環境内でのユーザー セキュリティの構成

Microsoft Dataverse は、ロールベースのセキュリティ モデルを使用して、環境内のデータベースとそのリソースへのアクセスを制御します。 セキュリティ ロールを使用して、環境内のすべてのリソースへのアクセス、または環境内の特定のアプリやデータへのアクセスを構成することができます。 セキュリティ ロールのアクセス レベルと権限の組み合わせにより、ユーザーがどのアプリやデータを閲覧できるか、またそれらのアプリやデータとどのようにやり取りできるかが決定されます。

環境は、ゼロか 1 つの Dataverse データベース を持つことができます。 Dataverse データベースのない環境Dataverse データベースのある環境 では異なるセキュリティロールを割り当てます。

環境について詳しくはこちらをご覧ください Power Platform

定義済みのセキュリティ ロール

環境には、一般的なユーザー タスクを反映する事前定義されたセキュリティ ロールが含まれています。 定義済みのセキュリティ ロールは、セキュリティのベスト プラクティスである「必要最小限のアクセス」 (ユーザーがアプリを使用するために必要な最小限のビジネスデータへのアクセスを提供する) に従っています。 これらのセキュリティ ロールは、所有者チーム およびグループチーム ユーザーに割り当てることができます。 環境で使用できる事前定義されたセキュリティ ロールは、環境の種類と環境にインストールされているアプリによって異なります。

アプリケーション ユーザー に割り当てられているセキュリティ ロールの別のセットがあります。 これらのセキュリティ ロールは当社のサービスによってインストールされ、更新することはできません。

Dataverse データベースなしの環境

環境作成者と環境管理者は、Dataverse データベースを持たない環境に対して事前定義されている唯一のロールです。 これらのロールについては、次のテーブルで説明します。

セキュリティ ロール Description
環境管理者 環境管理者ロールでは、環境に対して以下を含むすべての管理アクションを実行できます。
  • 環境管理者ロールまたは環境作成者ロールでユーザーを追加や削除します。
  • 環境用の Dataverse データベースをプロビジョニングします。 データベースのプロビジョニングが完了したら、環境管理者にシステム カスタマイザーのロールを割り当て、環境のデータへのアクセスを許可します。
  • 環境内に作成されたすべてのリソースを表示および管理します。
  • データ損失防止ポリシー を作成します。
環境作成者 Microsoft Power Automate を使用して、アプリ、つながり、カスタム API、フローなど、環境に関連付けられた新しいリソースを作成できます。 ただし、このロールには、環境内のデータにアクセスするための特権はありません。

また、環境の作成者は、環境内に構築したアプリを組織内の他のユーザーに配布 することができます。 また、個々のユーザー、セキュリティ グループ、または組織内のすべてのユーザーとアプリを共有できます。

Dataverse データベースを持つ環境

環境に Dataverse データベースがある場合、ユーザーには完全な管理者特権を付与するために、環境管理者ロールではなく、システム管理者ロールを割り当てる必要があります。

データベースに接続するアプリを作成し、エンティティとセキュリティ ロールを作成または更新する必要があるユーザーの場合は、環境作成者ロールに加えて、システム カスタマイザー ロールを割り当てる必要があります。 環境作成者ロールには、環境のデータに対する特権がありません。

次の表では、Dataverse データベースがある環境での事前定義されたセキュリティ ロールについて説明します。 これらのロールは編集できません。

セキュリティ ロール Description
アプリ オープナー 一般的なタスクのための最小限の特権。 このロールは、主にモデル駆動型アプリの カスタム セキュリティロールを作成する ためのテンプレートとして使用されます。 Account、Contact、Activity などのコア ビジネス テーブルに対する権限はありません。 ただし、システムが提供するワークフローの読み取りをサポートするために、プロセス などのシステム テーブルへの 組織 レベルの読み取りアクセス権があります。 このセキュリティ ロールは 新しいカスタム セキュリティ ロールが作成されるときに使用されることにご注意ください。
Basic ユーザー 既定のエンティティに限り、環境でアプリを実行し、所有するレコードの一般的なタスクを実行することができます。 Account、Contact、Activity などのコア ビジネス テーブルに対する権限はありません。

