Open棟梁Project - マイクロソフト系技術情報 Wiki
目次 †
概要 †
職務内容に即したアクセス許可を定義するロール ベースのセキュリ モデルを適用できる。
- 組織構造を定義する部署を作成する。
- セキュリティ ロールを作成する。
- 組織にユーザを追加し、セキュリティ ロールを割り当てる。
- チームにユーザを追加し、セキュリティ ロールを割り当てる。
チームを使用し1~複数の部署のユーザをグループ化できる。
特権 †
特権(privilege)≒ アクセス許可
- CRMでは、Administrator等の特別な権限ではなく単にアクセス許可を指している。
- 特定のエンティティの種類に対しての操作(アクション)実行のアクセス許可。
- システム開始時に、580 を超える特権が事前に定義される。
アクセス レベル †
特権(アクセス許可)にはアクセス レベルを設定できる。
| / | アクセス レベル | 説明 |
| 1 | グローバル(組織全体) | 部署階層レベルに関係なく、組織のエンティティ(機能・データ)を使用可能
通常は組織全体に対する権限を持つ責任者に対してのみ使用される。 |
| 2 | ディープ(部署配下) | 部署とその配下の部署のエンティティ(機能・データ)を使用可能
通常は配下の部署全体に権限を持つ責任者に対してのみ使用される。 |
| 3 | ローカル(部署) | 自部署のエンティティ(機能・データ)を使用可能
通常は部署全体に権限を持つ責任者に対してのみ使用される。 |
| 4 | ベーシック(ユーザー) | ユーザ・共有・チームのエンティティ(機能・データ)を使用可能
通常は営業やサービスの担当者に対して使用される。 |
指定可能なアクセス レベル †
- 組織所有のエンティティには、"なし" or "グローバル(組織全体)"のアクセス レベルのみ指定可能。
- ユーザ・チーム所有のエンティティには、5つすべてのアクセス レベルを指定可能。
- 一部のアクセス レベルを使用できない特権も存在する。
- ユーザレベルにしか設定できない特権(アクセス許可)
- 保存されているビュー
- ユーザ グラフ
- ユーザ エンティティのUI設定
エンティティ特権 †
エンティティとレコードに対するアクセス許可をグリッドで表現している。
- タブ:エンティティのカテゴリ
- 縦:エンティティ
- 横:特権(アクセス許可)
| / | 特権(アクセス許可) | 説明 |
| 1 | 作成 | レコード作成 |
| 2 | 読み取り | レコード表示 |
| 3 | 書き込み | レコード変更 |
| 4 | 削除 | レコード削除 |
| 5 | 追加 | 別のレコードと関連付け。 |
| 6 | 追加先 | エンティティと関連付け。 |
| 7 | 割り当て | レコードの所有権を移転。 |
| 8 | 共有 | レコードのアクセス権を共有。 |
| 9 | リペアレント | エンティティに異なる親を割り当て。 |
UI操作 †
UI操作は、複数のエンティティ特権を必要とする場合も多い。
- ガイドとして、エンティティ特権がない場合、ボタンが表示されなくなる。
その他の特権 †
アプリケーションの機能に関する特権
- 機能
- 印刷
- 重複レコードの統合
- Excelにエクスポート
- オフラインにする
- 設定場所:
一部、[コア レコード]タブの[その他の特権]
セキュリティ ロール †
セキュリティ ロールとは、アクセク許可のグループ化。
- ロールベースのセキュリモデルで使用するセキュリティ ロールを使用する。
- ユーザに1つ以上のセキュリティ ロールを割り当てユーザにアクセク許可を付与する。
- 1ユーザに複数のセキュリティ ロールを割り当てられた場合、
- セキュリティ ロールの"OR"(合計)のアクセク許可が付与される。
- 同じアクセク許可がある場合、アクセスレベルは高い方を使用できる。
- これにより、職務、役職、プロジェクトの一次的ロール
に基づいてユーザへ与えるアクセス許可の管理が用意になる。
ソリューションとセキュリティ ロール †
ソリューションには、ルート部署のセキュリティ ロールのみ含めることができる。
