サービス アカウント権限

移行元 Groups にサービス アカウント認証のみを使用している場合、サービス アカウントは以下の権限を持っている必要があります。

•    Exchange Online ライセンスを持つ

^*注意: サービス アカウントにライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。

•    移行元グループのグループ所有者である

^*注意: この要件は、検出ジョブと移行ジョブの両方に適用されます。

サービス アカウントをグループの所有者として手動追加することができます。サービス アカウントに グループ管理者 または グローバル管理者 ロールを付与すると、Fly Server はサービス アカウントをグループ所有者として自動追加することができます。

移行の実行後、PowerShell を使用してサービス アカウントをグループの所有者から削除するか、サービス アカウントを直接ブロックすることができます。詳細については、付録 N – サービス アカウントの削除 / ブロック を参照してください。

アプリ プロファイルも使用する場合の必須権限

移行元 Groups でサービス アカウント認証とアプリ プロファイル認証の両方を使用している場合、サービス アカウントは以下の条件を満たす必要があります。

•    Exchange Online ライセンスを持つ

^*注意: サービス アカウントにライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、サービス アカウントの ライセンスとアプリ タブで Exchange Online を選択します。

•    移行元グループのグループ所有者である

^*注意: この要件は、検出ジョブと移行ジョブの両方に適用されます。

サービス アカウントをグループの所有者として手動追加することができます。以下の条件を満たすサービス アカウントとアプリ プロファイルの両方を提供する場合、Fly Server はサービス アカウントをグループ所有者として自動追加することができます。

o  サービス アカウントが グループ管理者 または グローバル管理者 であり、かつアプリ プロファイルが 移行元 (読み取り) 権限を持つ Fly Server (推奨) アプリを使用して作成されたものである

o  アプリ プロファイルが 新規作成 または必要な権限を持つカスタム アプリ プロファイルであり、かつサービス アカウントが管理者ロールを持たない標準ユーザーである

移行の実行後、PowerShell を使用してサービス アカウントをグループの所有者から削除するか、サービス アカウントを直接ブロックすることができます。詳細については、付録 N – サービス アカウントの削除 / ブロック を参照してください。

委任アプリ プロファイル権限

委任アプリ プロファイルを使用する場合、承認ユーザーは Microsoft 365 グローバル管理者 である必要があります。

^*注意: 委任アプリの承認後、承認ユーザーから Microsoft 365 グローバル管理者 ロールを削除する場合、サービス アカウントと同等な権限を持っていることを確認してください。

異なる権限タイプのアプリを承認する際に同意する必要がある特定の権限については、付録 T – アプリ プロファイルの必須権限 の Fly Server 委任アプリ プロファイル権限 テーブルを参照してください。

Fly Server (推奨) アプリ プロファイル権限

アプリ プロファイルで Fly Server (推奨) アプリ の使用を選択した場合、以下のことに注意してください。

•    アプリ プロファイル認証 のみ を使用する場合、Fly Server (推奨) アプリにアクセス ポリシーが割り当てられており、かつ移行元会議リンクを公開するために ロビーをバイパスするユーザー オプションが すべてのユーザー に変更されていることを確認します。詳細については、アクセス ポリシー を参照してください。

•    Fly Server インターフェイスで構成された 移行用の Microsoft 365 ユーザー が Exchange Online のライセンスを持っており、かつ承認ユーザーが Microsoft 365 テナントの グローバル管理者 であることを確認してください。

^*注意: 移行用の Microsoft 365 ユーザー にライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、ユーザーの ライセンスとアプリ タブで Exchange Online を選択します。

異なる権限タイプのアプリを承認する際に同意する必要がある特定の権限については、付録 T – アプリ プロファイルの必須権限 の Fly Server (推奨) アプリ プロファイル権限 テーブルを参照してください。

新規作成アプリ プロファイルの権限

アプリ プロファイルでアプリの新規作成を選択した場合、Fly Server インターフェイスで構成された Microsoft 365 グローバル管理者 が Exchange Online のライセンスを持っており、かつ承認ユーザーが Microsoft 365 テナントの グローバル管理者 であることを確認してください。

^*注意: Microsoft 365 フローバル管理者 にライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、ユーザーの ライセンスとアプリ タブで Exchange Online を選択します。

アプリを承認する際に同意する必要がある特定の権限については、付録 T – アプリ プロファイルの必須権限 の 新規作成アプリ プロファイル権限 テーブルを参照してください。

カスタム アプリ プロファイル権限

アプリ プロファイルでカスタム アプリの使用を選択した場合、以下のことに注意してください。

•    移行元の ロビーをバイパスするユーザー オプションを すべてのユーザー に変更して移行元会議リンクを公開するためには、カスタム アプリにアクセス ポリシーが割り当てられていることを確認してください。詳細については、アクセス ポリシー を参照してください。

