環境内でのユーザー セキュリティの構成
Microsoft Dataverse は、ロールベースのセキュリティ モデルを使用して、環境内のデータベースとそのリソースへのアクセスを制御します。 セキュリティ ロールを使用して、環境内のすべてのリソースへのアクセス、または環境内の特定のアプリやデータへのアクセスを構成することができます。 セキュリティ ロールのアクセス レベルと権限の組み合わせにより、ユーザーがどのアプリやデータを閲覧できるか、またそれらのアプリやデータとどのようにやり取りできるかが決定されます。
環境は、ゼロか 1 つの Dataverse データベース を持つことができます。 Dataverse データベースのない環境 と Dataverse データベースのある環境 では異なるセキュリティロールを割り当てます。
環境には、一般的なユーザー タスクを反映する事前定義されたセキュリティ ロールが含まれています。 定義済みのセキュリティ ロールは、セキュリティのベスト プラクティスである「必要最小限のアクセス」 (ユーザーがアプリを使用するために必要な最小限のビジネスデータへのアクセスを提供する) に従っています。 これらのセキュリティ ロールは、所有者チーム およびグループチーム ユーザーに割り当てることができます。 環境で使用できる事前定義されたセキュリティ ロールは、環境の種類と環境にインストールされているアプリによって異なります。
アプリケーション ユーザー に割り当てられているセキュリティ ロールの別のセットがあります。 これらのセキュリティ ロールは当社のサービスによってインストールされ、更新することはできません。
環境作成者と環境管理者は、Dataverse データベースを持たない環境に対して事前定義されている唯一のロールです。 これらのロールについては、次のテーブルで説明します。
セキュリティ ロール | Description |
---|---|
環境管理者 | 環境管理者ロールでは、環境に対して以下を含むすべての管理アクションを実行できます。
|
環境作成者 | Microsoft Power Automate を使用して、アプリ、つながり、カスタム API、フローなど、環境に関連付けられた新しいリソースを作成できます。 ただし、このロールには、環境内のデータにアクセスするための特権はありません。 また、環境の作成者は、環境内に構築したアプリを組織内の他のユーザーに配布 することができます。 また、個々のユーザー、セキュリティ グループ、または組織内のすべてのユーザーとアプリを共有できます。 |
環境に Dataverse データベースがある場合、ユーザーには完全な管理者特権を付与するために、環境管理者ロールではなく、システム管理者ロールを割り当てる必要があります。
データベースに接続するアプリを作成し、エンティティとセキュリティ ロールを作成または更新する必要があるユーザーの場合は、環境作成者ロールに加えて、システム カスタマイザー ロールを割り当てる必要があります。 環境作成者ロールには、環境のデータに対する特権がありません。
次の表では、Dataverse データベースがある環境での事前定義されたセキュリティ ロールについて説明します。 これらのロールは編集できません。
セキュリティ ロール | Description |
---|---|
アプリ オープナー | 一般的なタスクのための最小限の特権。 このロールは、主にモデル駆動型アプリの カスタム セキュリティロールを作成する ためのテンプレートとして使用されます。 Account、Contact、Activity などのコア ビジネス テーブルに対する権限はありません。 ただし、システムが提供するワークフローの読み取りをサポートするために、プロセス などのシステム テーブルへの 組織 レベルの読み取りアクセス権があります。 このセキュリティ ロールは 新しいカスタム セキュリティ ロールが作成されるときに使用されることにご注意ください。 |
Basic ユーザー | 既定のエンティティに限り、環境でアプリを実行し、所有するレコードの一般的なタスクを実行することができます。 アカウント、連絡先、アクティビティ、プロセスなどのコアビジネス テーブルに対する権限を持ちます。 注意: Common Data Service ユーザー セキュリティ ロールは、 ベーシック ユーザー と名称変更されます。 名前が変更されただけで、ユーザー権限と役割の割り当ては同じです。 Common Data Service ユーザー セキュリティ ロール のソリューションがある場合は、再度インポートする前にソリューションを更新する必要があります。 これをしない場合、ソリューションをインポートするときに セキュリティ ロール 名を誤って ユーザー に戻してしまう可能性があります。 |
