AvePoint Cloud Management で管理・レポートされるオブジェクトは、AvePoint Online Services の自動検出画面でスキャンする必要があります。オブジェクトがスキャンされると、AvePoint Cloud Management モジュールの使用権限を持つユーザーは、すべての機能を使用してオブジェクトを管理・レポートすることができます。
自動検出では、オブジェクトをスキャンするためにサービス アカウント プロファイルおよびアプリ プロファイルの認証方法が提供されています。環境を操作する最も簡単な方法は、アプリ プロファイルを登録することです。アプリ プロファイルを登録すると、環境で実行するすべてのジョブは AvePoint アクティビティとしてタグ付けられ、サービス アカウントまたはパスワードを保存する必要がなくなります。アプリ プロファイル認証方法を使用してオブジェクトをスキャンする場合、アプリ プロファイル内のアプリ トークンがデータの管理に使用され、Microsoft 365 グローバル管理者アカウントの資格情報は、AvePoint Online Services で保存されません。つまり、管理者の同意のみが記録され、かつその同意は Microsoft Entra ID で監視でき、環境からいつでも取り消せます。アプリ プロファイル認証方法の使用をお勧めしますが、特定のインスタンスに対してはこの方法が適さない場合があります。このアプリ プロファイル方法を使用することで、データ管理の要件が満たされるかどうかを判断するには、付録 A – SharePoint Online データ タイプ および 付録 B – 対応・未対応の機能 を参照してください。
アイデンティティ マネージャー モジュールを使用して Microsoft Entra 内のユーザーとグループを管理する場合は、サービス アカウント プロファイルおよびアプリ プロファイルの両方が必要です。
AvePoint Cloud Management に必要な権限については、以下のシナリオを参照してください。
AvePoint Online Services を使用して、Microsoft Entra ID でアプリを自動作成する場合、以下の表を参照し、AvePoint Online Services でアプリ プロファイルを作成する際にアプリを選択してください。
|
モード |
アプリ タイプ |
注記 |
|
クラシック モード |
Microsoft 365 (すべての権限) |
このアプリ プロファイルを作成すると、AvePoint Online Services Administration for Microsoft365 アプリは Microsoft Entra ID で自動作成されます。 アプリを承認する際に承諾する必要な API アクセス許可を確認するには、AvePoint Online Services ユーザー ガイドの Microsoft 365 (すべての権限) セクションを参照してください。 |
|
Microsoft Entra ID |
このアプリ プロファイルを作成すると、AvePoint Online Services Administration for Microsoft Entra ID アプリは Microsoft Entra ID で自動作成されます。 アプリを承認する際に承諾する必要な API アクセス許可を確認するには、AvePoint Online Services ユーザー ガイドの Microsoft Entra ID セクションを参照してください。 *注意: このアプリは、アイデンティティ マネージャー モジュールに対してのみ必要です。 | |
|
モダン モード |
Cloud Management Service for Microsoft 365 |
このアプリ プロファイルを選択すると、AvePoint Cloud Management Service for Microsoft365 アプリは Microsoft Entra ID で自動作成されます。 アプリを承認する際に承諾する必要な API アクセス許可を確認するには、AvePoint Online Services ユーザー ガイドの Cloud Management Services for Microsoft 365 セクションを参照してください。 |
|
Reporting for Microsoft 365 |
このアプリ プロファイルを選択すると、AvePoint Reporting for Microsoft365 アプリは Microsoft Entra ID で自動作成されます。 アプリを承認する際に承諾する必要な API アクセス許可を確認するには、AvePoint Online Services ユーザー ガイドの Reporting for Microsoft 365 セクションを参照してください。 |
アプリ プロファイルの作成方法については、アプリ プロファイルの管理 を参照してください。
カスタム アプリを使用して自動作成されたアプリを置き換えることができます。このアプリは、SharePoint、Microsoft 365 グループ チーム サイト、Microsoft 365 ユーザー、Microsoft 365 グループの管理に使用することができます。
Microsoft Entra ID でアプリを手動で作成する場合は、以下の表に一覧されている権限を参照して、AvePoint Cloud Management が要求する API アクセス許可をカスタム アプリに追加してください。
|
モジュール |
API 名 |
アクセス許可 |
種類 |
必要となる理由 |
|
管理者 |
SharePoint |
Sites.FullControl.All (Have full control of all site collections) |
アプリケーション |
サイト コレクションの情報を取得します。 |
|
User.ReadWrite.All (Read and write user profiles) |
アプリケーション |
OneDrive に関連する Microsoft 365 ユーザー プロファイルの情報を取得します。 | ||
|
Microsoft Graph |
Group.Read.All (Read all groups) |
アプリケーション |
AvePoint Online Services 自動検出で Microsoft 365 グループおよび Microsoft Teams をスキャンすることで、Microsoft グループ チーム サイトをスキャンします。 | |
|
コンテンツ マネージャー |
SharePoint |
Sites.FullControl.All (Have full control of all site collections) |
アプリケーション |
サイト コレクションの情報を取得します。 |
|
User.ReadWrite.All (Read and write user profiles) |
アプリケーション |
OneDrive に関連する Microsoft 365 ユーザー プロファイルの情報を取得します。 | ||
|
TermStore.ReadWrite.All (Read and write managed metadata) |
アプリケーション |
Managed Metadata Service をコピー・移動します。 | ||
|
Microsoft Graph |
Group.Read.All (Read all groups) |
アプリケーション |
