AvePoint Opus を正しく使用するための必要な権限については、以下のセクションを参照してください。
Microsoft 365 オブジェクトを管理するための認証方法としてサービス アカウント プロファイルを選択した場合、プロファイル内のアカウントには以下の権限が必要です。
•SharePoint 管理者 ロール
•Exchange 管理者 ロール
•ApplicationImpersonation ロール
•Managed Metadata Service: 用語ストア管理者
•サイト コレクションの管理者 グループのメンバー
AvePoint Online Services > 管理 > サービス アカウント でのサービス アカウント プロファイルの作成方法については、サービス アカウント プロファイルの管理 を参照してください。
Microsoft 365 オブジェクトを管理するための認証方法としてアプリ プロファイルを選択する場合、以下の表を参照して適切なアプリを特定し、そのアプリの必要な権限を確認します。
AvePoint Online Services > 管理 > アプリ管理 でのアプリ プロファイルの作成方法については、アプリ プロファイルの管理 を参照してください。
*注意: アプリ プロファイルで Exchange メールボックスを管理するには、Microsoft Entra 管理センターで Exchange 管理者 ロールをアプリに割り当てる必要があります。アプリへの Exchange 管理者 ロールの割り当て方法の詳細については、アプリへの Exchange 管理者ロールの割り当て方法 を参照してください。
セットアップ方法 |
アプリ タイプ |
注記 |
クラシック モード |
Microsoft 365 (すべての権限) |
このアプリ プロファイルを作成すると、AvePoint Online Services Administration for Microsoft365 アプリは Microsoft Entra ID で自動生成されます。
アプリを承認する際に承諾する必要な API アクセス許可を確認するには、Microsoft 365 (すべての権限) を参照してください。 |
モダン モード 推奨: |
AvePoint Opus |
このアプリ プロファイルを作成すると、AvePoint Opus アプリは Microsoft Entra ID で自動作成されます。
アプリを承認する際に承諾する必要な API アクセス許可を確認するには、AvePoint Opus を参照してください。 |
Reporting for Microsoft 365 |
このアプリ プロファイルを選択すると、AvePoint Reporting for Microsoft365 アプリは Microsoft Entra ID で自動生成されます。
アプリを承認する際に承諾する必要な API アクセス許可を確認するには、Reporting for Microsoft 365 を参照してください。 | |
Cloud Management Service for Microsoft 365 |
従来の UI では、AvePoint Opus は Cloud Archiving と統合してルール アクションの強制ジョブを実行します。個別のサービス用のアプリを作成することを選択した場合、Cloud Archiving 用のアプリ プロファイルが必要です。
このアプリ プロファイルを選択すると、AvePoint Cloud Management Service for Microsoft365 アプリは Microsoft Entra ID で自動生成されます。アプリを承認する際に承諾する必要な API アクセス許可を確認するには、必須権限 を参照してください。
*注意: 従来の UI を使用する場合にのみ必要となります。 | |
カスタム モード |
Azure アプリ |
Microsoft Entra ID で Azure アプリを手動で作成する場合は、以下の表に一覧表示されているアクセス許可を参照して、AvePoint Opus が要求する API アクセス許可をカスタム アプリに追加してください。 |
以下の表は、AvePoint Opus (情報ライフサイクル + ストレージ最適化) がカスタム Azure アプリに対して必要な API アクセス許可の一覧です。
API |
種類 |
権限 |
目的 |
SharePoint |
委任 |
User.Read.All (Read user profiles) |
OneDrive に関連する Microsoft 365 ユーザー プロファイルの情報を取得し、SharePoint オブジェクトを更新し、用語オブジェクトを用語ストアに同期させることができます。 |
アプリケーション |
Sites.FullControl.All (Have full control of all site collections) | ||
User.Read.All (Read user profiles) | |||
TermStore.ReadWrite.All (Read and write managed metadata) | |||
Microsoft Graph |
アプリケーション |
Directory.Read.All (Read directory data) |
Microsoft Entra からユーザーおよびグループを検索します。 |
Group.Read.All (Read all groups) | |||
User.Read.All (Read all users’ full profiles) | |||
Mail.Send (Send mail as any user) |
ユーザーのメール アドレスからメール通知を送信します。 | ||
