カスタム アプリ プロファイル権限

テナント所有者またはサービス管理者のロールを持っている場合、AvePoint Online Services > 管理 > アプリ管理 でカスタム アプリ プロファイルを作成して、カスタム Azure アプリを使用している Microsoft 365 テナントに接続することができます。

カスタム アプリ プロファイルを作成するには、以下の説明を参照してください。

1.   Microsoft Entra ID で証明書を準備します。詳細については、カスタム Azure アプリ用の証明書の準備 を参照してください。

証明書がある場合、このステップを無視することができます

2.   Microsoft Entra IDでカスタム Azure アプリを作成します。詳細については、カスタム アプリの作成 を参照してください。

*注意移行先が Multi-Geo テナントであり、移行先 Microsoft 365 グループが定義済み場所で作成される必要がある場合、カスタム Azure アプリに SharePoint 管理者 ロールを割り当てる必要があります。詳細については、以下の SharePoint 管理者ロールのアプリへの割り当て方法 セクションを参照してください。

3.   テナントを AvePoint Online Services に接続 します。

4.   AvePoint Online Services カスタム Azure アプリ用アプリ プロファイルを作成 します。

*注意: アプリ プロファイルの再承認後、再承認時に権限が更新された場合、トークンの更新が必要であるため、アプリ プロファイルをアビエイター ジョブに使用する前に、約 1 時間待つ必要があります。

以下の表を参照して、アビエイター SharePoint Online に必要な API 権限をカスタム Azure アプリに追加してください。

API 

アクセス許可 

タイプ 

必要となる理由 

Microsoft Graph 

User.Read.All

 (Read all users' full profiles)

アプリケーション 

Microsoft 365 ユーザーを取得して移行します。

RoleManagement.Read.Directory

(Read all directory RBAC settings)

アプリケーション

Microsoft グローバル グループを取得して移行します。

Files.Read.All

(Read files in all site collections)

アプリケーション

移行先チーム サイトのチャネル フォルダーを取得します。

Group.ReadWrite.All
(Read and write all groups)

アプリケーション 

Microsoft 365 グループおよびグループ メンバーを取得して移行します。

*注意: アビエイター SharePoint Online ジョブを実行する際に、以下の場合にこの権限が必要です。

    Microsoft 365 グループに関連する移行元チーム サイトを移行する際に、Microsoft 365 グループを作成してグループ メンバーを追加します。

    Microsoft 365 グループなしのチーム サイトを Microsoft 365 グループに関連するチーム サイトに移行する際に、移行元 SharePoint グループ (所有者 / メンバー / 閲覧者) を移行先 Microsoft 365 グループにマッピングして、ユーザーを Microsoft 365 グループの所有者またはメンバーとして追加します。

Microsoft 365 グループ移行を使用してチーム サイトが属する Microsoft 365 グループを移行する場合、この権限を削除することができます。

SharePoint/Office 365 SharePoint Online

 

Sites.FullControl.All

(Have full control of all site collections)

アプリケーション 

SharePoint Online サイト コレクションの設定および権限を取得します。 

TermStore.ReadWrite.All

(Read and write managed metadata)

アプリケーション 

Managed Metadata Service を取得して移行します。

Azure Rights Management Services

Content.DelegatedWriter

(Create protected content on behalf of a user)

アプリケーション

ファイル / サイトの秘密度ラベルを管理する場合にのみ必要です。

Content.Writer

(Create protected content)

アプリケーション

ファイル / サイトの秘密度ラベルを管理する場合にのみ必要です。

Microsoft Information Protection Sync Service

UnifiedPolicy.Tenant.Read

(Read all unified policies of the tenant.)

アプリケーション

ファイル / サイトの秘密度ラベルを管理する場合にのみ必要です。

 

簡単に使用するため、以下のコマンドを直接使用して、マニフェスト を介して必要な API アクセス許可を Microsoft 365 テナントに追加することができます。

"requiredResourceAccess": [

        {

            "resourceAppId": "00000012-0000-0000-c000-000000000000",

            "resourceAccess": [

                {

                    "id": "006e763d-a822-41fc-8df5-8d3d7fe20022",

                    "type": "Role"

                },

                {

                    "id": "d13f921c-7f21-4c08-bade-db9d048bd0da",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000003-0000-0ff1-ce00-000000000000",

            "resourceAccess": [

                {

                    "id": "678536fe-1083-478a-9c59-b99265e6b0d3",

                    "type": "Role"

                },

                {

                    "id": "c8e3537c-ec53-43b9-bed3-b2bd3617ae97",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "00000003-0000-0000-c000-000000000000",

            "resourceAccess": [

                {

                    "id": "01d4889c-1287-42c6-ac1f-5d1e02578ef6",

                    "type": "Role"

                },

                {

                    "id": "62a82d76-70ea-41e2-9197-370581804d09",

                    "type": "Role"

                },

                {

                    "id": "483bed4a-2ad3-4361-a73b-c83ccdbdc53c",

                    "type": "Role"

                },

                {

                    "id": "df021288-bdef-4463-88db-98f22de89214",

                    "type": "Role"

                }

            ]

        },

        {

            "resourceAppId": "870c4f2e-85b6-4d43-bdda-6ed9a579b725",

            "resourceAccess": [

                {

                    "id": "8b2071cd-015a-4025-8052-1c0dba2d3f64",

                    "type": "Role"

                }

            ]

        }

    ],

SharePoint 管理者ロールのアプリへの割り当て方法

SharePoint 管理者 ロールをアプリに割り当てるには、以下の説明を参照してください。

1.   Microsoft Entra 管理センター (または Azure ポータル) にログインして、Microsoft Entra ID に移動します。

2.   左側の [ロールと管理者] をクリックして、[SharePoint 管理者] をクリックします。

テキスト 中程度の精度で自動的に生成された説明

3.   割り当て ページで、[割り当ての追加] をクリックします。割り当ての追加 パネルが表示されます。

4.   検索ボックスにアプリ名を入力してロールを割り当てるアプリを検索します。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

5.   アプリを選択して、[追加] をクリックしてロールを割り当てします。割り当てられたロールは 30 分間以内に反映されることに注意してください。

Microsoft インターフェイスが更新され、上記のスクリーンショットと異なることになった場合、以下のステップに従って、アプリに SharePoint 管理者 ロールを割り当ててください。

1.   Microsoft Entra 管理センター (または Azure ポータル) にログインして、Microsoft Entra ID に移動します。

2.   左側の [ロールと管理者] をクリックして、[SharePoint 管理者] をクリックします。

テキスト 中程度の精度で自動的に生成された説明

3.   割り当て ページで、[割り当ての追加] をクリックします。割り当ての追加 パネルが表示されます。

4.   メンバーの選択 セクションで [メンバーが選択されていない] をクリックします。メンバーの選択 パネルが表示され、検索ボックスにアプリ名を入力して、ロールを割り当てるアプリを検索します。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

5.   アプリをクリックし、[選択] をクリックしてアプリを選択します。

6.   [次へ] をクリックします。

7.   割り当ての種類 セクションで アクティブ を選択し、理由の入力 テキスト ボックスに理由を入力します。

グラフィカル ユーザー インターフェイス, アプリケーション 自動的に生成された説明

8.   [割り当て] をクリックして、ロールを割り当てます。割り当てられたロールは 30 分以内に反映されることに注意してください。