サービス アカウント権限
追加 または インポート モードを使用して、サイト
コレクションを SharePoint/OneDrive 接続に追加する場合:
•
SharePoint
オンプレミス サイト コレクション:
サイト コレクション管理者 またはすべての Web アプリケーションの全領域に対する フル コントロール (Web
アプリケーションの ユーザー ポリシー で設定可能)
•
SharePoint
Online サイト コレクションまたは
OneDrive for Business オブジェクト: サイトコレクション管理者 または SharePoint 管理者
(移行中にサイト コレクションを新規作成する場合)。
•
移行中に SharePoint
で用語グループ・用語セット・用語を作成する場合、サービス アカウントが SharePoint Managed Metadata Service の
用語ストア管理者 であることを確認してください。
•
移行中にファイル /
サイトの秘密度ラベルを管理するには、サービス アカウントが スーパー ユーザー
に割り当てられていることを確認します。詳細については、スーパー ユーザー機能の構成 を参照してください。
スキャン まはた スキャン プロファイル モードを使用して、サイト
コレクションを SharePoint/OneDrive 接続に追加する場合:
•
SharePoint
オンプレミス サイト コレクション:
ファーム管理者
•
SharePoint
Online サイト コレクションまたは
OneDrive for Business オブジェクト: SharePoint 管理センターにアクセスできる
SharePoint 管理者(SharePoint 管理者 が SharePoint
管理センターにアクセスできない場合、全体管理者 が必要です)
•
移行中 SharePoint
で用語グループ・用語セット・用語を作成する場合、サービス アカウントが SharePoint Managed Metadata Service の
用語ストア管理者 であることを確認してください。
•
移行中にファイル /
サイトの秘密度ラベルを管理するには、サービス アカウントが スーパー ユーザー
に割り当てられていることを確認します。詳細については、スーパー ユーザー機能の構成 を参照してください。
*注意: スキャン時に使用するサービスアカウントは、サイト コレクション /
OneDrive for Business オブジェクトの サイト コレクション管理者
として自動的に追加されます。これにより、すべてのコンテンツおよびプロパティがキャプチャされ、付加情報も含めた状態での移行が実行できます。移行の実行後、以下の説明に従ってサービス アカウントをサイト
コレクション / OneDrive for Business オブジェクトから削除することができます。
1. マネージャー サーバー上の
APElements\FLY\Manager\PowerShell
ディレクトリで、Remove-SharePointOnlineUser.zip ファイルを検索して解凍します。
2. 解凍したフォルダー内の sites.csv
ファイルで、サービス アカウントを削除するサイト コレクション / OneDrive for Business の URL を構成します。
3. Windows PowerShell を開き、Windows PowerShell ウィンドウに
."file
path"
を入力します。解凍されたフォルダー内の
Remove-SharePointOnlineUser.ps1 ファイルの完全パスで file
path
を置き換え、キーボードの
Enter を押します。
4. 次のコマンドを入力し、キーボードの Enter
を押します。
Remove-SharePointOnlineUser -LoginName "" -AdministrationCenterUrl "" -Path ""
•
LoginName " "
–
削除するサービスアカウントです。
•
AdministrationCenterUrl " "
– SharePoint Online
管理センターの URL です。
•
Path " "
– サイト コレクション / OneDrive
for Business URL が構成されている CSV ファイルの完全パスです。管理センター内のすべてのサイト コレクション / OneDrive for
Business からサービス アカウントを削除するには、-Path "" パラメーターを入力する必要はありません。
アプリ プロファイル権限
app@sharepoint アカウントは SharePoint Online Managed
Metadeta Service の 用語ストア管理者 であることを確認してください。
アプリ プロファイルで
FLY Azure AD アプリを使用することを選択する場合、移行用の Microsoft 365 ユーザー
には任意のユーザーを設定することができますが、承認ユーザーは Microsoft 365 全体管理者 である必要があります。アプリ
プロファイルで新しいアプリを作成することを選択する場合、承認ユーザーは Microsoft 365 全体管理者
である必要があります。アプリの承認時に承諾する必要がある権限は以下のとおりです。
•
Sign in and read
user profile
•
Read and write
items in all site collections
•
Read all
published labels and label policies for an organization.
