Project Server 2013 でグループ、カテゴリ、および RBS を計画する

 

適用先:Project Server 2013

トピックの最終更新日:2016-12-16

概要: Project Server アクセス許可モードでは、Project Web App のセキュリティはユーザー、グループ、およびカテゴリに基づいています。

この記事では、Project Server 展開でのグループとカテゴリの計画について説明します。SharePoint アクセス許可モードをセキュリティ モデルとして使用している場合は、「SharePoint グループを計画する (Project Server 2013)」を参照してください。

この記事の内容

Project Server の方法についてのビデオ シリーズを見るには、「ビデオ シリーズ:Project Server でセキュリティ権限が機能する方法」をご覧ください。

メモメモ:
これらのビデオの作成には、Office Project Server 2007 を使用しました。Project Server 2013で変更された点はありますが、Project Server アクセス許可モードでの Project Server セキュリティの基本的なしくみは同じままです。

アクセス権は、Project Server の文脈において特定のアクションを実行する権限です。Project Server の各アクセス権を、許可または拒否できます。また、構成しないでおくこともできます。たとえば、パスワードの変更のアクセス権を、任意のユーザーまたはグループに対して許可または拒否できます。

Project Server には、次の 2 種類のアクセス権があります。

  • グローバル アクセス権は、Project Web App のインスタンス全体でアクションを実行する権限を、ユーザーまたはグループに付与します。グローバル アクセス権は、ユーザー レベルまたはグループ レベルで割り当てられます。

  • カテゴリ権限は、特定のプロジェクトおよびリソースに対してアクションを実行する権限を、ユーザーまたはグループに付与します。カテゴリ権限は、カテゴリ レベルで割り当てられます。

アクセス権は、Project Web App のさまざまな場所で設定できます。[許可] 列および [拒否] 列のチェック ボックスをオンにすることによって、アクセス権を許可または拒否できます。[許可] チェック ボックスと [拒否] チェック ボックスをどちらもオンにしない場合、既定の状態は "許可しない" です。"許可しない" 状態では、他の方法でユーザーにアクセス権が付与されている場合、そのアクセス権に関連付けられた機能へのアクセスは禁止されません。たとえば、あるユーザーが属しているグループにアクセス権が構成されていない (許可されていない) 場合でも、そのアクセス権が許可されている別のグループのメンバーシップによってアクセス権が付与されることがあります。ただし、他の場所でアクセス権が明示的に拒否されている場合は、特定のユーザーまたはグループについてすべての場所でそのアクセス権は拒否されます。

Project Server 2013のアクセス権を構成するには、Project Web App の [設定] メニューから [Project Web App の設定] を選択します。アクセス権は次のように構成できます。

  • 許可   ユーザーやグループ メンバーはアクセス権に関連付けられた操作を実行できます。

  • 拒否   ユーザーやグループ メンバーはアクセス権に関連付けられた操作を実行できません。アクセス権を拒否する場合は注意が必要です。ユーザーに対して特定のアクセス権を拒否した場合、拒否の設定は、そのユーザーが属する他のグループに適用されたどの許可の設定よりも優先されます。既定で [拒否] に設定されているアクセス権はありません。

  • 許可しない   アクセス権について [許可] と [拒否] のどちらも選択していない場合、既定の状態は "許可しない" です。ユーザーが複数のグループに属しており、あるグループについてはアクセス権が "許可しない" に設定されており、別のグループについては [許可] に設定されている ([拒否] ではない) 場合、ユーザーはそのアクセス権に関連付けられた操作を実行できます。

アクセス権を [拒否] に構成する場合は、[拒否] の設定は、そのアクセス権について他のグループのメンバーシップによってそのユーザーに対して適用されたどの [許可] の設定よりも優先されることを考慮する必要があります。[拒否] の設定の使用を制限することによって、大規模なユーザー グループのアクセス権の管理が容易になります。

メモメモ:
[拒否] の設定は [許可] の設定よりも優先されるので、この設定によって機能へのアクセスを拒否できます。したがって、[拒否] チェック ボックスをオンする場合は注意が必要です。組織外部のユーザーが Project Server のセキュリティ オブジェクトにアクセスすることを防止したり、ユーザーやグループに対する機能を拒否したりする場合に、[拒否] チェック ボックスをオンにします。

