セキュリティ ロールおよび特権
公開日: 2017年2月
対象: Dynamics 365 (online)、Dynamics 365 (on-premises)、Dynamics CRM 2016、Dynamics CRM Online
注意
ここで提供する情報は、Dynamics 365 (オンライン) バージョン 9.0 より前の Dynamics 365 のバージョン用です。 最新のドキュメントについては、「セキュリティ ロールおよび特権」を参照してください。
データ アクセスを制御するには、機密情報を含む可能性があるデータを保護するのと同時に、共同作業を可能にする組織構造を構築する必要があります。 これは、部署、セキュリティ ロール、フィールド セキュリティ プロファイルをセットアップすることによって行います。
セキュリティ ロール
セキュリティ ロールは、営業担当者などの異なるユーザーが異なる種類のレコードにどのようにアクセスできるかを定義します。 データへのアクセスを制御するために、既存のセキュリティ ロールを変更することも、新しいセキュリティ ロールを作成することも、各ユーザーに割り当てられるセキュリティ ロールを変更することもできます。 各ユーザーは複数のセキュリティ ロールを持つことができます。
セキュリティ ロールの特権は累積されます。複数のセキュリティ ロールを持つユーザーには、すべてのロールで使用できるすべての特権が与えられます。
各セキュリティ ロールは、レコード レベルの特権とタスクベース特権で構成されます。
読み取り、作成、削除、書き込み、割り当て、共有、追加、追加先など、レコード レベルの特権によって、レコードに対するアクセス権を持つユーザーがどのような操作を実行できるかが定義されます。追加とは、レコードに活動やメモなどの他のレコードを添付することです。追加先とは、レコードに追加されることです。詳細:レコード レベルの特権
フォームの下部にあるタスクベース特権により、記事の発行または差し込み印刷を実行するなどユーザーが特定のタスクを実行する特権が与えられます。
セキュリティ ロール設定ページの色付きの円は、特権のアクセス レベルを定義します。 アクセス レベルにより、指定した特権のを実行できる、組織の部署階層での深さが決定されます。 以下の表には、Microsoft Dynamics 365 のアクセス レベルが示されます (ほとんどのアクセスを提供するレベルから順番に並んでいます)。
.jpeg "アクセス レベル グローバル")
|
グローバル。 このアクセス レベルでは、ユーザーは、インスタンスやユーザーが属する部署階層レベルに関係なく、組織のすべてのレコードにアクセスできます。 グローバル アクセス レベルを持つユーザーは、自動的にディープ、ローカル、およびベーシックの各アクセス レベルも持つことになります。 このアクセス レベルでは、組織の情報へのアクセスが許可されるため、組織のデータ セキュリティ計画に応じた制限が必要です。 通常このアクセス レベルは、組織全体に対する権限を持つ責任者に対してのみ使用されます。 このアクセス レベルは、アプリケーションでは組織全体と呼ばれます。 |
.jpeg "アクセス レベル ディープ")
|
ディープ。 このアクセス レベルでは、ユーザーは、ユーザーの部署とその配下のすべての部署のレコードにアクセスできます。 ディープ アクセス レベルを持つユーザーは、自動的にローカル アクセス レベルとベーシック アクセス レベルも持つことになります。 このアクセス レベルでは、特定の部署とその配下の部署のすべての情報へのアクセスが許可されるため、組織のデータ セキュリティ計画に応じた制限が必要です。 通常このアクセス レベルは、これらすべての部署に対する権限を持つ責任者に対してのみ使用されます。 このアクセス レベルは、アプリケーションでは [部署配下] と呼ばれます。 |
.jpeg "アクセス レベル ローカル")
|
ローカル。 このアクセス レベルでは、ユーザーは、ユーザーの部署のレコードにアクセスできます。 ローカル アクセス レベルを持つユーザーは、自動的にベーシック アクセス レベルも持つことになります。 このアクセス レベルでは、特定の部署のすべての情報へのアクセスが許可されるため、組織のデータ セキュリティ計画に応じた制限が必要です。 通常このアクセス レベルは、その部署全体に対する権限を持つ責任者に対してのみ使用されます。 このアクセス レベルは、アプリケーションでは部署と呼ばれます。 |
.jpeg "アクセス レベル ベーシック")
|
ベーシック。 このアクセス レベルでは、ユーザーは、ユーザーが所有しているレコード、ユーザーが共有しているオブジェクト、ユーザーがメンバーになっているチームが共有しているオブジェクトにアクセスできます。 通常は、営業やサービスの担当者に対して使用されます。 このアクセス レベルは、アプリケーションではユーザーと呼ばれます。 |
.jpeg "アクセス レベルなし")
|
なし。 アクセスは許可されません。 |
重要
ユーザーが Web アプリケーションのエンティティ フォーム、ナビゲーション バーまたはコマンド バーなど、すべての領域を表示しアクセスできるようにするには、組織のすべてのセキュリティ ロールに Web Resource エンティティの読み取り特権を含める必要があります。 たとえば、読み取りアクセス許可がない場合は、ユーザーは Web リソースを含むフォームをオープンできず、以下に類似したエラー メッセージが表示されます: "prvReadWebResource 特権がありません。"詳細:セキュリティ ロールの作成または編集
レコード レベルの特権
Dynamics 365 には、特定のレコードまたはレコードの種類に対してユーザーが所有するアクセス レベルを決定する 8 つの異なるレコード レベルの特権があります。
特権 |
内容 |
|---|---|
作成 |
新しいレコードの作成に必要です。 作成できるレコードは、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
読み込み |
レコードを開いて内容を表示するために必要です。 読み取ることができるレコードは、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
書き込み |
レコードを変更するために必要です。 変更できるレコードは、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
Del |
レコードを完全に削除するために必要です。 削除できるレコードは、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
追加 |
1 つのレコードを現在のレコードに関連付けるために必要です。 たとえば、ユーザーが営業案件に対する追加権限を持っている場合、ユーザーは営業案件にメモを追加することができます。 追加できるレコードは、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
追加先 |
現在のレコードを別のレコードに関連付けるために必要です。 たとえば、ユーザーがメモに対する追加先権限を持っている場合、営業案件にメモを添付することができます。 追加できるレコードは、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
割り当て |
レコードの所有権を別のユーザーに与えるために必要です。 割り当てることができるレコードは、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
共有 |
自分のアクセス権を保持したまま、レコードへのアクセス権を別のユーザーに与えるために必要です。 共有できるレコードは、セキュリティ ロールで定義されているアクセス許可のアクセス レベルによって異なります。 |
セキュリティ ロールの無効化
レコードの所有者、またはレコードに対する共有特権を持つユーザーは、レコードを他のユーザーやチームと共有することができます。 共有では、特定のレコードに対する読み取り、書き込み、削除、追加、割り当て、および共有特権を特定のレコードに追加できます。
チームは主に、チームのメンバが本来はアクセスできないレコードを共有するために使用されます。詳細:セキュリティ、ユーザー、チームの管理
特定のレコードへのアクセスを削除することはできません。 セキュリティ ロールの特権に対する変更は、そのレコードの種類のすべてのレコードに適用されます。
このセクションの内容
関連項目
Microsoft Dynamics 365 のセキュリティ概念
セキュリティ、ユーザー、チームの管理
セキュリティ ロールの作成または編集
© 2017 Microsoft. All rights reserved. 著作権