ロールの定義 - 定義済みロール

適用対象: SQL Server 2016 (13.x) Reporting Services 以降 Power BI Report Server

Reporting Services は、レポート サーバーの操作へのアクセスを付与するために使用できる、定義済みのロールと共にインストールされます。 定義済みの各ロールは、関連するタスクのコレクションを示しています。 定義済みのロールにグループやユーザー アカウントを割り当てることで、レポート サーバーの操作にすぐにアクセスできます。

定義済みロールを使用する方法

  1. 定義済みロールを確認して、これらのロールをそのまま使用できるかどうかを判断します。 タスクを調整したり他のロールを定義したりする必要がある場合は、それらを調整してから、ユーザーを特定のロールに割り当てる必要があります。 カスタム ロールを作成または削除するには、SQL Server Management Studio を使用します。 詳細については、「ロールを作成、削除、または変更する (Management Studio)」を参照してください。

  2. レポート サーバーへのアクセス権を必要とするユーザーやグループ、およびそのレベルを特定します。 閲覧者 ロールまたは レポート ビルダー ロールには、大半のユーザーを割り当てる必要があります。 パブリッシャー ロールには、少数のユーザーしか割り当てる必要はありません。 コンテンツ マネージャーには、ごく少数のユーザーのみを割り当ててください。

  3. ユーザーおよびグループのアカウントを特定のロールに割り当てる準備ができたら、Web ポータルを使用します。 詳細については、「レポート サーバーへのユーザー アクセスを許可する」を参照してください。

定義済みロールの定義

定義済みのロールは、サポートするタスクを定義します。 これらのロールは、変更したりカスタム ロールに置き換えることができます。

スコープ は、ロールが使用される境界を定義します。 アイテムレベルのロールは、レポート サーバー アイテムおよびそのアイテムに影響を与える操作に対するさまざまなレベルのアクセスを提供します。 アイテムレベルのロールは、レポート サーバー フォルダー階層のルート ノード ([ホーム]) およびすべてのアイテムに対して定義されています。 システムレベルのロールは、サイトレベルでアクセスを承認します。 アイテムレベルのロールとシステムレベルのロールは相互に排他的ですが、一緒に使用すると、レポート サーバーのコンテンツや操作に対する包括的な権限を提供できます。

各ロールの定義済みスコープを次の表に示します。

定義済みロール スコープ 説明
コンテンツ マネージャー ロール 項目 レポート サーバーでのコンテンツの管理が可能。 このアクセスには、フォルダー、レポート、およびリソースが含まれます。
パブリッシャー ロール 項目 レポートおよびリンク レポートをレポート サーバーにパブリッシュできます。
閲覧者ロール 項目 フォルダーやレポートを表示し、レポートにサブスクライブできます。
レポート ビルダー ロール 項目 レポート定義を表示できます。
個人用レポート ロール 項目 レポートとリンクされたレポートのパブリッシュ、フォルダー、レポート、ユーザーの My Report フォルダー内リソースの管理が可能です。
システム管理者ロール システム システム ロールの割り当て、システム ロールの定義、システムのプロパティ、および共有スケジュールを表示して変更できます。さらに、ロールの定義の作成と、Management Studio でのジョブの管理を行えます。
システム ユーザー ロール システム システムのプロパティおよび共有スケジュールを表示できます。また、レポート ビルダーや、レポート定義を実行するその他のクライアントの使用が許可されます。

コンテンツ マネージャー ロール

コンテンツ マネージャー ロールは、レポートおよび Web コンテンツの管理は行うが、レポートの作成や、Web サーバーや SQL Server インスタンスの管理は必ずしも行わないユーザーにとって役立つタスクが含まれた、定義済みロールです。 コンテンツ マネージャーは、レポートの配置、レポート モデルとデータ ソース接続の管理、およびレポートの使用方法の決定を行います。 コンテンツ マネージャー ロールの定義には、既定ですべてのアイテムレベルのタスクが選択されています。