ユーザー数が多い組織では、アクセス権を個々に割り当てて管理することは膨大な労力を必要とする作業になる場合があります。グループを使用すると、1 回の操作で複数のユーザーにアクセス権を割り当てることができます。Project Server 2013の最初の展開計画プロセスの中で、グループを作成し、グループに関連付けるアクセス権のセットを定義してから、ユーザーをグループに割り当て、グループをカテゴリに割り当てます。グループ、グループに関連付けるアクセス権、およびグループ メンバーシップを定義した後、ユーザー、グループ、およびカテゴリの日常的な管理では、セキュリティ グループへのユーザーの追加とセキュリティ グループからのユーザーの削除を行います。これによって、必要な日常の管理作業が削減され、アクセス権の問題のトラブルシューティングが容易になります。

メモメモ:
Project Web App のグローバル アクセス権の一覧については「Project Server 2013 のグローバル アクセス権」を、カテゴリ権限については「Project Server 2013 のカテゴリ権限」を参照してください。

グループには、機能に対する同様のニーズを持つ一連のユーザーが含まれます。たとえば、組織内の特定の部門のすべてのプロジェクト管理者は、同じ Project Server のアクセス権のセットを必要とすると考えられ、一方で役員またはリソース管理者には別のニーズがあると考えられます。

組織内のユーザーがアクセスする必要がある Project Web App の領域に基づいて共通のニーズを識別してグループを定義します。グループを定義した後、グループにユーザーを追加し、そのグループにアクセス権を付与します。グループに割り当てられたアクセス権は、そのグループに含まれるすべてのユーザーに適用されます。グループを使用して Project Web App のアクセス権を制御することによって、Project Web App でのセキュリティ管理が容易になります。グループ メンバーシップは頻繁に変更されることがありますが、グループのアクセスの要件があまり頻繁に変更されることはありません。

メモメモ:
グループ メンバーシップはユーザーのみで構成されます。グループに他のグループを含めることはできません。

ユーザーは、組織内での役割とアクセスの要件に従って、複数のグループに属することができます。Project Server アクセス許可モードの Project Web App の各インスタンスでは、以下のグループを既定で使用できます。各グループには定義済みのカテゴリとアクセス権のセットが割り当てられます。

 

グループ 説明

管理者

ユーザーは、すべてのグローバル アクセス権と、自分の所属組織カテゴリを介したすべてのカテゴリ権限を持ちます。Project Web App の指定されたインスタンスのすべてに対する完全なアクセスが許可されます。

ポートフォリオ ビューアー

ユーザーは、プロジェクトおよび Project Web App データを表示するアクセス権を持ちます。このグループは、プロジェクトを表示する必要はあるが、自身にはプロジェクト タスクが割り当てられていない上位レベルのユーザーを対象としています。

ポートフォリオ管理者

ユーザーは、分類された、プロジェクトの作成およびチームの構築のアクセス権を持ちます。このグループは、プロジェクトのグループの、高レベルなマネージャー用です。

プロジェクト管理者

ユーザーは、ほとんどのグローバル レベルおよびカテゴリ レベルのプロジェクトのアクセス権と、限定されたリソースのアクセス権を持ちます。このグループは、毎日プロジェクトのスケジュールを管理するユーザー用です。

リソース管理者

ユーザーは、ほとんどのグローバルレベルおよびカテゴリレベルのリソースのアクセス権を持ちます。このグループは、リソースの管理と割り当ておよびリソース データの編集を行うユーザーを対象としています。

チーム リーダー

ユーザーは、タスクの作成および進捗の報告に関する限定されたアクセス権を持ちます。このグループは、プロジェクトにおいて日常のタスクが割り当てられていない、リーダーの立場にあるユーザー用です。

チーム メンバー

ユーザーは Project Web App を使用する一般的なアクセス権は持っていますが、プロジェクト レベルの権限は制限されています。このグループは、すべてのユーザーに Project Web App に対する基本的なアクセスを提供することを目的としています。すべての新しいユーザーは、チーム メンバー グループに自動的に追加されます。

管理者は、通常、ユーザー アカウントを組み込みのグループのいずれかに追加するか、新しいグループを作成してそのグループに特定のアクセス権を割り当てることによって、アクセス権を割り当てます。

メモメモ:
Project Web App のグローバル アクセス権の一覧については「Project Server 2013 のグローバル アクセス権」を、カテゴリ権限については「Project Server 2013 のカテゴリ権限」を参照してください。

