SharePoint 移行 ID マッピング ツール
SharePoint 移行評価ツールの ID マッピング機能を使用して、ID 移行を支援します。
注:
SharePoint 移行ツールをダウンロードするには、[SharePoint 移行評価ツールのダウンロード] を選択します。
概要
Identity Migration は、オンプレミス環境の SharePoint からターゲット状態の Microsoft Entra ID に ID をマッピングするプロセスです。
AD から Microsoft Entra ID へのユーザーとグループの同期は多くのお客様にとって初めてであるため、適切なリソースを割り当てることが不可欠です。 すべての内部計画を実行し、オンプレミスの移行計画全体と一緒にすべての ID 移行関連タスクを実行します。
ID プロジェクトの最も重要な目標は、必要なすべてのユーザーとグループが Microsoft Entra ID に同期されていることを確認することです。 この分析を最初に行わずに移行すると、ユーザーがコンテンツにアクセスできなくなる可能性があります。
1 回限りの ID 移行プロセスに関連付けられているプロセス、ロールと責任、成果物、およびコントロールについては、このドキュメントを参照してください。
概要
ID 移行の目標は、考えられるすべてのユーザーを同期し、残りのマップされていないレコードを、同期されない理由に関する正当な理由で処理することです。 この同期と処理プロセスは、ユーザー受け入れテスト ( ドライ ラン 1) の準備の前に完了する必要があります。 マップされていないレコードはすべて有効な正当な理由を持ち、Microsoft プロジェクト チームによって承認されている必要があります。
ID マッピングを実行するには、次の 3 つの異なるスキャンを実行します。
プロセス
このプロセスは、FullIdentityReport.csv レポートにある SharePoint にアクセスできるユーザーとグループに対して使用します。
必要なすべてのユーザーとグループがMicrosoft Entra同期に含まれるように注意する必要があります。 SharePoint コンテンツが移行されていないユーザーが所有している場合、そのユーザーのアクセス許可は移行されません。
目標は、ソース SharePoint 環境にアクセスできる ID の 100% を同期するか、同期されていない ID の理由を提供することです。
移行するユーザーとグループを決定するには、すべてのユーザーとグループの初期準備が必要です。
すべてのユーザーとグループの TypeOfMatch が ExactMatch または PartialMatch に設定されているのが理想的です。
例外がある場合は、追跡目的で FullIdentityReport.csv ファイルの MappingRationale フィールドにメモを書き込みます。
手順:
評価ツールを SharePoint ファームのコンピューターにダウンロードします。 ダウンロードするには、SharePoint 移行評価ツールに移動します
ツールがMicrosoft Entra ID にアクセスできるようにする同意を提供します。
実行: SMAT.exe -GenerateIdentityMapping
Excel でFullIdentityReport.csv を開きます。
TypeOfMatch = NoMatch でフィルター処理します。 これらのユーザーとグループは、移行後にコンテンツにアクセスできません。 たとえば、contoso\johndoe は NoMatch と表示されます。 AclExists は True です。 移行後、移行後、contoso\johndoe がソースで アクセス権を持っていたコンテンツは、そのアカウントでは機能しません。 サイト所有者は、contoso\johndoe のMicrosoft Entra アカウントをアクセス許可に追加して問題を解決する必要があります。
TypeOfMatch = PartialMatch でフィルター処理します。 見つかった一致が正しいことを確認します。 複数のユーザーが同じ表示名を持っているか、ソースからターゲットにユーザー プリンシパル名が変更された場合、部分的な一致が正しくない可能性があります。
ギャップを修復する計画を立てます。 たとえば、Windows ID を使用していて、TypeOfMatch が NoMatch または PartialMatch に設定されているユーザーとグループがある場合は、通常、それらの他のユーザーとグループを同期して ID をMicrosoft Entraし、ID マッピング プロセスを再実行します。
他のユーザーとグループを Microsoft Entra ID に同期します。
移行後の予想を適切に表す FullIdentityReport.csv が得られるまで繰り返します。
プリフライト検証チェック
このツールは、オペレーターが Microsoft Entra ID にアクセスできるように、プリフライト検証チェックを実行します。 ID マッピング プロセスを実行するには、Microsoft Entra ID へのアクセスが必要です。
プロンプトが表示されたら、資格情報Microsoft Entra入力します。 必要に応じて、サインイン プロンプトで同意を求められます。 このアプリケーションが Microsoft Entra ID を読み取るために、Azure テナント管理者の同意が必要です。
サインインが失敗した場合、または同意を提供できない場合は、次のエラーが表示されます。
プロンプトで no と言うと、ID マッピング スキャンを実行せずにツールが終了します。
ID マッピング プロセスを続行する場合は、Microsoft Entra ID スキャンの実行時にもう 1 つのプロンプトが表示されます。 その時点で認証または同意できない場合、Microsoft Entra ID スキャンは失敗します。 レポートは引き続き受信されますが、マッピングは実行されません。 結果の出力は、ソース SharePoint 環境にアクセスできるすべての ID を表します。
構成ファイル
ID マッピング スキャンは、 ScanDef.json ファイルで構成できます。 このファイルは、SMAT.exe と同じディレクトリにあります。
ディレクトリ データの読み取りに同意する
ID マッピング レポートを生成するには、評価ツールで Microsoft Entra ディレクトリの読み取りを許可することに同意する必要があります。 使用できる方法は 2 つあります。
オプション 1: -ConfigureIdentityMapping スイッチを使用して評価ツールを実行します。
