Migración con autenticación basada en certificados
La autenticación basada en certificados (CBA) se admite en compilaciones de SPMT (Herramienta de migración de SharePoint) más recientes que v4.1.125.11.
SPMT permite a los clientes usar App de Azure registros con autenticación de certificados como modelo de identidad para migrar contenido local a SharePoint y OneDrive.
Pasos de preparación
1. Registro de una aplicación
Siga las instrucciones para registrar una aplicación en el Centro de administración Microsoft Entra. Vamos a asignar a esta aplicación el nombre "MigApp".
2. Concesión de permisos
En el Centro de administración de Entra, vaya a Aplicación > Registros de aplicaciones y seleccione "MigApp" en la pestaña Todas las aplicaciones.
A continuación, conceda los permisos de API necesarios en la página Permisos de API .
Para limitar "MigApp" para mover contenido a sitios de SharePoint específicos, conceda el permiso "Sites.Selected" en SharePoint y Microsoft Graph API.
API de SharePoint:
- "Sites.Selected": necesario para las llamadas REST y CSOM (modelo de objetos del lado cliente).
Microsoft Graph API:
- "Sites.Selected": necesario para las operaciones relacionadas con el sitio.
Para permitir que "MigApp" mueva contenido a todos los sitios de SharePoint, conceda el permiso "Sites.FullControl.All" en SharePoint y Microsoft Graph API.
API de SharePoint:
- "Sites.FullControl.All": necesario para el control total de todas las colecciones de sitios.
Microsoft Graph API:
- "Sites.FullControl.All": necesario para el control total de todas las colecciones de sitios.
Concesión de más permisos
Microsoft Graph API:
"User.Read.All": necesario para resolver la asignación de usuarios.
"Group.Read.All": necesario para resolver la asignación de usuarios.
"Organization.Read.All": necesario para enviar telemetría a la ubicación geográfica correcta.
API de SharePoint:
- "TermStore.ReadWrite.All": necesario para leer y escribir metadatos administrados (necesario para la migración del almacén de términos de SharePoint).
API de CRM dinámico:
- 'user_impersonation': necesario para acceder a Common Data Service como usuarios de la organización (necesario para migrar flujos de trabajo de SharePoint a Power Automate).
3. Cargar certificado
Vaya a la página Certificados & secretos y seleccione la pestaña Certificados .
Cargue la clave pública del certificado X.509 emitido por enterprise public key infrastructure (PKI).
Copie el valor de "Huella digital" para su uso futuro.
Concesión del permiso de acceso al sitio de destino
Si establece el permiso Sitios de SharePoint.Selected para "MigApp", debe conceder a la aplicación permisos FullControl para todos los sitios de destino de migración antes de que se inicie la migración.
Puede usar microsoft Graph API o PnP de PowerShell para conceder estos permisos:
Microsoft Graph API: conceda el rol de permiso Propietario en los sitios. Puede encontrar instrucciones detalladas en Crear permiso: Microsoft Graph v1.0.
PnP de PowerShell: use el comando "Grant-PnPAzureADAppSitePermission" para establecer el permiso FullControl . Las instrucciones detalladas están disponibles en la página Grant-PnPAzureADAppSitePermission.
Uso de CBA con SPMT
Prepare un archivo de configuración denominado CertificateConfig.json con el siguiente contenido:
{
"Thumbprint":"thumbprint for the cert",
"TenantId":"Tenant ID",
"ClientId":"App registration Id"
}
Copie CertificateConfig.json en %appdata%\Microsoft\MigrationToolStorage. Si la carpeta no existe, créela manualmente. A continuación, inicie SPMT.
Si el archivo CertificateConfig.json contiene los atributos correctos, SPMT se inicia sin solicitar credenciales de administrador de SharePoint.
Si el archivo tiene un formato incorrecto o contiene valores de atributo incorrectos, SPMT muestra el mensaje "La aplicación se cerrará debido a un error de inicio de sesión", seguido de un mensaje de error que explica el motivo del error.
Si no se proporciona el archivo, SPMT le pide que escriba las credenciales de administrador de SharePoint.
Además, si "MigApp" no tiene permisos suficientes, se producirá un error en todas las migraciones con uno de los siguientes mensajes de error:
- "Lo sentimos, no puede crear este sitio. Escriba una dirección URL de sitio de SharePoint Online diferente o póngase en contacto con el administrador" si el sitio de destino no existe.
- "Url de sitio no válida" si el sitio de destino ya existe.
Configuración para la migración del flujo de trabajo
Para habilitar "MigApp" para migrar flujos de trabajo de SharePoint a Power Automate, debe realizar una configuración adicional.
Convertir "MigApp" en una entidad de servicio para Power Platform
Use PowerShell para registrar "MigApp" con Microsoft Power Platform (más información).
Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
Import-Module -Name Microsoft.PowerApps.Administration.PowerShell
Add-PowerAppsAccount [-Endpoint
New-PowerAppManagementApp -ApplicationId $appId]
Para obtener una explicación detallada de Add-PowerAppsAccount
, consulte el vínculo.
Concesión de acceso de "MigApp" al entorno de Power Platform
Siga las instrucciones para crear un usuario de aplicación. Asegúrese de seleccionar "MigApp" después de seleccionar "+ Agregar una aplicación" en el paso 6. Asigne el rol "Administrador del sistema" al nuevo usuario de la aplicación.