移行先
SharePoint/OneDrive における権限
移行先
SharePoint/OneDrive for Business に接続するには、異なる認証方法を使用することができます。使用する認証方法の必要な権限については、対応するセクションを参照してください。
サービス アカウント権限
移行先に基づいて、サービス アカウントが必要な権限は異なります。
•
SharePoint Online – サービス アカウント認証のみを使用している場合、以下の権限が必要です。サービス
アカウント認証とアプリ プロファイル認証の両方を使用している場合、サービス
アカウントに必要な権限がありません。
o 追加 または インポート モードを使用して接続にサイト コレクションを追加する場合、サービス アカウントは サイト コレクション管理者 または SharePoint
管理者 である必要があります。
o スキャン または スキャン プロファイル モードを使用して接続にサイト コレクションを追加する場合、サービス アカウントは SharePoint 管理センターにアクセスできる SharePoint
管理者 である必要があります。SharePoint
管理者 が SharePoint 管理センターにアクセスできない場合、グローバル管理者
が必要です。
*注意: スキャン時に使用するサービス アカウントは、サイト コレクションの サイト コレクション管理者 として自動追加されます。これにより、すべてのコンテンツおよびプロパティがキャプチャされ、付加情報も含めた状態での移行が実行できます。移行の実行後、サービス
アカウントをサイト コレクションから削除することができます。
o 移行中に SharePoint で用語グループ・用語セット・用語を作成する場合、サービス アカウントは SharePoint Managed Metadata Service の 用語ストア管理者 である必要があります。
o 移行中にファイル / サイトの秘密度ラベルを管理するには、サービス アカウントに スーパー ユーザー を割り当てる必要があります。詳細については、スーパー ユーザー機能の構成 を参照してください。
o SharePoint 2010 ワークフローおよび SharePoint Designer
2013 ワークフローの定義を
Microsoft 365 Power Automate フローに変換するには、サービス アカウントは移行先 Power Platform
環境の システム管理者 である必要があります。サービス アカウントを システム管理者 として手動追加することができます。サービス アカウントが グローバル管理者 であり、かつ Microsoft Power
Automate 無料
ライセンスを持っている場合、Fly
Server はサービス アカウントを システム管理者 として自動追加することができます。
•
OneDrive for Business
サービス アカウント認証のみを使用している場合、以下の権限が必要です。
o 追加 または インポート モードを使用して接続に OneDrive for
Business サイトを追加する場合、サービス アカウントは サイト コレクション管理者 または SharePoint
管理者 である必要があります。
o スキャン または スキャン プロファイル モードを使用して接続に OneDrive for
Business サイトを追加する場合、サービス アカウントは SharePoint 管理センターにアクセスできる SharePoint
管理者 である必要があります。SharePoint
管理者 が SharePoint 管理センターにアクセスできない場合、グローバル管理者
が必要です。
*注意: スキャン時に使用するサービス アカウントは、OneDrive for Business
サイトの サイト コレクション管理者 として自動的に追加されます。これにより、すべてのコンテンツおよびプロパティがキャプチャされ、付加情報も含めた状態での移行が実行できます。移行の実行後、サービス
アカウントを OneDrive for
Business サイトから削除することができます。
o 移行中 SharePoint で用語グループ、用語セット、用語を作成する場合、サービス
アカウントは SharePoint
Managed Metadata Service の 用語ストア管理者 である必要があります。
o 移行中にファイル / サイトの秘密度ラベルを管理するには、サービス アカウントに スーパー ユーザー を割り当てる必要があります。詳細については、スーパー ユーザー機能の構成 を参照してください。
サービス アカウント認証とアプリ プロファイル認証の両方を使用している場合、移行先
OneDrive for Business サイトが初期化されているかどうかに基づいて、必要な権限は異なります。
o 初期化されている場合: サービス アカウントに必要な権限がありません。
o 初期化されていない場合: サービス アカウントは SharePoint
管理者 または グローバル管理者 である必要があります。
•
SharePoint オンプレミス – サービス アカウントのみがサポートされています。必要な権限については、以下を参照してください。
o 追加 または インポート モードを使用して接続にサイト コレクションを追加する場合、サービス アカウントは サイト コレクション管理者 または Web アプリケーションへの フル コントロール 権限を持っている必要があります。
o スキャン または スキャン プロファイル モードを使用して接続にサイト コレクションを追加する場合、サービス アカウントは、SharePoint サーバーの全体管理に接続するために ファーム管理者 であり、かつサイト コレクションを登録するために サイト コレクション管理者 であるか、Web アプリケーションへの フール コントロール 権限を持っている必要があります。
o 移行中に SharePoint で用語グループ・用語セット・用語を作成する場合、サービス
アカウントは SharePoint
Managed Metadata Service の 用語ストア管理者 である必要があります。
サイト
コレクション / OneDrive for
Business サイトからサービス
アカウントを削除するには、以下の説明を参照してください。
1. マネージャー サーバー上の
...\APElements\FLY\Manager\PowerShell ディレクトリで、Remove-SharePointOnlineUser.zip
ファイルを検索して解凍します。
2. 解凍したフォルダー内の sites.csv
ファイルで、サービス アカウントを削除するサイト コレクション / OneDrive for
Business の URL を構成します。
3. マネージャー サーバーに SharePoint Online 管理シェルをインストールします。リンク をクリックして、SharePoint Online
管理シェルをダウンロードします。
4. Windows
PowerShell を開き、Windows
PowerShell ウィンドウで以下のコマンドを入力します。
."file
path"
解凍されたフォルダー内の