このオプションを使用すると、テナントの [エンタープライズ アプリケーション] セクションに評価ツールがアクセスできるようになります。 これにより、テナント内のすべてのユーザーがツールを実行して、Microsoft 365 での移行のための ID マッピングを実行できます。
評価ツールのダウンロード: SharePoint 移行評価ツール
実行: SMAT.exe -ConfigureIdentityMapping
注:
SharePoint 環境でこの手順を実行する必要はありません。 上記のコマンドは、Azure テナントにアクセスできる任意のマシンで実行できます。
[Azure サインイン] ダイアログでメッセージが表示されたら、Azure テナント管理者の資格情報を入力します。
同意を求められたら、[同意する] を選択 します。
SMAT.exe アプリケーションは、アプリケーションが正常に登録されたことを示します。 SharePoint 管理者が ID マッピング プロセスを実行できるようになりました。
オプション 2:Azure Tenant 管理権限を持つユーザーとして評価ツールを実行します。
Azure テナント管理者権限を持つユーザーがツールを実行し、自分の同意のみを提供する可能性があります。
評価ツールのダウンロード: SharePoint 移行評価ツール
コマンド ラインで、「」と入力します。
Run SMAT.exe -GenerateIdentityMapping[Azure サインイン] ダイアログでメッセージが表示されたら、Azure Tenant 管理資格情報を入力します。
同意を求められたら、[ OK] を選択します。 これにより、提供されたサインインに対してのみアプリが同意されます。
ID マッピングが実行され、必要なレポートが生成されます。
同意の削除
次の手順に従って、SharePoint Identity Mapping Application の同意を Azure テナントから削除します。 これらの手順が実行されたら、次回 ID マッピング プロセスを実行するときに同意を提供する必要があります。
organization管理者としてサインインします。
エンタープライズ アプリケーションを見つけます。
[ すべてのアプリケーション] を選択します。
アプリケーションの一覧で[ SharePoint Identity Mapping Tool]\(SharePoint ID マッピング ツール\) を選択し、[削除] を選択 します。
生成されたレポート
GenerateIdentityMapping スイッチによって生成されるレポートは 2 つあります。 各レポートは、ID マッピング プロセスの一部として使用されます。
どちらのレポートも、ユーザーに SharePoint コンテンツへのアクセス許可が付与されていることを示します。
FullIdentityReport.csv
FullIdentityReport.csv には、SharePoint 環境でアクティブとして一覧表示されたユーザーとグループに関して検出されたすべての ID データのダンプが含まれています。 このレポートの目的は、SharePoint にアクセスできるすべてのユーザーとグループ、およびそれらの ID に関連付けられているMicrosoft Entra ID があるかどうかを理解することです。
Active Directory で ID が見つからない場合、Active Directory フィールドは空です。 FoundInAD フィールドは false で、ReasonNotFoundInAD には理由コードが含まれます。
ID が Microsoft Entra ID で見つからなかった場合、Microsoft Entra ID フィールドは空になります。 FoundInAzureAD フィールドは false になり、ReasonNotFoundInAzureAD には理由コードが含まれます。
| 列名 | Source | 説明 |
|---|---|---|
| UniqueID |
SharePoint |
Windows アカウントの場合、これはセキュリティ識別子 (SID) になります。 Windows 以外のアカウントの場合、これは ACL SharePoint に使用される要求になります。 |
| TypeOfMatch |
評価ツール |
ExactMatch - ソース ID は Windows アカウントであり、SharePoint の SID を Microsoft Entra ID の OnPremisesSecurityIdentifier と照合できました。 PartialMatch - 一致は UserPrincipalName、Email、または表示名に基づいていました。 グループの場合は、[表示名] でのみ部分的に一致します。 NoMatch - ID を任意の情報と照合できません。 |
| IsGroup |
SharePoint |
True の ID がグループの場合。 |
| ACLExists |
SharePoint |
True の場合、ID が SharePoint のアクセス許可に関連付けられています。 これは、ID がコンテンツの一部にアクセス可能であることを示します。 |
| MySiteExists |
SharePoint |
True を指定すると、ID がユーザーであり、そのユーザーのプロファイルに個人用サイト/OneDrive が関連付けられています。 |
| ClaimType |
SharePoint |
ID に関連付けられている要求認証モードの種類。 これは、次のいずれかの値クラシック - これらはクラシック Windows アカウントです。 要求は関与せず、ユーザーはWindows セキュリティ識別子 [SID] を使用して ACL を使用しました。 Windows - Windows 要求。 TrustedSTS - SAML 要求プロバイダー。 フォーム - フォーム認証が使用されます。 ASPNetMembership - .NET メンバーシップ プロバイダー。 ASPNetRole - .NET ロール プロバイダー。 ClaimProvider - 要求ベースのプロバイダー。 LocalSTS - ローカル SharePoint トークン サービス。 https://social.technet.microsoft.com/wiki/contents/articles/13921.sharepoint-20102013-claims-encoding.aspx |
| SharePointLoginName |
SharePoint |
SharePoint で見つかった ID に関連付けられているサインイン名。 |
| SharePointDisplayName |
SharePoint |
