Project Server でグループ、カテゴリ、RBS を計画する
概要: Project Server アクセス許可モードでは、Project Web App のセキュリティはユーザー、グループ、およびカテゴリに基づいています。
適用対象: Project Server サブスクリプション エディション、Project Server 2019、Project Server 2016、Project Server 2013
この記事では、Project Server 展開でのグループとカテゴリの計画について説明します。 SharePoint アクセス許可モードをセキュリティ モデルとして使用している場合は、「Project Server で SharePoint グループを計画する」を参照してください。
この記事の内容
Project Web App でのアクセス許可
アクセス許可は、Project Server のコンテキスト内で特定のアクションを実行する権限です。 Project Server では、各アクセス許可をAllow、Deny、または not 構成できます。 たとえば、[パスワードの 変更 ] アクセス許可は、特定のユーザーまたはグループに対して許可または拒否できます。
Project Server には、次の 2 種類のアクセス権があります。
グローバル アクセス権は、Project Web App のインスタンス全体でアクションを実行する権限を、ユーザーまたはグループに付与します。 グローバル アクセス権は、ユーザー レベルまたはグループ レベルで割り当てられます。
カテゴリ権限は、特定のプロジェクトおよびリソースに対してアクションを実行する権限を、ユーザーまたはグループに付与します。 カテゴリ権限は、カテゴリ レベルで割り当てられます。
アクセス権は、Project Web App のさまざまな場所で設定できます。 [ 許可] 列および [ 拒否] 列のチェック ボックスをオンにすることによって、アクセス権を許可または拒否できます。 [ 許可] チェック ボックスと [ 拒否] チェック ボックスをどちらもオンにしない場合、既定の状態は "許可しない" です。 "許可しない" 状態では、他の方法でユーザーにアクセス権が付与されている場合、そのアクセス権に関連付けられた機能へのアクセスは禁止されません。 たとえば、あるユーザーが属しているグループにアクセス権が構成されていない (許可されていない) 場合でも、そのアクセス権が許可されている別のグループのメンバーシップによってアクセス権が付与されることがあります。 ただし、他の場所でアクセス権が明示的に拒否されている場合は、特定のユーザーまたはグループについてすべての場所でそのアクセス権は拒否されます。
Project Serverのアクセス権を構成するには、Project Web App の [ 設定] メニューから [ Project Web App の設定] を選択します。 アクセス権は次のように構成できます。
許可 ユーザーやグループ メンバーはアクセス権に関連付けられた操作を実行できます。
拒否 ユーザーやグループ メンバーはアクセス権に関連付けられた操作を実行できません。 アクセス権を拒否する場合は注意が必要です。 ユーザーに対して特定のアクセス権を拒否した場合、拒否の設定は、そのユーザーが属する他のグループに適用されたどの許可の設定よりも優先されます。 既定で [拒否] に設定されているアクセス権はありません。
許可しない アクセス権について [ 許可] と [ 拒否] のどちらも選択していない場合、既定の状態は "許可しない" です。 ユーザーが複数のグループに属しており、あるグループについてはアクセス権が "許可しない" に設定されており、別のグループについては [ 許可] に設定されている ([ 拒否] ではない) 場合、ユーザーはそのアクセス権に関連付けられた操作を実行できます。
アクセス権を [ 拒否] に構成する場合は、[ 拒否] の設定は、そのアクセス権について他のグループのメンバーシップによってそのユーザーに対して適用されたどの [ 許可] の設定よりも優先されることを考慮する必要があります。 [ 拒否] の設定の使用を制限することによって、大規模なユーザー グループのアクセス権の管理が容易になります。
注:
[ 拒否] の設定は [ 許可] の設定よりも優先されるので、この設定によって機能へのアクセスを拒否できます。 したがって、[ 拒否] チェック ボックスをオンする場合は注意が必要です。 組織外部のユーザーが Project Server のセキュリティ オブジェクトにアクセスすることを防止したり、ユーザーやグループに対する機能を拒否したりする場合に、[ 拒否] チェック ボックスをオンにします。
