ユーザーを作成し、セキュリティ ロールを割り当てる

Microsoft 365 管理センター を使用して、Dynamics 365 (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、Dynamics 365 Project Service Automation) の Power Apps と Customer Engagement アプリを使用して作成されたアプリにアクセスする必要がある、すべてのユーザーにユーザー アカウントを作成します。 ユーザー アカウントによって、ユーザーが Microsoft オンライン サービス環境 に登録されます。 ユーザーがサービスにアクセスするためには、アカウントをオンライン サービスに登録するだけでなく、ライセンスを割り当てる必要もあります。 Microsoft オンライン サービス環境 でユーザーにグローバル管理者ロールまたはサービス管理者ロールを割り当てると、自動的にシステム管理者セキュリティ ロールがユーザーに割り当てられることに注意してください。 詳細: Microsoft Online Services 環境の管理者ロールとセキュリティ ロールの違い

ユーザー アカウントの作成

Microsoft 365 管理センター でユーザー アカウントを作成すると、システムはユーザー ID および一時パスワードをユーザーのために生成します。 このサービスでメールのメッセージをクリア テキストで送信するためのオプションを設定できます。 パスワードは一時的なものですが、ユーザーにパスワードをコピーして送信する際には、コンテンツをデジタルで暗号化できるメール サービスなど、より安全なチャネルを使用することを検討してください。 Microsoft オンライン サービス ユーザー アカウントの作成に関する詳細な手順は、ユーザーを個別で作成する、または一括作成する を参照してください。

注意

Microsoft 365 管理センター でユーザーを作成し、ライセンスを割り当てると、顧客エンゲージメント アプリにもユーザーが作成されます。 Microsoft 365 管理センター と顧客エンゲージメント アプリ間の同期処理が完了するまでに数分かかる場合があります。

ユーザー ID とパスワードを入力することによって、ユーザーは Microsoft 365 管理センター にアクセスして、サービスに関する情報を表示できます。 ただし、ユーザーがセキュリティ ロールを直接または間接的にグループ チーム メンバーとして割り当てるまで、ユーザーは顧客エンゲージメント アプリにアクセスできません。

ヒント

Microsoft 365 管理センター と顧客エンゲージメント アプリの間で直ちに同期させるには、次の手順を実行します。

  • 顧客エンゲージメント アプリおよび Microsoft 365 管理センター からサインアウトします。
  • 顧客エンゲージメント アプリと Microsoft 365 管理センター で使用したすべての開いているブラウザーを閉じます。
  • 顧客エンゲージメント アプリおよび Microsoft 365 管理センター にもう一度サインインします。

ユーザー プロファイル情報

一部のユーザー プロファイル情報は、Microsoft 365 管理センター で保持されて管理されます。 ユーザーを作成または更新すると、これらのユーザー プロファイルのフィールドは、Microsoft Power Platform 環境で自動的に更新されて同期されます。

次の表は、Microsoft 365 管理センター の ユーザー セクションで管理されるフィールドを示しています 。

顧客エンゲージメント アプリのユーザー フォーム

Microsoft 365/ Azure AD ユーザー
ユーザー名ユーザー名
フルネーム 名 + 姓
敬称 役職
既定電子メール* 電子メール
代表電話 オフィスの電話
携帯電話 携帯電話
FAX FAX 番号
住所 番地
アドレス 市区町村
アドレス 都道府県
アドレス 国/地域
* データの損失を防ぐために、既定電子メール フィールドは顧客エンゲージメント アプリでは自動的には更新および同期されません。

Microsoft 365 ユーザーの連絡先フィールドは、以下の画像のとおりです。

役職、部署、オフィス、オフィスの電話、携帯電話、ファックス番号、番地、市、州または県、郵便番号、国または地域

ユーザー アカウントにライセンスを追加する

ユーザー アカウントの作成時にユーザーにライセンスを付与、またはあとからユーザーにライセンスを付与できます。 オンライン サービスへアクセスするすべてのユーザー アカウントに、ライセンスを割当てる必要があります。

