Partager via

Gestionnaire de migration avec authentification basée sur les certificats

  • Article

Le Gestionnaire de migration permet aux clients d’utiliser des inscriptions Azure App avec l’authentification par certificat comme modèle d’identité pour migrer le partage de fichiers réseau vers SharePoint et OneDrive.

Étapes de préparation

1. Inscrire une application

Suivez les instructions pour inscrire une application dans le centre d’administration Microsoft Entra. Nous allons nommer cette application MigApp.

2. Accorder des autorisations

Dans la centre d’administration Microsoft Entra, accédez à Application > inscriptions d'applications et sélectionnez « MigApp » sous l’onglet Toutes les applications.

Ensuite, accordez les autorisations d’API nécessaires sous la page Autorisations d’API .

Pour limiter « MigApp » afin de déplacer du contenu vers des sites SharePoint spécifiques, accordez l’autorisation « Sites.Sélectionnés » sous les API Graph SharePoint et Microsoft.

  • API SharePoint :

    • « Sites.Selected » : requis pour les appels REST et CSOM (modèle objet côté client).

    • Microsoft API Graph :

      • « Sites.Selected » : requis pour les opérations liées au site.

Pour autoriser « MigApp » à déplacer du contenu dans tous les sites SharePoint, accordez l’autorisation « Sites.FullControl.All » sous les API Graph SharePoint et Microsoft.

  • API SharePoint :

    • « Sites.FullControl.All » : requis pour le contrôle total de toutes les collections de sites.

    • Microsoft API Graph :

      • « Sites.FullControl.All » : requis pour le contrôle total de toutes les collections de sites.

Accorder des autorisations supplémentaires

  • Microsoft API Graph :

    • « User.Read.All » : requis pour résoudre le mappage utilisateur.

    • « Group.Read.All » : requis pour résoudre le mappage utilisateur.

    • « Organization.Read.All » : requis pour envoyer des données de télémétrie à l’emplacement géographique approprié.

3. Charger le certificat

Accédez à la page Certificats & secrets , puis sélectionnez l’onglet Certificats .

  • Chargez la clé publique de votre certificat X.509 émis par l’infrastructure à clé publique (PKI) d’entreprise.

  • Copiez la valeur dans « Empreinte numérique » pour une utilisation ultérieure.

Accorder une autorisation d’accès au site de destination

Si vous définissez l’autorisation Sites SharePoint.Selected pour « MigApp », vous devez accorder à l’application des autorisations FullControl pour tous les sites de destination de migration avant le début de la migration.

Accorder l’l’autorisation Lecture du site SharePoint Administration

Vous devez également accorder à l’application des autorisations de lecture pour SharePoint Administration site avant le début de la migration.

Installer l’agent

Sur la station de travail de l’agent, installez votre certificat X.509, émis par l’infrastructure à clé publique d’entreprise (PKI), dans le chemin « Utilisateur actuel » du magasin de gestion de certificats Windows. Vous pouvez lancer l’application de gestion des certificats en tapant la commande certmgr.msc.

Préparez un fichier Json de configuration avec le contenu suivant :

{
    "Thumbprint":"The client credential certificate thumbprint",
    "TenantId":"Tenant ID",
    "ClientId":"App registration Id",
    "AdminUrl": "The SharePoint Admin site URL, example https://contoso-admin.sharepoint.com",
}

Installez un agent en suivant les instructions. Dans la page d’accueil de l’installation de l’agent, sélectionnez l’option « Authentification par certificat » et chargez le fichier de configuration de l’authentification de certificat qui est préparé à l’étape précédente. Ensuite, effectuez les étapes d’installation du reste.

  • Si le fichier contient des valeurs d’attribut incorrectes, l’agent affiche un message d’erreur pour expliquer la raison et désactive le bouton suivant.

  • Si « MigApp » ne dispose pas des autorisations suffisantes, l’agent affiche un message d’erreur vous rappelant d’accorder les autorisations nécessaires à l’application.

Une fois les agents lancés, vous pouvez commencer à migrer votre contenu sur le Gestionnaire de migration.

Étapes pour accorder une autorisation à un site

Utiliser API Graph pour accorder une autorisation à un site

Suivez les étapes pour accorder des autorisations à un site donné à l’aide de Microsoft API Graph.

  1. Obtenez l’ID de site en appelant l’API Get Site.

  • Pour récupérer l’ID de site du site d’administration, appelez GET /sites/contoso-admin.sharepoint.com

  • Pour récupérer l’ID de site du site racine, appelez GET /sites/contoso.sharepoint.com.

  • Pour récupérer l’ID de site d’autres sites, appelez GET /sites/contoso.sharepoint.com :/sites/{url relative du site} ou GET /sites/contoso.sharepoint.com :/teams/{url relative du site}.

La propriété ID dans le corps de la réponse contient trois parties séparées par des virgules ; veillez à copier la chaîne entière.

  1. Attribuez des autorisations au site en appelant l’API Create Permission. À l’aide de la chaîne copiée à l’étape 1, appelez POST /sites/{siteId}/permissions avec le corps de la demande.

  • Pour attribuer des autorisations au site d’administration, définissez les rôles comme lus.

  • Pour tout autre site, définissez les rôles en tant que propriétaire.

    {
      "roles": ["read/write/owner"],
      "grantedToIdentities": [{
        "application": {
          "id": "IdOfYourEntraApp",
          "displayName": "NameOfYourEntraApp"
        }
      }]
    }

Utiliser PowerShell PnP pour accorder une autorisation à un site

Suivez les étapes pour accorder une autorisation à un site à l’aide de PowerShell PnP.

  1. Installer PowerShell7 et importer les modules requis avec la commande

Install-Module PnP.PowerShell -Force and Import-Module PnP.PowerShell

  1. Exécutez la commande pour créer une application qui joue en tant que proxy de PnP-PowerShell pour l’octroi d’autorisations. Copiez l’ID client à partir du résultat de l’exécution.

Register-PnPEntraIDAppForInteractiveLogin -ApplicationName "PnP PowerShell" -Tenant yourtenant.onmicrosoft.com -Interactive    

  1. Définir une variable PnPClientId avec l’ID client récupéré à l’étape précédente

$PnPClientId = <The client Id from the step above>

  1. Exécutez la commande pour Connecter sharePoint Administration site. L’URL d’administrateur est au format https://contoso-admin.sharepoint.com.

Connect-PnPOnline –interactive  –Url <AdminSiteUrl>  -ClientId <PnPClientId>

  1. Accordez à votre application l’autorisation d’accès au site SharePoint Administration. Le « ClientId » est l’ID client de votre application Entra.

Grant-PnPAzureADAppSitePermission -AppId <ClientId> -DisplayName <App name or a random name> -Permissions ``<Permission> -Site <DestinationSiteUrl>

  • Pour accorder à votre application le site SharePoint Administration l’autorisation Lecture, la commande est

Grant-PnPAzureADAppSitePermission -AppId <ClientId> -DisplayName <App name or a random name> -Permissions Read -Site < AdminSiteUrl >

  • Pour accorder à votre application l’autorisation FullControl pour le site de destination, la commande est

Grant-PnPAzureADAppSitePermission -AppId <ClientId> -DisplayName < App name or a random name > -Permissions FullControl -Site < DestinationSiteUrl >