環境におけるユーザーのセキュリティ
Microsoft Dataverse は、ロールベースのセキュリティ モデルを使用して、環境内のデータベースとそのリソースへのアクセスを制御します。 セキュリティ ロールを使用して、環境内のすべてのリソースへのアクセス、または環境内の特定のアプリやデータへのアクセスを構成することができます。 セキュリティ ロールのアクセス レベルと権限の組み合わせにより、ユーザーがどのアプリやデータを閲覧できるか、またそれらのアプリやデータとどのようにやり取りできるかが決定されます。
環境は、ゼロか 1 つの Dataverse データベース を持つことができます。 Dataverse データベースのない環境 と Dataverse データベースのある環境 では異なるセキュリティロールを割り当てます。
定義済みのセキュリティ ロール
環境には、一般的なユーザー タスクを反映する事前定義されたセキュリティ ロールが含まれています。 定義済みのセキュリティ ロールは、セキュリティのベスト プラクティスである「必要最小限のアクセス」 (ユーザーがアプリを使用するために必要な最小限のビジネスデータへのアクセスを提供する) に従っています。 これらのセキュリティ ロールは、所有者チーム およびグループチーム ユーザーに割り当てることができます。 環境で使用できる定義済みのセキュリティ ロールは、環境の種類とインストールされているアプリによって異なります。
アプリケーション ユーザー に割り当てられているセキュリティ ロールの別のセットがあります。 これらのセキュリティ ロールは当社のサービスによってインストールされ、更新することはできません。
Dataverse データベースなしの環境
環境作成者と環境管理者は、Dataverse データベースを持たない環境に対して事前定義されている唯一のロールです。 これらのロールについては、次のテーブルで説明します。
| セキュリティ ロール | Description |
|---|---|
| 環境管理者 | 環境管理者ロールでは、環境に対して以下を含むすべての管理アクションを実行できます。
|
| 環境作成者 | Microsoft Power Automate を使用して、アプリ、つながり、カスタム API、フローなど、環境に関連付けられた新しいリソースを作成できます。 ただし、このロールには、環境内のデータにアクセスするための特権はありません。 また、環境の作成者は、環境内に構築したアプリを組織内の他のユーザーに配布 することができます。 また、個々のユーザー、セキュリティ グループ、または組織内のすべてのユーザーとアプリを共有できます。 |
Dataverse データベースを持つ環境
環境に Dataverse データベースがある場合、ユーザーには完全な管理者特権を付与するために、環境管理者ロールではなく、システム管理者ロールを割り当てる必要があります。
データベースに接続するアプリを作成し、エンティティとセキュリティ ロールを作成または更新する必要があるユーザーの場合は、環境作成者ロールに加えて、システム カスタマイザー ロールを割り当てる必要があります。 環境作成者ロールには、環境のデータに対する特権がありません。
次の表では、Dataverse データベースがある環境での事前定義されたセキュリティ ロールについて説明します。 これらのロールは編集できません。
| セキュリティ ロール | Description |
|---|---|
| アプリ オープナー | 一般的なタスクのための最小限の特権。 このロールは、主にモデル駆動型アプリの カスタム セキュリティロールを作成する ためのテンプレートとして使用されます。 Account、Contact、Activity などのコア ビジネス テーブルに対する権限はありません。 ただし、システムが提供するワークフローの読み取りをサポートするために、プロセス などのシステム テーブルへの 組織 レベルの読み取りアクセス権があります。 このセキュリティ ロールは、新しいカスタム セキュリティ ロールが作成された際に使用されます。 |
| Basic ユーザー | 既定のエンティティに限り、環境でアプリを実行し、所有するレコードの一般的なタスクを実行することができます。 アカウント、連絡先、アクティビティ、プロセスなどのコアビジネス テーブルに対する権限を持ちます。 注意: Common Data Service ユーザー セキュリティ ロールは、 ベーシック ユーザー と名称変更されます。 名前が変更されただけで、ユーザー権限と役割の割り当ては同じです。 Common Data Service ユーザー セキュリティ ロール のソリューションがある場合は、再度インポートする前にソリューションを更新する必要があります。 これをしない場合、ソリューションをインポートするときに セキュリティ ロール 名を誤って ユーザー に戻してしまう可能性があります。 |
| 代理人 | コードを 偽装可能 にするか、別のユーザーとして実行 します。 通常、レコードへのアクセスを許可するために別のセキュリティ ロールとともに使用されます。 |
| Dynamics 365 管理者 | Dynamics 365 管理 は、Microsoft Power Platform サービス管理ロールです。 このロールのユーザーは、システム管理者ロールに自己昇格した後、Microsoft Power Platform で管理機能を実行できます。 |
| 環境作成者 | Microsoft Power Automate を使用して、アプリ、つながり、カスタム API、フローなど、環境に関連付けられた新しいリソースを作成できます。 ただし、このロールには、環境内のデータにアクセスするための特権はありません。 また、環境の作成者は、環境内に構築したアプリを組織内の他のユーザーに配布 することができます。 また、個々のユーザー、セキュリティ グループ、または組織内のすべてのユーザーとアプリを共有できます。 |
| グローバル管理者 | グローバル管理者 は Microsoft 365 管理者ロールです。 Microsoft ビジネス サブスクリプションを購入するユーザーは、グローバル 管理者となり、サブスクリプション内の製品を無制限にコントロールし、ほとんどのデータにアクセスすることができます。 このロールのユーザーは、システム管理者ロールに 自己昇格 する必要があります。 |
| グローバル リーダー | グローバル閲覧者 ロールは、Power Platform 管理センターではサポートされていません。 |