ユーザーライセンスを使用する詳細な手順については、ユーザーにライセンスを割り当てる を参照してください。

Power Apps アプリごとのプランに関する詳細な手順については、 Power Appsアプリごとのプランを参照してください。

重要

顧客エンゲージメント アプリにアクセスするためには、ライセンスが付与されたユーザーに少なくとも 1 つのセキュリティ ロールを割り当てる必要があります。 セキュリティ ロールは、グループ チームのメンバーとして、直接または間接的に割り当てることができます。

ユーザー ライセンスについて

  • 組織へのアクセスを実現するためにユーザー ライセンスを使用します。 組織にサインインするアクティブなユーザー レコードを持つユーザー 1人につき、1つのユーザー ライセンスが必要となります。

  • 新しいユーザーを追加するときには、使用可能なユーザー ライセンスの数が 新しいユーザー アカウント フォームに表示されます。 Microsoft 365 管理センター の左側にあるメニューから 請求 > サービスの購入 の順に選択して追加ライセンスを追加できます。

  • 発行する招待状ごとにユーザー ライセンスが必要となります。 受け入れられていない招待状であっても、招待状が発行されてから2週間後に失効するまではユーザーライセンスが必要です。

  • ユーザー ライセンス数が実際の使用数よりも多い場合は、ライセンス数の削減についてサポートに問い合わせてください。 現在の使用数や、サービスで認められた数を下回るライセンス数に減らすことはできません。 加えた変更は次の請求サイクルに反映されます。

  • 各ユーザーライセンスには固有の Microsoft アカウントが必要となり、サインインするすべてのユーザーにはライセンスが必要です。 大半のサブスクリプションには、特定の数のユーザー ライセンスが含まれています。

注意

一連の既定ののセキュリティ ロールは、インストールされたライセンスおよび、またはソリューションに基づいてユーザーに割り当てられます。 これらのセキュリティ ロールは、環境にインストールされているアプリへの読み取りアクセス権のみをユーザーに付与します。 たとえば、ユーザーが Dynamics 365 プランのライセンスを割り当てられ顧客サービス ハブのアプリを持つ環境と同期されると、そのユーザーは自動的に Customer Service アプリ アクセス セキュリティ ロールを割り当てられます。 このロールにはデータ アクセス許可が付与されていません。 ユーザーがデータを参照および操作するには、管理者がそのユーザーに適切なセキュリティ ロールをグループ チームのメンバーとして直接的または間接的に割り当てる必要があります。

ユーザーへのセキュリティ ロールの割り当て

セキュリティ ロールは、一連のアクセス レベルとアクセス許可を通じて、ユーザーのアクセスを制御します。 特定のセキュリティ ロールに含まれるアクセス許可とアクセス レベルの組み合わせにより、ユーザーが表示できるデータとユーザーのデータ使用方法を制限します。

顧客エンゲージメント アプリは、デフォルトのセキュリティ ロールのセットを提供します。 組織が必要とする場合、既定のセキュリティ ロールのいずれかを編集して新しい名前で保存することで、新しいセキュリティ ロールを作成できます。 定義済みのセキュリティ ロールを参照してください。

ユーザーに複数のセキュリティ ロールを割り当てることができます。 複数のセキュリティ ロールの影響は累積的です。これは、ユーザーに割り当てたすべてのセキュリティ ロールに関連付けらたアクセス許可をユーザーが持つことを意味します。

セキュリティ ロールは部署と関連付けられます。 部署が既に作成されている場合、部署内のユーザーは、部署に関連付けられたセキュリティ ロールのみを使用できます。 この機能を使用して、データへのアクセスを部署に属するデータのみに制限できます。

別のユーザーにセキュリティ ロールを割り当てるには、適切な権限が必要です。 セキュリティ ロールを割り当てる を参照してください。

Microsoft オンライン サービス 管理者ロールとセキュリティ ロールの違いの詳細については、ユーザーにアクセス権を付与する を参照してください。

重要

グループチーム のメンバーとして、直接または間接的に、すべてのユーザーに少なくとも 1 つのセキュリティ ロールを割り当てる必要があります。 このサービスは、セキュリティ ロールを 1 つも割り当てられていないユーザーのアクセスを許可しません。

Microsoft Dataverse データベースが 0 個または 1 個の環境でユーザーにセキュリティロールを割り当てるには、環境内のリソースにユーザーのセキュリティを設定する を参照してください。

