移行先 SharePoint Online における権限

移行先に接続するには、認証方法として、サービス アカウント / 委任アプリ プロファイル・Fly アプリ プロファイル・カスタム アプリ プロファイルのいずれかの使用を選択することができます。サービス アカウン / 委任アプリ プロファイルと Fly アプリ プロファイルの組み合わせ、またはサービス アカウント / 委任アプリ プロファイルとカスタム アプリ プロファイルの組み合わせを使用することもできます。

認証方法によって必要な権限については、以下のセクションを参照してください。

Fly アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 で Fly アプリ プロファイルを作成して、Fly アプリを使用している Microsoft 365 テナントに接続することができます。

Fly アプリ プロファイルの作成方法および必須権限については、Fly アプリ プロファイル権限 を参照してください。

SharePoint Online 移行でリストの Power Apps アプリを移行するには、Power Platform 用のアプリ プロファイルが必要です。必要な権限については、移行先 Power Platform における権限Power Platform 用の Fly アプリ権限 (既定のアプリ) セクションを参照してください。

カスタム アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 でカスタム アプリ プロファイルを作成して、カスタム Azure アプリを使用している Microsoft 365 テナントに接続することができます。

カスタム アプリ プロファイルを作成するには、以下の説明を参照してください。

  1. Microsoft Entra ID で証明書を準備します。詳細については、カスタム Azure アプリ用の証明書の準備 を参照してください。

    証明書がある場合、このステップを無視することができます。

  2. Microsoft Entra IDでカスタム Azure アプリを作成します。詳細については、カスタム Azure アプリの作成 を参照してください。

    移行先が Multi-Geo テナントであり、移行先 Microsoft 365 グループが定義済み場所で作成される必要がある場合、カスタム Azure アプリに SharePoint 管理者 ロールを割り当てる必要があります。詳細については、以下の SharePoint 管理者ロールのアプリへの割り当て方法 セクションを参照してください。

  3. テナントを AvePoint Online Services に接続 します。

  4. AvePoint Online Services で カスタム Azure アプリ用アプリ プロファイルを作成 します。

NOTE

アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

以下の表の内容に従って、カスタム Azure アプリに SharePoint Online 移行に必要な API アクセス許可を追加してください。

APIアクセス許可タイプ目的
Microsoft GraphUser.Read.All
(Read user profiles)
アプリケーションMicrosoft 365 ユーザーを取得して移行します。
Microsoft GraphRoleManagement.Read.Directory
(Read all directory RBAC settings)
アプリケーションMicrosoft グローバル グループを取得し、サービス アカウントの必要なロールを確認します。
Microsoft GraphFiles.Read.All
(Read files in all site collections)
アプリケーション移行先チーム サイトのチャネル フォルダーを取得します。
Microsoft GraphDirectory.ReadWrite.All
(Read and write directory data)
アプリケーションMulti-Geo テナントで Microsoft 365 グループに関連するサイト コレクションを作成する場合にのみ必要です。
Microsoft GraphGroup.ReadWrite.All
(Read and write all groups)
アプリケーションMicrosoft 365 グループおよびグループ メンバーを取得して移行します。
SharePoint Online 移行を実行する際に、以下の場合にこの権限が必要です。
● Microsoft 365 グループに関連する移行元チーム サイトを移行する際に、Microsoft 365 グループを作成してグループ メンバーを追加します。
● Microsoft 365 グループなしのチーム サイトを Microsoft 365 グループに関連するチーム サイトに移行する際に、移行元 SharePoint グループ (所有者 / メンバー / 閲覧者) を移行先 Microsoft 365 グループにマッピングして、ユーザーをグループの所有者またはメンバーとして追加します。Microsoft 365 グループ移行を使用してチーム サイトが属する Microsoft 365 グループを移行する場合、この権限を削除することができます。
Microsoft GraphSites.Create.AllアプリケーションSharePoint サイトを作成します。
Microsoft Information Protection Sync ServiceUnifiedPolicy.Tenant.Read
(Read all unified policies of the tenant)
アプリケーションファイル / サイトの秘密度ラベルを管理する場合にのみ必要です。
Azure Rights Management サービス
21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
Content.DelegatedWriter
(Create protected content on behalf of a user)
アプリケーション
ファイル / サイトの秘密度ラベルを管理する場合にのみ必要です。
Azure Rights Management サービス
21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
Content.Writer
(Create protected content)
アプリケーション
ファイル / サイトの秘密度ラベルを管理する場合にのみ必要です。
SharePoint/Office 365 SharePoint Online
Sites.FullControl.All
(Have full control of all site collections)
アプリケーションSharePoint Online サイト コレクションの設定および権限を取得します。
SharePoint/Office 365 SharePoint Online
TermStore.ReadWrite.All
(Read and write managed metadata)
アプリケーション宛先Managed Metadata Service を取得して移行します。
*注意: 用語グループ / 用語セット / 用語が同じ名前を持っており、かつ移行元のレベル (グローバルまたはローカル レベル) と同じである用語グループ / 用語セット / 用語が移行先に存在する場合、この権限を TermStore.Read.All に変更することができます。

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [
		{
			"resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
			"resourceAccess": [
				{
					"id": "678536fe-1083-478a-9c59-b99265e6b0d3",
					"type": "Role"
				},
				{
					"id": "c8e3537c-ec53-43b9-bed3-b2bd3617ae97",
					"type": "Role"
				}
			]
		},
		{
			"resourceAppId": "00000012-0000-0000-c000-000000000000",
			"resourceAccess": [
				{
					"id": "006e763d-a822-41fc-8df5-8d3d7fe20022",
					"type": "Role"
				},
				{
					"id": "d13f921c-7f21-4c08-bade-db9d048bd0da",
					"type": "Role"
				}
			]
		},
		{
			"resourceAppId": "00000003-0000-0000-c000-000000000000",
			"resourceAccess": [
				{
					"id": "19dbc75e-c2e2-444c-a770-ec69d8559fc7",
					"type": "Role"
				},
				{
					"id": "01d4889c-1287-42c6-ac1f-5d1e02578ef6",
					"type": "Role"
				},
				{
					"id": "62a82d76-70ea-41e2-9197-370581804d09",
					"type": "Role"
				},
				{
					"id": "483bed4a-2ad3-4361-a73b-c83ccdbdc53c",
					"type": "Role"
				},
				{
					"id": "80819dd8-2b3b-4551-a1ad-2700fc44f533",
					"type": "Role"
				},          
				{
					"id": "df021288-bdef-4463-88db-98f22de89214",
					"type": "Role"
				}
			]
		},
		{
			"resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
			"resourceAccess": [
				{
					"id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",
					"type": "Role"
				}
			]
		}
	],

上記に一覧表示している権限は、テナント内のすべてのサイト コレクションを移行するために必要です。特定のサイト コレクションのみを移行する場合、異なる権限設定が構成されている別のカスタム アプリの使用に変更してください。詳細については、以下の説明を参照してください。