•    Fly Server インターフェイスで構成された 移行用の Microsoft 365 ユーザー が Exchange Online のライセンスを持っていることを確認してください。

^*注意: 移行用の Microsoft 365 ユーザー にライセンスを割り当てるには、Microsoft 365 管理センター > ユーザー > アクティブなユーザー に移動して、ユーザーの ライセンスとアプリ タブで Exchange Online を選択します。

カスタム アプリにはこれらの権限が付与されていることを確認してください。

API 名	権限名	説明	タイプ	必要となる理由
Office 365 Exchange Online	Full_access_as_app	Use Exchange Web Services with full access to all mailboxes	アプリケーション	すべてのメールボックスからアイテムを取得します。
	Exchange.ManageAsApp	Manage Exchange As Application	アプリケーション	Exchange PowerShell を使用してメールボックスの権限を取得します。
Microsoft Graph	Directory.Read.All	Read directory data	アプリケーション	Microsoft 365 ユーザーを取得して移行します。
	Group.Read.All	Read all groups	アプリケーション	Microsoft 365 グループおよびグループ メンバーを取得します。
	Group.ReadWrite.All	Read and write all groups	アプリケーション	移行元接続でカスタム アプリ プロファイルとサービス アカウントの両方を使用しており、移行元サービス アカウントがグループ所有者ではない場合に必要です。この権限は、サービス アカウントをグループ所有者として自動追加することができます。
	Sites.Read.All	Read items in all site collections	アプリケーション	チーム サイトのファイルを取得します。
	User.Read.All	Read all users' full profiles	アプリケーション	Microsoft 365 ユーザー プロファイルの情報を取得します。
	OnlineMeetings.ReadWrite.All	Read and create online meetings	アプリケーション	移行先の置き換えられた会議リンクがすべての出席者に利用可能であることを確認します。
	Tasks.Read.All	Read all users’ tasks and tasklist	アプリケーション	Planner 内の Planner およびデータを取得します。
	InformationProtectionPolicy.Read.All	Read all published labels and label policies for an organization	アプリケーション	ファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。
SharePoint	Sites.FullControl.All	Have full control of all site collections	アプリケーション	チーム サイトの設定および権限を取得します。
	TermStore.ReadWrite.All	Read and write managed metadata	アプリケーション	Managed Metadata Service を取得して移行します。
Azure Rights Management Services	Content.SuperUser	Read all protected content for this tenant	アプリケーション	ファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。
	Content.Writer	Create protected content	アプリケーション
Microsoft Information Protection Sync Service	UnifiedPolicy.Tenant.Read	Read all unified policies of the tenant.	アプリケーション	ファイル / メール / グループの秘密度ラベルを管理する場合にのみ必要です。

 

^*注意: 以下のコマンドを使用し、マニフェスト を介して必要な API 権限を追加することができます。

"requiredResourceAccess": [

        {

            "resourceAppId": "00000003-0000-0000-c000-000000000000",

            "resourceAccess": [

                {

                    "id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61",

                    "type": "Role"

                },

                {

                    "id": "5b567255-7703-4780-807c-7be8301ae99b",

                    "type": "Role"

                },

                {

                    "id": "62a82d76-70ea-41e2-9197-370581804d09",

                    "type": "Role"

                },

                {

                    "id": "19da66cb-0fb0-4390-b071-ebc76a349482",

                    "type": "Role"

                },

                {

                    "id": "b8bb2037-6e08-44ac-a4ea-4674e010e2a4",

                    "type": "Role"

                },

                {

                    "id": "332a536c-c7ef-4017-ab91-336970924f0d",

                    "type": "Role"

                },

                {

                    "id": " c0bf4420-ed41-4c4e-8ce8-d96bfc03f7d7",

                    "type": "Role"

                },

                {

                    "id": "df021288-bdef-4463-88db-98f22de89214",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",

            "resourceAccess": [

                {

                    "id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000002-0000-0ff1-ce00-000000000000",

            "resourceAccess": [

                {

                    "id": "dc890d15-9560-4a4c-9b7f-a736ec74ec40",

                    "type": "Role"

                },

                {

                    "id": "dc50a0fb-09a3-484d-be87-e023b12c6440",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",

            "resourceAccess": [

                {

                    "id": "c8e3537c-ec53-43b9-bed3-b2bd3617ae97",

                    "type": "Role"

                },

                {

                    "id": "678536fe-1083-478a-9c59-b99265e6b0d3",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000012-0000-0000-c000-000000000000",

            "resourceAccess": [

                {

                    "id": "006e763d-a822-41fc-8df5-8d3d7fe20022",

                    "type": "Role"

                },

                {

                    "id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",

                    "type": "Role"

                }

            ]

        }

    ],