SharePoint で見つかった ID に関連付けられている表示名。 |
| SharePointProfileEmail |
SharePoint |
Emailユーザーに関連付けられているアドレス。 これは、ID がユーザーであり、ユーザーに SharePoint プロファイルがあり、そのプロファイルに電子メール が設定されている場合にのみ設定されます。 |
| ActiveDirectoryDisplayName |
Active Directory |
Active Directory で見つかった表示名。 |
| ActiveDirectoryDomain |
Active Directory |
ID が配置されたドメイン名。 |
| SamAccountName |
Active Directory |
ID のアカウント名。 この値は、グループの場合は空になります。 |
| GroupType |
Active Directory |
グループの種類。 ユーザーの場合、これは空です。 |
| GroupMemberCount |
Active Directory |
グループ内のメンバーの数。 入れ子になったグループ数は反映されません。 たとえば、他の 3 つのグループを含むグループがある場合、これは 3 と表示されます。 ユーザーの場合、この値は空です。 |
| DistinguishedName |
Active Directory |
Active Directory の ID に関連付けられている識別名。 例: CN=Bob Smith、OU=UserAccounts、DC=contoso、DC=com |
| AccountEnabled |
Active Directory |
Active Directory でアカウントが有効になっている場合は True。 これはグループの場合は空です。 |
| LastLoginTimeInAD |
Active Directory |
ユーザー アカウントが Active Directory に最後にログインした日時。 これは、サインインが SharePoint に関連付けられたことを示すものではなく、これがアクティブなユーザー アカウントであるかどうかを判断するために使用できます。 これはグループの場合は空です。 |
| FoundInAD |
Active Directory |
Active Directory で ID が見つかった場合は True。 |
| ReasonNotFoundInAD |
Active Directory |
Active Directory にアカウントが見つからなかった理由。 これは次のいずれかです:BadCredentials - 指定されたユーザー名/パスワードがドメインに対して無効でした。 DomainSidMatchNotFound - SharePoint で見つかった SID には、どのドメインにも一致しないドメイン SID があります。 InvalidSecurityIdentifier - SharePoint で見つかった SID が無効です。 OnPremisesSidTranslationFailed - SID が無効であるように見えました。変換を強制しようとしましたが、失敗しました。 UnableToConnect - ドメインに接続できません。 UnableToDetermine - ドメインから返された AD プロパティを特定できませんでした。 UnknownException - 予期しないエラーが発生しました。 詳細は SMAT.log ファイルに記録されます。 UserNotFoundInRemoteAd - 有効なドメインが見つかりましたが、SID を使用して ID を見つけることができませんでした。 FoundInAD が true の場合、これは空です。 |
| AzureObjectID |
Active Directory |
Microsoft Entra ID の ID のオブジェクト ID。 |
| AzureUserPrincipalName |
Active Directory |
ID のユーザー プリンシパル名。 これはユーザーに対してのみ設定されます。 |
| AzureDisplayName |
Active Directory |
ID に関連付けられている表示名 (Microsoft Entra ID)。 |
| FoundInAzureAD |
Active Directory |
id が Microsoft Entra ID に配置されている場合は true。 |
| ReasonNotFoundInAzureAD |
Active Directory |
Microsoft Entra ID にアカウントが見つからなかった理由。 その理由は、PrincipalNotFound - Microsoft Entra ID で ID を見つけることができません。 AdalExceptionFound - ID をMicrosoft Entraするための認証エラー。 UnknownException - 予期しないエラーが発生しました。 詳細は SMAT.log ファイルにあります。 FoundInAzureAd が true の場合、これは空です。 |
| MappingRationale |
Active Directory |
マップされていないユーザーを追跡するには、このオープン ノート フィールドを使用します。 |
| SanID |
評価ツール |
ID マッピング プロセスの特定の実行の一意識別子。 ツールを実行するたびに、個別の ID が生成されます。 |
IdentityMapping.csv
IdentityMapping.csv は、事前生成された ID マッピング ファイルです。 すべての ID がファイルで表されます。 マップされていない ID には、TargetIdentity の値が空白になります。
| 列名 | 説明 |
|---|---|
| UniqueIdentity |
ソース環境内のオブジェクトを識別する一意の値。 Windows ID の場合、これはセキュリティ識別子 (SID) です。 その他のすべての ID の種類の場合、これは SharePoint で見つかった要求です。 |
| TargetIdentity |
ソース ID をマップする ID。 ユーザーの場合、この値は Microsoft Entra ID のユーザーのユーザー プリンシパル名です。 グループの場合、この値は Microsoft Entra ID のグループのオブジェクト ID です。 |
| IsGroup |
True の場合、行はグループを表します。 |
関連項目
その他のリソース
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示