SharePointとOneDriveの移行におけるアプリケーション権限を使用したアプリベース認証

MigrationWizでは、SharePointおよびOneDriveの移行において、フルコントロール権限に加えて、サポートオプションの「UseApplicationPermission=1」を使用したアプリケーション権限もサポートしています。移行元および移行先テナントでは、常にフルコントロール権限が必要です。

本アプリは、以前ご案内した、委任された権限を使用するMicrosoft 365認証アプリ(SharePointの新しいアプリベースでの認証を参照)と類似しています。本アプリでは、アプリケーション権限を使用します。 

BitTitanのすべてのアプリケーションは、Microsoftによって十分な検証が行われ、受け入れが許可されています。 

ファイルを正しく移行するには、フルコントロール権限の使用を強くお勧めします。

AMRの移行では、常にフルコントロール権限が必要です。フルコントロール権限を許可しない特別な理由がある場合は、MigrationWiz-SharePoint-ReadOnlyを使用することができます(移行元のみ)。ただし、読み取り専用権限を使用する場合、MigrationWizでは、ドキュメントの権限、バージョン、メタデータはエクスポートされず、AMRを使用することもできませんので、ご注意ください。また、OneNoteのファイルは、移行準備に必要な権限が十分でないため、ファイルは移行されますが、コンテンツは含まれません。

移行元と移行先のどちらで使用するのか?

読み取り専用権限は、セキュリティ強化の観点から、使用できるのは移行元に限られます。移行先では、常にフルコントロール権限が必要です。

アプリケーション権限を有効にする

Sharepoint_Full_Permissions.PNG

付与される権限

読み取り専用権限

  • SharePoint API:
    • Sites.Read.All
    • User.Read.All
  • Graph API:
    • Directory.Read.All
    • Files.Read.All
    • Group.Read.All(委任された権限)
    • User.Read(委任された権限)

フルコントロール権限

  • SharePoint API:
    • Sites.FullControl.All
    • User.ReadWrite.All
  • Graph API:
    • Directory.Read.All
    • Files.Read.All
    • Group.Read.All(委任された権限)
    • User.Read(委任された権限)

移行元の権限を設定する

移行元の権限レベルを設定する手順は、次の通りです。この認証プロセスでは、移行元へのアクセス権をどのユーザーに付与するかを制御することができます。

  1. グローバル管理者としてサインインしていることを確認します。
  2. MigrationWiz-SharePoint-FullControlに移動し、プロンプトが表示されたら、アプリへのアクセスに同意します。
  3. Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。 
  4. 新しいユーザーを作成します。
  5. 作成したセキュリティグループに、新しいユーザーをメンバーとして追加します。
  6. MigrationWizプロジェクトを作成します。
  7. エンドポイントを作成する際に、新しいユーザーの資格情報を入力します。
  8. サポートオプションの「UseApplicationPermission=1」を追加します。

移行先の権限を設定する

移行先の権限レベルを設定する手順は、次の通りです。

  1. グローバル管理者としてサインインしていることを確認します。
  2. MigrationWiz-SharePoint-FullControlに移動し、プロンプトが表示されたら、アプリへのアクセスに同意します。
  3. Microsoft 365管理ポータルで、「MigrationWiz」という名前の新しいセキュリティグループを作成します。
  4. 新しいユーザーを作成します。
  5. 作成したセキュリティグループに、新しいユーザーをメンバーとして追加します。
  6. MigrationWizプロジェクトを作成します。
  7. エンドポイントを作成する際に、新しいユーザーの資格情報を入力します。

MigrationWiz-SharePoint-FullControl」は、移行元と移行先の両テナントで使用することができ、ドキュメントの権限、バージョン、メタデータがエクスポートされます。 

「MigrationWiz-SharePoint-FullControl」の使用によって付与される権限は、以下の通りです。

  • SharePoint API:

    • Sites.FullControl.All

    • User.ReadWrite.All

  • Graph API:

    • Directory.Read.All

    • Files.Read.All

    • Group.Read.All(委任された権限)

    • User.Read(委任された権限)

移行後の手順

  1. 新しく作成したユーザーを削除します。

  2. 上記の手順3で作成したMigrationWizセキュリティグループを削除します。

  3. 移行元または移行先からアプリを削除するには、次の手順に従います。

    1. PowerShellを起動します。
    2. PowerShellをMicrosoft 365に接続します。
    3. 次のコマンドを入力します:Connect-AzureAD
    4. プロンプトに管理者資格情報を入力します。
    5. 次のコマンドを入力します:Get-AzureADServicePrincipal -SearchString Migration
    6. 削除するアプリのオブジェクトIDを特定し、次のコマンドを入力します:Remove-AzureADServicePrincipal -objectId <オブジェクトID>
この記事は役に立ちましたか?
7人中0人がこの記事が役に立ったと言っています