Migrar com a Autenticação Baseada em Certificados

A Autenticação Baseada em Certificados (CBA) é suportada nas compilações SPMT (SharePoint Migration Tool) mais recentes do que v4.1.125.11.

O SPMT permite que os clientes utilizem registos Azure App com autenticação de certificado como modelo de identidade para migrar conteúdos no local para o SharePoint e o OneDrive.

Passos de Preparação

1. Registar uma aplicação

Siga as instruções para registar uma aplicação no centro de administração do Microsoft Entra. Vamos dar o nome "MigApp" a esta aplicação.

2. Conceder permissões

No Centro de administração do Entra, aceda a Aplicação > Registros de aplicativo e selecione "MigApp" no separador Todas as aplicações.

Em seguida, conceda as permissões de API necessárias na página Permissões da API .

Para limitar o "MigApp" para mover conteúdo para sites específicos do SharePoint, conceda a permissão "Sites.Selected" no SharePoint e no Microsoft API do Graph.

• API do SharePoint:

  • "Sites.Selected": necessário para chamadas REST e CSOM (Modelo de Objeto do Lado do Cliente).

• Microsoft API do Graph:

  • "Sites.Selected": necessário para operações relacionadas com o site.

Para permitir que o "MigApp" mova conteúdo para todos os sites do SharePoint, conceda a permissão "Sites.FullControl.All" no SharePoint e no Microsoft API do Graph.

• API do SharePoint:

  • "Sites.FullControl.All": necessário para o controlo total de todas as coleções de sites.

• Microsoft API do Graph:

  • "Sites.FullControl.All": necessário para o controlo total de todas as coleções de sites.

Conceder mais permissões

• Microsoft API do Graph:

  • "User.Read.All": necessário para resolver o mapeamento de utilizadores.

  • "Group.Read.All": necessário para resolver o mapeamento de utilizadores.

  • "Organization.Read.All": necessário para enviar telemetria para a localização Geográfica correta.

• API do SharePoint:

  • "TermStore.ReadWrite.All": necessário para ler e escrever metadados geridos (necessário para a migração do arquivo de termos do SharePoint).

• API de CRM dinâmica:

  • 'user_impersonation': necessário para aceder ao Common Data Service como utilizadores da organização (necessário para migrar fluxos de trabalho do SharePoint para o Power Automate).

3. Carregar certificado

Aceda à página Certificados & segredos e selecione o separador Certificados .

• Carregue a chave pública do certificado X.509 emitido pela Infraestrutura de Chaves Públicas (PKI) empresariais.

• Copie o valor em "Thumbprint" para utilização futura.

Conceder permissão de acesso ao site de destino

Se definir a permissão Sites do SharePoint.Selected para "MigApp", terá de conceder à aplicação permissões FullControl para todos os sites de destino de migração antes do início da migração.

Pode utilizar o Microsoft API do Graph ou o PnP do PowerShell para conceder estas permissões:

• Microsoft API do Graph: conceda a função de permissão Proprietário nos sites. Pode encontrar instruções detalhadas em Criar permissão – Microsoft Graph v1.0.

• PnP do PowerShell: utilize o comando "Grant-PnPAzureADAppSitePermission" para definir a permissão FullControl . Estão disponíveis instruções detalhadas na página Grant-PnPAzureADAppSitePermission.

Utilizar o CBA com o SPMT

Prepare um ficheiro de configuração com o nome CertificateConfig.json com o seguinte conteúdo:

{
    "Thumbprint":"thumbprint for the cert",
    "TenantId":"Tenant ID",
    "ClientId":"App registration Id"
}

Copie CertificateConfig.json em %appdata%\Microsoft\MigrationToolStorage. Se a pasta não existir, crie-a manualmente. Em seguida, inicie o SPMT.

• Se o ficheiro CertificateConfig.json contiver os atributos corretos, o SPMT é iniciado sem pedir credenciais de administrador do SharePoint.

• Se o ficheiro estiver formatado incorretamente ou contiver valores de atributo incorretos, o SPMT apresenta a mensagem "A aplicação será encerrada devido a uma falha de início de sessão", seguida de uma mensagem de erro a explicar o motivo da falha.

• Se o ficheiro não for fornecido, o SPMT pede-lhe para introduzir credenciais de administrador do SharePoint.

Além disso, se "MigApp" não tiver permissões suficientes, todas as migrações falharão com uma das seguintes mensagens de erro:

• "Pedimos desculpa, mas não é possível criar este site. Introduza um URL de site do SharePoint Online diferente ou contacte o administrador" se o site de destino não existir.
• "URL de site inválido" se o site de destino já existir.

Configuração da migração do Fluxo de Trabalho

Para ativar o "MigApp" para migrar fluxos de trabalho do SharePoint para o Power Automate, tem de efetuar uma configuração adicional.

Tornar "MigApp" um Principal de Serviço para o Power Platform

Utilize o PowerShell para registar o "MigApp" no Microsoft Power Platform (saiba mais).

Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
Import-Module -Name Microsoft.PowerApps.Administration.PowerShell
Add-PowerAppsAccount [-Endpoint 
New-PowerAppManagementApp -ApplicationId $appId]

Para obter uma explicação detalhada de Add-PowerAppsAccount, veja a ligação.

Conceder acesso "MigApp" ao Ambiente do Power Platform

Siga as instruções para criar um utilizador da aplicação. Certifique-se de que seleciona "MigApp" depois de selecionar "+ Adicionar uma aplicação" no passo 6. Atribua a função "Administrador de Sistema" ao novo utilizador da aplicação.