Aby utworzyć aplikację Microsoft Azure w portalu Azure, wykonaj te czynności. Jeśli używasz zaawansowanej metody importu danych do kopiowania danych Microsoft Teams na konta Google Workspace, potrzebujesz aplikacji Azure, aby zapewnić bezpieczny import danych. Możesz wybrać jedną z 2 metod:
- Skonfiguruj automatyczne połączenie za pomocą skryptu PowerShell.
- Skonfiguruj połączenie ręczne za pomocą Azure.
Skonfiguruj automatyczne połączenie za pomocą skryptu PowerShell
Aby wykonać te czynności, musisz być administratorem globalnym lub administratorem z rolą uprzywilejowaną.
Opcja 1. Korzystanie z Azure Cloud Shell
- Zaloguj się w portalu Azure jako administrator.
- Kliknij Cloud Shell
PowerShell. - Jeśli pojawi się taka prośba, utwórz konto pamięci i zaakceptuj ustawienia domyślne.
- Aby utworzyć aplikację, wpisz to polecenie i kliknij Enter:
Install-Module Microsoft.Graph -Scope CurrentUser
- Jeśli pojawi się prośba o zainstalowanie z niezaufanego repozytorium, wpisz Y i kliknij Enter.
- Skopiuj ten blok kodu, wklej go do PowerShell i kliknij Enter.
<# .SYNOPSIS Automates the creation of a Single-Tenant Entra ID App for Workspace Migration. Strictly forces account selection and verifies specific Admin roles. #> # Check if the module is missing if (-not (Get-Module -ListAvailable -Name Microsoft.Graph.Authentication)) { Write-Host "Microsoft Graph module is NOT installed." -ForegroundColor Yellow $UserResponse = Read-Host "Would you like to try installing Microsoft Graph? (Y/N)" if ($UserResponse -ieq "Y") { try { # Use only native cmdlets, no .NET property setting Install-Module -Name Microsoft.Graph -Scope CurrentUser -Force -AllowClobber Write-Host "Installation complete!" -ForegroundColor Green } catch { Write-Error "Policy is blocking installation. Please contact IT to install Microsoft.Graph module." Read-Host "Press Enter to exit"; exit } } else { exit } } else { Write-Host "Microsoft Graph modules detected. Proceeding..." -ForegroundColor Green } # --- STEP 0: THE "DEEP" LOGOUT --- Write-Host "Forcing session cleanup..." -ForegroundColor Gray Disconnect-MgGraph -ErrorAction SilentlyContinue # Force clear the local token cache folder if it exists $CachePath = "$env:USERPROFILE\.mg" if (Test-Path $CachePath) { try { Remove-Item $CachePath -Recurse -Force -ErrorAction SilentlyContinue } catch {} } Write-Host "Opening Microsoft Login... (Please select the correct account)" -ForegroundColor Cyan $RequiredScopes = @( "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All", "Directory.Read.All", "RoleManagement.Read.Directory" ) try { # In v2, -ContextScope Process is the most reliable way to force account selection # and prevent the session from saving to the machine permanently. Connect-MgGraph -Scopes $RequiredScopes -ContextScope Process $Context = Get-MgContext if ($null -eq $Context) { throw "Login was cancelled or failed." } $UserPrincipal = $Context.Account Write-Host "Logged in as: $UserPrincipal" -ForegroundColor Green # --- ROLE VALIDATION --- Write-Host "Verifying Directory Roles..." -ForegroundColor Gray $UserRoles = Get-MgUserMemberOf -UserId $Context.Account -All | Where-Object { $_.AdditionalProperties.displayName -ne $null } $Authorized = $false $RequiredRoles = @("Global Administrator", "Privileged Role Administrator") foreach ($role in $UserRoles) { $roleName = $role.AdditionalProperties.displayName if ($roleName -in $RequiredRoles) { $Authorized = $true Write-Host "Access Granted: $roleName" -ForegroundColor Green break } } if (-not $Authorized) { Write-Host "`nCRITICAL ERROR: Insufficient Privileges." -ForegroundColor Red Write-Host "Account must be 'Global Administrator' or 'Privileged Role Administrator'." -ForegroundColor