Microsoft 365の認証と権限の管理は複雑で、種類によって異なります。本記事では、さまざまな種類の認証、それらが適用されるシナリオ、および特殊なケースについて説明します。
シナリオごとの必要な認証と、それを有効にする手順については、移行ガイドを参照してください。
用語集
基本認証
MigrationWizとExchange Onlineエンドポイント間の基本認証は、MicrosoftがExchange Onlineの基本認証のサポートを2022年12月に終了したため、サポートされていません。基本認証がサポートされていないため、先進認証を使用するようにMigrationWizを設定する必要があります。
先進認証
先進認証は、OAuth 2.0トークンとActive Directory認証ライブラリに基づいています。先進認証では、多要素認証がサポートされています。多要素認証では、事前に設定した個人的な質問など、パスワード以外の第2要素を使用して、ユーザーの身元を確認します。
委任された権限
サインインしたユーザーとしてWeb APIにアクセスする必要があるアプリケーションで使用します。アクセスは、選択された権限の範囲内に限定されます。管理者の同意が必要な権限として構成されていない限り、委任された権限はユーザーが付与することができます。
アプリケーション権限
アプリケーション自体として(ユーザーコンテキストなしで)直接Web APIにアクセスする必要があるアプリケーションで使用します。アプリケーション権限は、管理者の同意が必要であり、ネイティブクライアントアプリケーションでは使用できません。
製品タイプ別の認証方法
SharePointおよびOneDrive
先進認証 - 委任された権限 - BitTitanアプリ
この認証方法には、BitTitanの権限アプリが必要です。アプリでの手順については、次のセクションで説明します。
この認証方法では、グローバル管理者資格情報が必要です。
- SharePointの移行:サイトコレクション管理者の資格情報
- OneDriveの移行:SharePointの管理者資格情報を使用します。管理者は、移行するOneDriveアカウントのサイトコレクション管理者に昇格します。SharePointの管理者資格情報を使用する場合、(移行先テナントで基本認証がブロックされていない限り、) OneDriveユーザーアカウントのプロビジョニングは、サポートされています。
先進認証 - 委任された権限 - 顧客テナントのアプリ
- SharePointの移行:グローバル管理者およびサイトコレクション管理者(テナントアプリの作成には、グローバル管理者ロールが必要です。)
- OneDriveの移行:SharePointの管理者資格情報を使用します。グローバル管理者がテナントアプリを作成し、その権限を、移行するアカウントのサイトコレクション管理者レベルまで昇格させます。SharePointの管理者資格情報を使用する場合、(移行先テナントで基本認証がブロックされていない限り、) OneDriveユーザーアカウントのプロビジョニングは、サポートされています。
先進認証 - アプリケーション権限 - BitTitanアプリ
この認証方法には、BitTitanの権限アプリが必要です。アプリでの手順については、次のセクションで説明します。
- この認証方法では、ユーザーの資格情報を使用します。ユーザーは、Microsoft 365テナントで作成されたMigrationWizセキュリティグループのメンバーである必要があります。
- BitTitanアプリに同意するには、グローバル管理者権限が必要です。
- OneDriveプロビジョニングはサポートされておらず、管理者資格情報フローのみがサポートされています。
- 「詳細オプション(Advanced Options)」の「UseApplicationPermission=1」が必要です。
Teams
先進認証 - 委任された権限 - BitTitanアプリ
この認証方法には、BitTitanの権限アプリが必要です。アプリでの手順については、「TeamsからTeamsへの移行ガイド」を参照してください。
- グローバル管理者資格情報またはTeamsの管理者資格情報が必要です。
- 「詳細オプション(Advanced Options)」の「UseDelegatePermission=1」が必要です。
先進認証 - 委任された権限 - 顧客テナントのアプリ
- グローバル管理者資格情報が必要です。
- 「詳細オプション(Advanced Options)」の「UseDelegatePermission=1」が必要です。
先進認証 - アプリケーション権限 - BitTitanアプリ
この認証方法には、BitTitanの権限アプリが必要です。アプリでの手順については、「TeamsからTeamsへの移行ガイド」を参照してください。
- この認証方法では、ユーザーの資格情報を使用します。ユーザーは、Microsoft 365テナントで作成されたMigrationWizセキュリティグループのメンバーである必要があります。
Microsoft 365
先進認証 - 委任された権限
- 顧客のAzureアカウントで設定します。
- 管理者資格情報が必要です。
- ClientIDとTenantIDが必要です。これらは「詳細オプション(Advanced Options)」で追加されます。
スモールビジネステナント
Microsoft 365スモールビジネステナントのドキュメント移行では、注意すべき点がいくつかあります。
MigrationWizでスモールビジネステナントのドキュメント移行を行うには、移行先が次のように構成されている必要があります。
