ApplicationImpersonation ロールなしでメールボックスするには、3 つのオプションがあります。詳細については、以下の説明を参照してください。
•オプション 1: メールボックスの移行にサービス アカウントまたは委任アプリ プロファイルを使用する場合、サービス アカウントまたは委任アプリ プロファイルの承認ユーザーに、移行するすべてのメールボックスに対する フル アクセス 権限を付与します。
*注意: この場合、グループ メールボックスおよびオートコンプリート リストを移行することはできません。
•オプション 2: 移行用の Exchange Online 接続で Fly Server (推奨) アプリ プロファイルまたはカスタム アプリ プロファイルを使用します。
•オプション 3: カスタム アプリ プロファイルを作成し、full_access_as_app 権限以外の必要な権限をアプリに割り当てます。その後、指定したメールボックスにのみアクセスできるように、アプリ用の RBAC 割り当てを作成します。詳細については、以下の説明を参照してください:
*注意: この方法は、委任アプリ プロファイルで使用できません。
i. アプリ用の RBAC 割り当てを作成する前に、Microsoft Entra 管理センター > アプリケーション > エンタープライズ アプリケーション に移動して、アプリのオブジェクト ID・アプリケーション ID・名前を取得できます。取得した情報は後で使用されます。
ii. Windows PowerShell を使用して Exchange Online 環境に接続します。詳細については、Exchange Online PowerShell に接続する を参照してください。
iii. Windows PowerShell を開き、以下のコマンドを入力して新しいリソース スコープを作成します (必須ではありません)。
New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query>
スコープ名を Name の属性値、スコープ フォルダーを RecipientRestrictionFilter の属性値として入力します。キーボードの Enter キーを押します。
iv. 以下のコマンドを入力して、Microsoft Entra サービス プリンシパルへのポインタを作成します。
New-ServicePrincipal -AppId <Client Application ID in AAD> -ObjectId <Service principal object ID in AAD> -DisplayName <name>
クライアント アプリケーション ID を AppId の属性値、サービス プリンシパル オブジェクト ID を ObjectId の属性値として入力し、サービス プリンシパルの名前を DisplayName の属性値として定義します。キーボードの Enter キーを押します。
v. 以下のコマンドを入力して、適切なアプリケーション ロールを選択します。
New-ManagementRoleAssignment [[-Name] <String>] -Role <RoleIdParameter> -App <ObjectID, AppID, or DisplayName> -CustomResourceScope <Management Scope> (or -RecipientAdministrativeUnitScope)
ロールの割り当て名を Name の属性値、Application EWS.AccessAsApp を Role の属性値、新しく作成されたサービス プリンシパルのオブジェクト ID・アプリ ID・表示名を App の属性値、スコープ名を CustomResourceScope の属性値として入力します。キーボードの Enter キーを押します。
vi. 以下のコマンドを入力して、新しいサービス プリンシパルをテストします。
Test-ServicePrincipalAuthorization -Identity <ObjectID, AppID, or DisplayName> [-Resource] <target mailbox>
アプリがメールボックスにアクセスできるかどうかをテストするには、新しく作成されたサービス プリンシパルのオブジェクト ID・アプリ ID・表示名を Identify の属性値、メールボックスのメール アドレスを Resource の属性値として入力して、キーボードの Enter キーを押します。
詳細については、Exchange Online でのアプリケーションのロールベースのアクセス制御 を参照してください。
移行に上記のオプション 2 またはオプション 3 を選択した場合、Exchange Online PowerShell が利用可能であることを確認するために、以下いずれかのオプションを選択する必要があります。
•アプリに Exchange 管理者 ロールを割り当てます。詳細については、付録 Q – Exchange 管理者ロールのアプリへの割り当て方法 を参照してください。
•カスタム ロールをアプリに追加します。詳細については、付録 U – アカウントへのカスタム役割の追加方法 を参照してください。
*注意: GCC High または 21Vianet テナントの場合、Microsoft API の制限により、アプリへのカスタム ロールの追加後、Exchange Online PowerShell が引き続き利用不可になります。
アプリに Exchange 管理者 ロールまたはカスタム ロールを割り当てない場合、Exchange Online PowerShell が利用不可になります。この場合、一部の Fly Server 機能が利用できなくなります。詳細については、付録 F – Exchange PowerShell での作業 を参照してください。
*注意: アプリへの Exchange 管理者 ロールまたはカスタム ロールの割り当てなしで、Fly Server は Exchange Online PowerShell を使用してメールボックスおびメールボックス タイプを取得することができません。Mailbox Search ロールをアプリ承認ユーザーに割り当てて、Exchange Web サービスを使用してメールボックスおよびメールボックス タイプを取得することができます。