Remove-SharePointOnlineUser.ps1 ファイルの完全パスで file path を置き換え、キーボードの Enter
を押します。
5. 以下のコマンドを入力し、キーボードの
Enter を押します。
Remove-SharePointOnlineUser -LoginName "" -AdministrationCenterUrl "" -Path ""
•
LoginName " " – 削除するサービス アカウントです。
•
AdministrationCenterUrl " " – SharePoint Online 管理センターの URL です。
•
Path " " – サイト コレクション / OneDrive for
Business URL が構成されている
CSV ファイルの完全パスです。管理センター内のすべてのサイト
コレクション / OneDrive for
Business からサービス アカウントを削除するには、-Path " " パラメーターを入力する必要はありません。
Fly Server (推奨) アプリ プロファイル権限
アプリ
プロファイルで Fly Server
(推奨) アプリの使用を選択した場合、移行用の
Microsoft 365 ユーザー に任意のユーザーを指定することができますが、承認ユーザーは
Microsoft 365 グローバル管理者 である必要があります。アプリの承認時に承諾する必要がある権限は以下のとおりです。
•
Sign in and read user profile
•
Read and write all groups
•
Read and write tags in Teams
•
Read and write items in all site collections
•
Read all published labels and label policies for an
organization.
•
Read and write all chat messages
•
Read and write all users' full profiles
•
Read all channel messages
•
Read directory data
•
Read and write calendars in all mailboxes
•
Read and create online meetings
•
Read and write all schedule items
•
Create tabs in Microsoft Teams.
•
Read tabs in Microsoft Teams.
•
Create channels
•
Read and write the names, descriptions, and settings of all
channels
•
Read and change all teams' settings
•
Add and remove members from all teams
•
Add and remove members from all channels
•
Create chat and channel messages with anyone's identity and with
any timestamp
•
Manage Teams apps for all teams
•
Create teams
•
Allow the Teams app to manage all tabs for all teams
•
Create chats
•
Read all unified policies of the tenant.
•
Create protected content on behalf of a user
•
Read protected content on behalf of a user
•
Read all protected content for this tenant
•
Create protected content
•
Manage Exchange As Application
•
Use Exchange Web Services with full access to all mailboxes
•
Have full control of all site collections
•
Read and write managed metadata
•
Read and write user profiles
新規作成アプリ プロファイル権限
アプリ
プロファイルでアプリの新規作成を選択した場合、承認ユーザーは
Microsoft 365 グローバル管理者 である必要があります。アプリの承認時に承諾する必要がある権限は以下のとおりです。
•
Manage Exchange As Application
•
Use Exchange Web Services with full access to all mailboxes
•
Read and write user profiles
•
Read and write managed metadata
•
Have full control of all site collections
•
Read directory data
•
Sign in and read user profile
•
Read and write all users' full profiles
•
Read and write all groups
•
Read and write calendars in all mailboxes
•
Read and write items in all site collections
•
Read all channel messages
•
Add and remove members from all channels
•
Add and remove members from all teams
•
Create chat and channel messages with anyone's identity and with
any timestamp
•
Read all published labels and label policies for an
organization.
•
Read and write tags in Teams
•
Read and write all schedule items
•
Read and create online meetings
•
Create channels
•
Read and write the names, descriptions, and settings of all
channels
•
Create teams
•
Read and change all teams' settings
•
Manage Teams apps for all teams
•
Allow the Teams app to manage all tabs for all teams
•
Create chats
•
Read and write all chat messages
•
Create tabs in Microsoft Teams.
