Microsoft 365(全製品)の移行における認証方法

Microsoft 365の認証および権限の管理は、製品タイプによって異なり、複雑です。本記事では、さまざまな種類の認証、それらが適用されるシナリオ、および特殊なケースについて説明します。 

お客様のシナリオに必要な認証と、それを有効にする手順については、該当する移行ガイドを参照してください。

用語集

基本認証

ユーザ名とパスワードの単純な組み合わせを使用する認証です。基本認証は、セキュリティレベルが低く、パスワード攻撃を受けやすいと言われています。

先進認証

先進認証は、OAuth 2.0トークンとActive Directory認証ライブラリに基づいています。先進認証では、多要素認証がサポートされています。多要素認証では、事前に設定した個人的な質問など、パスワード以外の第2要素を使用して、ユーザーの身元を確認します。

委任された権限

サインインしたユーザーとしてWeb APIにアクセスする必要があるアプリケーションで使用します。アクセスは、選択された権限の範囲内に限定されます。委任された権限は、管理者の同意が必要な権限として構成されていない限り、ユーザーが付与することができます。

アプリケーション権限

アプリケーション自体として(ユーザーコンテキストなしで)直接Web APIにアクセスする必要があるアプリケーションで使用します。アプリケーション権限は、管理者の同意が必要であり、ネイティブクライアントアプリケーションでは使用できません。

製品タイプ別の認証方法

SharePointおよびOneDrive

基本認証 - ユーザー資格情報(OneDrive)

ユーザーの資格情報は、ラインアイテムとして提供されます。ユーザーは、自分のOneDrive個人用サイトのサイトコレクション管理者であるため、追加の資格情報は必要ありません。OneDriveユーザーアカウントのプロビジョニングは、サポートされていません。ユーザー資格情報は、GCCと中国の移行でのみサポートされています。

基本認証 - 管理者資格情報

  • SharePointの移行:サイトコレクション管理者の資格情報
  • OneDriveの移行:SharePointの管理者資格情報を使用します。SharePointの管理者資格情報を使用する場合、OneDriveユーザーアカウントのプロビジョニングは、サポートされています

先進認証 - 委任された権限 - BitTitanアプリ

この認証方法には、BitTitanの権限アプリが必要です。アプリでの手順については、次のセクションで説明します。

この認証方法では、グローバル管理者資格情報が必要です。

  • SharePointの移行:サイトコレクション管理者の資格情報
  • OneDriveの移行:SharePointの管理者資格情報を使用します。管理者は、移行するOneDriveアカウントのサイトコレクション管理者に昇格します。SharePointの管理者資格情報を使用する場合、(移行先テナントで基本認証がブロックされていない限り、) OneDriveユーザーアカウントのプロビジョニングは、サポートされています

先進認証 - 委任された権限 - 顧客テナントのアプリ

  • SharePointの移行:グローバル管理者およびサイトコレクション管理者(テナントアプリの作成には、グローバル管理者ロールが必要です。)
  • OneDriveの移行:SharePointの管理者資格情報を使用します。グローバル管理者がテナントアプリを作成し、その権限を、移行するアカウントのサイトコレクション管理者レベルまで昇格させます。SharePointの管理者資格情報を使用する場合、(移行先テナントで基本認証がブロックされていない限り、) OneDriveユーザーアカウントのプロビジョニングは、サポートされています

先進認証 - アプリケーション権限 - BitTitanアプリ

この認証方法には、BitTitanの権限アプリが必要です。アプリでの手順については、次のセクションで説明します。

  • この認証方法では、ユーザーの資格情報を使用します。ユーザーは、Microsoft 365テナントで作成されたMigrationWizセキュリティグループのメンバーである必要があります。
  • BitTitanアプリに同意するには、グローバル管理者権限が必要です。
  • OneDriveプロビジョニングはサポートされておらず、管理者資格情報フローのみがサポートされています。
  • 「詳細オプション(Advanced Options)」の「UseApplicationPermission=1」が必要です。

Teams

先進認証 - 委任された権限 - BitTitanアプリ

この認証方法には、BitTitanの権限アプリが必要です。アプリでの手順については、「TeamsからTeamsへの移行ガイド」を参照してください。

  • グローバル管理者資格情報またはTeamsの管理者資格情報が必要です。
  • 「詳細オプション(Advanced Options)」の「UseDelegatePermission=1」が必要です。

先進認証 - 委任された権限 - 顧客テナントのアプリ

  • グローバル管理者資格情報が必要です。
  • 「詳細オプション(Advanced Options)」の「UseDelegatePermission=1」が必要です。

