Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

参照のみプロファイルのカスタムプロファイルへの変換

公開日: Oct 13, 2022
説明
Salesforce は、お客様のデータのセキュリティと保護がお客様のビジネスにとって不可欠であることを理解しています。データの保護を強化するために、参照のみ標準プロファイルを変更してセキュリティのベストプラクティスを反映し、お客様がこのプロファイルをビジネスニーズに合わせてカスタマイズできるようにします。Salesforce は信頼を最大の価値としています。この変更についての透明性を重視し、お客様が実行可能な対応策についての情報をお知らせいたします。

参照のみ標準プロファイルは、割り当てられたユーザに Salesforce 組織の設定の参照、レポートの実行とエクスポート、他のレコードの参照 (編集は不可) を許可するものですが、長い間に Salesforce の製品やサービスが拡張されたため、他の権限が参照のみ標準プロファイルに追加されてこの範囲に収まらなくなっています。

お客様のビジネスのリスク許容度や「参照のみ」の定義によっては、プロファイル本来の許可範囲よりも許容度が高くなっている場合があります。それは、重要な Salesforce 機能を動作させるために暗黙的または明示的に編集アクセスが付与されているためです。たとえば、参照のみプロファイルが割り当てられたユーザに Chatter での投稿が許可されている場合、この操作にはバックグラウンドでのデータベーステーブルの編集が含まれます。

お客様の組織での「参照のみ」を柔軟に定義できるように、Salesforce では参照のみ標準プロファイルをカスタムプロファイルに変換します。この変更により、お客様がビジネスニーズに合わせてこのプロファイルの権限を編集できるようになります。また、プロファイルの名前を必要に応じて変更することもできます。たとえば、許可される操作や割り当て先を名前に反映できます。
解決策

この変更の実施時期:

Summer '21 リリースのロールアウトに伴い、既存の組織の参照のみ標準プロファイルはカスタムプロファイルに変換されます。この移行期間を利用してこのプロファイルに含まれる権限を確認し、必要に応じて変更することをお勧めします。

この変更の一環として、Essentials Edition では最大 2 個のカスタムプロファイル、Professional Edition では最大 3 個のカスタムプロファイルを作成できます。変換された参照のみカスタムプロファイルはこの制限にカウントされます。

Spring '21 以降に新規作成された Salesforce 組織には参照のみプロファイルはありません。新規組織で参照のみプロファイルを作成する場合は、まず最小アクセス標準プロファイルを最小権限のプロファイルベースにし、カスタム権限セットを割り当ててそのユーザにビジネスニーズで要求される「参照」アクセス権を付与することをお勧めします。


この変更による組織への影響:


参照のみ標準プロファイルは、Salesforce システム管理者のみが変更できるカスタムプロファイルに変換されます。メタデータ API のプロファイルの fullName 項目値は「ReadOnly」から「Read Only」に変更されます。

次のシナリオでは組織に影響する可能性があります。 
 

  • 「ReadOnly」を参照するプロファイルメタデータ型でのメタデータ retrieve() または deploy() コールは無効です。たとえば、次の .xml ファイルを使用する retrieve() コールは結果を返しません。 
<?xml version="1.0" encoding="UTF-8"?>
<Package xmlns="http://soap.sforce.com/2006/04/metadata">
<types>
<members>ReadOnly</members>
<name>Profile</name>
</types>
<version>50.0</version>
</Package>
 
  • 参照のみカスタムプロファイル名はローカライズされません。Profile.Name のクエリは、クエリを発行したユーザの言語に関係なく、常に英語で返されます。
  • 参照のみ標準プロファイルを使用して否定アクセス条件を検証する一部の Apex テストは (特にパッケージ化用途の場合)、以前のように機能しません。他のすべてのカスタムプロファイルと同様、変換された参照のみカスタムプロファイルは異なる組織で一貫したアクセス権を保持しません。
 

お客様にてご対応いただく作業:

「参照のみ標準プロファイルをカスタムプロファイルに変換」リリース更新は Spring '21 で提供されます。このリリース更新でプロファイルの変換前後に実行する対応策の詳細な手順と推奨事項を確認してください。以降でも実行する対応策をまとめています。


プロファイルの変換前

まず、「参照のみプロファイルに含まれる権限」セクションで参照のみプロファイルに含まれている権限を確認することをお勧めします。参照のみプロファイルに現在割り当てられているユーザに、含まれる権限を引き続き付与するかどうかを評価します。

参照のみプロファイルが割り当てられたユーザに付与された権限を変更する場合は、最小限の権限のアクセスベースである最小アクセス標準プロファイルにユーザを再割り当てすることをお勧めします。その後必要に応じて、権限セットまたは権限セットグループを介して他の権限を付与します。