注意: Common Data Service ユーザー セキュリティ ロール の名前が 基本ユーザー に変更されました。 名前が変更されただけで、ユーザー権限と役割の割り当ては同じです。 Common Data Service ユーザー セキュリティ ロール のソリューションがある場合は、再度インポートする前にソリューションを更新する必要があります。 これをしない場合、ソリューションをインポートするときに セキュリティ ロール 名を誤って ユーザー に戻してしまう可能性があります。
代理人 コードを 偽装可能 にするか、別のユーザーとして実行 します。 通常、レコードへのアクセスを許可するために別のセキュリティ ロールとともに使用されます。
Dynamics 365 管理者 Dynamics 365管理者 は Microsoft Power Platform サービス管理者ロールです。 このロールのユーザーは、システム管理者ロールに自己昇格した後、Microsoft Power Platform で管理機能を実行できます。
環境作成者 Microsoft Power Automate を使用して、アプリ、つながり、カスタム API、フローなど、環境に関連付けられた新しいリソースを作成できます。 ただし、このロールには、環境内のデータにアクセスするための特権はありません。

また、環境の作成者は、環境内に構築したアプリを組織内の他のユーザーに配布 することができます。 また、個々のユーザー、セキュリティ グループ、または組織内のすべてのユーザーとアプリを共有できます。
グローバル管理者 グローバル 管理者 は Microsoft 365 管理者 の役割です。 Microsoft ビジネス サブスクリプションを購入した人は、グローバル 管理者 となり、サブスクリプション内の製品を無制限に制御し、ほとんどのデータにアクセスできます。 このロールのユーザーは、システム管理者ロールに 自己昇格 する必要があります。
グローバル リーダー グローバル閲覧者 ロールは、Power Platform 管理センターではサポートされていません。
Office コラボレーター これらのテーブルのレコードが組織と共有されているテーブルへの読み取り権限があります。 他のコア テーブル レコードやカスタム テーブル レコードにはアクセスできません。 この役割は、個々のユーザーではなく、Office コラボレーターの所有者チームに割り当てられます。
Power Platform管理者 Power Platform 管理者 は Microsoft Power Platform サービス 管理者 ロールです。 このロールのユーザーは、システム管理者ロールに自己昇格した後、Microsoft Power Platform で管理機能を実行できます。
削除されたサービス カスタム エンティティを含むすべてのエンティティに対する完全な削除権限があります。 この役割は、主にサービスで使用され、すべてのエンティティのレコードを削除する必要があります。 このロールはユーザーまたはチームに割り当てることはできません。
サービス リーダー カスタム エンティティを含む、すべてのエンティティに対する完全な読み取りアクセス許可が付与されます。 このロールは、主にサービスで使用され、すべてのエンティティを読み取る必要があります。 このロールはユーザーまたはチームに割り当てることはできません。
サービス ライター カスタム エンティティを含む、すべてのエンティティに対する完全な作成、読み取り、書き込みアクセス許可が付与されます。 このロールは、主にサービスで使用され、レコードの作成と更新が必要です。 このロールはユーザーまたはチームに割り当てることはできません。
サポート ユーザー サポート スタッフが環境構成の問題のトラブルシューティングを行うことができるように、カスタマイズおよびビジネス管理設定に対する完全な読み取りアクセス許可が付与されます。 このロールには、コア レコードへのアクセスがありません。 このロールはユーザーまたはチームに割り当てることはできません。
システム管理者 セキュリティ ロールの作成、変更、割り当てなど、環境を カスタマイズ または管理するための完全なアクセス許可が付与されます。 環境内のすべてのデータを表示できます。
システムのカスタム担当者 環境をカスタマイズするための完全なアクセス許可 が付与されます。 環境内のすべてのカスタム テーブル データを表示できます。 ただし、このロールを持つユーザーは、アカウント テーブル、連絡先テーブル、活動テーブルで作成したレコードのみを表示できます。
Web サイト アプリの所有者 Azure ポータルWeb サイト アプリケーションの登録 を所有するユーザー。
Web サイトの所有者 Power Pages Web サイトを作成したユーザー。 このロールは管理されており、変更できません。

Dataverseで説明した定義済みのセキュリティ ロールに加えて、お持ちの Power Platform コンポーネントPower Apps、 Power Automate、 Microsoft Copilot Studioに応じて、環境 で他のセキュリティ ロールが使用できる場合があります。 次のテーブルに詳細へのリンクを示します。

Power Platform コンポーネント 情報
Power Apps Dataverse データベース環境向けの定義済みセキュリティロール
Power Automate セキュリティとプライバシー
Power Pages ウェブサイト管理に必要な役割
Microsoft Copilot Studio 環境 セキュリティロールを割り当てる

