Project Server 2010 でグループ、カテゴリ、および RBS を計画する
適用先: Project Server 2010
トピックの最終更新日: 2017-01-20
Microsoft Project Server 2010 のセキュリティはユーザー、グループ、およびカテゴリに基づいています。この記事では、Project Server 展開でのグループとカテゴリの計画について説明します。
この記事の内容
アクセス権
グループ
カテゴリ
セキュリティ テンプレート
Resource Breakdown Structure
この記事には、権限、グループ、カテゴリ、および RBS に関連する概念をわかりやすく詳細に説明する一連のビデオ デモも含まれています。ビデオへのリンクは、以下の各セクションに配置されています。後のビデオは前のビデオで紹介した概念に基づいて作成されているため、この記事に配置されている順序に従って再生することをお勧めします。
注意
これらのビデオの作成には、Microsoft Office Project Server 2007 を使用しました。Project Server 2010 で変更された点はありますが、Project Server セキュリティのしくみは基本的に同じままです。
アクセス権
このビデオでは権限のしくみを説明します。
.jpg "ビデオのスクリーンショット")
ビデオを見る (英語) (https://go.microsoft.com/fwlink/?linkid=168549\&clcid=0x411) (英語)。ファイルをダウンロードするには、リンクを右クリックし、[対象をファイルに保存] をクリックしてください。
アクセス権は、Project Server の文脈において特定のアクションを実行する権限です。Project Server の各アクセス権を、許可または 拒否できます。また、構成しないでおくこともできます。たとえば、パスワードの変更のアクセス権を、任意のユーザーまたはグループに対し許可または拒否できます。Project Server には、次の 2 種類のアクセス権があります。
グローバル アクセス権は、Microsoft Project Web App (PWA) のインスタンス全体でアクションを実行する権限を、ユーザーまたはグループに付与します。グローバル アクセス権は、ユーザー レベルまたはグループ レベルで割り当てられます。
カテゴリ権限は、特定のプロジェクトおよびリソースに対してアクションを実行する権限を、ユーザーまたはグループに付与します。カテゴリ権限は、カテゴリ レベルで割り当てられます。
アクセス権は、Project Server 2010 管理メニューのさまざまな場所で設定できます。[許可] 列および [拒否] 列のチェック ボックスをオンにすることによって、アクセス権を許可または拒否できます。[許可] チェック ボックスと [拒否] チェック ボックスをどちらもオンにしない場合、既定の状態は "許可しない" です。"許可しない" 状態では、他の方法でユーザーにアクセス権が付与されている場合、そのアクセス権に関連付けられた機能へのアクセスは禁止されません。たとえば、あるユーザーが属しているグループにアクセス権が構成されていない (許可されていない) 場合でも、そのアクセス権が許可されている別のグループのメンバーシップによってアクセス権が付与されることがあります。ただし、他の場所でアクセス権が明示的に拒否されている場合は、特定のユーザーまたはグループについてすべての場所でそのアクセス権は拒否されます。
Project Server 2010 のすべてのアクセス権は、Project Web App の [サーバー設定] ページで構成できます。アクセス権は次のように構成できます。
許可 ユーザーやグループ メンバーはアクセス権に関連付けられた操作を実行できます。
拒否 ユーザーやグループ メンバーはアクセス権に関連付けられた操作を実行できません。アクセス権を拒否する場合は注意が必要です。ユーザーに対して特定のアクセス権を拒否した場合、拒否の設定は、そのユーザーが属する他のグループに適用されたどの許可の設定よりも優先されます。既定で [拒否] に設定されているアクセス権はありません。
許可しない アクセス権について [許可] と [拒否] のどちらも選択していない場合、既定の状態は "許可しない" です。ユーザーが複数のグループに属しており、あるグループについてはアクセス権が "許可しない" に設定されており、別のグループについては [許可] に設定されている ([拒否] ではない) 場合、ユーザーはそのアクセス権に関連付けられた操作を実行できます。
アクセス権を [拒否] に構成する場合は、[拒否] の設定は、そのアクセス権について他のグループのメンバーシップによってそのユーザーに対して適用されたどの [許可] の設定よりも優先されることを考慮する必要があります。[拒否] の設定の使用を制限することによって、大規模なユーザー グループのアクセス権の管理が容易になります。
注意
[拒否] の設定は [許可] の設定よりも優先されるので、この設定によって機能へのアクセスを拒否できます。したがって、[拒否] チェック ボックスをオンする場合は注意が必要です。組織外部のユーザーが Project Server のセキュリティ オブジェクトにアクセスすることを防止したり、ユーザーやグループに対する機能を拒否したりする場合に、[拒否] チェック ボックスをオンにします。
