Миграция с проверкой подлинности на основе сертификатов

Проверка подлинности на основе сертификатов (CBA) поддерживается в сборках SPMT (Средство миграции SharePoint) более новых, чем версия 4.1.125.11.

SPMT позволяет клиентам использовать приложение Azure регистрации с проверкой подлинности сертификата в качестве модели удостоверений для переноса локального содержимого в SharePoint и OneDrive.

Этапы подготовки

1. Регистрация приложения

Следуйте инструкциям, чтобы зарегистрировать приложение в Центр администрирования Microsoft Entra. Давайте назовем это приложение MigApp.

2. Предоставление разрешений

В Центре администрирования Entra перейдите в раздел Регистрация приложений приложений > и выберите MigApp на вкладке Все приложения.

Затем предоставьте необходимые разрешения API на странице Разрешения API .

Чтобы ограничить "MigApp" перемещение содержимого на определенные сайты SharePoint, предоставьте разрешение Sites.Selected в SharePoint и Microsoft API Graph.

• API SharePoint:

  • Sites.Selected: требуется для вызовов REST и CSOM (клиентская объектная модель).

• Microsoft API Graph:

  • Sites.Selected: требуется для операций, связанных с сайтом.

Чтобы разрешить MigApp перемещать содержимое на все сайты SharePoint, предоставьте разрешение Sites.FullControl.All в sharePoint и Microsoft API Graph.

• API SharePoint:

  • Sites.FullControl.All: требуется для полного управления всеми семействами веб-сайтов.

• Microsoft API Graph:

  • Sites.FullControl.All: требуется для полного управления всеми семействами веб-сайтов.

Предоставление дополнительных разрешений

• Microsoft API Graph:

  • User.Read.All: требуется для разрешения сопоставления пользователей.

  • 'Group.Read.All': требуется для разрешения сопоставления пользователей.

  • "Organization.Read.All": требуется для отправки данных телеметрии в правильное географическое расположение.

• API SharePoint:

  • TermStore.ReadWrite.All: требуется для чтения и записи управляемых метаданных (необходимо для миграции хранилища терминов SharePoint).

• Динамический API CRM:

  • "user_impersonation": требуется для доступа к Common Data Service в качестве пользователей организации (необходимо для переноса рабочих процессов SharePoint в Power Automate).

3. Отправка сертификата

Перейдите на страницу Сертификаты & секреты и выберите вкладку Сертификаты .

• Отправьте открытый ключ сертификата X.509, выданного инфраструктурой открытых ключей предприятия (PKI).

• Скопируйте значение в "Отпечаток" для использования в будущем.

Предоставление разрешения на доступ к конечному сайту

Если вы задали разрешение SharePoint Sites.Selected для MigApp, перед началом миграции необходимо предоставить приложению разрешения FullControl для всех целевых сайтов миграции.

Для предоставления этих разрешений можно использовать microsoft API Graph или PowerShell PnP:

• Microsoft API Graph. Предоставьте роль владельца разрешений на сайтах. Подробные инструкции см. в статье Создание разрешения — Microsoft Graph версии 1.0.

• PowerShell PnP: используйте команду Grant-PnPAzureADAppSitePermission, чтобы задать разрешение FullControl . Подробные инструкции доступны на странице Grant-PnPAzureADAppSitePermission.

Использование CBA с SPMT

Подготовьте файл конфигурации с именем CertificateConfig.json со следующим содержимым:

{
    "Thumbprint":"thumbprint for the cert",
    "TenantId":"Tenant ID",
    "ClientId":"App registration Id"
}

Скопируйте CertificateConfig.json в папку %appdata%\Microsoft\MigrationToolStorage. Если папка не существует, создайте ее вручную. Затем запустите SPMT.

• Если файл CertificateConfig.json содержит правильные атрибуты, SPMT запускается без запроса учетных данных администратора SharePoint.

• Если файл имеет неправильный формат или содержит неправильные значения атрибутов, SPMT отображает сообщение "Приложение завершит работу из-за сбоя входа", а затем сообщение об ошибке с объяснением причины сбоя.

• Если файл не указан, SPMT предложит ввести учетные данные администратора SharePoint.

Кроме того, если migApp не имеет достаточных разрешений, все миграции завершаются сбоем с одним из следующих сообщений об ошибке:

• "К сожалению, вы не можете создать этот сайт. Введите другой URL-адрес сайта SharePoint Online или обратитесь к администратору, если целевой сайт не существует.
• "Недопустимый URL-адрес сайта", если целевой сайт уже существует.

Настройка миграции рабочих процессов

Чтобы включить миграцию рабочих процессов SharePoint в Power Automate в MigApp, необходимо выполнить дополнительную настройку.

Создание MigApp субъектом-службой для Power Platform

Используйте PowerShell для регистрации MigApp в Microsoft Power Platform (см. дополнительные сведения).

Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
Import-Module -Name Microsoft.PowerApps.Administration.PowerShell
Add-PowerAppsAccount [-Endpoint 
New-PowerAppManagementApp -ApplicationId $appId]

Подробное описание Add-PowerAppsAccountсм. по ссылке.

Предоставление MigApp доступа к среде Power Platform

Следуйте инструкциям, чтобы создать пользователя приложения. Убедитесь, что вы выбрали "MigApp" после выбора "+ Добавить приложение" на шаге 6. Назначьте роль "Системный администратор" новому пользователю приложения.