ロールの定義 - 定義済みロール
適用対象:
SQL Server 2016 Reporting Services 以降 Power BI Report Server
Reporting Services は、レポート サーバーの操作へのアクセスを付与するために使用できる、定義済みのロールと共にインストールされます。 定義済みの各ロールは、関連するタスクのコレクションを示しています。 定義済みのロールにグループやユーザー アカウントを割り当てることで、レポート サーバーの操作にすぐにアクセスできます。
定義済みロールを使用する方法
定義済みロールを確認して、これらのロールをそのまま使用できるかどうかを判断します。 タスクを調整したり追加のロールを定義したりする必要がある場合は、この手順を実行してから、ユーザーを特定のロールに割り当てる必要があります。 カスタム ロールを作成または削除するには、SQL Server Management Studio を使用します。 詳細については、「ロールを作成、削除、または変更する (Management Studio)」を参照してください。
レポート サーバーへのアクセス権を必要とするユーザーやグループ、およびそのレベルを特定します。 閲覧者 ロールまたは レポート ビルダー ロールには、大半のユーザーを割り当てる必要があります。 パブリッシャー ロールには、少数のユーザーしか割り当てる必要はありません。 また、 コンテンツ マネージャーに割り当てる必要があるのは、ごく限られたユーザーです。
ユーザーおよびグループのアカウントを特定のロールに割り当てる準備ができたら、Web ポータルを使用します。 詳細については、「レポート サーバーへのユーザー アクセスを許可する」をご覧ください。
定義済みロールの定義
定義済みロールは、サポートするタスクによって定義されます。 これらのロールは、変更したりカスタム ロールに置き換えることができます。
スコープ は、ロールが使用される境界を定義します。 アイテムレベルのロールは、レポート サーバー アイテムおよびそのアイテムに影響を与える操作に対するさまざまなレベルのアクセスを提供します。 アイテムレベルのロールは、レポート サーバー フォルダー階層のルート ノード ([ホーム]) およびすべてのアイテムに対して定義されています。 システムレベルのロールは、サイトレベルでアクセスを承認します。 アイテムレベルのロールとシステムレベルのロールは相互に排他的ですが、一緒に使用すると、レポート サーバーのコンテンツや操作に対する包括的な権限を提供できます。
各ロールの定義済みスコープを次の表に示します。
| 定義済みロール | スコープ | 説明 |
|---|---|---|
| コンテンツ マネージャー ロール | アイテム | レポート サーバー内のコンテンツを管理できます。 これには、フォルダー、レポート、およびリソースが含まれます。 |
| パブリッシャー ロール | アイテム | レポートおよびリンク レポートをレポート サーバーにパブリッシュできます。 |
| 閲覧者ロール | アイテム | フォルダーやレポートを表示し、レポートをサブスクライブできます。 |
| レポート ビルダー ロール | アイテム | レポート定義を表示できます。 |
| 個人用レポート ロール | アイテム | レポートとリンク レポートをパブリッシュできます。また、ユーザーの個人用レポート フォルダー内のフォルダー、レポート、およびリソースを管理できます。 |
| システム管理者ロール | システム | システム ロールの割り当て、システム ロールの定義、システムのプロパティ、および共有スケジュールを表示して変更できます。さらに、ロールの定義の作成と、Management Studio でのジョブの管理を行えます。 |
| システム ユーザー ロール | システム | システムのプロパティおよび共有スケジュールを表示できます。また、レポート ビルダーや、レポート定義を実行するその他のクライアントの使用が許可されます。 |
コンテンツ マネージャー ロール
コンテンツ マネージャー ロールは、レポートおよび Web コンテンツの管理は行うが、レポートの作成や、Web サーバーや SQL Server インスタンスの管理は必ずしも行わないユーザーにとって役立つタスクが含まれた、定義済みロールです。 コンテンツ マネージャーは、レポートの配置、レポート モデルとデータ ソース接続の管理、およびレポートの使用方法の決定を行います。 コンテンツ マネージャー ロールの定義には、既定ですべてのアイテムレベルのタスクが選択されています。