ユーザー数が多い組織では、アクセス権を個々に割り当てて管理することは膨大な労力を必要とする作業になる場合があります。グループを使用すると、1 回の操作で複数のユーザーにアクセス権を割り当てることができます。Project Server 2010 の最初の展開計画プロセスの中で、グループを作成し、グループに関連付けるアクセス権のセットを定義してから、ユーザーをグループに割り当て、グループをカテゴリに割り当てます。グループ、グループに関連付けるアクセス権、およびグループ メンバーシップを定義した後、ユーザー、グループ、およびカテゴリの日常的な管理では、セキュリティ グループへのユーザーの追加とセキュリティ グループからのユーザーの削除を行います。これによって、必要な日常の管理作業が削減され、アクセス権の問題のトラブルシューティングが容易になります。
注意
Project Web App のグローバル アクセス権の一覧については「Project Server 2010 のグローバル アクセス権」を、カテゴリ権限については「Project Server 2010 のカテゴリ権限」を参照してください。
グループ
このビデオではグループのしくみを説明します。
.jpg "ビデオのスクリーンショット")
ビデオを見る (英語) (https://go.microsoft.com/fwlink/?linkid=168587\&clcid=0x411) (英語)。ファイルをダウンロードするには、リンクを右クリックし、[対象をファイルに保存] をクリックします。
グループには、機能に対する同様のニーズを持つ一連のユーザーが含まれます。たとえば、組織内の特定の部門のすべてのプロジェクト マネージャーは、同じ Project Server のアクセス権のセットを必要とすると考えられ、一方で役員またはリソース マネージャーには別のニーズがあると考えられます。
組織内のユーザーがアクセスする必要がある Project Server 2010 の領域に基づいて共通のニーズを識別してグループを定義します。グループを定義した後、グループにユーザーを追加し、そのグループにアクセス権を付与します。グループに割り当てられたアクセス権は、そのグループに含まれるすべてのユーザーに適用されます。グループを使用して Project Server 2010 のアクセス権を制御することによって、Project Server でのセキュリティ管理が容易になります。グループ メンバーシップは頻繁に変更されることがありますが、グループのアクセスの要件があまり頻繁に変更されることはありません。
注意
グループ メンバーシップはユーザーのみで構成されます。グループに他のグループを含めることはできません。
ユーザーは、組織内での役割とアクセスの要件に従って、複数のグループに属することができます。Project Server 2010 をインストールすると、既定で以下のグループが作成され、各グループには定義済みのカテゴリとアクセス権のセットが割り当てられます。
| グループ | 説明 |
|---|---|
管理者 |
ユーザーは、すべてのグローバル アクセス権と、自分の所属組織カテゴリを介したすべてのカテゴリ権限を持ちます。Project Server のすべてに対する完全なアクセスが許可されます。 |
役員 |
ユーザーは、プロジェクトおよび Project Server データを表示するアクセス権を持ちます。このグループは、プロジェクトを表示できる必要はあるが、自身にはプロジェクト タスクが割り当てられていない高レベルのユーザー用です。 |
ポートフォリオ マネージャー |
ユーザーは、分類された、プロジェクトの作成およびチームの構築のアクセス権を持ちます。このグループは、プロジェクトのグループの、高レベルなマネージャー用です。 |
プロジェクト マネージャー |
ユーザーは、ほとんどのグローバルレベルおよびカテゴリレベルのプロジェクトのアクセス権と、限定されたリソースのアクセス権を持ちます。このグループは、毎日プロジェクトのスケジュールを管理するユーザー用です。 |
リソース マネージャー |
ユーザーは、ほとんどのグローバルレベルおよびカテゴリレベルのリソースのアクセス権を持ちます。このグループは、リソースの管理と割り当ておよびリソース データの編集を行うユーザー用です。 |
チーム リーダー |
ユーザーは、タスクの作成および進捗の報告に関する限定されたアクセス権を持ちます。このグループは、プロジェクトにおいて日常のタスクが割り当てられていない、リーダーの立場にあるユーザー用です。 |
チーム メンバー |
ユーザーは、PWA を使用するための一般的なアクセス権は持っていますが、プロジェクトレベルのアクセス権は限定されています。このグループは、すべてのユーザーに PWA に対する基本的なアクセスを提供するためのものです、すべての新しいユーザーは、チーム メンバー グループに自動的に追加されます。 |
管理者は、通常、ユーザー アカウントを組み込みのグループのいずれかに追加するか、新しいグループを作成してそのグループに特定のアクセス権を割り当てることによって、アクセス権を割り当てます。
注意
Project Web App のグローバル アクセス権の一覧については「Project Server 2010 のグローバル アクセス権」を、カテゴリ権限については「Project Server 2010 のカテゴリ権限」を参照してください。
