Winter '26 のアクセスコントロールの新機能を確認する
学習の目的
この単元を完了すると、次のことができるようになります。
- 「すべての項目の表示」オブジェクトレベル権限を割り当てる。
- 「Manage External Users (Limited) (外部ユーザーを管理 (制限付き))」権限を使用する。
- 公共セクターソリューションで事前定義された権限セットグループを適用する。
- 「安全なロールの動作」リリース更新の共有グループ参照を更新する。
「すべての項目の表示」権限
アクセス設計の中でも特に厄介なのが項目レベルセキュリティです。大規模な組織では、何十ものオブジェクトに何百もの項目が存在することがあるため、権限セットが複雑になり、ギャップが生じやすくなります。新しい「すべての項目の表示」権限は、そうした複雑さの軽減に役立つ機能です。
この機能があれば、将来作成される項目を含め、オブジェクトのすべての項目を表示できるようになります。この 1 つの権限を割り当てれば、新しい項目が出現するたびに権限セットを更新する必要がありません。そのため、更新回数が減り、セキュリティモデルが予測可能な状態で維持されます。
今回の更新により、適切なオブジェクトに対する範囲限定の表示を維持しながら、複雑な組織に存在する個々の項目を追跡するオーバーヘッドが軽減され、アクセス不能に陥るリスクが減少します。この権限は、Lightning Experience と Salesforce Classic で使用できます (使用できない組織もあります)。すべてのエディションの項目権限をサポートする標準とカスタムの両方のオブジェクトで機能します。
この設定手順は次のとおりです。
- [Setup (設定)] で、権限セットを開きます。
- 特定のオブジェクトの [Object Settings (オブジェクト設定)] に移動します。
- [View All Fields (すべての項目の表示)] を選択します。
- 変更を保存します。
この権限セットに割り当てられたユーザーは、そのオブジェクトに存在する項目と将来の項目のすべてに自動的にアクセスできるようになります。
「すべての項目の表示」は、プロファイルではなく、権限セットで割り当てます。このアプローチにより、セキュリティモデルの柔軟性が維持され、長期にわたって管理しやすくなります。
「外部ユーザーを管理 (制限付き)」
新しい「Manage External Users (Limited) (外部ユーザーを管理 (制限付き))」権限を使用すると、Experience Cloud サイトで外部ユーザーを管理する際の安全性が高まります。広範な「外部ユーザーを管理」権限とは異なり、このオプションでは、ユーザーがすでに「参照」と「更新」アクセス権がある外部アカウントのみを管理できます。
この変更により、不正な変更のリスクが低減し、代理管理の範囲を厳密に制限することができます。サイト管理者に広範な管理権限を与えるのではなく、最小権限の原則に従って、その職務の遂行に必要なアクセス権のみを付与します。
この権限は、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition の Lightning Experience と Salesforce Classic からアクセスする Lightning Web Runtime (LWR) サイトに適用されます。
この設定手順は次のとおりです。
- [Setup (設定)] で、権限セットまたはプロファイルに [Manage External Users (Limited) (外部ユーザーを管理 (制限付き))] 権限を割り当てます。
- ユーザーに、管理する必要がある外部アカウントへの「参照」と「更新」アクセス権があることを確認します。
- 変更を保存します。
委任されたユーザーは、すでにアクセス権があるアカウントのみを管理します。
可能な限り、フルアクセスの「外部ユーザーを管理」権限を制限付きの権限に交換します。これは、複雑さを増すことなく、セキュリティを強化する明快な方法です。
公共セクターソリューションのペルソナベースの権限セットグループ
公共セクター組織では、アクセス権のプロビジョニングが複雑になりがちです。権限をシンプルにするために、ユーザーの一般的なペルソナに結び付けられた定義済みの権限セットグループが公共セクターソリューションに導入されました。複数の権限セットを 1 つずつ割り当てるのではなく、ユーザーのロールに応じた 1 つのグループを割り当てます。
このアプローチでは、エラーが軽減し、監査が加速し、責務に見合ったアクセス権が維持されます。誰かのロールが変更になった場合には、グループの割り当てを更新すればよく、アクセスをゼロから構築し直す必要がありません。
ユーザーのペルソナを権限セットグループに対応付ける方法は次のとおりです。
ユーザーペルソナ | 権限セットグループ |
|---|---|
採用担当者または人事担当者 | Talent_Recruitment_Management_Specialist |
採用担当マネージャー | Talent_Recruitment_Management_Hiring_Manager |
外部の応募者を審査する面接官 | Talent_Recruitment_Management_Employee |
募集中の職種に応募する外部の求職者 | Talent_Recruitment_Management_Applicant |
ライセンス/許可を発行するコンプライアンス担当者 | Licensing_Permitting_Officer |
ライセンス/許可を申請する住民 | Licensing_Permitting_Constituent |
資金提供の機会を管理する助成金提供団体 | Grantmaking_Manager |
助成金の申請と報告を行う助成金の申込者 | Grantmaking_Applicant |
給付申込を審査するケースワーカー | Benefit_Management_Caseworker |
給付を申し込む住民 | Benefit_Management_Constituent |
捜査ケースに対応する苦情受付担当者 | Investigative_Case_Management_Officer |
苦情の申し立てまたは証拠の提出を行う住民 | Investigative_Case_Management_Constituent |
プログラム、紹介、ケアプランを管理するケースワーカー | Social_Program_Management_Caseworker |
社会福祉給付を受ける住民 | Social_Program_Management_Constituent |
紹介やサービスを管理する提供者 | Social_Program_Management_Provider |
従業員エクスペリエンスサイトの機能にアクセスする従業員 | Employee_Experience_User |
公共セクターの機能を設定して管理するシステム管理者 | Public_Sector_Solutions_Admin |
この機能は、公共セクターソリューションが有効になっている Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition の Lightning Experience に適用されます。
グループを割り当てる手順は次のとおりです。
- [Setup (設定)] で、ユーザーのレコードを開きます。
- [Permission Set Group Assignments (権限セットグループの割り当て)] で、各人のペルソナに適したグループを選択します。
- 変更を保存します。
ペルソナベースのグループをアクセスモデルのベースラインにします。この方法では、複雑な環境で最小限の権限が適用され、監査が容易になり、時間を節約できます。
安全なロールの動作と共有グループの更新
デジタルエクスペリエンスを提供する組織は、デフォルトの共有グループを使用してレコードを保護します。この共有グループは「ロール & 下位ロール」と呼ばれていましたが、「ロール & 内部下位ロール」に変更されました。この変更で、外部サイトのユーザーがロール階層を通じて意図しないレコードにアクセスすることを阻止します。
移行期間は、古い参照が自動的に変換されます。変更の適用後は、依然として「ロール & 下位ロール」を参照しているコードや自動化が失敗します。エラーを回避するために、早めに組織を更新してください。
この更新は、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition の Lightning Experience と Salesforce Classic に適用されます (適用されない組織もあります)。Summer '25 ですでに Sandbox にプッシュされ、Spring '26 で本番に適用されます。
準備する手順は次のとおりです。
- [Roles and Subordinates (ロール & 下位ロール)] を参照しているカスタムコード、Apex、フロー、自動化を確認します。
- 該当する参照を [Roles and Internal Subordinates (ロール & 内部下位ロール)] に更新します。
- Sandbox で変更をテストします。
- Winter '26 の適用前に修正をリリースします。
すでに本番でこの更新をテストした場合は、これで完了です。
変更の適用を待つ必要はありません。早めに参照を更新し、Salesforce による変換が終了した後にエラーが生じないようにします。
まとめ
Winter ’26 では、アクセスコントロールの設計を簡便にし、メンテナンスを強化する重要な更新が導入されています。こうした変更により、管理上のオーバーヘッドが軽減し、セキュリティギャップが解消され、複雑な組織全体で最小権限の原則が徹底されます。
まとめ
「Salesforce 認定アーキテクト資格の更新 (Winter '26)」が完了しました。こうした更新を念頭に置いておけば、認定資格を最新の状態に維持し、引き続き安全で効率的なアクセスモデルを設計することができます。
リソース
- Salesforce ヘルプ: Allow Users to View All Fields for a Specified Object (指定したオブジェクトの「すべての項目の表示」をユーザーに許可)
- Salesforce ヘルプ: Increase the Security of Your Site with When Managing External Users (外部ユーザーを管理する場合のサイトのセキュリティの強化)
- Salesforce ヘルプ: Seamlessly Manage User Access by Persona (ペルソナ別のユーザーアクセスのシームレスな管理)
- Salesforce ヘルプ: 本番組織での安全なロールの動作の有効化および共有グループ参照の更新