移行元(Googleドライブなど)では、管理者資格情報を使用することができますが、移行先のMicrosoft 365スモールビジネステナントは、エンドユーザーの資格情報を使用して構成する必要があります。管理者資格情報を使用すると、次のエラーが発生します。
|
移行先 |
移行先の資格情報を確認できませんでした。(Your migration failed checking destination credentials.) <テナントのURLでOneDrive for Business管理者認証に失敗しました。(OneDrive for Business administrative authentication failed with <your tenant URL.) |
MigrationWizでは、SharePoint管理者API を使用して、自動プロビジョニングを実行し、ユーザーサイトにアクセスする権限を管理者に付与します。Microsoft 365の一部のプラン(スモールビジネスなど)では、MigrationWizによるアクセスが妨げられています。SharePoint管理者APIへのアクセスを提供していないプランでは、エンドユーザーの資格情報を使用する必要があります。
MigrationWizとExchange Onlineテナント間でEWSの先進認証を有効化する
BitTitanは、メールボックス、オンラインアーカイブメールボックス、およびパブリックフォルダー移行で使用するMicrosoft 365エンドポイントの先進認証のみサポートします。先進認証は、登録されたアプリケーションがAzure Active DirectoryおよびMicrosoft 365に接続する際に、より安全な認証メカニズムを提供します。
詳細については、MicrosoftのドキュメントExchange Onlineの先進認証を有効または無効にするを参照してください。
前提条件
- Azure Active Directoryへのアクセス権を持つグローバル管理者アカウント。現時点では、多要素認証および2要素認証は、サポートされていません。これらの認証方法が有効になっている場合、管理者アカウントをポリシーから除外する必要があります。
- MigrationWizでメールボックスプロジェクトが作成されており、設定できる状態であること。
- エンドユーザー認証情報はサポートされていません。MigrationWiz プロジェクトのエンドポイントには、管理者の認証情報を使用する必要があります
- アプリケーションには、管理者の同意が必要です。
サポートされているエンドポイント
|
プロジェクトの種類 |
移行元 |
移行先 |
|---|---|---|
|
メールボックス |
|
|
|
パブリックフォルダー |
|
|
|
個人用アーカイブ |
|
|
|
ハイブリッド |
|
|
プロセス(画像はそれらが示す手順のすぐ下にあります。複数の手順を示す画像は、画像の上に太字で表示されます。)
- Microsoft Entra管理センターに、グローバル管理者としてログインします。
- Microsoft Entra管理センターAzure Active Directory管理センターで、「Azure Active Directory」を選択します。
- 「管理(Manage)」メニューから、「アプリの登録(App registrations)」を選択します。
- 画面上部の「新規登録(New registration)」を選択します。
手順3~4 - アプリに固有の名前を付けます。名前は、必要に応じていつでも変更することができます。
- 「任意の組織ディレクトリ内のアカウント(Accounts in any organizational directory)」を選択します。
- 「リダイレクトURI(Redirect URI)」で、「パブリッククライアント(モバイルとデスクトップ) (Public client (mobile & desktop))」を選択し、フィールドに「urn:ietf:wg:oauth:2.0:oob」を入力します。
- 「登録(Register)」をクリックします。
手順5~8 - 「アプリの登録(App registrations)」に戻ります。
- 上記の手順で作成したアプリを選択します。
手順9~10 - 「概要(Overview)」ページに、「アプリケーション(クライアント)ID (aka Application)」と「ディレクトリ(テナント)ID (Directory (tenant) ID)」が表示されます。
- この2つのIDは、後のプロセスで使用するため、メモ帳などの他のアプリケーションにコピーしておきます。
手順11~12 - 「管理(Manage)」メニューから、「認証(Authentication)」を選択します。
- 「パブリッククライアントフローを許可する(Allow public client flows)」オプションで、「はい(Yes)」を選択します。
- 「保存(Save)」をクリックします。
手順13~15 - 「管理(Manage)」メニューから、「APIのアクセス許可(API permissions)」を選択します。
- Microsoft Graphに「User.Read」という名前の既存のAPIアクセス許可がある場合は、削除します。Microsoft Graph APIは、本プロジェクトタイプには適用できないため、使用しません。
- 「アクセス許可の追加(Add a permission)」 を選択します。
手順16~18 -
