サービス アカウント権限
移行元 Teams
接続に追加するサービス アカウントは以下の要件を満たしていることを確認してください。
•
Exchange Online
および Microsoft Teams
のライセンス
•
移行元チームのチーム所有者
*注意: サービス アカウントは Teams
管理者でありながらチーム所有者ではない場合、FLY は自動的にアカウントをチーム所有者として追加します。移行の実行後、PowerShell を使用してサービス
アカウントを削除するか、または直接にサービス アカウントをブロックすることができます。サービス アカウントは Teams 管理者ではない場合、サービス
アカウントをチーム所有者として手動追加する必要があります。
データの検出ジョブで、サービス アカウントが Teams
の管理者であるが、チームの所有者ではない接続でサービス アカウントを使用する場合、FLY はサービス
アカウントをチームの所有者として、またチームに関連付けられた Microsoft 365
グループの所有者およびメンバーとして自動追加します。
PowerShell を使用してユーザーの所有者ロールを削除する方法については、以下の説明を参照してください。
i. エージェント サーバー上の
...\APElements\FLY\Agent\bin\MicrosoftTeams ディレクトリで
AddTeamOwner.ps1 を右クリックして、PowerShell で実行 を選択します。
ii. 資格情報を入力して、[OK] をクリックして
PowerShell ウィンドウを開きます。
iii. 所有者ロールを削除するユーザーのメールアドレスを入力して、キーボードの
Enter キーを押します。
iv. チームからユーザーの所有者ロールを削除する場合、N
を入力します。キーボードで Enter を押します。
ユーザーに所有者ロールを再追加するには、Y
を入力します。キーボードで Enter を押します。
アカウントをブロックするには、Microsoft 365
管理センター > ユーザー に移動して、ユーザーの表示名をクリックします。ユーザーのブロック (
) アイコンをクリックして、ユーザーによるサインインをブロックする
を選択して変更を保存します。
•
移行元プライベート チャネルを移行する場合、サービス
アカウントが移行元プライベート チャネルの所有者またはメンバーである必要があります。FLY は、サービス アカウントを移行元プライベート
チャネルの所有者として自動追加します。
•
移行元チームはクラシック
エクスペリエンスのチーム サイトに基づいて作成されている場合、移行元サービスアカウントが移行元サイトのサイト
コレクション管理者であることを確認してください。サービス アカウントに SharePoint 管理者ロールを付与することもできます。FLY
は移行中に移行元サービス アカウントを移行元サイトのサイト コレクション管理者に自動追加します。
アプリ プロファイル権限
アプリ プロファイルで
FLY Azure AD アプリの使用またはアプリの新規作成を選択する場合、承認ユーザーが Microsoft 365 テナントの 全体管理者
であること、Exchange Online および Microsoft Teams のライセンスを持っていることを確認してください。
*注意: 移行元 Teams
接続の追加に使用するアプリプロファイルで新規アプリの作成またはカスタム アプリの使用を選択すると、移行元 Teams
会話メッセージを移行する場合、Microsoft Teams で保護済み API
への接続を要求する必要があります。詳細については、保護済み API へのアクセス許可のリクエスト を参照してください。
アプリの承認時に承諾する必要がある権限は以下のとおりです。
•
Sign in and read
user profile
•
Read and write
items in all site collections
•
Read all
published labels and label policies for an organization.
•
Read and write
all users' full profiles
•
Read all chat
messages
•
Read all channel
messages
•
Read and write
all groups
•
Read directory
data
•
Read and write
calendars in all mailboxes
•
Add and remove
members from all teams
•
Add and remove
members from all channels
•
Create chat and
channel messages with anyone's identity and with any timestamp
•
Read all unified
policies of the tenant.