コンテンツ マネージャー ロールは、 システム管理者 ロールと共に頻繁に使用されます。 これら 2 つのロールの定義を使用すると、レポート サーバー上のすべてのアイテムへの完全なアクセスを必要とするユーザーに完全なタスク セットを提供できます。 コンテンツ マネージャー ロールでは、フォルダー階層内のレポート、レポート モデル、フォルダー、およびその他のアイテムへのフル アクセスが許可されますが、サイトレベルのアイテムや操作へのアクセスは許可されません。 共有スケジュールの作成と管理、サーバー プロパティの設定、ロールの定義の管理などのタスクは、 システム管理者 ロールに含まれるシステムレベルのタスクです。 このため、共有スケジュールにアクセスできる 2 番目のロールの割り当てをサイトレベルで作成することをお勧めします。
コンテンツ マネージャーのタスク
コンテンツ マネージャー ロールに含まれるタスクの一覧を次の表に示します。
| タスク | 説明 |
|---|---|
| レポートにコメントを付ける | レポートのコメントを作成、表示、編集、および削除します。 |
| レポートの使用 | レポート定義を読み込みます。 |
| リンク レポートの作成 | リンク レポートではないレポートを基にしたリンク レポートを作成します。 |
| すべてのサブスクリプションを管理 | レポートおよびリンク レポートのサブスクリプションを、その所有者がだれであるかにかかわらず表示、変更、および削除します。 このタスクでは、データ ドリブンのサブスクリプションの作成をサポートしています。 また、Power BI Report Server の Power BI (.pbix) ファイルのスケジュールされている更新の編集と実行もサポートしています。 |
| コメントの管理 | レポートの他のユーザーのコメントを削除します。 |
| データ ソースを管理する | 共有データ ソース アイテムの作成および削除と、データ ソースのプロパティとコンテンツの表示および変更を行います。 |
| フォルダーの管理 | フォルダーの作成、表示、削除、およびフォルダーのプロパティの表示と変更を行います。 |
| 個別のサブスクリプションを管理 | レポートおよびリンク レポートに対してユーザーが所有するサブスクリプションを作成、表示、変更、および削除します。 このタスクでは、Power BI Report Server の Power BI (.pbix) ファイルのスケジュールされている更新の編集と実行もサポートしています。 |
| モデルを管理する | モデルの作成、表示、削除、およびモデルのプロパティの表示と変更を行います。 |
| レポート履歴の管理 | レポート履歴の作成、表示、削除、レポート履歴のプロパティの表示、およびスナップショット履歴の制限とキャッシュの動作を決定する設定の表示と変更を行います。 |
| レポートの管理 | レポートの追加と削除、レポート パラメーターの変更、レポートのプロパティの表示と変更、レポートにコンテンツを提供するデータ ソースの表示と変更、レポート定義の表示と変更、レポート レベルのセキュリティ ポリシーの設定を行います。 |
| リソースの管理 | リソースの作成、変更、削除、およびリソースのプロパティの表示および変更を行います。 |
| アイテムごとにセキュリティを設定 | レポート、リンク レポート、フォルダー、リソース、およびデータ ソースのセキュリティ ポリシーを定義します。 詳細については、「 セキュリティ保護可能なアイテム」を参照してください。 |
| データ ソースの表示 | フォルダー階層内の共有データ ソース アイテムを表示します。 |
| フォルダーの表示 | フォルダーのコンテンツの表示と、フォルダー階層の参照を行います。 |
| モデルの表示 | フォルダー階層のモデルを表示し、モデルをレポートのデータ ソースとして使用し、モデルに対してクエリを実行してデータを取得します。 |
| レポートの表示 | レポートを実行し、レポートのプロパティを表示します。 |
| リソースの表示 | リソースおよびリソースのプロパティを表示します。 |
コンテンツ マネージャー ロールのカスタマイズ
