サービス アカウント権限
移行元 Teams
接続に追加するサービス アカウントは以下の要件を満たしていることを確認してください。
•
Exchange Online
および Microsoft Teams
のライセンス
•
移行元チームのチーム所有者
*注意: サービス アカウントは Teams 管理者でありながらチームの所有者ではない場合、Fly
は自動的にアカウントをチーム所有者として追加します。移行の実行後、PowerShell を使用してサービス アカウントを削除するか、またはサービス
アカウントを直接ブロックすることができます。サービス アカウントは Teams 管理者ではない場合、サービス
アカウントをチーム所有者として手動追加する必要があります。
データの検出ジョブで、サービス アカウントが Teams
の管理者であるが、チームの所有者ではない接続でサービス アカウントを使用する場合、Fly はサービス
アカウントをチームの所有者として、またチームに関連付けられた Microsoft 365
グループの所有者およびメンバーとして自動追加します。
PowerShell を使用してサービス アカウント
ユーザーの所有者ロールを削除する方法については、以下の説明を参照してください。
i. CSV ファイルを準備して、Source Mailbox
名前の列を構成します。
ii. Source Mailbox
列では、所有者ロールを削除する対象チームのメール アドレスを構成します。
iii. AddTeamOwner.ps1
ファイルを実行するサーバーに Exchange
Online PowerShell V2 モジュールをインストールします。詳細については、Exchange Online PowerShell V2 モジュールのインストール を参照してください。
iv. Exchange Online PowerShell V2
モジュールを Exchange Online
に接続します。詳細については、Exchange Online への接続 を参照してください。
v. エージェント サーバー上の
...\APElements\FLY\Agent\bin\MicrosoftTeams ディレクトリで
AddTeamOwner.ps1 を右クリックして、PowerShell で実行 を選択します。
vi. 資格情報を入力して、[OK] をクリックして
PowerShell ウィンドウを開きます。
vii. 構成済みチームから削除するサービス アカウントのメール
アドレスを入力して、キーボードの Enter を押します。
viii. 手順 i および手順
ii で構成された CSV ファイルの完全パスを入力して、キーボードの Enter を押します。
ix. チームからサービス アカウントの所有者ロールを削除する場合、N
を入力します。キーボードの Enter を押します。
サービス
アカウントに所有者ロールを再追加するには、Y を入力します。キーボードの Enter を押します。
アカウントをブロックするには、Microsoft 365
管理センター > ユーザー に移動して、ユーザーの表示名をクリックします。ユーザーの ブロック (
) アイコンをクリックして、ユーザーによるサインインをブロックする
を選択して変更を保存します。
•
移行元プライベート チャネルを移行する場合、サービス
アカウントが移行元プライベート チャネルの所有者である必要があります。
サービス アカウントは Teams
管理者でありながらチームの所有者ではない場合、Fly はサービス アカウントを移行元プライベート
チャネルのチャネル所有者として自動追加します。
•
移行元チームはクラシック
エクスペリエンスのチーム サイトに基づいて作成されている場合、移行元サービス アカウントが移行元サイトのサイト
コレクション管理者であることを確認してください。サービス アカウントに SharePoint 管理者ロールを付与することもできます。Fly
は移行中に移行元サービス アカウントを移行元サイトのサイト コレクション管理者に自動追加します。
•
同じテナントの移行元チーム間で移行される Planner の数が 200
を超過する場合、すべての移行元 Planner が移行先に移行できることを保証するには、移行元で複数のサービス
アカウントを使用することをお勧めします。
•
同じテナントの移行元チーム間で移行されるタスクの数が 10000
を超過する場合、すべての移行元タスクが移行先に移行できることを保証するには、移行元で複数のサービス
アカウントを使用することをお勧めします。
アプリケーション アプリ プロファイル権限
アプリ
プロファイル認証 のみ を使用する場合、Fly Azure AD アプリまたはカスタム
アプリにアクセス ポリシーが割り当てられており、移行元会議リンクを公開するために ロビーをバイパスするユーザー オプションが
すべてのユーザー に変更されていることを確認します。詳細については、アクセス ポリシー を参照してください。
アプリ プロファイルで
Fly Azure AD アプリの使用または新規アプリの作成を選択した場合、Fly インターフェイスで構成した 移行用の Microsoft 365
ユーザー または Microsoft 365 グローバル管理者 が Exchange Online および Microsoft Teams
のライセンスを持っており、承認ユーザーが Microsoft 365 テナントの グローバル管理者 であることを確認してください。
*注意: 移行元 Teams
接続の追加に使用するアプリ プロファイルで新規アプリの作成またはカスタム アプリの使用を選択すると、移行元 Teams
会話メッセージを移行する場合、Microsoft Teams で 保護済み API
への接続を要求する必要があります。詳細については、保護済み API へのアクセス許可のリクエスト を参照してください。
アプリの承認時に承諾する必要がある権限は以下のとおりです。
•
Sign in and read
user profile
•
Read and write
all groups
•
Read and write
tags in Teams
•
Read and write
items in all site collections
•
Read all
published labels and label policies for an organization.