カテゴリ
このビデオではカテゴリのしくみを説明します。
.jpg "ビデオのスクリーンショット")
ビデオを見る (英語) (https://go.microsoft.com/fwlink/?linkid=168588\&clcid=0x411) (英語)。ファイルをダウンロードするには、リンクを右クリックし、[対象をファイルに保存] をクリックします。
カテゴリは、プロジェクト、リソース、およびビューのコレクションです。カテゴリによって、任意のユーザーがアクセスできる情報の範囲が定義されます。カテゴリは、ユーザーにアクセス権を提供するという点でグループと似ています。グローバル アクセス権と異なり、カテゴリ権限は、特定のプロジェクトおよびリソースと関連付けられています。さらに、カテゴリには、プロジェクトおよびリソースのフィルターが含まれ、これを使用して、指定されたアクセス権を適用するプロジェクトおよびリソースを決定できます。
グループとカテゴリを互いに関連付けることで、各ユーザーにアクセス権の完全なセットを提供します。各グループを 1 つ以上のカテゴリと関連付けることができ、さらに、各カテゴリで、プロジェクトレベルおよびリソースレベルのアクセス権の異なるセットを、そのグループのメンバーに提供できます。
Project Web App の各インスタンスには、以下の既定のカテゴリが用意されています。
| カテゴリ | 説明 |
|---|---|
自分の直属の部下 |
ユーザーは、RBS におけるその直下のタイムシートを承認できます。このカテゴリは、タイムシートを承認できる必要があるマネージャー用です。 |
自分の所属組織 |
すべてのプロジェクトおよびリソースが含まれ、関連付けられているグループの管理に応じて、さまざまなレベルのカテゴリ権限が許可されます。すべてのビューに対する完全なアクセスも提供されます。このカテゴリは、ユーザーが Project Web App インスタンス上のすべてを表示できるようにするためのものです。 |
自分のプロジェクト |
プロジェクトを所有している、プロジェクトの進捗管理者である、リソースとしてプロジェクトに割り当てられている、RBS におけるその下位がプロジェクトに割り当てられているユーザーに対しカテゴリ権限が許可されます。このカテゴリは、ユーザーが、自身および RBS におけるその下位が関連付けられているすべてのプロジェクトを表示できるようにするためのものです。 |
自分のリソース |
RBS におけるユーザーの下位であるリソースに対する、ほとんどのリソースレベルのカテゴリ権限が許可されます。このカテゴリは、ユーザーが、RBS 構造で区別されている自身のリソースを管理できるようにするためのものです。 |
自分のタスク |
ユーザーは、自身が割り当てられているプロジェクトを表示できます。このカテゴリは、チーム メンバー グループと関連付けられます。このカテゴリは、すべてのユーザーが、自身が割り当てられているプロジェクトを表示できるようにするためのものです。 |
カスタム カテゴリを作成して、プロジェクト、リソース、およびビューにアクセスするための新しい方法を提供できます。大量のカテゴリが存在すると、管理が複雑になる場合があります。カテゴリは、慎重に使用することをお勧めします。
セキュリティ テンプレート
セキュリティ テンプレートは、定義済みのアクセス権のセットです。セキュリティ テンプレートを使用すると、同じデータにアクセスする必要があるユーザーのグループに対してアクセス権を付与するプロセスを簡素化できます。Project Web App の各インスタンスには、以下の既定のセキュリティ テンプレートが用意されています。
管理者
役員
ポートフォリオ マネージャー
プロジェクト マネージャー
提案確認者
リソース マネージャー
チーム リーダー
チーム メンバー
セキュリティ テンプレートは、新規または既存のユーザー、グループ、およびカテゴリに定義済みのアクセス権のプロファイルを簡単に適用またはリセットするための手段として使用できます。セキュリティ テンプレートを適用することによって、組織内でのユーザーの役割に従って割り当てるアクセス権を簡単に標準化できます。既定では、Project Server をインストールしたときに、定義済みのセキュリティ テンプレートが作成されます。これらのセキュリティ テンプレートは定義済みのグループに対応しています。ニーズに合わせてこれらのセキュリティ テンプレートをカスタマイズし、新しいセキュリティ テンプレートを作成できます。
注意
セキュリティ テンプレートの設定を変更しても、そのテンプレートが適用されているユーザーとグループに変更が自動的に適用されるわけではありません。
カスタム セキュリティ テンプレートを作成するには計画が必要です。最初に、組織内で共通する Project Server 2010 の使用パターンで、Project Server 2010 の既定のセキュリティ テンプレートには反映されていないパターンを識別する必要があります。これによって、カスタム セキュリティ テンプレートの要件を識別できます。次に、共通の Project Server 2010 の使用パターンを持つユーザーが必要としているアクセス権を特定します。これによって、セキュリティ テンプレートが定義されます。次に、ユーザーとグループがアクセスする必要があるプロジェクト、リソース、ビューなどのセットを特定します。これによって、セキュリティ カテゴリが定義されます。カスタム セキュリティ テンプレートを作成し、共通の使用パターンを持つユーザーのグループに適用します。