カテゴリは、プロジェクト、リソース、およびビューのコレクションです。カテゴリによって、任意のユーザーがアクセスできる情報の範囲が定義されます。カテゴリは、ユーザーにアクセス権を提供するという点でグループと似ています。グローバル アクセス権と異なり、カテゴリ権限は、特定のプロジェクトおよびリソースと関連付けられています。さらに、カテゴリには、プロジェクトおよびリソースのフィルターが含まれ、これを使用して、指定されたアクセス権を適用するプロジェクトおよびリソースを決定できます。

グループとカテゴリを互いに関連付けることで、各ユーザーにアクセス権の完全なセットを提供します。各グループを 1 つ以上のカテゴリと関連付けることができ、さらに、各カテゴリで、そのカテゴリのプロジェクトに対するプロジェクト レベルおよびリソース レベルのアクセス権の異なるセットを、そのグループのメンバーに提供できます。

Project Web App の各インスタンスには、以下の既定のカテゴリが用意されています。

 

カテゴリ 説明

自分の直属の部下

ユーザーは、RBS におけるその直下のタイムシートを承認できます。このカテゴリは、タイムシートを承認できる必要があるマネージャー用です。

自分の所属組織

すべてのプロジェクトおよびリソースが含まれ、関連付けられているグループの管理に応じて、さまざまなレベルのカテゴリ権限が許可されます。すべてのビューに対する完全なアクセスも提供されます。このカテゴリは、ユーザーが Project Web App インスタンス上のすべてを表示できるようにするためのものです。

自分のプロジェクト

プロジェクトを所有している、プロジェクトの進捗管理者である、リソースとしてプロジェクトに割り当てられている、RBS におけるその下位がプロジェクトに割り当てられているユーザーに対しカテゴリ権限が許可されます。このカテゴリは、ユーザーが、自身および RBS におけるその下位が関連付けられているすべてのプロジェクトを表示できるようにするためのものです。

自分のリソース

RBS におけるユーザーの下位であるリソースに対する、ほとんどのリソース レベルのカテゴリ権限が許可されます。このカテゴリは、ユーザーが、RBS 構造で区別されている自身のリソースを管理できるようにするためのものです。

自分のタスク

ユーザーは、自身が割り当てられているプロジェクトを表示できます。このカテゴリは、チーム メンバー グループと関連付けられます。このカテゴリは、すべてのユーザーが、自身が割り当てられているプロジェクトを表示できるようにするためのものです。

カスタム カテゴリを作成して、プロジェクト、リソース、およびビューにアクセスするための新しい方法を提供できます。大量のカテゴリが存在すると、管理が複雑になる場合があります。カテゴリは、慎重に使用することをお勧めします。

セキュリティ テンプレートは、定義済みのアクセス権のセットです。セキュリティ テンプレートを使用すると、同じデータにアクセスする必要があるユーザーのグループに対してアクセス権を付与するプロセスを簡素化できます。Project Web App の各インスタンスには、以下の既定のセキュリティ テンプレートが用意されています。

  • 管理者

  • ポートフォリオ ビューアー

  • ポートフォリオ管理者

  • プロジェクト管理者

  • 提案確認者

  • リソース管理者

  • チーム リーダー

  • チーム メンバー

セキュリティ テンプレートは、新規または既存のユーザー、グループ、およびカテゴリに定義済みのアクセス権のプロファイルを簡単に適用またはリセットする手段として使用できます。セキュリティ テンプレートを適用することによって、組織内でのユーザーの役割に従って割り当てるアクセス権を簡単に標準化できます。既定のセキュリティ テンプレートは、Project Web App の定義済みグループに対応していまいす。ニーズに合わせてこれらのセキュリティ テンプレートをカスタマイズし、新しいセキュリティ テンプレートを作成できます。

メモメモ:
セキュリティ テンプレートの設定を変更しても、そのテンプレートが適用されているユーザーとグループに変更が自動的に適用されるわけではありません。

カスタム セキュリティ テンプレートを作成するには計画が必要です。最初に、組織内で共通する Project Web App の使用パターンで、既定のセキュリティ テンプレートに反映されていないパターンを識別する必要があります。これによって、カスタム セキュリティ テンプレートの要件を識別できます。次に、共通の Project Web App の使用パターンを持つユーザーが必要としているアクセス権を特定します。これによって、セキュリティ テンプレートが定義されます。次に、ユーザーとグループがアクセスする必要があるプロジェクト、リソース、ビューなどのセットを特定します。これによって、セキュリティ カテゴリが定義されます。カスタム セキュリティ テンプレートを作成し、共通の使用パターンを持つユーザーのグループに適用します。

