Microsoft 365の認証と権限の管理は複雑で、種類によって異なります。本記事では、さまざまな種類の認証、それらが適用されるシナリオ、および特殊なケースについて説明します。
シナリオごとの必要な認証と、有効にする手順については、移行ガイドを参照してください。
MicrosoftがExchange Onlineの「基本認証(Basic Authentication)」のサポートを2022年12月に終了したため、MigrationWizとExchange Onlineエンドポイント間の基本認証はサポートされていません。現在、基本認証はサポートされていないため、先進認証を使用するようにMigrationWizを設定する必要があります。
「先進認証(Modern authentication)」は、OAuth 2.0トークンとActive Directory認証ライブラリ(Active Directory Authentication Library)に基づいています。先進認証では、多要素認証がサポートされています。多要素認証では、事前に設定した個人的な質問など、パスワード以外の第2要素を使用して、ユーザーIDを確認します。
「委任されたアクセス許可(Delegated Permissions)」を使用すると、アプリケーションはサインインしたユーザーとしてWeb APIにアクセスする必要があります。アクセスは、選択された権限の範囲内に限定されます。この種類の権限は、管理者の同意が必要と設定されている場合を除いて、ユーザーが付与することができます。
「アプリのアクセス許可(Application Permissions)」を使用すると、アプリケーション自体(ユーザー コンテキストなしで)としてWeb APIに直接アクセスする必要があります。この種類の権限には管理者の同意が必要で、ネイティブクライアントアプリケーションでは使用できません。
SharePointおよびOneDrive
先進認証 - 委任されたアクセス許可 - BitTitanアプリ
この認証方法には、BitTitanの権限アプリが必要です。アプリでの手順については、次のセクションで説明します。
この認証方法では、グローバル管理者資格情報が必要です。
- SharePointの移行:サイトコレクション管理者の資格情報
- OneDriveの移行:SharePointの管理者資格情報を使用します。管理者は、移行するOneDriveアカウントのサイトコレクション管理者に昇格します。SharePointの管理者資格情報を使用する場合、(移行先テナントで基本認証がブロックされていない限り) OneDriveユーザーアカウントのプロビジョニングは、サポートされています。
先進認証 - 委任されたアクセス許可 - 顧客テナントのアプリ
- SharePointの移行:グローバル管理者およびサイトコレクション管理者(テナントアプリの作成には、グローバル管理者ロールが必要です。)
- OneDriveの移行:SharePointの管理者資格情報を使用します。グローバル管理者がテナントアプリを作成し、権限を移行するアカウントのサイトコレクション管理者レベルまで昇格させます。SharePointの管理者資格情報を使用する場合、(移行先テナントで基本認証がブロックされていない限り) OneDriveユーザーアカウントのプロビジョニングは、サポートされています。
先進認証 - アプリのアクセス許可 - BitTitanアプリ
この認証方法には、BitTitanの権限アプリが必要です。アプリでの手順については、次のセクションで説明します。
- この認証方法では、ユーザーの資格情報を使用します。ユーザーは、Microsoft 365テナントで作成されたMigrationWizセキュリティグループのメンバーである必要があります。
- BitTitanアプリに同意するには、グローバル管理者権限が必要です。
- OneDriveのプロビジョニングはサポートされておらず、管理者資格情報フローのみがサポートされています。
- 「詳細オプション(Advanced Options)」の「UseApplicationPermission=1」が必要です。
Teams
先進認証 - 委任されたアクセス許可 - BitTitanアプリ
この認証方法には、BitTitanの権限アプリが必要です。アプリでの手順については、「TeamsからTeamsへの移行ガイド」を参照してください。
- グローバル管理者資格情報またはTeamsの管理者資格情報が必要です。
- 「詳細オプション(Advanced Options)」の「UseDelegatePermission=1」が必要です。
先進認証 - 委任されたアクセス許可 - 顧客テナントのアプリ
- グローバル管理者資格情報が必要です。
- 「詳細オプション(Advanced Options)」の「UseDelegatePermission=1」が必要です。
先進認証 - アプリのアクセス許可 - BitTitanアプリ
この認証方法には、BitTitanの権限アプリが必要です。アプリでの手順については、「TeamsからTeamsへの移行ガイド」を参照してください。
- この認証方法では、ユーザーの資格情報を使用します。ユーザーは、Microsoft 365テナントで作成されたMigrationWizセキュリティグループのメンバーである必要があります。
Microsoft 365
先進認証 - 委任されたアクセス許可
- 顧客のMicrosoft Entraアカウントで作成します。
- 管理者資格情報が必要です。
スモールビジネステナント(Small Business Tenant)
Microsoft 365スモールビジネステナントのドキュメント移行では、注意すべき点がいくつかあります。
MigrationWizでスモールビジネステナントのドキュメント移行を行うには、移行先が次のように設定されている必要があります。
移行元(Googleドライブなど)では、管理者資格情報を使用することができますが、移行先のMicrosoft 365スモールビジネステナントは、エンドユーザーの資格情報を使用して設定する必要があります。管理者資格情報を使用すると、次のエラーが発生します。
移行先(Destination):移行先の資格情報を確認できませんでした。(Your migration failed checking destination credentials.) <テナントのURLでOneDrive for Business管理者認証に失敗しました。(OneDrive for Business administrative authentication failed with <your tenant URL.)