Yellow Disconnect-MgGraph Read-Host "`nPress Enter to exit"; exit } } catch { Write-Error "Login failed: $_" Read-Host "Press Enter to exit"; exit } # --- USER INPUT --- Write-Host "`n--- APPLICATION SETUP ---" -ForegroundColor Cyan $InputName = Read-Host "Enter the name for your new Entra ID Application (Default: Workspace Migration App)" $AppName = if ([string]::IsNullOrWhiteSpace($InputName)) { "Workspace Migration App" } else { $InputName } # --- CONFIGURATION --- # Updated Map containing all the requested application permissions $PermissionMap = @{ "member.read.hidden" = "Member.Read.Hidden" "organization.read.all" = "Organization.Read.All" "channelmember.read.all" = "ChannelMember.Read.All" "channelmessage.read.all" = "ChannelMessage.Read.All" "channelsettings.read.all" = "ChannelSettings.Read.All" "group.read.all" = "Group.Read.All" "team.readbasic.all" = "Team.ReadBasic.All" "teammember.read.all" = "TeamMember.Read.All" "user.read.all" = "User.Read.All" “application.read.all” = “Application.Read.All” } $TenantId = $Context.TenantId $GraphAppId = "00000003-0000-0000-c000-000000000000" try { # --- STEP 1: REGISTER APPLICATION --- Write-Host "Creating Application: $AppName..." -ForegroundColor Cyan $Application = New-MgApplication -BodyParameter @{ displayName = $AppName signInAudience = "AzureADMyOrg" } # --- STEP 2: PREPARE SERVICE PRINCIPAL --- $NewServicePrincipal = New-MgServicePrincipal -BodyParameter @{ appId = $Application.AppId } Write-Host "Waiting 10 seconds for replication..." -ForegroundColor DarkGray Start-Sleep -Seconds 10 # --- STEP 3: CONFIGURE & GRANT PERMISSIONS --- Write-Host "Configuring API Permissions & Granting Admin Consent..." -ForegroundColor Cyan $GraphSP = Get-MgServicePrincipal -Filter "AppId eq '$GraphAppId'" | Select-Object -First 1 $ResourceAccessList = @() foreach ($key in $PermissionMap.Keys) { $RealRoleName = $PermissionMap[$key] $Role = $GraphSP.AppRoles | Where-Object { $_.Value -eq $RealRoleName } if ($Role) { $ResourceAccessList += @{ id = $Role.Id; type = "Role" } New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $NewServicePrincipal.Id -BodyParameter @{ principalId = $NewServicePrincipal.Id resourceId = $GraphSP.Id appRoleId = $Role.Id } | Out-Null Write-Host " - Granted: $RealRoleName" -ForegroundColor Gray } } Update-MgApplication -ApplicationId $Application.Id -RequiredResourceAccess @(@{ resourceAppId = $GraphAppId resourceAccess = $ResourceAccessList }) # --- STEP 4: CREATE CLIENT SECRET --- Write-Host "Generating Client Secret..." -ForegroundColor Cyan $ExpiryDate = (Get-Date).AddYears(2).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ssZ") $PasswordCred = Add-MgApplicationPassword -ApplicationId $Application.Id -BodyParameter @{ passwordCredential = @{ displayName = "MigrationToolSecret" endDateTime = $ExpiryDate } } # --- OUTPUT --- Write-Host "`n-------------------------------------------------------" -ForegroundColor Yellow Write-Host " SETUP COMPLETE - SAVE THESE DETAILS" -ForegroundColor Yellow Write-Host "-------------------------------------------------------" -ForegroundColor Yellow Write-Host "Application Name : $AppName" Write-Host "Application (Client) ID : $($Application.AppId)" Write-Host "Client Secret Value : $($PasswordCred.SecretText)" Write-Host "Directory (Tenant) ID : $TenantId" Write-Warning "IMPORTANT: Copy the Client Secret Value immediately." } catch { Write-Error "Operation failed: $_" } # --- FINAL DISCONNECT --- Disconnect-MgGraph Read-Host "`nPress Enter to close this window"
- Zapisz te dane logowania i przechowuj je w bezpiecznym miejscu. Jeśli dane logowania wyciekną, hakerzy mogą uzyskać dostęp do wszystkich danych Teams.
