Chat now with support
Chat with Support

NetVault Plug-in for Microsoft 365 13.2.5 - ユーザー・ガイド

NetVault Plug-in for Microsoft 365- はじめに プラグインのインストールと削除 プラグインの設定 データのバックアップ データのリストア トラブルシューティング

設定用の証明書の追加

Plug‑in for Microsoft 365 は、証明書ベースの認証をサポートします。NetVault では、証明書サムプリントを使用して、Windows 証明書マネージャーから秘密鍵を取得します。

Microsoft では、ドメイン、キー、およびアクセスキー方式よりも証明書ベースの認証を推奨しています。
認証に証明書を使用する理由は、次のとおりです。
資格情報のローテーションでは人為的なミスが発生しやすい。
証明書は資格情報よりも有効期間が長い(ほとんどの場合、1 年以上)。
証明書を使用すると、Microsoft 資格情報マネージャー(Windows OS)、認証局、および Azure AD
と責任が共有される。
Microsoft Graph クライアントの最高レベルのセキュリティである。
コンプライアンスのために資格情報の信頼性の高い暗号化が可能である。
認証の手段として証明書を設定に追加する前に、次のプロセスを実行します。
設定用の証明書を追加するには
1
PowerShell を使用した自己署名証明書の作成
1
Azure AD 管理ポータルでの証明書の追加
1
ローカルマシン証明書ストアへの自己署名証明書のインポート
PowerShell を使用した自己署名証明書の作成
PowerShell を使用して自己署名証明書を作成するには
1
次のスクリプトを管理者として実行します。
# --- config start
$dnsName = "mytenant.sharepoint.com" # Your DNS name
$password = "Come up with something secure!" # Certificate password
$folderPath = "C:\temp" # Where do you want the files to get saved to? The folder needs to exist.
$fileName = "mycert" # What do you want to call the cert files? without the file extension
$yearsValid = 10 # Number of years until you need to renew the certificate
# --- config end
 
$certStoreLocation = "cert:\LocalMachine\My"
$expirationDate = (Get-Date).AddYears($yearsValid)
 
$certificate = New-SelfSignedCertificate -DnsName $dnsName -CertStoreLocation $certStoreLocation -NotAfter $expirationDate -KeyExportPolicy Exportable -KeySpec Signature
 
$certificatePath = $certStoreLocation + '\' + $certificate.Thumbprint
$filePath = $folderPath + '\' + $fileName
$securePassword = ConvertTo-SecureString -String $password -Force -AsPlainText
 
Export-Certificate -Cert $certificatePath -FilePath ($filePath + '.cer')
Export-PfxCertificate -Cert $certificatePath -FilePath ($filePath + '.pfx') -Password $securePassword
Azure AD 管理ポータルでの証明書の追加
Azure AD 管理ポータルで証明書を追加するには
1
Azure AD 管理ポータルにログインします。
2
[証明書とシークレット(Certificates & secrets)]に移動します。
3
[証明書のアップロード]をクリックします。
4
PowerShell スクリプトを使用して生成した .cer ファイルを選択し、[追加]をクリックします。
5
表示されたサムプリントをメモします。これは、プラグインへの設定の詳細の入力の際に必要にな
ります。
ローカルマシン証明書ストアへの自己署名証明書のインポート
自己署名証明書をローカルマシン証明書ストアにインポートするには
1
Windows で MMC を実行します。
2
[ファイル]をクリックします。
3
[スナップインの追加と削除]をクリックします。
4
[スナップインの追加と削除]ウィンドウで、[証明書]を選択し、[追加]をクリックします。
5
プロンプトが表示されたら、コンピュータアカウントを選択して、[次へ]をクリックします。
6
[ローカル コンピューター](デフォルトで選択)を選択し、[完了]をクリックします。
7
[スナップインの追加と削除]ウィンドウで、[OK]をクリックします。
8
MMC メインコンソールで、プラス(+)記号をクリックして証明書スナップインを展開します。
9
[個人] | [証明書]ペインに移動します。
10
証明書パネル内を右クリックし、[すべてのタスク] | [インポート]をクリックして、証明書のインポート ウィザードを開きます。
11
秘密鍵をパスワード付きでインポートするには、証明書のインポート ウィザードに従います。
 
