移行元 Teams における権限

移行元 Teams に接続するには、異なる認証方法を使用することができます。使用する認証方法の必要な権限については、対応するセクションを参照してください。

サービスアカウント権限

移行元 Teams にサービスアカウント認証のみを使用している場合、そのサービスアカウントは以下の条件を満たす必要があります。

• Exchange Online および Microsoft Teams のライセンスを持っている

*注意: サービスアカウントにライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービスアカウントの ライセンスとアプリ タブで Exchange Online (プラン 2) および Microsoft Teams を選択します。

• 移行元チームのチーム所有者、移行元プライベート / 共有チャネルのチャネル所有者である

*注意: この要件は、検出ジョブと移行ジョブの両方に適用されます。

サービスアカウントをチーム / チャネルの所有者として手動追加することができます。サービスアカウントに Teams 管理者 または グローバル管理者 ロールを割り当てる場合、Fly Server はサービスアカウントをチーム / チャネルの所有者およびチームと関連付けられている Microsoft 365 グループの所有者とメンバーとして自動追加することができます。

移行の実行後、PowerShell を使用してサービスアカウントをチーム / チャネルの所有者から削除するか、サービスアカウントを直接ブロックすることができます。詳細については、付録 N – サービスアカウントの削除 / ブロックを参照してください。

• 移行元チームはクラシックエクスペリエンスのチームサイトに基づいて作成されている場合、移行元サービスアカウントは移行元サイトの サイト コレクション管理者 である必要があります。

サービスアカウントを移行元サイトの サイト コレクション管理者 として手動追加することができます。また、サービスアカウントに SharePoint 管理者 ロールが割り当てられている場合、Fly Server は移行中にサービスアカウントを移行元サイトの サイト コレクション管理者 として自動追加します。

• サービスアカウントがテナントで作成できる Planner / タスクの数の上限は異なる場合があります。移行元テナントの Planner 数が 200 を超過した場合、またはタスク数が 10,000 を超過した場合、すべての移行元タスクを確実に移行できるように、Planner またはタスクを複数の移行プランに分割して、各プランに異なるサービスアカウントを使用することを推奨します。

アプリ プロファイルも使用する場合の必須権限

移行元 Teams でサービスアカウント認証とアプリプロファイル認証の両方を使用している場合、サービスアカウントは以下の条件を満たす必要があります。

• Exchange Online および Microsoft Teams のライセンスを持っている

• 移行元チームのチーム所有者、移行元プライベート / 共有チャネルのチャネル所有者である

*注意: この要件は、検出ジョブと移行ジョブの両方に適用されます。

サービスアカウントをチーム / チャネルの所有者として手動追加することができます。以下の条件を満たすサービスアカウントとアプリプロファイルの両方を提供する場合、Fly Server はサービスアカウントをチーム / チャネルの所有者およびチームに関連付けられている Microsoft 365 グループの所有者およびメンバーとして自動追加することができます。

o サービスアカウントが Teams 管理者 または グローバル管理者 であり、かつアプリプロファイルが 移行元 (読み取り) 権限を持つ Fly Server (推奨) アプリを使用して作成されたものである

o アプリプロファイルが 新規作成 であるか、必要な権限を持つカスタムアプリプロファイルであり、サービスアカウントが管理者ロールを持たない標準ユーザーである

• 移行元チームはクラシックエクスペリエンスのチームサイトに基づいて作成されている場合、サービスアカウントは対応するチームサイトの サイト コレクション管理者 である必要があります。

接続のアプリプロファイルが存在する場合、サイト コレクション管理者 を手動追加する必要がありません。Fly Server はサービスアカウントをチームサイトの サイト コレクション管理者 を自動追加します。

Fly Server (推奨) アプリプロファイル権限

アプリプロファイルで Fly Server (推奨) アプリの使用を選択した場合、以下のことに注意してください。

• アプリプロファイル認証のみを使用する場合、Fly Server (推奨) アプリにアクセスポリシーが割り当てられており、かつ移行元会議リンクを公開するために ロビーをバイパスするユーザー オプションが すべてのユーザー に変更されていることを確認します。詳細については、アクセスポリシーを参照してください。