•
Read and write
all users' full profiles
•
Read all channel
messages
•
Read directory
data
•
Read and write
calendars in all mailboxes
•
Read and create
online meetings
•
Read and write
all schedule items
•
Create
channels
•
Read and write
the names, descriptions, and settings of all channels
•
Read and change
all teams' settings
•
Add and remove
members from all teams
•
Add and remove
members from all channels
•
Create chat and
channel messages with anyone's identity and with any timestamp
•
Manage Teams
apps for all teams
•
Create
teams
•
Allow the Teams
app to manage all tabs for all teams
•
Read all unified
policies of the tenant.
•
Create protected
content
•
Read all
protected content for this tenant
•
Read protected
content on behalf of a user
•
Create protected
content on behalf of a user
•
Use Exchange Web
Services with full access to all mailboxes
•
Manage Exchange
As Application
•
Have full
control of all site collections
•
Read and write
managed metadata
•
Read and write
user profiles
アプリ
プロファイルでカスタム アプリの使用を選択した場合、Fly インターフェイスで構成した 移行用の Microsoft 365 ユーザー が
Exchange Online および Microsoft Teams のライセンスを持っていることを確認してください。
カスタム
アプリにこれらの権限 (クラシック 移行方法および 詳細 移行方法には同じ権限が必要です)
が付与されていることを確認してください。
|
API
名 |
権限名 |
説明 |
タイプ |
注記 |
|
Office 365
Exchange Online |
Full_access_as_app |
Use Exchange Web
Services with full access to all mailboxes |
アプリケーション |
|
|
Exchange.ManageAsApp |
Manage Exchange
As Application |
アプリケーション |
|
|
Microsoft
Graph |
Directory.Read.All |
Read directory
data |
アプリケーション |
|
|
ChannelMember.Read.All |
Read the members
of all channels |
アプリケーション |
|
|
ChannelMember.ReadWrite.All |
Add
and remove members from all channels |
アプリケーション |
移行元接続でカスタム アプリ プロファイルとサービス
アカウントの両方を使用しており、移行元サービス アカウントがプライベート
チャネルの所有者ではなく、管理者ロールも持っていない場合に必要です。この権限は、サービス アカウントをプライベート
チャネルの所有者として自動追加することができます。 |
|
Group.Read.All |
Read all
groups |
アプリケーション |
|
|
Group.ReadWrite.All |
Read
and write all groups |
アプリケーション |
移行元接続でカスタム アプリ プロファイルとサービス
アカウントの両方を使用しており、移行元サービス アカウントがチーム所有者ではなく、管理者ロールも持っていない場合に必要です。この権限は、サービス
アカウントをチーム所有者として自動追加することができます。 |
|
Sites.Read.All |
Read items in
all site collections |
アプリケーション |
|
|
TeamMember.Read.All |
Read the members
of all teams |
アプリケーション |
|
|
User.Read.All |
Read all users'
full profiles |
アプリケーション |
|
|
ChannelMessage.Read.All |
Read all channel
messages |
アプリケーション |
|
|
TeamSettings.Read.All |
Read all teams'
settings |
アプリケーション |
|
|
TeamsAppInstallation.ReadForTeam.All |
Read installed
Teams apps for all teams |
アプリケーション |
|
|
TeamsTab.Read.All |
Read tabs in
Microsoft Teams |
アプリケーション |
|
|
ChannelSettings.Read.All |
Read the names,
descriptions, and settings of all channels |
アプリケーション |
|
|
TeamworkTag.Read.All |
Read tags in
Teams |
アプリケーション |
Remove |
|
OnlineMeetings.ReadWrite.All |
Read and create
online meetings |
アプリケーション |
|
|
InformationProtectionPolicy.Read.All |
