Microsoft Dynamics 365 のセキュリティ概念

  • [アーティクル]

 

公開日: 2017年2月

対象: Dynamics 365 (online)、Dynamics 365 (on-premises)、Dynamics CRM 2016、Dynamics CRM Online

注意

ここで提供する情報は、Dynamics 365 (オンライン) バージョン 9.0 より前の Dynamics 365 のバージョン用です。 最新のドキュメントについては、「セキュリティ概念」を参照してください。

Microsoft Dynamics 365 の組織のデータの整合性とプライバシーを保護するために、Microsoft Dynamics 365 のセキュリティ モデルを使用します。 また、セキュリティ モデルは、効率的なデータ アクセスと共同作業を促進します。 このモデルの目的は次のとおりです。

  • 多階層のライセンス モデルがユーザーに用意されています。

  • 業務の実行に必要な情報のレベルのみを許可するアクセスをユーザーに付与します。

  • ユーザーとチームをセキュリティ ロールによって分類し、これらのロールに基づいてアクセスを制限します。

  • ユーザーが所有していないオブジェクトに 1 回限りの共同作業の目的としてアクセスできるように、データの共有をサポートします。

  • ユーザーが所有または共有していないオブジェクトへのアクセスを禁止します。

部署、ロールベースのセキュリティ、レコードベースのセキュリティ、およびフィールドベースのセキュリティを組み合わせて、Microsoft Dynamics 365 組織内でユーザーが所有する情報に対する全体的なアクセス権限を定義します。

このトピックの内容

部署

ロール ベースのセキュリティ

ユーザーベースのアクセスおよびライセンス

チーム

レコードベースのセキュリティ

階層セキュリティ

フィールドベースのセキュリティ

展開全体の管理レベルのセキュリティ (設置型のみ)

Microsoft Dynamics 365 でセキュリティ モデル化

部署

部署は基本的にユーザーのグループです。 複数の顧客ベースを保有する大規模な組織では、多くの場合、複数の部署を使用してデータ アクセスを制御し、セキュリティ ロールを定義して、ユーザーが自分の部署のレコードにのみアクセスできるようにしています。詳細:部署の作成または編集

ロール ベースのセキュリティ

ロールベースのセキュリティを使用して、ユーザーまたはチームによって実行可能な職務を指定するロールに一連の特権をグループ化できます。Microsoft Dynamics 365 にはあらかじめ定義された 1 組のセキュリティ ロールが組み込まれており、各セキュリティ ロールは、セキュリティ管理が容易になるように集約された特権のセットです。 特権の大部分は、特定のエンティティの種類のレコードを作成、読み取り、書き込み、定義および共有する機能を定義します。 各特権は、ユーザー レベル、部署レベル、部署階層全体または組織全体にわたり、特権がどれだけ広く適用されるか定義します。

たとえば、営業担当者ロールが割り当てられたユーザーとしてサインインする場合、組織全体に対する取引先企業の読み取り、書き込みおよび共有特権がありますが、自分が所有する取引先企業レコードのみを削除できます。 また、製品更新のインストール、またはシステムにユーザーを追加するなどの、システム管理者タスクを実行する特権もありません。

Sales 担当副社長ロールを割り当てられたユーザーは、Sales 担当者ロールに割り当てられているユーザーができるタスクより広範囲の、データとリソースの表示および修正に関連するタスクのセット (および、さらに多くの特権) を実行できます。 たとえば、Sales 担当副社長ロールを割当てられたユーザーは、すべての取引先企業を読み取り、それをシステム内のすべての人に割り当てることができますが、Sales 担当者ロールを割当てられたユーザーはそれができません。

非常に広範囲な特権を持つロールには、システム管理者とシステム カスタマイザーの 2 つがあります。 不適な構成を最小限に抑えるには、これらの 2 つの役割を、Microsoft Dynamics 365 の管理およびカスタマイズを担当する組織内の少数の個人に限定する必要があります。 組織は、要求を満たすために、既存のロールをカスタマイズし、独自の役割を作成することもできます。 詳細: セキュリティ ロールおよび特権

ユーザーベースのアクセスおよびライセンス

既定では、ユーザーを作成するとき、ユーザーにはアクセス許可を持つデータに対する読み取りと書き込み両方のアクセス権限が与えられます。 また、既定では、ユーザー クライアント アクセス ライセンス (CAL) は Professional に設定されます。 データや機能のアクセスをさらに制限するには、次のいずれかの設定を変更します。

アクセス モード。 この設定は、各ユーザーのアクセス レベルを決定します。

  • 読み書きアクセス。 既定では、ユーザーは読み書きアクセスがあり、セキュリティ ロールが設定されている適切なアクセス許可を持つデータにアクセスできます。

  • 管理者アクセス。 セキュリティ ロールにより設定された適切なアクセス許可を持つ領域に対するアクセスは許可されますが、通常は営業、サービス、およびマーケティング領域にある、会計、取引先担当者、潜在顧客、営業案件、およびサポート案件などの、ビジネス データの表示またはアクセスは許可されません。 たとえば、管理者アクセスは Dynamics 365 管理者を作成するために使用できます。この管理者は部署の作成、ユーザーの作成、重複データ検出の設定などの管理タスク一式を実行するためのアクセス許可を持ちますが、ビジネス データの表示またはアクセスはできません。 このアクセス モードを割り当てられているユーザーは CAL を消費しないことに注意してください。