AvePoint Online Services 自動検出で Microsoft 365 グループおよび Microsoft Teams をスキャンすることで、Microsoft グループ チーム サイトをスキャンします。 | |
|
展開マネージャー |
SharePoint |
Sites.FullControl.All (Have full control of all site collections) |
アプリケーション |
サイト コレクションの情報を取得します。 |
|
User.ReadWrite.All (Read and write user profiles) |
アプリケーション |
OneDrive に関連する Microsoft 365 ユーザー プロファイルの情報を取得します。 | ||
|
TermStore.ReadWrite.All (Read and write managed metadata) |
アプリケーション |
Managed Metadata Service を展開します。 | ||
|
Microsoft Graph |
Group.Read.All (Read all groups) |
アプリケーション |
AvePoint Online Services 自動検出で Microsoft 365 グループおよび Microsoft Teams をスキャンすることで、Microsoft グループ チーム サイトをスキャンします。 | |
|
レプリケーター |
SharePoint |
Sites.FullControl.All (Have full control of all site collections) |
アプリケーション |
サイト コレクションの情報を取得します。 |
|
User.ReadWrite.All (Read and write user profiles) |
アプリケーション |
OneDrive に関連する Microsoft 365 ユーザー プロファイルの情報を取得します。 | ||
|
TermStore.ReadWrite.All (Read and write managed metadata) |
アプリケーション |
Managed Metadata Service をレプリケートします。 | ||
|
Microsoft Graph |
Group.Read.All (Read all groups) |
アプリケーション |
AvePoint Online Services 自動検出で Microsoft 365 グループおよび Microsoft Teams をスキャンすることで、Microsoft グループ チーム サイトをスキャンします。 | |
|
レポート ポイント |
SharePoint |
Sites.FullControl.All (Have full control of all site collections) |
アプリケーション |
サイト コレクション情報を取得し、レポートを生成します。 |
|
Office 365 Management APIs |
ActivityFeed.Read (Read activity data for your organization) |
アプリケーション |
所属する組織のアクティビティ データを取得してレポートを生成します。 | |
|
Microsoft Graph |
User.Read.All (Read all users’ full profiles) |
アプリケーション |
ユーザー情報を取得し、レポートを生成します。 | |
|
Microsoft Graph |
Group.Read.All (Read all groups) |
アプリケーション |
グループ情報を取得し、レポートを生成します。 | |
|
アイデンティティ マネージャー |
Microsoft Graph |
User.ReadWrite.All (Read and write all users' full profiles) |
アプリケーション |
ユーザーを検索してインターフェイスに表示し、ゲスト ユーザーを組織に招待します。 |
|
Group.ReadWrite.All (Read and write all groups) |
アプリケーション |
グループを検索してインターフェイスに表示します。 | ||
|
Directory.Read.All (Read directory data) |
アプリケーション |
ライセンス・ユーザー・ロール・ユーザーがアクセス可能なアプリケーションを管理します。 | ||
|
Member.Read.Hidden (Read all hidden memberships) |
アプリケーション |
非表示メンバーシップとして存在するゴースト ゲスト ユーザーを削除します。 | ||
|
SharePoint |
Sites.FullControl.All (Have full control of all site collections) |
アプリケーション |
ゴースト ゲスト ユーザーを管理するためのサイト コレクション情報を取得します。 |
アイデンティティ マネージャー モジュールを使用して Microsoft Entra のユーザーとグループを管理する場合、サービス アカウント プロファイルが必要です。
サービス アカウント プロファイル認証方式を使用する場合、付録 A – SharePoint Online データ タイプ および 付録 B – 対応・未対応の機能 を確認し、以下の表を参考して Microsoft 365 アカウントを準備します。
グローバル管理者、SharePoint 管理者、Exchange 管理者 ロールの詳細については、Microsoft 記事 管理者ロールについて を参照してください。
|
モジュール |
サービス アカウント ロール |
追加の権限 |
|
管理者 |
SharePoint 管理者 |
Exchange 管理者* |
|
コンテンツ マネージャー |
SharePoint 管理者 |
用語ストア管理者* Exchange 管理者* |
|
展開マネージャー | ||
|
レプリケーター | ||
|
レポート ポイント > 監査コントローラー |
SharePoint 管理者 |
|
|
アイデンティティ マネージャー |
グローバル管理者* |
いいえ |
*注意: 管理センター、コンテンツ マネージャー、展開マネージャー、レプリケーターを使用して Microsoft 365 グループ チーム サイト のデータを管理するには、このサービス カウントは SharePoint 管理者 ロールだけではなく、Exchange 管理者 ロールを持つ必要もあります。これは、AvePoint Online Services 自動検出で必要です。Microsoft 365 グループ チーム サイトは、AvePoint Online Services で Microsoft 365 グループまたは Microsoft Teams をスキャンすることができます。
*注意: Managed Metadata Service をコピー・移動・展開・レプリケートするには、用語ストア管理者 ロールが必要です。AvePoint Online Services 自動検出スキャン ジョブは、サービス アカウントを 用語ストア管理者 として自動追加します。
*注意: アイデンティティ マネージャー モジュールを使用するには、Microsoft 365 テナント内のユーザーおよびグループのプロパティを取得し、ライセンス・アプリケーション・メールボックスを管理する場合は、アカウントが グローバル管理者 ロールを持っている必要があります。