Resource Breakdown Structure (RBS) は、階層型のセキュリティ構造であり、通常は組織の管理報告構造を基盤としていますが、他の方法で構造化することもできます。RBS は、組織内のユーザーおよびプロジェクト間の上下関係を定義するときに使用し、Project Web App のセキュリティ モデルでの重要な要素となります。各 Project Web App ユーザーに RBS 値を指定するときは、各セキュリティ カテゴリに定義できる動的なセキュリティ オプションを利用できます。

RBS 構造は、Project Web App に組み込まれている RBS カスタム ルックアップ テーブルに値を追加することで定義されます。構造を定義したら、ユーザーのアカウント設定ページで RBS プロパティを設定することで、個々のユーザーに RBS 値を割り当てることができます。

RBS を構成すると、カテゴリで RBS コードを使用して、特定のユーザーが表示またはアクセスできるプロジェクトおよびリソースを動的に決定できます。次の表は、各カテゴリで使用できる、RBS を使用するセキュリティ オプションを示しています。

プロジェクトのセキュリティ オプション

オプション 説明

ユーザーがプロジェクト所有者、またはそのプロジェクトの割り当ての進捗管理者である

このオプションが選択されているカテゴリのアクセス権を持つユーザーは、自身がプロジェクト所有者または進捗管理者であるプロジェクトを表示できます。

ユーザーがそのプロジェクトのプロジェクト チームに属している

このオプションが選択されているカテゴリのアクセス権を持つユーザーは、自身がリソースであるプロジェクトを表示できます。

プロジェクト所有者が RBS でユーザーの下位にある

このオプションが選択されているカテゴリのアクセス権を持つユーザーは、RBS におけるその下位が所有するプロジェクトを表示できます。

プロジェクトのプロジェクト チームのリソースが RBS でユーザーの下位にある

このオプションが選択されているカテゴリのアクセス権を持つユーザーは、RBS におけるその下位がリソースであるプロジェクトを表示できます。

プロジェクト所有者がユーザーと同じ RBS 値を持つ

このオプションが選択されているカテゴリのアクセス権を持つユーザーは、同じ RBS 値を持つ他のユーザーが所有するプロジェクトを表示できます。

メモメモ:
最初の 2 つのオプション ([ユーザーがプロジェクト所有者、またはそのプロジェクトの割り当ての進捗管理者である] および [ユーザーがそのプロジェクトのプロジェクト チームに属している]) は、RBS には関連付けられていませんが、ユーザーが表示できるプロジェクトをフィルタリングする同様の方法を提供します。

リソースのセキュリティ オプション

オプション 説明

ユーザーがリソースである

このオプションが選択されているカテゴリのアクセス権を持つユーザーは、自身をリソースとして表示できます。

ユーザーが所有するプロジェクトのプロジェクト チームのメンバーである

このオプションが選択されているカテゴリのアクセス権を持つユーザーは、自身が所有するプロジェクトに割り当てられているリソースを表示できます。

RBS でユーザーの下位にある

このオプションが選択されているカテゴリのアクセス権を持つユーザーは、RBS におけるその下位を表示できます。

RBS でユーザー直下にある

このオプションが選択されているカテゴリのアクセス権を持つユーザーは、RBS におけるその直下を表示できます。

ユーザーと同じ RBS 値を持つ

このオプションが選択されているカテゴリのアクセス権を持つユーザーは、同じ RBS 値を持つ他のユーザーを表示できます。

メモメモ:
最初の 2 つのオプション ([ユーザーがリソースである] および [ユーザーが所有するプロジェクトのプロジェクト チームのメンバーである]) は、RBS には関連付けられていませんが、ユーザーが表示できるリソースをフィルタリングする同様の方法を提供します。

カテゴリを作成または変更するときに、上記の表に示されているオプションを構成できます。詳細については、「Project Server 2013 のカテゴリを管理する」を参照してください。

表示: