ユーザーへのセキュリティ ロールの割り当て
セキュリティ ロールに関する次の情報を考慮してください。
- セキュリティ ロールは、一連のアクセス レベルとアクセス許可により、データへのユーザーのアクセスを制御します。 特定のセキュリティ ロールに含まれるアクセス許可とアクセス レベルの組み合わせにより、ユーザーが表示できるデータとユーザーのデータ使用方法を制限します。
- Dataverse には、既定のセキュリティ ロール セットが用意されています。 組織が必要とする場合、既定のセキュリティ ロールのいずれかを編集して新しい名前で保存することで、新しいセキュリティ ロールを作成できます。 定義済みのセキュリティ ロールを参照してください。
- ユーザーに複数のセキュリティ ロールを割り当てることができます。 複数のセキュリティ ロールの影響は累積的です。これは、ユーザーに割り当てたすべてのセキュリティ ロールに関連付けらたアクセス許可をユーザーが持つことを意味します。
- セキュリティ ロールは部署と関連付けられます。 部署が既に作成されている場合、部署内のユーザーは、部署に関連付けられたセキュリティ ロールのみを使用できます。 この機能を使用して、データへのアクセスを部署に属するデータのみに制限できます。
- 部署全体でレコードの所有権を許可するを有効にしている場合、ユーザーが所属する部署に関係なく、さまざまな部署のセキュリティ ロールをユーザーに割り当てることができます。
- ユーザーにセキュリティ ロールを割り当てるには、適切な権限が必要です (最小の権限は、セキュリティ ロール テーブルの読み取りと割り当てです)。 セキュリティ ロール特権の昇格を防ぐために、セキュリティ ロールを割り当てている人は、割り当て者よりも多くの特権を持つセキュリティ ロールを他の人に割り当てることはできません。 たとえば、CSR マネージャーは別のユーザーをシステム管理者ロールに割り当てることはできません。 この特権の検証には、特権の深さレベルおよび事業単位で割り当て者が保持する各特権のチェックが含まれます。 たとえば、その事業単位から割り当てられた適切な特権レベルを持つセキュリティ ロールを保持していない場合、別の事業単位から別のユーザーにセキュリティ ロールを割り当てることはできません。
注意
既定では、システム管理者セキュリティ ロールには、システム管理者セキュリティ ロールの割り当てを含め、すべてのユーザーにセキュリティ ロールを割り当てるのに必要な権限すべてがあります。 システム管理者以外 にセキュリティ ロールの割り当てを許可する必要がある場合は、にリストされているすべての権限を持つカスタム セキュリティ ロールを作成することを検討してください。管理ユーザーを作成し、セキュリティ ロール権限の昇格を防ぎます。 カスタム セキュリティ ロールと、非システム管理者 が他のユーザーに割り当てることができるすべてのセキュリティ ロールを、非システム管理者に割り当てます。 このセキュリティ ロール要件は、システム管理者以外のユーザーが 所有者チームのチーム メンバーを管理 できるようにする場合にも必要です。
Microsoft オンライン サービス 管理者 ロールとセキュリティ ロールの違いの詳細については、「 ユーザーへのアクセス権の付与」を参照してください。
チップ
次のビデオを確認します: Power Platform 管理センターでセキュリティ ロールを割り当てる。
次の手順に従って、セキュリティ ロール を割り当てます。
システム管理者として、Power Platform 管理センター にサインインします。
環境を選び、リストから環境を選択します。
設定を選択します。
ユーザー + アクセス許可を選択してから、ユーザーを選択します。
ユーザー ページで、ユーザーを選択して、セキュリティ ロールの管理を選択します。
セキュリティ ロールを選択または選択解除します。 終わったら、保存を選択します。 保存した後、選択したすべてのロールが、現在ユーザーに割り当てられているロールになります。 選択されていないロールは割り当てられません。
部署全体でレコードの所有権を許可するを有効にしている場合、別の部署からセキュリティ ロールを選択できます。
重要
グループチーム のメンバーとして、直接または間接的に、すべてのユーザーに少なくとも 1 つのセキュリティ ロールを割り当てる必要があります。 このサービスでは、セキュリティ ロールを少なくとも 1 つ持つユーザーにしかアクセスを許可しません。
注意
上記のパネルでは、ユーザの直接ロール割り当てのみを表示し、管理します。 グループ チームの管理 では、グループ チームのメンバーとして割り当てられた役割を表示および管理する方法について説明します。 ...