「所属する組織で使用しているAPI(APIs my organization uses)」を選択します。
-
下にスクロールして、「Office 365 Exchange Online」を選択します。
手順19~20 -
「委任されたアクセス許可(Delegated permissions)」を選択します。
-
「EWS」を選択します。
- 「EWS」の下にある「EWS.AccessAsUser.All」のチェックボックスをオンにします。
- 「アクセス許可の追加(Add permissions)」 をクリックします。このアクセス許可は、OAuthアプリケーション(MigrationWiz)をEWSに関連付けるためだけに使用されます。
-
-
重要:これは、すべてのメールボックスデータへのアクセスを許可するものではありません。
手順21~24
-
重要:これは、すべてのメールボックスデータへのアクセスを許可するものではありません。
-
- 「管理者の同意を与えます(Grant admin consent)」をクリックします。
- 「はい(Yes)」をクリックして、設定を確定します。「ステータス(Status)」列に、ドメインに権限が付与されたことを示すメッセージが表示されます。
手順25
手順26 - MigrationWizで、先進認証を設定する必要があるプロジェクトを選択します。
- 「プロジェクトの編集(Edit Project)」メニューをクリックします。
- 「詳細オプション(Advanced Options)」を選択します。
- 「サポートオプション(Support Options)」 で、上の手順で保存しておいたクライアントIDとテナントIDの情報を、次の形式で入力します。「+」ボタンをクリックして追加します。
- 移行元で先進認証を有効にする場合
ModernAuthClientIdExport=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxModernAuthTenantIdExport=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
- 移行先で先進認証を有効にする場合
ModernAuthClientIdImport=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx-
ModernAuthTenantIdImport=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx- 「xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx」の部分には、テナントのクライアントIDとテナントIDを入力します。
- これらのオプションは、テナントの設定に応じて、移行元または移行先のいずれか、あるいはその両方について入力します。
- これらのオプションは、先進認証の有効化が必要なMigrationWizプロジェクトごとに設定する必要があります。
- 移行元で先進認証を有効にする場合
- 「資格情報の検証(Verify Credentials)」を実行して、MigrationWizが先進認証を使用して接続できることを確認します。
- 検証済みのアイテムをクリックします。MigrationWizの移行情報ページに、「先進認証を使用してテナントに接続中(Connecting to tenant using modern authentication)」というメッセージが表示されます。このメッセージは、「移行エラー(Migration Errors)」ボックスに表示されますが、エラーではありません。これは、先進認証が有効になり、接続に使用されていることを確認するメッセージです。
Azure Active Directory(AAD)のシングルサインオン(SSO)によるログイン
Microsoft 365 AADログインは、お客様のMigrationWizアカウント上で、弊社のサポートチームが設定を有効にすることができます。SSOログインは、ドメインレベルで設定されます。つまり、お客様のドメインでSSOが有効化されると、同じドメインを持つすべてのユーザーが、Microsoft 365 AADログインを使用してサインインすることが必要になります。例えば、「お客様名@company.com」でSSOが有効化されると、同じ「@company .com」を持つすべてのユーザーのSSOも有効になります。
SSOログインを設定するには、Microsoft 365アカウントと同じドメインを持つMigrationWizアカウントが、少なくとも1つは必要です。弊社では現在、他のSSOプロバイダーはサポートしていません。
- 弊社のサポートチームに連絡して、設定を依頼してください。
- サポートチームが、AADログインを使用するようにお客様のアカウントを設定します。
- AADの準備が整い次第、サポートから手順が記載されたメールが届きます。
- アカウントの設定が完了すると、サポートから完了のメールが届きます。
Azure ADにMigrationWiz SSO用のBitTitanアプリケーションをブロックしているセキュリティ条件付きアクセスポリシーがある場合は、SSO が動作するアプリケーションを除外します。
MigrationWiz PowerShell SDKをMigrationWiz SSOで使用するには、Azure ADパスワードではなく、元のMigrationWiz/MSPCompleteパスワードを使用する必要があります。
アプリケーション権限を有効にする
Teams - グローバル管理者およびアプリケーション権限