MigrationWizでは、SharePoint管理者APIを使用して、自動プロビジョニングを実行し、ユーザーサイトにアクセスする権限を管理者に付与します。Microsoft 365の一部のプラン(スモールビジネスなど)では、MigrationWizによるアクセスが妨げられています。SharePoint管理者APIへのアクセスを提供していないプランでは、エンドユーザーの資格情報を使用する必要があります。
メールボックスおよびExchange Online移行のためのクライアントIDとテナントID設定の取得
BitTitanは、メールボックス、オンラインアーカイブメールボックス、およびパブリックフォルダー移行で使用するMicrosoft 365エンドポイントの先進認証のみサポートします。先進認証は、登録されたアプリケーションがMicrosoft Entra IDおよびMicrosoft 365に接続する際に、より安全な認証メカニズムを提供します。
詳細については、MicrosoftのドキュメントOutlook in Exchange Online での先進認証の有効化または無効化を参照してください。
前提条件
- Microsoft Entra IDへのアクセス権を持つグローバル管理者アカウント。現時点では、多要素認証および2要素認証はサポートされていません。これらの認証方法が有効になっている場合、管理者アカウントをポリシーから除外する必要があります。
- MigrationWizでメールボックスプロジェクトが作成されており、設定できる状態であること。
- エンドユーザー認証情報はサポートされていません。MigrationWiz プロジェクトのエンドポイントには、管理者の認証情報を使用する必要があります。
- アプリケーションには、管理者の同意が必要です。
サポートされているエンドポイント
プロジェクトの種類 |
移行元 |
移行先 |
---|---|---|
メールボックス |
|
|
パブリックフォルダー |
|
|
個人用アーカイブ |
|
|
ハイブリッド |
|
|
登録と設定
重要
それぞれの手順の説明の下の画像も、併せて参照してください。
- Microsoft Entra管理センターに、グローバル管理者としてログインします。
- Microsoft Entra管理センター で「すべての製品の表示(View all products)」をクリックし、「Microsoft ID (Azure AD)」を選択します。
- 左側のサイドバーで、「アプリケーション(Applications)」ドロップダウンリストを開き、 「管理(Manage)」の下にある 「アプリの登録(App Registrations)」を選択します。
- 画面上部の「新規登録(New Registration)」を選択します。
- アプリに固有の名前を付けます。名前は、必要に応じていつでも変更することができます。
- 「任意の組織ディレクトリのアカウント(任意の Microsoft Entra ID テナント - マルチテナント)((Any Microsoft Entra ID tenant - Multi Tenant) )」ラジオボタンを選択します。
- 「リダイレクトURI(Redirect URI)」で、「パブリッククライアント/ネイティブ(モバイルとデスクトップ) (Public client (mobile & desktop))」を選択し、フィールドに「urn:ietf:wg:oauth:2.0:oob」を入力します。
- 「登録(Register)」をクリックします。
- 「概要(Overview)」タブに、「アプリケーション (クライアント) ID」と「ディレクトリ (テナント) ID」が表示されます。
- この2つのIDは、後のプロセスで使用するため、メモ帳などの他のアプリケーションにコピーしておきます。
- 「管理(Manage)」メニューから、「認証(Authentication)」を選択します。
- 「パブリッククライアントフローを許可する(Allow public client flows)」オプションで、「はい(Yes)」を選択します。
- 「保存(Save)」をクリックします。
- 「管理(Manage)」メニューから、「APIのアクセス許可(API permissions)」を選択します。
- Microsoft Graphに「User.Read」という名前の既存のAPIアクセス許可がある場合は、削除します。Microsoft Graph APIは、本プロジェクトタイプでは適用できないため、使用しません。
- 「アクセス許可の追加(Add a permission)」 を選択します。
- 「所属する組織で使用しているAPI(APIs my organization uses)」を選択します。
-
下にスクロール、または次の権限を検索します。Office 365 Exchange Online
-
「委任されたアクセス許可(Delegated permissions)」を選択します。
-
「EWS」を選択します。
- 「EWS」の下にある「EWS.AccessAsUser.All」のチェックボックスをオンにします。
- 「アクセス許可の追加(Add permissions)」 をクリックします。このアクセス許可は、OAuthアプリケーション(MigrationWiz)をEWSに関連付けるためだけに使用されます。
重要
これは、すべてのメールボックスデータへのアクセスを許可するものではありません。 - 「管理者の同意を与えます(Grant admin consent)」をクリックします。