Reports.Read.All (Read all usage reports) |
Microsoft 365 テナントのファイル サイズを取得します。
検出と分析機能を使用する場合、このアクセス許可が必要です。 | ||
Office 365 Exchange Online |
アプリケーション |
Full_access_as_app (Use Exchange Web Services with full access to all mailboxes) |
メールボックスの情報を取得し、メールボックスの拡張プロパティを更新します。 |
Office 365 Management APIs |
アプリケーション |
ActivityFeed.Read (Read activity data for your organisation) |
組織のアクティビティ データを取得します。 |
以下の表は、AvePoint Opus ストレージ最適化モジュールがカスタム Azure アプリに対して必要な API アクセス許可の一覧です。
API |
種類 |
権限 |
目的 |
SharePoint |
アプリケーション |
Sites.FullControl.All (Have full control of all site collections) |
SharePoint Online サイト コレクションの情報を取得します。 |
User.Read.All (Read user profiles) |
OneDrive に関連する Microsoft 365 ユーザー プロファイルの情報を取得します。 | ||
TermStore.ReadWrite.All (Read and write managed metadata) |
用語ストアをアーカイブ・リストアします。 | ||
Microsoft Graph |
アプリケーション |
Group.Read.All (Read all groups) |
AvePoint Online Services 自動検出で Microsoft 365 グループおよび Microsoft Teams をスキャンすることで、Microsoft グループ チーム サイトをスキャンします。 |
User.Read.All (Read all users’ full profiles) |
ReCenter を使用してアーカイブ済みファイルをリストアまたはエクスポートする際に、ユーザー情報を取得します。 | ||
Reports.Read.All (Read all usage reports) |
Microsoft 365 テナントのファイル サイズを取得します。
*注意: 検出と分析機能を使用する場合、このアクセス許可が必要です。 |
*注意: 組織によって SharePoint アプリケーション権限 Sites.FullControl.All が Azure アプリに付与されていない場合、代わりに Sites.Selected を選択することができます。テナント内のすべてのサイト コレクションに対して Azure アプリに完全な管理アクセスを付与する Sites.FullControl.All と異なり、Sites.Selected では、指定したサイト コレクションに対して Azure アプリに必要なアクセス権を付与することができます。既定では、Sites.Selected 権限が付与されている Azure アプリは、明示的に構成されるまで SharePoint サイト コレクションにアクセスすることはできません。Azure アプリでサイト コレクションおよびコンテンツを管理できることを保証するには、Opus で管理される各特定の管理サイト コレクション用の Azure アプリに fullcontrol ロールを明示的に割り当てる必要があります。
カスタム Google アプリを使用して Google ワークスペースを管理できます。Google カスタム アプリを構成し、カスタム アプリに同意するためのアプリ プロファイルを作成するには、以下の説明を参照してください。
1. AvePoint Online Services ユーザー ガイドの カスタム Google アプリの作成 セクションを参照して、カスタム Google アプリを構成します。
2. 必要な API を有効にするには、以下の情報を参照してください。
•ドメイン レポートおよびアクティビティ レポートを取得するには、Admin SDK API を有効にする必要があります。
•コンテナーのスキャンおよびファイルの管理を実行するには、Google Drive API を有効にする必要があります。
•ラベルを管理するには、Drive Labels API を有効にする必要があります。
3. OAuth スコープ フィールドに以下のスコープを入力します。
https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly,https://www.googleapis.com/auth/admin.reports.audit.readonly,https://www.googleapis.com/auth/drive.admin.labels,https://www.googleapis.com/auth/drive.labels,https://www.googleapis.com/auth/drive
スコープが必要な理由の詳細については、以下の表を参照してください。
サービス |
API |
範囲 |
目的 |
共通 |
Admin SDK API |
https://www.googleapis.com/auth/admin.directory.group.readonly |
ドメイン内のグループを取得します。 |
