移行元 OneDrive における権限

移行元に接続するには、認証方法として、サービス アカウント / 委任アプリ プロファイル・Fly アプリ プロファイル・カスタム アプリ プロファイルのいずれかの使用を選択することができます。サービス アカウン / 委任アプリ プロファイルと Fly アプリ プロファイルの組み合わせ、またはサービス アカウント / 委任アプリ プロファイルとカスタム アプリ プロファイルの組み合わせを使用することもできます。

Fly アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 で Fly アプリ プロファイルを作成して、Fly アプリを使用している Microsoft 365 テナントに接続することができます。

Fly アプリ プロファイルの作成方法および必須権限については、Fly アプリ プロファイル権限 を参照してください。

カスタム アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 でカスタム アプリ プロファイルを作成して、カスタム Azure アプリを使用している Microsoft 365 テナントに接続することができます。

カスタム アプリ プロファイルを作成するには、以下の説明を参照してください。

  1. Microsoft Entra ID で証明書を準備します。詳細については、カスタム Azure アプリ用の証明書の準備 を参照してください。

    証明書がある場合、このステップを無視することができます。

  2. Microsoft Entra IDでカスタム Azure アプリを作成します。詳細については、カスタム Azure アプリの作成 を参照してください。

  3. テナントを AvePoint Online Services に接続 します。

  4. AvePoint Online Services で カスタム Azure アプリ用アプリ プロファイルを作成 します。

NOTE

アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

移行先に基づいて、カスタム Azure アプリに必要な API 権限は異なります。

OneDrive への移行

すべての OneDrive サイトを移行するには、カスタム Azure アプリに以下の API 権限を追加します。

APIアクセス許可タイプ目的
Microsoft GraphRoleManagement.Read.Directory
(Read all directory RBAC settings)
アプリケーションMicrosoft グローバル グループを取得し、サービス アカウントの必要なロールを確認します。
Microsoft GraphFiles.Read.All
(Read files in all site collections)
アプリケーションユーザーの OneDrive サイト URL を取得します。
Microsoft GraphUser.Read.All
(Read all users’ full profiles)
アプリケーションユーザー マッピング用の Microsoft 365 ユーザーを取得し、ユーザーの OneDrive サイト URLを取得します。
Microsoft GraphSites.Read.All
(Read items in all site collections)
アプリケーションテナント検出を実行する場合にのみ必要です。
Microsoft GraphReportSettings.Read.All
(Read all admin report settings)
アプリケーションテナント検出を実行する場合にのみ必要です。
Microsoft GraphReports.Read.All
(Read all usage reports)
アプリケーションテナント検出を実行する場合にのみ必要です。
Microsoft GraphGroup.Read.All
(Read all groups)
アプリケーションMicrosoft 365 グループの詳細を取得します。
Microsoft Information Protection Sync ServiceUnifiedPolicy.Tenant.Read
(Read all unified policies of the tenant)
アプリケーションファイルの秘密度ラベルを管理する場合にのみ必要です。
Azure Rights Management Services
*注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
Content.SuperUser
(Read all protected content for this tenant)
アプリケーションファイルの秘密度ラベルを管理する場合にのみ必要です。
SharePoint/Office 365 SharePoint OnlineSites.FullControl.All
(Have full control of all site collections)
アプリケーションOneDrive サイトの設定および権限を取得します。
SharePoint/Office 365 SharePoint OnlineUser.Read.All
(Read user profiles)
アプリケーションSharePoint ユーザー プロファイル サービスを取得します。

