サービス アカウント権限

移行元 Exchange にサービス アカウント認証のみを使用している場合、サービス アカウントはメールボックスを持っており、以下の権限を持っていることを確認してください。

^*注意: サービス アカウントがメールボックスを持っていることを確認するには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。

移行元タイプ	移行元サービス アカウント権限	注記
Exchange オンプレミス / ホスト型 Exchange	移行で移行元メールボックスに対する ApplicationImpersonation ロールまたは フル アクセス 許可	ApplicationImpersonation ロールを追加するには、付録 O – アカウントへの役割の追加方法 を参照してください。 移行で、Microsoft 365 グループ メールボックス、配布グループ、メールが有効なセキュリティ グループ、オートコンプリート リストを移行しない場合、ApplicationImpersonation ロールを追加せずに フル アクセス 許可を付与することができます。 Rackspace によってホストされている Exchange を使用する場合、Rackspace サポートに連絡して、すべてのメールボックスに対する完全な [偽装の権限] を持っているサービス アカウントを提供することを要求します。
	Mail Recipients ロール	メールボックスの読み込みおよび自動マッピング中、メールボックス権限の移行中、メール転送の実行中にメールボックスを取得します。
	Distribution Groups ロール	配布グループを移行する場合にのみ必要です。
	Mailbox Search ロール	移行で使用されている Fly Server エージェントと Exchange サーバーが異なるドメインに所属している場合にのみ、このロールがメールボックスの読み込みおよび自動マッピングに必要です。この機能は Exchange 2013 以上のバージョンにのみ適用します。
	Active Directory ロール	メールボックス権限を移行する場合にのみ必要です。
Exchange Online	移行で移行元メールボックスに対する ApplicationImpersonation ロールまたは フル アクセス 許可	ApplicationImpersonation ロールを追加するには、付録 O – アカウントへの役割の追加方法 を参照してください。 移行で、グループ メールボックス、配布グループ、メールが有効なセキュリティ グループ、オートコンプリート リストを移行しない場合、ApplicationImpersonation ロールを追加せずに フル アクセス 許可を付与することができます。
	Mail Recipients ロール	メールボックスの読み込みおよび自動マッピング中、メールボックス権限の移行中、メール転送の実行中にメールボックスを取得します。
	Distribution Groups ロール	配布グループ / メールが有効なセキュリティ グループに移行する場合にのみ必要です。
	組織の スーパー ユーザー ロール	詳細については、スーパー ユーザー機能の構成 を参照してください。秘密度ラベルを管理する場合にのみ必要です。
	Mailbox Search ロール	Exchange Online PowerShell が利用できない場合にのみ必要です。移行元のメールボックスおよびメールボックス タイプを取得します。

 

アプリ プロファイルも使用する場合の必須権限

移行元 Exchange Online でサービス アカウント認証とアプリ プロファイル認証の両方を使用している場合、Fly Server は既定ではサービス アカウントを使用して一部のデータを移行します。サービス アカウントがメールボックスおよび以下の権限を持っていることを確認してください。

^*注意: サービス アカウントがメールボックスを持っていることを確認するには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。

移行元サービス アカウント権限	注記
Mail Recipients ロール	メールボックスの読み込みおよび自動マッピング中、メールボックス権限の移行中、メール転送の実行中にメールボックスを取得します。
Distribution Groups ロール	配布グループ / メールが有効なセキュリティ グループに移行する場合にのみ必要です。
Mailbox Search ロール	Exchange Online PowerShell が利用できない場合にのみ必要です。移行元のメールボックスおよびメールボックス タイプを取得します。

 

委任アプリ プロファイル権限

委任アプリ プロファイルを使用する場合、承認ユーザーは Microsoft 365 グローバル管理者 である必要があります。

^*注意: 委任アプリの承認後、承認ユーザーから Microsoft 365 グローバル管理者 ロールを削除する場合、サービス アカウントと同等な権限を持っていることを確認してください。

