環境のリソースに対するユーザー セキュリティの構成

Microsoft Dataverse は、ロールベースのセキュリティ モデルを使用して、データベースへの安全なアクセスを支援します。 この記事では、環境のリソースのセキュリティ保護に必要なセキュリティ アーティファクトを作成する方法を説明します。 セキュリティ ロールを使用して、環境内のすべてのリソースへの環境全体のアクセスを構成したり、環境内の特定のアプリやデータへのアクセスを構成したりできます。 セキュリティ ロールは、一連のアクセス レベルとアクセス許可を使用して、環境のリソースへのアクセスを制御します。 特定のセキュリティ ロールに含まれるアクセス レベルとアクセス許可の組み合わせにより、ユーザーが表示できるアプリとデータ、ユーザーのデータ使用方法を制御します。

環境は、0 か 1 つの Dataverse データベース を持つことができます。 データベースに Dataverse がない環境のセキュリティ ロールの割り当てのプロセスは、データベースに Dataverse がある環境のそれとは異なります。

定義済みのセキュリティ ロール

環境には、定義済みのセキュリティ ロールが用意されています。これらのセキュリティ ロールは、一般的なユーザー タスクを反映し、アプリの使用に必要な最小限の業務データへのアクセスを許可する、というセキュリティのベスト プラクティスの目的に沿うようにアクセス レベルが定義されています。

これらのセキュリティ ロールは、所有者チーム およびグループチーム ユーザーに割り当てることができます。

アプリケーション ユーザー に割り当てられているセキュリティ ロールの別のセットがあります。 これらのセキュリティ ロールは当社のサービスによってインストールされ、更新することはできません。

環境で使用できる事前定義されたセキュリティ ロールは、環境の種類によって異なります。

Dataverse データベースなしの環境

環境作成者と環境管理者は、Dataverse データベースを持たない環境に対して事前定義されている唯一のロールです。 これらのロールは、次のテーブルで定義されています。

セキュリティ ロール データベース特権* 説明
環境管理者 作成、読み取り、書き込み、削除、カスタマイズ、セキュリティ ロール 環境管理者ロールは、環境に対して次のことを含むすべての管理アクションを実行できます。
  • 環境管理者ロールまたは環境作成者ロールでユーザーを追加や削除します。
  • 環境用の Dataverse データベースをプロビジョニングします。 データベースをプロビジョニングした後は、環境のデータへのアクセスを許可するように、環境管理者にシステムのカスタム担当者のロールも割り当てる必要があります。
  • 環境内に作成されたすべてのリソースを表示および管理します。
  • データ損失防止ポリシーを設定する。 詳細: データ損失防止ポリシー
環境作成者 カスタマイズ Microsoft Power Automate を使用して、アプリ、つながり、カスタム API、ゲートウェイ、フローなど、環境に関連付けられた新しいリソースを作成できます。 ただし、このロールには、環境内のデータにアクセスするための特権はありません。 詳細情報: 環境の概要

環境作成者は、環境内に作成したアプリを、組織内の他のユーザーに配布することもできます。 また、個々のユーザー、セキュリティ グループ、または組織内のすべてのユーザーとアプリを共有できます。 詳細情報: Power Apps でのアプリの共有
  • 特に指定されていない限り、特権のスコープはグローバルです。

Dataverse データベースを持つ環境

環境が Dataverse データベースを持つ場合は、次のテーブルで説明したように、完全な管理者特権の環境管理者ロールではなく、システム管理者ロールが割り当てられていなければなりません。

データベースに接続するアプリを作成し、エンティティとセキュリティ ロールを作成または更新する必要があるユーザーの場合は、環境作成者ロールに加えて、システム カスタマイザー ロールを割り当てる必要があります。 環境作成者ロールには、環境のデータに対する特権がないため、この手順を行う必要があります。