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [
        {
            "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
            "resourceAccess": [
                {
                    "id": "678536fe-1083-478a-9c59-b99265e6b0d3",
                    "type": "Role"
                },
                {
                    "id": "df021288-bdef-4463-88db-98f22de89214",
                    "type": "Role"
                }
            ]
        },
        {
            "resourceAppId": "00000012-0000-0000-c000-000000000000",
            "resourceAccess": [
                {
                    "id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",
                    "type": "Role"
                }
            ]
        },
        {
            "resourceAppId": "00000003-0000-0000-c000-000000000000",
            "resourceAccess": [
                {
                    "id": "01d4889c-1287-42c6-ac1f-5d1e02578ef6",
                    "type": "Role"
                },
                {
                    "id": "5b567255-7703-4780-807c-7be8301ae99b",
                    "type": "Role"
                },
                {
                    "id": "230c1aed-a721-4c5d-9cb4-a90514e508ef",
                    "type": "Role"
                },
                {
                    "id": "ee353f83-55ef-4b78-82da-555bfa2b4b95",
                    "type": "Role"
                },
                {
                    "id": "483bed4a-2ad3-4361-a73b-c83ccdbdc53c",
                    "type": "Role"
                },
                {
                    "id": "332a536c-c7ef-4017-ab91-336970924f0d",
                    "type": "Role"
                },
                {
                    "id": "df021288-bdef-4463-88db-98f22de89214",
                    "type": "Role"
                }
            ]
        },
        {
            "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
            "resourceAccess": [
                {
                    "id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",
                    "type": "Role"
                }
            ]
        }
    ],

上記に一覧表示している権限は、テナント内のすべての OneDrive サイトを移行するために必要です。特定の OneDrive サイトのみを移行する場合は、異なる権限セットを持つ別のカスタム アプリに変更してください。詳細については、以下の説明を参照してください。

  1. 以下の権限を、使用するアプリに追加します。

    APIアクセス許可タイプ目的
    Microsoft GraphFiles.Read.All
    (Read files in all site collections)
    アプリケーションユーザーの OneDrive サイト URL を取得します。
    Microsoft GraphUser.Read.All
    (Read all users' full profiles)
    アプリケーションユーザー マッピング用の Microsoft 365 ユーザーを取得し、ユーザーの OneDrive サイト URLを取得します。
    Microsoft GraphSites.Selected
    (Access selected site collections)
    アプリケーション指定した OneDrive サイトのデータを取得して移行します。
    Microsoft GraphReportSettings.Read.All
    (Read all admin report settings)
    アプリケーションテナント検出を実行する場合にのみ必要です。
    Microsoft GraphRoleManagement.Read.Directory
    (Read all directory RBAC settings)
    アプリケーションMicrosoft グローバル グループを取得し、サービス アカウントの必要なロールを確認します。
    Microsoft GraphGroup.Read.All
    (Read all groups)
    アプリケーションMicrosoft 365 グループの詳細を取得します。
    Microsoft GraphReports.Read.All
    (Read all usage reports)
    アプリケーションテナント検出を実行する場合にのみ必要です。
    Microsoft Information Protection Sync ServiceUnifiedPolicy.Tenant.Read 
    (Read all unified policies of the tenant.)
    アプリケーションファイルの秘密度ラベルを管理する場合にのみ必要です。
    Azure Rights Management Services
    *注意: 21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
    Content.SuperUser
    (Read all protected content for this tenant)
    アプリケーションファイルの秘密度ラベルを管理する場合にのみ必要です。
    SharePoint/Office 365 SharePoint OnlineSites.Selected
    (Access selected site collections)
    アプリケーション指定した OneDrive サイトのデータを取得して移行します。
    SharePoint/Office 365 SharePoint OnlineUser.Read.All
    (Read user profiles)
    アプリケーションSharePoint ユーザー プロファイル サービスを取得します。

    簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

    "requiredResourceAccess": [
             {
                 "resourceAppId": "00000012-0000-0000-c000-000000000000",
                 "resourceAccess": [
                     {
                         "id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",
                         "type": "Role"
                     }
                 ]
             },
             {
                 "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
                 "resourceAccess": [
                     {
                         "id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",
                         "type": "Role"
                     }
                 ]
             },
             {
                 "resourceAppId": "00000003-0000-0000-c000-000000000000",
                 "resourceAccess": [
                     {
                         "id": "01d4889c-1287-42c6-ac1f-5d1e02578ef6",
                         "type": "Role"
                     },
                     {
                         "id": "5b567255-7703-4780-807c-7be8301ae99b",
                         "type": "Role"
                     },
                     {
                         "id": "230c1aed-a721-4c5d-9cb4-a90514e508ef",
                         "type": "Role"
                     },
                     {
                         "id": "ee353f83-55ef-4b78-82da-555bfa2b4b95",
                         "type": "Role"
                     },
                     {
                         "id": "483bed4a-2ad3-4361-a73b-c83ccdbdc53c",
                         "type": "Role"
                     },
                     {
                         "id": "883ea226-0bf2-4a8f-9f9d-92c9162a727d",
                         "type": "Role"
                     },
                     {
                         "id": "df021288-bdef-4463-88db-98f22de89214",
                         "type": "Role"
                     }
                 ]
             },
             {
                 "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
                 "resourceAccess": [
                     {
                         "id": "df021288-bdef-4463-88db-98f22de89214",
                         "type": "Role"
                     },
                     {
                         "id": "20d37865-089c-4dee-8c41-6967602d4ac8",
                         "type": "Role"
                     }
                 ]
             }
         ],
  2. 環境に PnP PowerShellをインストール します。

  3. ストレージ場所 (英語) にアクセスして、RegisterAzureADAppForGrantFullControl.ps1GrantFullControlForOneDriveUser.ps1OneDriveUsers.csv ファイルをネットワーク接続が構成されているマシンのカスタム フォルダーにダウンロードします。

  4. カスタム フォルダー内の RegisterAzureADAppForGrantFullControl.ps1 ファイルをメモ帳で開き、必要に応じて以下のパラメーターを構成します。その後、ファイルを保存します。

    • Tenant – テナントの名前です。例: mytenant.onmicrosoft.com

    • AzureEnvironment – 認証用の Azure 環境です。

    • ApplicationName – 作成する Azure AD アプリの名前です (必須ではありません)。既定では、名前は PnP PowerShell For Grant Full Control になります。

  5. Windows PowerShell を開き、Windows PowerShell ウィンドウでコマンド . "file path" を入力します。

    解凍されたフォルダー内の RegisterAzureADAppForGrantFullControl.ps1 ファイルの完全パスで file path を置き換え、キーボードの Enter キーを押します。

  6. アプリ証明書のパスワードを入力し、キーボードの Enter キーを押します。

  7. テナント内のユーザーでサインインし、アプリを作成します。

    NOTE

    Azure AD アプリを登録すると、要求されているアクセス許可 ページが表示されます。グローバル管理者アカウントでサインインし、[同意] をクリックしてアプリを登録ます。

    以下のテーブルには、アプリの必要な権限が一覧表示されます。

    APIアクセス許可タイプ
    Microsoft GraphSites.FullControl.All
    (Have full control of all site collections)
    アプリケーション
    Microsoft GraphUser.Read.All
    (Read all users’ full profiles)
    アプリケーション
    SharePoint/Office 365 SharePoint OnlineSites.FullControl
    (Have full control of all site collections)
    アプリケーション
    SharePoint/Office 365 SharePoint OnlineUser.Read.All
    (Read user profiles)
    アプリケーション

    実行後、Azure AD アプリのクライアント ID およびアプリに生成された PFX 証明書のパスは Windows PowerShell ウィンドウに表示されます。これらの情報は GrantFullControlForOneDriveUser.ps1 スクリプトを実行する際に使用されることに注意してください。

    スクリプトと同じディレクトリに Register Azure AD App_(TimeStamp).log ファイルが生成されます。このファイルで実行する詳細を表示することができます。

  8. カスタム フォルダーで OneDriveUsers.csv ファイルを開き、移行する OneDrive サイトのユーザー名を以下のように入力します。

    OneDriveUsers.csv ファイル

  9. カスタム フォルダーで、GrantFullControlForOneDriveUser.ps1 ファイルをメモ帳で開きます。

  10. 必要な情報を使用して、以下のパラメーターを構成します。

    • $appId = ' ' –カスタム アプリのクライアント ID を入力します。

    • $appName = ' ' – カスタム アプリの表示名を入力します。

    • $AzureEnvironment = ' ' – 認証用の Azure 環境を入力します。

    • $certPath = 'PnP PowerShell For Grant Full Control AppCertificate Path(.pfx)' – 生成されたアプリ証明書の完全パスを入力します。

    • $connection = Connect-PnPOnline

      • Url – テナントの SharePoint 管理センター URL を入力します。

        NOTE

        カスタム アプリが SharePoint 管理センター URL へのアクセス権を持っていない可能性があります。Fly で接続を追加する際にテナント ドメインの検証を行わないようにするには、移行ポリシーの カスタム機能 セクションに IsCheckAdminUrl=false 文字列を追加することができます。

      • ClientId – PnP PowerShell For Grant Full Control アプリのクライアント ID を入力します。

      • Tenant – テナントの ID を入力します。

  11. Windows PowerShell を開き、Windows PowerShell ウィンドウでコマンド . "file path" を入力します。

    解凍されたフォルダー内の GrantFullControlForOneDriveUser.ps1 ファイルの完全パスで file path を置き換え、キーボードの Enter キーを押します。

    GrantFullControlForOneDriveUser.ps1 ファイルの完全なパス

  12. カスタム アプリの証明書キーを入力し、キーボードの Enter を押します。

  13. PnP PowerShell For Grant Full Control アプリの証明書のパスワードを入力し、キーボードの Enter キーを押します。

Google ドライブへの移行

OneDrive サイトを Google ドライブに移行するには、Azure カスタム アプリに以下の API 権限を追加します。

APIアクセス許可タイプ目的
Microsoft GraphRoleManagement.Read.Directory
(Read all directory RBAC settings)
アプリケーションMicrosoft グローバル グループを取得し、サービス アカウントの必要なロールを確認します。
Microsoft GraphFiles.Read.All
(Read files in all site collections)
アプリケーションユーザーの OneDrive サイト URL を取得します。
Microsoft GraphUser.Read.All
(Read all users’ full profiles)
アプリケーションユーザー マッピング用の Microsoft 365 ユーザーを取得し、ユーザーの OneDrive サイト URLを取得します。
Microsoft GraphSites.Read.All
(Read items in all site collections)
アプリケーションテナント検出を実行する場合にのみ必要です。
Microsoft GraphReportSettings.Read.All
(Read all admin report settings)
アプリケーションテナント検出を実行する場合にのみ必要です。
Microsoft GraphReports.Read.All
(Read all usage reports)
アプリケーションテナント検出を実行する場合にのみ必要です。
Microsoft GraphGroup.Read.All
(Read all groups)
アプリケーションMicrosoft 365 グループの詳細を取得します。
Microsoft Information Protection Sync ServiceUnifiedPolicy.Tenant.Read
(Read all unified policies of the tenant)
アプリケーションファイルの秘密度ラベルを管理する場合にのみ必要です。
Azure Rights Management サービス
21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
Content.SuperUser
(Read all protected content for this tenant)
アプリケーションファイルの秘密度ラベルを管理する場合にのみ必要です。
SharePoint/Office 365 SharePoint OnlineSites.FullControl.All
(Have full control of all site collections)
アプリケーションOneDrive サイトの設定および権限を取得します。
SharePoint/Office 365 SharePoint OnlineUser.Read.All
(Read user profiles)
アプリケーションSharePoint ユーザー プロファイル サービスを取得します。