* 
メモ: SharePoint Online のバックアップとリストアでは、秘密鍵は、ローカルコンピュータで管理される証明書とともに個人用フォルダに存在する必要があります。

Microsoft 365 管理ポータルを使用した設定の詳細の取得

Microsoft 365 管理ポータルを使用した設定の詳細の取得

また、Microsoft 365 管理ポータルから設定情報を取得して、プラグインの設定セクションにその情報を入力することもできます。

Microsoft 365 管理ポータルを使用して設定の詳細を取得するには
1
admin.microsoft.com にアクセスします。
2
左側のナビゲーションパネルで、[すべて表示]をクリックし、リストから[Azure Active Directory]を選択します。
3
Azure Active Directory 管理センター[すべてのサービス]で、[Azure Active Directory]をクリックします。
4
[管理]セクションで、[アプリの登録]をクリックし、[新規登録]をクリックします。
5
以下のフィールドに入力します。
名前:NetVault プラグインの名前(PluginMicrosoft365 など)を入力します。
サポートされるアカウント タイプ:このアプリケーションを使用できるユーザーまたはこの
API にアクセスできるユーザーを指定するには、[任意の組織ディレクトリ内のアカウント
(任意の Azure AD ディレクトリ - マルチテナント)]を選択します。
リダイレクト URI:NetVault とのやり取りに使用する URI(https://<machineName>:8443 な)
を入力します。
6
[登録]をクリックし、表示されるページにリストされるアプリケーション ID をメモします。
Quest では、テキストファイルにコピーして保存するなどして、この情報を記録することを強くお勧めします。
7
[概要]ページの[管理]で、[認証]をクリックします。
8
[詳細設定]セクションで、[パブリック クライアント フローを許可する]の横にある[はい]を選択します。
9
[管理]セクションで、[API のアクセス許可]をクリックします。
10
[API のアクセス許可]で、[アクセス許可の追加(Add a permission)]をクリックします。
11
次のいずれかのオプションのを選択します。
API を選択します:この方法を使用するには、[Microsoft Graph]または[SharePoint]を選択し、[選択]をクリックします。
アクセス許可を選択します(Select permissions):このオプションを使用するには、次の手順を実行します。
a
[アプリケーションの許可]を選択し、次の項目を選択します。
Calendars.Read
Calendars.ReadWrite
ChannelMember.ReadWrite.All
ChannelMessage.Read.All
Directory.ReadWrite.All
Files.Read.All
Files.ReadWrite.All
Group.Read.All
Group.ReadWrite.All
Mail.Read
Mail.ReadWrite
MailboxSettings.Read
MailboxSettings.ReadWrite
Reports.Read.All
Sites.FullControl.All
Sites.Manage.All
Sites.Read.All
Sites.ReadWrite.All
Team.ReadBasic.All
TeamMember.Read.Group
TeamMember.ReadWrite.All
TeamSettings.Read.All
TeamSettings.ReadWrite.All
User.Read.All
User.ReadWrite.All
b
[SharePoint]を展開し、以下の項目を選択します。
Sites.FullControl.All
c
[委任されたアクセス許可]を選択し、以下項目を選択します。
ChannelMessage.Read.All
Group.ReadWrite.All
User.Read(このアクセス許可は、登録済みアプリにデフォルトで追加されます)
d
[アクセス許可の追加(Add permissions)]をクリックします。
e
プラグインの設定後に Plug‑in for Microsoft 365 にアクセス許可を割り当てるには、[必要なアクセス許可]タブで[アクセス許可の付与]をクリックし、確認メッセージが表示されたら[はい]をクリックします。
 
* 
メモ: Azure AD サービスプリンシパルをバックアップおよびリストアするには、プラグインの設定に使用される登録済みアプリケーションがグローバル管理者およびアプリケーション管理者である必要があります。
メモ: 「チーム」アクセス許可がないと、Microsoft Teams アプリケーションにアクセスできなくなったりバックアップが部分的になったりします。
12
[管理]タブの[証明書とシークレット]セクションで、[新しいクライアントシークレット]をクリックして、プラグインで使用するパスワードを作成します。
13
説明を入力し、期間オプションを選択します。
必要に応じて、開始日と終了日を選択して、パスワードの有効期限を指定できます。
14
[追加]をクリックし、[値]ボックスの情報をメモします。
Quest では、以前に作成して保存したのと同じテキストファイルにコピーするなどして、この情報を記録することを強くお勧めします。
 