•
Read tabs in Microsoft Teams.
•
Read all unified policies of the tenant.
•
Read protected content on behalf of a user
•
Create protected content on behalf of a user
•
Read all protected content for this tenant
•
Create protected content
カスタム アプリ プロファイル権限
アプリ
プロファイルでカスタム アプリの使用を選択した場合、移行用の
Microsoft 365 ユーザー に任意のユーザーを指定することができますが、アプリにこれらの権限が付与されていることを確認してください。
|
API 名 |
権限名 |
説明 |
タイプ |
必要となる理由 |
|
Microsoft
Graph |
Directory.Read.All |
Read directory
data |
アプリケーション |
SharePoint 管理センターに接続する移行先テナントの初期ドメインを定義します。 |
|
Sites.ReadWrite.All |
Read and write items in all
site collections |
アプリケーション |
SharePoint データを移行先に移行します。 |
|
Group.ReadWrite.All |
Read and write all
groups |
アプリケーション |
SharePoint ユーザーを Microsoft 365 グループに追加するために、移行ポリシーで SharePoint の所有者・メンバー・閲覧者グループを移行先 Microsoft 365 グループにマッピングする を選択する場合にのみ必要です。
Microsoft 365 グループおよびグループ メンバーを取得して移行します。
*注意: SharePoint
Online 移行を実行する際に、以下の場合にこの権限を必要です。
•
Microsoft 365 グループに関連する移行元チーム サイトを移行する際に、Microsoft
365 グループを作成してグループ
メンバーを追加します。
•
Microsoft 365 グループなしのチーム サイトを Microsoft 365
グループに関連するチーム
サイトに移行する際に、移行元
SharePoint グループ
(所有者 / メンバー / 閲覧者) を移行先 Microsoft 365
グループにマッピングして、ユーザーをグループの所有者またはメンバーとして追加します。
Microsoft 365 グループ移行を実行してチーム サイトが属する Microsoft 365
グループを移行する場合、この権限を削除することができます。 |
|
SharePoint |
Sites.FullControl.All |
Have full control of all
site collections |
アプリケーション |
SharePoint データを移行先に移行します。 |
|
TermStore.ReadWrite.All |
Read and write managed
metadata |
アプリケーション |
Managed Metadata Service および 管理されたメタデータ 列を移行先に移行します。
*注意: 用語グループ / 用語セット / 用語が同じ名前を持っており、かつ移行元のレベル
(グローバルまたはローカル
レベル) と同じである用語グループ / 用語セット / 用語が移行先に存在する場合、この権限を
TermStore.Read.All に変更することができます。 |
|
User.Read.All |
Read user
profiles |
アプリケーション |
OneDrive ユーザー名で移行先 OneDrive for Business サイトの URL を取得する場合にのみ必要です。 |
|
Azure Rights Management
Services |
Content.DelegatedWriter |
Create protected content on
behalf of a user |
アプリケーション |
ファイル / ライブラリ / サイトの秘密度ラベルを管理する場合にのみ必要です。 |
|
Content.Writer |
Create protected
content |
アプリケーション |
|
Microsoft Information
Protection Sync Service |
UnifiedPolicy.Tenant.Read |
Read all unified policies of
the tenant |
アプリケーション |
ファイル / ライブラリ / サイトの秘密度ラベルを管理する場合にのみ必要です。 |
簡単に使用するには、以下のコマンドを使用して、マニフェスト
を介して必要な API 権限を追加することができます。
"requiredResourceAccess": [
{
"resourceAppId": "00000003-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "62a82d76-70ea-41e2-9197-370581804d09",
"type": "Role"
},
{
"id": "9492366f-7969-46a4-8d15-ed1a20078fff",
"type": "Role"
},
{
"id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61",
"type": "Role"
}
]
},
{
"resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
"resourceAccess": [
{
"id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",
"type": "Role"
}
]
},
{
"resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "df021288-bdef-4463-88db-98f22de89214",
"type": "Role"
},
{
"id": "c8e3537c-ec53-43b9-bed3-b2bd3617ae97",
"type": "Role"
},
{
"id": "678536fe-1083-478a-9c59-b99265e6b0d3",
"type": "Role"
}
]
},
{
"resourceAppId": "00000012-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "006e763d-a822-41fc-8df5-8d3d7fe20022",
"type": "Role"
},
{
"id": "d13f921c-7f21-4c08-bade-db9d048bd0da",
"type": "Role"
}
]
}
],