ユーザー数が多い組織では、アクセス権を個々に割り当てて管理することは膨大な労力を必要とする作業になる場合があります。 グループを使用すると、1 回の操作で複数のユーザーにアクセス権を割り当てることができます。 Project Serverの最初の展開計画プロセスの中で、グループを作成し、グループに関連付けるアクセス権のセットを定義してから、ユーザーをグループに割り当て、グループをカテゴリに割り当てます。 グループ、グループに関連付けるアクセス権、およびグループ メンバーシップを定義した後、ユーザー、グループ、およびカテゴリの日常的な管理では、セキュリティ グループへのユーザーの追加とセキュリティ グループからのユーザーの削除を行います。 これによって、必要な日常の管理作業が削減され、アクセス権の問題のトラブルシューティングが容易になります。
Project Web App でのグループ
グループには、機能に対する同様のニーズを持つ一連のユーザーが含まれます。 たとえば、組織内の特定の部門のすべてのプロジェクト管理者は、同じ Project Server のアクセス権のセットを必要とすると考えられ、一方で役員またはリソース管理者には別のニーズがあると考えられます。
組織内のユーザーがアクセスを必要とするProject Web Appの領域に基づいて、一般的なニーズを特定してグループを定義します。 グループを定義したら、グループにユーザーを追加し、グループにアクセス許可を付与できます。グループに割り当てられたアクセス許可は、グループに含まれるすべてのユーザーに適用されます。 グループを使用してProject Web Appアクセス許可を制御すると、Project Web Appのセキュリティ管理が簡略化されます。 グループ メンバーシップは頻繁に変更される可能性がありますが、グループのアクセス要件は頻繁に変更される可能性があります。
注:
グループ メンバーシップはユーザーのみで構成されます。 グループに他のグループを含めることはできません。
ユーザーは、組織内での役割とアクセスの要件に従って、複数のグループに属することができます。 Project Server アクセス許可モードの Project Web App の各インスタンスでは、以下のグループを既定で使用できます。 各グループには定義済みのカテゴリとアクセス権のセットが割り当てられます。
| グループ | 説明 |
|---|---|
| 管理者 |
ユーザーは、すべてのグローバル アクセス権と、自分の所属組織カテゴリを介したすべてのカテゴリ権限を持ちます。 Project Web App の指定されたインスタンスのすべてに対する完全なアクセスが許可されます。 |
| ポートフォリオ ビューアー |
ユーザーは、プロジェクトおよび Project Web App データを表示するアクセス権を持ちます。 このグループは、プロジェクトを表示する必要はあるが、自身にはプロジェクト タスクが割り当てられていない上位レベルのユーザーを対象としています。 |
| ポートフォリオ管理者 |
ユーザーは、分類された、プロジェクトの作成およびチームの構築のアクセス権を持ちます。 このグループは、プロジェクトのグループの、高レベルなマネージャー用です。 |
| プロジェクト管理者 |
ユーザーは、ほとんどのグローバル レベルおよびカテゴリ レベルのプロジェクトのアクセス権と、限定されたリソースのアクセス権を持ちます。 このグループは、毎日プロジェクトのスケジュールを管理するユーザー用です。 |
| リソース管理者 |
ユーザーは、ほとんどのグローバルレベルおよびカテゴリレベルのリソースのアクセス権を持ちます。 このグループは、リソースの管理と割り当ておよびリソース データの編集を行うユーザーを対象としています。 |
| チーム リーダー |
ユーザーは、タスクの作成および進捗の報告に関する限定されたアクセス権を持ちます。 このグループは、プロジェクトにおいて日常のタスクが割り当てられていない、リーダーの立場にあるユーザー用です。 |
| チーム メンバー |
ユーザーは Project Web App を使用する一般的なアクセス権を持っていますが、プロジェクト レベルの権限は制限されています。 このグループは、すべてのユーザーに Project Web App に対する基本的なアクセスを提供することを目的としています。 すべての新しいユーザーは、チーム メンバー グループに自動的に追加されます。 |
管理者は、通常、ユーザー アカウントを組み込みのグループのいずれかに追加するか、新しいグループを作成してそのグループに特定のアクセス権を割り当てることによって、アクセス権を割り当てます。
Project Web App でのカテゴリ
