Leer en inglés

Compartir a través de

Administrador de migración con autenticación basada en certificados

  • Artículo

El Administrador de migración permite a los clientes usar registros de App de Azure con autenticación de certificados como modelo de identidad para migrar el recurso compartido de archivos de red a SharePoint y OneDrive.

Pasos de preparación

1. Registro de una aplicación

Siga las instrucciones para registrar una aplicación en el Centro de administración Microsoft Entra. Vamos a asignar a esta aplicación el nombre MigApp.

2. Concesión de permisos

En el Centro de administración Microsoft Entra, vaya a Application > Registros de aplicaciones y seleccione "MigApp" en la pestaña Todas las aplicaciones.

A continuación, conceda los permisos de API necesarios en la página Permisos de API .

Para limitar "MigApp" para mover contenido a sitios de SharePoint específicos, conceda el permiso "Sites.Selected" en SharePoint y Microsoft Graph API.

  • API de SharePoint:

    • "Sites.Selected": necesario para las llamadas REST y CSOM (modelo de objetos del lado cliente).

    • Microsoft Graph API:

      • "Sites.Selected": necesario para las operaciones relacionadas con el sitio.

Para permitir que "MigApp" mueva contenido a todos los sitios de SharePoint, conceda el permiso "Sites.FullControl.All" en SharePoint y Microsoft Graph API.

  • API de SharePoint:

    • "Sites.FullControl.All": necesario para el control total de todas las colecciones de sitios.

    • Microsoft Graph API:

      • "Sites.FullControl.All": necesario para el control total de todas las colecciones de sitios.

Concesión de más permisos

  • Microsoft Graph API:

    • "User.Read.All": necesario para resolver la asignación de usuarios.

    • "Group.Read.All": necesario para resolver la asignación de usuarios.

    • "Organization.Read.All": necesario para enviar telemetría a la ubicación geográfica correcta.

3. Cargar certificado

Vaya a la página Certificados & secretos y seleccione la pestaña Certificados .

  • Cargue la clave pública del certificado X.509 emitido por enterprise public key infrastructure (PKI).

  • Copie el valor de "Huella digital" para su uso futuro.

Concesión del permiso de acceso al sitio de destino

Si establece el permiso Sitios de SharePoint.Selected para "MigApp", debe conceder a la aplicación permisos FullControl para todos los sitios de destino de migración antes de que se inicie la migración.

Concesión del permiso de lectura del sitio de SharePoint Administración

También debe conceder a la aplicación permisos de lectura para SharePoint Administración sitio antes de que se inicie la migración.

Instalación del agente

En la estación de trabajo del agente, instale el certificado X.509, emitido por enterprise public key infrastructure (PKI), en la ruta de acceso "Usuario actual" del almacén de administración de certificados de Windows. Puede iniciar la aplicación de administración de certificados escribiendo el comando certmgr.msc.

Prepare un archivo Json de configuración con el siguiente contenido:

{
    "Thumbprint":"The client credential certificate thumbprint",
    "TenantId":"Tenant ID",
    "ClientId":"App registration Id",
    "AdminUrl": "The SharePoint Admin site URL, example https://contoso-admin.sharepoint.com",
}

Instale un agente siguiendo las instrucciones. En la página de bienvenida de la configuración del agente, seleccione la opción "Autenticación de certificado" y cargue el archivo de configuración de autenticación de certificado que está preparado en el paso previo. A continuación, complete los pasos de instalación del resto.

  • Si el archivo contiene valores de atributo incorrectos, el agente muestra un mensaje de error para explicar el motivo y deshabilita el botón siguiente.

  • Si "MigApp" no tiene permisos suficientes, el agente muestra un mensaje de error que le recuerda que debe conceder los permisos necesarios a la aplicación.

Una vez que los agentes se inicien correctamente, puede empezar a migrar el contenido en El Administrador de migración.

Pasos para conceder permiso a un sitio

Uso de Graph API para conceder permiso a un sitio

Siga los pasos para conceder permisos a un sitio determinado mediante Microsoft Graph API.

  1. Obtenga el identificador de sitio llamando a Get Site API.

  • Para recuperar el identificador de sitio del sitio de administración, llame a GET /sites/contoso-admin.sharepoint.com

  • Para recuperar el identificador de sitio del sitio raíz, llame a GET /sites/contoso.sharepoint.com.

  • Para recuperar el identificador de sitio de otros sitios, llame a GET /sites/contoso.sharepoint.com:/sites/{site relative url} o GET /sites/contoso.sharepoint.com:/teams/{site relative url}.

La propiedad ID del cuerpo de la respuesta contiene tres partes separadas por comas; asegúrese de copiar toda la cadena.

  1. Asigne permisos al sitio mediante una llamada a Create Permission API. Con la cadena copiada del paso 1, llame a POST /sites/{siteId}/permissions con el cuerpo de la solicitud.

  • Para asignar permisos al sitio de administración, establezca los roles como leídos.

  • Para cualquier otro sitio, establezca los roles como propietario.

    {
      "roles": ["read/write/owner"],
      "grantedToIdentities": [{
        "application": {
          "id": "IdOfYourEntraApp",
          "displayName": "NameOfYourEntraApp"
        }
      }]
    }

Uso de PowerShell PnP para conceder permiso a un sitio

Siga los pasos para conceder permiso a un sitio mediante PnP de PowerShell.

  1. Instale Powershell7 e importe los módulos necesarios con el comando .

Install-Module PnP.PowerShell -Force and Import-Module PnP.PowerShell

  1. Ejecute el comando para crear una aplicación que se reproduce como proxy de PnP-PowerShell para conceder permisos. Copie el identificador de cliente del resultado de la ejecución.

Register-PnPEntraIDAppForInteractiveLogin -ApplicationName "PnP PowerShell" -Tenant yourtenant.onmicrosoft.com -Interactive    

  1. Establecer una variable PnPClientId con el identificador de cliente recuperado en el paso anterior

$PnPClientId = <The client Id from the step above>

  1. Ejecute el comando para conectar sharepoint Administración sitio. La dirección URL de administrador tiene el formato https://contoso-admin.sharepoint.com.

Connect-PnPOnline –interactive  –Url <AdminSiteUrl>  -ClientId <PnPClientId>

  1. Conceda a la aplicación el permiso de acceso al sitio de SharePoint Administración. "ClientId" es el identificador de cliente de la aplicación entra.

Grant-PnPAzureADAppSitePermission -AppId <ClientId> -DisplayName <App name or a random name> -Permissions ``<Permission> -Site <DestinationSiteUrl>

  • Para conceder a la aplicación el permiso de lectura del sitio de SharePoint Administración, el comando es

Grant-PnPAzureADAppSitePermission -AppId <ClientId> -DisplayName <App name or a random name> -Permissions Read -Site < AdminSiteUrl >

  • Para conceder a la aplicación el permiso FullControl para el sitio de destino, el comando es

Grant-PnPAzureADAppSitePermission -AppId <ClientId> -DisplayName < App name or a random name > -Permissions FullControl -Site < DestinationSiteUrl >