このロールは、レポート サーバーのコンテンツの管理およびメンテナンスの全体責任を負う、信頼されたユーザーのためのものです。 この定義からはタスクを削除できますが、削除の結果、管理できるコンテンツの範囲があいまいになる可能性があります。 たとえば、"レポートの表示" タスクをこのロールの定義から削除すると、 コンテンツ マネージャー はレポート コンテンツを表示できなくなり、パラメーターや資格情報の設定に対する変更を検証できなくなります。
コンテンツ マネージャー ロールは既定のセキュリティで使用されます。
パブリッシャー ロール
パブリッシャー ロールは、ユーザーがレポート サーバーにコンテンツを追加するためのタスクが含まれた、組み込みのロール定義です。 このロールは、ユーザーの便宜を図って、あらかじめ定義されています。 このロールを含むロール割り当てを作成するまで、パブリッシャー ロールは使用されません。 レポート デザイナーでレポートまたはモデルを作成し、レポート サーバーにそのアイテムをパブリッシュするユーザーを対象にしています。
注意事項
アイテムをレポート サーバーにパブリッシュする権限は、信頼されたユーザーにのみ付与する必要があります。 パブリッシャー ロールでは、ユーザーが任意の種類のファイルをレポート サーバーにアップロードできるような、広範囲にわたる権限が付与されます。 アップロードされたレポートまたは HTML ファイルに悪意のあるスクリプトが含まれていた場合、レポートまたは HTML ドキュメントをユーザーがクリックすると、そのユーザーの資格情報で悪意のあるスクリプトが実行されることになります。
実行時にレポートが HTML で表示される場合、レポート定義には、HTML インジェクション攻撃を受けやすいスクリプトおよび他の要素が含まれる可能性があります。 パブリッシュしたレポートに悪意のあるスクリプトが含まれていると、ユーザーがそのレポートを開いたとき、不正なスクリプトが意図せず実行されてしまう可能性があります。 ユーザーが高度な権限を持っている場合、スクリプトはその権限で実行されます。
悪意のあるスクリプトをユーザーが意図せず実行してしまうリスクを軽減するには、コンテンツをパブリッシュする権限を持つユーザーの数を制限し、信頼されたソースのドキュメントおよびレポートだけがユーザーからパブリッシュされるようにします。 パブリッシュするレポート定義が安全かどうか確信がない場合は、テキスト エディターで .rdl ファイルを開いてスクリプトのタグを検索してください。 悪意のあるスクリプトは、式や URL (ナビゲーション アクションの URL など) に隠れていることがあります。
パブリッシャーのタスク
パブリッシャー ロールに含まれているタスクの一覧を、以下の表に示します。
| タスク | 説明 |
|---|---|
| リンク レポートの作成 | リンク レポートを作成し、レポート サーバー フォルダーにパブリッシュします。 |
| コメントの管理 | レポートの他のユーザーのコメントを削除します。 |
| データ ソースを管理する | 共有データ ソース アイテムの作成および削除、データ ソースのプロパティとコンテンツの表示および変更を行います。 |
| フォルダーの管理 | フォルダーの作成、表示、削除、およびフォルダーのプロパティの表示と変更を行います。 |
| モデルを管理する | レポート モデルの作成、表示、削除、およびレポート モデルのプロパティの表示と変更を行います。 |
| レポートの管理 | レポートの追加と削除、レポート パラメーターの変更、レポートのプロパティの表示と変更、レポートにコンテンツを提供するデータ ソースの表示と変更、レポート定義の表示と変更を行います。 |
| リソースの管理 | リソースの作成、変更、削除、およびリソースのプロパティの表示と変更を行います。 |
パブリッシャー ロールのカスタマイズ
パブリッシャー ロールは、必要に応じて変更できます。 たとえば、ユーザーにリンク レポートの作成とパブリッシュを許可しない場合、"リンク レポートの作成" タスクを削除することができます。また、ユーザーが新しいアイテムの保存先を選択するときにフォルダー階層を参照できるように、"フォルダーの表示" タスクを追加できます。
レポート デザイナーからレポートをパブリッシュするユーザーは、レポート サーバーにレポートを追加するために、少なくとも "レポートの管理" タスクが必要です。 ユーザーが、共有データ ソースまたは外部ファイルを使用するレポートをパブリッシュする必要がある場合、"データ ソースの管理" および "リソースの管理" も追加する必要があります。さらに、パブリッシュ プロセスの一環としてフォルダーを作成する機能が必要な場合は、"フォルダーの管理" も追加する必要があります。
