Microsoft Dataverse は、ロールベースのセキュリティ モデルを使用して、環境内のデータベースとそのリソースへのアクセスを制御します。 セキュリティ ロールを使用して、環境内のすべてのリソースへのアクセス、または環境内の特定のアプリやデータへのアクセスを構成することができます。 セキュリティ ロールのアクセス レベルと権限の組み合わせにより、ユーザーがどのアプリやデータを閲覧できるか、またそれらのアプリやデータとどのようにやり取りできるかが決定されます。
環境は、ゼロか 1 つの Dataverse データベース を持つことができます。 Dataverse データベースのない環境 と Dataverse データベースのある環境 では異なるセキュリティロールを割り当てます。
ロールの種類について
Microsoft Power Platformでは、さまざまなスコープでさまざまな種類のロールが使用されます。 区別を理解することは、特定のシナリオに割り当てるロールを特定するのに役立ちます。
| ロールの種類 | Examples | Scope | 一般的な用途 |
|---|---|---|---|
| テナントレベルの管理者ロール | Power Platform 管理者、Dynamics 365 管理者、グローバル管理者 | テナント全体 (すべての環境) | 組織全体の環境、ポリシー、プラットフォーム設定を管理します。 Microsoft 365 管理センターで割り当てられます。 |
| 環境レベルのロール | 環境管理者、環境作成者 | 単一環境 (Dataverse なし) | Dataverse データベースを持たない環境で、アプリ、フロー、接続などのリソースを作成および管理します。 |
| Dataverse セキュリティ ロール | システム管理者、システム カスタマイザー、基本ユーザー | 単一環境 (Dataverse を使用) | Dataverse データベースを持つ環境内の Dataverse テーブル、アプリ、およびデータへのアクセスを制御します。 |
| アプリ固有のロール | Dynamics 365 Sales ロール、カスタマー サービス ロール | 単一環境 (Dataverse を使用) | 特定のDynamics 365または Power Platform アプリの機能へのアクセスを提供します。 |
Important
Power Platform administrator、Dynamics 365 administrator などのテナント レベルの管理者ロールは、Microsoft 365 管理センターに割り当てられ、環境間で管理アクセス権を付与します。 ただし、これらのロールは Dataverse データ アクセスを自動的に付与しません。 Dataverse 環境でデータを操作するには、テナント管理者にも、その特定の環境で システム管理者 Dataverse セキュリティ ロールを割り当てる必要があります。 詳細については、「 サービス管理者ロールを使用してテナントを管理する」を参照してください。
この記事では、組み込みのロールと、それらがさまざまな環境の種類にどのように適用されるかを理解します。 ロールを割り当てるには、「 環境でのユーザー セキュリティの構成」を参照してください。 ユーザーがアクセス エラーを発生した場合は、「 ユーザー アクセスの問題のトラブルシューティング」を参照してください。
定義済みのセキュリティ ロール
環境には、一般的なユーザー タスクを反映する事前定義されたセキュリティ ロールが含まれています。 定義済みのセキュリティ ロールは、セキュリティのベスト プラクティスである「必要最小限のアクセス」 (ユーザーがアプリを使用するために必要な最小限のビジネスデータへのアクセスを提供する) に従っています。 これらのセキュリティ ロールは、所有者チーム およびグループチーム ユーザーに割り当てることができます。 環境で使用できる定義済みのセキュリティ ロールは、環境の種類とインストールされているアプリによって異なります。
アプリケーション ユーザー に割り当てられているセキュリティ ロールの別のセットがあります。 これらのセキュリティ ロールは当社のサービスによってインストールされ、更新することはできません。
Dataverse データベースなしの環境
環境作成者と環境管理者は、Dataverse データベースを持たない環境に対して事前定義されている唯一のロールです。 これらのロールの詳細については、次の表を参照してください。
| セキュリティ ロール | Description |
|---|---|
| 環境管理者 | 環境管理者ロールでは、環境に対して以下を含むすべての管理アクションを実行できます。
|
| 環境作成者 | Microsoft Power Automate を使用して、アプリ、接続、カスタム API、フローなど、環境に関連付けられた新しいリソースを作成できます。 ただし、このロールには、環境内のデータにアクセスするための特権はありません。 また、環境の作成者は、環境内に構築したアプリを組織内の他のユーザーに配布 することができます。 また、個々のユーザー、セキュリティ グループ、または組織内のすべてのユーザーとアプリを共有できます。 |
Dataverse データベースを持つ環境
環境に Dataverse データベースがある場合、ユーザーには完全な管理者特権を付与するために、環境管理者ロールではなく、システム管理者ロールを割り当てる必要があります。
Note
環境管理者ロールは、Dataverse データベースのない環境にのみ適用されます。 Dataverse データベースを使用する環境では、システム 管理者 ロールを使用して完全な管理アクセスを行います。 Power Platform 管理者などのテナント レベルのロールは環境管理機能を付与しますが、Dataverse データに直接アクセスするには別のシステム管理者ロールの割り当てが必要です。 詳細については、「 サービス管理者ロールを使用してテナントを管理する」を参照してください。
データベースに接続するアプリを作成し、エンティティとセキュリティ ロールを作成または更新する必要があるユーザーには、環境作成者ロールに加えて、システム カスタマイザー ロールが必要です。 環境作成者ロールには、環境のデータに対する特権がありません。 これらのセキュリティ ロールには、セキュリティ ロールを作成または更新する特権がありません。
次の一覧では、Dataverse データベースを持つ環境で定義済みのセキュリティ ロールを示します。 これらのロールは編集できません。
- アプリ オープナー
- Basic ユーザー
- 代理人
- Dynamics 365管理者
- 環境作成者
- グローバル管理者
- グローバルリーダー
- Office コラボレーター
- Power Platform 管理者
- 削除されたサービス
