Home > OneDrive 移行の実行 > OneDrive 移行の必須権限 > 移行先 OneDrive における権限
この記事をダウンロード移行先に接続するには、認証方法として、サービス アカウント / 委任アプリ プロファイル・Fly アプリ プロファイル・カスタム アプリ プロファイルのいずれかの使用を選択することができます。サービス アカウン / 委任アプリ プロファイルと Fly アプリ プロファイルの組み合わせ、またはサービス アカウント / 委任アプリ プロファイルとカスタム アプリ プロファイルの組み合わせを使用することもできます。
認証方法によって必要な権限については、以下のセクションを参照してください。
テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 で Fly アプリ プロファイルを作成して、Fly アプリを使用している Microsoft 365 テナントに接続することができます。
Fly アプリ プロファイルの作成方法および必須権限については、Fly アプリ プロファイル権限 を参照してください。
テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 でカスタム アプリ プロファイルを作成して、カスタム Azure アプリを使用している Microsoft 365 テナントに接続することができます。
カスタム アプリ プロファイルを作成するには、以下の説明を参照してください。
Microsoft Entra ID で証明書を準備します。詳細については、カスタム Azure アプリ用の証明書の準備 を参照してください。
証明書がある場合、このステップを無視することができます。
Microsoft Entra IDでカスタム Azure アプリを作成します。詳細については、カスタム Azure アプリの作成 を参照してください。
AvePoint Online Services で カスタム Azure アプリ用アプリ プロファイルを作成 します。
アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。
以下の表の内容に従って、OneDrive 移行に必要な API アクセス許可をカスタム Azure アプリに追加してください。
| API | アクセス許可 | タイプ | 目的 |
|---|---|---|---|
| Microsoft Graph | Files.Read.All(Read files in all site collections) | アプリケーション | ユーザーの OneDrive サイト URL を取得します。 |
| Microsoft Graph | User.Read.All (Read all users’ full profiles) | アプリケーション | ユーザー マッピング用の Microsoft 365 ユーザーを取得し、ユーザーの OneDrive サイト URLを取得します。 |
| Microsoft Graph | Sites.Read.All (Read items in all site collections) | アプリケーション | テナント検出を実行する場合にのみ必要です。 |
| Microsoft Graph | ReportSettings.Read.All (Read all admin report settings) | アプリケーション | テナント検出を実行する場合にのみ必要です。 |
| Microsoft Graph | Group.Read.All (Read all groups) | アプリケーション | Microsoft 365 グループの詳細を取得します。 |
| Microsoft Graph | RoleManagement.Read.Directory (Read all directory RBAC settings) | アプリケーション | Microsoft グローバル グループを取得し、サービス アカウントの必要なロールを確認します。 |
| Microsoft Graph | Reports.Read.All (Read all usage reports) | アプリケーション | テナント検出を実行する場合にのみ必要です。 |
| Microsoft Information Protection Sync Service | UnifiedPolicy.Tenant.Read (Read all unified policies of the tenant.) | アプリケーション | ファイルの秘密度ラベルを管理する場合にのみ必要です。 |
| Azure Rights Management サービス 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。 | Content.DelegatedWriter (Create protected content on behalf of a user) | アプリケーション | ファイルの秘密度ラベルを管理する場合にのみ必要です。 |
| Azure Rights Management サービス 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。 | Content.Writer (Create protected content) | アプリケーション | ファイルの秘密度ラベルを管理する場合にのみ必要です。 |
| SharePoint/Office 365 SharePoint Online | Sites.FullControl.All (Have full control of all site collections) | アプリケーション | OneDrive サイトの設定および権限を取得します。 |
| SharePoint/Office 365 SharePoint Online | User.Read.All (Read user profiles) | アプリケーション | SharePoint ユーザー プロファイル サービスを取得します。 |
簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。
上記に一覧表示している権限は、テナント内のすべての OneDrive サイトを移行するために必要です。特定の OneDrive サイトのみを移行する場合、異なる権限設定が構成されている別のカスタム アプリの使用に変更してください。詳細については、以下の説明を参照してください。
以下の権限を、使用するアプリに追加します。
| API | アクセス許可 | タイプ | 目的 |
|---|---|---|---|
| Microsoft Graph | Files.Read.All (Read files in all site collections) | アプリケーション | ユーザーの OneDrive サイト URL を取得します。 |
| Microsoft Graph | User.Read.All (Read all users’ full profiles) | アプリケーション | ユーザー マッピング用の Microsoft 365 ユーザーを取得し、ユーザーの OneDrive サイト URLを取得します。 |