既定のセキュリティ ロール †
| / | ロール | 説明 |
| 1 | 最高経営責任者 | 会社レベルで組織を管理するユーザー。 |
| 2 | 顧客サービス課長 | 地域またはチーム レベルで顧客サービス活動を管理するユーザー。 |
| 3 | 顧客サービス担当者 (CSR) | すべてのレベルの顧客サービス担当者 (CSR)。 |
| 4 | 代理人 | 別のユーザーに代わって行動することを許可されたユーザー。 |
| 5 | マーケティング課長 | 地域またはチーム レベルでマーケティング活動を管理するユーザー。 |
| 6 | マーケティング プロフェッショナル | すべてのレベルのマーケティング活動に関与するユーザー。 |
| 7 | 営業課長 | 地域またはチーム レベルで営業活動を管理するユーザー。 |
| 8 | 営業担当者 | 任意のレベルの営業担当者。 |
| 9 | フィールド サービス課長 | サービスの予定を計画するユーザー。 |
| 10 | フィールド サービス担当者 | サービスを管理するユーザーで、リソースと作業時間を必要とするユーザー。 |
| 11 | サポート ユーザー | 顧客サポート エンジニアであるユーザー。 |
| 12 | システム管理者 | 任意のレベルでプロセスを定義して実行するユーザー。 |
| 13 | システム カスタマイザ | Microsoft Dynamics CRM のエンティティ、属性、関連付け、およびフォームをカスタマイズするユーザー。 |
| 14 | マーケティング担当副社長 | 部署レベルでマーケティング活動を管理するユーザー。 |
| 15 | 営業担当副社長 | 部署レベルで販売組織を管理するユーザー。 |
システム管理者 †
すべての既定のロールを変更可能。
その他、以下の特別な性質を持つ。
- エンティティ、機能に対するグローバル(組織全体)レベルの全アクセク許可。
- ただい、一部ベーシック(ユーザー)レベルだけが適用される例外がある。
- 保存されているビュー
- ユーザ グラフ
- ユーザ エンティティのUI設定
- 追加されたカスタムエンティティに(組織全体)レベルのアクセク許可
(このアクセク許可は、システムカスタマイザーにも付与される)
- システム管理者フィールド セキュリティのメンバ
- セキュリティで保護されたすべてのフィールドに対する全アクセク許可
- フィールド セキュリティ プロファイルを管理し、フィールド レベル セキュリティを実装。
用例 †
以下のケースで使用する。
- 経験の少ない小規模な組織で使用。
- プロジェクトの初期段階のデモ・実証で使用。
変更 †
ビジネス要件から変更が必要な場合、以下の3つの変更方法がある。
- 既定のロールを変更
ユーザ・チームに割り当てる既定のロールを変更
- 既定のロールをコピー
ロールのコピー後にカスタマイズに使用する。
- 新しい名前を指定可能。
- 部署は指定不可能(同じ部署)
- 継承されたロールのコピーも作成可能。
- コピー元とコピー先のロールに関連は無い。
- コピー元との比較(差分の確認)が可能。
既定のロールのカスタマイズ時に便利。
- ロールを新規作成
- 主要なロールに追加する特権を持つロールを作成する。
- チームにセキュリティ ロールを割り当てれば、
ロールを持つユーザの識別が容易、管理し易い。
部署 †
- 階層構造でアクセス許可のスコープを制御する境界として機能する。
- レポートのクエリで部署を使用して結果をフィルタするなどができる。
ルート部署 †
- 組織を作成する際に展開プロセスにより最初の部署として作成される。
- 展開プロセス
- セットアップ プログラム(初回)
- 展開マネージャ(2つ目以降の組織)
- ルート部署の特徴
- 組織と同じ名前で作成される。
- この名前は後に変更できる。
- 1つだけ存在する。
- 上位部署は作成できない。
- 削除や無効化はできない。
- 他の部署は、ルート部署の派生。
作成 †
ポイント †
- 大規模:個別の部署が必要になることもある。
- 会社の組織図を参考にする(ただし、複製ではNG)。
- 部署を、事業部、部門、子会社などに読み替えることもできる。