- Tajny klucz klienta
- Identyfikator aplikacji (klienta)
- Identyfikator katalogu (najemcy)
Opcja 2. Korzystanie z Windows PowerShell
- W systemie Windows utwórz nowy plik tekstowy i nadaj mu nazwę migration_app_creator.ps1.
- Skopiuj ten blok kodu, wklej go do nowego pliku i kliknij Uruchom w PowerShell.
- Zapisz te dane logowania i przechowuj je w bezpiecznym miejscu. Jeśli dane logowania wyciekną, hakerzy mogą uzyskać dostęp do wszystkich danych Teams.
- Tajny klucz klienta
- Identyfikator aplikacji (klienta)
- Identyfikator katalogu (najemcy)
<# .SYNOPSIS Automates the creation of a Single-Tenant Entra ID App for Workspace Migration. Strictly forces account selection and verifies specific Admin roles. #> # Check if the module is missing if (-not (Get-Module -ListAvailable -Name Microsoft.Graph.Authentication)) { Write-Host "Microsoft Graph module is NOT installed." -ForegroundColor Yellow $UserResponse = Read-Host "Would you like to try installing Microsoft Graph? (Y/N)" if ($UserResponse -ieq "Y") { try { # Use only native cmdlets, no .NET property setting Install-Module -Name Microsoft.Graph -Scope CurrentUser -Force -AllowClobber Write-Host "Installation complete!" -ForegroundColor Green } catch { Write-Error "Policy is blocking installation. Please contact IT to install Microsoft.Graph module." Read-Host "Press Enter to exit"; exit } } else { exit } } else { Write-Host "Microsoft Graph modules detected. Proceeding..." -ForegroundColor Green } # --- STEP 0: THE "DEEP" LOGOUT --- Write-Host "Forcing session cleanup..." -ForegroundColor Gray Disconnect-MgGraph -ErrorAction SilentlyContinue # Force clear the local token cache folder if it exists $CachePath = "$env:USERPROFILE\.mg" if (Test-Path $CachePath) { try { Remove-Item $CachePath -Recurse -Force -ErrorAction SilentlyContinue } catch {} } Write-Host "Opening Microsoft Login... (Please select the correct account)" -ForegroundColor Cyan $RequiredScopes = @( "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All", "Directory.Read.All", "RoleManagement.Read.Directory" ) try { # In v2, -ContextScope Process is the most reliable way to force account selection # and prevent the session from saving to the machine permanently. Connect-MgGraph -Scopes $RequiredScopes -ContextScope Process $Context = Get-MgContext if ($null -eq $Context) { throw "Login was cancelled or failed." } $UserPrincipal = $Context.Account Write-Host "Logged in as: $UserPrincipal" -ForegroundColor Green # --- ROLE VALIDATION --- Write-Host "Verifying Directory Roles..." -ForegroundColor Gray $UserRoles = Get-MgUserMemberOf -UserId $Context.Account -All | Where-Object { $_.AdditionalProperties.displayName -ne $null } $Authorized = $false $RequiredRoles = @("Global Administrator", "Privileged Role Administrator") foreach ($role in $UserRoles) { $roleName = $role.AdditionalProperties.displayName if ($roleName -in $RequiredRoles) { $Authorized = $true Write-Host "Access Granted: $roleName" -ForegroundColor Green break } } if (-not $Authorized) { Write-Host "`nCRITICAL ERROR: Insufficient Privileges." -ForegroundColor Red Write-Host "Account must be 'Global Administrator' or 'Privileged Role Administrator'." -ForegroundColor Yellow Disconnect-MgGraph Read-Host "`nPress Enter to exit"; exit } } catch { Write-Error "Login failed: $_" Read-Host "Press Enter to exit"; exit } # --- USER INPUT --- Write-Host "`n--- APPLICATION SETUP ---" -ForegroundColor Cyan $InputName = Read-Host "Enter the name for your new Entra ID Application (Default: Workspace