セキュリティ ロール データベース特権* 内容
環境作成者 カスタマイズ Microsoft Power Automate を使用して、アプリ、つながり、カスタム API、ゲートウェイ、フローなど、環境に関連付けられた新しいリソースを作成できます。 ただし、このロールには、環境内のデータにアクセスするための特権はありません。 詳細情報: 環境の概要

環境作成者は、環境内に作成したアプリを、組織内の他のユーザーに配布することもできます。 また、個々のユーザー、セキュリティ グループ、または組織内のすべてのユーザーとアプリを共有できます。 詳細情報: Power Apps でのアプリの共有
システム管理者 作成、読み取り、書き込み、削除、カスタマイズ、セキュリティ ロール セキュリティ ロールの作成、変更、割り当てなど、環境をカスタマイズまたは管理するための完全なアクセス許可が付与されます。 環境内のすべてのデータを表示できます。 詳細情報: カスタマイズに必要な権限
システムのカスタム担当者 作成 (本人)、読み取り (本人)、書き込み (本人)、削除 (本人)、カスタマイズ 環境をカスタマイズするための完全なアクセス許可が付与されます。 ただし、このロールを持つユーザーは、自身が作成した環境エンティティのレコードのみ表示できます。 詳細情報: カスタマイズに必要な権限
Basic ユーザー 読み取り (本人)、作成 (本人)、書き込み (本人)、削除 (本人) 環境内でアプリを実行して、自分が所有するレコードに対して一般的なタスクを実行できます。 これは、ユーザー定義以外のエンティティにのみ適用されることに注意してください。 詳細: ユーザー定義セキュリティ ロールの作成または編集

注意: Common Data Service ユーザー セキュリティ ロールは Basic ユーザーに名前が変更されました。 アクションは必要ありません。これは名前が変更されただけであり、ユーザー権限や役割の割り当てには影響しません。 Common Data Service のユーザー セキュリティ ロールを持つソリューションを持っている場合、ソリューションをインポートする際に、誤ってセキュリティ ロール名を Common Data Service ユーザーに戻してしまうように更新してしまう可能性があります。 再インポートする前に、ソリューションを更新してください。
サービス リーダー 既読 カスタム エンティティを含むすべてのエンティティに対する完全な読み取り権限があります。 これは主に、すべてのエンティティを読み取る必要があるバックエンド サービスによって使用されます。
サービス ライター 作成、読み取り、書き込み カスタム エンティティを含むすべてのエンティティに対する完全な作成、読み取り、および書き込み権限があります。 これは主に、レコードを作成および更新する必要があるバックエンド サービスによって使用されます。
代理人 別のユーザーに代わって実行します コードを 偽装可能 にするか、別のユーザーとして実行します。 通常、レコードへのアクセスを許可するために別のセキュリティ ロールとともに使用されます。 詳細情報: 他のユーザーを偽装する
サポート ユーザー カスタマイズの読み取り、ビジネス管理設定の読み取り サポート スタッフが環境構成の問題のトラブルシューティングを行うことができるように、カスタマイズおよびビジネス管理設定に対する完全な読み取りアクセス許可が付与されます。 コア レコードへのアクセスがありません。
Office コラボレーター 読む (自己) これらのテーブルのレコードが組織と共有されているテーブルへの読み取り権限があります。 他のコアおよびカスタム テーブル レコードにはアクセスできません。 この役割は、個々のユーザーではなく、Office コラボレーターの所有者チームに割り当てられます。
グローバル リーダー Power Platform 管理センターで、グローバル リーダー ロールはまだサポートされていません。
  • 特に指定されていない限り、特権のスコープはグローバルです。

Dataverse に事前定義された上記のセキュリティ ロールに加えて、使用している Power Platform コンポーネント (Power Apps、Power Automate、Power Virtual Agents) によっては、使用中の環境で他のセキュリティ ロールを使用できる場合があります。

Power Platform コンポーネント 情報
Power Apps Dataverse データベースを備えた環境の事前定義されたセキュリティ ロール
Power Automate セキュリティとプライバシー
Power Virtual Agents 環境セキュリティ ロールを割り当てる

