Dynamics 365 Customer Engagement (オンプレミス) のセキュリティ モデルを使用して、Customer Engagement (オンプレミス) 組織のデータの整合性とプライバシーを保護します。 セキュリティ モデルでは、効率的なデータ アクセスとコラボレーションも促進されます。 モデルの目標は次のとおりです。
ユーザーに多層ライセンス モデルを提供します。
ジョブの実行に必要な情報レベルのみを許可するアクセス権をユーザーに付与します。
ユーザーとチームをセキュリティ ロール別に分類し、それらのロールに基づいてアクセスを制限します。
1 回限り共同作業のために所有していないオブジェクトへのアクセス権をユーザーに付与できるように、データ共有をサポートします。
ユーザーが所有または共有していないオブジェクトへのアクセスを禁止します。
ビジネス ユニット、ロールベースのセキュリティ、レコードベースのセキュリティ、フィールドベースのセキュリティを組み合わせて、ユーザーが Customer Engagement (オンプレミス) 組織に持つ情報への全体的なアクセスを定義します。
部署
ビジネス ユニットは、基本的にユーザーのグループです。 多くの場合、複数の顧客ベースを持つ大規模な組織では、複数の部署を使用してデータ アクセスを制御し、ユーザーが自分の部署内のレコードにのみアクセスできるようにセキュリティ ロールを定義します。 詳細情報: 部署の作成
ロール ベースのセキュリティ
ロールベースのセキュリティを使用して、ユーザーまたはチームが実行できるタスクを記述する ロール に一連の特権をグループ化できます。 Customer Engagement (オンプレミス) には、一連の定義済みのセキュリティ ロールが含まれています。各ロールは、セキュリティ管理を容易にするために集約された一連の特権です。 特権の大部分は、特定のエンティティ型のレコードを作成、読み取り、書き込み、削除、共有する機能を定義します。 また、各特権は、ユーザー レベル、部署レベル、ビジネス ユニット階層全体、または組織全体で、どの程度幅広く特権が適用されるかも定義します。
たとえば、Salesperson ロールが割り当てられているユーザーとしてサインインした場合、組織全体のアカウントの読み取り、書き込み、共有を行う権限がありますが、削除できるのは自分が所有するアカウント レコードのみです。 また、製品更新プログラムのインストールなどのシステム管理タスクを実行したり、ユーザーをシステムに追加したりする権限もありません。
営業副社長ロールが割り当てられているユーザーは、Salesperson ロールに割り当てられているユーザーよりも、データとリソースの表示と変更に関連するより広範な一連のタスク (およびより多くの特権を持つ) を実行できます。 営業担当副社長ロールを割り当てたユーザーは、たとえば、システム内のすべてのユーザーに対して任意のアカウントを読み取って割り当てることができますが、Salesperson ロールを割り当てたユーザーはアクセスできません。
非常に広範な特権を持つ 2 つのロールがあります。システム管理者とカスタマイザーです。 構成ミスを最小限に抑えるには、これら 2 つのロールの使用を、Customer Engagement (オンプレミス) の管理とカスタマイズを担当する組織内の少数のユーザーに制限する必要があります。 組織は、既存のロールをカスタマイズし、ニーズに合わせて独自のロールを作成することもできます。 詳細: セキュリティ ロール
ユーザー ベースのアクセスとライセンス
既定では、ユーザーを作成すると、ユーザーはアクセス許可を持つデータに対する読み取りと書き込みのアクセス権を持ちます。 また、既定では、ユーザー クライアント アクセス ライセンス (CAL) は Professional に設定されています。 これらの設定のいずれかを変更して、データと機能のアクセスをさらに制限できます。
アクセス モード。 この設定により、各ユーザーのアクセス レベルが決まります。
Read-Write アクセス。 既定では、ユーザーは Read-Write アクセス権を持ち、セキュリティ ロールによって適切なアクセス許可が設定されているデータにアクセスできます。