カテゴリは、プロジェクト、リソース、およびビューのコレクションです。 カテゴリによって、任意のユーザーがアクセスできる情報の範囲が定義されます。 カテゴリは、ユーザーにアクセス権を提供するという点でグループと似ています。 グローバル アクセス権と異なり、カテゴリ権限は、特定のプロジェクトおよびリソースと関連付けられています。 さらに、カテゴリには、プロジェクトおよびリソースのフィルターが含まれ、これを使用して、指定されたアクセス権を適用するプロジェクトおよびリソースを決定できます。
グループとカテゴリを互いに関連付けることで、各ユーザーにアクセス権の完全なセットを提供します。 各グループを 1 つ以上のカテゴリと関連付けることができ、さらに、各カテゴリで、そのカテゴリのプロジェクトに対するプロジェクト レベルおよびリソース レベルのアクセス権の異なるセットを、そのグループのメンバーに提供できます。
Project Web App の各インスタンスには、以下の既定のカテゴリが用意されています。
| 分類 | 説明 |
|---|---|
| 自分の直属の部下 |
ユーザーは、RBS におけるその直下のタイムシートを承認できます。 このカテゴリは、タイムシートを承認できる必要があるマネージャー用です。 |
| 自分の所属組織 |
すべてのプロジェクトおよびリソースが含まれ、関連付けられているグループの管理に応じて、さまざまなレベルのカテゴリ権限が許可されます。 すべてのビューに対する完全なアクセスも提供されます。 このカテゴリは、ユーザーが Project Web App インスタンス上のすべてを表示できるようにするためのものです。 |
| 自分のプロジェクト |
プロジェクトを所有している、プロジェクトの進捗管理者である、リソースとしてプロジェクトに割り当てられている、RBS におけるその下位がプロジェクトに割り当てられているユーザーに対しカテゴリ権限が許可されます。 このカテゴリは、ユーザーが、自身および RBS におけるその下位が関連付けられているすべてのプロジェクトを表示できるようにするためのものです。 |
| 自分のリソース |
RBS におけるユーザーの下位であるリソースに対する、ほとんどのリソース レベルのカテゴリ権限が許可されます。 このカテゴリは、ユーザーが、RBS 構造で区別されている自身のリソースを管理できるようにするためのものです。 |
| 自分のタスク |
ユーザーが割り当てられているプロジェクトを表示できます。 このカテゴリは Team Members グループに関連付けられているため、すべてのユーザーが割り当てられているプロジェクトを可視化するためのものです。 |
カスタム カテゴリを作成して、プロジェクト、リソース、およびビューにアクセスするための新しい方法を提供できます。 大量のカテゴリが存在すると、管理が複雑になる場合があります。 カテゴリは、慎重に使用することをお勧めします。
Project Web App でのセキュリティ テンプレート
セキュリティ テンプレートは、定義済みのアクセス権のセットです。 セキュリティ テンプレートを使用すると、同じデータにアクセスする必要があるユーザーのグループに対してアクセス権を付与するプロセスを簡素化できます。 Project Web App の各インスタンスには、以下の既定のセキュリティ テンプレートが用意されています。
管理者
ポートフォリオ ビューアー
ポートフォリオ管理者
プロジェクト管理者
提案確認者
リソース管理者
チーム リーダー
チーム メンバー
セキュリティ テンプレートは、新規または既存のユーザー、グループ、およびカテゴリに定義済みのアクセス権のプロファイルを簡単に適用またはリセットする手段として使用できます。 セキュリティ テンプレートを適用することによって、組織内でのユーザーの役割に従って割り当てるアクセス権を簡単に標準化できます。 既定のセキュリティ テンプレートは、Project Web App の定義済みグループに対応していまいす。 ニーズに合わせてこれらのセキュリティ テンプレートをカスタマイズし、新しいセキュリティ テンプレートを作成できます。
注:
セキュリティ テンプレートの設定を変更しても、そのテンプレートが適用されているユーザーとグループに変更が自動的に適用されるわけではありません。
カスタム セキュリティ テンプレートを作成するには、計画が必要です。 最初に、既定のセキュリティ テンプレートに反映されていない組織内の一般的なProject Web App使用パターンを特定する必要があります。 これは、カスタム セキュリティ テンプレートの要件を特定するのに役立ちます。 次に、一般的なProject Web Appの使用パターンを共有するユーザーが必要とするアクセス許可を決定します。 これによって、セキュリティ テンプレートが定義されます。 次に、ユーザーとグループがアクセスを必要とするプロジェクト、リソース、ビューなどのセットを決定します。これにより、セキュリティ カテゴリが定義されます。 カスタム セキュリティ テンプレートを作成し、一般的な使用パターンを共有するユーザーのグループに適用します。
