この記事では、セキュリティ ガバナンス機能の設定と使用に関する最も頻繁に寄せられる質問に対する回答を提供します。
この機能を使用して、ページ上の特定のフィールドを非表示にしたり、一部のロールがページ上の特定のフィールドを編集できるかどうかを制御できます。
ほとんどのフィールドでは、アクセス許可を制御するためにビジネス ロジックのカスタム実装を行う必要があります。 しかし、選択されたフィールドの後ろにエントリー ポイントがある場合、ユーザー セキュリティ ガバナンス機能で制御することができます。
使用中に生成されるさまざまな XML または AXTR ファイルを管理できる、バージョン管理システムと統合された機能はありますか?
いいえ、セキュリティ ガバナンスは、どのバージョン管理にも直接統合されません。 システム管理者がファイルやタスク記録ファイルのコピーを管理できるように、すべてのファイルをバージョン管理で管理することを推奨します。 この方法は、ユーザーがセキュリティ バージョンと承認済セキュリティ アーキテクチャを比較する必要があるだけなので、コンプライアンス監査に役立ちます。
プロセス階層は、権限にマッピングされたカスタマイズされたメニュー項目で機能しますか?
はい、プロセス階層はカスタムメニュー項目で機能します。
一時的なロールの管理は、セキュリティ監査証跡に記録されていますか?
はい。 アクティブなユーザー アカウントに対して行われたロール変更は、セキュリティ監査証跡レポートに記録されます。
Microsoft Azure Active Directory (Azure AD) で割り当てられたユーザー グループまたはユーザー アクセスで機能しますか?
番号 セキュリティ管理では、Dynamics 365 の財務と運用アプリのセキュリティ管理モジュールで直接作成されたユーザーを使用します。
ユーザーが Microsoft Entra アプリで無効になっている場合、このユーザーは財務と運用アプリでも無効になりますか?
いいえ、2 つのユーザー管理システムは現在統合されていません。
セキュリティ ガバナンスのセッション録画機能のタスク記録は、Dynamics AX 2012 のセキュリティ開発ツールと同様ですか?
はい、タスク記録機能はセキュリティ開発ツールに似ていますが、技術的に新しい変更が加えられています。
ユーザー別の使用状況情報を含む機能と、適切なライセンスを持つユーザーだけでなく、そのユーザーがシステムにログインして使用する頻度も示す機能がありますか。
はい、ユーザー エイジング レポートでは、この情報を提供します。
ユーザーのライセンス使用状況に関する情報はどこで確認できますか。
ライセンス概要レポートでは、役割、ユーザー、職務、特権などの要因別にライセンスの使用状況を表示します。
セキュリティ ガバナンス モジュールで新しく作成したロールに既存の標準の職務を追加し、セキュリティ構成で表示することはできますか。
はい、セキュリティ ガバナンスによってこの機能がサポートされます。 タスクまたはエントリ ポイントを作成する際に、既存の職務をロールに追加する場合は、参照として追加するオプションが選択されていることを確認してください。 この設定により、新しく作成されたロールと職務の間の参照が作成されます。 参照を確認するには、ロールを選択してセキュリティ構成ページを開きます。
地域や企業ごとにローカライゼーションが適用される場合もあります。 タスク記録を通じてロールを作成するには、ローカライズを持つ各法人が独自のタスク記録を持つ必要がありますか?
回答は記録の内容に依存します。 タスクの記録がセキュリティ オブジェクトとアプリケーション オブジェクト ツリー (AOT) だけに厳密に依存する場合、同じタスクの記録が複数のローカライズで機能します。 しかし、特定の言語でのユーザー入力が含まれる場合、タスク記録は他の言語では機能しない可能性があります。
多国籍企業には、必ずしも標準的な組織階層はない可能性があります。 たとえば、プロセス P1 は、A 国では「営業担当者」ロールの役割ですが、B 国では「カスタマーサービス アシスタント」ロールの役割となります。同様に、プロセス P2 は、A 国では「経理担当者」ロールの役割ですが、B 国では「物流担当者」ロールの役割です。このような状況では、タスク記録によって作成されたロールを管理するのは難しく、複雑ではないでしょうか?
