ユーザーへのセキュリティ ロールの割り当て

  • [アーティクル]

セキュリティ ロールについて

  • セキュリティ ロールは、一連のアクセス レベルとアクセス許可により、データへのユーザーのアクセスを制御します。 特定のセキュリティ ロールに含まれるアクセス許可とアクセス レベルの組み合わせにより、ユーザーが表示できるデータとユーザーのデータ使用方法を制限します。
  • Dataverse には、既定のセキュリティ ロール セットが用意されています。 組織が必要とする場合、既定のセキュリティ ロールのいずれかを編集して新しい名前で保存することで、新しいセキュリティ ロールを作成できます。 定義済みのセキュリティ ロールを参照してください。
  • ユーザーに複数のセキュリティ ロールを割り当てることができます。 複数のセキュリティ ロールの影響は累積的です。これは、ユーザーに割り当てたすべてのセキュリティ ロールに関連付けらたアクセス許可をユーザーが持つことを意味します。
  • セキュリティ ロールは部署と関連付けられます。 部署が既に作成されている場合、部署内のユーザーは、部署に関連付けられたセキュリティ ロールのみを使用できます。 この機能を使用して、データへのアクセスを部署に属するデータのみに制限できます。
  • 部署全体でレコードの所有権を許可するを有効にしている場合、ユーザーが所属する部署に関係なく、さまざまな部署のセキュリティ ロールをユーザーに割り当てることができます。
  • ユーザーにセキュリティ ロールを割り当てるには、適切な権限が必要です (最小の権限は、セキュリティ ロール テーブルの読み取り割り当てです)。 セキュリティ ロール特権の昇格を防ぐために、セキュリティ ロールを割り当てている人は、割り当て者よりも多くの特権を持つセキュリティ ロールを他の人に割り当てることはできません。 たとえば、CSR マネージャーは別のユーザーをシステム管理者ロールに割り当てることはできません。 この特権の検証には、特権の深さレベルおよび事業単位で割り当て者が保持する各特権のチェックが含まれます。 たとえば、その事業単位から割り当てられた適切な特権レベルを持つセキュリティ ロールを保持していない場合、別の事業単位から別のユーザーにセキュリティ ロールを割り当てることはできません。

注意

既定では、システム管理者セキュリティ ロールには、システム管理者セキュリティ ロールの割り当てを含め、すべてのユーザーにセキュリティ ロールを割り当てるのに必要な権限すべてがあります。 システム管理者以外 にセキュリティ ロールの割り当てを許可する必要がある場合は、にリストされているすべての権限を持つカスタム セキュリティ ロールを作成することを検討してください。管理ユーザーを作成し、セキュリティ ロール権限の昇格を防ぎます。 カスタム セキュリティ ロールと、非システム管理者 が他のユーザーに割り当てることができるすべてのセキュリティ ロールを、非システム管理者に割り当てます。 このセキュリティ ロール要件は、システム管理者以外のユーザーが 所有者チームのチーム メンバーを管理 できるようにする場合にも必要です。

Microsoft Online Services 管理者ロールとセキュリティ ロールの違いの詳細については、ユーザーにアクセス権を付与する を参照してください。

チップ

次のビデオを確認します: Power Platform 管理センターでセキュリティ ロールを割り当てる

次の手順に従って、セキュリティ ロール を割り当てます。

  1. システム管理者として、Power Platform 管理センター にサインインします。

  2. 環境を選び、リストから環境を選択します。

  3. 設定を選択します。

  4. ユーザー + アクセス許可を選択してから、ユーザーを選択します。

  5. ユーザー ページで、ユーザーを選択して、セキュリティ ロールの管理を選択します。

    セキュリティ ロールを管理します。

  6. セキュリティ ロールを選択または選択解除します。 ユーザーにすでにロールが割り当てられている場合。 終わったら、保存を選択します。 保存した後、選択したすべてのロールが、現在ユーザーに割り当てられているロールになります。 選択されていないロールは割り当てられません。