^*注意: Exchange PowerShell は、21Vianet テナント用の委任アプリのみを使用する際に利用できません。

異なる権限タイプのアプリを承認する際に同意する必要がある特定の権限については、付録 T – アプリ プロファイルの必須権限 の Fly Server 委任アプリ プロファイル権限 テーブルを参照してください。

Fly Server (推奨) アプリ プロファイル権限

アプリ プロファイル認証 のみ を使用する場合、以下のことが必要です。

•    アプリ プロファイルで構成された 移行用の Microsoft 365 ユーザー は、メールボックス (Exchange ライセンスの割り当てまたは PowerShell の使用によって作成されたメールボックス) を持ち、承認ユーザーがテナントの Microsoft 365 グローバル管理者 である必要があります。詳細については、Exchange Online PowerShell 使用して新しいメールボックスを作成する を参照してください。

•    Exchange Online PowerShell が利用可能であることを確保するには、以下のオプションのいずれかを選択します。

o  アプリに Exchange 管理者 ロールを割り当てます。詳細については、付録 Q – Exchange 管理者ロールのアプリへの割り当て方法 を参照してください。

o  カスタム ロールをアプリに追加します。詳細については、付録 U – アカウントへのカスタム役割の追加方法 を参照してください。

アプリに Exchange 管理者 ロールまたはカスタム ロールを割り当てない場合、Exchange Online PowerShell が利用不可になります。この場合、一部の Fly Server 機能が利用できなくなります。詳細については、付録 F – Exchange PowerShell での作業 を参照してください。

^*注意: アプリへの Exchange 管理者 ロールまたはカスタム ロールの割り当てなしで、Fly Server は Exchange Online PowerShell を使用してメールボックスおびメールボックス タイプを取得することができません。Mailbox Search ロールをアプリ承認ユーザーに割り当てて、Exchange Web サービスを使用してメールボックスおよびメールボックス タイプを取得することができます。

•    移行元の ロビーをバイパスするユーザー オプションを すべてのユーザー に変更して移行元会議リンクを公開するためには、Fly Server (推奨) アプリまたはカスタム アプリにアクセス ポリシーが割り当てられていることを確認してください。詳細については、アクセス ポリシー を参照してください。

異なる権限タイプのアプリを承認する際に同意する必要がある特定の権限については、付録 T – アプリ プロファイルの必須権限 の Fly Server (推奨) アプリ プロファイル権限 テーブルを参照してください。

新規作成アプリ プロファイルの権限

アプリ プロファイル認証 のみ を使用する場合、以下のことが必要です。

•    アプリ プロファイルで構成されているアカウントがメールボックスを持っている必要があります (Exchange ライセンスを割り当てるか、PowerShell を使用してメールボックスを作成します)。詳細については、Exchange Online でユーザー メールボックスを作成する を参照してください。

•    Exchange Online PowerShell が利用可能であることを確保するには、以下のオプションのいずれかを選択します。

o  アプリに Exchange 管理者 ロールを割り当てます。詳細については、付録 Q – Exchange 管理者ロールのアプリへの割り当て方法 を参照してください。

o  カスタム ロールをアプリに追加します。詳細については、付録 U – アカウントへのカスタム役割の追加方法 を参照してください。

アプリに Exchange 管理者 ロールまたはカスタム ロールを割り当てない場合、Exchange Online PowerShell が利用不可になります。この場合、一部の Fly Server 機能が利用できなくなります。詳細については、付録 F – Exchange PowerShell での作業 を参照してください。

^*注意: アプリへの Exchange 管理者 ロールまたはカスタム ロールの割り当てなしで、Fly Server は Exchange Online PowerShell を使用してメールボックスおびメールボックス タイプを取得することができません。Mailbox Search ロールをアプリ承認ユーザーに割り当てて、Exchange Web サービスを使用してメールボックスおよびメールボックス タイプを取得することができます。

•    移行元の ロビーをバイパスするユーザー オプションを すべてのユーザー に変更して移行元会議リンクを公開するためには、Fly Server アプリまたはカスタム アプリ用のアクセス ポリシーが割り当てられていることを確認してください。詳細については、アクセス ポリシー を参照してください。

