サービス アカウント権限

移行先 Exchange でサービス アカウント認証のみを使用している場合、移行先サービス アカウントはメールボックスおよび以下の権限を持っていることを確認してください。

*注意: サービス アカウントがメールボックスを持っていることを確認するには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。

移行先タイプ	移行先サービス アカウント権限	注記
Exchange オンプレミス	移行で移行元メールボックスに対する ApplicationImpersonation ロールまたは フル アクセス 許可	ApplicationImpersonation ロールを追加するには、付録 O – アカウントへの役割の追加方法 を参照してください。
	Mail Recipients ロール
	Mailbox Search ロール	移行で使用されている Fly Server エージェントと Exchange サーバーが異なるドメインに所属している場合にのみ、このロールがメールボックスの読み込みおよび自動マッピングに必要です。この機能は Exchange 2013 以上のバージョンにのみ適用します。
Exchange Online	移行で移行元メールボックスに対する ApplicationImpersonation ロールまたは フル アクセス 許可	ApplicationImpersonation ロールを追加するには、付録 O – アカウントへの役割の追加方法 を参照してください。
	Mail Recipients ロール
	管理センター内 ユーザー管理者 ロール	移行先ユーザーに対して、Microsoft 365 ライセンスの割り当ておよびメールボックスのプロビジョニングを実行する場合にのみ必要です。ユーザー管理者 ロールを追加するには、付録 P – Microsoft 365 管理センターでの管理者役割の割り当て方法 を参照してください。
	Mailbox Search ロール	Exchange Online PowerShell が利用できない場合にのみ必要です。移行先のメールボックスおよびメールボックス タイプを取得します。

 

アプリ プロファイルも使用する場合の必須権限

移行先 Exchange Online 環境でサービス アカウント認証とアプリ プロファイル認証の両方を使用している場合、一部のサービス アカウント権限は必要なくなります。サービス アカウントがメールボックスおよび以下の権限を持っていることを確認してください。

*注意: サービス アカウントがメールボックスを持っていることを確認するには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。

移行先サービス アカウント権限	注記
Mail Recipients ロール
Mailbox Search ロール	Exchange Online PowerShell が利用できない場合にのみ必要です。移行先のメールボックスおよびメールボックス タイプを取得します。

 

Fly Server (推奨) アプリ プロファイル権限

アプリ プロファイル認証 のみ を使用する場合、以下のことが必要です。

•    アプリ プロファイルで構成されているアカウントがメールボックスを持っている必要があります。(Exchange ライセンスの割り当てまたは PowerShell の利用でメールボックスを作成)

•    Exchange Online PowerShell が利用可能であることを確保するため、アプリに Exchange 管理者 ロールを手動で割り当てます。詳細については、付録 Q – Exchange 管理者ロールのアプリへの割り当て方法 セクションを参照してください。アプリにロールを割り当てない場合、移行先のメールボックスおよびメールボックス タイプを取得するための Mailbox Search ロールがアプリに割り当てられていることを確認してください。

Fly Server (推奨) アプリを承認する際に、以下の権限を承諾する必要があります。

•    Sign in and read user profile

•    Read and write all groups

•    Read and write tags in Teams

•    Read and write items in all site collections

•    Read all published labels and label policies for an organization.

•    Read and write all chat messages

•    Read and write all users' full profiles

•    Read all channel messages

•    Read directory data

•    Read and write calendars in all mailboxes

•    Read and create online meetings

•    Read and write all schedule items

•    Create tabs in Microsoft Teams.

•    Read tabs in Microsoft Teams.

•    Create channels

•    Read and write the names, descriptions, and settings of all channels

•    Read and change all teams' settings

•    Add and remove members from all teams

•    Add and remove members from all channels

•    Create chat and channel messages with anyone's identity and with any timestamp

•    Manage Teams apps for all teams

•    Create teams

•    Allow the Teams app to manage all tabs for all teams

•    Create chats

•    Read all unified policies of the tenant.

•    Create protected content on behalf of a user

•    Read protected content on behalf of a user

•    Read all protected content for this tenant

•    Create protected content

•    Manage Exchange As Application

•    Use Exchange Web Services with full access to all mailboxes

•    Have full control of all site collections

•    Read and write managed metadata

•    Read and write user profiles

新規作成アプリ プロファイル権限

アプリ プロファイル認証 のみ を使用する場合、以下のことが必要です。

•    アプリ プロファイルで構成されているアカウントがメールボックスを持っている必要があります。(Exchange ライセンスの割り当てまたは PowerShell の利用でメールボックスを作成)