* 
重要: 後でこの鍵を取得することはできません。プラグインを設定するときに参照用に鍵を記録していない場合は、新しい鍵を生成する必要があります。
15
Microsoft 365 に使用するドメイン名を確認するには、左側のナビゲーションパネルで[Azure Active Directory]を再度クリックします。
16
[概要]をクリックし、ドメイン名をメモします。
 
* 
メモ: Quest では、テキストファイルにコピーして保存するなどして、この情報を記録することをお勧めします。

バックアップとリストアのための SharePoint Online の準備

Plug‑in for Microsoft 365 を使用して SharePoint Online データを保護するには、SharePoint Online CSOM API
のアクセス許可を割り当てる必要があります。

バックアップとリストアのために SharePoint Online を準備するには
1
テナント管理者アカウントを使用して SharePoint Online テナントサイトを開きます。
例:https://<tenant>-admin.sharepoint.com/_layouts/15/appinv.aspx。
2
[アプリ ID]テキストボックスに、Azure Active Directory から生成されたクライアント ID を入力します。
3
[参照]をクリックします。
4
[アプリ ドメイン]で、「www.localhost.com」と入力します。
5
[リダイレクト URL]で、「https://www.locahost.com」と入力します。
6
[権限の要求 XML]で、次の XML スクリプトを入力します。
<AppPermissionRequests AllowAppOnlyPolicy="true"> <AppPermissionRequest Scope="http://sharepoint/content/tenant" Right="FullControl" /> </AppPermissionRequests>
7
[作成]をクリックします。
8
ダイアログで、[信頼する]をクリックします。

プラグインへの設定の詳細の入力

アプリケーション ID、パスワード、およびドメイン名を特定したら、プラグインの設定セクションにこの情報を入力する必要があります。

 
* 
メモ: Plug‑in for Microsoft 365 用に、以下のサイトに対するグローバル管理者アクセス権が必要にな
ります。
グループを含むチームサイト(プライマリ)
ビジネスインテリジェンスセンター(クラシック)
Visio プロセスリポジトリ(クラシック)
製品カタログ(クラシック)
 
* 
メモ: Teams のバックアップ / リストアジョブを生成するには、プラグイン用に設定されたユーザーが Teams プラットフォームのメンバーである必要があります。
プラグインに設定の詳細を入力するには
1
[ナビゲーション]パネルで、[バックアップジョブ作成]をクリックし、次に[セレクション]リストの横にある[ ]をクリックします。
2
セレクション・ツリー内で適切なクライアント・ノードを開きます。
3
Plug‑in for Microsoft 365をクリックして、コンテキスト・メニューから[設定]を選択します。
4
[テナントの追加(Add Tenant)]ページで、テナント認証方式として次のいずれかのオプションを選択し、選択の詳細を入力します。
 
* 
メモ: Microsoft 365 管理ポータルを使用した設定の詳細の取得」プロセス中に記録した情報を使用します。
テナント資格情報
アプリケーションドメイン
アプリケーション ID
アプリケーションパスワード
証明書
アプリケーションドメイン
アプリケーション ID
証明書サムプリント
 
* 
メモ: NetVault では、証明書サムプリントを使用して、Windows 証明書マネージャーから秘密鍵を取得します。
 
* 
注意: これらの設定の入力や更新には、WebUI の[設定変更]オプションは使用しないでください。
5
Teams を保護する場合は、[グローバル管理者資格情報の入力]チェックボックスを選択し、管理者のユーザー名とパスワードを入力します。
管理者がグローバル管理者ロールを割り当てられており、かつ保護する Teams の所有者またはメンバーであることを確認します。UPN(User Principal Name)形式(user1@testdomain.onmicrosoft.com
など)を使用して、[管理者ユーザー名]フィールドに入力します。
6
設定を保存するには、[OK]をクリックします。
アカウントが適切に設定されている場合は、Plug‑in for Microsoft 365 ノードをクリックすると、
利用可能なメールボックスと OneDrive ユーザーおよびグループを表示できます。
 
* 
メモ: Plugin for Microsoft 365 では、プロキシを介したグラフサーバへの接続をサポートしていません。
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating