マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

ロール ベース

職務内容に即したアクセス許可を定義するロール ベースのセキュリ モデルを適用できる。

  • 組織・チーム・ユーザ
    • 組織・チームはグループ的なもの。
    • 組織にはユーザ/チームを追加できる。
    • チームにはユーザを追加できる。
  • 組織・チーム・ユーザの作成
    • ユーザを作成する。
    • 組織構造を定義する部署を作成する。
    • チームを作成する。
  • セキュリティ ロールを作成する。
    • 特権(アクセス許可)の設定
    • アクセス レベルの設定
  • 組織・チームにセキュリティ ロールを割り当てる。
  • 組織にユーザを追加し、組織にセキュリティ ロールを割り当てる。
  • チームにユーザを追加し、チームにセキュリティ ロールを割り当てる。
    チームを使用し1~複数の部署のユーザをグループ化できる。
  • ユーザ個人ににセキュリティ ロールを割り当てる。
  • グループ的なものである組織・チームはソリューションに追加できない仕様。
    ちなみに、セキュリティ ロールはソリューションに追加できる仕様。

レコードベース

レコードベースのセキュリティは、

  • 個々のレコードに対してアクセス権を使用することで提供される。
  • エンティティ特権が有効な場合にのみレコードのアクセス権が適用される。

特権

  • 特権(privilege)≒ アクセス許可
  • CRMでは、Administrator等の特別な権限ではなく単にアクセス許可を指している。
  • システム開始時に、580 を超える特権が事前に定義される。

エンティティ特権

エンティティに対して実行できる特権

エンティティとレコードに対するアクセス許可をグリッドで表現している。

  • タブ:エンティティのカテゴリ
  • 縦:エンティティ
  • 横:特権(アクセス許可)
/特権(アクセス許可)説明
1作成​​レコード作成
2読み取りレコード表示
3書き込みレコード変更
4削除​​レコード削除
5追加別のレコードと関連付け。
6追加先エンティティと関連付け。
7割り当て​​レコードの所有権を移転。
8共有​​レコードのアクセス権を共有。
9リペアレントエンティティに異なる親を割り当て。

各エンティティで使用できる特権

  • 特定のエンティティの種類に対しての操作(アクション)実行のアクセス許可。

エンティティに関連付けられない特権

https://msdn.microsoft.com/ja-jp/library/gg328200.aspx

UI操作

UI操作は、複数のエンティティ特権を必要とする場合も多い。

  • 例えば、営業案件の作成は以下の特権(アクセス許可)が必要になる。
    • 作成
    • 読み込み
  • ガイドとして、エンティティ特権がない場合、ボタンが表示されなくなる。

その他の特権

アプリケーションの機能に関する特権(アクセス許可)

  • 機能
    • 印刷
    • 重複レコードの統合
    • Excelにエクスポート
    • オフラインにする
  • 指定可能なアクセス レベル
    • "なし"
    • "グローバル(組織全体)"
  • 設定場所:
    一部、[コア レコード]タブの[その他の特権]

アクセス レベル

  • 特権(アクセス許可)にはアクセス レベルを設定できる。
  • アクセス レベルは、特権(アクセス許可)がどの範囲の所有者に適用されるか的な制御をする。
/アクセス レベル説明
1グローバル(組織全体)部署階層レベルに関係なく、組織のエンティティ(機能・データ)を使用可能
通常は組織全体に対する権限を持つ責任者に対してのみ使用される。
2ディープ(部署配下)部署とその配下の部署のエンティティ(機能・データ)を使用可能
通常は配下の部署全体に権限を持つ責任者に対してのみ使用される。
3ローカル(部署)自部署のエンティティ(機能・データ)を使用可能
通常は部署全体に権限を持つ責任者に対してのみ使用される。
4ベーシック(ユーザー)ユーザ・共有・チームのエンティティ(機能・データ)を使用可能
通常は営業やサービスの担当者に対して使用される。

指定可能なアクセス レベル

  • 組織所有のエンティティには、"なし" or "グローバル(組織全体)"のアクセス レベルのみ指定可能。
  • ユーザ・チーム所有のエンティティには、5つすべてのアクセス レベルを指定可能。
  • 一部のアクセス レベルを使用できない特権も存在する。
  • ユーザレベルに設定できない特権(アクセス許可)
    • ユーザ
    • チーム
    • 設備/備品
  • ユーザレベルにしか設定できない特権(アクセス許可)
    • 保存されているビュー
    • ユーザ グラフ
    • ユーザ エンティティのUI設定

セキュリティ ロール

セキュリティ ロールとは、特権(アクセス許可)・アクセス レベルのグループ化。

  • ロールベースのセキュリモデルで使用するセキュリティ ロールを使用する。
  • ユーザに1つ以上のセキュリティ ロールを割り当てユーザに特権(アクセス許可)・アクセス レベルを付与する。
  • 1ユーザに複数のセキュリティ ロールを割り当てられた場合、
    • セキュリティ ロールの"OR"(合計)の特権(アクセス許可)・アクセス レベルが付与される。
    • 同じアクセク許可がある場合、アクセスレベルは高い方を使用できる。
  • これにより、組織、職務、役職、プロジェクトの一次的ロール等に基づいて
    ユーザへ与える特権(アクセス許可)・アクセス レベルの管理が用意になる。

ソリューションとセキュリティ ロール

ソリューションには、ルート部署のセキュリティ ロールのみ含めることができる。

既定のセキュリティ ロール

/ロール説明
1最高経営責任者会社レベルで組織を管理するユーザー。
2顧客サービス課長地域またはチーム レベルで顧客サービス活動を管理するユーザー。
3顧客サービス担当者 (CSR)すべてのレベルの顧客サービス担当者 (CSR)。
4代理人別のユーザーに代わって行動することを許可されたユーザー。
5マーケティング課長地域またはチーム レベルでマーケティング活動を管理するユーザー。
6マーケティング プロフェッショナルすべてのレベルのマーケティング活動に関与するユーザー。
7営業課長地域またはチーム レベルで営業活動を管理するユーザー。
8営業担当者任意のレベルの営業担当者。
9フィールド サービス課長サービスの予定を計画するユーザー。
10フィールド サービス担当者サービスを管理するユーザーで、リソースと作業時間を必要とするユーザー。
11サポート ユーザー顧客サポート エンジニアであるユーザー。
12システム管理者任意のレベルでプロセスを定義して実行するユーザー。
13システム カスタマイザMicrosoft Dynamics CRM のエンティティ、属性、関連付け、およびフォームをカスタマイズするユーザー。
14マーケティング担当副社長部署レベルでマーケティング活動を管理するユーザー。
15営業担当副社長部署レベルで販売組織を管理するユーザー。

システム管理者

すべての既定のロールを変更可能。

その他、以下の特別な性質を持つ。

  • 少なくとも1人がシステム管理者をもつ必要がある。
  • エンティティ、機能に対するグローバル(組織全体)レベルの全アクセク許可。
  • ただし、一部ベーシック(ユーザー)レベルだけが適用される例外がある。
    • 保存されているビュー
    • ユーザ グラフ
    • ユーザ エンティティのUI設定
  • 追加されたカスタムエンティティに(組織全体)レベルのアクセク許可
    (このアクセク許可は、システムカスタマイザーにも付与される)
  • システム管理者フィールド セキュリティのメンバ
    • セキュリティで保護されたすべてのフィールドに対する全アクセク許可
    • フィールド セキュリティ プロファイルを管理し、フィールド レベル セキュリティを実装。

用例

以下のケースで使用する。

  • 経験の少ない小規模な組織で使用。
  • プロジェクトの初期段階のデモ・実証で使用。

変更

ビジネス要件から変更が必要な場合、以下の3つの変更方法がある。

  • 既定のロールを変更
    ユーザ・チームに割り当てる既定のロールを変更
  • 既定のロールをコピー
    ロールのコピー後にカスタマイズに使用する。
  • 新しい名前を指定可能。
  • 部署は指定不可能(同じ部署)
  • 継承されたロールのコピーも作成可能。
  • コピー元とコピー先のロールに関連は無い。
  • コピー元との比較(差分の確認)が可能。
    既定のロールのカスタマイズ時に便利。
  • ロールを新規作成
    • 主要なロールに追加する特権(アクセス許可)を持つロールを作成する。
    • チームにセキュリティ ロールを割り当てれば、
      ロールを持つユーザの識別が容易、管理し易い。
  • 注意:セキュリティ ロールは部署を変更できない。