- 「はい(Yes)」をクリックして、設定を確定します。「ステータス(Status)」列に、ドメインに権限が付与されたことを示すメッセージが表示されます。
GoogleグループからO365への移行
この種類の移行では、いくつかのAPI権限を移行先テナントに追加する必要があります。次の手順に従って、プロセスを完了してください。
- 手順17と18を繰り返します。
- 「Microsoft Graph」を指定します。
- 「委任されたアクセス許可(Delegated permissions)」を選択します。
- 次の権限を選択し、「権限の追加(Add Permissions)」をクリックします。
-
- Directory.ReadWrite.All
- Group.ReadWrite.All
- GroupMember.ReadWrite.All
- User.Read.All
-
- 「管理者の同意を与えます(Grant admin consent)」をクリックします。
- 「はい(Yes)」をクリックして、設定を確定します。
MigrationWizプロジェクトを作成する際は、ここで使用した資格情報を使用してください。資格情報は、エンドポイント(移行元と移行先)を設定する際に入力が必要になります。
警告
フィールドが未入力の場合、(クライアントまたはテナントの)資格情報が間違っている場合、または資格情報がテナントに属していない場合は、プロジェクトを保存することができません。
エンドポイント設定時の一般的なエラー
詳細については、先進認証における一般的なエラー(Common Errors Using Modern Authentication)ページの「AADSTS700016」、「AADSTS90002」、および「 ADDSTS50126」の説明を参照してください。
「アプリケーション(クライアント)ID」フィールドと「ディレクトリ(テナント)ID」フィールドは、必ず入力してください。入力しないと、以下の警告が表示され、次の手順に進むことができません。
この問題は、移行元または移行先のエンドポイントを設定する時に発生します。
移行元の設定のアプリケーション(クライアント)IDが無効です(Invalid Application Client ID at Source Settings)
アプリケーション(クライアント)IDが設定されているか、そのIDが正しいかどうかを確認してください。 詳細については、AADSTS700016を参照してください。
移行元の設定のディレクトリ(テナント)IDが無効です(Invalid Directory Tenant ID at Source Settings)
ディレクトリ(テナント)IDが設定されているか、そのIDが正しいかどうかを確認してください。 詳細については、AADSTS90002を参照してください。
移行元の設定またはクライアントの設定で、ユーザー名またはパスワードが無効であった場合、警告が表示されます。資格情報が正しいことを確認してください。
詳細については、ADDSTS50126を参照してください。
Microsoft Entraシングルサインオン(SSO)ログイン
Microsoft 365 Microsoft Entraログインは、お客様のMigrationWizアカウント上で、弊社のサポートチームが設定を有効にすることができます。SSOログインは、ドメインレベルで行われます。そのため、お客様のドメインでSSOが有効化されると、同じドメインを持つすべてのユーザーが、Microsoft 365 Microsoft Entraログインを使用してサインインする必要があります。例えば、「お客様名@company.com」でSSOが有効化されると、同じ「@company.com」を持つすべてのユーザーのSSOも有効になります。
SSOログインを設定するには、Microsoft 365アカウントと同じドメインを持つMigrationWizアカウントが、少なくとも1つは必要です。弊社では現在、他のSSOプロバイダーはサポートしていません。
- 弊社のサポートチームに連絡して、設定を依頼してください。
- サポートチームが、Microsoft Entraログインを使用できるようにアカウントを設定します。
- Microsoft Entraの準備が完了すると、サポートからその後の手順をお知らせします。
- アカウントの設定がすべて完了すると、サポートから連絡があります。
Microsoft Entraに、MigrationWiz SSO用のBitTitanアプリケーションをブロックしている「セキュリティ条件付きアクセスポリシー(Security Conditional Access Policy)」がある場合は、SSOが機能するようにするため、BitTitanアプリケーションを除外します。
MigrationWiz PowerShell SDKをMigrationWiz SSOで使用するには、Microsoft Entraパスワードではなく、元のMigrationWiz/MSPCompleteパスワードを使用する必要があります。
アプリのアクセス許可を有効にする
Teams - グローバル管理者およびアプリのアクセス許可
最新のアップデートでは、「詳細オプション(Advanced Options)」の「UseApplicationPermission=1」がデフォルト設定されています。移行元と移行先の両方で、Teams-FullControlAppを使用します。