代理人 | コードを 偽装可能 にするか、別のユーザーとして実行 します。 通常、レコードへのアクセスを許可するために別のセキュリティ ロールとともに使用されます。 |
Dynamics 365 管理者 | Dynamics 365 管理 は、Microsoft Power Platform サービス管理ロールです。 このロールのユーザーは、システム管理者ロールに自己昇格した後、Microsoft Power Platform で管理機能を実行できます。 |
環境作成者 | Microsoft Power Automate を使用して、アプリ、つながり、カスタム API、フローなど、環境に関連付けられた新しいリソースを作成できます。 ただし、このロールには、環境内のデータにアクセスするための特権はありません。 また、環境の作成者は、環境内に構築したアプリを組織内の他のユーザーに配布 することができます。 また、個々のユーザー、セキュリティ グループ、または組織内のすべてのユーザーとアプリを共有できます。 |
グローバル管理者 | グローバル管理者 は Microsoft 365 管理者ロールです。 Microsoft ビジネス サブスクリプションを購入するユーザーは、グローバル 管理者となり、サブスクリプション内の製品を無制限にコントロールし、ほとんどのデータにアクセスすることができます。 このロールのユーザーは、システム管理者ロールに 自己昇格 する必要があります。 |
グローバル リーダー | グローバル閲覧者 ロールは、Power Platform 管理センターではサポートされていません。 |
Office コラボレーター | これらのテーブルのレコードが組織と共有されているテーブルへの読み取り権限があります。 他のコア テーブル レコードやカスタム テーブル レコードにはアクセスできません。 この役割は、個々のユーザーではなく、Office コラボレーターの所有者チームに割り当てられます。 |
Power Platform管理者 | Power Platform 管理者 は、Microsoft Power Platform サービス管理者ロールです。 このロールのユーザーは、システム管理者ロールに自己昇格した後、Microsoft Power Platform で管理機能を実行できます。 |
削除されたサービス | カスタム エンティティを含むすべてのエンティティに対する完全な削除権限があります。 この役割は、主にサービスで使用され、すべてのエンティティのレコードを削除する必要があります。 このロールをユーザーまたはチームに割り当てることはできません。 |
サービス リーダー | カスタム エンティティを含む、すべてのエンティティに対する完全な読み取りアクセス許可が付与されます。 このロールは、主にサービスで使用され、すべてのエンティティを読み取る必要があります。 このロールをユーザーまたはチームに割り当てることはできません。 |
サービス ライター | カスタム エンティティを含む、すべてのエンティティに対する完全な作成、読み取り、書き込みアクセス許可が付与されます。 このロールは、主にサービスで使用され、レコードの作成と更新が必要です。 このロールをユーザーまたはチームに割り当てることはできません。 |
サポート ユーザー | サポート スタッフが環境構成の問題のトラブルシューティングを行うことができるように、カスタマイズおよびビジネス管理設定に対する完全な読み取りアクセス許可が付与されます。 このロールには、コア レコードへのアクセスがありません。 このロールをユーザーまたはチームに割り当てることはできません。 |
システム管理者 | セキュリティ ロールの作成、変更、割り当てなど、環境を カスタマイズ または管理するための完全なアクセス許可が付与されます。 環境内のすべてのデータを表示できます。 |
システムのカスタム担当者 | 環境をカスタマイズするための完全なアクセス許可 が付与されます。 環境内のすべてのカスタム テーブル データを表示できます。 ただし、このロールを持つユーザーは、アカウント テーブル、連絡先テーブル、活動テーブルで作成したレコードのみを表示できます。 |
Web サイト アプリの所有者 | Azure ポータル で Web サイト アプリケーションの登録 を所有するユーザー。 |
Web サイトの所有者 | Power Pages Web サイトを作成したユーザー。 このロールは管理されており、変更できません。 |