| Microsoft Graph | Sites.Selected (Access selected site collections) | アプリケーション | 指定した OneDrive サイトのデータを取得して移行します。 |
| Microsoft Graph | Group.Read.All (Read all groups) | アプリケーション | Microsoft 365 グループの詳細を取得します。 |
| Microsoft Graph | RoleManagement.Read.Directory (Read all directory RBAC settings) | アプリケーション | Microsoft グローバル グループを取得し、サービス アカウントの必要なロールを確認します。 |
| Microsoft Graph | ReportSettings.Read.All (Read all admin report settings) | アプリケーション | テナント検出を実行する場合にのみ必要です。 |
| Microsoft Graph | Reports.Read.All (Read all usage reports) | アプリケーション | テナント検出を実行する場合にのみ必要です。 |
| Microsoft Information Protection Sync Service | UnifiedPolicy.Tenant.Read (Read all unified policies of the tenant.) | アプリケーション | ファイルの秘密度ラベルを管理する場合にのみ必要です。 |
| Azure Rights Management サービス 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。 | Content.DelegatedWriter (Create protected content on behalf of a user) | アプリケーション | ファイルの秘密度ラベルを管理する場合にのみ必要です。 |
| Azure Rights Management サービス 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。 | Content.Writer (Create protected content) | アプリケーション | ファイルの秘密度ラベルを管理する場合にのみ必要です。 |
| SharePoint/Office 365 SharePoint Online | Sites.Selected (Access selected site collections) | アプリケーション | 指定した OneDrive サイトのデータを取得して移行します。 |
| SharePoint/Office 365 SharePoint Online | User.Read.All (Read user profiles) | アプリケーション | SharePoint ユーザー プロファイル サービスを取得します。 |
簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。
環境に PnP PowerShellをインストール します。
ストレージ場所 (英語) にアクセスして、RegisterAzureADAppForGrantFullControl.ps1、GrantFullControlForOneDriveUser.ps1、OneDriveUsers.csv ファイルをネットワーク接続が構成されているマシンのカスタム フォルダーにダウンロードします。
カスタム フォルダー内の RegisterAzureADAppForGrantFullControl.ps1 ファイルをメモ帳で開き、必要に応じて以下のパラメーターを構成します。その後、ファイルを保存します。
Tenant – テナントの名前です。例: mytenant.onmicrosoft.com
AzureEnvironment – 認証用の Azure 環境です。
ApplicationName – 作成する Azure AD アプリの名前です (必須ではありません)。既定では、名前は PnP PowerShell For Grant Full Control になります。
アプリ証明書のパスワードを入力し、キーボードの Enter キーを押します。
テナント内のユーザーでサインインし、アプリを作成します。
Azure AD アプリを登録すると、要求されているアクセス許可 ページが表示されます。グローバル管理者アカウントでサインインし、[同意] をクリックしてアプリを登録します。
以下のテーブルには、アプリの必要な権限が一覧表示されます。
| API | アクセス許可 | タイプ |
|---|---|---|
| Microsoft Graph | Sites.FullControl.All (Have full control of all site collections) | アプリケーション |
| Microsoft Graph | User.Read.All (Read all users’ full profiles) | アプリケーション |
| SharePoint/Office 365 SharePoint Online | Sites.FullControl (Have full control of all site collections) | アプリケーション |
| SharePoint/Office 365 SharePoint Online | User.Read.All (Read user profiles) | アプリケーション |
実行後、Azure AD アプリのクライアント ID およびアプリに生成された PFX 証明書のパスは Windows PowerShell ウィンドウに表示されます。これらの情報は GrantFullControlForOneDriveUser.ps1 スクリプトを実行する際に使用されることに注意してください。
スクリプトと同じディレクトリに Register Azure AD App_(TimeStamp).log ファイルが生成されます。このファイルで実行する詳細を表示することができます。
カスタム フォルダーで OneDriveUsers.csv ファイルを開き、移行する OneDrive サイトのユーザー名を以下のように入力します。

カスタム フォルダーで、GrantFullControlForOneDriveUser.ps1 ファイルをメモ帳で開きます。
必要な情報を使用して、以下のパラメーターを構成します。
$appId = ' ' – カスタム アプリのクライアント ID を入力します。
$appName = ' ' – カスタム アプリの表示名を入力します。
$AzureEnvironment = ' ' – 認証用の Azure 環境を入力します。
$certPath = 'PnP PowerShell For Grant Full Control AppCertificate Path(.pfx)' – 生成されたアプリ証明書の完全パスを入力します。
$connection = Connect-PnPOnline
Url – テナントの SharePoint 管理センター URL を入力します。