閲覧者ロール
閲覧者 ロールは、レポートを表示しても、レポートの作成および管理は必ずしも行わないユーザーにとって役立つタスクが含まれた定義済みのロールです。 このロールには、レポート サーバーを通常の方法で使用するための基本的な機能が備わっています。 このロールのタスクを使用しない場合、レポート サーバーの使用が困難になることがあります。
閲覧者 ロールは、 システム ユーザー ロールと共に使用する必要があります。 これら 2 つのロールの定義を使用すると、レポート サーバー上のアイテムを操作するユーザーに完全なタスク セットを提供できます。 閲覧者 ロールでは、フォルダー階層内のレポート、レポート モデル、フォルダー、およびその他のアイテムへの表示アクセスが許可されますが、サブスクリプションを作成するときに役立つ共有スケジュールなどのサイトレベルのアイテムへのアクセスは許可されません。 このため、共有スケジュールにアクセスできる 2 番目のロールの割り当てをサイトレベルで作成することをお勧めします。
閲覧者のタスク
次の表では、閲覧者ロールに含まれているタスクについて説明します。
| タスク | 説明 |
|---|---|
| レポートにコメントを付ける | レポートのコメントを作成、表示、編集、および削除します。 |
| 個別のサブスクリプションを管理 | レポートおよびリンク レポートのユーザーが所有するサブスクリプションの作成、表示、変更、および削除と、そのようなサブスクリプションに定義するスケジュールの作成を行います。 |
| フォルダーの表示 | フォルダーのコンテンツの表示と、フォルダー階層の参照を行います。 |
| モデルの表示 | フォルダー階層のモデルを表示し、モデルをレポートのデータ ソースとして使用し、モデルに対してクエリを実行してデータを取得します。 |
| レポートの表示 | レポートを実行し、レポートのプロパティを表示します。 |
| リソースの表示 | リソースおよびリソースのプロパティを表示します。 |
閲覧者ロールのカスタマイズ
閲覧者 ロールは、必要に応じて変更できます。 たとえば、サブスクリプションをサポートしないようにする場合は、"個別のサブスクリプションを管理" タスクを削除できます。また、レポート サーバーにアップロードされる可能性がある付属ドキュメントなどのアイテムをユーザーに対し非表示にする場合は、"リソースの表示" タスクを削除できます。
表示とフォルダーの参照を可能にするために、このロールには、少なくとも "レポートの表示" タスクと "フォルダーの表示" タスクを定義する必要があります。 フォルダーの参照を無効にする必要がない限り、"フォルダーの表示" タスクは削除しないでください。 同様に、ユーザーに対しレポートを非表示にする必要がない限り、"レポートの表示" タスクは削除しないでください。 いずれかのタスクを削除する場合、特定のユーザー グループに限定して適用されるカスタム ロールの定義が必要になります。
レポート ビルダー ロール
レポート ビルダー ロールは、レポート ビルダーでのレポート読み込みタスクのほか、フォルダー階層の表示および移動タスクを含む、定義済みロールです。 レポート ビルダーでレポートを作成および変更するには、レポート ビルダーでレポートをローカルに処理するのに必要な、"レポート定義の実行" タスクを含むシステム ロールも割り当てられている必要があります。
レポート ビルダーのタスク
次の表では、レポート ビルダー ロールに含まれているタスクについて説明します。
| タスク | 説明 |
|---|---|
| レポートにコメントを付ける | レポートのコメントを作成、表示、編集、および削除します。 |
| レポートの使用 | レポート定義を読み込みます。 |
| 個別のサブスクリプションを管理 | レポートおよびリンク レポートのユーザーが所有するサブスクリプションの作成、表示、変更、および削除と、そのようなサブスクリプションに定義するスケジュールの作成を行います。 |
| フォルダーの表示 | フォルダーのコンテンツの表示と、フォルダー階層の参照を行います。 |
| モデルの表示 | フォルダー階層のモデルを表示し、モデルをレポートのデータ ソースとして使用し、モデルに対してクエリを実行してデータを取得します。 |
| レポートの表示 | レポートを実行し、レポートのプロパティを表示します。 |
| リソースの表示 | リソースおよびリソースのプロパティを表示します。 |
レポート ビルダー ロールのカスタマイズ
レポート ビルダー ロールは、必要に応じて変更できます。 推奨事項は 参照 ロールとほぼ同じです。サブスクリプションをサポートしない場合は、"個別のサブスクリプションを管理" タスクを削除し、ユーザーにリソースを表示しない場合は、"リソースの表示" タスクを削除します。表示およびフォルダーの移動をサポートするには、"レポートの表示" タスクと "フォルダーの表示" タスクを保存します。
このロール定義の中で最も重要なタスクは "レポートの使用" です。このタスクにより、ユーザーはレポート サーバーからレポート ビルダーのローカル インスタンスにレポート定義を読み込むことができます。 このタスクをサポートしない場合は、このロール定義を削除し、 閲覧者 ロールを使用してレポート サーバーへの一般的なアクセスをサポートすることができます。
個人用レポート ロール
個人用レポート ロールは、個人用レポート機能のユーザーに役立つ一連のタスクを含む定義済みロールです。 このロールの定義には、ユーザーが所有する [個人用レポート] フォルダーの管理権限をそのユーザーに与えるタスクが含まれています。
個人用レポート機能と共に使用するロールに別のロールを選択することもできますが、個人用レポートのセキュリティ専用に使用するロールを選択することをお勧めします。 詳細については、「 個人用レポートをセキュリティで保護する」を参照してください。
個人用レポートのタスク
個人用レポート ロールに含まれているタスクの一覧を、以下の表に示します。
| タスク | 説明 |
|---|---|
| レポートにコメントを付ける | レポートのコメントを作成、表示、編集、および削除します。 |
| リンク レポートの作成 | ユーザーの [個人用レポート] フォルダーに格納されているレポートを基にしたリンク レポートを作成します。 |
| コメントの管理 | レポートの他のユーザーのコメントを削除します。 |
| データ ソースを管理する | 共有データ ソース アイテムの作成および削除と、データ ソースのプロパティとコンテンツの表示および変更を行います。 |
| フォルダーの管理 | フォルダーの作成、表示、削除、およびフォルダーのプロパティの表示と変更を行います。 |
| 個別のサブスクリプションを管理 | レポートおよびリンク レポートのサブスクリプションの作成、表示、変更、および削除を行います。 |
| レポート履歴の管理 | レポート履歴の作成、表示、削除、レポート履歴のプロパティの表示、およびスナップショット履歴の制限とキャッシュの動作を決定する設定の表示と変更を行います。 |
| レポートの管理 | レポートの追加と削除、レポート パラメーターの変更、レポートのプロパティの表示と変更、レポートにコンテンツを提供するデータ ソースの表示と変更、レポート定義の表示と変更、レポート レベルのセキュリティ ポリシーの設定を行います。 |
| リソースの管理 | リソースの作成、変更、および削除を行います。 また、リソース プロパティの表示および変更を行います。 |
| データ ソースの表示 | フォルダー階層内の共有データ ソース アイテムを表示します。 |
| フォルダーの表示 | フォルダーのコンテンツを表示します。 |
| レポートの表示 | ユーザーの [個人用レポート] フォルダーに格納されているレポートの実行およびレポートのプロパティの表示を行います。 |
| リソースの表示 | リソースおよびリソースのプロパティを表示します。 |
個人用レポート ロールのカスタマイズ
このロールは、必要に応じて変更できます。 ただし、"レポートの管理" タスクおよび "フォルダーの管理" タスクは保持して、基本コンテンツの管理を有効にすることをお勧めします。 また、このロールでは、ユーザーによるフォルダー コンテンツの表示と管理するレポートの実行を可能にする、表示に関するすべてのタスクがサポートされている必要があります。
既定では、"アイテムごとにセキュリティを設定" タスクはロール定義の一部ではありませんが、個人用レポート ロールにこのタスクを追加すると、ユーザーがサブフォルダーおよびレポートのセキュリティを設定することができます。
システム管理者ロール
システム管理者 ロールは、レポート サーバーの全体的な責任は負うが、サーバーのコンテンツに対しては必ずしも責任を負わないレポート サーバー管理者にとって役立つタスクを含んだ、定義済みのロールです。