参照のみプロファイルを使用するユーザを最小アクセスプロファイルに再割り当てする

  1. [設定] から、[クイック検索] ボックスに「プロファイル」と入力します。
  2. [プロファイル] を選択します。 
  3. [参照のみ] プロファイルに移動します。
  4. 拡張プロファイルユーザインターフェースで [割り当てられたユーザ] をクリックするか、元のプロファイルユーザインターフェースで [このプロファイルに属するユーザの参照] をクリックします。
  5. ユーザごとに、プロファイルの割り当てを「最小アクセス - Salesforce」プロファイルに更新します。
  6. 他の権限を付与する場合は、新しい権限セットを最初から作成できます。または、Salesforce Labs の Profile and Permission Set Helper アプリケーションにあるコンバータ機能を使用して参照のみプロファイルに基づいて権限セットを作成できます。 

Salesforce の参照のみプロファイルを現在割り当てられているユーザに継続使用する場合は、Summer '21 リリースのロールアウト前に組織のカスタムコードが引き続き動作することを確認します。「この変更による組織への影響」セクションで変更を確認してください。影響を受けるシナリオで参照のみ標準プロファイルを参照する組織のカスタムコードが更新されて、参照のみプロファイルの変換後に設定とリリースに不具合が出ないことを確認します。

参照のみプロファイルを使用している Apex テストを更新することをお勧めします。ユーザコンテキストをテストする場合は、代わりに最小アクセスプロファイルと追加の権限セットを使用します。
 

プロファイルの変換後

参照のみ標準プロファイルがカスタムプロファイルに変換された後、ビジネスニーズで必要な権限の削除や追加ができます。参照のみプロファイル名も変更できます。たとえば、権限で編集アクセス権が付与されることや割り当て先のユーザを名前に反映できます。プロファイルの名前を変更する場合、エラーや機能の不具合を防止するために、参照のみプロファイルを参照するすべての Apex コードとカスタマイズを確認してください。すべての参照を新しいプロファイル名に更新します。

プロファイルへのすべての変更を Sandbox 組織または Developer Edition 組織でテストしてから本番組織で有効にすることをお勧めします。


変換後に参照のみカスタムプロファイルの権限を編集する


拡張プロファイルユーザインターフェース
  1. [設定] から、[クイック検索] ボックスに「プロファイル」と入力します。
  2. [プロファイル] を選択します。
  3. [参照のみ] プロファイルに移動してクリックします。
  4. [システム権限] または [アプリケーション権限] をクリックします。または、検索ボックスで追加または削除する権限を検索します。
  5. [編集] をクリックします。 
  6. 権限を編集します。
  7. [保存] をクリックします。

元のプロファイルインターフェース
  1. [設定] から、[クイック検索] ボックスに「プロファイル」と入力します。
  2. [プロファイル] を選択します。
  3. [参照のみ] プロファイルで、[編集] をクリックします。
  4. 権限を編集します。
  5. [保存] をクリックします。
 

変換後に参照のみカスタムプロファイルの名前を変更する


拡張プロファイルユーザインターフェース
  1. [設定] から、[クイック検索] ボックスに「プロファイル」と入力します。
  2. [プロファイル] を選択します。
  3. [参照のみ] プロファイルに移動してクリックします。
  4. [プロパティを編集] をクリックします。
  5. プロファイルの名前を更新します。
  6. [保存] をクリックします。

元のプロファイルインターフェース
  1. [設定] から、[クイック検索] ボックスに「プロファイル」と入力します。
  2. [プロファイル] を選択します。
  3. [参照のみ] プロファイルで、[編集] をクリックします。
  4. プロファイルの名前を更新します。
  5. [保存] をクリックします。 


リソース


参照のみプロファイルに含まれる権限:

含まれるユーザ権限とその説明のリストについては、次の表を参照してください。
権限説明拡張ユーザインターフェースでのカテゴリ元のプロファイルインターフェースでのカテゴリ暗黙的または明示的な編集アクセス権の付与
活動にアクセスToDo、行動、カレンダー、メールと活動ベースの機能 (Einstein 活動キャプチャや活動総計値など) にアクセスします。システム権限一般ユーザ権限 
ライブラリにアクセスライブラリにアクセスします。システム権限管理権限 
カスタマイズしたアクションへのアクセスを許可サポートされていません。ページレイアウトエディタを使用して、どのアクションが Salesforce および Salesforce モバイルアプリケーションに表示されるのかをカスタマイズします。システム権限一般ユーザ権限 
ナレッジの参照を許可ナレッジ記事の参照をユーザに許可します。アプリケーション権限一般ユーザ権限 
Apex REST サービスApex REST サービスへのアクセスを許可します。システム権限管理権限
API の有効化Salesforce.com API にアクセスします。システム権限管理権限 
トピックの割り当て既存のトピックをフィード項目に割り当てます。トピックをフィード項目から削除します。システム権限一般ユーザ権限
Chatter 内部ユーザすべての Chatter 機能を使用します。詳細は、Salesforce ヘルプの「Chatter の概要」を参照してください。システム権限管理権限
リストビューを作成およびカスタマイズリストビューを作成、変更、および削除します。システム権限管理権限
レポートの作成とカスタマイズ個人フォルダでレポートを作成、編集、および削除します。システム権限管理権限
新規 Chatter グループの作成および所有新規 Chatter グループを作成し、所有します。システム権限管理権限
公開リンクの作成ファイルを外部で共有するリンクをユーザが作成できるようにします。公開リンクはコンテンツ配信とは異なり、パスワードで保護できません。ライブラリ内のファイルへのリンクをユーザが作成できるようにするには、ライブラリでそのユーザの [コンテンツの配信] を有効にします。システム権限管理権限
トピックを作成新しいトピックをフィード項目に割り当てて作成します。システム権限一般ユーザ権限
自分の投稿を編集ユーザ自身のフィード項目の編集を許可します。システム権限管理権限
商談商品の販売価格の編集商談品目の販売価格を変更します。アプリケーション権限一般ユーザ権限
トピックを編集トピック名および説明を編集します。システム権限一般ユーザ権限
レポートのエクスポート[詳細のエクスポート] および [印刷用に表示] を使用してレポートをエクスポートします。システム権限一般ユーザ権限 
Field Service StandardField Service Lightning の標準機能すべてへのアクセス権をユーザに付与します。システム権限管理権限 
Chatter に顧客を招待するChatter に顧客を招待します。システム権限管理権限
Knowledge One[記事] タブを [ナレッジ] タブに置き換えます。アプリケーション権限一般ユーザ権限 
Lightning コンソールユーザLightning コンソールアプリケーションへのアクセス権をユーザに付与します。システム権限管理権限 
Lightning Experience ユーザLightning Experience にアクセスして、Lightning Experience と Salesforce Classic を切り替えます。システム権限管理権限 
Lightning Loginユーザが Lightning Login 機能を使用できるかどうかを決定します。システム権限管理権限 
ユーザが元に戻せないマクロを管理元に戻すことができない命令を含むマクロを作成、更新、および実行します。アプリケーション権限管理権限
D&B 企業のレコードを参照D&B 企業のレコードを参照します。アプリケーション権限一般ユーザ権限 
レポート実行レポートおよびダッシュボードを実行します。システム権限一般ユーザ権限 
Salesforce からファイルを選択ファイルを添付するときに、必要に応じて Salesforce ファイルを選択できます。システム権限管理権限 
アウトバウンドメッセージの送信アウトバウンドメッセージを外部 Web サービス API に送信します。システム権限管理権限 
Gmail を介した送信この機能を有効にすると、異なるデータのプライバシー保護およびセキュリティ保護を提供する第三者によって、Salesforce 組織の一部のデータが保存または処理されることがあります。この機能を有効にした結果として第三者と共有されるデータのプライバシーとセキュリティについて、salesforce.com は責任を負いません。

Lightning Experience でメールを作成するときに Gmail を介してメールを送信できます。標準プロファイルでは、「外部メールサービスを介したメール送信」ユーザ権限がデフォルトで有効になっています。		システム権限管理権限
コミュニティのユーザとのファイルの共有共有設定を変更するかプロファイルに投稿して、コミュニティでファイルを共有します。システム権限管理権限
コミュニティでアプリケーションランチャーを表示コミュニティでアプリケーションランチャーアイコンを表示します。システム権限管理権限 
コミュニティロールとして会社名を表示ユーザがコミュニティロールで他のユーザの会社名を参照できるようにします。システム権限管理権限 
レポートの登録Lightning Experience でレポートに登録し、レポートの更新をスケジュールして、メールで通知を送信します。組織のデータはサードパーティサービスによって保存または処理される場合があります。Salesforce は、ユーザが Salesforce の外部に送信するよう選択したデータについて責任を負いません。システム権限管理権限 
ヘルプリンクを参照ヘルプリンクの参照をユーザに許可します。システム権限管理権限 
ナレッジの参照Salesforce ナレッジ記事を表示します。アプリケーション権限一般ユーザ権限 
ロールおよびロール階層を表示ロールとロール階層の参照をユーザに許可します。システム権限管理権限 
設定・定義を参照する[アプリケーションの設定] ページおよび [管理設定] ページを表示します。システム権限管理権限 
トピックを表示投稿、コメント、レコードに関するトピックを表示します。システム権限管理権限 
ナレッジ記事番号

000393290

 
読み込み中
Salesforce Help | Article