  1. 以下の権限を、使用するアプリに追加します。

    APIアクセス許可タイプ目的
    Microsoft GraphUser.Read.All
    (Read user profiles)
    アプリケーションMicrosoft 365 ユーザーを取得して移行します。
    Microsoft GraphFiles.Read.All
    (Read files in all site collections)
    アプリケーション移行先チーム サイトのチャネル フォルダーを取得します。
    Microsoft GraphRoleManagement.Read.Directory
    (Read all directory RBAC settings)
    アプリケーションMicrosoft グローバル グループを取得し、サービス アカウントの必要なロールを確認します。
    Microsoft GraphSites.Selected
    (Access selected site collections)
    アプリケーション指定したサイト コレクションのデータを取得して移行します。
    Microsoft GraphGroup.ReadWrite.All
    (Read and write all groups)
    アプリケーションMicrosoft 365 グループおよびグループ メンバーを取得して移行します。
    *注意:
    SharePoint Online 移行を実行する際に、以下の場合にこの権限が必要です。Note● Microsoft 365 グループに関連する移行元チーム サイトを移行する際に、Microsoft 365 グループを作成してグループ メンバーを追加します。
    ● Microsoft 365 グループなしのチーム サイトを Microsoft 365 グループに関連するチーム サイトに移行する際に、移行元 SharePoint グループ (所有者 / メンバー / 閲覧者) を移行先 Microsoft 365 グループにマッピングして、ユーザーをグループの所有者またはメンバーとして追加します。Microsoft 365 グループ移行を使用してチーム サイトが属する Microsoft 365 グループを移行する場合、この権限を削除することができます。
    Microsoft GraphSites.Create.AllアプリケーションSharePoint サイトを作成します。
    Microsoft Information Protection Sync ServiceUnifiedPolicy.Tenant.Read
    (Read all unified policies of the tenant.)
    アプリケーションファイル / サイトの秘密度ラベルを管理する場合にのみ必要です。
    Azure Rights Management サービス
    21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
    Content.DelegatedWriter
    (Create protected content on behalf of a user)
    アプリケーション
    ファイル / サイトの秘密度ラベルを管理する場合にのみ必要です。
    Azure Rights Management サービス
    21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
    Content.Writer
    (Create protected content)
    アプリケーション
    ファイル / サイトの秘密度ラベルを管理する場合にのみ必要です。
    SharePoint/Office 365 SharePoint Online
    Sites.Selected
    (Access selected site collections)
    アプリケーション指定したサイト コレクションのデータを取得して移行します。
    SharePoint/Office 365 SharePoint Online
    TermStore.ReadWrite.All
    (Read and write managed metadata)
    アプリケーションManaged Metadata Service を取得して移行します。用語グループ / 用語セット / 用語が同じ名前を持っており、かつ移行元のレベル (グローバルまたはローカル レベル) と同じである用語グループ / 用語セット / 用語が移行先に存在する場合、この権限を TermStore.Read.All に変更することができます。

    簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

    "requiredResourceAccess": [
             {
                 "resourceAppId": "00000003-0000-0000-c000-000000000000",
                 "resourceAccess": [
                     {
                         "id": "01d4889c-1287-42c6-ac1f-5d1e02578ef6",
                         "type": "Role"
                     },
                     {
                         "id": "62a82d76-70ea-41e2-9197-370581804d09",
                         "type": "Role"
                     },
                     {
                         "id": "483bed4a-2ad3-4361-a73b-c83ccdbdc53c",
                         "type": "Role"
                     },
                     {
                         "id": "883ea226-0bf2-4a8f-9f9d-92c9162a727d",
                         "type": "Role"
                     },
                     {
                         "id": "80819dd8-2b3b-4551-a1ad-2700fc44f533",
                         "type": "Role"
                     }
                     {
                         "id": "df021288-bdef-4463-88db-98f22de89214",
                         "type": "Role"
                     }
                 ]
             },
             {
                 "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
                 "resourceAccess": [
                     {
                         "id": "c8e3537c-ec53-43b9-bed3-b2bd3617ae97",
                         "type": "Role"
                     },
                     {
                         "id": "20d37865-089c-4dee-8c41-6967602d4ac8",
                         "type": "Role"
                     }
                 ]
             },
             {
                 "resourceAppId": "00000012-0000-0000-c000-000000000000",
                 "resourceAccess": [
                     {
                         "id": "006e763d-a822-41fc-8df5-8d3d7fe20022",
                         "type": "Role"
                     },
                     {
                         "id": "d13f921c-7f21-4c08-bade-db9d048bd0da",
                         "type": "Role"
                     }
                 ]
             },
             {
                 "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
                 "resourceAccess": [
                     {
                         "id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",
                         "type": "Role"
                     }
                 ]
             }
         ],
  2. 環境に PnP PowerShellをインストール します。

  3. ストレージ場所 (英語) にアクセスして、RegisterAzureADAppForGrantFullControl.ps1GrantFullControlForSiteCollection.ps1SiteCollectionUrls.csv ファイルをネットワーク接続が構成されているマシンのカスタム フォルダーにダウンロードします。

  4. カスタム フォルダー内の RegisterAzureADAppForGrantFullControl.ps1 ファイルをメモ帳で開き、必要に応じて以下のパラメーターを構成します。その後、ファイルを保存します。

