Skip to main content
3 月 5 日~ 6 日にサンフランシスコで開催される TDX (Salesforce+ でも配信) で「Developer Conference for the AI Agent Era (AI エージェント時代に向けた開発者向けカンファレンス)」にぜひご参加ください。お申し込みはこちら

ユーザーがアクセスできる情報の管理

学習の目的

この単元を完了すると、次のことができるようになります。

  • Salesforce におけるデータアクセス制御のさまざまなレベルを説明する。
  • 権限セットと権限セットグループを作成する。
  • 組織の共有設定を定義する。
メモ

メモ

日本語で受講されている方へ
Challenge は日本語の Trailhead Playground で開始し、かっこ内の翻訳を参照しながら進めていってください。Challenge での評価は英語データを対象に行われるため、英語の値のみをコピーして貼り付けるようにしてください。日本語の組織で Challenge が不合格だった場合は、(1) この手順に従って [Locale (地域)] を [United States (米国)] に切り替え、(2) [Language (言語)] を [English (英語)] に切り替えてから、(3) [Check Challenge (Challenge を確認)] ボタンをクリックしてみることをお勧めします。

翻訳版 Trailhead を活用する方法の詳細は、自分の言語の Trailhead バッジを参照してください。

データセキュリティの概要

ユーザーを追加する方法について学んだところで、ユーザーが必要なデータを参照できるようにする方法、しかも必要なデータしか参照できないようにする方法を知りたいと思いませんか? この単元では、ユーザーが必要な情報にのみアクセスできるように、ユーザーの Salesforce レコードへのアクセスを設定する方法について学習します。

Salesforce には、設定しやすいセキュリティのコントロールが含まれていて、アプリケーション内のあらゆるレコードや項目を表示、作成、編集、または削除できるユーザーを簡単に指定できます。アクセスは、組織レベル、オブジェクトレベル、項目レベル、または個別レコードレベルで設定できます。異なるレベルのセキュリティのコントロールを組み合わせることにより、何千ものユーザーに、個別に権限を指定することなく、適切なレベルのデータアクセスを提供できます。

この単元では、データアクセスのレベルと、オブジェクト、レコード、項目のアクセスを管理するために利用可能な機能のいくつかを説明します。とはいえ、ここで扱うのはほんの一部にすぎません。データへのアクセス制御の詳細と実践的な演習については、「データセキュリティ」を参照してください。

データアクセスのレベル

Salesforce では、データへのアクセスを主に 4 つのレベルで設定できます。

組織

この最も高いレベルでは、承認されたユーザーのリストを維持し、パスワードポリシーを設定し、アクセスの時間と場所を制限することにより、組織へのアクセスを保護できます。

オブジェクト

オブジェクトレベルのセキュリティは、どのユーザーがどのデータにアクセスできるかを制御する最もシンプルな方法です。特定の種別のオブジェクトに権限を設定すると、一部のユーザーがそのオブジェクトのレコードを作成、参照、編集、削除できなくなります。たとえば、オブジェクト権限を使用して、面接官は職種と求人応募を参照できるけれども、編集や削除はできないように設定できます。オブジェクト権限を設定するには、権限セットと権限セットグループを使用することをお勧めします。

項目

項目レベルのセキュリティでは、ユーザーがアクセスできるオブジェクトであっても、特定の項目へのアクセスを制限できます。たとえば、職種オブジェクトの給与項目を、面接官には表示せず、採用担当マネージャーと採用担当者には表示することができます。項目権限も権限セットで設定されます。

レコード

さらに詳細にデータを制御するには、特定のユーザーにオブジェクトの参照を許可しながら、参照できる個々のオブジェクトレコードを制限できます。たとえば、レコードレベルのアクセスを使用すれば、面接官が自分のレビューを参照して編集することはできても、他の面接官のレビューは参照できないように設定できます。組織の共有設定を使用して、ユーザーのお互いのレコードに対するデフォルトアクセスレベルを設定します。その後、ロール階層、共有ルール、共有の直接設定、その他の共有機能を使用して、レコードへのアクセスを許可できます。