- 部署を、スキル・役職・責任などユーザのグループに読み替えることもできる。
(ただし、セキュリティ ロールを併用することもできる)
方法 †
Microsoft Dynamics CRM
[設定] ---> [管理] ---> [部署] ---> [新規]
更新 †
ポイント †
ルート部署を除いて部署は移動・削除(無効化)が可能。
方法 †
Microsoft Dynamics CRM
[設定] ---> [管理] ---> [部署]
- 移動の場合、
- 部署を選択し、メニューバーから[その他の操作] ---> [上位の部署の変更]
- 部署をダブルクリックで開き、ツールバーから[操作] ---> [上位の部署の変更]
- ※
- 下位部署も合わせて移動される。
- 循環する関係になるように移動できない。
- 継承されていたセキュリティロールは削除される。
- 無効化の場合、
- 部署を選択し、メニューバーから[その他の操作] ---> [有効にする]・[無効にする]
- 部署をダブルクリックで開き、ツールバーから[操作] ---> 有効または無効的な。
- ※
- 再編準備などで使用する(作成後直ちに無効に再編後に有効化)。
- 削除の場合、
- 下位部署が存在しない状態にする。
- 下位部署を削除する。
- 下位部署の上位部署を変更する。
- 次に無効化(非アクティブ化)する。
- Microsoft Dynamics CRM ---> [設定] ---> [管理] ---> [部署]
ビューから[非アクティブな部署]を選択、対象の部署を開き、コマンドバーで[削除]をクリック。
- ※
部署とセキュリティ ロール †
- セキュリティロールは部署内で作成・保持される。
- セキュリティ ロールは部署を変更できない。
- 部署のセキュリティ ロールは派生の下位部署に継承される(継承されたロール)。
ユーザ管理 †
- 大規模な組織では日常的に行われている(入・退社、移動・昇進)。
- ユーザ管理を便利にする多数の機能があり、セキュリティ管理とユーザ管理が分離されている。
- 担当部署
- 中央の運営機関
- 支社・部門のシステム管理者・管理職
認証機構 †
Dynamics CRM自体は認証機構を提供しない。
展開によって、以下の認証機構を使用する。
参考:クレームベース認証の用語
Online †
- Windows Live IDから、MOSP(MicrosOft? Subscription Program)に変更。
- 全てのサブスクリプションベースSaaSに単一の認証プラットフォームが提供される。
内部的には、Azure ADを
- STS(Security Token Service)
- Idp(Identity Provider )
として使用している。
オンプレ †
- Internet展開
ADFSやサードパーティ製のSTS(Security Token Service)を使用可能。
従って、任意のIdp(Identity Provider )を使用可能。
ユーザ管理機能 †
- ユーザ作成
- ユーザ有効化/無効化
- ユーザの上司特定
- チーム作成
- ユーザをチームに割当
- ユーザ/チームへのセキュリティ ロール割当
- 部署間でのユーザ/チームの移動
既定で自身のプロフィールをメンテできないが、
適切な特権を追加して、住所・電話番号などのメンテナンスを可能に設定可能。
ユーザの追加/削除 †
追加 †
追加時に自動的に有効になる。
削除 †
- 削除はできない。無効化のみ可能。
- サインイン不可、ライセンス不要になる。
- ユーザ所有のレコードは、システム所有になる。
- レコードを有効なユーザに再割当てする適切な方法の検討が必要。
- 無効化予定のユーザとワークフロー/プロセスの関連を考慮
例:サポート案件のルーティングや、電子メール メッセージの送信
- 特定の情報カテゴリの重要度の高いサポート案件は常に特定の技術者に割当てられる。
- 顧客のサポート案件は取引先企業レコードで指定されているサービス担当にルーティングされる。
チーム管理 †
参考 †
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