    • Tenant – テナントの名前です。例: mytenant.onmicrosoft.com

    • AzureEnvironment – 認証用の Azure 環境です。

    • ApplicationName – 作成する Azure AD アプリの名前です (必須ではありません)。既定では、名前は PnP PowerShell For Grant Full Control になります。

  5. Windows PowerShell を開き、Windows PowerShell ウィンドウでコマンド . "file path" を入力します。

    解凍されたフォルダー内の RegisterAzureADAppForGrantFullControl.ps1 ファイルの完全パスで file path を置き換え、キーボードの Enter キーを押します。

  6. アプリ証明書のパスワードを入力し、キーボードの Enter キーを押します。

  7. テナント内のユーザーでサインインし、アプリを作成します。

    NOTE

    Azure AD アプリを登録すると、要求されているアクセス許可 ページが表示されます。グローバル管理者アカウントでサインインし、[同意] をクリックしてアプリを登録します。

    以下のテーブルには、アプリの必要な権限が一覧表示されます。

    APIアクセス許可タイプ
    Microsoft GraphSites.FullControl.All
    (Have full control of all site collections)
    アプリケーション
    Microsoft GraphUser.Read.All
    (Read all users’ full profiles)
    アプリケーション
    SharePoint/Office 365 SharePoint OnlineSites.FullControl
    (Have full control of all site collections)
    アプリケーション
    SharePoint/Office 365 SharePoint OnlineUser.Read.All
    (Read user profiles)
    アプリケーション

    実行後、Azure AD アプリのクライアント ID およびアプリに生成された PFX 証明書のパスは Windows PowerShell ウィンドウに表示されます。これらの情報は GrantFullControlForSiteCollection.ps1 スクリプトを実行する際に使用されることに注意してください。

  8. スクリプトと同じディレクトリに Register Azure AD App_(TimeStamp).log ファイルが生成されます。このファイルで実行する詳細を表示することができます。

  9. カスタム フォルダーで SiteCollectionUrls.csv ファイルを開き、移行するサイト コレクションの URL を以下のように入力します。

    SiteCollectionUrls.csv ファイル

  10. カスタム フォルダーで、GrantFullControlForSiteCollection.ps1 ファイルをメモ帳で開きます。

  11. 必要な情報を使用して、以下のパラメーターを構成します。

    • $appId = ' ' –カスタム アプリのクライアント ID を入力します。

    • $appName = ' ' – カスタム アプリの表示名を入力します。

    • $AzureEnvironment = ' ' – 認証用の Azure 環境を入力します。

    • $certPath = 'PnP PowerShell For Grant Full Control AppCertificate Path(.pfx)' – 生成されたアプリ証明書の完全パスを入力します。

    • $connection = Connect-PnPOnline

      • Url – テナントの SharePoint 管理センター URL を入力します。

        NOTE

        カスタム アプリが SharePoint 管理センター URL へのアクセス権を持っていない可能性があります。Fly で接続を追加する際にテナント ドメインの検証を行わないようにするには、移行ポリシーの カスタム機能 セクションに IsCheckAdminUrl=false 文字列を追加することができます。

      • ClientId – PnP PowerShell For Grant Full Control アプリのクライアント ID を入力します。

      • Tenant – テナントの ID を入力します。

  12. Windows PowerShell を開き、Windows PowerShell ウィンドウでコマンド . "file path" を入力します。

    解凍されたフォルダー内の GrantFullControlForSiteCollection.ps1 ファイルの完全パスで file path を置き換え、キーボードの Enter キーを押します。