Project Web App での Resource Breakdown Structure
Resource Breakdown Structure (RBS) は、階層型のセキュリティ構造であり、通常は組織の管理報告構造を基盤としていますが、他の方法で構造化することもできます。 RBS は、組織内のユーザーおよびプロジェクト間の上下関係を定義するときに使用し、Project Web App のセキュリティ モデルでの重要な要素となります。 各 Project Web App ユーザーに RBS 値を指定するときは、各セキュリティ カテゴリに定義できる動的なセキュリティ オプションを利用できます。
RBS 構造は、Project Web App に組み込まれている RBS カスタム ルックアップ テーブルに値を追加することで定義されます。 構造を定義したら、ユーザーのアカウント設定ページで RBS プロパティを設定することで、個々のユーザーに RBS 値を割り当てることができます。
RBS を構成すると、カテゴリで RBS コードを使用して、特定のユーザーが表示またはアクセスできるプロジェクトおよびリソースを動的に決定できます。 次の表は、各カテゴリで使用できる、RBS を使用するセキュリティ オプションを示しています。
プロジェクトのセキュリティ オプション
| オプション | 説明 |
|---|---|
| ユーザーがプロジェクト所有者、またはそのプロジェクトの割り当ての進捗管理者である |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、自身がプロジェクト所有者または進捗管理者であるプロジェクトを表示できます。 |
| ユーザーがそのプロジェクトのプロジェクト チームに属している |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、自身がリソースであるプロジェクトを表示できます。 |
| プロジェクト所有者が RBS でユーザーの下位にある |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、RBS におけるその下位が所有するプロジェクトを表示できます。 |
| プロジェクトのプロジェクト チームのリソースが RBS でユーザーの下位にある |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、RBS におけるその下位がリソースであるプロジェクトを表示できます。 |
| プロジェクト所有者がユーザーと同じ RBS 値を持つ |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、同じ RBS 値を持つ他のユーザーが所有するプロジェクトを表示できます。 |
注:
最初の 2 つのオプション ([ ユーザーがプロジェクト所有者、またはそのプロジェクトの割り当ての進捗管理者である] および [ ユーザーがそのプロジェクトのプロジェクト チームに属している]) は、RBS には関連付けられていませんが、ユーザーが表示できるプロジェクトをフィルタリングする同様の方法を提供します。
リソースのセキュリティ オプション
| オプション | 説明 |
|---|---|
| ユーザーがリソースである |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、自身をリソースとして表示できます。 |
| ユーザーが所有するプロジェクトのプロジェクト チームのメンバーである |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、自身が所有するプロジェクトに割り当てられているリソースを表示できます。 |
| RBS でユーザーの下位にある |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、RBS におけるその下位を表示できます。 |
| RBS でユーザー直下にある |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、RBS におけるその直下を表示できます。 |
| ユーザーと同じ RBS 値を持つ |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、同じ RBS 値を持つ他のユーザーを表示できます。 |
注:
最初の 2 つのオプション ([ ユーザーがリソースである] および [ ユーザーが所有するプロジェクトのプロジェクト チームのメンバーである]) は、RBS には関連付けられていませんが、ユーザーが表示できるリソースをフィルタリングする同様の方法を提供します。
カテゴリを作成または変更するときに、上記の表に示されているオプションを構成できます。