サービス アカウント権限

移行元に基づいて、サービス アカウントが必要な権限は異なります。

•    SharePoint Online/OneDrive for Business – サービス アカウント認証のみを使用している場合、以下の権限が必要です。サービス アカウント認証とアプリ プロファイル認証の両方を使用している場合、サービス アカウントに必要な権限がありません。

o  追加 または インポート モードを使用して接続にサイト コレクションを追加する場合、サービス アカウントは サイト コレクション管理者 または SharePoint 管理者 である必要があります。

o  スキャン または スキャン プロファイル モードを使用して接続にサイト コレクションを追加する場合、サービス アカウントは SharePoint 管理センターにアクセスできる SharePoint 管理者 である必要があります。SharePoint 管理者 が SharePoint 管理センターにアクセスできない場合、グローバル管理者 が必要です。

^*注意: スキャン時に使用するサービス アカウントは、サイト コレクション / OneDrive for Business サイトの サイト コレクション管理者 として自動追加されます。これにより、すべてのコンテンツおよびプロパティがキャプチャされ、付加情報も含めた状態での移行が実行できます。移行の実行後、サービス アカウントをサイト コレクション / OneDrive for Business サイトから削除することができます。

o  移行中に SharePoint で用語グループ・用語セット・用語を作成する場合、サービス アカウントは SharePoint Managed Metadata Service の 用語ストア管理者 である必要があります。)

o  移行中にファイル / サイトの秘密度ラベルを管理するには、サービス アカウントに スーパー ユーザー を割り当てる必要があります。詳細については、スーパー ユーザー機能の構成 を参照してください。

•    SharePoint オンプレミス – サービス アカウントのみがサポートされています。必要な権限については、以下を参照してください。

o  追加 または インポート モードを使用して接続にサイト コレクションを追加する場合、サービス アカウントは サイト コレクション管理者 または Web アプリケーションへの フル コントロール 権限を持っている必要があります。

o  移行中に SharePoint で用語グループ・用語セット・用語を作成する場合、サービス アカウントは SharePoint Managed Metadata Service の 用語ストア管理者 である必要があります。

o  スキャン または スキャン プロファイル モードを使用して接続にサイト コレクションを追加する場合、サービス アカウントは、SharePoint サーバーの全体管理に接続するために ファーム管理者 であり、かつサイト コレクションを登録するために サイト コレクション管理者 であるか、Web アプリケーションへの フール コントロール 権限を持っている必要があります。

サービス アカウントをサイト コレクション / OneDrive for Business サイトから削除するには、以下の手順を参照してください。

1.   マネージャー サーバー上の ...\APElements\FLY\Manager\PowerShell ディレクトリで、Remove-SharePointOnlineUser.zip ファイルを検索して解凍します。

2.   解凍したフォルダー内の sites.csv ファイルで、サービス アカウントを削除するサイト コレクション / OneDrive for Business の URL を構成します。

3.   マネージャー サーバーに SharePoint Online 管理シェルをインストールします。リンク をクリックして、SharePoint Online 管理シェルをダウンロードします。

4.   Windows PowerShell を開き、Windows PowerShell ウィンドウで以下のコマンドを入力します。

."file path"

解凍されたフォルダー内の Remove-SharePointOnlineUser.ps1 ファイルの完全パスで file path を置き換え、キーボードの Enter を押します。

5.   以下のコマンドを入力し、キーボードの Enter を押します。

Remove-SharePointOnlineUser -LoginName "" -AdministrationCenterUrl "" -Path ""

•    LoginName " " – 削除するサービス アカウントです。

•    AdministrationCenterUrl " " – SharePoint Online 管理センターの URL です。

•    Path " " – サイト コレクション / OneDrive for Business URL が構成されている CSV ファイルの完全パスです。管理センター内のすべてのサイト コレクション / OneDrive for Business からサービス アカウントを削除するには、-Path "" パラメーターを入力する必要はありません。

Fly Server (推奨) アプリ プロファイル権限

アプリ プロファイルで Fly Server (推奨) アプリの使用を選択した場合、移行用の Microsoft 365 ユーザー に任意のユーザーを指定することができますが、承認ユーザーは Microsoft 365 グローバル管理者 である必要があります。

異なる権限タイプを承認する際に同意する必要がある特定の権限については、以下の表を参照してください。

移行元と移行先 (読み取りおよび書き込み)

移行元 (読み取り)

•    Sign in and read user profile •    Read and write all groups •    Read and write tags in Teams •    Read and write items in all site collections •    Read all published labels and label policies for an organization. •    Read and write all chat messages •    Read and write all users' full profiles •    Read all channel messages •    Read directory data •    Read and write calendars in all mailboxes •    Read and create online meetings •    Read and write all schedule items •    Create tabs in Microsoft Teams. •    Read tabs in Microsoft Teams. •    Create channels •    Read and write the names, descriptions, and settings of all channels •    Read and change all teams' settings •    Add and remove members from all teams •    Add and remove members from all channels •    Create chat and channel messages with anyone's identity and with any timestamp •    Manage Teams apps for all teams •    Create teams •    Allow the Teams app to manage all tabs for all teams •    Create chats •    Read all unified policies of the tenant. •    Create protected content on behalf of a user •    Read protected content on behalf of a user •    Read all protected content for this tenant •    Create protected content •    Manage Exchange As Application •    Use Exchange Web Services with full access to all mailboxes •    Have full control of all site collections •    Read and write managed metadata •    Read and write user profiles

