サービス アカウント権限

移行元エージェント アカウントにはメールボックスが存在し、以下の権限が付与されていることを確認してください。

Source Type	移行元サービス アカウント権限	注記
Exchange オンプレミス / ホスト型 Exchange	移行で移行元メールボックスに対する アプリケーション偽装 ロールまたは フル アクセス 許可	移行で、Microsoft 365 グループ メールボックス、配布グループ、メールが有効なセキュリティ グループ、自動完了リストを移行しない場合、アプリケーション偽装 ロールを追加せずに フル アクセス 許可を付与することができます。 Rackspace によってホストされている Exchange を使用する場合、Rackspace サポートに連絡して、すべてのメールボックスに対する完全な [偽装の権限] を持っているサービス アカウントを提供することを要求します。
	Mail Recipients ロール
	Mailbox Search ロール	移行で使用されている FLY エージェントと Exchange サーバーで使用されている FLY エージェントが異なるドメインに所属している場合、このロールがメールボックスの読み込みおよび自動マッピングに必要です。この機能は Exchange 2013 以上のみに適用します。
	Active Directory ロール	メールボックス権限を移行する場合に必要です。
Exchange Online	移行で移行元メールボックスに対する アプリケーション偽装 ロールまたは フル アクセス 許可	移行で、グループ メールボックス、配布グループ、メールが有効なセキュリティ グループ、自動完了リストを移行しない場合、ApplicationImpersonation ロールを追加せずに フル アクセス 許可を付与することができます。
	Mail Recipients ロール
	組織の スーパー ユーザー ロール	詳細については、スーパー ユーザー機能の構成 を参照してください。秘密度ラベルを管理する場合に必要です。

 

アプリ プロファイル権限

アプリ プロファイル認証 のみ を使用する場合、

•    アプリ プロファイルで構成されたアカウントがメールボックスを持っている必要があります。(Exchange ライセンスを割り当てるか、 PowerShell を使用してメールボックスを作成します)

•    アプリに Exchange 管理者 ロールを手動割り当てし、Exchange Online PowerShell が利用可能であることを確認します。詳細については、Exchange 管理者ロールのアプリへの割り当て方法 セクションを参照してください。

•    21Vianet テナントの場合、移行に際し、移行元メールボックスに対してアプリ プロファイルで構成されたアカウントに Mailbox Search ロールが付与されていることを確認してください。

アプリ プロファイルで FLY Azure AD アプリの使用またはアプリの新規作成を選択する場合、アプリの承認時に以下の権限を承諾する必要があります。

•    Sign in and read user profile

•    Read and write items in all site collections

•    Read all published labels and label policies for an organization.

•    Read and write all users' full profiles

•    Read all chat messages

•    Read all channel messages

•    Read and write all groups

•    Read directory data

•    Read and write calendars in all mailboxes

•    Add and remove members from all teams

•    Add and remove members from all channels

•    Create chat and channel messages with anyone's identity and with any timestamp

•    Read all unified policies of the tenant.

•    Create protected content on behalf of a user

•    Read protected content on behalf of a user

•    Read all protected content for this tenant

•    Create protected content

•    Manage Exchange As Application

•    Use Exchange Web Services with full access to all mailboxes

•    Have full control of all site collections

•    Read and write managed metadata

•    Read and write user profiles

アプリ プロファイルでカスタム アプリの使用を選択する場合、アプリに以下の権限が付与されていることを確認してください。

API 名	権限名	説明	タイプ
Azure Rights Management サービス	Content.DelegatedReader	Read protected content on behalf of a user	アプリケーション
	Content.DelegatedWriter	Create protected content on behalf of a user	アプリケーション
	Content.SuperUser	Read all protected content for this tenant	アプリケーション
	Content.Writer	Create protected content	アプリケーション
Microsoft Information Protection Sync Service	UnifiedPolicy.Tenant.Read	Read all unified policies of the tenant.	アプリケーション
Office 365 Exchange Online	Full_access_as_app	Use Exchange Web Services with full access to all mailboxes	アプリケーション
	Exchange.ManageAsApp	Manage Exchange As Application	アプリケーション

 

簡単に使用するため、以下のコマンドを直接使用し マニフェスト を介して必要な API 権限を追加することができます。

"requiredResourceAccess": [

        {

            "resourceAppId": "00000002-0000-0ff1-ce00-000000000000",

            "resourceAccess": [

                {

                    "id": "dc890d15-9560-4a4c-9b7f-a736ec74ec40",

                    "type": "Role"

                },

                {

                    "id": "dc50a0fb-09a3-484d-be87-e023b12c6440",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",

            "resourceAccess": [

                {

                    "id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000012-0000-0000-c000-000000000000",

            "resourceAccess": [

                {

                    "id": "d13f921c-7f21-4c08-bade-db9d048bd0da",

                    "type": "Role"

                },

                {

                    "id": "7f740376-647b-4ad7-9ff7-292af252707a",

                    "type": "Role"

                },

                {

                    "id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",

                    "type": "Role"

                },

                {

                    "id": "006e763d-a822-41fc-8df5-8d3d7fe20022",

                    "type": "Role"

                }

            ]