MigrationWizでは、Teamsの移行においてフルコントロール権限に加えて、読み取り専用のアプリのアクセス許可もサポートしています。読み取り専用アクセス許可が付与されている新しいアプリは、セキュリティ強化の観点から、使用できるのは移行元に限られ、ドキュメントの権限はエクスポートされません。移行先では、常にフルコントロール権限が必要となります。
本アプリを使用すると、移行元および移行先でグローバル管理者またはサイトコレクション管理者の権限を使用せずに、安全な移行を実行することが可能になります。使用するアカウントには、Exchange OnlineテナントのTeamsライセンスが付与されている必要があります。
本アプリは、委任された権限を使用する、以前の Microsoft 365認証アプリと類似しています。本アプリでは、アプリのアクセス許可を使用します。アプリのアクセス許可を使用しない場合は、上記の認証アプリの記事に移動して、記載された手順に従ってください。
アプリのアクセス許可を有効にする
移行元でアクセス許可を有効にする
移行元でアクセス許可レベルを設定する手順は、次の通りです。この認証プロセスでは、どのユーザーに移行元へのアクセス権を付与するかを制御することができます。
-
Microsoft 365管理ポータルに、グローバル管理者としてサインインしていることを確認します。
-
Teams-ReadOnlyAppまたはTeams-FullControlAppのいずれかに移動し、プロンプトが表示されたらアプリへのアクセスに同意します。 Teams-ReadOnlyAppを選択する場合は、Microsoft APIの制限により、「DisableAsynchronousMetadataRead=1」を使用して、AMRを無効にする必要があります。
-
Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。セキュリティグループを作成したことがない場合は、Microsoftのガイドに従ってください 。
-
新しいユーザーを作成します。このユーザーには、有効なTeamsライセンスが適用されている必要があります。
-
作成済みのセキュリティグループに、新しいユーザーをメンバーとして追加します。重要:このユーザーに対しては、Active Directoryフェデレーションサービス(ADFS)および多要素認証(MFA)をオフにする必要があります。
-
MigrationWizプロジェクトを作成します。
-
エンドポイントの作成時に、新しいユーザーの資格情報を入力します。
移行先でアクセス許可を有効にする
移行元でアクセス許可レベルを設定する手順は、次の通りです。
-
グローバル管理者としてサインインしていることを確認します。
-
Teams-FullControlAppに移動し、プロンプトが表示されたら、アプリへのアクセスに同意します。
-
Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。
-
新しいユーザーを作成します。このユーザーには、有効なTeamsライセンスが適用されている必要があります。重要:このユーザーに対しては、Active Directoryフェデレーションサービス(ADFS)および多要素認証(MFA)をオフにする必要があります。
-
作成済みのセキュリティグループに、新しいユーザーをメンバーとして追加します。
-
MigrationWizプロジェクトを作成します。
-
エンドポイントの作成時に、新しいユーザーの資格情報を入力します。
Teams-FullControlAppは、移行元と移行先の両方のテナントで使用することができ、ドキュメントのアクセス許可がエクスポートされます。Teams-ReadOnlyAppは、移行元テナントでのみ使用することができ、ドキュメントのアクセス許可はエクスポートされません。
移行後の手順
-
新しく作成したユーザーを削除します。
-
上記の手順3で作成したMigrationWizセキュリティグループを削除します。
移行元または移行先からアプリを削除するには、次の手順に従います。
-
PowerShellを起動します。
-
PowerShellをMicrosoft 365に接続します。
-
次のコマンドを入力します:
Connect-AzureAD
-
プロンプトに管理者資格情報を入力します。
-
次のコマンドを入力します:
Get-AzureADServicePrincipal -SearchString Migration
-
削除するアプリのオブジェクトIDを確認し、次のコマンドを入力します:
Remove-AzureADServicePrincipal -objectId <the object id
付与される権限
Teams-ReadOnlyApp | Teams-FullControlApp | |
投稿 | 〇 | 〇 |
Teamsの権限 | 〇 | 〇 |
ドキュメント | 〇 | 〇 |
ドキュメントの権限 | ✕ | 〇 |
次の権限は 「読み取り専用(Read Only)」に付与されます。
SharePoint API
- Sites.Read.All
- User.Read.All
Graph API
- Files.Read.All
- Group.ReadWrite.All
(これは、移行するユーザーを最初に所有者としてチームに追加して、投稿を読むことができるようにするためのものです。) - User.Read.All
- Group.Read.All(委任された権限)
(これは、追加されたユーザーが、すべての投稿を読むことができるようにするためのものです。) - User.Read(委任された権限)
次の権限は「フルコントロール(Full Control)」に付与されます。