(オプション) 管理者ロールの割り当て

各ロールに合わせて選択したユーザーに Microsoft オンライン サービス環境 管理者ロールを割り当てることで、一部のユーザー間で Microsoft オンライン サービス環境 の管理タスクを共有できます。 自分で作業できないときのために、グローバル管理者のロールを組織内の別の人に割当てることもできます。

Microsoft オンライン サービス環境 の管理者ロールにはアクセス許可が異なる 5 つのレベルがあります。 例えば、パスワードリセット管理者のロールは、ユーザーのパスワードのみをリセットすることができます。ユーザー管理の管理者ロールは、ユーザーアカウントの追加、編集、削除に加えて、ユーザーのパスワードをリセットすることができます。 Microsoft オンライン サービス 管理者ロールの詳細については、「管理者ロールの割り当て」を参照してください。

注意

Microsoft オンライン サービス環境 管理者ロールは、オンライン サービスのサブスクリプションの各側面の管理に対してのみ有効です。 これらのロールはサービス内のアクセス許可には影響しません。

ユーザー アカウントの有効化または無効化

ユーザーの有効化と無効化は、Dataverse データベースがある環境にのみ適用されます。 Dataverse データベースのある環境でユーザーを有効化するには、サインイン、ユーザーへのライセンスの割り当て、および環境に関連付けられているセキュリティ グループに対するユーザーの追加が許可されていることを確認してください。 これらは環境にユーザーを追加するで使用したものと同じ条件です。

ユーザーを有効化するには、ライセンスをユーザーに割り当て、環境に関連付けられているセキュリティ グループにユーザーを追加します。 無効になっていたユーザー アカウントを有効にする場合、そのユーザーに対してシステムにアクセスするための新しい招待状を送信する必要があります。

ユーザー アカウントを無効にするには、ライセンスをユーザーから削除するか、 インスタンスに関連付けられているセキュリティ グループからユーザーを削除します。 セキュリティ グループからユーザーを削除しても、ユーザーのライセンスは削除されません。 ライセンスの使用を別のユーザーに許可するには、無効にしたユーザー アカウントからライセンスを削除する必要があります。

注意

ユーザーからすべてのセキュリティ ロールを削除して、ユーザーが顧客エンゲージメント アプリにサインインしてアクセスすることを防ぐこともできます。 ただし、この場合はユーザーからライセンスが削除されるわけではなく、そのユーザーは有効なユーザーのリストに残ります。 この方法を使用してユーザーからアクセスを削除することは推奨していません。

セキュリティ グループを使用して、ユーザーの有効化や無効化、または組織へのアクセスのプロビジョニングを管理する場合、選択したセキュリティグループ内のネストされたセキュリティ グループはサポートされず、無視されます。

無効なユーザー アカウントに対しては、 レコードの割り当て や、アカウントや レポートの共有 をすることができます。 これは設置型バージョンをオンラインに移行するときに役立ちます。 ステータスが無効となっているユーザーにセキュリティ ロールを割り当てる必要がある場合は、OrgDBOrgSettings にある allowRoleAssignmentOnDisabledUsers を有効にします。

グローバル管理者、Power Platform 管理者、または Dynamics 365 管理者は、 Dataverse 環境でライセンスを有効にする必要はありません。 グローバル管理者と Power Platform 管理者はライセンスなしで管理業務を行うことができます を参照してください。 ただし、ライセンスがないため、管理アクセス モード に設定されます。

これらのタスクを実行するには、適切な管理者ロールのメンバーである必要があります。 詳細: 管理者ロールの割り当て

環境内のユーザー アカウントを有効にする

Dataverse データベースを有する環境でユーザーを有効化するには、ユーザーのサインインを有効化し、ユーザーにライセンスを割り当ててから、ユーザーをセキュリティ グループに追加します。

サインインを有効にする

  1. Microsoft 365 管理センター にサインインします。
  2. ユーザー > アクティブ ユーザー を選択し、 続いてユーザーを選択します。
  3. ユーザーの表示名の下に サインイン可能 と表示されていることを確認します。 そうでない場合は、このユーザーをブロック を選択し、サインインのブロックを解除します。