Dataverse で説明されている事前定義されたセキュリティ ロールに加え、使用している Power Platform コンポーネント (Power Apps、Power Automate、Microsoft Copilot Studio) によっては、使用中の環境で他のセキュリティ ロールを使用できる場合があります。 次のテーブルに詳細へのリンクを示します。
Power Platform コンポーネント | 情報 |
---|---|
Power Apps | Dataverse データベースを備えた環境の事前定義されたセキュリティ ロール |
Power Automate | セキュリティとプライバシー |
Power Pages | Web サイト管理に必要なロール |
Microsoft Copilot Studio | 環境セキュリティ ロールを割り当てる |
Dataverse for Teams 環境における事前定義されたセキュリティ ロールについて詳しく説明します。
Dynamics 365 アプリを環境に展開すると、他のセキュリティ ロールが追加されます。 次のテーブルに詳細へのリンクを示します。
Dynamics 365 アプリ | セキュリティ ロール ドキュメント |
---|---|
Dynamics 365 の販売 | Sales の定義済みセキュリティ ロール |
Dynamics 365 Marketing | Dynamics 365 Marketing によって追加されたセキュリティ ロール |
Dynamics 365 Field Service | Dynamics 365 Field Service ロール + 定義 |
Dynamics 365 Customer Service | Customer Service 用オムニチャネルのロール |
Dynamics 365 Customer Insights | Customer Insights ロール |
アプリ プロファイル マネージャー | アプリ プロファイル マネージャーに関連付けられているロールと権限 |
Dynamics 365 Finance | 公的機関のセキュリティ ロール |
財務と運用アプリ | Microsoft Power Platform のセキュリティロール |
次の表は、各セキュリティ ロールが作成できるリソースを示しています。
リソース | 環境作成者 | 環境管理者 | システムのカスタム担当者 | システム管理者 |
---|---|---|---|---|
キャンバス アプリ | X | X | X | X |
クラウド フロー | X (ソリューション非対応) | X | X | X |
Connector | X (ソリューション非対応) | X | X | X |
接続* | X | X | X | X |
データ ゲートウェイ | - | X | - | X |
データフロー | X | X | X | X |
Dataverse テーブル | - | - | X | X |
モデル駆動型アプリ | X | - | X | X |
ソリューション フレームワーク | X | - | X | X |
デスクトップ フロー** | - | - | X | X |
AI Builder | - | - | X | X |
*接続は キャンバス アプリ と Power Automateで使用されます。
**Dataverse for Teams ユーザーは、既定ではデスクトップ フローにアクセスできません。 デスクトップ フローを使用するためには、環境を Dataverse 完全版にアップグレードし、デスクトップ フロー ライセンス プラン を取得する必要があります。
Dataverse データベースのない環境の場合、環境内で環境管理者ロールを持つユーザーは、Microsoft Entra ID から個々のユーザーまたはグループにセキュリティ ロールを割り当てることができます。
Power Platform 管理センターにサインインします。
環境> [環境の選択] を選択します。
アクセス タイルの環境管理者または環境作成者ですべて表示を選択して、どちらかのロールのユーザーを追加または削除します。
ユーザーの追加 を選択し、Microsoft Entra ID の 1 人以上のユーザーまたはグループの名前またはメール アドレスを指定します。
追加を選択します。
セキュリティ ロールは、個々のユーザーに加えて、所有者チーム とMicrosoft Entra グループ チーム に割り当てることができます。 ユーザーに役割を割り当てる前に、そのユーザーのアカウントが環境に追加され、有効になっていることを確認 します。
一般的に、セキュリティ ロールは、環境内で有効となっているユーザーにのみ割り当てることができます。 環境で無効になっているユーザーアカウントにセキュリティロールを割り当てるには、OrgDBOrgSettings で allowRoleAssignmentOnDisabledUsers をオンにします。