先進認証 - アプリケーション権限 - BitTitanアプリ

この認証方法には、BitTitanの権限アプリが必要です。アプリでの手順については、「TeamsからTeamsへの移行ガイド」を参照してください。

  • この認証方法では、ユーザーの資格情報を使用します。ユーザーは、Microsoft 365テナントで作成されたMigrationWizセキュリティグループのメンバーである必要があります。

Microsoft 365

基本認証

  • 必要なアプリはありません。
  • 管理者資格情報が必要です。

先進認証 - 委任された権限

  • 顧客のAzureアカウントで設定します。
  • 管理者資格情報が必要です。
  • アプリおよびクライアントIDが必要です。これらは、「詳細オプション(Advanced Options)」で追加します。

スモールビジネステナント

Microsoft 365スモールビジネステナントのドキュメント移行では、注意すべき点がいくつかあります。

MigrationWizでスモールビジネステナントのドキュメント移行を行うには、移行先が次のように構成されている必要があります:

 

移行元(Googleドライブなど)では、管理者資格情報を使用することができますが、移行先のMicrosoft 365スモールビジネステナントは、エンドユーザーの資格情報を使用して構成する必要があります。管理者資格情報を使用すると、次のエラーが発生します:

 

移行先

移行先の資格情報を確認できませんでした。(Your migration failed checking destination credentials.) <テナントのURL>でOneDrive for Business管理者認証に失敗しました。(OneDrive for Business administrative authentication failed with <your tenant URL>.)

MigrationWizでは、SharePoint管理者API を使用して、自動プロビジョニングを実行し、ユーザーサイトにアクセスする権限を管理者に付与します。Microsoft 365の一部のプラン(スモールビジネスなど)では、MigrationWizによるアクセスが妨げられています。お客様のプランがSharePoint管理者APIへのアクセスを提供していない場合は、エンドユーザーの資格情報を使用する必要があります。

先進認証を有効にする

BitTitanは現在、メールボックス移行におけるMicrosoft 365エンドポイントの先進認証をサポートしています。先進認証は、登録されたアプリケーションがAzure Active DirectoryおよびMicrosoft 365に接続する際に、より安全な認証メカニズムを提供します。 

先進認証を使用している場合、「アイテム自動検出(Autodiscover Items)」オプションは、使用することができません。

詳細については、MicrosoftのドキュメントExchange Onlineの先進認証を有効または無効にするを参照してください。

前提条件

  • Azure Active Directoryへのアクセス権を持つグローバル管理者アカウント。現時点では、多要素認証および2要素認証は、サポートされていません。これらの認証方法が有効になっている場合、管理者アカウントをポリシーから除外する必要があります。 
  • MigrationWizでメールボックスプロジェクトが作成されており、設定の準備が整っていること。
  • アプリケーションには、管理者の同意が必要です。 

サポートされているエンドポイント

プロジェクトの種類

移行元

移行先

 

 

 

メールボックス

  1. Exchange Server 2003以降

  2. Microsoft 365

  3. Microsoft 365(中国)

  4. Microsoft 365(ドイツ)

  5. Microsoft 365(米国政府)

  6. Microsoft 365グループ

  1. Exchange Server 2003以降

  2. Microsoft 365

  3. Microsoft 365(中国)

  4. Microsoft 365(ドイツ)

  5. Microsoft 365(米国政府)

  6. Microsoft 365グループ

 

 

 

 

 

 

 

 

パブリックフォルダー

  1. Exchange Server 2003以降

  2. Exchange Serverのパブリックフォルダー

  3. Microsoft 365

  4. Microsoft 365(中国)

  5. Microsoft 365(ドイツ)

  6. Microsoft 365(米国政府)

  7. Microsoft 365のパブリックフォルダー

  8. Microsoft 365のパブリックフォルダー(中国)

  9. Microsoft 365のパブリックフォルダー(ドイツ)

  10. Microsoft 365のパブリックフォルダー(米国政府)

  1. Exchange Server 2003以降

  2. Exchange Serverのパブリックフォルダー

  3. Microsoft 365

  4. Microsoft 365(中国)

  5. Microsoft 365(ドイツ)

  6. Microsoft 365(米国政府)

  7. Microsoft 365のパブリックフォルダー

  8. Microsoft 365のパブリックフォルダー(中国)

  9. Microsoft 365のパブリックフォルダー(ドイツ)

  10. Microsoft 365のパブリックフォルダー(米国政府)

 

 