ライセンスを割り当てる

  1. Microsoft 365 管理センター にサインインします。
  2. ユーザー > アクティブ ユーザー を選択し、 続いてユーザーを選択します。
  3. ライセンスとアプリ のタブを選択し、 割り当てるライセンスを選択します。
  4. 変更を保存 を選択します。

ユーザーにセキュリティ プリンシパルを追加する

  1. Microsoft 365 管理センター にサインインします。
  2. グループ > グループ を選択します。
  3. 環境に関連付けられているセキュリティ グループを選択します。
  4. メンバー タブを選択します。
  5. メンバー で、すべてを表示してメンバーを管理 >メンバーを追加 を選択します。
  6. リストからユーザーを選択するか、ユーザーを検索して、保存 を選択します。

環境内のユーザー アカウントを無効化する

Dataverse データベースを有する環境でユーザー アカウントを無効にするには、セキュリティグループからユーザーを削除するか、ユーザーからライセンスを削除するかのいずれかの方法があります。

ユーザーからセキュリティ プリンシパルを削除する

  1. Microsoft 365 管理センター にサインインします。
  2. グループ > グループ を選択します。
  3. 環境に関連付けられているセキュリティ グループを選択します。
  4. メンバー タブを選択します。
  5. メンバー で、すべてを表示してメンバーを管理 を選択する
  6. リストからユーザーを選択して削除し、保存 を選択します。

ユーザーからライセンスを削除する

  1. Microsoft 365 管理センター にサインインします。
  2. ユーザー > アクティブ ユーザー を選択し、 続いてユーザーを選択します。
  3. ライセンスとアプリ のタブを選択し、 削除するライセンスを選択します。
  4. 変更を保存 を選択します。

ユーザーからライセンスを削除すると、他のユーザーに割り当てられるライセンスが解放されますが、必ずしもユーザーが無効になるとは限りません。 環境でユーザー アカウントを無効にするにあたって推奨されるアプローチは、環境に関連付けられているセキュリティ グループからユーザーを削除することです。

注意

また Microsoft 365 管理センターでユーザーを削除できます。 ユーザーをサブスクリプションから削除すると、そのユーザーに割り当てられていたライセンスは自動的に別のユーザーへの割り当てが可能になります。 Microsoft Exchange Online や SharePoint— などで管理している Microsoft 365—その他のアプリケーションにもアクセスできるようにしたい場合は、ユーザーを削除しないようにしてください。 代わりに、それらのアプリケーションに割り当てられているライセンスを削除します。

Microsoft 365 管理センター からサインアウトしても、顧客エンゲージメント アプリからはサインアウトされません。 別途サインアウトする必要があります。

ヒント

Microsoft 365 管理センター と顧客エンゲージメント アプリの間で直ちに同期させるには、次の手順を実行します。

  • 顧客エンゲージメント アプリおよび Microsoft 365 管理センター からサインアウトします。
  • 顧客エンゲージメント アプリと Microsoft 365 管理センター で使用したすべての開いているブラウザーを閉じます。
  • 顧客エンゲージメント アプリおよび Microsoft 365 管理センター にもう一度サインインします。

読み書き権限を持つユーザー アカウントを作成する

既定ではすべてのライセンスされたユーザーは 読み書き の権限を持っています。 このアクセス モードでは、割り当てられているセキュリティ権限に基づいて、ユーザーにフル アクセスの権限が与えられます。

ユーザーのアクセスモードを更新する

  1. Power Platform 管理センターで、環境を選択し、設定 > ユーザーのアクセス許可 > ユーザー へと移動します。

  2. 有効なユーザー を選択し、ユーザーのフルネームを選択します。

  3. ユーザーのフォームにて、 管理 から クライアント アクセス ライセンス (CAL) 情報 セクションへとスクロールします。 アクセスモード のリストにて、 読み書き を選択します。

  4. 保存 アイコンを選択します。

管理ユーザー アカウントの作成

管理ユーザーとは、設定と管理機能に対するアクセス権を持ちますが、 機能にはアクセス権をまったく持たないユーザーです。 このアカウントを使用して管理ユーザーの割り当てを行い、日常のメンテナンス業務 (ユーザーアカウントの作成、セキュリティロールの管理など) を実行します。 管理ユーザーは顧客データや機能にアクセスできないため、ユーザーには (セットアップ後に) ライセンスが必要ありません。

