セキュリティ モデルの概念

  • [アーティクル]

Dynamics 365 Customer Engagement (on-premises) の組織のデータの整合性とプライバシーを保護するために、Customer Engagement (on-premises) のセキュリティ モデルを使用します。 また、セキュリティ モデルは、効率的なデータ アクセスと共同作業を促進します。 モデルの目的は次のとおりです。

  • 多階層のライセンス モデルがユーザーに用意されています。

  • 業務の実行に必要な情報のレベルのみを許可するアクセスをユーザーに付与します。

  • セキュリティ ロール別にユーザーとチームをカテゴリ化し、ロールを基にアクセスを制限する。

  • ユーザーが所有していないオブジェクトに 1 回限りの共同作業の目的としてアクセスできるように、データの共有をサポートします。

  • ユーザーが所有または共有していないオブジェクトへのアクセスを禁止します。

部署、ロールベースのセキュリティ、レコードベースのセキュリティ、およびフィールドベースのセキュリティを組み合わせて、Customer Engagement (on-premises) 組織内でユーザーが所有する情報に対する全体的なアクセス権限を定義します。

部署

部署は基本的にユーザーのグループです。 複数の顧客ベースを保有する大規模な組織では、多くの場合、複数の部署を使用してデータ アクセスを制御し、セキュリティ ロールを定義して、ユーザーが自分の部署のレコードにのみアクセスできるようにしています。 詳細: 部署の作成

ロールベースのセキュリティ

ロールベースのセキュリティを使用して、ユーザーまたはチームによって実行可能な職務を指定するロールに一連の特権をグループ化できます。 Customer Engagement (on-premises) にはあらかじめ定義された 1 組のセキュリティ ロールが組み込まれており、各セキュリティ ロールは、セキュリティ管理が容易になるように集約された特権のセットです。 特権の大部分では、特定のエンティティ タイプのレコードの作成、読み取り、書き込み、削除、共有を行うことができる機能が定義されています。 また、各特権では、特権の適用範囲も定義されています (ユーザー レベル、事業単位レベル、事業単位階層全体、または組織全体)。

たとえば、営業担当者ロールが割り当てられたユーザーとしてサインインする場合、組織全体に対する取引先企業の読み取り、書き込みおよび共有特権がありますが、自分が所有する取引先企業レコードのみを削除できます。 また、製品更新のインストール、またはシステムにユーザーを追加するなどの、システム管理者タスクを実行する特権もありません。

Sales 担当副社長ロールを割り当てられたユーザーは、Sales 担当者ロールに割り当てられているユーザーができるタスクより広範囲の、データとリソースの表示および修正に関連するタスクのセット (および、さらに多くの特権) を実行できます。 たとえば、Sales 担当副社長ロールを割当てられたユーザーは、すべての取引先企業を読み取り、それをシステム内のすべての人に割り当てることができますが、Sales 担当者ロールを割当てられたユーザーはそれができません。

システム管理者とシステム カスタマイザーは、非常に広範な特権を持つロールです。 不適な構成を最小限に抑えるには、これらの 2 つの役割を、Customer Engagement (on-premises) の管理およびカスタマイズを担当する組織内の少数の個人に限定する必要があります。 組織は、要求を満たすために、既存のロールをカスタマイズし、独自の役割を作成することもできます。 詳細情報: セキュリティ ロール

ユーザーベースのアクセスおよびライセンス

既定では、ユーザーを作成するとき、ユーザーにはアクセス許可を持つデータに対する読み取りと書き込み両方のアクセス権限が与えられます。 また、既定では、ユーザー クライアント アクセス ライセンス (CAL) は Professional に設定されます。 データや機能のアクセスをさらに制限するには、次のいずれかの設定を変更します。