管理アクセス。 ユーザーがセキュリティ ロールによって設定された適切なアクセス許可を持っているが、アカウント、連絡先、潜在顧客、営業案件、キャンペーン、ケースなど、販売、サービス、マーケティングの各領域で通常見つかったビジネス データの表示やアクセスをユーザーに許可しない領域へのアクセスを許可します。 たとえば、管理アクセスを使用すると、ビジネス ユニットの作成、ユーザーの作成、重複検出の設定など、さまざまな管理タスクを実行できるアクセス権を持つ Customer Engagement (オンプレミス) 管理者を作成できますが、ビジネス データの表示やアクセスはできません。 このアクセス モードが割り当てられているユーザーは CAL を使用しないことに注意してください。
読み取りアクセス。 ユーザーがセキュリティ ロールによって設定された適切なアクセス権を持っているが、読み取りアクセス権を持つユーザーがデータのみを表示でき、既存のデータを作成または変更できない領域へのアクセスを許可します。 たとえば、読み取りアクセス権を持つシステム管理者セキュリティ ロールを持つユーザーは、部署、ユーザー、チームを表示できますが、それらのレコードを作成または変更することはできません。
ライセンスの種類。 これにより、ユーザー CAL が設定され、ユーザーが使用できる機能と領域が決まります。 この機能とエリア コントロールは、ユーザーのセキュリティ ロール設定とは別です。 既定では、ユーザーは、アクセス許可が付与されているほとんどの機能とエリア アクセスに対して Professional CAL を使用して作成されます。
チーム
Teams は、ビジネス オブジェクトを簡単に共有する方法を提供し、ビジネス ユニット間で他のユーザーと共同作業を行うことができます。 チームは 1 つの部署に属していますが、他の部署のユーザーを含めることができます。 ユーザーを複数のチームに関連付けることができます。 詳細情報: チームの管理
レコードベースのセキュリティ
レコードベースのセキュリティを使用して、個々のレコードに対してアクションを実行するユーザーとチームの権限を制御できます。 これはエンティティ (レコード) のインスタンスに適用され、アクセス権によって提供されます。 レコードの所有者は、レコードを共有したり、レコードへのアクセス権を別のユーザーまたはチームに付与したりできます。 この操作が完了したら、付与する権限を選択する必要があります。 たとえば、アカウント レコードの所有者は、そのアカウント情報への読み取りアクセス権を付与できますが、書き込みアクセス権は付与できません。
アクセス権は、権限が有効になって初めて適用されます。 たとえば、ユーザーがアカウント レコードを表示 (読み取り) する権限を持っていない場合、他のユーザーが共有を通じて特定のアカウントに付与するアクセス権に関係なく、アカウントを表示することはできません。
階層セキュリティ
階層データにアクセスするために階層セキュリティ モデルを使用できます。 このセキュリティを強化することで、より詳細なレコードへのアクセスが可能になり、管理者は承認のためにレポートのレコードにアクセスしたり、レポートに代わって作業を行ったりできるようになります。 詳細情報: 階層のセキュリティ
フィールド ベースのセキュリティ
フィールド レベルのセキュリティを使用すると、エンティティ内の特定のビジネスへの影響の大きいフィールドへのアクセスを、指定されたユーザーまたはチームのみに制限できます。 レコードベースのセキュリティと同様に、これは特権が影響を受けた後に適用されます。 たとえば、ユーザーはアカウントを読み取る権限を持つことができますが、すべてのアカウントに特定のフィールドが表示されないように制限できます。 詳細情報: フィールド レベルのセキュリティ
Customer Engagement を使用したセキュリティ モデリング (オンプレミス)
Customer Engagement (オンプレミス) でセキュリティ モデルを設計するための詳細とベスト プラクティスについては、Microsoft ダウンロード センターから入手 できる Microsoft Dynamics CRM によるスケーラブルなセキュリティ モデリング に関するホワイト ペーパーを参照してください。
こちらも参照ください
フィールド レベルのセキュリティ
階層セキュリティ
データ アクセスの制御
セキュリティ ロールを作成または編集する
セキュリティ ロールをコピーする
ユーザーの管理
チームを管理する
フィールド セキュリティ プロファイルにチームまたはユーザーを追加する
セキュリティ、ユーザー、チームを管理する