Dataverse for Teams 環境

Dataverse for Teams 環境で事前定義されたセキュリティ ロールの詳細について説明します。

アプリ固有のセキュリティ ロール

Dynamics 365 アプリを環境に展開すると、他のセキュリティ ロールが追加されます。 次のテーブルに詳細へのリンクを示します。

Dynamics 365 アプリ セキュリティ ロール ドキュメント
Dynamics 365 の販売 営業用の定義済みセキュリティ ロール
Dynamics 365 Marketing Dynamics 365 Marketingによって追加されたセキュリティ ロール
Dynamics 365 Field Service Dynamics 365 Field Service 役割 + 定義
Dynamics 365 Customer Service Customer Service用オムニチャネル での役割
Dynamics 365 Customer Insights カスタマーインサイトの役割
アプリ プロファイル マネージャー アプリ プロファイル マネージャーに関連付けられたロールと権限
Dynamics 365 Finance 公共部門におけるセキュリティの役割
財務と運用アプリ セキュリティの役割 Microsoft Power Platform

事前定義されたセキュリティ ロールに使用できるリソースの概要

次の表は、各セキュリティ ロールが作成できるリソースを示しています。

リソース 環境作成者 環境管理者 システムのカスタム担当者 システム管理者
キャンバス アプリ X X X X
クラウド フロー X (ソリューション非対応) X X X
Connector X (ソリューション非対応) X X X
接続* X X X X
データ ゲートウェイ - X - X
データフロー X X X X
Dataverse テーブル - - X X
モデル駆動型アプリ X - X X
ソリューション フレームワーク X - X X
デスクトップ フロー** - - X X
AI Builder - - X X

*接続は キャンバス アプリPower Automateで使用されます。

**Dataverse for Teams ユーザーは、既定ではデスクトップ フローにアクセスできません。 デスクトップ フローを使用するためには、環境を Dataverse 完全版にアップグレードし、デスクトップ フロー ライセンス プラン を取得する必要があります。

Dataverse データベースがない環境でユーザーにセキュリティ ロールを割り当てる

Dataverse データベースのない環境の場合、環境内で環境管理者ロールを持つユーザーは、Microsoft Entra ID から個々のユーザーまたはグループにセキュリティ ロールを割り当てることができます。

  1. Power Platform 管理センターにサインインします。

  2. 環境> [環境の選択] を選択します。

  3. アクセス タイルの環境管理者または環境作成者すべて表示を選択して、どちらかのロールのユーザーを追加または削除します。

    Power Platform 管理センターで セキュリティ ロール を選択したスクリーンショット。

  4. ユーザーの追加 を選択し、Microsoft Entra ID の 1 人以上のユーザーまたはグループの名前またはメール アドレスを指定します。

  5. 追加を選択します。

Dataverse データベースが存在する環境のユーザーにセキュリティ ロールを割り当てる

セキュリティ ロールは、個々のユーザーに加えて、所有者チームMicrosoft Entra グループ チーム に割り当てることができます。 ユーザーに役割を割り当てる前に、そのユーザーのアカウントが環境に追加され、有効になっていることを確認 します。

一般的に、セキュリティ ロールは、環境内で有効となっているユーザーにのみ割り当てることができます。 環境で無効になっているユーザーアカウントにセキュリティロールを割り当てるには、OrgDBOrgSettings で allowRoleAssignmentOnDisabledUsers をオンにします。

  1. Power Platform 管理センターにサインインします。

  2. 環境> [環境の選択] を選択します。

  3. アクセス タイルで、セキュリティ ロールの下のすべて表示を選択します。

    Power Platform 管理センターですべてのセキュリティ ロールを表示するオプションのスクリーンショット。

  4. リストで適切な部署が選択されていることを確認し、環境内の役割のリストから役割を選択します。

  5. ユーザーの追加 を選択し、Microsoft Entra ID の 1 人以上のユーザーまたはグループの名前またはメール アドレスを指定します。

  6. 追加を選択します。

新しい最新の UI を使用して、セキュリティ ロール を作成、編集、またはコピーする

セキュリティ ロール を簡単に作成、編集、またはコピーして、ニーズに合わせてカスタマイズできます。

  1. Power Platform 管理センター で、左側のペインで 環境 を選択し、環境を選択します。

  2. 設定を選択します。

  3. ユーザー + アクセス許可 を展開します。

  4. セキュリティ ロールを選択します。

  5. 適切なタスクを完了させます:

