移行元 Power Platform における権限

移行元環境からデータをエクスポートするには、認証方法としてサービス アカウントとアプリ プロファイルの組み合わせ、またはアプリ プロファイルのみを使用することを選択できます。

  • サービス アカウントは、移行元環境への接続に使用されます。

  • アプリ プロファイルは、移行元パラメーターを対応する移行先パラメーターに自動マッピングするために使用されます。自動追加の権限を持つ既定のアプリを使用するか、より少ない権限を持つカスタム委任アプリを使用することができます。

NOTE

テナントで条件付きアクセス ポリシーが有効になっている場合、またはサービス アカウントの多要素認証 (MFA) が有効になっている場合、認証に Power Platform 用の Fly アプリのみまたはカスタム委任アプリ プロファイルのみを使用するように変更し、MFA が有効なユーザーでアプリに同意することができます。

認証方法によって必要な権限については、以下のセクションを参照してください。

Power Platform 用の Fly アプリ権限 (既定のアプリ)

テナント所有者およびサービス管理者は、AvePoint Online Services で Power Platform 用の既定のアプリ プロファイルを作成することができます。

Power Platform 用の既定のアプリ プロファイルを作成するには、以下の説明を参照してください。

  1. アプリ管理 ページで [作成] をクリックします。

  2. アプリ プロファイルの作成 ページで、アプリ プロファイルの作成先となる Microsoft 365 テナントを選択します。

    NOTE

    選択したテナントが AvePoint Online Services に接続されていることを確認してください。

  3. [Fly] をクリックして、[次へ] をクリックします。

  4. [モダン モード] をクリックします。

  5. Fly for Power Platform[同意] をクリックします。

  6. Microsoft 365 のサインイン ページで、Microsoft 365 グローバル管理者アカウントでサインインしてアプリに同意します。Microsoft 365 グローバル管理者アカウントは Microsoft からの要件です。詳細については、Microsoft 記事 を参照してください。

  7. 特権ロール管理者アカウントを使用してアプリに同意することもできますが、そのアカウントは Power Platform** 管理者** ロールを持っている必要があります。アプリに管理者ロールを割り当てる方法については、Exchange 管理者ロールのアプリへの割り当て方法 を参照してください。その手順に従う際に、Exchange 管理者 の代わりに Power Platform 管理者 ロールを選択してください。

    要求されているアクセス許可 ページで、AvePoint Online Services および Fly の機能が正常に機能することを確認するには、Fly の使用に必要な権限を確認し、[承諾] をクリックして承諾します。(必須権限は以下の表に一覧表示されます。)

  8. [完了] をクリックしてアプリを作成します。

    NOTE

    特権ロール管理者アカウントを使用してアプリに同意する場合、アプリを再承認する際に ユーザーの同意 方法を使用できません。エンド ユーザー アカウントを使用してアプリを再承認するには、アプリを作成する際にアプリへの同意にグローバル管理者アカウントを使用してください。

    アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

Power Platform 移行で必要な既定アプリの API 権限については、以下の表を参照してください。

APIアクセス許可タイプ目的
SharePoint/Office 365 SharePoint OnlineSites.Read.All
(Read items in all site collections)
アプリケーション移行元トリガー パラメーターを取得します。
Microsoft GraphTeamSettings.Read.All
(Read all teams’ settings)
アプリケーションチーム設定を取得します。
Microsoft GraphTeamworkTag.Read.All
(Read tags in Teams)
アプリケーションチーム タグを取得します。
(テナントが Microsoft 365 Government High 環境である場合は、この環境でチーム タグがサポートされていないため、このステップを無視することができます。)
Microsoft GraphChannelSettings.Read.All
(Read the names, descriptions, and settings of all channels)
アプリケーションチャネル設定を取得します。
Microsoft GraphSites.Read.All
(Read items in all site collections)
アプリケーションSharePoint サイトおよびリストの情報を取得します。
Microsoft GraphGroup.Read.All
(Read all groups)
アプリケーショングループ情報を取得します。
Microsoft GraphContacts.Read
(Read contacts in all mailboxes)
アプリケーションユーザーの連絡先フォルダー情報を取得します。
Microsoft GraphMail.Read
(Read mail in all mailboxes)
アプリケーションユーザーのメール フォルダー情報を取得します。
Microsoft GraphCalendars.Read
(Read calendars in all mailboxes)
アプリケーションユーザーのカレンダー情報を取得します。
Microsoft GraphDirectory.Read.Allアプリケーション組織の Microsoft Entra データを取得します。
この権限を使用してユーザー リスト (ユーザー ID + UPN) を取得し、アプリおよびフロー内のユーザー情報を検索します。
Microsoft GraphPlace.Read.All
(Read all company places)
アプリケーション会議室リスト パラメーターを取得します。
商用環境: PowerApps Service
GCC environment: PowerApps Service – GCC
GCC High environment: Remove
User
(Access the PowerApps Service API)
委任済みPower Platform 環境、アプリ、クラウド フローの情報を取得します。
Power AutomateFlows.Manage.All
(Allow the application to manage flows)
委任済みフローを取得して管理します。
Dataverseuser_impersonation
(Access Common Data Service as organization users)
委任済みPower Automate デスクトップ フローおよびビジネス プロセス フローの情報を取得します。
Microsoft FormsForms.Read.All
(View forms)
アプリケーションフォームをマッピングし、フォーム ID マッピングを生成します。

