プロファイルから権限セットへの移行
ユーザー管理を簡素化し、最小権限の原則を促進するために、ユーザーのアクセス権の管理にはプロファイルではなく権限セットと権限セットグループを使用することをお勧めします。権限セットと権限セットグループ主導のセキュリティモデルに移行する前に、この移行を正常に計画および実行する方法についてこのガイダンスを確認してください。
必要なエディション
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience の両方 |
| 使用可能なプロファイル: Essentials Edition、Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition |
| 権限セットを使用可能なエディション: Essentials Edition、Contact Manager Edition、Professional Edition、Group Edition、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition |
| ユーザーアクセスポリシーを使用可能なエディション: Enterprise Edition および Unlimited Edition |
| 必要なユーザー権限 | |
|---|---|
| プロファイルを作成または編集する | 「プロファイルと権限セットの管理」 |
| 権限セットを作成または編集する | 「プロファイルと権限セットの管理」 |
| ユーザーアクセスポリシーを作成または編集する | 「ユーザーアクセスポリシーの管理」 |
重要 ユーザーに適切なデータアクセス権があり、アクセス設定がメンテナンス可能であることを確認するのは、時間と注意を要する複雑な作業です。データセキュリティと組織の長期的な健全性のためには、この作業を正しく完了することが不可欠です。これらの重要な更新を計画、テスト、実装するための十分な時間を割り当てます。
権限の更新の計画
プロファイルを権限セットに移行する前に、これらの機能の設定に関する Salesforce の推奨事項を確認してください。ユーザー人格とそのタスクおよびジョブを特定し、更新された権限とアクセス設定を計画します。
計画プロセスの一環として、移行後に参照および管理できる詳細なアクセス要件と設定ドキュメントを作成します。開始点として、この計画スプレッドシートを入力または変更できます。
- プロファイルと権限セットで設定する機能に関する Salesforce の推奨事項を理解します。プロファイルは、割り当てられたアプリケーション、レコードタイプ、ページレイアウト、ログイン時間、IP 範囲、パスワードポリシーなどのデフォルト設定で使用されます。権限セットは、オブジェクト、項目、ユーザー権限、およびその他のアクセス権と機能設定で使用されます。詳細は、「Configure Default Settings in Profiles (プロファイルのデフォルト設定の構成)」および「Configure Permissions and Access in Permission Sets (権限セットでの権限とアクセスの構成)」を参照してください。
- アクセス設定の定義に使用する組織内のユーザー人格を特定します。人格は、職務とアクセス要件が似ているユーザーのグループを表します。人格をできる限り合理化してメンテナンスを容易にしながら、適切なアクセスを許可します。
- 人格ごとに、その人格が Salesforce で実行するすべてのタスクまたはジョブをリストします。一部のタスクは人格間で繰り返される可能性があります。
-
タスクとジョブのリストを使用して、各人格に必要な権限とアクセス権を文書化します。ユーザー権限 (アプリケーションおよびシステム) とオブジェクト権限を個別に文書化したり、それらを結合して包括的な権限レコードを作成したりできます。各タスクに必要な権限またはアクセス権の設定については、Salesforce ヘルプドキュメントを参照してください。
必要な権限を確認する方法として、設定とアクセス権を設定するモデルとなり得る各人格を代表する現在のユーザーを選択します。次に、ユーザーのアクセス サマリーを表示して、ユーザーに割り当てられている権限とユーザーに付与されている機能を確認します。代わりに権限セットを使用して付与できるユーザーのプロファイルを介してのみ付与される権限をメモします。また、人格の業務に不要な権限があり、最小権限の原則に従って削除できる権限があるかどうかも検討します。