コンテンツ マネージャー ロールは、 システム管理者 ロールと共に頻繁に使用されます。 これら 2 つのロールの定義を使用すると、レポート サーバー上のすべてのアイテムへの完全なアクセスを必要とするユーザーに完全なタスク セットを提供できます。 コンテンツ マネージャー ロールでは、フォルダー階層内のレポート、レポート モデル、フォルダー、およびその他のアイテムへのフル アクセスが許可されますが、サイトレベルのアイテムや操作へのアクセスは許可されません。 共有スケジュールの作成と管理、サーバー プロパティの設定、ロールの定義の管理などのタスクは、 システム管理者 ロールに含まれるシステムレベルのタスクです。 このため、共有スケジュールにアクセスできる 2 番目のロールの割り当てをサイトレベルで作成することをお勧めします。

コンテンツ マネージャーのタスク

コンテンツ マネージャー ロールに含まれるタスクの一覧を次の表に示します。

タスク 説明
レポートにコメントを付ける レポートのコメントを作成、表示、編集、および削除します。
レポートの使用 レポート定義を読み込みます。
リンク レポートの作成 リンク レポートではないレポートを基にしたリンク レポートを作成します。
すべてのサブスクリプションを管理 レポートおよびリンク レポートのサブスクリプションを、その所有者がだれであるかにかかわらず表示、変更、および削除します。 このタスクでは、データ ドリブンのサブスクリプションの作成をサポートしています。 また、Power BI Report Server の Power BI (.pbix) ファイルのスケジュールされている更新の編集と実行もサポートしています。
コメントの管理 レポートの他のユーザーのコメントを削除します。
データ ソースを管理する 共有データ ソース アイテムの作成および削除と、データ ソースのプロパティとコンテンツの表示および変更を行います。
フォルダーの管理 フォルダーの作成、表示、削除、およびフォルダーのプロパティの表示と変更を行います。
個別のサブスクリプションを管理 レポートおよびリンク レポートに対してユーザーが所有するサブスクリプションを作成、表示、変更、および削除します。 このタスクでは、Power BI Report Server の Power BI (.pbix) ファイルのスケジュールされている更新の編集と実行もサポートしています。
モデルを管理する モデルの作成、表示、削除、およびモデルのプロパティの表示と変更を行います。
レポート履歴の管理 レポート履歴の作成、表示、削除、およびレポート履歴のプロパティの表示と変更を行います。 また、スナップショット履歴の制限とキャッシュの仕組みを決定するビューと変更の設定も含まれます。
レポートの管理 レポートの追加と削除、レポート パラメーターの変更、レポートのプロパティの表示と変更を行います。 また、レポートにコンテンツを付与するデータ ソースの表示と変更、レポート定義の表示と変更、レポート レベルのセキュリティ ポリシーの設定も含まれます。
リソースの管理 リソースの作成、変更、削除、およびリソースのプロパティの表示および変更を行います。
アイテムごとにセキュリティを設定 レポート、リンク レポート、フォルダー、リソース、およびデータ ソースのセキュリティ ポリシーを定義します。 詳細については、「 セキュリティ保護可能なアイテム」を参照してください。
データ ソースの表示 フォルダー階層内の共有データ ソース アイテムを表示します。
フォルダーの表示 フォルダーのコンテンツの表示と、フォルダー階層の参照を行います。
モデルの表示 フォルダー階層のモデルを表示し、モデルをレポートのデータ ソースとして使用し、モデルに対してクエリを実行してデータを取得します。
レポートの表示 レポートを実行し、レポートのプロパティを表示します。
リソースの表示 リソースおよびリソースのプロパティを表示します。

コンテンツ マネージャー ロールのカスタマイズ

このロールは、レポート サーバーのコンテンツの管理およびメンテナンスの全体責任を負う、信頼されたユーザーのためのものです。 この定義からはタスクを削除できますが、削除の結果、管理できるコンテンツの範囲があいまいになる可能性があります。 たとえば、"レポートの表示" タスクをこのロールの定義から削除すると、 コンテンツ マネージャー はレポート コンテンツを表示できなくなり、パラメーターや資格情報の設定に対する変更を検証できなくなります。