Read all
published labels and label policies for an organization |
アプリケーション |
|
|
|
Schedule.Read.All |
Read all
schedule items |
アプリケーション |
Remove |
|
SharePoint |
Sites.FullControl.All |
Have full
control of all site collections |
アプリケーション |
|
|
TermStore.Read.All |
Read managed
metadata |
アプリケーション |
|
|
Azure Rights
Management Services |
Content.DelegatedReader |
Read protected
content on behalf of a user |
アプリケーション |
|
|
Content.SuperUser |
Read all
protected content for this tenant |
アプリケーション |
|
|
Content.Writer |
Create protected
content |
アプリケーション |
|
|
Microsoft
Information Protection Sync Service |
UnifiedPolicy.Tenant.Read |
Read all unified
policies of the tenant. |
アプリケーション |
|
簡単に使用するため、以下のコマンドを使用し、マニフェスト
を介して必要な API 権限を追加することができます。
"requiredResourceAccess": [
{
"resourceAppId": "00000003-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "62a82d76-70ea-41e2-9197-370581804d09",
"type": "Role"
},
{
"id": "5b567255-7703-4780-807c-7be8301ae99b",
"type": "Role"
},
{
"id": "b74fd6c4-4bde-488e-9695-eeb100e4907f",
"type": "Role"
},
{
"id": "332a536c-c7ef-4017-ab91-336970924f0d",
"type": "Role"
},
{
"id": "19da66cb-0fb0-4390-b071-ebc76a349482",
"type": "Role"
},
{
"id": "df021288-bdef-4463-88db-98f22de89214",
"type": "Role"
},
{
"id": "7b2449af-6ccd-4f4d-9f78-e550c193f0d1",
"type": "Role"
},
{
"id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61",
"type": "Role"
},
{
"id": "b8bb2037-6e08-44ac-a4ea-4674e010e2a4",
"type": "Role"
},
{
"id": "7b2ebf90-d836-437f-b90d-7b62722c4456",
"type": "Role"
},
{
"id": "46890524-499a-4bb2-ad64-1476b4f3e1cf",
"type": "Role"
},
{
"id": "c97b873f-f59f-49aa-8a0e-52b32d762124",
"type": "Role"
},
{
"id": "242607bd-1d2c-432c-82eb-bdb27baa23ab",
"type": "Role"
},
{
"id": "660b7406-55f1-41ca-a0ed-0b035e182f3e",
"type": "Role"
},
{
"id": "3b55498e-47ec-484f-8136-9013221c06a9",
"type": "Role"
},
{
"id": "35930dcf-aceb-4bd1-b99a-8ffed403c974",
"type": "Role"
},
{
"id": "1f615aea-6bf9-4b05-84bd-46388e138537",
"type": "Role"
}
]
},
{
"resourceAppId": "00000012-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "006e763d-a822-41fc-8df5-8d3d7fe20022",
"type": "Role"
},
{
"id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",
"type": "Role"
},
{
"id": "7f740376-647b-4ad7-9ff7-292af252707a",
"type": "Role"
}
]
},
{
"resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "2a8d57a5-4090-4a41-bf1c-3c621d2ccad3",
"type": "Role"
},
{
"id": "678536fe-1083-478a-9c59-b99265e6b0d3",
"type": "Role"
}
]
},
{
"resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
"resourceAccess": [
{
"id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",
"type": "Role"
}
]
},
{
"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "dc890d15-9560-4a4c-9b7f-a736ec74ec40",
"type": "Role"
},
{
"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
"type": "Role"
}
]
}
],