SharePoint、OneDrive for Business、Microsoft 365グループ(ドキュメント)、およびTeamsの移行ではアプリベースの認証を使用します。この認証を有効にすると、セキュリティが強化され、Microsoftのスロットリングが発生する可能性を減少させることができます。以前のMicrosoft 365認証では、Microsoftによるスロットリングの対象となる頻度が高かったため、この認証方法が実装されました。一方、委任されたアクセス許可を使用して、テナントに付与されるアクセスを適切に制限したい場合があります。
委任されたアクセス許可は、移行元と移行先のうちのどちらか、または両方のテナントで使用できます。 ただし、委任されたアクセス許可とアプリケーションのアクセス許可を、同じテナント内で使用することはできません。
警告
アクセス許可を設定する際には、以下の点を確認してください。
- 委任されたアプリをテナントにインストールするにはグローバル管理者が必要です。
- プロジェクトで管理者として使用されているアカウントは、MFAを無効にし、移行された環境へのアクセスを妨げる可能性のある条件付きアクセスポリシーから除外する必要があります。
- SharePointとOneDriveの移行の場合、プロジェクトで管理者として使用されるアカウントは、グローバル管理者またはSharePoint管理者である必要があります (移行元テナントの代替管理者オプションについては、このドキュメントの後半を参照してください)。
- SharePoint/OneDrive 委任アプリの場合、管理者として使用されているアカウントには、SharePoint/OneDriveがアクティブな状態のテナントにライセンスが割り当てられている必要があります。
- Teamsの移行の場合、プロジェクトで管理者として使用されているアカウントは、グローバル管理者またはTeams管理者である必要があります (移行元テナントの代替管理者オプションについては、このドキュメントの後半を参照してください)。
- Teams委任アプリの場合、管理者として使用されているアカウントには、Teamsがアクティブな状態のテナントにライセンスが割り当てられている必要があります。
テナントにアプリケーションを追加する
次のURLにアクセスして、管理者としてサインインします。
移行元と移行先の両方のテナントに対して、サインインを行ってください。 アプリを認証すると、次のような画像が表示されます。 権限を展開して、アプリケーションに付与されている内容を正確に確認できます。
サービスアカウントの作成と権限の追加
テナントに必要な権限を追加するには、移行に使用するサービスアカウントが必要です。サービスアカウントを作成する際は、次の点に留意してください。
- グローバル管理者アカウントが推奨されますが、必須ではありません。
- MFAを無効にし、移行された環境へのアクセスを妨げる可能性のある条件付きアクセスポリシーから除外する必要があります。
作成したサービスアカウントは、次の要件を満たす必要があります。
- Microsoft 365ライセンス。
- 移行対象のOneDriveやSharePointサイトのサイトコレクション権限。
重要
MigrationWizは、サービスアカウントがサイトコレクション権限を持っているOneDriveやSharePointサイトにのみアクセスできます。 MigrationWizはそれ以外のサイトを参照することはできません。
- Microsoft 365ライセンス。
- 移行するチームの所有権。
- 管理者アカウントが、移行元チームの所有者、チームのプライベートチャネルの所有者、および、チームに関連付けられているSharePointサイトの所有者またはサイトコレクション管理者として表示されていることを確認します。
- 移行先テナントにすでにチームが存在する場合は、それらのチームが移行元と同じかどうかを確認します。
警告
移行アカウントが、移行するすべてのSharePointサイト(共有ドキュメント、サイトアセット)のサイト管理者であることを確認してください。これが確認できないと、問題が発生する可能性があります。
詳細オプション(Advanced Options)を追加する
プロジェクトに「詳細オプション(Advanced Options)」を追加することで、MigrationWizは移行に委任されたアクセス許可が使用されていることを認識します。 移行元と移行先のどちらか、または両方のテナントで使用している権限に応じて、必要となるオプションは以下の通りです。
SharePointとOneDriveの移行
OneDriveとSharePointの移行で、委任されたアプリにグローバル管理者またはSharePoint管理者を使用する場合は、次の詳細オプションを追加する必要があります。
-
移行元と移行先の委任されたアクセス許可
移行元での必須のオプションは次のとおりです。
- UseApplicationPermissionAtSource=0
移行先での必須のオプションは次のとおりです。
- UseApplicationPermissionAtDestination=0
-
移行元の委任されたアクセス許可
移行元での必須のオプションは次のとおりです。
- UseApplicationPermission=1
- UseApplicationPermissionAtSource=0
移行先のオプションはありません。
-
移行先の委任されたアクセス許可
移行元での必須のオプションは次のとおりです。
- UseApplicationPermission=1
移行先での必須のオプションは次のとおりです。
- UseApplicationPermissionAtDestination=0
OneDriveおよびSharePointの移行
OneDriveおよびSharePointの移行では、移行元の管理者権限を持たないユーザーを使用できます。ただし、アカウントは SharePointサイトまたはOneDriveのサイトコレクション管理者である必要があり、移行元で委任されたアクセス許可を使用する必要があります。この方法を使用するには、移行元テナントで使用する委任されたアプリ用のオプションに加えて、次の詳細オプションを追加します。
この方法では、移行元テナントでSharePoint管理者を使用することを要求するエラーが発生する可能性があるため、実際の移行で使用する前にご自身の環境でテストを行うことを強くお勧め します。
- ForceOneDriveNonGlobalAdminAuthExport=1
GCC Highの移行
GCC Highテナント(SharePoint、OneDrive、またはTeams)間で移行を行う場合は、次の詳細オプションも追加する必要があります。
- 移行元がGCC Highの場合 - OneDriveProExportEnvironment=AzureUSGovernment
-
移行先がGCCHighの場合 - OneDriveProImportEnvironment=AzureUSGovernment
Teamsの移行
Teamsの移行には次の詳細オプションを追加し、委任されたアプリと共にグローバル管理者またはSharePoint管理者を使用する必要があります。
-
移行元と移行先の委任されたアクセス許可
移行元と移行先での必須オプションは次のとおりです。
- UseDelegatePermission=1
-
移行元の委任されたアクセス許可
移行元での必須のオプションは次のとおりです。
- UseApplicationPermissionAtSource=0
移行先のオプションはありません。
-
移行先の委任されたアクセス許可
移行元にはオプションはありません。
移行元での必須のオプションは次のとおりです。
- UseApplicationPermissionAtDestination=0
Teamsの移行
Teamsの移行では、移行元の管理者権限を持たないユーザーを使用できます。ただし、アカウントは、移行元チームの所有者、チームのプライベートチャネルの所有者、およびチームに関連付けられている SharePointサイトの所有者またはサイトコレクション管理者である必要があります。この方法を使用するには、移行元テナントで使用する委任されたアプリ用のオプションに加えて、下記詳細オプションを追加します。
このオプションを使用した場合でも、移行元テナントでTeams管理者を使用することを要求するエラーが発生する可能性があるため、実際の移行で使用する前にご自身の環境でテストを行うことを強くお勧め します
- TeamsSkipAdminCheck=1
移行後の手順
BitTitanのエンタープライズアプリを削除するには、次の手順を実行します。
- PowerShellを起動します。
- Azure PowerShellモジュールがインストールされていることを確認します。
- PowerShellをMicrosoft 365に接続します。
- 次のコマンドを入力します:
Connect-AzureAD
- プロンプトに管理者資格情報を入力します。
- 次のコマンドを入力します:
Get-AzureADServicePrincipal -SearchString Migration
- 削除するアプリのオブジェクトID(ObjectId)を特定し、次のコマンドを入力します:
Remove-AzureADServicePrincipal -objectId <the object id