Dataverse for Teams 環境

Dataverse for Teams 環境セキュリティ ロールの詳細については、Dataverse for Teams 環境へのユーザー アクセスをご覧ください。

アプリ固有のセキュリティ ロール

Dynamics 365 Sales や Dynamics 365 Field Service などの Dynamics 365 アプリを環境で展開すると、これらのアプリを展開した結果、追加のセキュリティ ロールが追加されます。 これらの追加セキュリティ ロールについては、それぞれのアプリのドキュメントを参照してください:

Dynamics 365 アプリ セキュリティ ロール ドキュメント
Dynamics 365 Sales Sales の定義済みセキュリティ ロール
Dynamics 365 Marketing Dynamics 365 Marketing によって追加されたセキュリティ ロール
Dynamics 365 Field Service Dynamics 365 Field Service ロール + 定義
Dynamics 365 Customer Service Customer Service 用オムニチャネルのロール
Dynamics 365 Customer Insights Customer Insights ロール
アプリ プロファイル マネージャー アプリ プロファイル マネージャーに関連付けられているロールと権限
Dynamics 365 Finance 公的機関のセキュリティ ロール
財務と運用アプリ Microsoft Power Platform のセキュリティロール

事前定義されたセキュリティ ロールに使用できるリソースの概要

次の表は、各セキュリティ ロールが作成できるリソースを示しています。

リソース 環境作成者 環境管理者 システムのカスタム担当者 システム管理者
キャンバス アプリ X X X X
クラウド フロー X (ソリューション非対応) X X (ソリューション対応) X
コネクタ X X - X
つながり X X - X
データ ゲートウェイ X X - X
データフロー X X - X
Dataverse テーブル - - X X
モデル駆動型アプリ X - X X
ソリューション フレームワーク X - X X
* デスクトップ フロー - - X X
AI Builder - - X X

*Dataverse for Teams ユーザーは既定ではデスクトップ フローにアクセスできません。 デスクトップ フローを使用するためには、環境を Dataverse 完全版にアップグレードし、デスクトップ フロー ライセンス プラン を取得する必要があります。

Dataverse データベースがない環境でユーザーにセキュリティ ロールを割り当てる

Dataverse データベースがない環境の場合、Azure AD から個々のユーザーまたはグループにセキュリティ ロールを割り当てることができます。 環境で環境管理者のロールを持つユーザーは、これらの手順を実行できます。

  1. Power Platform 管理センター にサインインします。

  2. 環境 > [環境を選択する] を選択します。

  3. アクセス タイルの 環境管理者 または 環境作成者すべて表示 を選択して、どちらかのロールのユーザーを追加または削除します。

    ロールを選択します。

  4. ユーザーの追加 を選択し、このロールを割り当てる Azure AD の 1 人以上のユーザーまたはグループの名前または電子メール アドレスを指定します。

    アクションを選択します。

Dataverse データベースが存在する環境のユーザーにセキュリティ ロールを割り当てる

セキュリティ ロールは、個々のユーザーに加えて、所有者チーム と Azure AD グループ チーム に割り当てることができます。 ユーザーにロールを割り当てる前に、ユーザーが環境内にステータスが有効で存在することを確認します。 ユーザーにロールを割り当てる前に、ユーザーを環境に追加 または ステータスを修正して有効 にします。 ユーザーを追加するプロセスの一部として、ロールを割り当てることができます。

一般に、セキュリティ ロールは、ステータスが有効となっているユーザーにのみ割り当てることができます。 状態が無効となっているユーザーにセキュリティ ロールを割り当てる必要がある場合は、OrgDBOrgSettings の allowRoleAssignmentOnDisabledUsers を有効化してください。

セキュリティ ロールを所有者チーム、グループ チーム、または環境が有効となっているユーザーに追加するには:

