Compartilhar via

Gestor de Migração com Autenticação Baseada em Certificados

O Migration Manager permite que os clientes utilizem registos Azure App com autenticação de certificado como modelo de identidade para migrar a partilha de ficheiros de rede para o SharePoint e o OneDrive.

Passos de Preparação

1. Registar uma aplicação

Siga as instruções para registar uma aplicação no centro de administração do Microsoft Entra. Vamos dar o nome MigApp a esta aplicação.

2. Conceder permissões

No centro de administração do Microsoft Entra, aceda a Aplicação > Registros de aplicativo e selecione "MigApp" no separador Todas as aplicações.

Em seguida, conceda as permissões de API necessárias na página Permissões da API .

Para limitar o "MigApp" para mover conteúdo para sites específicos do SharePoint, conceda a permissão "Sites.Selected" no SharePoint e no Microsoft API do Graph.

  • API do SharePoint:
    • "Sites.Selected": necessário para chamadas REST e CSOM (Modelo de Objeto do Lado do Cliente).
    • Microsoft API do Graph:
      • "Sites.Selected": necessário para operações relacionadas com o site.

Para permitir que o "MigApp" mova conteúdo para todos os sites do SharePoint, conceda a permissão "Sites.FullControl.All" no SharePoint e no Microsoft API do Graph.

  • API do SharePoint:
    • "Sites.FullControl.All": necessário para o controlo total de todas as coleções de sites.
    • Microsoft API do Graph:
      • "Sites.FullControl.All": necessário para o controlo total de todas as coleções de sites.

Conceder mais permissões

  • Microsoft API do Graph:
    • "User.Read.All": necessário para resolver o mapeamento de utilizadores.
    • "Group.Read.All": necessário para resolver o mapeamento de utilizadores.
    • "Organization.Read.All": necessário para enviar telemetria para a localização Geográfica correta.

3. Carregar o certificado

Aceda à página Certificados & segredos e selecione o separador Certificados .

  • Carregue a chave pública do certificado X.509 emitido pela Infraestrutura de Chaves Públicas (PKI) empresariais.
  • Copie o valor em "Thumbprint" para utilização futura.

Conceder permissão de acesso ao site de destino

Se definir a permissão Sites do SharePoint.Selected para "MigApp", terá de conceder à aplicação permissões FullControl para todos os sites de destino de migração antes do início da migração.

Conceder a permissão de Ler do site do SharePoint Administração

Também tem de conceder à aplicação permissões de Leitura para o site do SharePoint Administração antes do início da migração.

Instalar o agente

Na estação de trabalho do agente, instale o certificado X.509, emitido pela Infraestrutura de Chaves Públicas (PKI) da Empresa, no caminho "Utilizador Atual" do arquivo de gestão de certificados do Windows. Pode iniciar a aplicação de gestão de certificados ao escrever o comando certmgr.msc.

Prepare um ficheiro Json de configuração com o seguinte conteúdo:

{
    "Thumbprint":"The client credential certificate thumbprint",
    "TenantId":"Tenant ID",
    "ClientId":"App registration Id",
    "AdminUrl": "The SharePoint Admin site URL, example https://contoso-admin.sharepoint.com",
}

Instale um agente ao seguir as instruções. Na página De boas-vindas da configuração do agente, selecione a opção "Autenticação de Certificado" e carregue o ficheiro de configuração de autenticação de certificado, que é preparado no passo anterior. Em seguida, conclua os passos de instalação restantes.

  • Se o ficheiro contiver valores de atributo incorretos, o agente apresenta uma mensagem de erro para explicar o motivo e desativa o botão seguinte.
  • Se "MigApp" não tiver permissões suficientes, o agente apresenta uma mensagem de erro a relembrá-lo para conceder as permissões necessárias à aplicação.

Depois de os agentes serem iniciados com êxito, pode começar a migrar os seus conteúdos no Gestor de Migração.

Passos para conceder permissão a um site

Utilizar API do Graph para conceder permissão a um site

Siga os passos para conceder permissões a um determinado site com o Microsoft API do Graph.

  1. Obtenha o ID do site ao chamar Obter API do Site.
  • Para obter o ID do site de administração, chame GET /sites/contoso-admin.sharepoint.com
  • Para obter o ID do site de raiz, chame GET /sites/contoso.sharepoint.com.
  • Para obter o ID do site de outros sites, chame GET /sites/contoso.sharepoint.com:/sites/{url relativo do site} ou GET /sites/contoso.sharepoint.com:/teams/{url relativo do site}.

A propriedade ID no corpo da resposta contém três partes separadas por vírgulas; certifique-se de que copia toda a cadeia.

  1. Atribua permissões ao site ao chamar Criar API de Permissão. Com a cadeia copiada do Passo 1, chame POST /sites/{siteId}/permissions com o corpo do pedido.
  • Para atribuir permissões ao site de administração, defina as funções como lidas.
  • Para qualquer outro site, defina as funções como proprietário.
    {
      "roles": ["read/write/owner"],
      "grantedToIdentities": [{
        "application": {
          "id": "IdOfYourEntraApp",
          "displayName": "NameOfYourEntraApp"
        }
      }]
    }

Utilizar o PnP do PowerShell para conceder permissão a um site

Siga os passos para conceder permissão a um site com o PnP do PowerShell.

  1. Instale o PowerShell7 e importe os módulos necessários com o comando :

Install-Module PnP.PowerShell -Force and Import-Module PnP.PowerShell

  1. Execute o comando para criar uma aplicação que é reproduzida como um proxy de PnP-PowerShell para conceder permissões. Copie o ID de cliente do resultado da execução.

Register-PnPEntraIDAppForInteractiveLogin -ApplicationName "PnP PowerShell" -Tenant yourtenant.onmicrosoft.com -Interactive

  1. Defina uma variável PnPClientId com o ID de cliente obtido no passo anterior.

$PnPClientId = <The client ID from the step above>

  1. Execute o comando para Ligar Administração site do SharePoint. O URL de administrador está no formato https://contoso-admin.sharepoint.com.

Connect-PnPOnline –interactive  –Url <AdminSiteUrl>  -ClientId <PnPClientId>

  1. Conceda à sua aplicação a permissão de acesso Administração site do SharePoint. O "ClientId" é o ID de cliente da aplicação entra.

Grant-PnPAzureADAppSitePermission -AppId <ClientId> -DisplayName <App name or a random name> -Permissions ``<Permission> -Site <DestinationSiteUrl>

  • Para conceder à sua aplicação o site Administração do SharePoint permissão de Ler, o comando é:

Grant-PnPAzureADAppSitePermission -AppId <ClientId> -DisplayName <App name or a random name> -Permissions Read -Site < AdminSiteUrl >

  • Para conceder a permissão FullControl da aplicação para o site de destino, o comando é:

Grant-PnPAzureADAppSitePermission -AppId <ClientId> -DisplayName < App name or a random name > -Permissions FullControl -Site < DestinationSiteUrl >

  • Last updated on