使用憑證式驗證進行移轉

SPMT (SharePoint 移轉工具) 組建比 v4.1.125.11 還新，支援憑證型驗證 (CBA) 。

SPMT 可讓客戶使用憑證驗證的 Azure App 註冊作為身分識別模型，將內部部署內容移轉至 SharePoint 和 OneDrive。

準備步驟

1.註冊應用程式

請依照指示在 Microsoft Entra 系統管理中心 中註冊應用程式。 讓我們將此應用程式命名為 『MigApp』。

2.授與許可權

在 Entra 系統管理中心，移至 > [應用程式 應用程式註冊]，然後從 [所有應用程式] 索引卷標選取 [MigApp]。

接下來，在 [API 許可權] 頁面下授與必要的 API 權 限。

若要限制 『MigApp』 將內容移至特定 SharePoint 網站，請在 SharePoint 下授與 'Sites.Selected' 許可權，並Microsoft 圖形 API。

• SharePoint API：

  • 'Sites.Selected'：REST 和 CSOM (客戶端物件模型) 呼叫的必要專案。

• Microsoft 圖形 API：

  • 'Sites.Selected'：網站相關作業的必要專案。

若要允許 『MigApp』 將內容移至所有 SharePoint 網站，請在 SharePoint 和 Microsoft 圖形 API 下授與 'Sites.FullControl.All' 許可權。

• SharePoint API：

  • 'Sites.FullControl.All'：完全控制所有網站集合所需的專案。

• Microsoft 圖形 API：

  • 'Sites.FullControl.All'：完全控制所有網站集合所需的專案。

授與更多許可權

• Microsoft 圖形 API：

  • 'User.Read.All'：解析用戶對應所需的專案。

  • 'Group.Read.All'：解析用戶對應所需的專案。

  • 'Organization.Read.All'：將遙測傳送至正確地理位置的必要專案。

• SharePoint API：

  • 'TermStore.ReadWrite.All'：讀取和寫入受控元數據 (SharePoint 字詞庫移轉) 所需的必要專案。

• 動態 CRM API：

  • 'user_impersonation'：當組織使用者 (將 SharePoint 工作流程移轉至 Power Automate) 時，需要存取 Common Data Service。

3.上傳憑證

移至 [憑證 & 密碼 ] 頁面，然後選取 [ 憑證 ] 索引標籤。

• 上傳由企業公鑰基礎結構 (PKI) 所簽發 X.509 憑證的公鑰。

• 複製 『Thumbprint』 中的值以供日後使用。

授與目的地網站訪問許可權

如果您設定 『MigApp』 的 SharePoint Sites.Selected 許可權，則必須在移轉開始之前，為所有移轉目的地網站授與應用程式 FullControl 許可權。

您可以使用 Microsoft 圖形 API 或 PowerShell PnP 來授與這些許可權：

• Microsoft 圖形 API：授與網站上的擁有者許可權角色。 您可以在建立權 限 - Microsoft Graph v1.0 中找到詳細指示。

• PowerShell PnP：使用 “Grant-PnPAzureADAppSitePermission” 命令來設定 FullControl 權 限。 如需詳細指示，請參閱 Grant-PnPAzureADAppSitePermission 頁面。

搭配SPMT使用CBA

使用下列內容準備名為 CertificateConfig.json 的組態檔：

{
    "Thumbprint":"thumbprint for the cert",
    "TenantId":"Tenant ID",
    "ClientId":"App registration Id"
}

複製 % appdata%\Microsoft\MigrationToolStorage 底下的CertificateConfig.json。 如果資料夾不存在，請手動建立。 然後，啟動SPMT。

• 如果 CertificateConfig.json 檔案包含正確的屬性，則SPMT會啟動，而不會提示您輸入SharePoint系統管理員認證。

• 如果檔案格式不正確或包含不正確的屬性值，SPMT 會顯示「應用程式因登入失敗而結束」訊息，後面接著說明失敗原因的錯誤訊息。

• 如果未提供檔案，SPMT 會提示您輸入 SharePoint 系統管理員認證。

此外，如果 'MigApp' 沒有足夠的許可權，則所有移轉都會失敗，並出現下列其中一個錯誤訊息：

• 「很抱歉，您無法建立此網站。 如果目標網站不存在，請輸入不同的 SharePoint Online 網站 URL 或連絡您的系統管理員」。
• 如果目標網站已經存在，則為「無效的網站URL」。

工作流程移轉的設定

若要啟用 'MigApp' 將 SharePoint 工作流程移轉至 Power Automate，您需要執行額外的設定。

將 『MigApp』 設為 Power Platform 的服務主體

使用 PowerShell 向 Microsoft Power Platform 註冊 'MigApp'， (深入了解) 。

Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
Import-Module -Name Microsoft.PowerApps.Administration.PowerShell
Add-PowerAppsAccount [-Endpoint 
New-PowerAppManagementApp -ApplicationId $appId]

如需的 Add-PowerAppsAccount詳細說明，請參閱 連結。

授與 『MigApp』 Power Platform 環境的存取權

請遵循 指示 來建立應用程式使用者。 在步驟 6 中選取 [ + 新增應用程式 ] 之後，請務必選取 [MigApp]。 將「系統管理員」角色指派給新的應用程式使用者。