アクセス モード。 この設定は、各ユーザーのアクセス レベルを決定します。

  • 読み書きアクセス。 既定では、ユーザーは読み書きアクセスがあり、セキュリティ ロールが設定されている適切なアクセス許可を持つデータにアクセスできます。

  • 管理者アクセス。 セキュリティ ロールにより設定された適切なアクセス許可を持つ領域に対するアクセスは許可されますが、通常は営業、サービス、およびマーケティング領域にある、会計、取引先担当者、潜在顧客、営業案件、およびサポート案件などの、ビジネス データの表示またはアクセスは許可されません。 たとえば、管理者アクセスは Customer Engagement (on-premises) 管理者を作成するために使用できます。この管理者は部署の作成、ユーザーの作成、重複データ検出の設定などの管理タスク一式を実行するためのアクセス許可を持ちますが、ビジネス データの表示またはアクセスはできません。 このアクセス モードを割り当てられているユーザーは CAL を消費しないことに注意してください。

  • 読み取りアクセス。 セキュリティ ロールによって設定された適切なアクセス許可を持つユーザーの領域に対するアクセスが許可されますが、読み取りアクセス許可を持つユーザーはデータの表示のみが可能で、既存のデータの作成または変更はできません。 たとえば、読み取りアクセス権を持つ、システム管理者のセキュリティ ロールのユーザーは、部署、ユーザー、およびチームを表示できますが、それらのレコードの作成または修正はできません。

ライセンスの種類。 これによりユーザー CAL が設定され、ユーザーがどの機能または領域を使用できるか決定されます。 この機能と領域コントロールはユーザーのセキュリティ ロール設定とは異なります。 既定では、アクセス許可を付与された大半の機能と領域アクセスに対して Professional CAL を持つユーザーが作成されます。

チーム

チームはビジネス オブジェクトを共有する簡単な方法を提供し、部署を超えて他の人々と共同作業ができます。 チームが 1 つの事業単位に属している場合、その他の事業単位のユーザーを含めることができます。 ユーザーを複数のチームに関連付けることができます。 詳細情報: チームの管理

レコードベースのセキュリティ

レコードベースのセキュリティを使用して、個々のレコードの操作を実行するユーザーとチームの権限を管理できます。 このセキュリティはエンティティ (レコード) のインスタンスに適用され、アクセス権限によって提供されます。 レコードの所有者は、レコードの共有、またはレコードにアクセスする権威を他のユーザーまたはチームに付与できます。 この時、どの権限を付与するか選択する必要があります。 たとえば、取引先企業レコードの所有者は、その取引先企業情報に対する読み取りアクセスを許可し、書き込みアクセスは許可しないようにすることができます。

アクセス権は、特権が有効になった後でのみ適用されます。 たとえば、ユーザーに取引先企業レコードの表示 (読み取り) 特権がなければ、それらのユーザーに他のユーザーが共有操作を通じて特定の取引先企業に対するアクセス権限を付与したとしても、取引先企業を表示することはできません。

階層セキュリティ

階層データへのアクセスに、階層セキュリティ モデルを使用できます。 マネージャーは、この追加のセキュリティにより、レコードに対してよりきめ細かくアクセスできるので、承認を得るために自分のレポートのレコードにアクセスしたり、レポートのために仕事をすることができます。 詳細情報: 階層セキュリティ

フィールドベースのセキュリティ

フィールドレベルのセキュリティを使用して、エンティティ内のビジネスに大きな影響を与える特定のフィールドへのアクセスを、特定のユーザーまたはチームのみに制限できます。 レコードベースのセキュリティと同様に、これは特権が有効になった後で適用されます。 たとえば、あるユーザーは取引先企業を読み取る特権がありますが、すべての取引先企業の特定のフィールドの表示を制限できます。 詳細: フィールド レベル セキュリティ

Customer Engagement (on-premises) でセキュリティ モデル化

Customer Engagement (on-premises) でセキュリティ モデルを設計することに関する詳細情報とベストプラクティスについては、Microsoft ダウンロード センターから入手可能な Microsoft Dynamics CRM で拡張できるセキュリティ モデル化 のホワイト ペーパーをお読みください。

参照

フィールド レベル セキュリティ
階層セキュリティ
データ アクセスのコントロール
セキュリティ ロールの作成または編集
セキュリティ ロールのコピー
ユーザーの管理
チームの管理
フィールド セキュリティ プロファイルへのチームまたはユーザーの追加
セキュリティ、ユーザー、チームの管理