最近のアップデートでは、「詳細オプション(Advanced Options)」の「UseApplicationPermission=1」がデフォルト設定されています。移行元と移行先の両方で、Teams-FullControlAppを使用します。
MigrationWizでは現在、Teamsの移行において、フルコントロール権限に加えて、読み取り専用のアプリケーション権限もサポートしています。この新しい読み取り専用アプリケーションは、セキュリティ強化の観点から、使用できるのは移行元に限られ、ドキュメントの権限はエクスポートされません。移行先では、常にフルコントロール権限が必要となります。
本アプリを使用すると、移行元および移行先でグローバル管理者またはサイトコレクション管理者の権限を使用せずに、安全な移行を実行することが可能になります。使用するアカウントには、Exchange OnlineテナントのTeamsライセンスが付与されている必要があります。
本アプリは、委任された権限を使用する、以前の Microsoft 365認証アプリと類似しています。本アプリは、アプリケーション権限を使用します。アプリケーション権限を使用しない場合は、上記の認証アプリの記事に移動して、記載された手順に従ってください。
アプリケーション権限を有効にする
移行元の権限レベルを設定する手順は、次の通りです。この認証プロセスでは、どのユーザーに移行元へのアクセス権を付与するかを制御することができます。
-
Microsoft 365管理ポータルに、グローバル管理者としてサインインしていることを確認します。
-
Teams-ReadOnlyApp またはTeams-FullControlAppのいずれかに移動し、プロンプトが表示されたら、アプリへのアクセスに同意します。 Teams-ReadOnlyAppを選択する場合は、Microsoft APIの制限により、「DisableAsynchronousMetadataRead=1」を使用して、AMRを無効にする必要があります。
-
Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。セキュリティグループを作成したことがない場合は、Microsoftのガイドに従ってください 。
-
新しいユーザーを作成します。このユーザーには、有効なTeamsライセンスが適用されている必要があります。
-
作成したセキュリティグループに、新しいユーザーをメンバーとして追加します。重要:このユーザーに対しては、Active Directoryフェデレーションサービスおよび多要素認証をオフにする必要があります。
-
MigrationWizプロジェクトを作成します。
-
エンドポイントを作成する際に、新しいユーザーの資格情報を入力します。
移行先の権限レベルを設定する手順:
-
グローバル管理者としてサインインしていることを確認します。
-
Teams-FullControlAppに移動し、プロンプトが表示されたら、アプリへのアクセスに同意します。
-
Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。
-
新しいユーザーを作成します。このユーザーには、有効なTeamsライセンスが適用されている必要があります。重要:このユーザーに対しては、Active Directoryフェデレーションサービスおよび多要素認証をオフにする必要があります。
-
作成したセキュリティグループに、新しいユーザーをメンバーとして追加します。
-
MigrationWizプロジェクトを作成します。
-
エンドポイントを作成する際に、新しいユーザーの資格情報を入力します。
Teams-FullControlAppは、移行元と移行先の両方のテナントで使用することができ、ドキュメントの権限がエクスポートされます。Teams-ReadOnlyAppは、移行元テナントでのみ使用することができ、ドキュメントの権限はエクスポートされません。
移行後の手順
-
新しく作成したユーザーを削除します。
-
上記の手順3で作成したMigrationWizセキュリティグループを削除します。
-
移行元または移行先からアプリを削除するには、次の手順に従います:
-
PowerShellを起動します。
-
PowerShellをMicrosoft 365に接続します。
-
次のコマンドを入力します:Connect-AzureAD
-
プロンプトに管理者資格情報を入力します。
-
次のコマンドを入力します:Get-AzureADServicePrincipal -SearchString Migration
-
削除するアプリのオブジェクトIDを確認し、次のコマンドを入力します:Remove-AzureADServicePrincipal -objectId <オブジェクトID
-
付与される権限
| Teams-ReadOnlyApp | Teams-FullControlApp | |
| 投稿 | 〇 | 〇 |
| Teamsの権限 | 〇 | 〇 |
| ドキュメント | 〇 | 〇 |
| ドキュメントの権限 | ✕ | 〇 |
Teams-ReadOnlyAppのアクセス権限:
-
-
SharePoint API
-
Sites.Read.All
-
User.Read.All
-
-
Graph API
-
Files.Read.All
-
Group.ReadWrite.All
(これは、移行するユーザーを最初に所有者としてチームに追加して、投稿を読むことができるようにするためのものです)
-
User.Read.All
-
Group.Read.All(委任された権限)