    GrantFullControlForSiteCollection.ps1 ファイルの完全なパス

  13. カスタム アプリの証明書キーを入力し、キーボードの Enter を押します。

  14. PnP PowerShell For Grant Full Control アプリの証明書のパスワードを入力し、キーボードの Enter キーを押します。

SharePoint 管理者ロールのアプリへの割り当て方法

SharePoint 管理者 ロールをアプリに割り当てるには、以下の説明を参照してください。

  1. Microsoft Entra 管理センター (または Azure ポータル) にログインして、Microsoft Entra ID に移動します。

  2. 左側の [ロールと管理者] をクリックして、[SharePoint 管理者] をクリックします。

    SharePoint 管理者である

  3. 割り当て ページで、[割り当ての追加] をクリックします。割り当ての追加 パネルが表示されます。

  4. 検索ボックスに、ロールの割り当て先となるアプリの名前を入力します。

    割り当ての追加 パネル

  5. アプリを選択して、[追加] をクリックしてロールを割り当てします。割り当てられたロールは 30 分間以内に反映されることに注意してください。

Microsoft インターフェイスが更新され、上記のスクリーンショットと異なることになった場合、以下のステップに従って、アプリに SharePoint 管理者 ロールを割り当ててください。

  1. Microsoft Entra 管理センター (または Azure ポータル) にログインして、Microsoft Entra ID に移動します。

  2. 左側の [ロールと管理者] をクリックして、[SharePoint 管理者] をクリックします。

  3. 割り当て ページで、[割り当ての追加] をクリックします。割り当ての追加 パネルが表示されます。

  4. メンバーの選択 セクションで [メンバーが選択されていない] をクリックします。メンバーの選択 パネルが表示され、検索ボックスにアプリ名を入力して、ロールを割り当てるアプリを検索します。

    メンバーの選択パネル

  5. アプリをクリックし、[選択] をクリックしてアプリを選択します。

  6. [次へ] をクリックします。

  7. 割り当ての種類 セクションで アクティブ を選択し、理由の入力 テキスト ボックスに理由を入力します。

    割り当ての種類セクションでのアクティブの選択と理由の入力セクションへの理由の入力

  8. [割り当て] をクリックして、ロールを割り当てます。割り当てられたロールは 30 分以内に反映されることに注意してください。

サービス アカウント権限

Microsoft 365 テナントに AvePoint Online Services を接続するには、テナントの所有者およびサービス管理者は Microsoft 365 に対して サービス アカウント プロファイルの作成 を実行することもできます。

NOTE

多要素認証 (MFA) が有効なユーザーは、移行を実行するためのサービス アカウントとして使用することはできません。その代わりに、委任アプリ プロファイルを使用することができます。

移行先でアプリ プロファイル認証とサービス アカウント認証の両方を使用している場合、サービス アカウントに必要な権限がありません。

移行先でサービス アカウント認証のみを使用している場合、サービス アカウントは以下の要件を満たす必要があります。

  • サイト コレクション管理者

    NOTE

    サービス アカウントが サイト コレクション管理者 ではなく、SharePoint 管理者 または グローバル管理者 ロールを持っていることが検出された場合、サービス アカウントはサイト コレクションの サイト コレクション管理者 として自動追加されます。

  • 以下の場合に、SharePoint 管理者 も必要です。

    • 移行中に移行先で新しいサイト コレクションを作成するには、移行先サービス アカウントが SharePoint 管理者 である必要があります。

    • AvePoint Online Services で SharePoint Online サイト コレクションをスキャンするスキャン プロファイルを使用するには、サービス アカウントが SharePoint 管理者 である必要があります。

    • 移行中にサイトの秘密度ラベルを管理するには、サービス アカウントは SharePoint 管理者 ロールを持っている必要があります。

    NOTE

    SharePoint 管理者 が SharePoint 管理センターにアクセスできない場合、グローバル管理者 が必要です。

  • 移行元または移行先がグループ サイトまたはモダン サイトである場合、拒否 権限が移行元または移行先サイトから削除されていることを確認してください。

  • 移行中 SharePoint で用語グループ、用語セット、用語を作成する場合、サービス アカウントが SharePoint Managed Metadata Service の 用語ストア管理者 である必要があります。

  • 移行中にファイルの ラベルを適用するときにユーザーがアクセス許可を割り当てられるようにする タイプの Rights Management service (RMS) および秘密度ラベルを管理するには、サービス アカウントは スーパー ユーザー ロールを持っている必要があります。詳細については、スーパー ユーザーとしてサービス アカウントの割り当て を参照してください。

