Поделиться через

Диспетчер миграции с проверкой подлинности на основе сертификатов

  • Статья

Диспетчер миграции позволяет клиентам использовать приложение Azure регистрации с проверкой подлинности сертификата в качестве модели удостоверений для переноса сетевого файлового ресурса в SharePoint и OneDrive.

Этапы подготовки

1. Регистрация приложения

Следуйте инструкциям, чтобы зарегистрировать приложение в Центр администрирования Microsoft Entra. Давайте назовем это приложение MigApp.

2. Предоставление разрешений

В Центр администрирования Microsoft Entra перейдите в раздел Регистрация приложений приложений > и выберите "MigApp" на вкладке Все приложения.

Затем предоставьте необходимые разрешения API на странице Разрешения API .

Чтобы ограничить "MigApp" перемещение содержимого на определенные сайты SharePoint, предоставьте разрешение Sites.Selected в SharePoint и Microsoft API Graph.

  • API SharePoint:
    • Sites.Selected: требуется для вызовов REST и CSOM (клиентская объектная модель).
    • Microsoft API Graph:
      • Sites.Selected: требуется для операций, связанных с сайтом.

Чтобы разрешить MigApp перемещать содержимое на все сайты SharePoint, предоставьте разрешение Sites.FullControl.All в sharePoint и Microsoft API Graph.

  • API SharePoint:
    • Sites.FullControl.All: требуется для полного управления всеми семействами веб-сайтов.
    • Microsoft API Graph:
      • Sites.FullControl.All: требуется для полного управления всеми семействами веб-сайтов.

Предоставление дополнительных разрешений

  • Microsoft API Graph:
    • User.Read.All: требуется для разрешения сопоставления пользователей.
    • 'Group.Read.All': требуется для разрешения сопоставления пользователей.
    • "Organization.Read.All": требуется для отправки данных телеметрии в правильное географическое расположение.

3. Отправка сертификата

Перейдите на страницу Сертификаты & секреты и выберите вкладку Сертификаты .

  • Отправьте открытый ключ сертификата X.509, выданного инфраструктурой открытых ключей предприятия (PKI).
  • Скопируйте значение в "Отпечаток" для использования в будущем.

Предоставление разрешения на доступ к конечному сайту

Если вы задали разрешение SharePoint Sites.Selected для MigApp, перед началом миграции необходимо предоставить приложению разрешения FullControl для всех целевых сайтов миграции .

Предоставление разрешения на чтение сайта Администратор SharePoint

Также необходимо предоставить приложению разрешения на чтение для SharePoint Администратор сайте перед началом миграции.

Установка агента

На рабочей станции агента установите сертификат X.509, выданный корпоративной инфраструктурой открытых ключей (PKI), по пути "Текущий пользователь" хранилища сертификатов Windows. Вы можете запустить приложение управления сертификатами, введя команду certmgr.msc.

Подготовьте json-файл конфигурации со следующим содержимым:

{
    "Thumbprint":"The client credential certificate thumbprint",
    "TenantId":"Tenant ID",
    "ClientId":"App registration Id",
    "AdminUrl": "The SharePoint Admin site URL, example https://contoso-admin.sharepoint.com",
}

Установите агент, следуя инструкциям. На странице приветствия установки агента выберите параметр "Проверка подлинности сертификата" и загрузите файл конфигурации проверки подлинности сертификата, который был подготовлен на предыдущем шаге. Затем выполните остальные действия по установке.

  • Если файл содержит неправильные значения атрибутов, агент отображает сообщение об ошибке с объяснением причины и отключает следующую кнопку.
  • Если "MigApp" не имеет достаточных разрешений, агент отображает сообщение об ошибке с напоминанием о предоставлении необходимых разрешений приложению.

После успешного запуска агентов можно начать перенос содержимого в диспетчере миграции.

Действия по предоставлению разрешения сайту

Предоставление разрешения сайту с помощью API Graph

Выполните действия, чтобы предоставить разрешения для данного сайта с помощью microsoft API Graph.

  1. Получите идентификатор сайта, вызвав GET SITE API.
  • Чтобы получить идентификатор сайта администратора, вызовите метод GET /sites/contoso-admin.sharepoint.com
  • Чтобы получить идентификатор корневого сайта, вызовите метод GET /sites/contoso.sharepoint.com.
  • Чтобы получить идентификатор сайта других сайтов, вызовите метод GET /sites/contoso.sharepoint.com:/sites/{url-адрес относительно сайта} или GET /sites/contoso.sharepoint.com:/teams/{url-адрес относительно сайта}.

Свойство ID в тексте ответа содержит три части, разделенные запятыми; Убедитесь, что вы копируете всю строку.

  1. Назначьте разрешения сайту, вызвав API создания разрешений. Используя строку, скопированную из шага 1, вызовите POST /sites/{siteId}/permissions с текстом запроса.
  • Чтобы назначить разрешения сайту администратора, задайте роли для чтения.
  • Для любого другого сайта задайте роли владельца.
    {
      "roles": ["read/write/owner"],
      "grantedToIdentities": [{
        "application": {
          "id": "IdOfYourEntraApp",
          "displayName": "NameOfYourEntraApp"
        }
      }]
    }

Предоставление разрешений сайту с помощью PowerShell PnP

Выполните действия, чтобы предоставить разрешение сайту с помощью PowerShell PnP.

  1. Установите Powershell7 и импортируйте необходимые модули с помощью команды :

Install-Module PnP.PowerShell -Force and Import-Module PnP.PowerShell

  1. Выполните команду , чтобы создать приложение, которое играет в качестве прокси-сервера PnP-PowerShell для предоставления разрешений. Скопируйте идентификатор клиента из результата выполнения.

Register-PnPEntraIDAppForInteractiveLogin -ApplicationName "PnP PowerShell" -Tenant yourtenant.onmicrosoft.com -Interactive

  1. Задайте переменную PnPClientId с идентификатором клиента, полученный на предыдущем шаге.

$PnPClientId = <The client ID from the step above>

  1. Выполните команду , чтобы подключить SharePoint Администратор сайт. URL-адрес администратора имеет формат https://contoso-admin.sharepoint.com.

Connect-PnPOnline –interactive  –Url <AdminSiteUrl>  -ClientId <PnPClientId>

  1. Предоставьте приложению разрешение на доступ к сайту Администратор SharePoint. ClientId — это идентификатор клиента приложения entra.

Grant-PnPAzureADAppSitePermission -AppId <ClientId> -DisplayName <App name or a random name> -Permissions ``<Permission> -Site <DestinationSiteUrl>

  • Чтобы предоставить приложению разрешение на чтение сайта SharePoint Администратор, выполните следующую команду:

Grant-PnPAzureADAppSitePermission -AppId <ClientId> -DisplayName <App name or a random name> -Permissions Read -Site < AdminSiteUrl >

  • Чтобы предоставить приложению разрешение FullControl для конечного сайта, выполните следующую команду:

Grant-PnPAzureADAppSitePermission -AppId <ClientId> -DisplayName < App name or a random name > -Permissions FullControl -Site < DestinationSiteUrl >