カスタム アプリが SharePoint 管理センター URL へのアクセス権を持っていない可能性があります。Fly で接続を追加する際にテナント ドメインの検証を行わないようにするには、移行ポリシーの カスタム機能 セクションに IsCheckAdminUrl=false 文字列を追加することができます。
ClientId – PnP PowerShell For Grant Full Control アプリのクライアント ID を入力します。
Tenant – テナントの ID を入力します。
Windows PowerShell を開き、Windows PowerShell ウィンドウでコマンド . "file path" を入力します。
解凍されたフォルダー内の GrantFullControlForOneDriveUser.ps1 ファイルの完全パスで file path を置き換え、キーボードの Enter キーを押します。

カスタム アプリの証明書キーを入力し、キーボードの Enter を押します。
PnP PowerShell For Grant Full Control アプリの証明書のパスワードを入力し、キーボードの Enter キーを押します。
Microsoft 365 テナントに AvePoint Online Services を接続するには、テナントの所有者およびサービス管理者は Microsoft 365 に対して サービス アカウント プロファイルの作成 を実行することもできます。
多要素認証 (MFA) が有効なユーザーは、移行を実行するためのサービス アカウントとして使用することはできません。その代わりに、委任アプリ プロファイルを使用することができます。
移行先でアプリ プロファイル認証とサービス アカウント認証の両方を使用している場合、サービス アカウントに必要な権限がありません。
移行先でサービス アカウント認証のみを使用している場合、サービス アカウントは以下の要件を満たす必要があります。
サイト コレクションの管理者である
サービス アカウントが サイト コレクション管理者 ではなく、SharePoint 管理者 または グローバル管理者 ロールを持っていることが検出された場合、サービス アカウントはサイト コレクションの サイト コレクション管理者 として自動追加されます。
以下の場合に、SharePoint 管理者 も必要です。
AvePoint Online Services で OneDrive をスキャンするスキャン プロファイルを使用するには、サービス アカウントが SharePoint 管理者 である必要があります
移行中に移行先で新しい OneDrive サイトを作成するには、移行先サービス アカウントが SharePoint 管理者 である必要があります。
移行中にサイトの秘密度ラベルを管理するには、サービス アカウントは SharePoint 管理者 ロールを持っている必要があります。
SharePoint 管理者 が SharePoint 管理センターにアクセスできない場合、グローバル管理者 が必要です。
移行中にファイルの ラベルを適用するときにユーザーがアクセス許可を割り当てられるようにする タイプの Rights Management service (RMS) および秘密度ラベルを管理するには、サービス アカウントは スーパー ユーザー ロールを持っている必要があります。詳細については、スーパー ユーザーとしてサービス アカウントの割り当て を参照してください。
サービス アカウント プールは移行で利用できなくなりました。以前移行元または移行先の OneDrive にサービス アカウント プールを使用したことがあり、そのサービス アカウント プールを引き続き使用したい場合、OneDrive 接続を作成する際に複数のサービス アカウントを選択し、選択したすべてのサービス アカウントが上記のロールが割り当てられていることを確認してください。
Fly 委任アプリ プロファイルまたはカスタムの委任アプリ プロファイルを使用してワークスペースに接続することができます。
委任アプリ プロファイルの同意ユーザーの多要素認証 (MFA) が有効になっている場合、MFA の有効化後に委任アプリ プロファイルを承認または再承認する必要があります。MFA の有効化後にアプリ プロファイルを承認または再承認しないと、委任アプリ プロファイルを使用している移行ジョブは失敗します。
移行先用の既定の委任アプリ プロファイルまたはカスタム委任アプリ プロファイルの作成手順は、移行元用の 委任アプリ プロファイル権限 の作成手順と同じです。
Fly 委任アプリ プロファイルの権限については、Fly 委任アプリ プロファイルの権限 を参照してください。
カスタム委任アプリ プロファイルの権限については、以下の説明を参照してください。
| API | アクセス許可 | タイプ | 目的 |
|---|---|---|---|
| Microsoft Graph | RoleManagement.Read.Directory (Read directory RBAC settings) | 委任済み | Microsoft グローバル グループを取得し、サービス アカウントの必要なロールを確認します。 |
| Microsoft Graph | User.Read.All (Read all users’ full profiles) | 委任済み | ユーザー マッピング用の Microsoft 365 ユーザーを取得し、ユーザーの OneDrive サイト URLを取得します。 |
| Microsoft Graph | Group.Read.All (Read all groups) | 委任済み | Microsoft 365 グループの詳細を取得します。 |
| Microsoft Graph | Files.Read.All (Read files in all site collections) | 委任済み | ユーザーの OneDrive サイト URL を取得します。 |
| Microsoft Information Protection Sync Service | UnifiedPolicy.User.Read (Read all unified policies of the tenant) | 委任済み | ファイルの秘密度ラベルを管理する場合にのみ必要です。 |
| Azure Rights Management サービス 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。 | user_impersonation (Create and access protected content for users) | 委任済み | ファイルの秘密度ラベルを管理する場合にのみ必要です。 |
| SharePoint/Office 365 SharePoint Online | AllSites.FullControl (Have full control of all site collections) | 委任済み | OneDrive サイトを移行します。 |
| SharePoint/Office 365 SharePoint Online | User.Read.All (Read user profiles) | 委任済み | OneDrive サイトを移行します。 |
簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。