  1. Power Platform 管理センター にサインインします。

  2. 環境 > [環境を選択する] を選択します。

  3. アクセス タイルで、セキュリティ ロールの すべて表示 を選択します。

    セキュリティ ロールをすべて表示します。

  4. ドロップダウンから適切な部署が選択されていることを確認し、環境内のロールの一覧からロールを選択します。

    部署を選択します。

  5. ユーザーの追加 を選択して、ユーザー、所有者チーム、またはグループ チームをロールに追加します。 ロールを割り当てるユーザーまたはチームが見つからない場合は、ロールを割り当てる前に、ユーザーまたはチームが環境に存在し、ユーザーのステータスが有効であることを確認してください。

    ユーザーを追加します。

ユーザー定義セキュリティ ロールの作成または構成

アプリでユーザー定義エンティティを使用する場合、アプリを使用するには、その特権をセキュリティ ロールで明示的に付与する必要があります。 既存のセキュリティ ロールの特権を追加するか、またはユーザー定義のセキュリティ ロールを作成できます。

注意

すべてのセキュリティ ロールを使用するには、最小限の権限セットを含める必要があります。 これらの制限については、この記事の後半で説明します。

ヒント

複数のアプリが使用するレコードを環境で維持している場合、異なる権限でデータにアクセスできるように複数のセキュリティ ロールが必要となる場合があります。 たとえば、次のようなものです。

  • 一部のユーザー (タイプ A) は読み取り、更新、他のレコードの添付だけが必要なため、このセキュリティ ロールでは読み取り、書き込み、追加の権限を持っています。
  • その他ユーザーは、タイプ A のユーザーが持つすべての権限に加えて、作成、追加、削除、共有の機能を必要とする場合があります。 したがって、セキュリティ ロールには、作成、読み取り、書き込み、追加、削除、割り当て、追加先、共有の権限が含まれます。

アクセス権とスコープ権限の詳細については、 セキュリティ ロールと権限 を参照してください。

  1. Power Platform 管理センターにサインインし、セキュリティ ロールを更新する環境を選択します。

  2. 環境の URL を選択します。

    環境の URL を選択します。

  3. 公開済みのアプリとタイルが表示されたら、右上隅の歯車アイコン (設定。) を選択し、詳細設定 を選択します。

  4. メニュー バーで、設定 > セキュリティ を選択します。

    設定 > セキュリティを選択します。

  5. セキュリティ ロール を選択します。

    セキュリティ ロールを選択します。

  6. 新規 をクリックします。

  7. セキュリティ ロールデザイナーから、詳細 タブのロール名を入力します。他のタブからは、アクションとそのアクションを実行するスコープを選択します。

  8. タブを選択して、ご利用のエンティティを探します。 たとえば、カスタム エンティティ タブを選択し、カスタム エンティティに権限を設定します。

  9. 特権の 読み取り、書き込み、追加 を選択します。

  10. 保存して閉じる を選択します。

アプリの実行に必要となる最低限の権限

ユーザー定義のセキュリティ ロールを作成する場合、ユーザーがアプリを実行できるように、セキュリティ ロールに最小限の特権セットを含める必要があります。 必要最小限の権限を含むセキュリティ ロールを提供する、インポート可能なソリューションを作成しました。

ダウンロード センターからソリューションのダウンロードを開始する: Dataverse セキュリティ役割における最小限の権限.

続いて、次の指示に従ってソリューションをインポートします : ソリューションのインポート

ソリューションをインポートすると、コピーできる 最低限の pro アプリの使用 ロールが作成されます (参照先: ロールのコピーでセキュリティ ロールを作成する)。 コピー ロールのプロセスが完了すると、—コア レコード事業部管理カスタマイズ などのタブに移動して、—適切な権限を設定します。

重要

運用環境にインポートする前に、開発環境でソリューションを試してください。

関連項目

ユーザーにアクセス権を付与する
環境へのユーザー アクセスのコントロール: セキュリティ グループおよびライセンス
レコードへのアクセスの決定方法

注意

ドキュメントの言語設定についてお聞かせください。 簡単な調査を行います。 (この調査は英語です)

この調査には約 7 分かかります。 個人データは収集されません (プライバシー ステートメント)。