Power Platform 管理センターにサインインします。
環境> [環境の選択] を選択します。
アクセス タイルで、セキュリティ ロールの下のすべて表示を選択します。
リストで適切な部署が選択されていることを確認し、環境内の役割のリストから役割を選択します。
ユーザーの追加 を選択し、Microsoft Entra ID の 1 人以上のユーザーまたはグループの名前またはメール アドレスを指定します。
追加を選択します。
セキュリティ ロール を簡単に作成、編集、またはコピーして、ニーズに合わせてカスタマイズできます。
Power Platform 管理センター で、左側のペインで 環境 を選択し、環境を選択します。
設定を選択します。
ユーザー + アクセス許可 を展開します。
セキュリティ ロールを選択します。
適切なタスクを完了させます:
コマンド バーから 新規ロール を選択します。
ロールの名 フィールドに、新規ロールの名称を入力します。
部署 フィールドで、ロールが所属する部署を選択します。
チームメンバーが役割を継承するかどうかを選択します。
この設定が有効で、ロールがチームに割り当てられている場合、すべてのチーム メンバーがロールに関連付けられているすべての権限を継承します。
保存 を選びます。
ロール名を選択するか、行を選択して 編集 を選択します。次に、セキュリティロールの権限とプロパティを定義 します。
一部の事前定義の セキュリティ ロールは編集できません。 これらの役割を編集する場合は、保存 と 保存 + 閉じる ボタンは使用できません。
セキュリティ ロールを選択し、コピー を選択します。 役割に新しい名前を付けます。 必要に応じて、セキュリティ ロールを編集 します。
権限のみがコピーされ、割り当てられたメンバーやチームはコピーされません。
セキュリティ ロールを監査して、Power Platform 環境でセキュリティ ロールに加えられた変更をよりよく理解できます。
アプリでユーザー定義エンティティを使用する場合、アプリを使用するには、その特権をセキュリティ ロールで明示的に付与する必要があります。 既存のセキュリティ ロールの特権を追加するか、またはユーザー定義のセキュリティ ロールを作成できます。
すべてのセキュリティ ロールを使用するには、最小限の権限セット を含める必要があります。 セキュリティ ロールと特権の詳細。
ヒント
環境では、複数のアプリで使用できるレコードが維持される場合があります。 異なる権限を付与する複数のセキュリティ ロールが必要になる場合があります。 例:
- 一部のユーザー (編集者) は読み取り、更新、他のレコードの添付だけが必要なため、このセキュリティ ロールでは読み取り、書き込み、追加の権限を持っています。
- その他ユーザーは、編集者ユーザーが持つすべての権限に加えて、作成、追加、削除、共有の機能を必要とする場合があります。 したがって、セキュリティ ロールには、作成、読み取り、書き込み、追加、削除、割り当て、追加先、共有の権限が含まれます。
Power Platform 管理センター にサインインし、左側のペインで 環境 を選択し、環境を選択します。
設定>ユーザー + 権限>セキュリティ ロールを選択します。
アプリ オープナー を選択し、コピー を選択します。
カスタム ロールの名前を入力し、コピー を選択します。
セキュリティ ロールのリストで、新しいロールを選択し、その他のアクション (…) >編集 を選択します。
ロール エディターで、カスタム エンティティ タブを選択します。
リストでカスタム テーブルを検索し、読取り、書き込み追加 権限を選択します。
保存して閉じる を選択します。
Power Platform 管理センター にサインインし、左側のペインで 環境 を選択し、環境を選択します。
設定>ユーザー + 権限>セキュリティ ロールを選択します。
新しいロールを選択します。
詳細 タブに新しいロールの名前を入力します。
他のタブでエンティティを見つけて、アクションとそれらを実行するスコープを選択します。
タブを選択して、ご利用のエンティティを探します。 たとえば、カスタム エンティティタブを選択し、カスタム エンティティに権限を設定します。
特権の 読み取り、書き込み、追加 を選択します。
保存して閉じるを選択します。
カスタム セキュリティ ロールを作成する場合、そのロールには、ユーザーがアプリを実行するための最小限の特権のセットが必要です。 最小限の特権についての詳細情報。
ユーザーにアクセス権を付与する
環境へのユーザー アクセスのコントロール: セキュリティ グループおよびライセンス
レコードへのアクセスの決定方法