では、データアクセスの設定に使用される 2 つの機能である、権限セットと組織の共有設定を詳しく見ていきましょう。

権限セット

権限セットは、ユーザーが Salesforce で実行できる操作を決定するための設定と権限のコレクションです。権限セットを使用して、オブジェクト、項目、タブ、その他の機能へのアクセス権を付与し、ユーザーのプロファイルを変更せずにユーザーの機能アクセス権を拡張します。

権限セットの何がそれほど優れているのでしょうか? 小さな権限セットのビルディングブロックを再利用できるため、ユーザーや職務ごとに数十から数百のプロファイルを作成する手間を省けます。そのため、ユーザーに最小アクセス - Salesforce プロファイルを割り当て、権限セットと権限セットグループを使用してユーザーのアクセスを管理することをお勧めします。

権限セットを作成するときには、ジョブやタスクに必要なすべての権限を含めます。

権限セットを作成する

それでは、権限セットを作成してみましょう。

  1. [Setup (設定)] から、[Quick Find (クイック検索)] ボックスに Permission Sets (権限セット) と入力し、[Permission Sets (権限セット)] を選択します。
  2. [新規] をクリックします。
  3. 権限セットの表示ラベルと説明を入力します。
  4. 必要に応じて、特定のライセンスを持つユーザーのみをこの権限セットの割り当て対象にするかどうかを選択できます。
  5. [Save (保存)] をクリックします。

権限セットの概要ページには、設定可能なすべての権限と設定のセクションが含まれています。それでは、オブジェクト権限、項目権限、ユーザー権限を有効にします。

  1. [オブジェクト設定] をクリックし、オブジェクトを選択します。(または、オブジェクトに直接移動するには、[設定の検索...] ボックスでオブジェクトを検索します)。
  2. [編集] をクリックします。このページから、この権限セットに割り当てられたユーザーに付与したいオブジェクト権限と項目権限を有効にすることができます。編集したら、[Save (保存)] をクリックします。
  3. このページに戻るには、[権限セット概要] リンクをクリックします。
  4. ユーザー権限は [アプリケーション権限] セクションと [システム権限] セクションにあります。ここでは、[アプリケーション権限] をクリックします。
  5. [編集] をクリックします。ユーザー権限を有効にするには、権限のチェックボックスをオンにして、[Save (保存)] をクリックします。

ここまで順調に進んでいます。権限セットで権限を作成して設定しました。ユーザーに権限セットを直接割り当てることもできますが、もっと良い方法があります。まず、ユーザーの権限をより簡単に管理できるように、権限セットを含む権限セットグループを作成します。

権限セットグループ

権限セットグループは、その名のとおり、権限セットのグループです。権限セットグループを使用して、職務人格またはロールに基づいて権限セットをまとめます。これで、複数の権限セットの割り当てを追跡するのではなく、ユーザーに権限セットグループを割り当てることができます。権限セットグループが割り当てられたユーザーには、グループ内のすべての権限セットの権限がまとめて付与されます。

権限セットグループが強力な機能であるのは、1 つの権限セットを複数の権限セットグループに追加できるためです。また、権限セットグループ内の特定の権限をミュートして、割り当てられたユーザーにその権限が付与されないようにすることもできます。

このような機能をすべてまとめることで、権限セットの再利用を効率的に行えます。同じ設定を行うために数十 (または数百) ものプロファイルをコピーしなくても、ユーザーに業務に必要な権限のみが確実に付与されるようにすることができます。

すでに説明した他のデータセキュリティ機能と同様に、ここでは権限セットグループについてのみ取り上げます。詳細は、「権限セットグループ」を参照してください。

権限セットグループを作成して、権限をミュートする

権限セットグループを作成する手順は、次のとおりです。

  1. [Setup (設定)] から、[Quick Find (クイック検索)] ボックスに Permission Set Groups (権限セットグループ) と入力し、[Permission Set Groups (権限セットグループ)] を選択します。
  2. [新規権限セットグループ] をクリックします。
  3. 権限セットグループの表示ラベルと説明を入力します。[Save (保存)] をクリックします。
  4. 概要ページで、[グループ内の権限セット] をクリックします。[権限セットを追加] をクリックして、この権限セットグループに含める権限セットを選択します。[追加] をクリックし、次に [完了] をクリックします。