SharePoint API
- Sites.FullControl.All
- User.ReadWrite.All
Graph API
- Files.Read.All
- Group.ReadWrite.All
- User.Read.All
- Group.ReadWrite.All(委任された権限)
- User.Read(委任された権限)
SharePointおよびOneDrive
MigrationWizでは現在、SharePointおよびOneDriveの移行において、フルコントロール権限に加えて、サポートオプションの「UseApplicationPermission=1」を使用して、読み取り専用のアプリのアクセス許可もサポートしています。読み取り専用アクセス許可が付与された新しいアプリは、セキュリティ強化の観点から、使用できるのは移行元に限られます。移行先では、常にフルコントロール権限が必要となります。
本アプリを使用すると、移行元および移行先でグローバル管理者またはサイトコレクション管理者の権限を使用せずに、安全な移行を実行することが可能になります。
本アプリは、委任された権限を使用する、以前のMicrosoft 365認証アプリと類似しています。本アプリは、アプリのアクセス許可を使用します。
BitTitanのアプリケーションは、Microsoftによって十分な検証が行われ、受け入れが許可されています。
アプリのアクセス許可を有効にする
移行元でアクセス許可を有効にする
移行元でアクセス許可レベルを設定する手順は、次の通りです。この認証プロセスでは、どのユーザーに移行元へのアクセス権を付与するかを制御することができます。
- グローバル管理者としてサインインしていることを確認します。
- MigrationWiz-SharePoint-ReadOnlyまたはMigrationWiz-SharePoint-FullControlのいずれかに移動し、プロンプトが表示されたら、アプリへのアクセスに同意します。
- Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。
- 新しいユーザーを作成します。このユーザーには、SharePoint/OneDrive ライセンスが適用されている必要があります。
- 作成済みのセキュリティグループに、新しいユーザーをメンバーとして追加します。
- MigrationWizプロジェクトを作成します。
- エンドポイントの作成時に、新しいユーザーの資格情報を入力します。
- サポートオプションの「UseApplicationPermission=1」を追加します。
移行先でアクセス許可を有効にする
移行先で権限レベルを設定する手順は、次の通りです。
- グローバル管理者としてサインインしていることを確認します。
- MigrationWiz-SharePoint-FullControlに移動し、プロンプトが表示されたら、アプリのアクセスに同意します。
- Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。
- 新しいユーザーを作成します。このユーザーには、SharePoint/OneDrive ライセンスが適用されている必要があります。
- 作成済みのセキュリティグループに、新しいユーザーをメンバーとして追加します。
- MigrationWizプロジェクトを作成します。
- エンドポイントの作成時に、新しいユーザーの資格情報を入力します。
MigrationWiz-SharePoint-FullControlは、移行元と移行先の両方のテナントで使用することができ、ドキュメントの権限がエクスポートされます。 MigrationWiz-SharePoint-ReadOnlyは、移行元テナントでのみ使用することができ、ドキュメントの権限はエクスポートされません。また、AMRを使用することはできません。
移行後の手順
- 新しく作成したユーザーを削除します。
- 上記の手順3で作成したMigrationWizセキュリティグループを削除します。
移行元または移行先からアプリを削除するには、次の手順に従います。
- PowerShellを起動します。
- PowerShellをMicrosoft 365に接続します。
- 次のコマンドを入力します:
Connect-AzureAD
- プロンプトに管理者資格情報を入力します。
- 次のコマンドを入力します:
Get-AzureADServicePrincipal -SearchString Migration
- 削除するアプリのオブジェクトIDを特定し、次のコマンドを入力します:
Remove-AzureADServicePrincipal -objectId <オブジェクトID
付与される権限
次の権限は 「読み取り専用(Read Only)」に付与されます。
SharePoint API
- Sites.Read.All
- User.Read.All
Graph API
- Directory.Read.All
- Files.Read.All
- Group.Read.All(委任された権限)
- User.Read(委任された権限)
次の権限は「フルコントロール(Full Control)」に付与されます。
SharePoint API
- Sites.FullControl.All
- User.ReadWrite.All
Graph API
- Directory.Read.All
- Files.Read.All
- Group.Read.All(委任された権限)
- User.Read(委任された権限)