Resource Breakdown Structure
このビデオでは RBS のしくみを説明します。
.jpg "ビデオのスクリーンショット")
ビデオを見る (英語) (https://go.microsoft.com/fwlink/?linkid=168589\&clcid=0x411) (英語)。ファイルをダウンロードするには、リンクを右クリックし、[対象をファイルに保存] をクリックします。
Resource Breakdown Structure (RBS) は、階層型のセキュリティ構造であり、通常は組織の管理報告構造を基盤としていますが、他の方法で構造化することもできます。RBS は、組織内のユーザーおよびプロジェクト間の上下関係を定義するために使用する際に、Project Server のセキュリティ モデルでの重要な要素となります。各 Project Server ユーザーに RBS 値を指定するときは、各セキュリティ カテゴリに定義できる動的なセキュリティ オプションを利用できます。
RBS 構造は、Project Server 2010 に組み込まれている RBS カスタム ルックアップ テーブルに値を追加することで定義されます。構造を定義したら、ユーザーのアカウント設定ページで RBS プロパティを設定することで、個々のユーザーに RBS 値を割り当てることができます。
RBS を構成すると、カテゴリで RBS コードを使用して、特定のユーザーが表示またはアクセスできるプロジェクトおよびリソースを動的に決定できます。次の表は、各カテゴリで使用できる、RBS を使用するセキュリティ オプションを示しています。
プロジェクトのオプション
| オプション | 説明 |
|---|---|
ユーザーがプロジェクト所有者、またはそのプロジェクトの割り当ての進捗管理者である |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、自身がプロジェクト所有者または進捗管理者であるプロジェクトを表示できます。 |
ユーザーがそのプロジェクトのプロジェクト チームに属している |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、自身がリソースであるプロジェクトを表示できます。 |
プロジェクト所有者が RBS でユーザーの下位にある |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、RBS におけるその下位が所有するプロジェクトを表示できます。 |
プロジェクトのプロジェクト チームのリソースが RBS でユーザーの下位にある |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、RBS におけるその下位がリソースであるプロジェクトを表示できます。 |
プロジェクト所有者がユーザーと同じ RBS 値を持つ |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、同じ RBS 値を持つ他のユーザーが所有するプロジェクトを表示できます。 |
注意
最初の 2 つのオプション ([ユーザーがプロジェクト所有者、またはそのプロジェクトの割り当ての進捗管理者である] および [ユーザーがそのプロジェクトのプロジェクト チームに属している]) は、RBS には関連付けられていませんが、ユーザーが表示できるプロジェクトをフィルタリングする同様の方法を提供します。
リソースのオプション
| オプション | 説明 |
|---|---|
ユーザーがリソースである |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、自身をリソースとして表示できます。 |
ユーザーが所有するプロジェクトのプロジェクト チームのメンバーである |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、自身が所有するプロジェクトに割り当てられているリソースを表示できます。 |
RBS でユーザーの下位にある |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、RBS におけるその下位を表示できます。 |
RBS でユーザー直下にある |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、RBS におけるその直下を表示できます。 |
ユーザーと同じ RBS 値を持つ |
このオプションが選択されているカテゴリのアクセス権を持つユーザーは、同じ RBS 値を持つ他のユーザーを表示できます。 |
注意
最初の 2 つのオプション ([ユーザーがリソースである] および [ユーザーが所有するプロジェクトのプロジェクト チームのメンバーである]) は、RBS には関連付けられていませんが、ユーザーが表示できるリソースをフィルタリングする同様の方法を提供します。
カテゴリを作成または変更するときに、上記の表に示されているオプションを構成できます。詳細については、「Project Server 2010 のカテゴリを管理する」を参照してください。