環境ロールについて理解する
ロールを使用し、その後環境にユーザーを追加してユーザーにロールを割り当てることで、その環境レベルのセキュリティを管理できます。 ロールには特定のアクセス許可が関連付けられており、ユーザーに 1 つまたは複数のロールを割り当てることができます。 ロールとは、権限のコレクションとお考えください。 環境には、環境内のアクセス許可へのアクセスを提供する次の 2 つの定義済みロールがあります。 環境内のユーザーに付与するアクセス許可を検討する際は、これら 2 つのロールのいずれかをユーザーに割り当てます。 ただし、環境に Dataverse データベースがある場合は、さらにロールが追加され、アクセス許可オプションが広がります。
各環境には、これらの定義済みロールが含まれています。
環境管理者
環境作成者
重要
ユーザーが環境に追加されると、環境作成者ロールに自動的に関連付けられます。
環境管理者ロール
Dataverse が環境に追加される前に、環境管理者ロールは、環境に対して次のことを含むすべての管理アクションを実行できます。
環境管理者ロールまたは環境作成者ロールでユーザーまたはグループを追加または削除する。
環境用の Dataverse データベースをプロビジョニングする。
環境内で作成されたすべてのリソースを表示して管理する。
データ損失防止ポリシーを設定する。
環境作成者ロール
環境作成者ロールは、Power Automate を使用して、アプリ、接続、カスタム コネクタ、ゲートウェイ、フローなどの環境内のリソースを作成できます。 環境作成者ロールのメンバーには、次のルールが適用されます。
環境作成者は、環境内に作成したアプリを、組織内の他のユーザーに配布できます。 環境作成者は、個々のユーザー、セキュリティ グループ、または組織内のすべてのユーザーとアプリを共有します。
これら環境ロールに割り当てられているユーザーまたはグループには、環境のデータベース (存在する場合) へのアクセス権限は自動的には付与されません。 ユーザーは、データベース所有者によってアクセス権限が別途付与される必要があります。
Power Apps にサインアップする新しいユーザーは、既定の環境の作成者ロールに自動的に追加されます。
Dataverse データストアのある環境
環境に Dataverse データストアがある場合は、次のテーブルで説明されているように、ユーザーには完全な管理者権限の環境管理者ロールではなく、システム管理者ロールが割り当てられている必要があります。
Dataverse に接続するアプリを作成し、テーブルとセキュリティ ロールを作成または更新する必要があるユーザーの場合は、環境作成者ロールに加えて、システム カスタマイザー ロールを割り当てる必要があります。 環境作成者ロールには、環境のデータに対する権限がないため、この手順を行う必要があります。
| セキュリティ ロール | データベース権限* | 説明 |
|---|---|---|
| アプリ オープナー | 作成 (本人)、読み取り、書き込み (本人)、削除 (本人) | 一般的なタスクには最小限の権限があります。 これは主に、テーブルにデータ アクセスを適用する前にロールのコピーを作成する、モデル駆動型アプリの新しいセキュリティ ロールを作成する際に使用されます。 このロールは保護され、更新されることはありません。 |
| 環境作成者 | カスタマイズ | Microsoft Power Automate を使用して、アプリ、接続、カスタム API、ゲートウェイ、およびフローなど、環境に関連付けられた新しいリソースを作成できます。 ただし、このロールには、環境内のデータにアクセスするための権限はありません。 環境作成者は、環境内に作成したアプリを、組織内の他のユーザーに配布することもできます。 また、個々のユーザー、セキュリティ グループ、または組織内のすべてのユーザーとアプリを共有できます。 |
| システム管理者 | 作成、読み取り、書き込み、削除、カスタマイズ、セキュリティ ロール | セキュリティ ロールの作成、変更、割り当てなど、環境をカスタマイズまたは管理するための完全なアクセス許可が付与されます。 環境内のすべてのデータを表示できます。 |
| システム カスタマイザー | 作成、読み取り、書き込み、削除、カスタマイズ | 環境をカスタマイズするための完全なアクセス許可が付与されます。 環境内のすべてのカスタム テーブル データを表示できます。 ただし、このロールを持つユーザーは、アカウント テーブル、連絡先テーブル、活動テーブルで作成した行 (レコード) のみを表示できます。 |