コンテンツ マネージャー ロールは既定のセキュリティで使用されます。

パブリッシャー ロール

パブリッシャー ロールは、ユーザーがレポート サーバーにコンテンツを追加するためのタスクが含まれた、組み込みのロール定義です。 このロールは、ユーザーの便宜を図って、あらかじめ定義されています。 このロールを含むロール割り当てを作成するまで、パブリッシャー ロールは使用されません。 レポート デザイナーでレポートまたはモデルを作成し、レポート サーバーにそのアイテムをパブリッシュするユーザーを対象にしています。

注意事項

アイテムをレポート サーバーにパブリッシュする権限は、信頼されたユーザーにのみ付与する必要があります。 パブリッシャー ロールでは、ユーザーが任意の種類のファイルをレポート サーバーにアップロードできるような、広範囲にわたる権限が付与されます。 アップロードされたレポートまたは HTML ファイルに悪意のあるスクリプトが含まれていた場合、レポートまたは HTML ドキュメントをユーザーが選択すると、そのユーザーの資格情報で悪意のあるスクリプトが実行されることになります。

実行時にレポートが HTML で表示される場合、レポート定義には、HTML インジェクション攻撃を受けやすいスクリプトおよび他の要素が含まれる可能性があります。 パブリッシュしたレポートに悪意のあるスクリプトが含まれていると、ユーザーがそのレポートを開いたとき、不正なスクリプトが意図せず実行されてしまう可能性があります。 ユーザーが昇格した権限を持っている場合、スクリプトはその権限で実行されます。

悪意のあるスクリプトをユーザーが意図せず実行してしまうリスクを軽減するには、コンテンツをパブリッシュする権限を持つユーザーの数を制限します。 また、信頼された発行元からのドキュメントとレポートのみをユーザーが発行することを確認します。 パブリッシュするレポート定義が安全かどうか確信がない場合は、テキスト エディターで .rdl ファイルを開いてスクリプトのタグを検索してください。 悪意のあるスクリプトは、式や URL (ナビゲーション アクションの URL など) に隠れていることがあります。

パブリッシャーのタスク

パブリッシャー ロールに含まれているタスクの一覧を、以下の表に示します。

タスク 説明
リンク レポートの作成 リンク レポートを作成し、レポート サーバー フォルダーにパブリッシュします。
コメントの管理 レポートの他のユーザーのコメントを削除します。
データ ソースを管理する 共有データ ソース アイテムの作成および削除、データ ソースのプロパティとコンテンツの表示および変更を行います。
フォルダーの管理 フォルダーの作成、表示、削除、およびフォルダーのプロパティの表示と変更を行います。
モデルを管理する レポート モデルの作成、表示、削除、およびレポート モデルのプロパティの表示と変更を行います。
レポートの管理 レポートの追加と削除、レポート パラメーターの変更、レポートのプロパティの表示と変更を行います。 また、レポートにコンテンツを提供するデータ ソースの表示と変更、レポート定義の表示と変更も含まれます。
リソースの管理 リソースの作成、変更、削除、およびリソースのプロパティの表示と変更を行います。

パブリッシャー ロールのカスタマイズ

パブリッシャー ロールは、必要に応じて変更できます。 たとえば、ユーザーがリンク レポートを作成して発行することを防ぐ場合は、[リンク レポートの作成] タスクを削除します。 または、"フォルダーの表示" タスクを追加して、ユーザーが新しいアイテムの場所を選択するときにフォルダー階層を移動できるようにします。

レポート デザイナーからレポートをパブリッシュするユーザーは、レポート サーバーにレポートを追加するために、少なくとも "レポートの管理" タスクが必要です。 共有データ ソースまたは外部ファイルを使用するレポートをパブリッシュする必要がある場合、"データ ソースの管理" および "リソースの管理" を含めます。 さらに、パブリッシュ処理の一環としてフォルダーを作成する機能が必要な場合は、"フォルダーの管理" も追加する必要があります。