    セキュリティ ロールの管理ページ。

部署全体でレコードの所有権を許可するを有効にしている場合、別の部署からセキュリティ ロールを選択できます。

重要

グループチーム のメンバーとして、直接または間接的に、すべてのユーザーに少なくとも 1 つのセキュリティ ロールを割り当てる必要があります。 このサービスでは、セキュリティ ロールを少なくとも 1 つ持つユーザーにしかアクセスを許可しません。

事業単位全体でレコードを所有するためのユーザー設定特権

部署全体でレコードの所有権を許可するを有効にした場合、ユーザーが他の部署のデータにアクセスするには、他の部署のセキュリティ ロールが直接割り当てられている必要があります。 また、ユーザー UI 設定を更新するためには、ユーザーのビジネスユニットから割り当てられた、以下の表の権限を持つセキュリティ ロールが必要となります。

  • アクション カードのユーザー設定
  • 保存されているビュー
  • ユーザー グラフ
  • ユーザー ダッシュボード
  • ユーザー エンティティのインスタンス データ
  • ユーザー エンティティの UI 設定
  • ユーザー アプリケーション メタデータ

Microsoft Dataverse データベースが 0 個または 1 個の環境でユーザーにセキュリティロールを割り当てるには、環境内のリソースにユーザーのセキュリティを設定する を参照してください。

(オプション) 管理者ロールの割り当て

各ロールに合わせて選択したユーザーに Microsoft Online Services の管理者ロールを割り当てることで、一部のユーザー間で Microsoft Online Services 環境の管理タスクを共有できます。 自分で作業できないときのために、グローバル管理者のロールを組織内の別の人に割当てることもできます。

Microsoft Online Services 環境には、さまざまなレベルの権限を持つ管理者ロールが 5 つあります。 例えば、パスワードリセット管理者のロールは、ユーザーのパスワードのみをリセットすることができます。ユーザー管理の管理者ロールは、ユーザーアカウントの追加、編集、削除に加えて、ユーザーのパスワードをリセットすることができます。 Microsoft Online Services 管理者ロールの詳細については、管理者ロールの割り当てを参照してください。

Note

Microsoft Online Services 環境の管理者ロールは、オンライン サービスのサブスクリプションの各側面の管理に対してのみ有効です。 これらのロールはサービス内のアクセス許可には影響しません。

ロールの自動割り当て

Dataverse にユーザーが追加されたとき、以下の基準に基づいてロールが自動的に割り当てられます:

  1. すべての Microsoft Entra ID 管理者 (テナント管理者,Power Platform 管理者、Dynamics 365 サービス管理者) は Dataverse でシステム管理者ロールを取得します。

    重要

    システム管理者ロールは、Microsoft Entra 管理者ロールが削除されても、自動的に削除されません。 ロールがシステムによって自動的に割り当てられたのか、管理者によって割り当てられたのかを追跡するメカニズムがないため、Microsoft Entra ロールが削除されたら、管理者がシステム管理者ロールを手動で削除することをお勧めします。

  2. 有効なライセンスを持つユーザーには、対応するマップされたロールが自動的に割り当てられます。 各ライセンスを削除すると、自動的にロールが削除されます。 ライセンス ベースの既定のロール管理は、次の種類の環境のユーザーには適用されません: Dataverse for Teams、試用版、および開発者。

  3. 既定の環境タイプでは、基本ユーザー環境作成者 のロールが、Dataverse に追加したすべてのユーザーに自動で割り当てられます。

  4. Dataverse データベースを使用する財務と運用のリンク環境では、財務と運用の Basic ユーザー セキュリティ ロールが、Dataverse のすべてのアクティブなユーザーに自動で割り当てられます。

ライセンスとロールのマッピング

環境で定義されている場合、ユーザーが Dataverse に追加されると、ユーザーに割り当てられたライセンスに応じて特定のロールが自動的にユーザーに割り当てられます。 環境でライセンスとロールのマッピングを表示するには、Power Platform 管理センターの "ライセンスとロールのマッピング" ページに移動します。

環境>[環境を選択する]>設定>ユーザー + アクセス許可>ライセンスとロールのマッピングに移動します。

参照

Dataverse でセキュリティロールを開始する