Migrieren mit zertifikatbasierter Authentifizierung

Zertifikatbasierte Authentifizierung (Certificate Based Authentication, CBA) wird in SPMT-Builds (SharePoint-Migrationstool) unterstützt, die neuer als v4.1.125.11 sind.

SPMT ermöglicht Es Kunden, Azure-App Registrierungen mit Zertifikatauthentifizierung als Identitätsmodell zu verwenden, um lokale Inhalte zu SharePoint und OneDrive zu migrieren.

Vorbereitungsschritte

1. Registrieren einer Anwendung

Befolgen Sie die Anweisungen zum Registrieren einer Anwendung im Microsoft Entra Admin Center. Nennen wir diese Anwendung "MigApp".

2. Erteilen von Berechtigungen

Wechseln Sie im Entra Admin Center zu Anwendung > App-Registrierungen, und wählen Sie auf der Registerkarte Alle Anwendungen die Option "MigApp" aus.

Erteilen Sie als Nächstes die erforderlichen API-Berechtigungen auf der Seite API-Berechtigungen .

Um "MigApp" auf das Verschieben von Inhalten in bestimmte SharePoint-Websites zu beschränken, erteilen Sie die Berechtigung "Sites.Selected" unter dem SharePoint- und Microsoft-Graph-API.

• SharePoint-API:

  • "Sites.Selected": Erforderlich für REST- und CSOM-Aufrufe (clientseitiges Objektmodell).

• Microsoft Graph-API:

  • "Sites.Selected": Für standortbezogene Vorgänge erforderlich.

Damit "MigApp" Inhalte auf alle SharePoint-Websites verschieben kann, erteilen Sie die Berechtigung "Sites.FullControl.All" im SharePoint- und Microsoft-Graph-API.

• SharePoint-API:

  • "Sites.FullControl.All": Erforderlich für vollständige Kontrolle über alle Websitesammlungen.

• Microsoft Graph-API:

  • "Sites.FullControl.All": Erforderlich für vollständige Kontrolle über alle Websitesammlungen.

Erteilen weiterer Berechtigungen

• Microsoft Graph-API:

  • "User.Read.All": Erforderlich zum Auflösen der Benutzerzuordnung.

  • 'Group.Read.All': Erforderlich zum Auflösen der Benutzerzuordnung.

  • "Organization.Read.All": Erforderlich für das Senden von Telemetriedaten an den richtigen geografischen Standort.

• SharePoint-API:

  • "TermStore.ReadWrite.All": Erforderlich zum Lesen und Schreiben verwalteter Metadaten (erforderlich für die SharePoint-Terminologiespeichermigration).

• Dynamische CRM-API:

  • "user_impersonation": Erforderlich für den Zugriff auf Common Data Service als organization Benutzer (erforderlich für die Migration von SharePoint-Workflows zu Power Automate).

3. Hochladen des Zertifikats

Wechseln Sie zur Seite Zertifikate & Geheimnisse , und wählen Sie die Registerkarte Zertifikate aus.

• Laden Sie den öffentlichen Schlüssel Ihres X.509-Zertifikats hoch, das von der Enterprise Public Key Infrastructure (PKI) ausgestellt wird.

• Kopieren Sie den Wert in "Thumbprint" zur zukünftigen Verwendung.

Gewähren der Zugriffsberechtigung für die Zielwebsite

Wenn Sie die Berechtigung "SharePoint Sites.Selected " für "MigApp" festlegen, müssen Sie der Anwendung FullControl-Berechtigungen für alle Migrationszielwebsites erteilen, bevor die Migration gestartet wird.

Sie können entweder die Microsoft Graph-API oder PowerShell PnP verwenden, um diese Berechtigungen zu erteilen:

• Microsoft Graph-API: Erteilen Sie die Berechtigungsrolle Besitzer auf den Websites. Ausführliche Anweisungen finden Sie unter Berechtigung erstellen – Microsoft Graph v1.0.

• PowerShell PnP: Verwenden Sie den Befehl "Grant-PnPAzureADAppSitePermission", um die FullControl-Berechtigung festzulegen. Ausführliche Anweisungen finden Sie auf der Seite Grant-PnPAzureADAppSitePermission.

Verwenden von CBA mit SPMT

Bereiten Sie eine Konfigurationsdatei mit dem Namen CertificateConfig.json mit folgendem Inhalt vor:

{
    "Thumbprint":"thumbprint for the cert",
    "TenantId":"Tenant ID",
    "ClientId":"App registration Id"
}

Kopieren Sie CertificateConfig.json unter %appdata%\Microsoft\MigrationToolStorage. Wenn der Ordner nicht vorhanden ist, erstellen Sie ihn manuell. Starten Sie dann SPMT.

• Wenn die CertificateConfig.json-Datei die richtigen Attribute enthält, beginnt SPMT, ohne zur Eingabe von SharePoint-Administratoranmeldeinformationen aufzufordern.

• Wenn die Datei falsch formatiert ist oder falsche Attributwerte enthält, zeigt SPMT die Meldung "Die Anwendung wird aufgrund eines Anmeldefehlers beendet" an, gefolgt von einer Fehlermeldung, die den Grund für den Fehler erklärt.

• Wenn die Datei nicht angegeben wird, werden Sie von SPMT aufgefordert, SharePoint-Administratoranmeldeinformationen einzugeben.

Wenn "MigApp" nicht über ausreichende Berechtigungen verfügt, schlagen außerdem alle Migrationen mit einer der folgenden Fehlermeldungen fehl:

• "Sie können diese Website leider nicht erstellen. Geben Sie eine andere SharePoint Online-Website-URL ein, oder wenden Sie sich an Ihren Administrator, wenn die Zielwebsite nicht vorhanden ist.
• "Ungültige Website-URL", wenn die Zielwebsite bereits vorhanden ist.

Setup für die Workflowmigration

Um "MigApp" für die Migration von SharePoint-Workflows zu Power Automate zu aktivieren, müssen Sie eine zusätzliche Konfiguration durchführen.

Machen Sie "MigApp" zu einem Dienstprinzipal für Power Platform.

Verwenden Sie PowerShell, um "MigApp" bei Microsoft Power Platform zu registrieren (weitere Informationen).

Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
Import-Module -Name Microsoft.PowerApps.Administration.PowerShell
Add-PowerAppsAccount [-Endpoint 
New-PowerAppManagementApp -ApplicationId $appId]

Eine ausführliche Erläuterung von Add-PowerAppsAccountfinden Sie unter Link.

Gewähren von "MigApp"-Zugriff auf die Power Platform-Umgebung

Befolgen Sie die Anweisungen zum Erstellen eines Anwendungsbenutzers. Stellen Sie sicher, dass Sie "MigApp" auswählen, nachdem Sie in Schritt 6 "+ App hinzufügen" ausgewählt haben. Weisen Sie dem neuen Anwendungsbenutzer die Rolle "Systemadministrator" zu.