•
Create protected
content on behalf of a user
•
Read protected
content on behalf of a user
•
Read all
protected content for this tenant
•
Create protected
content
•
Manage Exchange
As Application
•
Use Exchange Web
Services with full access to all mailboxes
•
Have full
control of all site collections
•
Read and write
managed metadata
•
Read and write
user profiles
アプリ
プロファイルでカスタム アプリの使用を選択する場合、承認ユーザーが Exchange Online および Microsoft Teams
のライセンスを持っている必要があります。
カスタム
アプリにこれらの権限 (クラシック 移行方法および 詳細 移行方法には同じ権限が必要です)
が付与されていることを確認してください。
|
API
名 |
権限名 |
説明 |
タイプ |
|
Office 365
Exchange Online |
Full_access_as_app |
Use Exchange Web
Services with full access to all mailboxes |
アプリケーション |
|
Exchange.ManageAsApp |
Manage Exchange
As Application |
アプリケーション |
|
Microsoft
Graph |
Directory.Read.All |
Read directory
data |
アプリケーション |
|
ChannelMember.Read.All |
Read the members
of all channels |
アプリケーション |
|
Group.Read.All |
Read all
groups |
アプリケーション |
|
Sites.Read.All |
Read items in
all site collections |
アプリケーション |
|
TeamMember.Read.All |
Read the members
of all teams |
アプリケーション |
|
User.Read |
Sign in and read
user profile |
委任済み |
|
User.Read.All |
Read all users'
full profiles |
アプリケーション |
|
ChannelMessage.Read.All |
Read all channel
messages |
アプリケーション |
|
InformationProtectionPolicy.Read.All |
Read all
published labels and label policies for an organization |
アプリケーション |
|
SharePoint |
Sites.FullControl.All |
Have full
control of all site collections |
アプリケーション |
|
TermStore.ReadWrite.All |
Read and write
managed metadata |
アプリケーション |
|
Azure Rights Management
サービス |
Content.DelegatedReader |
Read
protected content on behalf of a user |
アプリケーション |
|
Content.DelegatedWriter |
Create protected content on
behalf of a user |
アプリケーション |
|
Content.SuperUser |
Read
all protected content for this tenant |
アプリケーション |
|
Content.Writer |
Create protected content |
アプリケーション |
|
Microsoft Information
Protection Sync Service |
UnifiedPolicy.Tenant.Read |
Read
all unified policies of the tenant. |
アプリケーション |
簡単に使用するため、以下のコマンドを使用し、マニフェスト
を介して必要な API 権限を追加することができます。
"requiredResourceAccess": [
{
"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "dc890d15-9560-4a4c-9b7f-a736ec74ec40",
"type": "Role"
},
{
"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
"type": "Role"
}
]
},
{
"resourceAppId": "00000012-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "006e763d-a822-41fc-8df5-8d3d7fe20022",
"type": "Role"
},
{
"id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",
"type": "Role"
},
{
"id": "7f740376-647b-4ad7-9ff7-292af252707a",
"type": "Role"
},
{
"id": "d13f921c-7f21-4c08-bade-db9d048bd0da",
"type": "Role"
}
]
},
{
"resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
"resourceAccess": [
{
"id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",
"type": "Role"
}
]
},
{
"resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "c8e3537c-ec53-43b9-bed3-b2bd3617ae97",
"type": "Role"
},
{
"id": "678536fe-1083-478a-9c59-b99265e6b0d3",
"type": "Role"
}
]
},
{
"resourceAppId": "00000003-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
"type": "Scope"
},
{
"id": "332a536c-c7ef-4017-ab91-336970924f0d",
"type": "Role"
},
{
"id": "19da66cb-0fb0-4390-b071-ebc76a349482",
"type": "Role"
},
{
"id": "df021288-bdef-4463-88db-98f22de89214",
"type": "Role"
},
{
"id": "7b2449af-6ccd-4f4d-9f78-e550c193f0d1",
"type": "Role"
},
{
"id": "5b567255-7703-4780-807c-7be8301ae99b",
"type": "Role"
},
{
"id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61",
"type": "Role"
},
{
"id": "660b7406-55f1-41ca-a0ed-0b035e182f3e",
"type": "Role"
},
{
"id": "3b55498e-47ec-484f-8136-9013221c06a9",
"type": "Role"
}
]
}
],