サービス アカウント権限
移行先 Teams
接続に追加するサービス アカウントは以下の要件を満たしていることを確認してください。
•
Exchange Online
および Microsoft Teams
のライセンス
•
移行先が Microsoft
365 Multi-Geo テナントである場合、移行先サービス アカウントが Microsoft 365 全体管理者、SharePoint
管理者、Exchange 管理者であることを確認してください。
•
移行先チームのチーム所有者
*注意: サービス アカウントは Teams
管理者でありながらチーム所有者ではない場合、FLY は自動的にアカウントをチーム所有者として追加します。移行の実行後、PowerShell を使用してサービス
アカウントを削除するか、または直接にサービス アカウントをブロックすることができます。サービス アカウントは Teams 管理者ではない場合、手動でサービス
アカウントをチーム所有者として追加する必要があります。
データの検出ジョブで、接続でサービス
アカウントのみを使用しており、サービス アカウントがチームの所有者ではなく、Teams 管理者である場合、FLY
はサービス アカウントをチームの所有者およびチームに関連付けられている Microsoft 365
グループの所有者とメンバーとして自動追加します。
PowerShell を使用してユーザーの所有者ロールを削除する方法については、以下の説明を参照してください。
i. エージェント サーバー上の
...\APElements\FLY\Agent\bin\MicrosoftTeams ディレクトリで
AddTeamOwner.ps1 を右クリックして、PowerShell で実行 を選択します。
ii. 資格情報を入力して、[OK] をクリックして
PowerShell ウィンドウを開きます。
iii. 所有者ロールを削除するユーザーのメール アドレスを入力して、キーボードの
Enter キーを押します。
iv. チームからユーザーの所有者ロールを削除する場合、N
を入力します。キーボードで Enter を押します。
ユーザーに所有者ロールを再追加するには、Y
を入力します。キーボードで Enter を押します。
アカウントをブロックするには、Microsoft 365
管理センター > ユーザー に移動して、ユーザーの表示名をクリックします。ユーザーのブロック (
) アイコンをクリックして、ユーザーによるサインインをブロックする
を選択して変更を保存します。
•
チャネルをプライベート チャネルに移行する場合、サービス
アカウントが移行先プライベート チャネルの所有者またはメンバーである必要があります。FLY は、サービス アカウントを移行先プライベート
チャネルの所有者として自動追加します。
•
同一テナント内の移行元チーム間で移行するタスク数が 1500
を超過する場合は、移行元のタスクをすべて移行先に移行できるように、移行先に複数のサービス アカウントを使用することをお勧めします。
アプリ プロファイル権限
アプリ プロファイルで
FLY Azure AD アプリの使用またはアプリの新規作成を選択する場合、承認ユーザーが Microsoft 365 テナントの 全体管理者
であること、および Exchange Online および Microsoft Teams
のライセンスを持っていることを確認してください。移行先チームが存在しない場合、FLY は移行先にチームを作成する際に 移行用のMicrosoft 365
ユーザー をチームの所有者として自動追加します。
また、チャネルをプライベート
チャネルに移行する際に以下のことに注意してください。
•
移行先のチームが既存のチームですが、移行先のプライベートチャネルが存在しない場合、FLY
は移行中にアカウントをチームのメンバーおよびプライベート チャネルの所有者として自動追加します。
•
移行先のチームと移行先のプライベートチャンネルの両方が存在しない場合、FLY
は移行中にアカウントをチームの所有者とプライベート チャンネルの所有者として自動追加します。
アプリの承認時に承諾する必要がある権限は以下のとおりです。
•
Sign in and read
user profile
•
Read and write
items in all site collections
•
Read all
published labels and label policies for an organization.
•
Read and write
all users' full profiles
•
Read all chat
messages
•
Read all channel
messages
•
Read and write
all groups
•
Read directory
data
•
Read and write
calendars in all mailboxes
•
Add and remove
members from all teams
•
Add and remove
members from all channels
•
Create chat and
channel messages with anyone's identity and with any timestamp
•
Read all unified
policies of the tenant.