| Office コラボレーター | これらのテーブルのレコードが組織と共有されているテーブルへの読み取り権限があります。 他のコア テーブル レコードやカスタム テーブル レコードにはアクセスできません。 この役割は、個々のユーザーではなく、Office コラボレーターの所有者チームに割り当てられます。 |
| Power Platform管理者 | Power Platform 管理者 は、Microsoft Power Platform サービス管理者ロールです。 このロールのユーザーは、システム管理者ロールに自己昇格した後、Microsoft Power Platform で管理機能を実行できます。 |
| 削除されたサービス | カスタム エンティティを含むすべてのエンティティに対する完全な削除権限があります。 この役割は、主にサービスで使用され、すべてのエンティティのレコードを削除する必要があります。 このロールをユーザーまたはチームに割り当てることはできません。 |
| サービス リーダー | カスタム エンティティを含む、すべてのエンティティに対する完全な読み取りアクセス許可が付与されます。 このロールは、主にサービスで使用され、すべてのエンティティを読み取る必要があります。 このロールをユーザーまたはチームに割り当てることはできません。 |
| サービス ライター | カスタム エンティティを含む、すべてのエンティティに対する完全な作成、読み取り、書き込みアクセス許可が付与されます。 このロールは、主にサービスで使用され、レコードの作成と更新が必要です。 このロールをユーザーまたはチームに割り当てることはできません。 |
| サポート ユーザー | サポート スタッフが環境構成の問題のトラブルシューティングを行うことができるように、カスタマイズおよびビジネス管理設定に対する完全な読み取りアクセス許可が付与されます。 このロールには、コア レコードへのアクセスがありません。 このロールをユーザーまたはチームに割り当てることはできません。 |
| システム管理者 | セキュリティ ロールの作成、変更、割り当てなど、環境を カスタマイズ または管理するための完全なアクセス許可が付与されます。 環境内のすべてのデータを表示できます。 |
| システムのカスタム担当者 | 環境をカスタマイズするための完全なアクセス許可 が付与されます。 環境内のすべてのカスタム テーブル データを表示できます。 ただし、このロールを持つユーザーは、アカウント テーブル、連絡先テーブル、活動テーブルで作成したレコードのみを表示できます。 |
| Web サイト アプリの所有者 | Azure ポータル で Web サイト アプリケーションの登録 を所有するユーザー。 |
| Web サイトの所有者 | Power Pages Web サイトを作成したユーザー。 このロールは管理されており、変更できません。 |
Dataverse で説明されている事前定義されたセキュリティ ロールに加え、使用している Power Platform コンポーネント (Power Apps、Power Automate、Microsoft Copilot Studio) によっては、使用中の環境で他のセキュリティ ロールを使用できる場合があります。 次のテーブルに詳細へのリンクを示します。
| Power Platform コンポーネント | 情報 |
|---|---|
| Power Apps | Dataverse データベースを備えた環境の事前定義されたセキュリティ ロール |
| Power Automate | セキュリティとプライバシー |
| Power Pages | Web サイト管理に必要なロール |
| Microsoft Copilot Studio | 環境セキュリティ ロールを割り当てる |
Dataverse for Teams 環境
Dataverse for Teams 環境における事前定義されたセキュリティ ロールについて詳しく説明します。
アプリ固有のセキュリティ ロール
Dynamics 365 アプリを環境に展開すると、他のセキュリティ ロールが追加されます。 次のテーブルに詳細へのリンクを示します。
| Dynamics 365 アプリ | セキュリティ ロール ドキュメント |
|---|---|
| Dynamics 365 の販売 | Sales の定義済みセキュリティ ロール |
| Dynamics 365 Marketing | Dynamics 365 Marketing によって追加されたセキュリティ ロール |
| Dynamics 365 Field Service | Dynamics 365 Field Service ロール + 定義 |
| Dynamics 365 Customer Service | Customer Service 用オムニチャネルのロール |
| Dynamics 365 Customer Insights | Customer Insights ロール |
| アプリ プロファイル マネージャー | アプリ プロファイル マネージャーに関連付けられているロールと権限 |
| Dynamics 365 Finance | 公的機関のセキュリティ ロール |
| 財務と運用アプリ | Microsoft Power Platform のセキュリティロール |
事前定義されたセキュリティ ロールに使用できるリソースの概要
次の表は、各セキュリティ ロールが作成できるリソースを示しています。
| リソース | 環境作成者 | 環境管理者 | システムのカスタム担当者 | システム管理者 |
|---|---|---|---|---|
| キャンバス アプリ | X | X | X | X |
| クラウド フロー | X (ソリューション非対応) | X | X | X |
| Connector | X (ソリューション非対応) | X | X | X |
| 接続* | X | X | X | X |
| データ ゲートウェイ | - | X | - | X |
| データフロー | X | X | X | X |
| Dataverse テーブル | - | - | X | X |
| モデル駆動型アプリ | X | - | X | X |
| ソリューション フレームワーク | X | - | X | X |
| デスクトップ フロー** | - | - | X | X |
| AI Builder | - | - | X | X |
*接続は キャンバス アプリ と Power Automateで使用されます。
**Dataverse for Teams ユーザーは、既定ではデスクトップ フローにアクセスできません。 デスクトップ フローを使用するためには、環境を Dataverse 完全版にアップグレードし、デスクトップ フロー ライセンス プラン を取得する必要があります。