カスタム セキュリティ ロールの作成に関するサポート範囲について

Published: / Last update: / Contributors:
Dataverse
feedback 共有

はじめに

こんにちは、Power Platform サポートチームの 早川 です。
本記事では、Dataverse のカスタム セキュリティ ロールの作成に関して、弊社サポートでご案内可能な範囲と、ご案内が難しい範囲について整理してお伝えいたします。

セキュリティ ロールに関するお問い合わせとして、「特定の操作を行うために必要な最小限の権限を持つカスタム セキュリティ ロールの構成を教えてほしい」というご要望をいただくことがございます。
本記事では、このようなお問い合わせに対する弊社サポートの対応方針と、お客様側でカスタム セキュリティ ロールを作成する際の推奨アプローチをご案内いたします。

Note

本記事は執筆時点の情報に基づいています。製品の仕様は予告なく変更される場合がありますので、最新の情報は公式ドキュメントをご確認ください。

セキュリティ ロールの概要

Dataverse では、ロールベースのセキュリティ モデルを採用しており、ユーザーが環境内で実行できる操作は、割り当てられたセキュリティ ロールによって決定されます。

セキュリティ ロールは大きく以下の 2 種類に分けられます。

既定のセキュリティ ロール (OOB)

Dataverse 環境に標準で用意されているセキュリティ ロールです。代表的なものとして、以下のロールがあります。

  • システム管理者: 環境におけるすべての操作を実行できるロール
  • Basic User: 環境における一般的なアプリの利用ができるロール
  • システム カスタマイザー: 環境のカスタマイズが可能なロール
  • Environment Maker: アプリやフローなどの新しいリソースを作成できるロール

これらの既定のセキュリティ ロールは、一般的なユーザー タスクに対応するよう設計されており、「必要最小限のアクセス権」のベスト プラクティスに基づいて構成されています。

カスタム セキュリティ ロール

お客様が独自に作成するセキュリティ ロールです。既定のセキュリティ ロールでは要件を満たせない場合に、テーブルごとの特権やアクセス レベルを個別に設定して作成します。

サポートでご案内可能な範囲

弊社サポートでは、セキュリティ ロールに関して以下の内容をご案内することが可能です。

  • 既定のセキュリティ ロールの仕様: 各既定ロールに含まれる特権やアクセス レベルについての説明
  • セキュリティ ロールの概念や仕組み: 特権、アクセス レベル(ユーザー / 部署 / 親子部署 / 組織)、テーブル権限などの概念の説明
  • セキュリティ ロールの作成・編集手順: Power Platform 管理センターからセキュリティ ロールを作成・編集・コピーする操作手順のご案内
  • 公式ドキュメントのご案内: セキュリティ ロールに関連する公式ドキュメントへの誘導
  • 特定のエラーの調査: セキュリティ ロールの不足に起因するエラーが発生した場合、そのエラーに必要な特権の特定を支援

サポートでご案内が難しい範囲

一方で、以下のようなご要望については、弊社サポートではご案内が難しい場合がございます。

「操作 X を行うために必要な最小限の権限を持つカスタム セキュリティ ロールを作成してほしい / 構成を教えてほしい」

このようなご案内が難しい主な理由は以下のとおりです。

1. 環境ごとにカスタマイズが異なるため

Dataverse 環境は、お客様ごとにカスタム テーブル、カスタム列、プラグイン、ビジネス ルール、Power Automate フローなどの構成が異なります。ある操作に必要な権限は、これらのカスタマイズの内容によって大きく変わる可能性があり、すべての環境に共通する最小権限の構成を一律にご案内することはできません。

2. 依存関係の網羅的な特定が困難なため

一つの操作を完了するためには、直接的に操作するテーブルだけでなく、関連するテーブルやシステム テーブルへのアクセス権が必要になることがあります。これらの依存関係はカスタマイズの内容や運用方法によって異なるため、必要な権限を網羅的に特定し、検証することは非常に困難です。

3. 製品の更新により必要な権限が変化する可能性があるため

Dataverse の更新に伴い、セキュリティ ロールの特権が変更される場合があります。ある時点で動作していたカスタム セキュリティ ロールの構成が、製品の更新後には不十分になる可能性があります。

カスタム セキュリティ ロール作成時の推奨アプローチ

カスタム セキュリティ ロールを作成する必要がある場合は、以下のアプローチを推奨いたします。

1. 既定のセキュリティ ロールをコピーして作成する

ゼロからカスタム セキュリティ ロールを作成するのではなく、要件に最も近い既定のセキュリティ ロール(例: Basic User)をコピーし、それをベースに必要な権限を追加・調整することを推奨いたします。

重要

システム管理者ロールのコピーはお勧めしません。コピーしたロールをユーザーに割り当てると、そのユーザーが他のユーザーをシステム管理者に昇格させることが可能になるリスクがあります。また、製品の更新によって追加される新しい特権はコピーしたロールには自動的に反映されません。

2. テスト環境で検証する

カスタム セキュリティ ロールの変更は、まずテスト環境や開発環境で十分に検証してから、本番環境に適用してください。

3. 段階的に権限を調整する

必要な操作をテスト環境で実行し、権限不足のエラーが発生した場合は、エラー メッセージを手がかりに不足している特権を特定し、段階的に権限を追加していく方法が実用的です。

4. 定期的に見直す

製品の更新に伴いセキュリティ ロールの特権が変更される場合がありますので、カスタム セキュリティ ロールの権限設定は定期的に見直すことを推奨いたします。

まとめ

本記事では、カスタム セキュリティ ロールの作成に関するサポート範囲について以下の内容をご案内いたしました。

  • 弊社サポートでは、既定のセキュリティ ロールの仕様説明や、セキュリティ ロールの概念・操作手順のご案内が可能です
  • 一方、特定の操作に必要な最小限の権限を持つカスタム セキュリティ ロールの構成については、環境固有のカスタマイズや依存関係の複雑さから、ご案内が難しい場合がございます
  • カスタム セキュリティ ロールを作成する際は、既定のロールをコピーし、テスト環境で段階的に検証するアプローチを推奨いたします

参考情報

※ 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。