セキュリティ ロールを作成する

  1. コマンド バーから 新規ロール を選択します。

  2. ロールの名 フィールドに、新規ロールの名称を入力します。

  3. 部署 フィールドで、ロールが所属する部署を選択します。

  4. チームメンバーが役割を継承するかどうかを選択します。

    この設定が有効で、ロールがチームに割り当てられている場合、すべてのチーム メンバーがロールに関連付けられているすべての権限を継承します。

  5. 保存 を選びます。

  6. セキュリティ ロール の権限とプロパティを定義します

セキュリティ ロールの編集

ロール名を選択するか、行を選択して 編集 を選択します。次に、セキュリティロールの権限とプロパティを定義 します。

一部の事前定義の セキュリティ ロールは編集できません。 これらの役割を編集する場合は、保存保存 + 閉じる ボタンは使用できません。

セキュリティ ロールのコピー

セキュリティ ロールを選択し、コピー を選択します。 役割に新しい名前を付けます。 必要に応じて セキュリティ ロール を編集します。

権限のみがコピーされ、割り当てられたメンバーやチームはコピーされません。

セキュリティ ロールを監査する

セキュリティ ロールを監査して、 環境 のセキュリティに加えられた変更をより深く理解します。 Power Platform

ユーザー定義セキュリティ ロールの作成または構成

アプリでユーザー定義エンティティを使用する場合、アプリを使用するには、その特権をセキュリティ ロールで明示的に付与する必要があります。 既存のセキュリティ ロールの特権を追加するか、またはユーザー定義のセキュリティ ロールを作成できます。

すべてのセキュリティ ロールを使用するには、最小限の権限セット を含める必要があります。 セキュリティ ロールと権限の詳細について説明します

チップ

環境では、複数のアプリで使用できるレコードが維持される場合があります。 異なる権限を付与する複数のセキュリティ ロールが必要になる場合があります。 例:

  • 一部のユーザー (編集者) は読み取り、更新、他のレコードの添付だけが必要なため、このセキュリティ ロールでは読み取り、書き込み、追加の権限を持っています。
  • その他ユーザーは、編集者ユーザーが持つすべての権限に加えて、作成、追加、削除、共有の機能を必要とする場合があります。 したがって、セキュリティ ロールには、作成、読み取り、書き込み、追加、削除、割り当て、追加先、共有の権限が含まれます。

アプリを実行するための最小限の権限でカスタム セキュリティ ロール を作成します

  1. Power Platform 管理センター にサインインし、左側のペインで 環境 を選択し、環境を選択します。

  2. 設定>ユーザー + 権限>セキュリティ ロールを選択します。

  3. アプリ オープナー を選択し、コピー を選択します。

  4. カスタム ロールの名前を入力し、コピー を選択します。

  5. セキュリティ ロールのリストで、新しいロールを選択し、その他のアクション () >編集 を選択します。

  6. ロール エディターで、カスタム エンティティ タブを選択します。

  7. リストでカスタム テーブルを検索し、読取り書き込み追加 権限を選択します。

  8. 保存して閉じる を選択します。

ゼロからのカスタム セキュリティ ロールの作成

  1. Power Platform 管理センター にサインインし、左側のペインで 環境 を選択し、環境を選択します。

  2. 設定>ユーザー + 権限>セキュリティ ロールを選択します。

  3. 新しいロールを選択します。

  4. 詳細 タブに新しいロールの名前を入力します。

  5. 他のタブでエンティティを見つけて、アクションとそれらを実行するスコープを選択します。

  6. タブを選択して、ご利用のエンティティを探します。 たとえば、カスタム エンティティタブを選択し、カスタム エンティティに権限を設定します。

  7. 特権の 読み取り書き込み追加 を選択します。

  8. 保存して閉じるを選択します。

アプリの実行に必要となる最低限の権限

カスタム セキュリティ ロールを作成する場合、そのロールには、ユーザーがアプリを実行するための最小限の特権のセットが必要です。 必要な最小限の権限の詳細については、 をご覧ください。

参照

ユーザーにアクセスを許可する
環境へのユーザーアクセスを制御する: セキュリティグループとライセンス
記録へのアクセスがどのように決定されるか