•
Read and write
all users' full profiles
•
Read all chat
messages
•
Read all channel
messages
•
Read and write
all groups
•
Read directory
data
•
Read and write
calendars in all mailboxes
•
Add and remove
members from all teams
•
Add and remove
members from all channels
•
Create chat and
channel messages with anyone's identity and with any timestamp
•
Read all unified
policies of the tenant.
•
Create protected
content on behalf of a user
•
Read protected
content on behalf of a user
•
Read all
protected content for this tenant
•
Create protected
content
•
Manage Exchange
As Application
•
Use Exchange Web
Services with full access to all mailboxes
•
Have full
control of all site collections
•
Read and write
managed metadata
•
Read and write
user profiles
アプリ
プロファイルでカスタム アプリを使用することを選択する場合、移行用の Microsoft 365 ユーザー
には任意のユーザーを設定することができますが、アプリにこれらの権限が付与されていることを確認してください。
|
API
名 |
権限名 |
説明 |
タイプ |
注記 |
|
Microsoft
Graph |
Directory.Read.All |
Read directory
data |
アプリケーション |
|
|
Group.ReadWrite.All |
Read and write
all groups |
アプリケーション |
SharePoint
ユーザーを Microsoft
365 グループに追加するために、移行ポリシーで SharePoint の所有者・メンバー・閲覧者グループを移行先 Microsoft 365
グループにマッピングする を選択する場合にのみ必要です。 |
|
Sites.ReadWrite.All |
Read and write
items in all site collections |
アプリケーション |
移行元または移行先テナントが地域の場所の
SharePoint 管理センター URL を取得する Multi-Geo 365 テナントである場合にのみ必要です。
|
|
InformationProtectionPolicy.Read.All |
Read all
published labels and label policies for an organization |
アプリケーション |
ファイル /
サイトの秘密度ラベルを管理する場合にのみ必要です。 |
|
SharePoint |
Sites.FullControl.All |
Have full
control of all site collections |
アプリケーション |
|
|
TermStore.ReadWrite.All |
Read and write
managed metadata |
アプリケーション |
|
|
User.ReadWrite.All |
Read and write
user profiles |
アプリケーション |
移行中に移行先 OneDrive
for Business オブジェクトを作成する際にのみ必要です。 |
|
Azure Rights
Management サービス |
Content.DelegatedReader |
Read protected
content on behalf of a user |
アプリケーション |
ファイル /
サイトの秘密度ラベルを管理する場合にのみ必要です。 |
|
Content.DelegatedWriter |
Create protected
content on behalf of a user |
アプリケーション |
|
Content.SuperUser |
Read all
protected content for this tenant |
アプリケーション |
|
Content.Writer |
Create protected
content |
アプリケーション |
|
Microsoft
Information Protection Sync Service |
UnifiedPolicy.Tenant.Read |
テナントのすべての統合ポリシーの読み取り |
アプリケーション |
ファイル /
サイトの秘密度ラベルを管理する場合にのみ必要です。 |
簡単に使用するには、以下のコマンドを使用して マニフェスト
を介して必要な API 権限を追加することができます。
"requiredResourceAccess": [
{
"resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
"resourceAccess": [
{
"id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",
"type": "Role"
}
]
},
{
"resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "741f803b-c850-494e-b5df-cde7c675a1ca",
"type": "Role"
},
{
"id": "c8e3537c-ec53-43b9-bed3-b2bd3617ae97",
"type": "Role"
},
{
"id": "678536fe-1083-478a-9c59-b99265e6b0d3",
"type": "Role"
}
]
},
{
"resourceAppId": "00000003-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "9492366f-7969-46a4-8d15-ed1a20078fff",
"type": "Role"
},
{
"id": "19da66cb-0fb0-4390-b071-ebc76a349482",
"type": "Role"
},
{
"id": "62a82d76-70ea-41e2-9197-370581804d09",
"type": "Role"
},
{
"id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61",
"type": "Role"
}
]
},
{
"resourceAppId": "00000012-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "006e763d-a822-41fc-8df5-8d3d7fe20022",
"type": "Role"
},
{
"id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",
"type": "Role"
},
{
"id": "7f740376-647b-4ad7-9ff7-292af252707a",
"type": "Role"
},
{
"id": "d13f921c-7f21-4c08-bade-db9d048bd0da",
"type": "Role"
}
]
}
],