部署

  • 階層構造でアクセス許可のスコープを制御する境界として機能する。
  • レポートのクエリで部署を使用して結果をフィルタするなどができる。

ルート部署

  • 組織を作成する際に展開プロセスにより最初の部署として作成される。
    • 展開プロセス
      • セットアップ プログラム(初回)
      • 展開マネージャ(2つ目以降の組織)
  • ルート部署の特徴
    • 組織と同じ名前で作成される。
    • この名前は後に変更できる。
    • 1つだけ存在する。
    • 上位部署は作成できない。
    • 削除や無効化はできない。
    • 他の部署は、ルート部署の派生。

作成

ポイント

  • 小規模:1部署でもOK
  • 大規模:個別の部署が必要になることもある。
    • 会社の組織図を参考にする(ただし、複製ではNG)。
    • 部署を、事業部、部門、子会社などに読み替えることもできる。
  • 部署を、スキル・役職・責任などユーザのグループに読み替えることもできる。
    (ただし、セキュリティ ロールを併用することもできる)

方法

Microsoft Dynamics CRM
[設定] ---> [管理] ---> [部署] ---> [新規]

  • 入力
    • 新しい部署の名称
    • 上位の部署
    • ,etc.

更新

ポイント

ルート部署を除いて部署は移動・削除(無効化)が可能。

方法

Microsoft Dynamics CRM
[設定] ---> [管理] ---> [部署]

  • 移動の場合、
    • 部署を選択し、メニューバーから[その他の操作] ---> [上位の部署の変更]
    • 部署をダブルクリックで開き、ツールバーから[操作] ---> [上位の部署の変更]
      • 下位部署も合わせて移動される。
      • 循環する関係になるように移動できない。
      • 継承されていたセキュリティ ロールは削除される。
  • 無効化の場合、
    • 部署を選択し、メニューバーから[その他の操作] ---> [有効にする]・[無効にする]
    • 部署をダブルクリックで開き、ツールバーから[操作] ---> 有効または無効的な。
      • 再編準備などで使用する(作成後直ちに無効に再編後に有効化)。
      • ユーザが所属する部署が無効化されると、ユーザはCRMにアクセスできなくなる。
  • 削除の場合、
    • 下位部署が存在しない状態にする。
      • 下位部署を削除する。
      • 下位部署の上位部署を変更する。
    • 次に無効化(非アクティブ化)する。
    • Microsoft Dynamics CRM ---> [設定] ---> [管理] ---> [部署]
      ビューから[非アクティブな部署]を選択、対象の部署を開き、コマンドバーで[削除]をクリック。
      • 削除した場合、再び有効化できないので注意。

部署とセキュリティ ロール

  • セキュリティ ロールは部署内で作成・保持される。
  • セキュリティ ロールは部署を変更できない。
  • 部署のセキュリティ ロールは派生の下位部署に継承される(継承されたロール)。

ユーザ管理

  • 大規模な組織では日常的に行われている(入・退社、移動・昇進)。
  • ユーザ管理を便利にする多数の機能があり、セキュリティ管理とユーザ管理が分離されている。
  • 担当部署
    • 中央の運営機関
    • 支社・部門のシステム管理者・管理職

認証機構

Dynamics CRM自体は認証機構を提供しない。

展開によって、以下の認証機構を使用する。

参考:クレームベース認証の用語

Online

  • Windows Live IDから、MOSP(MicrosOft? Subscription Program)に変更。
  • 全てのサブスクリプションベースSaaSに単一の認証プラットフォームが提供される。

内部的には、Azure AD

  • STS(Security Token Service)
  • Idp(Identity Provider )

として使用している。

オンプレ

  • Intranet展開
    ADDSのみ使用可能。
  • Internet展開
    ADFSやサードパーティ製のSTS(Security Token Service)を使用可能。
    従って、任意のIdp(Identity Provider )を使用可能。

ユーザ管理機能

  • ユーザ作成
  • ユーザ有効化/無効化
  • ユーザの上司特定
  • チーム作成
  • ユーザをチームに割当
  • ユーザ/チームへのセキュリティ ロール割当
  • 部署間でのユーザ/チームの移動
  • 既定で自身のプロフィールをメンテできないが、
    適切な特権(アクセス許可)を追加して、
    住所・電話番号などのメンテナンスを可能に設定可能。

ユーザ管理

ユーザの追加/削除

追加

追加時に自動的に有効になる。

削除

  • 削除はできない。無効化のみ可能。
  • サインイン不可、ライセンス不要になる。
  • ユーザ所有のレコードは、システム所有になる。
  • レコードを有効なユーザに再割当てする適切な方法の検討が必要。
  • 無効化予定のユーザとワークフロー/プロセスの関連を考慮
    例:サポート案件のルーティングや、電子メール メッセージの送信
    • 特定の情報カテゴリの重要度の高いサポート案件は常に特定の技術者に割当てられる。
    • 顧客のサポート案件は取引先企業レコードで指定されているサービス担当にルーティングされる。

チーム管理

  • Windowsのグループ的なもの。
  • 基本的には、組織階層は部署を使用。
  • プロジェクト チームなどはチームを使用。

種類

所有者チーム

  • レコードの所有者
  • 実際のセキュリティ ロールを割当てる。

アクセス チーム

  • レコードを所有できない。
  • セキュリティ ロールを割当られない。
  • 複数のチーム間でレコードを共有するためのチーム
  • 詳しくは「アクセス チーム テンプレート」を参照。

チーム種類の変換

  • 可能:所有者チーム ---> アクセス チーム
  • 不可能:所有者チーム <--- アクセス チーム

メリット

セキュリティ ロール

部署の組織階層に限定されない
チーム レベルのセキュリティ ロール モデルの管理が可能。

共有

  • 個人・個人のより効率が良い。
  • 任意のユーザが自分に関連するチームの情報を参照できる。

管理が容易

  • チームのセキュリティ ロールの管理
  • チームのメンバシップの管理

ワークフロー/プロセス

  • チームをキューにリンク、チームのキューを作成できる。
  • 所有者チームがベーシック(ユーザー)アクセス レベルの読み込みアクセス許可を持っていれば
    チームはそのエンティティ レコードを所有でき、チームへのルーティングが可能になる。

既定のチーム

部署との関連

部署を作成すると、部署名と同じ名称の"既定のチーム"が自動的に作成される。

  • 削除不可能
  • 名称変更不可能
  • 部署異動不可能

メンバシップ

"既定のチーム"には、

  • 部署の全ユーザが含まれる。
  • 部署のメンバシップを変更した場合、
    "既定のチーム"のメンバシップも自動的に反映される。
  • "既定のチーム"のメンバシップは変更できない。

セキュリティ ロール

  • "既定のチーム"に派生しないセキュリティ ロールを割当てるときに便利。
  • "既定のチーム"に派生しないセキュリティ ロールを割当てたくない場合は、 "既定のチーム"を所有者チームからアクセスチームに変換する。

チームの作成

  • チームは1つの部署と関連付けが可能。
  • チームはメンバとしてユーザを追加・削除可能。
    • ユーザの所属部署を問わず組織の任意のユーザを追加可能。
    • 1人のユーザは複数のチームに所属可能。
  • チームのネスト モデルはサポートしていない。
  • チームの共有機能で、チーム内のユーザとレコード共有が可能。

チームのメンバシップ管理

チームから所属ユーザを選択

Microsoft Dynamics CRM
[設定] ---> [管理] ---> [チーム]

  • [所属部署のチーム]からチームを選択
  • コマンド バーで[メンバーの追加]
  • [チームにメンバーを追加]ダイアログで1-複数のユーザを追加。

ユーザから所属チームを選択

Microsoft Dynamics CRM
[設定] ---> [管理] ---> [ユーザ]

  • ユーザ レコードをダブル クリック。
    • 削除:
      • ナビゲーション バーの[チーム]をクリック。
      • 所属チームの一覧から1-複数のチームを選択し[メンバーの削除]をクリック。
    • 追加:
      • ナビゲーション バー?の[既存のチームの追加]をクリック。
      • チーム名を入力するか、チームのレコードを入力して追加

共有

  • 他のユーザ/チームに単一レコードに特定のアクセス権を与える。
  • 特定のエンティティの全てのレコードでは無く個々のレコードに適用される。
  • 共有を設定するユーザと同じ特権(アクセス許可)で共有のアクセスが構成される。
  • セキュリティ ロールのようにシステム管理者でなくても、共有は全てのユーザが設定可能。
    (共有の設定は、セキュリティ ロールを通じてベーシック(ユーザー)のアクセス レベルが必要)
  • アクセス レベルは適用されない。

チームとの共有

ユーザとの共有と比べ以下のメリットがある。

  • より少ない作業で共有アクセスを許可できる。
  • チームのメンバシップ管理と連動する。
  • 性能のが向上する(共有設定はPrincipalObjectAccess?テーブルに格納)
  • 部署内部での共有は、既定のチームを使用する。