個人用アーカイブ

  1. Exchange Server 2003以降

  2. Microsoft 365

  3. Microsoft 365(中国)

  4. Microsoft 365(ドイツ)

  5. Microsoft 365(米国政府)

  1. Exchange Server 2003以降

  2. Microsoft 365

  3. Microsoft 365(中国)

  4. Microsoft 365(ドイツ)

  5. Microsoft 365(米国政府)

ハイブリッド

  1. オンプレミスExchange 2010以降

  1. Microsoft 365(ハイブリッド移行のみ)

プロセス

  1. グローバル管理者としてAzure Active Directory管理コンソールにログインします。
  2. Azure Active Directory管理センターで、「Azure Active Directory」を選択します。
  3. 「管理」メニューから、「アプリの登録」を選択します。
  4. 画面上部の「新規登録」を選択します。
  5. アプリに独自の名前を付けます。この名前は、必要に応じていつでも変更することができます。
  6. 任意の組織ディレクトリ内のアカウント」を選択します。
  7. 「リダイレクトURI」で、「パブリッククライアント(モバイルおよびデスクトップ)」を選択し、「urn:ietf:wg:oauth:2.0:oob」に設定します。
  8. 登録」をクリックします。
  9. アプリの登録」に戻ります。
  10. 上記の手順で作成したアプリを選択します。
  11. 概要ページに、アプリケーション(クライアント)IDとディレクトリ(テナント)IDが表示されます。
  12. この2つのIDは、後のプロセスで使用するため、メモ帳などの他のアプリケーションにコピーしておきます。
  13. 「管理」メニューから、「認証」を選択します。
  14. パブリッククライアントフローを許可する」オプションで、「はい」を選択します。 
  15. 保存」をクリックします。
  16. 「管理」メニューから、「APIのアクセス許可」を選択します。
  17. アクセス許可の追加」 を選択します。
  18. 組織で使用しているAPI」を選択します。

  19. 下にスクロールして、「Microsoft 365 Exchange Online」を選択します。

  20. 委任されたアクセス許可」を選択します。

  21. EWS」を選択します。

  22. 「EWS」の下にある「EWS.AccessAsUser.All」のチェックボックスをオンにします。
  23. アクセス許可の追加」をクリックします。この権限は、OAuthアプリケーション(MigrationWiz)をEWSに関連付けるためだけに使用されます。
      • 重要:この権限は、すべてのメールボックスデータへのアクセスを許可するものではありません。
  24. ・・・に管理者の同意を与えます」 をクリックします。
  25. はい」をクリックして、設定を確定します。
  26. MigrationWizで、先進認証を設定する必要があるプロジェクトを選択します。
  27. プロジェクトの編集」メニューをクリックします。
  28. 詳細オプション(Advanced Options)」を選択します。
  29. 「サポートオプション(Support Options)」 で、上記の手順で保存したクライアントIDとテナントIDの情報を、次の形式で入力します:
    • 移行元で先進認証を有効にする場合:
      • ModernAuthClientIdExport=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
      • ModernAuthTenantIdExport=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
    • 移行先で先進認証を有効にする場合:
      • ModernAuthClientIdImport=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
      • ModernAuthTenantIdImport=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
        • xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxの部分には、お客様のテナントのクライアントIDとテナントIDを入力します。
        • これらのオプションは、テナントの設定に応じて、移行元または移行先のいずれか、あるいはその両方で入力することができます。
        • これらのオプションは、先進認証の有効化が必要なMigrationWizプロジェクトごとに設定する必要があります。

  30. 「資格情報の検証(Verify Credentials)」を実行して、MigrationWizが先進認証を使用して接続できることを確認します。 
  31. 検証済みのアイテムをクリックします。MigrationWizの移行情報ページに、「先進認証を使用してテナントに接続中(Connecting to tenant using modern authentication)」というメッセージが表示されます。このメッセージは、「移行エラー(Migration Errors)」ボックスに表示されますが、エラーではありません。これは、先進認証が有効になり、接続に使用されていることを確認するメッセージです。

Azure Active Directory(AAD)のシングルサインオン(SSO)によるログイン

Microsoft 365 AADログインは、お客様のMigrationWizアカウント上で、弊社のサポートチームが設定を有効にすることができます。SSOログインは、ドメインレベルで設定されます。つまり、お客様のドメインでSSOが有効化されると、同じドメインを持つすべてのユーザーが、Microsoft 365 AADログインを使用してサインインすることが必要になります。たとえば、「お客様名@company.com」でSSOが有効化されると、同じ「@company .com」を持つすべてのユーザーのSSOも有効になります。 

SSOログインを設定するには、Microsoft 365アカウントと同じドメインを持つMigrationWizアカウントが、少なくとも1つは必要です。弊社では現在、他のSSOプロバイダーはサポートしていません。

