使用基于证书的身份验证进行迁移

SPMT (SharePoint 迁移工具) 版本比 v4.1.1.125.11 更新的版本支持基于证书的身份验证 (CBA) 。

SPMT 允许客户使用具有证书身份验证的Azure 应用注册作为标识模型，将本地内容迁移到 SharePoint 和 OneDrive。

准备步骤

1. 注册应用程序

按照说明在Microsoft 365 管理中心中注册应用程序。 让我们将此应用程序命名为“MigApp”。

2.授予权限

1. 在Microsoft 365 管理中心，转到“应用程序>应用注册”，然后从“所有应用程序”选项卡中选择“MigApp”。
2. 接下来，在“API 权限”页下授予必要的 API 权限 。
3. 若要限制“MigApp”将内容移动到特定的 SharePoint 网站，请在 SharePoint 下授予“网站.Selected”权限，并Microsoft图形 API。

• SharePoint API：
  • “Sites.Selected”：REST 和 CSOM (客户端对象模型) 调用所必需的。
• Microsoft图形 API：
  • “Sites.Selected”：与网站相关的作是必需的。

4. 若要允许“MigApp”将内容移动到所有 SharePoint 网站，请在 SharePoint 下授予“Sites.FullControl.All”权限，Microsoft图形 API。

• SharePoint API：
  • “Sites.FullControl.All”：需要才能完全控制所有网站集。
• Microsoft图形 API：
  • “Sites.FullControl.All”：需要才能完全控制所有网站集。

5. 授予更多权限

• Microsoft图形 API：
  • “User.Read.All”：解析用户映射所必需的。
  • “Group.Read.All”：解析用户映射所必需的。
  • “Organization.Read.All”：需要将遥测数据发送到正确的地理位置。
• SharePoint API：
  • “TermStore.ReadWrite.All”：读取和写入托管元数据 (SharePoint 术语存储迁移) 所必需的。
• 动态 CRM API：
  • “user_impersonation”：作为将 SharePoint 工作流迁移到 Power Automate) 所必需的组织用户访问 Common Data Service 时， (必需。

3.上传证书

转到 “证书 & 机密 ”页，然后选择“ 证书 ”选项卡。

• 上传企业公钥基础结构 (PKI) 颁发的 X.509 证书的公钥。
• 复制“指纹”中的值以供将来使用。

授予目标站点访问权限

如果为“MigApp”设置 SharePoint Sites.Selected 权限，则需要在迁移开始之前向应用程序授予对所有迁移目标站点 的 FullControl 权限。

可以使用 Microsoft 图形 API 或 PowerShell PnP 授予以下权限：

• Microsoft图形 API：授予网站上的所有者权限角色。 可以在 创建权限 - Microsoft Graph v1.0 中找到详细说明。
• PowerShell PnP：使用“Grant-PnPAzureADAppSitePermission”命令设置 FullControl 权限。 Grant-PnPAzureADAppSitePermission 页上提供了详细说明。

将 CBA 与 SPMT 配合使用

在安装了 SPMT 的工作站上，在 Windows 证书管理存储“当前用户”路径上安装 X.509 证书。 可以通过键入命令 certmgr.msc来启动证书管理应用程序。

准备包含以下内容的名为 CertificateConfig.json 的配置文件：

{
    "Thumbprint":"thumbprint for the cert",
    "TenantId":"Tenant ID",
    "ClientId":"App registration Id"
}

复制 %appdata%\Microsoft\MigrationToolStorage 下的 CertificateConfig.json 。 如果该文件夹不存在，请手动创建它。 然后，启动 SPMT。

• 如果 CertificateConfig.json 文件包含正确的属性，则 SPMT 将启动，而不会提示输入 SharePoint 管理员凭据。
• 如果文件的格式不正确或包含不正确的属性值，SPMT 将显示消息“应用程序将因登录失败而退出”，后跟一条错误消息，说明失败的原因。
• 如果未提供该文件，SPMT 会提示你输入 SharePoint 管理员凭据。

此外，如果“MigApp”没有足够的权限，则所有迁移都会失败，并显示以下错误消息之一：

• “很抱歉，无法创建此网站。 输入其他 SharePoint Online 网站 URL 或联系管理员“（如果目标网站不存在）。
• 如果目标网站已存在，则为“无效站点 URL”。

工作流迁移设置

若要启用“MigApp”将 SharePoint 工作流迁移到 Power Automate，需要执行额外的配置。

使“MigApp”成为 Power Platform 的服务主体

使用 PowerShell 向 Microsoft Power Platform 注册“MigApp” (详细了解) 。

Install-Module -Name Microsoft.PowerApps.Administration.PowerShell
Import-Module -Name Microsoft.PowerApps.Administration.PowerShell
Add-PowerAppsAccount [-Endpoint 
New-PowerAppManagementApp -ApplicationId $appId]

有关 的 Add-PowerAppsAccount详细说明，请参阅 链接。

授予“MigApp”对 Power Platform 环境的访问权限

按照说明创建应用程序用户。 在步骤 6 中选择“ + 添加应用”后， 请确保选择“MigApp”。 将“系统管理员”角色分配给新的应用程序用户。