        }

    ],

サービス アカウント権限

移行先サービス アカウントにはメールボックスが存在し、以下の権限が付与されていることを確認してください。

移行先タイプ	移行先サービス アカウント権限	注記
Exchange オンプレミス / ホスト型 Exchange	ApplicationImpersonation ロール
	Mail Recipients ロール
	Mail Recipient Creation ロール	グローバル連絡先を移行する場合に必要です。
	Distribution Groups ロール	配布グループを移行する場合に必要です。
	Mailbox Search ロール	移行で使用されている FLY エージェントと Exchange サーバーで使用されている FLY エージェントが異なるドメインに所属している場合、このロールがメールボックスの読み込みおよび自動マッピングに必要です。この機能は Exchange 2013 以上のみに適用します。
	Active Directory ロール	メールボックス権限を移行する場合に必要です。
	Security Group Creation and Membership ロール	配布グループをメールが有効なセキュリティ グループに移行する場合に必要です。サービス アカウントが Exchange 管理者 である場合、このロールが必須ではありません。
Exchange Online	ApplicationImpersonation ロール
	Mail Recipients ロール
	Mail Recipient Creation ロール	移行先でグローバル連絡先を移行するか、共有メールボックスを作成する場合に必要です。
	Distribution Groups ロール	配布グループ / メールが有効なセキュリティ グループに移行する場合に必要です。
	Security Group Creation and Membership ロール	配布グループをメールが有効なセキュリティ グループに移行する場合に必要です。サービス アカウントが Exchange 管理者 である場合、このロールが必須ではありません。
	Microsoft 365 管理センターの ユーザー管理者 ロール	移行先ユーザーに対して、Microsoft 365 ライセンスの割り当ておよびメールボックスのプロビジョニングを実行する場合に必要です。
	Microsoft 365 管理センターの グループ管理者 ロール	配布グループ / メールが有効なセキュリティ グループを既存の Microsoft 365 グループに移行する場合に必要です。
	組織の スーパー ユーザー	詳細については、スーパー ユーザー機能の構成 を参照してください。秘密度ラベルを管理する場合に必要です。

 

アプリ プロファイル権限

配布グループ / メールが有効なセキュリティ グループを既存の Microsoft 365 グループに移行する場合、アカウントが グループの管理者 ロールを持っていることを確認してください。アプリ プロファイル認証 のみ を使用する場合、

•    アプリ プロファイルで構成されたアカウントがメールボックスを持っている必要があります。(Exchange ライセンスを割り当てるか、 PowerShell を使用してメールボックスを作成します)

•    アプリに Exchange 管理者 ロールを手動割り当てし、Exchange Online PowerShell が利用可能であることを確認します。詳細については、Exchange 管理者ロールのアプリへの割り当て方法 セクションを参照してください。

•    21Vianet テナントの場合、移行に際し、移行元メールボックスに対してアプリ プロファイルで構成されたアカウントに Mailbox Search ロールが付与されていることを確認してください。

アプリプロファイルで FLY Azure AD アプリの使用またはアプリの新規作成を選択する場合、アプリの承認時に以下の権限を承諾する必要があります。

•    Sign in and read user profile

•    Read and write items in all site collections

•    Read all published labels and label policies for an organization.

•    Read and write all users' full profiles

•    Read all chat messages

•    Read all channel messages

•    Read and write all groups

•    Read directory data

•    Read and write calendars in all mailboxes

•    Add and remove members from all teams

•    Add and remove members from all channels

•    Create chat and channel messages with anyone's identity and with any timestamp

•    Read all unified policies of the tenant.

•    Create protected content on behalf of a user

•    Read protected content on behalf of a user

•    Read all protected content for this tenant

•    Create protected content

•    Manage Exchange As Application

•    Use Exchange Web Services with full access to all mailboxes

•    Have full control of all site collections

•    Read and write managed metadata

•    Read and write user profiles

アプリ プロファイルでカスタム アプリの使用を選択する場合、アプリに以下の権限が付与されていることを確認してください。

API 名	権限名	説明	タイプ	注記
Office 365 Exchange Online	Full_access_as_app	Use Exchange Web Services with full access to all mailboxes	アプリケーション
	Exchange.ManageAsApp	Manage Exchange As Application	アプリケーション
Azure Rights Management サービス	Content.DelegatedReader	Read protected content on behalf of a user	アプリケーション
	Content.DelegatedWriter	Create protected content on behalf of a user	アプリケーション
	Content.SuperUser	Read all protected content for this tenant	アプリケーション
	Content.Writer	Create protected content	アプリケーション
Microsoft Information Protection Sync Service	UnifiedPolicy.Tenant.Read	Read all unified policies of the tenant.	アプリケーション
Microsoft Graph	User.ReadWrite.All	Read and write all users’ full profiles	アプリケーション	移行先ユーザーに対して、Microsoft 365 ライセンスの割り当ておよびメールボックスのプロビジョニングを実行する場合に必要です。

 

簡単に使用するため、以下のコマンドを直接使用し、マニフェスト を介して必要な API 権限を追加することができます。

"requiredResourceAccess": [

        {

            "resourceAppId": "00000003-0000-0000-c000-000000000000",

            "resourceAccess": [

                {

                    "id": "741f803b-c850-494e-b5df-cde7c675a1ca",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000002-0000-0ff1-ce00-000000000000",

            "resourceAccess": [

                {

                    "id": "dc890d15-9560-4a4c-9b7f-a736ec74ec40",

                    "type": "Role"

                },

                {

                    "id": "dc50a0fb-09a3-484d-be87-e023b12c6440",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",

            "resourceAccess": [

                {

                    "id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000012-0000-0000-c000-000000000000",

            "resourceAccess": [

                {

                    "id": "d13f921c-7f21-4c08-bade-db9d048bd0da",

                    "type": "Role"

                },

                {

                    "id": "7f740376-647b-4ad7-9ff7-292af252707a",

                    "type": "Role"

                },

                {

                    "id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",

                    "type": "Role"

                },

                {

                    "id": "006e763d-a822-41fc-8df5-8d3d7fe20022",

                    "type": "Role"

                }

            ]

        }

    ],