Migration App)" $AppName = if ([string]::IsNullOrWhiteSpace($InputName)) { "Workspace Migration App" } else { $InputName } # --- CONFIGURATION --- # Updated Map containing all the requested application permissions $PermissionMap = @{ "member.read.hidden" = "Member.Read.Hidden" "organization.read.all" = "Organization.Read.All" "channelmember.read.all" = "ChannelMember.Read.All" "channelmessage.read.all" = "ChannelMessage.Read.All" "channelsettings.read.all" = "ChannelSettings.Read.All" "group.read.all" = "Group.Read.All" "team.readbasic.all" = "Team.ReadBasic.All" "teammember.read.all" = "TeamMember.Read.All" "user.read.all" = "User.Read.All" “application.read.all” = “Application.Read.All” } $TenantId = $Context.TenantId $GraphAppId = "00000003-0000-0000-c000-000000000000" try { # --- STEP 1: REGISTER APPLICATION --- Write-Host "Creating Application: $AppName..." -ForegroundColor Cyan $Application = New-MgApplication -BodyParameter @{ displayName = $AppName signInAudience = "AzureADMyOrg" } # --- STEP 2: PREPARE SERVICE PRINCIPAL --- $NewServicePrincipal = New-MgServicePrincipal -BodyParameter @{ appId = $Application.AppId } Write-Host "Waiting 10 seconds for replication..." -ForegroundColor DarkGray Start-Sleep -Seconds 10 # --- STEP 3: CONFIGURE & GRANT PERMISSIONS --- Write-Host "Configuring API Permissions & Granting Admin Consent..." -ForegroundColor Cyan $GraphSP = Get-MgServicePrincipal -Filter "AppId eq '$GraphAppId'" | Select-Object -First 1 $ResourceAccessList = @() foreach ($key in $PermissionMap.Keys) { $RealRoleName = $PermissionMap[$key] $Role = $GraphSP.AppRoles | Where-Object { $_.Value -eq $RealRoleName } if ($Role) { $ResourceAccessList += @{ id = $Role.Id; type = "Role" } New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $NewServicePrincipal.Id -BodyParameter @{ principalId = $NewServicePrincipal.Id resourceId = $GraphSP.Id appRoleId = $Role.Id } | Out-Null Write-Host " - Granted: $RealRoleName" -ForegroundColor Gray } } Update-MgApplication -ApplicationId $Application.Id -RequiredResourceAccess @(@{ resourceAppId = $GraphAppId resourceAccess = $ResourceAccessList }) # --- STEP 4: CREATE CLIENT SECRET --- Write-Host "Generating Client Secret..." -ForegroundColor Cyan $ExpiryDate = (Get-Date).AddYears(2).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ssZ") $PasswordCred = Add-MgApplicationPassword -ApplicationId $Application.Id -BodyParameter @{ passwordCredential = @{ displayName = "MigrationToolSecret" endDateTime = $ExpiryDate } } # --- OUTPUT --- Write-Host "`n-------------------------------------------------------" -ForegroundColor Yellow Write-Host " SETUP COMPLETE - SAVE THESE DETAILS" -ForegroundColor Yellow Write-Host "-------------------------------------------------------" -ForegroundColor Yellow Write-Host "Application Name : $AppName" Write-Host "Application (Client) ID : $($Application.AppId)" Write-Host "Client Secret Value : $($PasswordCred.SecretText)" Write-Host "Directory (Tenant) ID : $TenantId" Write-Warning "IMPORTANT: Copy the Client Secret Value immediately." } catch { Write-Error "Operation failed: $_" } # --- FINAL DISCONNECT --- Disconnect-MgGraph Read-Host "`nPress Enter to close this window"
Skonfiguruj połączenie ręczne za pomocą Azure
Szczegółowe czynności, które należy wykonać w programach Microsoft, mogą się różnić w zależności od wersji portalu Azure i aktualizacji wprowadzonych przez firmę Microsoft. Najnowsze wskazówki dotyczące rejestracji i autoryzacji aplikacji znajdziesz w dokumentacji firmy Microsoft.