サービス アカウント権限

テナント所有者およびサービス管理者は、AvePoint Online Services で サービス アカウント プロファイルを作成 することができます。

NOTE

多要素認証 (MFA) が有効なユーザーは、移行を実行するためのサービス アカウントとして使用することはできません。

サービス アカウントは以下の要件を満たすことを確認してください。

  • Microsoft Power Apps または Microsoft Power Automate のライセンスを持っている

    サービス アカウントにライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Power Apps for Office 365 および Power Automate for Office 365 を選択します。

  • 対応する環境のシステム管理者である

    サービス アカウントに システム管理者 ロールを追加するには、以下の手順を完了してください。

    1. Microsoft 365 管理センター > すべての管理センター に移動します。

    2. Dynamics 365 アプリ をクリックして Power Platform 管理センターにアクセスします。

    3. 環境 タブで、対象環境を選択して、リボンで [設定] をクリックします。

      NOTE

      環境に Dataverse が追加されていない場合、設定 アクションは利用できません。Dataverse が追加されていることを確認してください。

    4. [ユーザーとアクセス許可] セクションをクリックして、[ユーザー] をクリックします。

    5. サービス アカウントをクリックして、[セキュリティ ロールの管理] をクリックして システム管理者 を選択します。

カスタム委任アプリ プロファイル権限

Fly はカスタム委任アプリ プロファイルを使用して移行元に接続することができます。

NOTE

委任アプリ プロファイルの同意ユーザーの多要素認証 (MFA) が有効になっている場合、MFA の有効化後に委任アプリ プロファイルを承認または再承認する必要があります。MFA の有効化後にアプリ プロファイルを承認または再承認しないと、委任アプリ プロファイルを使用している移行ジョブは失敗します。アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

必要な権限を持っているカスタムの委任アプリ プロファイルを使用するには、以下の説明を参照してください。

  1. Microsoft Entra ID でアプリを登録した後、アプリに必要な権限を追加します。以下のセクションには、カスタム アプリの必要な権限が表示されます。

    APIアクセス許可タイプ目的
    SharePoint/Office 365 SharePoint OnlineSites.Read.All
    (Read items in all site collections)
    アプリケーション移行元トリガー パラメーターを取得します。
    Microsoft GraphTeamSettings.Read.All
    (Read all teams’ settings)
    アプリケーションチーム設定を取得します。
    Microsoft GraphTeamworkTag.Read.All
    (Read tags in Teams)
    アプリケーションチーム タグを取得します。
    (テナントが Microsoft 365 Government High 環境である場合は、この環境でチーム タグがサポートされていないため、このステップを無視することができます。)
    Microsoft GraphChannelSettings.Read.All
    (Read the names, descriptions, and settings of all channels)
    アプリケーションチャネル設定を取得します。
    Microsoft GraphSites.Read.All
    (Read items in all site collections)
    アプリケーションSharePoint サイトおよびリストの情報を取得します。
    Microsoft GraphGroup.Read.All
    (Read all groups)
    アプリケーショングループ情報を取得します。
    Microsoft GraphContacts.Read
    (Read contacts in all mailboxes)
    アプリケーションユーザーの連絡先フォルダー情報を取得します。
    Microsoft GraphMail.Read
    (Read mail in all mailboxes)
    アプリケーションユーザーのメール フォルダー情報を取得します。
    Microsoft GraphCalendars.Read
    (Read calendars in all mailboxes)
    アプリケーションユーザーのカレンダー情報を取得します。
    Microsoft GraphDirectory.Read.Allアプリケーション組織の Microsoft Entra データを取得します。
    この権限を使用してユーザー リスト (ユーザー ID + UPN) を取得し、アプリおよびフロー内のユーザー情報を検索します。
    Microsoft GraphPlace.Read.All
    (Read all company places)
    アプリケーション会議室リスト パラメーターを取得します。
    Microsoft GraphUser.Read委任済みAOS への承認
    PowerApps サービスUser
    (Access the PowerApps Service API)
    委任済みPower Platform 環境、アプリ、クラウド フローの情報を取得します。
    Power AutomateFlows.Manage.All
    (Allow the application to manage flows)
    委任済みフローを取得して管理します。
    Dataverseuser_impersonation
    (Access Common Data Service as organization users)
    委任済みPower Automate デスクトップ フローおよびビジネス プロセス フローの情報を取得します。
    Microsoft FormsForms.Read.All
    (View forms)
    アプリケーションフォームをマッピングし、フォーム ID マッピングを生成します。

    簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

    "requiredResourceAccess": [
     		{
     			"resourceAppId": "c9a559d2-7aab-4f13-a6ed-e7e9c52aec87",
     			"resourceAccess": [
     				{
     					"id": "5dadf886-6063-4169-a7a7-88a2a9f8f7cd",
     					"type": "Role"
     				}
     			]
     		},
     		{
     			"resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
     			"resourceAccess": [
     				{
     					"id": "d13f72ca-a275-4b96-b789-48ebcc4da984",
     					"type": "Role"
     				}
     			]
     		},
     		{
     			"resourceAppId": "7df0a125-d3be-4c96-aa54-591f83ff541c",
     			"resourceAccess": [
     				{
     					"id": "30b2d850-00c3-4802-b7ae-ece9af9de5c6",
     					"type": "Scope"
     				}
     			]
     		},
     		{
     			"resourceAppId": "00000007-0000-0000-c000-000000000000",
     			"resourceAccess": [
     				{
     					"id": "78ce3f0f-a1ce-49c2-8cde-64b5c0896db4",
     					"type": "Scope"
     				}
     			]
     		},
     		{
     			"resourceAppId": "475226c6-020e-4fb2-8a90-7a972cbfc1d4",
     			"resourceAccess": [
     				{
     					"id": "0eb56b90-a7b5-43b5-9402-8137a8083e90",
     					"type": "Scope"
     				}
     			]
     		},
     		{
     			"resourceAppId": "00000003-0000-0000-c000-000000000000",
     			"resourceAccess": [
     				{
     					"id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
     					"type": "Scope"
     				},
     				{
     					"id": "798ee544-9d2d-430c-a058-570e29e34338",
     					"type": "Role"
     				},
     				{
     					"id": "c97b873f-f59f-49aa-8a0e-52b32d762124",
     					"type": "Role"
     				},
     				{
     					"id": "089fe4d0-434a-44c5-8827-41ba8a0b17f5",
     					"type": "Role"
     				},
     				{
     					"id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61",
     					"type": "Role"
     				},
     				{
     					"id": "5b567255-7703-4780-807c-7be8301ae99b",
     					"type": "Role"
     				},
     				{
     					"id": "810c84a8-4a9e-49e6-bf7d-12d183f40d01",
     					"type": "Role"
     				},
     				{
     					"id": "913b9306-0ce1-42b8-9137-6a7df690a760",
     					"type": "Role"
     				},
     				{
     					"id": "332a536c-c7ef-4017-ab91-336970924f0d",
     					"type": "Role"
     				},
     				{
     					"id": "242607bd-1d2c-432c-82eb-bdb27baa23ab",
     					"type": "Role"
     				},
     				{
     					"id": "b74fd6c4-4bde-488e-9695-eeb100e4907f",
     					"type": "Role"
     				}
     			]
     		}
     	],
  2. アプリの画面の左側の [認証] をクリックします。

  3. [プラットフォームを追加] をクリックします。

  4. プラットフォームの構成 パネルで Web を選択します。

  5. Web の構成 パネルで、リダイレクト URI フィールドに AvePoint Online Services URL (https://www.avepointonlineservices.com) を入力します。

    Web 構成パネル

  6. [構成] をクリックします。

  7. 認証 ページで アクセス トークン および ID トークン チェックボックスを選択します。

    アクセス トークンと ID トークンのチェックボックス

  8. [保存] をクリックします。

  9. AvePoint Online Services で モダン モード を使用してアプリ用のアプリ プロファイルを作成するには、委任されたアクセス許可を持つカスタム Azure アプリへの同意 を参照してください。

    NOTE

    アプリに同意する際に、アプリに管理者の同意権限を付与し、パブリック クライアント フローを許可している場合、グローバル管理者の同意 または ユーザーの同意 方法を選択することができます。そうしない場合、グローバル管理者の同意 方法のみを使用できます。