閲覧者ロール

閲覧者 ロールは、レポートを表示しても、レポートの作成および管理は必ずしも行わないユーザーにとって役立つタスクが含まれた定義済みのロールです。 このロールには、レポート サーバーを通常の方法で使用するための基本的な機能が備わっています。 これらのタスクがない場合、レポート サーバーの使用が困難になることがあります。

閲覧者 ロールは、 システム ユーザー ロールと共に使用する必要があります。 これら 2 つのロールの定義を使用すると、レポート サーバー上のアイテムを操作するユーザーに完全なタスク セットを提供できます。 閲覧者 ロールでは、フォルダー階層内のレポート、レポート モデル、フォルダー、およびその他のアイテムへの表示アクセスが許可されますが、サブスクリプションを作成するときに役立つ共有スケジュールなどのサイトレベルのアイテムへのアクセスは許可されません。 このため、共有スケジュールにアクセスできる 2 番目のロールの割り当てをサイトレベルで作成することをお勧めします。

閲覧者のタスク

次の表では、閲覧者ロールに含まれているタスクについて説明します。

タスク 説明
レポートにコメントを付ける レポートのコメントを作成、表示、編集、および削除します。
個別のサブスクリプションを管理 レポートおよびリンク レポートのユーザーが所有するサブスクリプションの作成、表示、変更、および削除と、そのようなサブスクリプションに定義するスケジュールの作成を行います。
フォルダーの表示 フォルダーのコンテンツの表示と、フォルダー階層の参照を行います。
モデルの表示 フォルダー階層のモデルを表示し、モデルをレポートのデータ ソースとして使用し、モデルに対してクエリを実行してデータを取得します。
レポートの表示 レポートを実行し、レポートのプロパティを表示します。
リソースの表示 リソースおよびリソースのプロパティを表示します。

閲覧者ロールのカスタマイズ

閲覧者 ロールは、必要に応じて変更できます。 たとえば、サブスクリプションをサポートしない場合は、"個々のサブスクリプションの管理" タスクを削除できます。 または、レポート サーバーにアップロードされる可能性のある関連ドキュメントやその他のアイテムをユーザーに表示させたくない場合は、"リソースの表示" タスクを削除できます。

表示とフォルダーの参照を可能にするために、このロールには、少なくとも "レポートの表示" タスクと "フォルダーの表示" タスクを定義する必要があります。 フォルダーの参照を無効にする必要がない限り、"フォルダーの表示" タスクは削除しないでください。 同様に、ユーザーに対しレポートを非表示にする必要がない限り、"レポートの表示" タスクは削除しないでください。 いずれかのタスクを削除する場合、特定のユーザー グループに限定して適用されるカスタム ロールの定義が必要になります。

レポート ビルダー ロール

Report Builder ロールは、Report Builderでのレポート読み込みタスクのほか、フォルダー階層の表示および移動タスクを含む、定義済みロールです。 また、Report Builder でレポートを作成、変更するには、"レポート定義の実行" タスクを含むシステム ロールも割り当てられている必要があります。 このタスクは、レポート ビルダーでレポートをローカルで処理するために必要です。

レポート ビルダーのタスク

次の表では、レポート ビルダー ロールに含まれているタスクについて説明します。

タスク 説明
レポートにコメントを付ける レポートのコメントを作成、表示、編集、および削除します。
レポートの使用 レポート定義を読み込みます。
個別のサブスクリプションを管理 レポートおよびリンク レポートのユーザーが所有するサブスクリプションの作成、表示、変更、および削除と、そのようなサブスクリプションに定義するスケジュールの作成を行います。
フォルダーの表示 フォルダーのコンテンツの表示と、フォルダー階層の参照を行います。
モデルの表示 フォルダー階層のモデルを表示し、モデルをレポートのデータ ソースとして使用し、モデルに対してクエリを実行してデータを取得します。
レポートの表示 レポートを実行し、レポートのプロパティを表示します。
リソースの表示 リソースおよびリソースのプロパティを表示します。