アプリを承認する際に同意する必要がある特定の権限については、付録 T – アプリ プロファイルの必須権限 の 新規作成アプリ プロファイル権限 テーブルを参照してください。

カスタム アプリ プロファイル権限

アプリ プロファイル認証 のみ を使用する場合、以下のことが必要です。

•    アプリ プロファイルで構成されているアカウントがメールボックスを持っている必要があります (Exchange ライセンスを割り当てるか、PowerShell を使用してメールボックスを作成します)。詳細については、Exchange Online でユーザー メールボックスを作成する を参照してください。

•    Exchange Online PowerShell が利用可能であることを確保するには、以下のオプションのいずれかを選択します。

o  アプリに Exchange 管理者 ロールを割り当てます。詳細については、付録 Q – Exchange 管理者ロールのアプリへの割り当て方法 を参照してください。

o  カスタム ロールをアプリに追加します。詳細については、付録 U – アカウントへのカスタム役割の追加方法 を参照してください。

アプリに Exchange 管理者 ロールまたはカスタム ロールを割り当てない場合、Exchange Online PowerShell が利用不可になります。この場合、一部の Fly Server 機能が利用できなくなります。詳細については、付録 F – Exchange PowerShell での作業 を参照してください。

^*注意: アプリへの Exchange 管理者 ロールまたはカスタム ロールの割り当てなしで、Fly Server は Exchange Online PowerShell を使用してメールボックスおびメールボックス タイプを取得することができません。Mailbox Search ロールをアプリ承認ユーザーに割り当てて、Exchange Web サービスを使用してメールボックスおよびメールボックス タイプを取得することができます。

•    移行元の ロビーをバイパスするユーザー オプションを すべてのユーザー に変更して移行元会議リンクを公開するためには、Fly Server アプリまたはカスタム アプリ用のアクセス ポリシーが割り当てられていることを確認してください。詳細については、アクセス ポリシー を参照してください。

Exchange 移行に必要な API 権限を追加するには、以下の表を参照してください。

API 名	権限名	説明	タイプ	必要となる理由
Azure Rights Management Services	Content.SuperUser	Read all protected content for this tenant	アプリケーション	メールの秘密度ラベルを管理する場合にのみ必要です。
Microsoft Information Protection Sync Service	UnifiedPolicy.Tenant.Read	Read all unified policies of the tenant	アプリケーション	メールの秘密度ラベルを管理する場合にのみ必要です。
Office 365 Exchange Online	Full_access_as_app	Use Exchange Web Services with full access to all mailboxes	アプリケーション	すべてのメールボックスからアイテムを取得して移行します。
	Exchange.ManageAsApp	Manage Exchange As Application	アプリケーション	Exchange PowerShell を使用してメールボックス権限および配布グループの移行などの移行を実行します。
Microsoft Graph	OnlineMeetings.ReadWrite.All	Read and create online meetings	アプリケーション	移行先の置き換えられた会議リンクがすべての出席者に利用可能であることを確認します。
	Group.Read.All	Read all groups	アプリケーション	アプリに Exchange 管理者 ロールを割り当てない場合にのみ必要です。Microsoft 365 グループ メールボックスおよびメールボックス タイプを取得します。

 

^*注意: 以下のコマンドを使用して、マニフェスト を介して必要な API 権限を追加することができます。

"requiredResourceAccess": [

        {

            "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",

            "resourceAccess": [

                {

                    "id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000003-0000-0000-c000-000000000000",

            "resourceAccess": [

                {

                    "id": "5b567255-7703-4780-807c-7be8301ae99b",

                    "type": "Role"

                },

                {

                    "id": "b8bb2037-6e08-44ac-a4ea-4674e010e2a4",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000002-0000-0ff1-ce00-000000000000",

            "resourceAccess": [

                {

                    "id": "dc890d15-9560-4a4c-9b7f-a736ec74ec40",

                    "type": "Role"

                },

                {

                    "id": "dc50a0fb-09a3-484d-be87-e023b12c6440",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000012-0000-0000-c000-000000000000",

            "resourceAccess": [

                {

                    "id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",

                    "type": "Role"

                }

            ]

        }

    ],