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [
        {
            "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
            "resourceAccess": [
                {
                    "id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",
                    "type": "Role"
                }
            ]
        },
        {
            "resourceAppId": "00000003-0000-0000-c000-000000000000",
            "resourceAccess": [
                {
                    "id": "01d4889c-1287-42c6-ac1f-5d1e02578ef6",
                    "type": "Role"
                },
                {
                    "id": "5b567255-7703-4780-807c-7be8301ae99b",
                    "type": "Role"
                },
                {
                    "id": "230c1aed-a721-4c5d-9cb4-a90514e508ef",
                    "type": "Role"
                },
                {
                    "id": "ee353f83-55ef-4b78-82da-555bfa2b4b95",
                    "type": "Role"
                },
                {
                    "id": "483bed4a-2ad3-4361-a73b-c83ccdbdc53c",
                    "type": "Role"
                },
                {
                    "id": "332a536c-c7ef-4017-ab91-336970924f0d",
                    "type": "Role"
                },
                {
                    "id": "df021288-bdef-4463-88db-98f22de89214",
                    "type": "Role"
                }
            ]
        },
        {
            "resourceAppId": "00000012-0000-0000-c000-000000000000",
            "resourceAccess": [
                {
                    "id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",
                    "type": "Role"
                }
            ]
        },
        {
            "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
            "resourceAccess": [
                {
                    "id": "678536fe-1083-478a-9c59-b99265e6b0d3",
                    "type": "Role"
                },
                {
                    "id": "df021288-bdef-4463-88db-98f22de89214",
                    "type": "Role"
                }
            ]
        }
    ],

サービス アカウント権限

Microsoft 365 テナントに AvePoint Online Services を接続するには、テナントの所有者およびサービス管理者は Microsoft 365 に対して サービス アカウント プロファイルの作成 を実行することもできます。

NOTE

多要素認証 (MFA) が有効なユーザーは、移行を実行するためのサービス アカウントとして使用することはできません。その代わりに、委任アプリ プロファイルを使用することができます。

移行先にアプリ プロファイル認証とサービス アカウント認証の両方を使用する場合、サービス アカウントに必要な権限要件がありません。

移行元にサービス アカウント認証のみを使用している場合、サービス アカウントは以下の要件を満たす必要があります。

  • サイト コレクションの管理者である

    NOTE

    サービス アカウントが サイト コレクション管理者 ではなく、SharePoint 管理者 または グローバル管理者 ロールを持っていることが検出された場合、サービス アカウントはサイト コレクションの サイト コレクション管理者 として自動追加されます。

  • 以下の場合に、SharePoint 管理者 も必要です。

    • AvePoint Online Services で OneDrive をスキャンするスキャン プロファイルを使用するには、サービス アカウントが SharePoint 管理者 である必要があります

    • (移行先が OneDrive の場合のみ必要)。移行中に移行先で新しい OneDrive サイトを作成するには、移行先サービス アカウントが SharePoint 管理者 である必要があります。

      NOTE

      SharePoint 管理者 が SharePoint 管理センターにアクセスできない場合、グローバル管理者 が必要です。

  • 移行中にファイル の秘密度ラベルを管理するには、移行元サービス アカウントが スーパー ユーザー ロールを持っている必要があります。詳細については、スーパー ユーザーとしてサービス アカウントの割り当て を参照してください。

  • サービス アカウント プールは移行で利用できなくなりました。以前移行元または移行先の OneDrive にサービス アカウント プールを使用したことがあり、そのサービス アカウント プールを引き続き使用したい場合、OneDrive 接続を作成する際に複数のサービス アカウントを選択し、選択したすべてのサービス アカウントが上記のロールが割り当てられていることを確認してください。

委任アプリ プロファイル権限

Fly 委任アプリ プロファイルまたはカスタムの委任アプリ プロファイルを使用してワークスペースに接続することができます。

NOTE

委任アプリ プロファイルの同意ユーザーの多要素認証 (MFA) が有効になっている場合、MFA の有効化後に委任アプリ プロファイルを承認または再承認する必要があります。MFA の有効化後にアプリ プロファイルを承認または再承認しないと、委任アプリ プロファイルを使用している移行ジョブは失敗します。