https://www.googleapis.com/auth/admin.directory.user.readonly |
ドメイン内のユーザーを取得します。 | ||
https://www.googleapis.com/auth/admin.directory.domain.readonly |
組織のドメインを取得します。 | ||
https://www.googleapis.com/auth/admin.reports.audit.readonly |
アクティビティ レポートを取得します。 | ||
ドライブ ラベル |
Drive Labels API |
https://www.googleapis.com/auth/drive.admin.labels |
組織内のすべての Googleドライブラベルを取得します。 |
https://www.googleapis.com/auth/drive.labels |
ファイルに適用されているラベルのすべての情報を取得します。 | ||
ドライブ |
Google Drive API |
https://www.googleapis.com/auth/drive |
個人用ドライブおよび共有ドライブの配下にあるすべてのフォルダーとファイルを取得します。 |
https://www.googleapis.com/auth/drive.readonly |
個人用ドライブおよび共有ドライブの配下にあるすべてのフォルダー情報を取得します。 |
Related Records アプリをインストールするには、以下のことを確認してください。
•Microsoft 365 テナントのアプリ カタログ サイトに Related Records アプリをアップロードするユーザーは、アプリ カタログ サイトに対して少なくとも デザイン 権限を持っている必要があります。
•確認待ちの要求を承認するユーザーは、グローバル管理者ロールを持っている必要があります。
アーカイブ済みアプリをリストアするには、サービス アカウント プロファイルが必要です。プロファイル内のサービス アカウントは以下の権限が付与されている必要があります。
•SharePoint 管理者 ロール
•サイト コレクションの管理者 グループのメンバー
AvePoint Opus をオンプレミスのコンテンツ ソースに接続してコンテンツにアクセス・管理するには、エージェントを登録することができます。
AvePoint Opus をファイル システムに接続するには、エージェント アカウントには以下の権限が付与されていることを確認してください。
•サービスとしてログオン 権限
•ローカル Administrators グループのメンバー
AvePoint Opus を SharePoint オンプレミスに接続するには、エージェント アカウントには以下の権限が付与されていることを確認してください。
•Windows
o サービスとしてログオン 権限
o IIS_WPG (IIS 6 の場合) または IIS_IUSRS (IIS 7、IIS 8、IIS 10 の場合) グループのメンバー
o Performance Monitor Users グループのメンバー
o \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa レジストリに対する読み取り
o エージェント インストール パスに対するフル コントロール…\AvePoint\Cloud
•SQL Server
o コンテンツ データベース、構成データベース、全体管理データベースなど SharePoint に関連するすべてのデータベースの db_owner データベース ロール
o SQL Server の dbcreator および securityadmin サーバー ロール
•SharePoint オンプレミス
o ファーム管理者 グループのメンバー
o Web アプリケーションのすべての領域に対する フル コントロール および このアカウントでの操作はシステムとして行う 権限 (Web アプリケーションの ユーザー ポリシー で設定可能)
o User Profile Service Application:
§ 個人用サイトの作成
§ ユーザーのフォローとプロファイルの編集
§ タグおよびメモの使用
o User Profile Service Application に対する接続権限: フル コントロール
o Managed Metadata Service: 用語ストア管理者
ユーザー アカウントを 用語ストア管理者 グループに追加する詳細については、用語ストア管理者グループへのユーザー アカウントの追加方法 を参照してください。
AvePoint Opus は、サイト コンテンツを管理するために以下のジョブを実行する際に、特定のサイトでカスタム スクリプトを有効にします。
•コンテンツをレコードとして宣言する
•用語 ID でコンテナー レベル オブジェクトを分類するために、SharePoint Online のコンテナー レベル オブジェクトに用語を適用する
•関連レコードを管理するために、SharePoint Online のリスト / ライブラリに Related Records アプリを追加する
•SharePoint Online のアイテムおよびドキュメントに固有の識別子を追加する
確認プロセス中 (例えば、レコードの確認プロセス、分類の確認プロセスなど)、確認を担当する確認者となるグループを選択することができます。確認者として設定されているグループが AvePoint Opus から送信されたメール通知を受け取れるようにするには、Microsoft 365 管理センターでそれらのグループの設定で 組織外のユーザーにグループへのメール送信を許可する を有効にする必要があります。
*注意: この設定が反映されるまで 30 分かかる場合があります。