•
Create protected
content on behalf of a user
•
Read protected
content on behalf of a user
•
Read all
protected content for this tenant
•
Create protected
content
•
Manage Exchange
As Application
•
Use Exchange Web
Services with full access to all mailboxes
•
Have full
control of all site collections
•
Read and write
managed metadata
•
Read and write
user profiles
アプリ
プロファイルでカスタム アプリの使用を選択する場合、承認ユーザーが Exchange Online および Microsoft Teams
のライセンスを持っている必要があります。
カスタム
アプリにはこれらの権限が付与されていることを確認してください。
|
API
名 |
権限名 |
説明 |
タイプ |
注記 |
|
Office 365
Exchange Online |
Full_access_as_app |
Use Exchange Web
Services with full access to all mailboxes |
アプリケーション |
|
|
Exchange.ManageAsApp |
Manage Exchange
As Application |
アプリケーション |
|
|
Microsoft
Graph |
Directory.Read.All |
Read directory
data |
アプリケーション |
|
|
User.Read.All |
Read all users'
full profiles |
アプリケーション |
|
|
InformationProtectionPolicy.Read.All |
Read all
published labels and label policies for an organization |
アプリケーション |
|
|
ChannelMember.ReadWrite.All |
Add and remove
members from all channels |
アプリケーション |
|
|
Group.ReadWrite.All |
Read and write
all groups |
アプリケーション |
|
|
Sites.ReadWrite.All |
Read and write
items in all site collections |
アプリケーション |
|
|
TeamMember.ReadWrite.All |
Add and remove
members from all teams |
アプリケーション |
|
|
Teamwork.Migrate.All |
Create chat and
channel messages with anyone's identity and with any
timestamp |
アプリケーション |
詳細
方法を使用する移行にのみ必要です。 |
|
SharePoint |
Sites.FullControl.All |
Have full
control of all site collections |
アプリケーション |
|
|
TermStore.ReadWrite.All |
Read and write
managed metadata |
アプリケーション |
|
|
Azure Rights Management
サービス |
Content.DelegatedReader |
Read
protected content on behalf of a user |
アプリケーション |
|
|
Content.DelegatedWriter |
Create protected content on
behalf of a user |
アプリケーション |
|
|
Content.SuperUser |
Read
all protected content for this tenant |
アプリケーション |
|
|
Content.Writer |
Create protected content |
アプリケーション |
|
|
Microsoft Information
Protection Sync Service |
UnifiedPolicy.Tenant.Read |
Read
all unified policies of the tenant. |
アプリケーション |
|
簡単に使用するため、以下のコマンドを使用して、マニフェスト
を介して必要な API 権限を追加することができます。
"requiredResourceAccess": [
{
"resourceAppId": "00000003-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "9492366f-7969-46a4-8d15-ed1a20078fff",
"type": "Role"
},
{
"id": "19da66cb-0fb0-4390-b071-ebc76a349482",
"type": "Role"
},
{
"id": "df021288-bdef-4463-88db-98f22de89214",
"type": "Role"
},
{
"id": "62a82d76-70ea-41e2-9197-370581804d09",
"type": "Role"
},
{
"id": "7ab1d382-f21e-4acd-a863-ba3e13f7da61",
"type": "Role"
},
{
"id": "0121dc95-1b9f-4aed-8bac-58c5ac466691",
"type": "Role"
},
{
"id": "35930dcf-aceb-4bd1-b99a-8ffed403c974",
"type": "Role"
},
{
"id": "dfb0dd15-61de-45b2-be36-d6a69fba3c79",
"type": "Role"
}
]
},
{
"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "dc890d15-9560-4a4c-9b7f-a736ec74ec40",
"type": "Role"
},
{
"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
"type": "Role"
}
]
},
{
"resourceAppId": "00000012-0000-0000-c000-000000000000",
"resourceAccess": [
{
"id": "006e763d-a822-41fc-8df5-8d3d7fe20022",
"type": "Role"
},
{
"id": "7347eb49-7a1a-43c5-8eac-a5cd1d1c7cf0",
"type": "Role"
},
{
"id": "7f740376-647b-4ad7-9ff7-292af252707a",
"type": "Role"
},
{
"id": "d13f921c-7f21-4c08-bade-db9d048bd0da",
"type": "Role"
}
]
},
{
"resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",
"resourceAccess": [
{
"id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",
"type": "Role"
}
]
},
{
"resourceAppId": "00000003-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "c8e3537c-ec53-43b9-bed3-b2bd3617ae97",
"type": "Role"
},
{
"id": "678536fe-1083-478a-9c59-b99265e6b0d3",
"type": "Role"
}
]
}
],