• Fly Server インターフェイスで構成された 移行用の Microsoft 365 ユーザー が Exchange Online および Microsoft Teams のライセンスを持っており、かつ承認ユーザーが Microsoft 365 テナントの グローバル管理者 であることを確認してください。

*注意: 移行用の Microsoft 365 ユーザー にライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、ユーザーの ライセンスとアプリ タブで Exchange Online (プラン 2) および Microsoft Teams を選択します。

異なる権限タイプのアプリを承認する際に同意する必要がある特定の権限については、以下の表を参照してください。

移行元と移行先 (読み取りおよび書き込み)	移行元 (読み取り)
• Sign in and read user profile • Read and write all groups • Read and write tags in Teams • Read and write items in all site collections • Read all published labels and label policies for an organization. • Read and write all chat messages • Read and write all users' full profiles • Read all channel messages • Read directory data • Read and write calendars in all mailboxes • Read and create online meetings • Read and write all schedule items • Create tabs in Microsoft Teams. • Read tabs in Microsoft Teams. • Create channels • Read and write the names, descriptions, and settings of all channels • Read and change all teams' settings • Add and remove members from all teams • Add and remove members from all channels • Create chat and channel messages with anyone's identity and with any timestamp • Manage Teams apps for all teams • Create teams • Allow the Teams app to manage all tabs for all teams • Create chats • Read all unified policies of the tenant. • Create protected content on behalf of a user • Read protected content on behalf of a user • Read all protected content for this tenant • Create protected content • Manage Exchange As Application • Use Exchange Web Services with full access to all mailboxes • Have full control of all site collections • Read and write managed metadata • Read and write user profiles	• Read and write managed metadata • Have full control of all site collections • Read all groups • Read tags in Teams • Read items in all site collections • Read all published labels and label policies for an organization. • Read all users' full profiles • Read all chat messages • Read all channel messages • Read directory data • Read and create online meetings • Read all schedule items • Read tabs in Microsoft Teams. • Read the names, descriptions, and settings of all channels • Read all teams' settings • Read the members of all teams • Read the members of all channels • Read installed Teams apps for all teams • Sign in and read user profile • Read all unified policies of the tenant. • Use Exchange Web Services with full access to all mailboxes • Manage Exchange As Application • Create protected content • Read all protected content for this tenant • Read protected content on behalf of a user • Create protected content on behalf of a user

移行元と移行先 (読み取りおよび書き込み)

移行元 (読み取り)

• Sign in and read user profile

• Read and write all groups

• Read and write tags in Teams

• Read and write items in all site collections

• Read all published labels and label policies for an organization.

• Read and write all chat messages

• Read and write all users' full profiles

• Read all channel messages

• Read directory data

• Read and write calendars in all mailboxes

• Read and create online meetings

• Read and write all schedule items

• Create tabs in Microsoft Teams.

• Read tabs in Microsoft Teams.

• Create channels

• Read and write the names, descriptions, and settings of all channels

• Read and change all teams' settings

• Add and remove members from all teams

• Add and remove members from all channels

• Create chat and channel messages with anyone's identity and with any timestamp

• Manage Teams apps for all teams

• Create teams

• Allow the Teams app to manage all tabs for all teams

• Create chats

• Read all unified policies of the tenant.

• Create protected content on behalf of a user

• Read protected content on behalf of a user

• Read all protected content for this tenant

• Create protected content

• Manage Exchange As Application

• Use Exchange Web Services with full access to all mailboxes

• Have full control of all site collections

• Read and write managed metadata

• Read and write user profiles

• Read and write managed metadata

• Have full control of all site collections

• Read all groups

• Read tags in Teams

• Read items in all site collections

• Read all published labels and label policies for an organization.

• Read all users' full profiles

• Read all chat messages

• Read all channel messages

• Read directory data

• Read and create online meetings

• Read all schedule items

• Read tabs in Microsoft Teams.

• Read the names, descriptions, and settings of all channels

• Read all teams' settings

• Read the members of all teams

• Read the members of all channels

• Read installed Teams apps for all teams

• Sign in and read user profile

• Read all unified policies of the tenant.