ビュー、グラフ、ダッシュボードの共有

  • メリット
    • スキルのあるユーザがコンポーネントを作成・共有することで労力を最小限にできる。
    • ユーザはメンテナンスを続け、使用の許可や変更の許可ができる。
      • 個別のカスタマイズは独自コピーを作成して行うことができる。
  • 共有の設定
    • [高度な検索]ダイアログ ボックスの[保存されているビュー]のセクションで個人用ビューを共有。
    • [グラフ ウィンドウ]の[その他の操作]メニューで、個人用グラフを共有。
    • ・・・、個人用ダッシュボードを共有。

レコードの共有

  • レコードを選択した状態で、
  • コマンドバーの[その他のコマンド]をクリックし[共有]をクリック
  • 表示されているダイアログ ボックスで[ユーザまたはチームの追加]をクリック
  • 1つ以上のユーザ/チームを選択リストに追加し、[追加]をクリック
  • ダイアログ ボックスに表示されているユーザ/チームに
    チェックボックスを使用して特権(アクセス許可)を割当てる。

セキュリティ ロールの割当て

[Microsoft Dynamics CRM] ---> [設定] ---> [管理]

ユーザ

'---> [ユーザ]

  • 追加(割当て)
    • ユーザのレコードを選択
    • コマンド バーで[その他のコマンド] ---> [ロールの管理]
    • [ユーザー ロールの管理]ダイアログ ボックスで
      ユーザに割り当てるロールのチェック ボックスをオンにして[OK]をクリック。
  • 確認、削除
    • ユーザのレコードをダブル クリックして開く
    • ナビゲーション バーから[セキュリティ ロール]を選択してクリック
    • ロール一覧を確認、削除する場合はロール一覧からロールを選択し[ロールの削除]をクリック

チーム

'---> [チーム]

  • 追加(割当て)
    • チームのレコードを選択
    • コマンド バーで[その他のコマンド] ---> [ロールの管理]
    • [チーム ロールの管理]ダイアログ ボックスで
      チームに割り当てるロールのチェック ボックスをオンにして[OK]をクリック。

部署からユーザ/チームを移動

Microsoft Dynamics CRM
[設定] ---> [管理] --->

ユーザ

'---> [ユーザ]

  • ユーザのレコードを選択
  • コマンド バーで[その他のコマンド] ---> [部署の変更]
  • [部署の変更]ダイアログ ボックスで部署を検索&選択。

チーム

'---> [チーム]

  • チームのレコードを選択
  • コマンド バーで[その他のコマンド] ---> [部署の変更]
  • [部署の変更]ダイアログ ボックスで部署を検索&選択。

移動後の対応

  • 部署の移動時、ユーザ/チームのセキュリティ ロールは削除される。
  • 移動先の部署のセキュリティ ロールをユーザ/チームに割当てる。
  • ユーザ移動の際、チームのセキュリティ ロールが一部、残るケースがある。
    • チームのセキュリティ ロールで基本操作の特権が割当てられているとそのまま操作可能。
    • 通常は、チームのセキュリティ ロールで基本操作の特権を割当てないようにする。
  • チーム移動の際、ユーザのセキュリティ ロール > 特権が失われる。
    • チーム移動の後、チームのセキュリティ ロール > 特権を復元する。
    • 他のチームを作成し、チームのセキュリティ ロール > 特権を復元する。
    • ユーザ個別に、セキュリティ ロール > 特権を割当てる。

レコードベースのセキュリティ

アクセス権

  • アクセス権は、特定のレコードに関してユーザーに付与される「操作」に対する権限。
  • アクセス権と特権との関係では、特権が有効な場合にのみアクセス権が適用される。
/アクセス権説明
1読み取り参照可能
2書き込み更新可能
3割り当て割り当て可能
4追加指定レコードに別レコードを添付可能。
別レコードの追加アクセス権と指定レコードの追加先アクセス権が必要。
5追加先当該レコードを別レコードに追加可能。
(上記参照を)
6共有共有可能
7削除削除可能

複数のアクセス権が必要な操作

/操作アクセス権
1作成作成?
読み取り
2共有共有
読み取り
3割り当て割り当て
読み取り
書き込み
4レコードを追加する読み取り
追加
5レコードに追加する読み取り
追加先

CRM 追加のセキュリティ オプション

参考


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-02-27 (月) 22:51:17 (901d)