レポート ビルダー ロールのカスタマイズ

レポート ビルダー ロールは、必要に応じて変更できます。 推奨事項は、通常、ブラウザー ロールの場合と同じです。

  • サブスクリプションをサポートしない場合は、"個々のサブスクリプションの管理" タスクを削除します。
  • ユーザーにリソースを表示させたくない場合は、"リソースの表示" タスクを削除します。
  • 表示とフォルダーの参照を可能にするために、"レポートの表示" タスクと "フォルダーの表示" タスクを維持します。

このロール定義の中で最も重要なタスクは "レポートの使用" です。このタスクにより、ユーザーはレポート サーバーから Report Builder のローカル インスタンスにレポート定義を読み込むことができます。 このタスクをサポートしない場合は、このロール定義を削除し、閲覧者 ロールを使用してレポート サーバーへの一般的なアクセスをサポートすることができます。

個人用レポート ロール

個人用レポート ロールは、個人用レポート機能のユーザーに役立つ一連のタスクを含む定義済みロールです。 このロールの定義には、ユーザーが所有する [個人用レポート] フォルダーの管理権限をそのユーザーに与えるタスクが含まれています。

個人用レポート機能と共に使用するロールに別のロールを選択することもできますが、その場合は個人用レポートのセキュリティ専用に使用するロールを選択してください。 詳細については、「 個人用レポートをセキュリティで保護する」を参照してください。

個人用レポートのタスク

個人用レポート ロールに含まれているタスクの一覧を、以下の表に示します。

タスク 説明
レポートにコメントを付ける レポートのコメントを作成、表示、編集、および削除します。
リンク レポートの作成 ユーザーの [個人用レポート] フォルダーに格納されているレポートを基にしたリンク レポートを作成します。
コメントの管理 レポートの他のユーザーのコメントを削除します。
データ ソースを管理する 共有データ ソース アイテムの作成および削除と、データ ソースのプロパティとコンテンツの表示および変更を行います。
フォルダーの管理 フォルダーの作成、表示、削除、およびフォルダーのプロパティの表示と変更を行います。
個別のサブスクリプションを管理 レポートおよびリンク レポートのサブスクリプションの作成、表示、変更、および削除を行います。
レポート履歴の管理 レポート履歴の作成、表示、削除、レポート履歴プロパティの表示。 また、スナップショット履歴の制限とキャッシュの仕組みを決定するビューと変更の設定も含まれます。
レポートの管理 レポートの追加と削除、レポート パラメーターの変更、レポートのプロパティの表示と変更。 また、レポートにコンテンツを付与するデータ ソースの表示と変更、レポート定義の表示と変更、レポート レベルのセキュリティ ポリシーの設定も含まれます。
リソースの管理 リソースの作成、変更、削除、およびリソースのプロパティの表示および変更を行います。
データ ソースの表示 フォルダー階層内の共有データ ソース アイテムを表示します。
フォルダーの表示 フォルダーのコンテンツを表示します。
レポートの表示 ユーザーの [個人用レポート] フォルダーに格納されているレポートの実行およびレポートのプロパティの表示を行います。
リソースの表示 リソースおよびリソースのプロパティを表示します。

個人用レポート ロールのカスタマイズ

このロールは、必要に応じて変更できます。 ただし、"レポートの管理" タスクおよび "フォルダーの管理" タスクは保持して、基本コンテンツの管理を有効にしてください。 また、このロールでは、ユーザーによるフォルダー コンテンツの表示と管理するレポートの実行を可能にする、表示に関するすべてのタスクがサポートされている必要があります。

既定では、"アイテムごとにセキュリティを設定" タスクはロール定義の一部ではありませんが、個人用レポート ロールにこのタスクを追加すると、ユーザーがサブフォルダーおよびレポートのセキュリティを設定することができます。

システム管理者ロール

システム管理者 ロールは、レポート サーバーの全体的な責任は負うが、サーバーのコンテンツに対しては必ずしも責任を負わないレポート サーバー管理者にとって役立つタスクを含んだ、定義済みのロールです。