  • サービス アカウント プールは移行で利用できなくなりました。以前移行元または移行先の SharePoint Online にサービス アカウント プールを使用したことがあり、そのサービス アカウント プールを引き続き使用したい場合、SharePoint Online 接続を作成する際に複数のサービス アカウントを選択し、選択したすべてのサービス アカウントが上記のロールが割り当てられていることを確認してください。

リスト内のカスタマイズされたリスト フォームに使用されている Power Apps アプリを移行するには、サービス アカウントは以下の要件を満たす必要もあります。

  • Microsoft Power Apps または Microsoft Power Automate のライセンスを持っている

    サービス アカウントにライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Power Apps for Office 365 および Power Automate for Office 365 を選択します。

  • 対応する環境のシステム管理者である

    サービス アカウントに システム管理者 ロールを追加するには、以下の手順を完了してください。

    1. Microsoft 365 管理センター > すべての管理センター に移動します。

    2. Dynamics 365 アプリ をクリックして Power Platform 管理センターにアクセスします。

    3. 環境 タブで、対象環境を選択して、リボンで [設定] をクリックします。

      NOTE

      環境に Dataverse が追加されていない場合、設定 アクションは利用できません。Dataverse が追加されていることを確認してください。

    4. [ユーザーとアクセス許可] セクションをクリックして、[ユーザー] をクリックします。

    5. サービス アカウントをクリックして、[セキュリティ ロールの管理] をクリックして システム管理者 を選択します。

サイト コレクションからサービス アカウントを削除するには、以下の説明を参照してください。

  1. ここ をクリックして、Remove-SharePointOnlineUser.zip ファイルをダウンロードします。その後、ファイルを解凍します。

  2. 解凍したフォルダー内の sites.csv ファイルで、サービス アカウントを削除するサイト コレクション URL を構成します。

  3. SharePoint Online に接続できる Windows Server で SharePoint Online 管理シェルをインストールします。リンク をクリックして、SharePoint Online 管理シェルをダウンロードします。

  4. Windows PowerShell を開き、Windows PowerShell ウィンドウでコマンド . "file path" を入力します。

    解凍されたフォルダー内の Remove-SharePointOnlineUser.ps1 ファイルの完全パスで file path を置き換え、キーボードの Enter キーを押します。

    Remove-SharePointOnlineUser.ps1 ファイル

  5. 以下のコマンドを入力し、キーボードの Enter キーを押します。

    Remove-SharePointOnlineUser -LoginName "" -AdministrationCenterUrl "" -Path ""

    • LoginName " " – 削除するサービス アカウントです。

    • AdministrationCenterUrl “ “ – SharePoint Online 管理センターの URL です。

    • Path " " – サイト コレクション URL が構成されている CSV ファイルの完全パスです。管理センター内のすべてのサイト コレクションからサービス アカウントを削除するには、-Path "" パラメーターを入力する必要はありません。

委任アプリ プロファイル権限

Fly 委任アプリ プロファイルまたはカスタムの委任アプリ プロファイルを使用してワークスペースに接続することができます。

以下のことに注意してください。

  • 同意ユーザーのライセンスと権限の要件は、サービス アカウントのライセンスと権限の要件と同じです。
  • 委任アプリ プロファイルの同意ユーザーの多要素認証 (MFA) が有効になっている場合、MFA の有効化後に委任アプリ プロファイルを承認または再承認する必要があります。MFA の有効化後にアプリ プロファイルを承認または再承認しないと、委任アプリ プロファイルを使用している移行ジョブは失敗します。
  • アプリ プロファイルの再承認時に権限の更新がある場合、承認後、アプリ プロファイルがトークンの更新を完了するまで約 1 時間がかかります。その間、アプリ プロファイルを移行の実行に使用することはできません。