また、モデルユーザーに割り当てられたタブ設定、レコードタイプ、その他のアクセス設定の権限セットを、移行の一環として調整または統合する場合に備えて確認することもできます。
-
権限セットと権限セットグループを計画します。特定のジョブまたはタスクに必要なすべてのユーザー権限、オブジェクト権限、項目権限を含む権限セットを作成します。標準命名規則に従って、権限セットでアクセス権を付与する対象を詳細に記述します。権限セットの説明を使用して、権限セットの機能を詳細に文書化します。
これらの権限セットをユーザー人格に対応する権限セットグループにバンドルします。標準の命名規則に従い、説明に権限セットグループの対象ユーザーに関する詳細を含めます。異なる人格が同じタスクを実行したり、アクセス権の要件を共有したりする場合は、権限セットを複数の権限セットグループに追加できます。詳細については、「Guidelines for Creating Permission Sets and Permission Set Groups (権限セットおよび権限セットグループ作成のガイドライン)」を参照してください。
メモ 人格のすべてのユーザーではなく、数人の特定のユーザーのみが特定のタスクを実行する場合は、権限セットを作成してアクセス権を設定し、必要なユーザーに直接付与できます。さらに、セッションの有効化または有効期限を使用して、これらの権限セットでアクセスを制限できます。 -
プロファイルを計画します。可能な場合は、ユーザーに「最小アクセス - Salesforce」プロファイルを割り当てます。また、ユーザーごとに含まれているデフォルト設定を変更する場合は、そのコピーを割り当てます。プロファイルを使用して、デフォルトのレコードタイプ、ページレイアウト、ログイン IP アドレスの制限、およびログイン時間の制限を設定する必要があります。プロファイルは権限ではなくデフォルト設定の制御のみを目的としているため、メンテナンスを容易にするためにできるだけ最小限のプロファイルを作成するようにしてください。
新しいカスタムプロファイルを作成する場合は、どのデフォルト設定が含まれているかをメモします。既存のカスタムプロファイルを引き続き使用する場合は、移行の一環として不要な権限と設定を削除します。
プロファイルから権限セットおよび権限セットグループへの移行
権限とアクセス設定を計画したら、ユーザーアクセスポリシーを使用してプロファイルから権限セットへの移行を促進します。
-
ユーザーのアクセス権を移行する前に、最近更新された Sandbox ですべての変更をテストします。すべてのユーザー人格にオブジェクト、レコード、および項目への適切なアクセス権があり、必要なタスクを完了できることを確認するために、徹底的なテストを実施します。また、誤って過剰なアクセス権がユーザーに付与されていないこともテストします。
ヒント 移行の完了に要する時間を記録し、活動の少ない時間帯に変更を行うようにすることで、メンテナンス期間を交渉できるようにします。 -
時間とクリック数を節約するには、権限の割り当てを管理するユーザーアクセスポリシーを作成します。各人格を対象とするようにユーザーアクセスポリシーを設定し、関連するすべての権限セットと権限セットグループを一度に割り当てます。
たとえば、サポート担当者プロファイルのすべての権限をサポート担当者権限セットグループに移行するとします。ユーザーアクセスポリシーを作成し、サポート担当者プロファイルを持つすべての有効なユーザーに新しい権限セットグループを割り当てます。
-
権限が割り当てられたら、デフォルト設定のみを含む新しいプロファイルにユーザーを割り当てて、プロファイルをクリーンアップします。または、既存のプロファイルからすべての権限と不要な設定を削除します。
ヒント 組織で拡張プロファイルリストビューが有効になっている場合、直接リストビューから最大 200 個のプロファイルの権限を変更できます。詳細は、「プロファイルリストビューを使用した複数プロファイルの編集」を参照してください。
-
その他のプロファイル関連の設定を修正します。
- プロファイルではなく権限セットで項目レベルセキュリティを設定するには、[ユーザー管理設定] で [項目作成時の権限セットの項目レベルセキュリティ] を有効にします。今後作成する項目については、権限セットで項目権限を最初から設定できます。
- 必要に応じて、権限セットまたは新しいプロファイルに基づいて組織のメールアドレスを更新します。
この記事で問題は解決されましたか?
ご意見をお待ちしております。