  1. 弊社のサポートチームに連絡して、設定を依頼してください
  2. サポートチームが、AADログインを使用するようにお客様のアカウントを設定します。
  3. AADの準備が整い次第、サポートから手順が記載されたメールが届きます。 
  4. アカウントの設定が完了すると、サポートから完了のメールが届きます。

アプリケーション権限を有効にする

Teams - グローバル管理者およびアプリケーション権限

最近のアップデートでは、「詳細オプション(Advanced Options)」の「UseApplicationPermission=1」がデフォルト設定されています。移行元と移行先の両方で、Teams-FullControlAppを使用します。

MigrationWizでは現在、Teamsの移行において、フルコントロール権限に加えて、読み取り専用のアプリケーション権限もサポートしています。この新しい読み取り専用アプリは、セキュリティ強化の観点から、使用できるのは移行元に限られ、ドキュメントの権限はエクスポートされません。移行先では、常にフルコントロール権限が必要となります。

本アプリを使用すると、移行元および移行先でグローバル管理者またはサイトコレクション管理者の権限を使用せずに、安全な移行を実行することが可能になります。

本アプリは、以前ご案内した委任された権限を使用する Microsoft 365認証アプリと類似しています。本アプリは、アプリケーション権限を使用します。アプリケーション権限を使用しない場合は、上記の認証アプリの記事に移動して、記載された手順に従ってください。

61d5b82a-cc9f-42d9-8565-7813f8c94121.png

アプリケーション権限を有効にする

移行元の権限レベルを設定する手順は、次の通りです。この認証プロセスでは、どのユーザーに移行元へのアクセス権を付与するかを制御することができます。

  1. Microsoft 365管理ポータルに、グローバル管理者としてサインインしていることを確認します。

  2. Teams-ReadOnlyApp またはTeams-FullControlAppいずれかに移動し、プロンプトが表示されたら、アプリへのアクセスに同意します。 Teams-ReadOnlyAppを選択する場合は、Microsoft APIの制限により、「DisableAsynchronousMetadataRead=1」を使用して、AMRを無効にする必要があります。

  3. Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。セキュリティグループを作成したことがない場合は、Microsoftのガイドに従ってください

  4. 新しいユーザーを作成します。このユーザーには、有効なTeamsライセンスが適用されている必要があります。

  5. 作成したセキュリティグループに、新しいユーザーをメンバーとして追加します。重要:このユーザーに対しては、Active Directoryフェデレーションサービスおよび多要素認証をオフにする必要があります。

  6. MigrationWizプロジェクトを作成します。

  7. エンドポイントを作成する際に、この新しいユーザーの資格情報を入力します。

移行先の権限レベルを設定する手順:

  1. グローバル管理者としてサインインしていることを確認します。

  2. Teams-FullControlAppに移動し、プロンプトが表示されたら、アプリへのアクセスに同意します。

  3. Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。

  4. 新しいユーザーを作成します。重要:このユーザーに対しては、Active Directoryフェデレーションサービスおよび多要素認証をオフにする必要があります。

  5. 作成したセキュリティグループに、新しいユーザーをメンバーとして追加します。

  6. MigrationWizプロジェクトを作成します。

  7. エンドポイントを作成する際に、この新しいユーザーの資格情報を入力します。

Teams-FullControlAppは、移行元と移行先の両方のテナントで使用することができ、ドキュメントの権限がエクスポートされます。Teams-ReadOnlyAppは、移行元テナントでのみ使用することができ、ドキュメントの権限はエクスポートされません。

移行後の手順

  1. 新しく作成したユーザーを削除します。

  2. 上記の手順3で作成したMigrationWizセキュリティグループを削除します。

  3. 移行元または移行先からアプリを削除するには、次の手順に従います:

    1. PowerShellを起動します。

    2. PowerShellをMicrosoft 365に接続します。

    3. 次のコマンドを入力します:Connect-AzureAD

    4. プロンプトに管理者資格情報を入力します。

    5. 次のコマンドを入力します:Get-AzureADServicePrincipal -SearchString Migration

    6. 削除するアプリのオブジェクトIDを特定し、次のコマンドを入力します:Remove-AzureADServicePrincipal -objectId <オブジェクトID>

付与されている権限

  Teams-ReadOnlyApp Teams-FullControlApp
投稿
Teamsの(メンバー)権限
ドキュメント
ドキュメントの権限

Teams-ReadOnlyAppのアクセス権限:

    • SharePoint API

      • Sites.Read.All

      • User.Read.All

    • Graph API

      • Files.Read.All

      • Group.ReadWrite.All
        (これは、移行するユーザーを最初に所有者としてチームに追加して、投稿を読むことができるようにするためのものです)