移行先用の既定の委任アプリ プロファイルまたはカスタム委任アプリ プロファイルの作成手順は、移行元用の 委任アプリ プロファイル権限 の作成手順と同じです。

Fly 委任アプリ プロファイルの権限については、Fly 委任アプリ プロファイルの権限 を参照してください。

カスタム委任アプリ プロファイルの権限については、以下の説明を参照してください。

APIアクセス許可タイプ目的
Microsoft GraphUser.Read.All
(Read user profiles)
委任済みMicrosoft 365 ユーザーを取得して移行します。
Microsoft GraphFiles.Read.All
(Read files in all site collections)
委任済み
移行先チーム サイトのチャネル フォルダーを取得します。
Microsoft GraphDirectory.ReadWrite.All
(Read and write directory data)
委任済みMulti-Geo テナントで Microsoft 365 グループに関連するサイト コレクションを作成する場合にのみ必要です。
Microsoft GraphGroup.ReadWrite.All
(Read and write all groups)
委任済み
Microsoft 365 グループおよびグループ メンバーを取得して移行します。
SharePoint Online 移行を実行する際に、以下の場合にこの権限が必要です。
● Microsoft 365 グループに関連する移行元チーム サイトを移行する際に、Microsoft 365 グループを作成してグループ メンバーを追加します。
● Microsoft 365 グループなしのチーム サイトを Microsoft 365 グループに関連するチーム サイトに移行する際に、移行元 SharePoint グループ (所有者 / メンバー / 閲覧者) を移行先 Microsoft 365 グループにマッピングして、ユーザーをグループの所有者またはメンバーとして追加します。
Microsoft 365 グループ移行を使用してチーム サイトが属する Microsoft 365 グループを移行する場合、この権限を削除することができます。
Microsoft GraphRoleManagement.Read.Directory
(Read all directory RBAC settings)
委任済み
Microsoft グローバル グループを取得し、サービス アカウントの必要なロールを確認します。
Microsoft Information Protection Sync ServiceUnifiedPolicy.User.Read
(Read all unified policies a user has access to)
委任済み
ファイル / サイトの秘密度ラベルを管理する場合にのみ必要です。
Azure Rights Management サービス
21Vianet テナントの場合、API 名は Microsoft Rights Management Services です。
user_impersonation
(Create and access protected content for users)
委任済み

ファイル / サイトの秘密度ラベルを管理する場合にのみ必要です。
SharePoint/Office 365 SharePoint Online
AllSites.FullControl
(Have full control of all site collections)
委任済み
SharePoint Online サイト コレクションを移行します。
SharePoint/Office 365 SharePoint Online
TermStore.ReadWrite.All
(Read and write managed metadata)
委任済み
宛先Managed Metadata Service を取得して移行します。
*注意: 用語グループ / 用語セット / 用語が同じ名前を持っており、かつ移行元のレベル (グローバルまたはローカル レベル) と同じである用語グループ / 用語セット / 用語が移行先に存在する場合、この権限を TermStore.Read.All に変更することができます。

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [
        {
            "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
            "resourceAccess": [
                {
                    "id": "59a198b5-0420-45a8-ae59-6da1cb640505",
                    "type": "Scope"
                },
                {
                    "id": "56680e0d-d2a3-4ae1-80d8-3c4f2100e3d0",
                    "type": "Scope"
                }
            ]
        },
        {
            "resourceAppId": "00000003-0000-0000-c000-000000000000",
            "resourceAccess": [
                {
                    "id": "c5366453-9fb0-48a5-a156-24f0c49a4b84",
                    "type": "Scope"
                },
                {
                    "id": "df85f4d6-205c-4ac5-a5ea-6bf408dba283",
                    "type": "Scope"
                },
                {
                    "id": "4e46008b-f24c-477d-8fff-7bb4ec7aafe0",
                    "type": "Scope"
                },
                {
                    "id": "741c54c3-0c1e-44a1-818b-3f97ab4e8c83",
                    "type": "Scope"
                },
                {
                    "id": "a154be20-db9c-4678-8ab7-66f6cc099a59",
                    "type": "Scope"
                }
            ]
        },
        {
            "resourceAppId": "00000012-0000-0000-c000-000000000000",
            "resourceAccess": [
                {
                    "id": "c9c9a04d-3b66-4ca8-a00c-fca953e2afd3",
                    "type": "Scope"
                }
            ]
        },
        {
            "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
            "resourceAccess": [
                {
                    "id": "34f7024b-1bed-402f-9664-f5316a1e1b4a",
                    "type": "Scope"
                }
            ]
        }
],