必要な権限を持っているカスタム委任アプリ プロファイルを使用するには、Fly 委任アプリ プロファイルの権限 セクションを参照してください。

必要な権限を持っているカスタムの委任アプリ プロファイルを使用するには、以下の説明を参照してください。

  1. Microsoft Entra ID でアプリを登録した後、以下の表内の権限をアプリに追加します。

  2. 移行先が OneDrive の場合、カスタム委任アプリ プロファイルには以下の権限が付与されていることを確認してください。

    APIアクセス許可タイプ目的
    Microsoft GraphRoleManagement.Read.Directory
    (Read directory RBAC settings)
    委任済みMicrosoft グローバル グループを取得し、サービス アカウントの必要なロールを確認します。
    Microsoft GraphUser.Read.All
    (Read all users’ full profiles)
    委任済み
    ユーザー マッピング用の Microsoft 365 ユーザーを取得し、ユーザーの OneDrive サイト URLを取得します。
    Microsoft GraphFiles.Read.All
    (Read files in all site collections)
    委任済みユーザーの OneDrive サイト URL を取得します。
    Microsoft GraphGroup.Read.All
    (Read all groups)
    委任済み
    Microsoft 365 グループの詳細を取得します。
    Microsoft Information Protection Sync ServiceUnifiedPolicy.User.Read
    (Read all unified policies of the tenant)
    委任済み
    ファイルの秘密度ラベルを管理する場合にのみ必要です。
    Azure Rights Management サービス
    21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
    user_impersonation
    (Create and access protected content for users)
    委任済み
    ファイルの秘密度ラベルを管理する場合にのみ必要です。
    SharePoint/Office 365 SharePoint OnlineAllSites.FullControl
    (Have full control of all site collections)
    委任済み
    OneDrive サイトを取得します。
    SharePoint/Office 365 SharePoint OnlineUser.Read.All
    (Read user profiles)
    委任済みOneDrive サイトを取得します。

    簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

    "requiredResourceAccess": [
             {
                 "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
                 "resourceAccess": [
                     {
                         "id": "56680e0d-d2a3-4ae1-80d8-3c4f2100e3d0",
                         "type": "Scope"
                     },
                     {
                         "id": "0cea5a30-f6f8-42b5-87a0-84cc26822e02",
                         "type": "Scope"
                     }
                 ]
             },
             {
                 "resourceAppId": "00000012-0000-0000-c000-000000000000",
                 "resourceAccess": [
                     {
                         "id": "c9c9a04d-3b66-4ca8-a00c-fca953e2afd3",
                         "type": "Scope"
                     }
                 ]
             },
             {
                 "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
                 "resourceAccess": [
                     {
                         "id": "34f7024b-1bed-402f-9664-f5316a1e1b4a",
                         "type": "Scope"
                     }
                 ]
             },
             {
                 "resourceAppId": "00000003-0000-0000-c000-000000000000",
                 "resourceAccess": [
                     {
                         "id": "df85f4d6-205c-4ac5-a5ea-6bf408dba283",
                         "type": "Scope"
                     },
                     {
                         "id": "5f8c59db-677d-491f-a6b8-5f174b11ec1d",
                         "type": "Scope"
                     },
                     {
                         "id": "741c54c3-0c1e-44a1-818b-3f97ab4e8c83",
                         "type": "Scope"
                     },
                     {
                         "id": "a154be20-db9c-4678-8ab7-66f6cc099a59",
                         "type": "Scope"
                     }
                 ]
             }
     ],