事業単位全体でレコードを所有するためのユーザー設定特権
部署全体でレコードの所有権を許可するを有効にした場合、ユーザーが他の部署のデータにアクセスするには、他の部署のセキュリティ ロールが直接割り当てられている必要があります。 また、ユーザー UI 設定を更新するためには、ユーザーのビジネスユニットから割り当てられた、以下の表の権限を持つセキュリティ ロールが必要となります。
- アクション カードのユーザー設定
- 保存されているビュー
- ユーザー グラフ
- ユーザー ダッシュボード
- ユーザー エンティティのインスタンス データ
- ユーザー エンティティの UI 設定
- ユーザー アプリケーション メタデータ
Microsoft Dataverse データベースが 0 個または 1 個の環境でユーザーにセキュリティロールを割り当てるには、環境内のリソースにユーザーのセキュリティを設定する を参照してください。
(オプション) 管理者ロールの割り当て
各ロールを満たすように要求されたユーザーにオンライン サービス ロールを割り当てることで、複数のユーザー間でオンライン サービス管理タスクを実行できます。 Microsoft Microsoft Microsoft オンライン サービス 管理者 ロールの詳細については、 管理者ロールの割り当てを参照してください。
注意
Microsoft オンライン サービス 共有 管理者 ロールは、オンライン サービス サブスクリプションの側面を管理する場合にのみ有効です。 これらのロールはサービス内のアクセス許可には影響しません。
ロールの自動割り当て
Dataverse にユーザーが追加されたとき、以下の基準に基づいてロールが自動的に割り当てられます:
有効なライセンスを持つユーザーには、対応するマップされたロールが自動的に割り当てられます。 各ライセンスを削除すると、自動的にロールが削除されます。 ライセンス ベースの既定のロール管理は、次の種類の環境のユーザーには適用されません: Dataverse for Teams、試用版、および開発者。
既定の環境タイプでは、基本ユーザー と 環境作成者 のロールが、Dataverse に追加したすべてのユーザーに自動で割り当てられます。
Dataverse データベースを使用する財務と運用のリンク環境では、財務と運用の Basic ユーザー セキュリティ ロールが、Dataverse のすべてのアクティブなユーザーに自動で割り当てられます。
注意
以前は、 Microsoft Entra 管理者とDynamics 365サービス管理者を含む Power Platform ID管理者には、 Dataverse のシステム 管理者 ロールが自動的に割り当てられていました。 これはもう当てはまりません。 ただし、管理者に以前 Dataverse でロールが割り当てられていた場合、 Power Platform 管理者およびDynamics 365サービス管理者ロールから管理者を削除しても、 Dataverse のシステム 管理者 ロールは自動的に削除されません。 現時点では、ロールがシステムによって自動的に割り当てられたのか、管理者 によって手動で割り当てられたのかを判断する方法はありません。 したがって、ロールが削除されたら、管理者はSystem管理者 ロールを手動で削除することをお勧めします。 Microsoft Entra
ライセンスとロールのマッピング
環境で定義されている場合、ユーザーが Dataverse に追加されると、ユーザーに割り当てられたライセンスに応じて特定のロールが自動的にユーザーに割り当てられます。 環境でライセンスとロールのマッピングを表示するには、Power Platform 管理センターの "ライセンスとロールのマッピング" ページに移動します。
環境>[環境を選択する]>設定>ユーザー + アクセス許可>ライセンスとロールのマッピングに移動します。