• Use Exchange Web Services with full access to all mailboxes

• Manage Exchange As Application

• Create protected content

• Read all protected content for this tenant

• Read protected content on behalf of a user

• Create protected content on behalf of a user

カスタムアプリプロファイル権限

アプリプロファイルでカスタムアプリの使用を選択した場合、以下のことに注意してください。

• アプリプロファイル認証のみを使用する場合、カスタムアプリにアクセスポリシーが割り当てられており、移行元会議リンクを公開するために ロビーをバイパスするユーザー オプションが すべてのユーザー に変更されていることを確認します。詳細については、アクセスポリシーを参照してください。

• Fly Server インターフェイスで構成された 移行用の Microsoft 365 ユーザー が Exchange Online および Microsoft Teams のライセンスを持っていることを確認してください。

カスタムアプリにこれらの権限 (クラシック 移行方法および詳細移行方法には同じ権限が必要です) が付与されていることを確認してください。

API 名	権限名	説明	タイプ	必要となる理由
Office 365 Exchange Online	Full_access_as_app	Use Exchange Web Services with full access to all mailboxes	アプリケーション	すべてのメールボックスからアイテムを取得します。
Office 365 Exchange Online	Exchange.ManageAsApp	Manage Exchange As Application	アプリケーション	Exchange PowerShell を使用してメールボックスの権限を取得します。
Microsoft Graph	Directory.Read.All	Read directory data	アプリケーション	移行用のテナントドメインおよびサービスアカウントライセンスを含む Microsoft 365 テナント情報を取得します。
	ChannelMember.Read.All	Read the members of all channels	アプリケーション	プライベートチャネルおよび共有チャネルのメンバーを取得します。
	ChannelMember.ReadWrite.All	Add and remove members from all channels	アプリケーション	移行元接続でカスタムアプリプロファイルとサービスアカウントの両方を使用しており、移行元サービスアカウントがプライベートチャネル / 共有チャネルの所有者ではい場合にのみ必要です。この権限は、サービスアカウントをプライベートチャネルおよび共有チャネルの所有者として自動追加することができます。
	Group.Read.All	Read all groups	アプリケーション	Microsoft 365 グループおよびグループメンバーを取得します。
	Group.ReadWrite.All	Read and write all groups	アプリケーション	移行元接続でカスタムアプリプロファイルとサービスアカウントの両方を使用しており、移行元サービスアカウントがチーム所有者ではない場合に必要です。この権限は、サービスアカウントをチーム所有者として自動追加することができます。
	Sites.Read.All	Read items in all site collections	アプリケーション	チームサイトおよびプライベート / 共有チャネルのサイトコレクションのチャネルフォルダーおよびファイルを取得します。
	TeamMember.Read.All	Read the members of all teams	アプリケーション	チームメンバーを取得します。
	User.Read.All	Read all users' full profiles	アプリケーション	Microsoft 365 ユーザープロファイルの情報を取得します。
	ChannelMessage.Read.All	Read all channel messages	アプリケーション	すべてのチャネルメッセージを取得します。
	TeamSettings.Read.All	Read all teams' settings	アプリケーション	チーム設定を取得して移行します。
	TeamsAppInstallation.ReadForTeam.All	Read installed Teams apps for all teams	アプリケーション	チームアプリを取得して移行します。
	TeamsTab.Read.All	Read tabs in Microsoft Teams	アプリケーション	チームタブを取得して移行します。
	ChannelSettings.Read.All	Read the names, descriptions, and settings of all channels	アプリケーション	チャネル設定を取得して移行します。
	TeamworkTag.Read.All	Read tags in Teams	アプリケーション	タグを取得します。 ((Remove))
	OnlineMeetings.ReadWrite.All	Read and create online meetings	アプリケーション	移行先の置き換えられた会議リンクがすべての出席者に利用可能であることを確認します。
	InformationProtectionPolicy.Read.All	Read all published labels and label policies for an organization	アプリケーション	チーム / ファイル / メールの秘密度ラベルを管理する場合にのみ必要です。
	Schedule.Read.All	Read all schedule items	アプリケーション	Teams シフトアプリデータを取得して移行します。 (Remove)
SharePoint	Sites.FullControl.All	Have full control of all site collections	アプリケーション	チームサイトの設定および権限を取得します。
SharePoint	TermStore.ReadWrite.All	Read and write managed metadata	アプリケーション	Managed Metadata Service を取得して移行します。 ^注意: 管理されたナビゲーションで使用されている用語セットを移行するには、TermStore.ReadWrite.All* 権限が必要です。管理されたナビゲーションで使用されている用語セットを移行する必要がない場合、権限を TermStore.Read.All に置き換えることができます。
Azure Rights Management Services	Content.SuperUser	Read all protected content for this tenant	アプリケーション	チーム / ファイル / メールの秘密度ラベルを管理する場合にのみ必要です。
Azure Rights Management Services	Content.Writer	Create protected content	アプリケーション	チーム / ファイル / メールの秘密度ラベルを管理する場合にのみ必要です。
Microsoft Information Protection Sync Service	UnifiedPolicy.Tenant.Read	Read all unified policies of the tenant.	アプリケーション	チーム / ファイル / メールの秘密度ラベルを管理する場合にのみ必要です。