Krok 1. Zarejestruj nową aplikację
Ze względów bezpieczeństwa zalecamy zarejestrowanie nowej aplikacji jako jednego najemcy.
- Zaloguj się w portalu Azure jako administrator.
- W sekcji Usługi Azure otwórz Rejestracje aplikacji.
- Kliknij Nowa rejestracja i wpisz nazwę aplikacji (np. Aplikacja do zaawansowanego importu).
- W sekcji Obsługiwane typy kont kliknij Tylko konta w tym katalogu organizacyjnym, aby utworzyć aplikację dla jednego najemcy.
- Kliknij Zarejestruj.
Krok 2. Skonfiguruj uprawnienia dotyczące interfejsu API
Wybierz jedną z tych opcji:
Opcja 1. Ręczne dodawanie uprawnień
- Z boku w sekcji Zarządzaj kliknij Uprawnienia interfejsu API.
- Kliknij Dodaj uprawnienie Interfejsy API Microsoft Microsoft Graph.
- W sekcji Uprawnienia aplikacji wybierz:
- Application.Read.All
- ChannelMember.Read.All
- ChannelMessage.Read.All
- ChannelSettings.Read.All
- Group.Read.All
- Member.Read.Hidden
- Organization.Read.All
- Team.ReadBasic.All
- TeamMember.Read.All
- User.Read.All
- Kliknij Przyznaj zgodę administratora dla Twojej organizacji.
Opcja 2. Edytuj plik manifestu aplikacji
- Otwórz plik manifestu aplikacji.
- Otwórz „resourceAccess” : [ ]i wybierz opcję:
- Jeśli „resourceAccess” : [ ] ma już wartość, dodaj przecinek, a następnie wklej ten blok kodu.
- Jeśli „resourceAccess” : [ ] nie ma wartości, skopiuj i wklej ten blok kodu.
{ "id": "658aa5d8-239f-45c4-aa12-864f4fc7e490", "type": "Role" },
{ "id": "498476ce-e0fe-48b0-b801-37ba7e2685c6", "type": "Role" },
{ "id": "3b55498e-47ec-484f-8136-9013221c06a9", "type": "Role" },
{ "id": "7b2449af-6ccd-4f4d-9f78-e550c193f0d1", "type": "Role" },
{ "id": "c97b873f-f59f-49aa-8a0e-52b32d762124", "type": "Role" },
{ "id": "5b567255-7703-4780-807c-7be8301ae99b", "type": "Role" },
{ "id": "2280dda6-0bfd-44ee-a2f4-cb867cfc4c1e", "type": "Role" },
{ "id": "660b7406-55f1-41ca-a0ed-0b035e182f3e", "type": "Role" },
{ "id": "df021288-bdef-4463-88db-98f22de89214", "type": "Role" },
{ "id": "9a5d68dd-52b0-4cc2-bd40-abcf44ac3a30", "type": "Role" }
- Kliknij Przyznaj zgodę administratora dla Twojej organizacji.
Krok 3. Wygeneruj tajny klucz klienta
- Z boku w sekcji Zarządzaj kliknij Certyfikaty i obiekty tajne Nowy tajny klucz klienta.
- Wpisz opis, wybierz okres ważności i kliknij Dodaj.
- Skopiuj wartość tajnego klucza klienta i przechowuj ją w bezpiecznym miejscu. Wartość jest wyświetlana tylko raz.
Krok 4. Zbierz dane logowania do aplikacji
Ważne: przechowuj dane logowania do aplikacji w bezpiecznym miejscu. Jeśli dane logowania wyciekną, hakerzy mogą uzyskać dostęp do wszystkich danych Teams.
Kliknij Przegląd i zapisz te dane logowania:
- Identyfikator aplikacji (klienta)
- Identyfikator katalogu (najemcy)
Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.