このロールを含むロールの割り当てを作成するには、Web ポータルの [サイトの設定] ページを使用するか、Management Studio のレポート サーバー ノードを右クリックして表示されるコマンドを使用します。
システム管理者 ロールには、ローカル管理者がコンピューターに対して持つような完全な権限は与えられません。 システム管理者 ロールに含まれるのは、アイテム レベルではなくサイト レベルで実行される操作です。 サイト全体の操作とレポート サーバーに格納されているアイテムの両方へのアクセスが必要なユーザーに対しては、 コンテンツ マネージャー ロールを含む 2 つ目のロール割り当てを [ホーム] フォルダーに対して作成します。 これら 2 つのロールの定義を使用すると、レポート サーバー上のすべてのアイテムへの完全なアクセスを必要とするユーザーに完全なタスク セットを提供できます。
システム管理者タスク
システム管理者ロールに含まれているタスクの一覧を、次の表に示します。
| タスク | 説明 |
|---|---|
| レポート定義の実行 | レポート サーバーにパブリッシュせずにレポート定義の実行を開始します。 |
| ジョブの管理 | 実行中のジョブを表示および取り消します。 詳細については、「 実行中の処理を管理する」を参照してください。 |
| レポート サーバーのプロパティを管理 | レポート サーバーと、レポート サーバーの管理下にあるアイテムに適用されるプロパティを表示および変更します。 このタスクにより、Web ポータルの名前の変更、個人用レポートの有効化、およびレポート履歴の既定値の設定を行うことができます。 |
| レポート サーバーのセキュリティを管理 | システム全体のロールの割り当てを表示および変更します。 |
| ロールの管理 | ロールの定義を作成、表示、変更、および削除します。 システム管理者 ロールのメンバーは [サイトの設定] ページを使用してロールを管理できます。 |
| 共有スケジュールの管理 | レポートの実行や更新に使用する共有スケジュールを作成、表示、変更、および削除します。 |
システム管理者 ロールは既定のセキュリティで使用されます。
システム ユーザー ロール
システム ユーザー ロールは、レポート サーバーに関する基本的な情報の表示をユーザーに許可するタスクを含んだ、定義済みのロールです。 レポート ビルダーへのレポートの読み込みもサポートされています。 レポート ビルダーは、レポート サーバーから独立してレポートを処理できるクライアント アプリケーションです。 "レポート定義の実行" タスクは、レポート ビルダーで使用するために用意されています。 レポート ビルダーを使用していない場合は、このタスクを システム ユーザー ロールから削除してもかまいません。
システム ユーザー ロールの定義に含まれているタスクの一覧を、以下の表に示します。
システム ユーザー タスク
| タスク | 説明 |
|---|---|
| レポート定義の実行 | レポート サーバーにパブリッシュせずにレポートを実行します。 |
| レポート サーバーのプロパティを表示 | アプリケーション名、個人用レポート設定が有効かどうか、レポート履歴の既定値など、レポート サーバーに適用するプロパティを表示します。 システム ユーザー ロールからこのタスクを削除すると、[サイトの設定] ページを利用できなくなります。 また、各ページの上部にアプリケーションのタイトルが表示されません。 既定では、Web ポータルのタイトルは "SQL Server Reporting Services" です。 |
| 共有スケジュールの表示 | レポートの実行または更新に使用する共有スケジュールを表示します。 システム ユーザー ロールからこのタスクを削除すると、ユーザーはサブスクリプションおよびその他のスケジュールに設定された操作に使用する共有スケジュールを選択できなくなります。 |
システム ユーザー ロールを使用して、既定のセキュリティを補完できます。 このロールは、レポート サーバーへのアクセスをレポート ユーザーに許可する新しいロールの割り当てに含めることができます。 詳細については、「 ネイティブ モードのレポート サーバーに対する権限の許可」をご覧ください。
関連項目
ロールを作成、削除、または変更する (Management Studio)
レポート サーバーへのユーザー アクセスを許可する
ロールの割り当てを変更または削除する (SSRS Web ポータル)
ネイティブ モードのレポート サーバーに対する権限の許可
タスクと権限