簡単に使用するため、以下のコマンドを使用し、マニフェスト を介して必要な API 権限を追加することができます。

"requiredResourceAccess": [

{

"resourceAppId": "00000012-0000-0000-c000-000000000000",

"resourceAccess": [

{

"id": "006e763d-a822-41fc-8df5-8d3d7fe20022",

"type": "Role"

{

"id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",

"type": "Role"

}

]

{

"resourceAppId": "00000003-0000-0000-c000-000000000000",

"resourceAccess": [

{

"id": "62a82d76-70ea-41e2-9197-370581804d09",

"type": "Role"

{

"id": "5b567255-7703-4780-807c-7be8301ae99b",

"type": "Role"

{

"id": "b74fd6c4-4bde-488e-9695-eeb100e4907f",

"type": "Role"

{

"id": "332a536c-c7ef-4017-ab91-336970924f0d",

"type": "Role"

{

"id": "19da66cb-0fb0-4390-b071-ebc76a349482",

"type": "Role"

{

"id": "df021288-bdef-4463-88db-98f22de89214",

"type": "Role"

{

"id": "7b2449af-6ccd-4f4d-9f78-e550c193f0d1",

"type": "Role"

{

"id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61",

"type": "Role"

{

"id": "b8bb2037-6e08-44ac-a4ea-4674e010e2a4",

"type": "Role"

{

"id": "7b2ebf90-d836-437f-b90d-7b62722c4456",

"type": "Role"

{

"id": "46890524-499a-4bb2-ad64-1476b4f3e1cf",

"type": "Role"

{

"id": "c97b873f-f59f-49aa-8a0e-52b32d762124",

"type": "Role"

{

"id": "242607bd-1d2c-432c-82eb-bdb27baa23ab",

"type": "Role"

{

"id": "660b7406-55f1-41ca-a0ed-0b035e182f3e",

"type": "Role"

{

"id": "3b55498e-47ec-484f-8136-9013221c06a9",

"type": "Role"

{

"id": "35930dcf-aceb-4bd1-b99a-8ffed403c974",

"type": "Role"

{

"id": "1f615aea-6bf9-4b05-84bd-46388e138537",

"type": "Role"

}

]

{

"resourceAppId": "00000003-0000-0ff1-ce00-000000000000",

"resourceAccess": [

{

"id": "c8e3537c-ec53-43b9-bed3-b2bd3617ae97",

"type": "Role"

{

"id": "678536fe-1083-478a-9c59-b99265e6b0d3",

"type": "Role"

}

]

{

"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",

"resourceAccess": [

{

"id": "dc890d15-9560-4a4c-9b7f-a736ec74ec40",

"type": "Role"

{

"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",

"type": "Role"

}

]

{

"resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",

"resourceAccess": [

{

"id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",

"type": "Role"

}

]

}