- サービス リーダー
- サービス ライター
- サポート ユーザー
- システム管理者
- システムのカスタム担当者
- Web サイト アプリ所有者
- Web サイト所有者
これらのロールの詳細 (説明、適用先、アクセス権を持つテーブル特権の概要など) については、「 ロール名とセキュリティ ロールの説明」を参照してください。
Dataverse で説明されている事前定義されたセキュリティ ロールに加え、使用している Power Platform コンポーネント (Power Apps、Power Automate、Microsoft Copilot Studio) によっては、使用中の環境で他のセキュリティ ロールを使用できる場合があります。 次のテーブルに詳細へのリンクを示します。
| Power Platform コンポーネント | 情報 |
|---|---|
| Power Apps | Dataverse データベースを備えた環境の事前定義されたセキュリティ ロール |
| Power Automate | セキュリティとプライバシー |
| Power Pages | Web サイト管理に必要なロール |
| Microsoft Copilot Studio | 環境セキュリティ ロールを割り当てる |
Dataverse for Teams 環境
詳細については、Dataverse for Teams 環境における事前定義されたセキュリティ ロールを参照してください。
アプリ固有のセキュリティ ロール
Dynamics 365 アプリを環境に展開すると、他のセキュリティ ロールが追加されます。 各アプリは、アプリ固有の記事に記載されているロールの独自のセットをインストールします。 次のテーブルに詳細へのリンクを示します。
| Dynamics 365 アプリ | セキュリティ役割文書 |
|---|---|
| Dynamics 365 Sales | Sales の定義済みセキュリティ ロール |
| Dynamics 365 Marketing | Dynamics 365 Marketing によって追加されたセキュリティ ロール |
| Dynamics 365 Field Service | 「Dynamics 365 Field Service」ロールと定義 |
| Dynamics 365 顧客サービス | オムニチャネルのカスタマーサービスにおける役割 |
| Dynamics 365 Customer Insights | 顧客インサイトの役割 |
| アプリ プロファイル マネージャー | アプリ プロファイル マネージャーに関連付けられているロールと権限 |
| Dynamics 365 Finance | 公的機関のセキュリティ ロール |
| 財務と運用アプリ | Microsoft Power Platform のセキュリティロール |
事前定義されたセキュリティ ロールに使用できるリソースの概要
次の表は、各セキュリティ ロールが作成できるリソースを示しています。
| 資源 | 環境作成者 | 環境管理者 | システムのカスタム担当者 | システム管理者 |
|---|---|---|---|---|
| キャンバス アプリ | X | X | X | X |
| クラウド フロー | X (ソリューション非対応) | X | X | X |
| コネクタ | X (ソリューション非対応) | X | X | X |
| 接続* | X | X | X | X |
| データ ゲートウェイ | - | X | - | X |
| データフロー | X | X | X | X |
| Dataverse テーブル | - | - | X | X |
| モデル駆動型アプリ | X | - | X | X |
| ソリューション フレームワーク | X | - | X | X |
| デスクトップ フロー** | - | - | X | X |
| AI Builder | - | - | X | X |
*接続は、canvas アプリおよびPower Automateで使用されます。
**Dataverse for Teams ユーザーは、既定ではデスクトップ フローにアクセスできません。 デスクトップ フローを使用するためには、環境を Dataverse 完全版にアップグレードし、デスクトップ フロー ライセンス プラン を取得する必要があります。
一般的な問題
次の表では、セキュリティ ロールの一般的な問題とその解決方法について説明します。
| 症状: | 原因 | Resolution |
|---|---|---|
| "この環境の現在の特権により、1 つ以上のコマンドを使用できません" | セキュリティ ロールには、実行しようとしているアクションに必要な特権は含まれません。 | 必要な特権を持つセキュリティ ロールを割り当てるようにシステム管理者に依頼します。 ソリューション関連のアクションの場合は、システム カスタマイザーまたは Environment Maker ロールが必要になる場合があります。 詳細については、セキュリティ ロールおよび特権を参照してください。 |
| 環境にアクセスできない | ユーザー アカウントには、その環境にセキュリティ ロールが割り当てられないか、環境に Dataverse ライセンスが必要です。 | 環境管理者またはシステム管理者に セキュリティ ロールを割り当てるように依頼します。 必要な ライセンスがあることを確認します。 |
| セキュリティ ロールを割り当てまたは変更できない | セキュリティ ロールの割り当てを管理できるのは、システム管理者ロールまたはテナント レベルの管理者ロールを持つユーザーだけです。 | 役割の変更を要求するには、組織のシステム管理者またはMicrosoft 365管理者に問い合わせてください。 詳細については、「 環境でのユーザー セキュリティの構成」を参照してください。 |
| セキュリティ ロールをコピーできない | セキュリティ ロールは、編集またはコピーできない、または十分な特権がない定義済みのロールです。 | システム管理者ロールがあることを確認します。 一部の定義済みロールはコピーできません。 代わりに 、カスタム セキュリティ ロールを作成 してみてください。 |
これらの手順で問題が解決しない場合は、その他のシナリオの ユーザー アクセスに関する問題のトラブルシューティング を参照してください。 アクセスの変更が必要な場合は、適切な管理者に問い合わせてください。
- 環境アクセス: 環境管理者またはその環境のシステム管理者ロールを持つユーザーに問い合わせてください。
- Dataverse テーブルまたはアプリのアクセス: セキュリティ ロールを割り当てたり更新したりするには、その環境のシステム管理者に問い合わせてください。
- テナント全体の管理者アクセス: Microsoft 365管理者または全体管理者に問い合わせてください。