Migrer avec l’authentification basée sur les certificats

L’authentification basée sur les certificats (CBA) est prise en charge dans les builds SPMT (Outil de migration SharePoint) plus récentes que v4.1.125.11.

SPMT permet aux clients d’utiliser des inscriptions Azure App avec l’authentification par certificat comme modèle d’identité pour migrer du contenu local vers SharePoint et OneDrive.

Étapes de préparation

1. Inscrire une application

Suivez les instructions pour inscrire une application dans le centre d’administration Microsoft Entra. Nommons cette application « MigApp ».

2. Accorder des autorisations

Dans le centre d’administration Entra, accédez à Application > inscriptions d'applications et sélectionnez « MigApp » sous l’onglet Toutes les applications.

Ensuite, accordez les autorisations d’API nécessaires sous la page Autorisations d’API .

Pour limiter « MigApp » afin de déplacer du contenu vers des sites SharePoint spécifiques, accordez l’autorisation « Sites.Sélectionnés » sous les API Graph SharePoint et Microsoft.

• API SharePoint :

  • « Sites.Selected » : requis pour les appels REST et CSOM (modèle objet côté client).

• Microsoft API Graph :

  • « Sites.Selected » : requis pour les opérations liées au site.

Pour autoriser « MigApp » à déplacer du contenu dans tous les sites SharePoint, accordez l’autorisation « Sites.FullControl.All » sous les API Graph SharePoint et Microsoft.

• API SharePoint :

  • « Sites.FullControl.All » : requis pour le contrôle total de toutes les collections de sites.

• Microsoft API Graph :

  • « Sites.FullControl.All » : requis pour le contrôle total de toutes les collections de sites.

Accorder des autorisations supplémentaires

• Microsoft API Graph :

  • « User.Read.All » : requis pour résoudre le mappage utilisateur.

  • « Group.Read.All » : requis pour résoudre le mappage utilisateur.

  • « Organization.Read.All » : requis pour envoyer des données de télémétrie à l’emplacement géographique approprié.

• API SharePoint :

  • « TermStore.ReadWrite.All » : requis pour lire et écrire des métadonnées managées (nécessaires pour la migration du magasin de termes SharePoint).

• API CRM dynamique :

  • « user_impersonation » : requis pour accéder à Common Data Service en tant qu’utilisateurs organization (nécessaire pour la migration des flux de travail SharePoint vers Power Automate).

3. Charger le certificat

Accédez à la page Certificats & secrets , puis sélectionnez l’onglet Certificats .

• Chargez la clé publique de votre certificat X.509 émis par l’infrastructure à clé publique (PKI) d’entreprise.

• Copiez la valeur dans « Empreinte numérique » pour une utilisation ultérieure.

Accorder une autorisation d’accès au site de destination

Si vous définissez l’autorisation Sites SharePoint.Selected pour « MigApp », vous devez accorder à l’application des autorisations FullControl pour tous les sites de destination de migration avant le début de la migration.

Vous pouvez utiliser Microsoft API Graph ou PowerShell PnP pour accorder ces autorisations :

• Microsoft API Graph : accordez le rôle d’autorisation Propriétaire sur les sites. Vous trouverez des instructions détaillées dans Créer une autorisation - Microsoft Graph v1.0.

• PowerShell PnP : utilisez la commande « Grant-PnPAzureADAppSitePermission » pour définir l’autorisation FullControl . Des instructions détaillées sont disponibles sur la page Grant-PnPAzureADAppSitePermission.

Utilisation de l’authentification basée sur les certificats avec SPMT

Préparez un fichier de configuration nommé CertificateConfig.json avec le contenu suivant :

{
    "Thumbprint":"thumbprint for the cert",
    "TenantId":"Tenant ID",
    "ClientId":"App registration Id"
}

Copiez CertificateConfig.json sous %appdata%\Microsoft\MigrationToolStorage. Si le dossier n’existe pas, créez-le manuellement. Ensuite, lancez SPMT.

• Si le fichier CertificateConfig.json contient les attributs corrects, SPMT démarre sans demander les informations d’identification de l’administrateur SharePoint.

• Si le fichier est mis en forme de manière incorrecte ou contient des valeurs d’attribut incorrectes, SPMT affiche le message « L’application s’arrête en raison d’un échec de connexion », suivi d’un message d’erreur expliquant la raison de l’échec.

• Si le fichier n’est pas fourni, SPMT vous invite à entrer les informations d’identification de l’administrateur SharePoint.

En outre, si « MigApp » ne dispose pas des autorisations suffisantes, toutes les migrations échouent avec l’un des messages d’erreur suivants :

• « Désolé, vous ne pouvez pas créer ce site. Entrez une autre URL de site SharePoint Online ou contactez votre administrateur » si le site cible n’existe pas.
• « URL du site non valide » si le site cible existe déjà.

Configuration de la migration de flux de travail

Pour permettre à « MigApp » de migrer des flux de travail SharePoint vers Power Automate, vous devez effectuer une configuration supplémentaire.

Faire de « MigApp » un principal de service pour Power Platform

Utilisez PowerShell pour inscrire « MigApp » auprès de Microsoft Power Platform (en savoir plus).

Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
Import-Module -Name Microsoft.PowerApps.Administration.PowerShell
Add-PowerAppsAccount [-Endpoint 
New-PowerAppManagementApp -ApplicationId $appId]

Pour obtenir une explication détaillée de Add-PowerAppsAccount, reportez-vous au lien.

Accorder à « MigApp » l’accès à l’environnement Power Platform

Suivez les instructions pour créer un utilisateur d’application. Veillez à sélectionner « MigApp » après avoir sélectionné « + Ajouter une application » à l’étape 6. Attribuez le rôle « Administrateur système » au nouvel utilisateur de l’application.