エージェントユーザー権限のベストプラクティス
メッセージングチャネルに接続するエージェントなど、多くの AI エージェントは、組織で Salesforce ユーザーとして動作します。これらのエージェントユーザーに付与した権限によって、AI エージェントが実行できるアクションが決まります。
必要なエディション
| 使用可能なインターフェース: Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition。必要なアドオンライセンスはエージェント種別によって異なります。 |
AI エージェントは従業員または顧客とやりとりできます。従業員とやりとりするほとんどのエージェントは、Lightning Experience など、ログインユーザーに制限されたチャネルに接続します。これらのエージェントは、ログインユーザーのコンテキストで実行されます。ユーザーライセンス、権限、項目レベルセキュリティ、共有設定など、すでに設定されている Salesforce のアクセス制御によって、エージェントがアクセスできる内容が決まります。
顧客とやりとりするほとんどのエージェントは、メッセージングチャネルなど、ログインユーザーに制限されないチャネルに接続します。エンドユーザーがアクセスできないデータに安全にアクセスし、アクションを実行するために、エージェントはエージェントユーザー (エージェントが作業するために必要なすべての権限を持つ Salesforce インテグレーションユーザー) として動作します。
Agent Creator でエージェントユーザーを作成できます。[新規エージェントユーザー] オプションを選択することをお勧めします。このオプションを選択すると、デフォルトでエージェントのセキュリティが確保されるように、最小限のアクセス権を持つエージェントユーザーが作成されます。エージェントに必要な追加アクセス権を付与します。エージェントにアクセス権を付与する対象を決定するときは、最小権限の原則に従います。
エージェントユーザーに推奨されるアクセス権
ほとんどのエージェントユーザーには、デフォルトでエージェントユーザーに付与されているアクセス権に加えて、次のアクセス権が必要です。
- エージェントが操作するレコードを表示または編集できるロール。
- フロー、Apex、またはプロンプト テンプレートを介してエージェントが操作する各オブジェクトに対する最小レベルのオブジェクト権限。新しいアクションをエージェントに追加する場合は、アクションで参照されるオブジェクトへのアクセス権がエージェントユーザーに付与されていることを確認します。
その他の要件については、エージェントのドキュメントを参照してください。エージェントがプロンプトテンプレートなどの追加機能にアクセスする必要がある場合は、エージェントユーザーに必要なアクセス権を付与する権限セットまたは権限セットグループを作成します。エージェントユーザーに割り当てるカスタム権限セットは、Einstein エージェントライセンスと Einstein エージェントユーザープロファイルに関連付けられている必要があります。
| エージェントが使用する機能 | 必要な権限 |
|---|---|
| エージェントアクションに関連付けられたプロンプトテンプレートを含む | 権限セット: プロンプトテンプレートユーザー |
| フロー (エージェントアクションに関連付けられたフローを含む) | アプリケーション権限: フローを実行 または 個々のフローへのアクセス権の付与 「フローを実行するためのユーザーアクセスの制限」を参照してください。 |
| Apex クラス (エージェントアクションに関連付けられたクラスを含む) | Apex クラス アクセス:エージェントが使用する Apex クラスを選択します。 |
Knowledge and Data 360を活用する次のような機能とアクション:
|
アプリケーション権限: ナレッジの表示を許可 |
| アプリケーション権限: 会話エントリへのアクセス | |
| 権限セット: Data Cloud ユーザー | |
Data Category Visibility:エージェントが回答で使用する Knowledge Article データを含むデータ カテゴリを選択します。 「データカテゴリ表示」を参照 |
|
| オブジェクト権限:最小権限の原則に従って、Knowledgeオブジェクトへのアクセス権を付与します。 |
Agent Creator で Agentforce サービスエージェント(ASA)のエージェントユーザーを作成すると、そのユーザーにはデフォルトで次のプロパティが含まれます。
- ユーザーライセンス: Einstein Agent
- プロファイル: Einstein エージェントユーザー
- 姓: EinsteinServiceAgent ユーザー
- 権限セットグループ: AgentforceServiceAgentUserPsg。「Agentforce サービスエージェントセキュアベース」権限セットが含まれます。
ほとんどの ASA では、必要な機能とオブジェクトにアクセスするために追加の権限が必要です。
エージェントユーザーの考慮事項
組織の共有設定 (OWD) によって、所有していないレコードへのユーザーのアクセス権が決まります。認証済みユーザーを使用するエージェントセッションでは、セッションはエンドユーザーのコンテキストで実行され、OWD はユーザーが外部か内部かによって異なります。認証されていないユーザーのエージェントセッションでは、セッションはエージェントユーザーのコンテキストで実行され、内部ユーザーの OWD が適用されます。
OWD、エージェントユーザーの権限、およびエージェント設定を慎重に確認し、エンドユーザーとビジネスに適したレコードアクセス権があることを確認します。
- エージェントに適切なアクセス権があることを確認するには、リリースする前に Sandbox でエージェントをテストします。
- 管理者権限を持つ Salesforce ユーザーのみがエージェントユーザーを表示または編集できます。
- エージェントユーザーログイン情報を使用して Salesforce にログインすることはできません。
- エージェントユーザーが Salesforce で作業している場合、そのユーザー名はレコードの [作成者]、[最終更新者]、または [所有者] 項目や Salesforce の監査項目に表示される可能性があります。
- エージェントユーザーを区別するには、各ユーザーの名を、関連付けられているエージェントの名前に更新することを検討してください。
- [ユーザー] 設定ページですべてのエージェントユーザーを簡単に見つけるには、Einstein エージェントユーザープロファイルで絞り込むリストビューを作成することを検討してください。