(これは、追加されたユーザーが、すべての投稿を読むことができるようにするためのものです。)
-
User.Read(委任された権限)
-
-
フルコントロール権限
-
SharePoint API:
-
Sites.FullControl.All
-
User.ReadWrite.All
-
-
Graph API:
-
Files.Read.All
-
Group.ReadWrite.All
-
User.Read.All
-
Group.ReadWrite.All(委任された権限)
-
User.Read(委任された権限)
-
SharePointおよびOneDrive
MigrationWizでは現在、SharePointおよびOneDriveの移行において、フルコントロール権限に加えて、サポートオプションの「UseApplicationPermission=1」を使用して、読み取り専用のアプリケーション権限もサポートしています。この新しい読み取り専用アプリは、セキュリティ強化の観点から、使用できるのは移行元に限られます。移行先では、常にフルコントロール権限が必要となります。
本アプリを使用すると、移行元および移行先でグローバル管理者またはサイトコレクション管理者の権限を使用せずに、安全な移行を実行することが可能になります。
本アプリは、委任された権限を使用する、以前のMicrosoft 365認証アプリと類似しています。本アプリは、アプリケーション権限を使用します。
BitTitanのアプリケーションは、Microsoftによって十分な検証が行われ、受け入れが許可されています。
アプリケーション権限を有効にする
移行元の権限レベルを設定する手順は、次の通りです。この認証プロセスでは、どのユーザーに移行元へのアクセス権を付与するかを制御することができます。
- グローバル管理者としてサインインしていることを確認します。
- MigrationWiz-SharePoint-ReadOnlyまたはMigrationWiz-SharePoint-FullControlのいずれかに移動し、プロンプトが表示されたら、アプリへのアクセスに同意します。
- Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。
- 新しいユーザーを作成します。このユーザーには、SharePoint/OneDrive ライセンスが適用されている必要があります。
- 作成したセキュリティグループに、新しいユーザーをメンバーとして追加します。
- MigrationWizプロジェクトを作成します。
- エンドポイントを作成する際に、新しいユーザーの資格情報を入力します。
- サポートオプションの「UseApplicationPermission=1」を追加します。
移行先の権限レベルを設定する手順:
- グローバル管理者としてサインインしていることを確認します。
- MigrationWiz-SharePoint-FullControlに移動し、プロンプトが表示されたら、アプリへのアクセスに同意します。
- Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。
- 新しいユーザーを作成します。このユーザーには、SharePoint/OneDrive ライセンスが適用されている必要があります。
- 作成したセキュリティグループに、新しいユーザーをメンバーとして追加します。
- MigrationWizプロジェクトを作成します。
- エンドポイントを作成する際に、新しいユーザーの資格情報を入力します。
MigrationWiz-SharePoint-FullControlは、移行元と移行先の両方のテナントで使用することができ、ドキュメントの権限がエクスポートされます。 MigrationWiz-SharePoint-ReadOnlyは、移行元テナントでのみ使用することができ、ドキュメントの権限はエクスポートされません。また、AMRを使用することはできません。
移行後の手順
-
新しく作成したユーザーを削除します。
-
上記の手順3で作成したMigrationWizセキュリティグループを削除します。
-
移行元または移行先からアプリを削除するには、次の手順に従います:
- PowerShellを起動します。
- PowerShellをMicrosoft 365に接続します。
- 次のコマンドを入力します:
Connect-AzureAD - プロンプトに管理者資格情報を入力します。
- 次のコマンドを入力します:
Get-AzureADServicePrincipal -SearchString Migration - 削除するアプリのオブジェクトIDを特定し、次のコマンドを入力します:
Remove-AzureADServicePrincipal -objectId <オブジェクトID
付与される権限
Teams-ReadOnlyAppのアクセス権限:
- SharePoint API:
- Sites.Read.All
- User.Read.All
- Graph API:
- Directory.Read.All
- Files.Read.All
- Group.Read.All(委任された権限)
- User.Read(委任された権限)
フルコントロール権限
- SharePoint API:
- Sites.FullControl.All
- User.ReadWrite.All
- Graph API:
- Directory.Read.All
- Files.Read.All
- Group.Read.All(委任された権限)
- User.Read(委任された権限)