAccess": [
      {
        "id": "678536fe-1083-478a-9c59-b99265e6b0d3",
        "type": "Role"
      },
      {
        "id": "df021288-bdef-4463-88db-98f22de89214",
        "type": "Role"
      }
    ]
  },
  {
    "resourceAppId": "00000003-0000-0000-c000-000000000000",
    "resourceAccess": [
      {
        "id": "d9c48af6-9ad9-47ad-82c3-63757137b9af",
        "type": "Role"
      },
      {
        "id": "294ce7c9-31ba-490a-ad7d-97a7d075e4ed",
        "type": "Role"
      },
      {
        "id": "01d4889c-1287-42c6-ac1f-5d1e02578ef6",
        "type": "Role"
      },
      {
        "id": "49981c42-fd7b-4530-be03-e77b21aed25e",
        "type": "Role"
      },
      {
        "id": "46890524-499a-4bb2-ad64-1476b4f3e1cf",
        "type": "Role"
      },
      {
        "id": "9f62e4a2-a2d6-4350-b28b-d244728c4f86",
        "type": "Role"
      },
      {
        "id": "df021288-bdef-4463-88db-98f22de89214",
        "type": "Role"
      }
    ]
  },
  {
    "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
    "resourceAccess": [
      {
        "id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",
        "type": "Role"
      }
    ]
  }
],