| Basic ユーザー | 読み取り (本人)、作成 (本人)、書き込み (本人)、削除 (本人) | 環境内でアプリを実行して、自分が所有するレコードに対して一般的なタスクを実行できます。 これは、非カスタム テーブルにのみ適用されます。 |
| サービス削除 | 削除 | カスタム エンティティを含む、すべてのエンティティに対する完全な削除アクセス許可が付与されます。 このロールは、主にすべてのエンティティでレコードの削除が必要なサービスによって使用されます。 このロールをユーザーまたはチームに割り当てることはできません。 |
| サービス リーダー | 読み取り | カスタム テーブルを含む、すべてのテーブルに対する完全な読み取りアクセス許可が付与されます。 これは主に、すべてのテーブルの読み取りが必要なバックエンド サービスによって使用されます。 |
| サービス ライター | 作成、読み取り、書き込み | カスタム テーブルを含む、すべてのテーブルに対する完全な作成、読み取り、書き込みアクセス許可が付与されます。 これは主に、レコードの作成と更新が必要なバックエンド サービスによって使用されます。 |
| 代理人 | 別のユーザーに代わって実行する | コードを偽装可能にするか、別のユーザーとして実行します。 通常、レコードへのアクセスを許可するために別のセキュリティ ロールとともに使用されます。 |
| Dynamics 365 管理者 | Dynamics 365 管理者は Microsoft Power Platform サービス管理者ロールです。 このロールは、システム管理者ロールを持っているため、Microsoft Power Platform で管理者機能を実行できます。 | |
| サポート ユーザー | カスタマイズの読み取り、ビジネス管理設定の読み取り | サポート スタッフにカスタマイズおよびビジネス管理設定に対する完全な読み取りアクセス許可が付与されます。 |
| Office コラボレーター | 読み取り (本人) | これらのテーブルのレコードが組織と共有されたテーブルに対する読み取りアクセス許可が付与されます。 他のコア テーブル レコードやカスタム テーブル レコードにはアクセスできません。 このロールは、Office コラボレーター所有者チームに割り当てられ、個々のユーザーには割り当てられません。 |
| グローバル管理者 | Microsoft 365 管理者ロール。 Microsoft ビジネス サブスクリプションの購入者はグローバル管理者となり、同サブスクリプションの製品を無制限に制御したり、ほとんどのデータにアクセスしたりできます。 | |
| グローバル閲覧者 | グローバル閲覧者ロールは、Power Platform 管理センターではサポートされていません。 | |
| Web サイト アプリ所有者 | Azure ポータルの Web サイト アプリケーション 登録を所有するユーザー | |
| Web サイト所有者 | Power Pages Web サイトを作成したユーザーです。 このロールは管理されており、変更できません。 |
* 特に指定されていない限り、権限のスコープはグローバルです。
定義済みセキュリティ ロールに使用できるリソースの概要
ロールがアクセスできるリソースによって、どのようなロールを割り当てる必要があるかを判断するには、次の表が役立ちます。
| リソース | 環境作成者 | 環境管理者 | システム カスタマイザー | システム管理者 |
|---|---|---|---|---|
| キャンバス アプリ | X | X | X | X |
| クラウド フロー | X (ソリューション対応) | X | X (ソリューション対応) | X |
| コネクタ | X | X | - | X |
| 接続 | X | X | - | X |
| データ ゲートウェイ | X | X | - | X |
| データフロー | X | X | - | X |
| Dataverse テーブル | - | - | X | X |
| モデル駆動型アプリ | X | - | X | X |
| ソリューション フレームワーク | X | - | X | X |
| *デスクトップ フロー | - | - | X | X |
| AI Builder | - | - | X | X |
*Dataverse for Teams ユーザーは既定でデスクトップ フローにアクセスできません。 デスクトップ フローを使用するには、Dataverse の全機能に対してお使いの環境をアップグレードし、デスクトップ フロー ライセンス プランを取得する必要があります。