このような状況で同じタスク記録ファイルを使用するのは難しいことではありません。 タスク記録の目的は、ロールの下でタスクと職務を生成することです。 国ごとにセキュリティ階層が定義されると、システム管理者はセキュリティ ロールに適切な名前を付けます。 同じタスク記録ファイルが国間で使用されます。 タスク記録はロールのテンプレートを作成する際に役立ちますが、ロール自体を作成するわけではありません。
セキュリティ ガバナンス レポートからユーザーのサインインとサインアウトの日付/タイム スタンプを取得できますか。
いいえ、レポートには、各ユーザーの日付別の一意のサインイン セッションの合計数のみが表示されます。
セキュリティ ガバナンス監査ログと Microsoft Sentinel の間に関係がありますか。
いいえ、2 つの製品は独立しており、互いに使用していません。
特権ユーザー管理機能をタスク記録した場合、データベース全体のサイズにどのような影響がありますか。
セッションごとのファイル サイズを制御するには、特権ユーザー管理セッションの長さを24時間に制限します。 システム管理者は記録ファイルをローカルにダウンロードしてアーカイブし、データベースから削除できます。
現在のユーザーにロールを割り当てずに、別のロールで一時的なロール割り当てセッションを実行する方法はありますか。 Dynamics AX 2012 では、ロールとしてのテスト オプションによって同様のことが可能でした。
いいえ、セキュリティ ガバナンスではこの機能はサポートされていません。
一時的なロール割り当て機能に関する自動リマインダーがありますか。
現在、一時的な ロールおよび特権ユーザー管理機能から通知が生成されません。
ユーザーにセキュリティ ロールを割り当てたり、ログインしたりせずに、セキュリティ ロールをテストする方法はありますか。
ロールはユーザーに割り当てられ、検証された場合にのみテストすることができます。 システム管理者は、セキュリティ ガバナンス プロセス階層を使用して、ロールをデザインし、公開せずに、エントリ ポイントと職務を確認できます。
30-60-90日のルールに基づいてユーザーを無効にするために、ユーザー エイジング レポート ページからバッチ ジョブを設定できますか。
いいえ、このレポートのユーザー インターフェース (UI) からバッチ ジョブを設定できません。
ロール が職務にアクセスするのではなく、特権に直接アクセスできるシナリオがサポートされています。
いいえ、セキュリティ ガバナンス機能は、このようなシナリオをサポートしません。
場合によっては、アクセスが有効になる前に下位レベルに移動する必要があります。 これは下位レベルで機能しますか?
セキュリティ ガバナンスで定義されるセキュリティ ロールは、エントリー ポイントである最下位レベルに置かれます。
セキュリティ ガバナンス機能開始前のタスク記録ファイルは、新しいインターフェイスでも機能しますか?それとも、もう一度記録する必要がありますか?
以前のタスク記録は動作します。 セキュリティ ガバナンス機能は、タスク記録ツールに影響を与えません。 セキュリティ ガバナンスは、エントリー ポイントを抽出するためだけにタスク記録ファイルを使用します。
私の理解が正しければ、プロセスビューは義務と権限の間に 1 対 1 の関係を作ります。 この動作は、役割-義務-権限の階層構造と競合しませんか?
セキュリティ ガバナンス機能は、固有の職務に特定のタスクを実行させることが目標です。 タスクごとに職務を作成することをお勧めします。 その後、最終的には、ロールが複数の職務のバンドルになる可能性があります。 職務の範囲を可能な限り狭くすることで、職務の分離を確実にすることができます。
一部のDynamics 365 Financeユーザーは1か月中複数のプロセスを実行します。 ジョブ全体に対して 1 つのロールを作成しますか。それとも、各プロセスに対して複数のロールを作成する必要がありますか。
システム管理者は、複数の作業と職務を持つ単一のロールを定義する責任を負います。これは、財務ユーザーが実行するすべてのプロセスのコレクションです。 システム管理者は、1つのプロセスを複数のロールと職務に分割し、それらのすべてのロールを特定のユーザーに割り当てることができます。
セキュリティ ガバナンスでは、異なるデータ シナリオがバックエンドで異なるコードを呼び出すケースをどのように扱いますか? タスクの記録は、バックエンドの機能やコードのブランチに対するアクセス許可のすべての可能な組み合わせを取得するために、すべての可能なシナリオを記録する必要がありますか?
すべてのシナリオを記録する必要はありません。 まずは 1 つの基本シナリオを作成し、次にこの役割に対する期待に基づいて、手動でより多くのエントリー ポイントを割り当てます。 エントリー ポイントの探索機能を使用すると、周囲のエントリー ポイントを見つけることができます。
この新機能が一般的に利用可能になった後、現在のライセンス方法は廃止されますか?それともしばらくは共存するのでしょうか?
ライセンスは依然としてエントリー ポイント レベルで定義され、セキュリティ ガバナンスはエントリー ポイントを使用します。 この 2 つの機能は互いに利用し合っており、お互いに悪影響を与えることはありません。
数週間または数か月間、ユーザーが使用していないロールを特定して、削除できますか。
はい。 ユーザー名を介して、Dynamics 365 財務と運用アプリを使用していないアクティブ ユーザーのデータを表示できます。
監査と昇格した特権情報を取得するために、将来の監査のために情報をアーカイブして、サイズが大きくなりすぎないようにするプロセスがありますか。 この監査によるパフォーマンスへの悪影響はありますか?
特権ユーザー管理の一部として記録されたセッションは、システム管理者が使用できます。 特権管理セッションの長さは、24時間に限定されます。 この制限の目的は、記録のサイズを抑制することです。
ライセンスを最適化するために、一定期間のユーザー アクティビティのログを取得し、使用されたエントリー ポイント/メニュー項目を表示できるようにしたいと考えています。 セキュリティ ガバナンスにはユーザー活動ログが含まれるか。
ユーザー ガバナンスで利用可能な新しいレポートは、ユーザーにマッピングされたロールごとのエントリー ポイントの使用に関する情報を提供します。
サインインの失敗に関する情報をコンプライアンス レポートの一部として取得できますか。
いいえ、セキュリティ ガバナンスは認可が成功したかどうかを監視しません。 ユーザーが財務と運用アプリを使用した後のサインイン活動を監視します。