  • 読み取りアクセス。 セキュリティ ロールによって設定された適切なアクセス許可を持つユーザーの領域に対するアクセスが許可されますが、読み取りアクセス許可を持つユーザーはデータの表示のみが可能で、既存のデータの作成または変更はできません。 たとえば、読み取りアクセス権を持つ、システム管理者のセキュリティ ロールのユーザーは、部署、ユーザー、およびチームを表示できますが、それらのレコードの作成または修正はできません。

ライセンスの種類 。 これによりユーザー CAL が設定され、ユーザーがどの機能または領域を使用できるか決定されます。 この機能と領域コントロールはユーザーのセキュリティ ロール設定とは異なります。 既定では、アクセス許可を付与された大半の機能と領域アクセスに対して Professional CAL を持つユーザーが作成されます。

チーム

チームはビジネス オブジェクトを共有する簡単な方法を提供し、部署を超えて他の人々と共同作業ができます。 1 つのチームは 1 つの部署に属しますが、他の部署からのユーザーを含めることができます。 あるユーザーを複数のチームに関連付けることができます。詳細:チームの管理

レコードベースのセキュリティ

レコードベースのセキュリティを使用して、個々のレコードの操作を実行するユーザーとチームの権限を管理できます。 このセキュリティはエンティティ (レコード) のインスタンスに適用され、アクセス権限によって提供されます。 レコードの所有者は、レコードの共有、またはレコードにアクセスする権威を他のユーザーまたはチームに付与できます。 この時、どの権限を付与するか選択する必要があります。 たとえば、取引先企業レコードの所有者は、その取引先企業の情報に対する読み取りアクセスを付与できますが、書き込みアクセス権は付与できません。

アクセス権は、特権が有効になった後にのみ適用されます。 たとえば、ユーザーに取引先企業レコードの表示 (読み取り) 特権がなければ、それらのユーザーに他のユーザーが共有操作を通じて特定の取引先企業に対するアクセス権限を付与したとしても、取引先企業を表示することはできません。

階層セキュリティ

階層データへのアクセスに、階層セキュリティ モデルを使用できます。 マネージャーは、この追加のセキュリティにより、レコードに対してよりきめ細かくアクセスできるので、承認を得るために自分のレポートのレコードにアクセスしたり、レポートのために仕事をすることができます。 詳細: 階層セキュリティ

フィールドベースのセキュリティ

フィールドレベルのセキュリティを使用して、エンティティ内のビジネスに大きな影響を与える特定のフィールドへのアクセスを、特定のユーザーまたはチームのみに制限できます。 レコードベースのセキュリティと同様に、特権が有効にされた後に適用されます。 たとえば、あるユーザーは取引先企業を読み取る特権がありますが、すべての取引先企業の特定のフィールドの表示を制限できます。 詳細: フィールド レベル セキュリティ

展開全体の管理レベルのセキュリティ (設置型のみ)

インストール中、Microsoft Dynamics CRM Server セットアップ によって、展開全体にわたる特殊な管理者ロールが作成され、Microsoft Dynamics CRM Server セットアップ の実行に使用されるユーザー アカウントに接続されます。 展開管理者は、Dynamics 365 (設置型) の展開内の 展開マネージャー に含まれるすべての組織に、完全かつ無制限にアクセスできます。展開管理者 役割はセキュリティ ロールではないので、Microsoft Dynamics 365 にセキュリティ ロールとして表示されません。

展開管理者は、展開内で、新しい組織を作成したり、既存の組織を無効にすることができます。 これに対して、システム管理者ロール のメンバは、ユーザーおよびセキュリティ ロールが存在する組織内のアクセス許可しか所有しません。

重要

展開管理者が組織を作成するとき、その管理者は他の展開管理者グループがその組織に対する完全なアクセス権限を持てるように、組織のデータベースの db_owner 特権をそれらの展開管理者に付与する必要があります。

展開管理者 役割の詳細については、「展開管理者」を参照してください。

Microsoft Dynamics 365 でセキュリティ モデル化

Microsoft Dynamics 365 のセキュリティ モデルを設計するベスト プラクティスの詳細については、Microsoft Dynamics CRM で拡張できるセキュリティ モデル化 のホワイト ペーパーが Microsoft ダウンロード センター で利用できます。

関連項目

Microsoft Dynamics 365 の設置型展開の管理に関するベスト プラクティス
フィールド レベル セキュリティ
階層セキュリティ
セキュリティ ロールおよび特権
セキュリティ ロールの作成または編集
セキュリティ ロールのコピー
ユーザーの管理
チームの管理
フィールド セキュリティ プロファイルへのチームまたはユーザーの追加
セキュリティ、ユーザー、チームの管理

© 2017 Microsoft. All rights reserved. 著作権