    移行先が Google ドライブの場合、カスタム委任アプリ プロファイルには以下の権限が付与されていることを確認してください。

    APIアクセス許可タイプ目的
    Microsoft GraphRoleManagement.Read.Directory
    (Read directory RBAC settings)
    委任済みMicrosoft グローバル グループを取得し、サービス アカウントの必要なロールを確認します。
    Microsoft GraphUser.Read.All
    (Read all users’ full profiles)
    委任済み
    ユーザー マッピング用の Microsoft 365 ユーザーを取得し、ユーザーの OneDrive サイト URLを取得します。
    Microsoft GraphFiles.Read.All
    (Read files in all site collections)
    委任済みユーザーの OneDrive サイト URL を取得します。
    Microsoft GraphGroup.Read.All
    (Read all groups)
    委任済み
    Microsoft 365 グループの詳細を取得します。
    Microsoft Information Protection Sync ServiceUnifiedPolicy.User.Read
    (Read all unified policies of the tenant)
    委任済み
    ファイルの秘密度ラベルを管理する場合にのみ必要です。
    Azure Rights Management サービス
    21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
    user_impersonation
    (Create and access protected content for users)
    委任済み
    ファイルの秘密度ラベルを管理する場合にのみ必要です。
    SharePoint/Office 365 SharePoint OnlineAllSites.FullControl
    (Have full control of all site collections)
    委任済み
    OneDrive サイトを取得します。
    SharePoint/Office 365 SharePoint OnlineUser.Read.All
    (Read user profiles)
    委任済みOneDrive サイトを取得します。

    簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

    "requiredResourceAccess": [
             {
                 "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
                 "resourceAccess": [
                     {
                         "id": "56680e0d-d2a3-4ae1-80d8-3c4f2100e3d0",
                         "type": "Scope"
                     },
                     {
                         "id": "0cea5a30-f6f8-42b5-87a0-84cc26822e02",
                         "type": "Scope"
                     }
                 ]
             },
             {
                 "resourceAppId": "00000012-0000-0000-c000-000000000000",
                 "resourceAccess": [
                     {
                         "id": "c9c9a04d-3b66-4ca8-a00c-fca953e2afd3",
                         "type": "Scope"
                     }
                 ]
             },
             {
                 "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
                 "resourceAccess": [
                     {
                         "id": "34f7024b-1bed-402f-9664-f5316a1e1b4a",
                         "type": "Scope"
                     }
                 ]
             },
             {
                 "resourceAppId": "00000003-0000-0000-c000-000000000000",
                 "resourceAccess": [
                     {
                         "id": "df85f4d6-205c-4ac5-a5ea-6bf408dba283",
                         "type": "Scope"
                     },
                     {
                         "id": "5f8c59db-677d-491f-a6b8-5f174b11ec1d",
                         "type": "Scope"
                     },
                     {
                         "id": "741c54c3-0c1e-44a1-818b-3f97ab4e8c83",
                         "type": "Scope"
                     },
                     {
                         "id": "a154be20-db9c-4678-8ab7-66f6cc099a59",
                         "type": "Scope"
                     }
                 ]
             }
         ],
  3. アプリの画面の左側の [認証] をクリックします。

  4. [プラットフォームを追加] をクリックします。

  5. プラットフォームの構成 パネルで Web を選択します。

  6. Web の構成 パネルで、リダイレクト URI フィールドに AvePoint Online Services URL (https://www.avepointonlineservices.com) を入力します。

    Web 構成パネル

  7. [構成] をクリックします。

  8. 認証 ページで アクセス トークン および ID トークン チェックボックスを選択します。

    アクセス トークンと ID トークンのチェックボックス

  9. [保存] をクリックします。

  10. AvePoint Online Services で モダン モード を使用してアプリ用のアプリ プロファイルを作成するには、委任されたアクセス許可を持つカスタム Azure アプリへの同意 を参照してください。

    NOTE

    アプリに同意する際に、アプリに管理者の同意権限を付与し、パブリック クライアント フローを許可している場合、グローバル管理者の同意 または ユーザーの同意 方法を選択することができます。そうしない場合、グローバル管理者の同意 方法のみを使用できます。