管理ユーザーを作成するには、システム管理者セキュリティ ロール、または同等のアクセス許可を持つ必要があります。 最初に Microsoft 365 にてユーザー アカウントを作成し、顧客エンゲージメント アプリでアカウントの 管理者 アクセス モードを選択します。

注意

管理ユーザーのアカウントの使用可能例については、管理ユーザーを作成してセキュリティ ロールの特権の昇格を防止するを参照してください。

  1. Microsoft 365 管理センター で ユーザー アカウントを作成します。

    必ずアカウントにライセンスを割り当ててください。 管理者 のアクセス モードを割り当てた後で、ライセンスを削除します (手順12を参照)。

  2. オプション設定 フォームで、ロール を展開します。

  3. ユーザー (管理者アクセスなし) ボックスのチェックを外します。

  4. フォームを下にスクロールし、 すべてを表示する リンクを選択します。

  5. サービス管理者 のボックスをチェックします。 注意 : グローバル管理者 を選択した場合は、このオプションを選択する必要はありません。

ユーザーが環境に同期するのを待機します。

  1. Power Platform 管理センターで、環境を選択し、設定 > ユーザーのアクセス許可 > ユーザー へと移動します。

  2. 有効なユーザー を選択し、ユーザーのフルネームを選択します。

  3. ユーザーのフォームにて、 管理 から下方にスクロールして クライアント アクセス ライセンス (CAL) 情報 を表示します。 アクセスモード のリストにて、 管理 を選択します。

    ここでは、アカウントからライセンスを削除する必要があります。

  4. Microsoft 365 管理センター に移動します。

  5. ユーザー > アクティブ ユーザー の順に選択します。

  6. 管理ユーザーのアカウントを選択し、ライセンスとアプリ タブをクリックします。

  7. ライセンス ボックスをクリアし、変更内容の保存 を選択します。

非対話型ユーザー アカウントを作成する

非対話型ユーザーは、通常の意味が指す "ユーザー" ではありません。—これは人を表すのではなく、ユーザーアカウントによって作成されるアクセスモードを意味します。 これは、アプリケーション間の顧客エンゲージメント アプリとの間のプログラムのアクセスに使用されます。 非対話型のユーザー アカウントにより、これらのアプリケーションまたはツール—顧客エンゲージメント アプリから ERP へのコネクタなど—を認証し、ライセンスを必要とせずに、顧客エンゲージメント アプリにアクセスできます。 各環境について、最大 7 個の非対話型ユーザー アカウントを作成できます。

非対話型ユーザーを作成するには、システム管理者セキュリティ ロール、または同等のアクセス許可を持つ必要があります。 まず、Microsoft 365 でユーザー アカウントを作成します。 次に、顧客エンゲージメント アプリで、アカウントの非対話型アクセス モードを選択します。

  1. Microsoft 365 管理センター で ユーザー アカウントを作成します。

    必ずアカウントにライセンスを割り当ててください。

  2. Power Platform 管理センターで、環境を選択し、設定 > ユーザーのアクセス許可 > ユーザー へと移動します。

  3. 有効なユーザー を選択し、ユーザーのフルネームを選択します。

  4. ユーザーのフォームにて、 管理 から クライアント アクセス ライセンス (CAL) 情報 セクションへとスクロールします。 アクセスモード のリストにて、 非対話型 を選択します。

    その後、アカウントからライセンスを削除する必要があります。

  5. Microsoft 365 管理センター に移動します。

  6. ユーザー > アクティブ ユーザー の順に選択します。

  7. ライセンスとアプリ タブで、非対話型ユーザーのアカウントを選択します。

  8. ライセンス ボックスをクリアし、変更内容の保存 を選択します。

  9. 顧客エンゲージメント アプリに戻り、非対話型ユーザー アカウントの アクセス モード非対話型 に設定されていることを確認します。

アプリケーション ユーザーの作成

サーバ間認証 (S2S) を利用することで、 Dataverse とWebアプリケーションやサービス間の通信を安全かつシームレスに行うことができます。 S2S 認証は Microsoft AppSource に登録されたアプリがサブスクライバーの Dataverse のデータにアクセスする一般的な方法です。 S2S を使用してアプリケーションやサービスが実行するすべての操作は、アプリケーションにアクセスしているユーザーとしてではなく、ご利用のアプリケーションのユーザーとして実行されます。