このロールを含むロールの割り当てを作成するには、Web ポータルの [サイトの設定] ページを使用するか、Management Studio のレポート サーバー ノードを右クリックして表示されるコマンドを使用します。

システム管理者 ロールには、ローカル管理者がコンピューターに対して持つような完全な権限は与えられません。 システム管理者 ロールに含まれるのは、アイテム レベルではなくサイト レベルで実行される操作です。 サイト全体の操作とレポート サーバーに格納されているアイテムの両方へのアクセスが必要なユーザーに対しては、 コンテンツ マネージャー ロールを含む 2 つ目のロール割り当てを [ホーム] フォルダーに対して作成します。 これら 2 つのロールの定義を使用すると、レポート サーバー上のすべてのアイテムへの完全なアクセスを必要とするユーザーに完全なタスク セットを提供できます。

システム管理者タスク

システム管理者ロールに含まれているタスクの一覧を、次の表に示します。

タスク 説明
レポート定義の実行 レポート サーバーにパブリッシュせずにレポート定義の実行を開始します。
ジョブの管理 実行中のジョブを表示および取り消します。 詳細については、「実行中の処理を管理する」を参照してください。
レポート サーバーのプロパティを管理 レポート サーバーと、レポート サーバーの管理下にあるアイテムに適用されるプロパティを表示および変更します。

このタスクにより、Web ポータルの名前の変更、個人用レポートの有効化、およびレポート履歴の既定値の設定を行うことができます。
レポート サーバーのセキュリティを管理 システム全体のロールの割り当てを表示および変更します。
ロールの管理 ロールの定義を作成、表示、変更、および削除します。

システム管理者 ロールのメンバーは [サイトの設定] ページを使用してロールを管理できます。
共有スケジュールの管理 レポートの実行や更新に使用する共有スケジュールを作成、表示、変更、および削除します。

システム管理者 ロールは既定のセキュリティで使用されます。

システム ユーザー ロール

システム ユーザー ロールは、レポート サーバーに関する基本的な情報の表示をユーザーに許可するタスクを含んだ、定義済みのロールです。 レポート ビルダーへのレポートの読み込みもサポートされています。 レポート ビルダーは、レポート サーバーから独立してレポートを処理できるクライアント アプリケーションです。 "レポート定義の実行" タスクは、レポート ビルダーで使用するために用意されています。 Report Builder を使用していない場合は、このタスクを システム ユーザー ロールから削除してもかまいません。

システム ユーザー ロールの定義に含まれているタスクの一覧を、以下の表に示します。

システム ユーザー タスク

タスク 説明
レポート定義の実行 レポート サーバーにパブリッシュせずにレポートを実行します。
レポート サーバーのプロパティを表示 アプリケーション名、個人用レポート設定が有効かどうか、レポート履歴の既定値など、レポート サーバーに適用するプロパティを表示します。

システム ユーザー ロールからこのタスクを削除すると、[サイトの設定] ページを利用できなくなります。 また、各ページの上部にアプリケーションのタイトルが表示されません。 既定では、Web ポータルのタイトルは "SQL Server Reporting Services" です。
共有スケジュールの表示 レポートの実行または更新に使用する共有スケジュールを表示します。

システムユーザーロールからこのタスクを削除すると、ユーザーはサブスクリプションおよびその他のスケジュールに設定された操作に使用する共有スケジュールを選択できなくなります。

システム ユーザー ロールを使用して、既定のセキュリティを補完できます。 このロールは、レポート サーバーへのアクセスをレポート ユーザーに許可する新しいロールの割り当てに含めることができます。 詳細については、「 ネイティブ モードのレポート サーバーに対する権限の許可」をご覧ください。

ロールを作成、削除、または変更する (Management Studio)
レポート サーバーへのユーザー アクセスを許可する
ロールの割り当てを変更または削除する (SSRS Web ポータル)
ネイティブ モードのレポート サーバーに対するアクセス許可の付与
タスクと権限 f