•    Read and write managed metadata •    Have full control of all site collections •    Read all groups •    Read tags in Teams •    Read items in all site collections •    Read all published labels and label policies for an organization. •    Read all users' full profiles •    Read all chat messages •    Read all channel messages •    Read directory data •    Read and create online meetings •    Read all schedule items •    Read tabs in Microsoft Teams. •    Read the names, descriptions, and settings of all channels •    Read all teams' settings •    Read the members of all teams •    Read the members of all channels •    Read installed Teams apps for all teams •    Sign in and read user profile •    Read all unified policies of the tenant. •    Use Exchange Web Services with full access to all mailboxes •    Manage Exchange As Application •    Create protected content •    Read all protected content for this tenant •    Read protected content on behalf of a user •    Create protected content on behalf of a user

 

新規作成アプリ プロファイル権限

アプリ プロファイルでアプリの新規作成を選択した場合、承認ユーザーは Microsoft 365 グローバル管理者 である必要があります。アプリの承認時に承諾する必要がある権限は以下のとおりです。

•    Manage Exchange As Application

•    Use Exchange Web Services with full access to all mailboxes

•    Read and write user profiles

•    Read and write managed metadata

•    Have full control of all site collections

•    Read directory data

•    Sign in and read user profile

•    Read and write all users' full profiles

•    Read and write all groups

•    Read and write calendars in all mailboxes

•    Read and write items in all site collections

•    Read all channel messages

•    Add and remove members from all channels

•    Add and remove members from all teams

•    Create chat and channel messages with anyone's identity and with any timestamp

•    Read all published labels and label policies for an organization.

•    Read and write tags in Teams

•    Read and write all schedule items

•    Read and create online meetings

•    Create channels

•    Read and write the names, descriptions, and settings of all channels

•    Create teams

•    Read and change all teams' settings

•    Manage Teams apps for all teams

•    Allow the Teams app to manage all tabs for all teams

•    Create chats

•    Read and write all chat messages

•    Create tabs in Microsoft Teams.

•    Read tabs in Microsoft Teams.

•    Read all unified policies of the tenant.

•    Read protected content on behalf of a user

•    Create protected content on behalf of a user

•    Read all protected content for this tenant

•    Create protected content

カスタム アプリ プロファイル権限

アプリ プロファイルでカスタム アプリの使用を選択した場合、移行用の Microsoft 365 ユーザー に任意のユーザーを指定することができますが、アプリにこれらの権限が付与されていることを確認してください。

API 名	権限名	説明	タイプ	必要となる理由
Microsoft Graph	Directory.Read.All	Read directory data	アプリケーション	移行元テナントの初期ドメインを特定し、SharePoint 管理センターに接続します。
	Sites.Read.All	Read items in all site collections	アプリケーション	SharePoint データを取得して移行します。
SharePoint	Sites.FullControl.All	Have full control of all site collections	アプリケーション	SharePoint データを取得して移行します。
	TermStore.ReadWrite.All	Read and write managed metadata	アプリケーション	Managed Metadata Service および 管理されたメタデータ 列を取得して移行します。 *注意: 管理されたナビゲーションで使用されている用語セットを移行するには、この権限が必要です。管理されたナビゲーションで使用されている用語セットを移行する必要がない場合、権限を TermStore.Read.All に置き換えることができます。
Azure Rights Management Services	Content.SuperUser	Read all protected content for this tenant	アプリケーション	ファイル / ライブラリ / サイトの秘密度ラベルを管理する場合にのみ必要です。
	Content.Writer	Create protected content	アプリケーション
Microsoft Information Protection Sync Service	UnifiedPolicy.Tenant.Read	Read all unified policies of the tenant	アプリケーション	ファイル / ライブラリ / サイトの秘密度ラベルを管理する場合にのみ必要です。

 

簡単に使用するには、以下のコマンドを使用して、マニフェスト を介して必要な API 権限を追加することができます。

"requiredResourceAccess": [

        {

            "resourceAppId": "00000012-0000-0000-c000-000000000000",

            "resourceAccess": [

                {

                    "id": "006e763d-a822-41fc-8df5-8d3d7fe20022",

                    "type": "Role"

                },

                {

                    "id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000003-0000-0000-c000-000000000000",

            "resourceAccess": [

                {

                    "id": "332a536c-c7ef-4017-ab91-336970924f0d",

                    "type": "Role"

                },

                {

                    "id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",

            "resourceAccess": [

                {

                    "id": "c8e3537c-ec53-43b9-bed3-b2bd3617ae97",

                    "type": "Role"

                },

                {

                    "id": "678536fe-1083-478a-9c59-b99265e6b0d3",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",

            "resourceAccess": [

                {

                    "id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",

                    "type": "Role"

                }

            ]

        }

    ],