•    Exchange Online PowerShell が利用可能であることを確保するため、アプリに Exchange 管理者 ロールを手動で割り当てます。詳細については、付録 Q – Exchange 管理者ロールのアプリへの割り当て方法 セクションを参照してください。アプリにロールを割り当てない場合、移行先のメールボックスおよびメールボックス タイプを取得するための Mailbox Search ロールがアプリに割り当てられていることを確認してください。

新規作成されたアプリを承認する際に、以下の権限を承諾する必要があります。

•    Manage Exchange As Application

•    Use Exchange Web Services with full access to all mailboxes

•    Read and write user profiles

•    Read and write managed metadata

•    Have full control of all site collections

•    Read directory data

•    Sign in and read user profile

•    Read and write all users' full profiles

•    Read and write all groups

•    Read and write calendars in all mailboxes

•    Read and write items in all site collections

•    Read all channel messages

•    Add and remove members from all channels

•    Add and remove members from all teams

•    Create chat and channel messages with anyone's identity and with any timestamp

•    Read all published labels and label policies for an organization.

•    Read and write tags in Teams

•    Read and write all schedule items

•    Read and create online meetings

•    Create channels

•    Read and write the names, descriptions, and settings of all channels

•    Create teams

•    Read and change all teams' settings

•    Manage Teams apps for all teams

•    Allow the Teams app to manage all tabs for all teams

•    Create chats

•    Read and write all chat messages

•    Create tabs in Microsoft Teams.

•    Read tabs in Microsoft Teams.

•    Read all unified policies of the tenant.

•    Read protected content on behalf of a user

•    Create protected content on behalf of a user

•    Read all protected content for this tenant

•    Create protected content

カスタム アプリ プロファイル権限

アプリ プロファイル認証 のみ を使用する場合、以下のことが必要です。

•    アプリ プロファイルで構成されているアカウントがメールボックスを持っている必要があります。(Exchange ライセンスの割り当てまたは PowerShell の利用でメールボックスを作成)

•    Exchange Online PowerShell が利用可能であることを確保するため、アプリに Exchange 管理者 ロールを手動で割り当てます。詳細については、付録 Q – Exchange 管理者ロールのアプリへの割り当て方法 セクションを参照してください。アプリにロールを割り当てない場合、移行先のメールボックスおよびメールボックス タイプを取得するための Mailbox Search ロールがアプリに割り当てられていることを確認してください。

移行先 Exchange 環境に必要な API 権限を追加するには、以下の表を参照してください。

API 名	権限名	説明	タイプ	必要となる理由
Office 365 Exchange Online	Full_access_as_app	Use Exchange Web Services with full access to all mailboxes	アプリケーション	移行先メールボックスを取得して、フォルダー / アイテムを移行先に移行します。
	Exchange.ManageAsApp	Manage Exchange As Application	アプリケーション	接続を追加します。
Microsoft Graph	User.ReadWrite.All	Read and write all users’ full profiles	アプリケーション	移行先ユーザーに対して、Microsoft 365 ライセンスの割り当ておよびメールボックスのプロビジョニングを実行する場合にのみ必要です。
	Calendars.ReadWrite	Read and write calendars in all mailboxes	アプリケーション	移行元イベント出席者の応答状態を移行先に保持する場合にのみ必要です。
	Group.ReadWrite.All	Read all groups	アプリケーション	アプリに Exchange 管理者 ロールを割り当てない場合にのみ必要です。Microsoft 365 グループのメールボックスおよびメールボックス タイプを取得し、移行先で Microsoft 365 グループのメールボックスを作成します。
	Directory.Read.All	Read directory data	アプリケーション	アプリに Exchange 管理者 ロールを割り当てない場合にのみ必要です。移行先ユーザーのライセンスを取得します。

 

簡単に使用するため、以下のコマンドを使用し、マニフェスト を介して必要な API 権限を追加することができます。

"requiredResourceAccess": [

        {

            "resourceAppId": "00000003-0000-0000-c000-000000000000",

            "resourceAccess": [

                {

                    "id": "62a82d76-70ea-41e2-9197-370581804d09",

                    "type": "Role"

                },

                {

                    "id": "741f803b-c850-494e-b5df-cde7c675a1ca",

                    "type": "Role"

                },

                {

                    "id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61",

                    "type": "Role"

                },

                {

                    "id": "ef54d2bf-783f-4e0f-bca1-3210c0444d99",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000002-0000-0ff1-ce00-000000000000",

            "resourceAccess": [

                {

                    "id": "dc890d15-9560-4a4c-9b7f-a736ec74ec40",

                    "type": "Role"

                },

                {

                    "id": "dc50a0fb-09a3-484d-be87-e023b12c6440",

                    "type": "Role"

                }

            ]

        }

    ],