      • User.Read.All

      • Group.Read.All(委任された権限)
        (これは、追加されたユーザーが、すべての投稿を読むことができるようにするためのものです。)

      • User.Read(委任された権限)

Teams-FullControlAppのアクセス権限:

  • SharePoint API:

    • Sites.FullControl.All

    • User.ReadWrite.All

  • Graph API:

    • Files.Read.All

    • Group.ReadWrite.All

    • User.Read.All

    • Group.ReadWrite.All(委任された権限)

    • User.Read(委任された権限)

SharePointおよびOneDrive

MigrationWizでは現在、SharePointおよびOneDriveの移行において、フルコントロール権限に加えて、サポートオプションのUseApplicationPermission=1」を使用して、読み取り専用のアプリケーション権限もサポートしています。この新しい読み取り専用アプリは、セキュリティ強化の観点から、使用できるのは移行元に限られます。移行先では、常にフルコントロール権限が必要となります。

本アプリを使用すると、移行元および移行先でグローバル管理者またはサイトコレクション管理者の権限を使用せずに、安全な移行を実行することが可能になります。

本アプリは、以前ご案内した委任された権限を使用するMicrosoft 365認証アプリと類似しています。本アプリは、アプリケーション権限を使用します。 

BitTitanのアプリケーションは、Microsoftによって十分な検証が行われ、受け入れが許可されています。 

アプリケーション権限を有効にする

SharePoint_Read_Only.PNG

 

Sharepoint_Full_Permissions.PNG

 

移行元の権限レベルを設定する手順は、次の通りです。この認証プロセスでは、どのユーザーに移行元へのアクセス権を付与するかを制御することができます。

  1. グローバル管理者としてサインインしていることを確認します。
  2. MigrationWiz-SharePoint-ReadOnlyまたはMigrationWiz-SharePoint-FullControlいずれかに移動し、プロンプトが表示されたら、アプリへのアクセスに同意します。
  3. Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。 
  4. 新しいユーザーを作成します。
  5. 作成したセキュリティグループに、新しいユーザーをメンバーとして追加します。
  6. MigrationWizプロジェクトを作成します。
  7. エンドポイントを作成する際に、この新しいユーザーの資格情報を入力します。
  8. サポートオプションのUseApplicationPermission=1」を追加します。

移行先の権限レベルを設定する手順:

  1. グローバル管理者としてサインインしていることを確認します。
  2. MigrationWiz-SharePoint-FullControlに移動し、プロンプトが表示されたら、アプリへのアクセスに同意します。
  3. Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。
  4. 新しいユーザーを作成します。
  5. 作成したセキュリティグループに、新しいユーザーをメンバーとして追加します。
  6. MigrationWizプロジェクトを作成します。
  7. エンドポイントを作成する際に、この新しいユーザーの資格情報を入力します。

MigrationWiz-SharePoint-FullControlは、移行元と移行先の両方のテナントで使用することができ、ドキュメントの権限がエクスポートされます。 MigrationWiz-SharePoint-ReadOnlyは、移行元テナントでのみ使用することができ、ドキュメントの権限はエクスポートされません。また、AMRを使用することはできません。

移行後の手順

  1. 新しく作成したユーザーを削除します。

  2. 上記の手順3で作成したMigrationWizセキュリティグループを削除します。

  3. 移行元または移行先からアプリを削除するには、次の手順に従います:

    1. PowerShellを起動します。
    2. PowerShellをMicrosoft 365に接続します。
    3. 次のコマンドを入力します: Connect-AzureAD
    4. プロンプトに管理者資格情報を入力します。
    5. 次のコマンドを入力します:Get-AzureADServicePrincipal -SearchString Migration
    6. 削除するアプリのオブジェクトIDを特定し、次のコマンドを入力します: Remove-AzureADServicePrincipal -objectId <オブジェクトID>

付与されている権限

Teams-ReadOnlyAppのアクセス権限:

  • SharePoint API:
    • Sites.Read.All
    • User.Read.All
  • Graph API:
    • Directory.Read.All
    • Files.Read.All
    • Group.Read.All(委任された権限)
    • User.Read(委任された権限)

Teams-FullControlAppのアクセス権限:

  • SharePoint API:
    • Sites.FullControl.All
    • User.ReadWrite.All
  • Graph API:
    • Directory.Read.All
    • Files.Read.All
    • Group.Read.All(委任された権限)
    • User.Read(委任された権限)
この記事は役に立ちましたか?
10人中6人がこの記事が役に立ったと言っています