権限セットグループの権限をミュートする手順は、次のとおりです。

  1. 権限セットグループの概要ページで、[グループ内のミュート権限セット] をクリックします。
  2. [新規] をクリックします。ミュート権限セットの名前はそのままにして、[Save (保存)] をクリックします。
  3. ミュート権限セットの名前をクリックします。
  4. [設定の検索...] ボックスを使用して、オブジェクトまたは権限に直接移動します。または、ミュートする権限が含まれるセクションに移動します。
  5. [編集] をクリックし、[ミュート済み] 列の権限のチェックボックスをオンにします。続いて、[Save (保存)] をクリックします。

もう少しで完了です。あとは、ユーザーに権限セットグループを割り当てるだけです。

  1. 権限セットグループの概要ページで、[割り当ての管理][割り当てを追加] の順にクリックします。
  2. このグループを割り当てるユーザーを選択し、[Next (次へ)] をクリックします。
  3. 必要に応じて、ユーザー割り当てが失効する有効期限を選択します。このオプションは、ユーザーに一時的に権限セットグループを割り当てる場合に便利です。
  4. [割り当て] をクリックします。

組織の共有設定

データアクセスをより詳細に制御するには、特定のユーザーにオブジェクトの参照を許可してから、参照できるオブジェクト内の個々のレコードを制限できます。前述のとおり、組織の共有設定を使用して、ユーザーが所有していないレコードに対して、ユーザーに付与されるアクセスの基準レベルを指定します。

各オブジェクトについて次の質問に答えることで、組織の共有設定を決定できます。

  1. このオブジェクトで最も制限されたユーザーは誰か?
  2. このオブジェクトにこのユーザーに閲覧を許可しないインスタンスがあるか?
  3. このオブジェクトにこのユーザーに編集を許可しないインスタンスがあるか?
    オブジェクトの共有モデルを決定するための図。

上記の質問への答えに応じて、オブジェクトの共有モデルを次の設定のいずれかにできます。

項目

説明

非公開

レコードの所有者と階層内でそのロールの上位にあるユーザーのみがレコードに対して参照、編集、およびレポートを実行できます。

公開/参照のみ

すべてのユーザーは、レコードに対して参照とレポートを実行できますが、編集はできません。レコードの所有者と階層内でそのロールの上位にあるユーザーのみが、そのレコードを編集できます。

公開/参照・更新可能

すべてのユーザーがレコードすべてに対して参照、編集、およびレポートを実行できます。

親レコードに連動

ユーザーは、参照、編集、削除などの操作をレコードに対して実行できます。この操作ができるかどうかは、ユーザーがその取引先に関連付けられているレコードに対して同様の操作ができるかどうかに基づいています。

オブジェクトの組織の共有設定を [非公開] または [公開/参照のみ] に設定している場合、ロール階層を設定するか、共有ルールを定義するか、他の共有機能を使用することで、レコードに対する追加のアクセス権をユーザーに許可できます。こういった機能は追加のアクセス権を付与するためにのみ使用できます。組織の共有設定によって最初に指定された設定を越えてレコードへのアクセス権を制限するために使用することはできません。

組織の共有設定を定義する

組織の共有設定について理解したところで、さっそく設定してみましょう。

  1. [Setup (設定)] から、[Quick Find (クイック検索)] ボックスに Sharing Settings (共有設定) と入力し、[Sharing Settings (共有設定)] を選択します。
  2. [組織の共有設定] 領域で [編集] をクリックします。
  3. オブジェクトごとに、[デフォルトの内部アクセス権] 列で、使用するデフォルトアクセス権を選択します。
  4. ロール階層の上位の従業員が自動的にレコードにアクセスできるようにするため、デフォルトのアクセス権が [親レコードに連動] ではないカスタムオブジェクトに [階層を使用したアクセス許可] を選択します。

Salesforce でのデータアクセス制御の基本を学習するだけでなく、オブジェクト、項目、レコードのアクセスを制御する機能の設定も実際に練習しました。ユーザーのアクセス権設定に関する詳細を確認するには、「データセキュリティ」を参照してください。

リソース

Salesforce ヘルプで Trailhead のフィードバックを共有してください。

Trailhead についての感想をお聞かせください。[Salesforce ヘルプ] サイトから新しいフィードバックフォームにいつでもアクセスできるようになりました。

詳細はこちら フィードバックの共有に進む