すべてのアプリケーション ユーザーは、非対話型のユーザー アカウントで作成されますが、7 つの非インタラクティブなユーザーアカウントの制限には含まれません。 加えて、環境で作成できるアプリケーション ユーザーの数に制限はありません。

アプリケーション ユーザー

アプリケーションユーザーの作成に関する詳細な手順については、アプリケーションユーザー作成を参照してください。

アプリケーション ユーザーの有効化または無効化

アプリケーション ユーザーが作成されると、自動的に有効になります。 既定の アプリケーション ユーザー のフォームでは、フォームのフッター部分に状態が表示されます。 この 状態 フィールドを更新することはできません。

既定の アプリケーションユーザー フォームをカスタマイズすることで、状態 フィールドを更新することができます。これにより、必要に応じてアプリケーション ユーザーを有効化または無効化できます。 既定の アプリケーションユーザー フォームのカスタマイズに関する詳細な情報については、アプリケーション ユーザーを有効化または無効化するを参照してください。

注意事項

アプリケーション ユーザーを無効にすると、そのアプリケーション ユーザー を使用するすべての統合シナリオが中断されます。

スタブ ユーザーの作成方法

スタブ ユーザーは、プレースホルダーとして作成されたユーザー レコードです。 たとえば、このユーザーを参照するレコードがインポートされても、そのユーザーは顧客エンゲージメント アプリには存在しません。 このユーザーはサインインおよび、有効化できず、Microsoft 365 に同期することもできません。 このタイプのユーザーは、データ インポートによってのみ作成できます。

既定のセキュリティ ロールは、これらのインポートされたユーザーに自動的に割り当てられます。 営業担当者 セキュリティ ロールは環境で割り当てられ、Basic ユーザー セキュリティ ロールは、Power Apps 環境で割り当てられます。

注意

既定では、セキュリティ役割は ステータスが使用可能となっているユーザーにのみ割り当てることができます。 ステータスが無効となっているユーザにセキュリティロールを割り当てる必要がある場合は、OrgDBOrgSettings aallowRoleAssignmentOnDisabledUsers を有効にします。

ユーザー レコードを更新して、変更を Azure AD に反映する

Dynamics 365 Customer Engagement (on-premises) で新しいユーザーを作成または、既存のユーザーを更新すると、Active Directory ドメインサービス (AD DS) から取得された情報が、名前や電話番号などのフィールドにユーザーのレコードが入力されます。 ユーザー レコードが作成した後は、Azure AD ユーザー アカウントと顧客エンゲージメント アプリのユーザー レコードの間の同期はこれ以後発生しません。 Azure AD ユーザー アカウントを変更する場合、手動でユーザー レコードを編集して変更を反映させる必要があります。

  1. Power Platform 管理センターで、環境を選択し、設定 > ユーザーのアクセス許可 > ユーザー へと移動します。

  2. 一覧で、更新するレコードを選択し、編集 を選択します。

以下の表は、Azure AD のユーザー アカウントからユーザー フォーム (ユーザー レコード) 上に追加されるフィールドを示しています。

ユーザー フォーム

Active Directory ユーザー

Active Directory オブジェクト タブ

ユーザー名

ユーザー ログオン名

取引先企業

全般

全般

代表電話

電話番号

全般

既定電子メール

電子メール

全般

住所*

市区町村

アドレス

住所*

都道府県

アドレス

自宅電話番号

ホーム​​

電話

* 住所フィールドには、Azure ADの「市」と「都道府県」フィールドの値が含まれています。

関連項目

Dataverse でセキュリティロールを開始する

注意

ドキュメントの言語設定についてお聞かせください。 簡単な調査を行います。 (この調査は英語です)

この調査には約 7 分かかります。 個人データは収集されません (プライバシー ステートメント)。