フィードバック

アクセスを制御するフィールド レベルのセキュリティ

  • [アーティクル]

レコード レベルの権限はエンティティ レベルで付与されますが、他のフィールドよりも慎重に扱うことが必要なデータを内蔵したエンティティに関連付けられている特定のフィールドを使用する場合があります。 これらの場合には、フィールド レベルのセキュリティを使用して、特定のフィールドへのアクセスを制御します。

フィールド レベルのセキュリティのスコープは組織全体であり、以下を含むすべてのデータ アクセス要求に適用されます。

  • Web ブラウザ、モバイル クライアント、または Microsoft Dynamics 365 for Outlook などの、クライアント アプリケーション内からのデータ アクセス要求。

  • Microsoft Dataverse Web サービスを使用した Web サービス呼び出し (プラグイン、ユーザー定義ワークフロー活動、カスタム コードでの使用のため)

  • 報告 (フィルター ビューの使用)

フィールド レベルのセキュリティの概要

フィールド レベルのセキュリティは、ほとんどの標準エンティティの既定のフィールド、ユーザー定義フィールド、およびユーザー定義エンティティのユーザー定義フィールドで使用できます。 フィールド レベルのセキュリティはセキュリティ プロファイルによって管理されます。 フィールド レベルのセキュリティを実装するには、システム管理者が次のタスクを実行します。

  1. 特定エンティティの 1 つまたは複数のフィールドのフィールド セキュリティを有効にします。

  2. 1 つまたは複数の既存のセキュリティ プロファイルを関連付けるか、あるいは 1 つまたは複数の新規のセキュリティ プロファイルを作成して、特定のユーザーまたはチームにアクセスを許可します。

セキュリティ プロファイルには以下を指定します。

  • セキュリティで保護されたフィールドに対するアクセス許可

  • ユーザーとチーム

    セキュリティ プロファイルは、フィールド レベルで次のアクセス許可をユーザーまたはチーム メンバーに付与するように構成できます。

  • 読み取り。 フィールドのデータに対する読み取り専用アクセス。

  • 作成。 このプロファイルにあるユーザーやチームは、レコードの作成時に、このフィールドにデータを追加できます。

  • 更新。 このプロファイルにあるユーザーやチームは、フィールドのデータ作成後に更新することができます。

これらの 3 つの特権の組合せを構成して、特定のデータ フィールドに対するユーザー特権を決定できます。

重要

セキュリティが有効になっているフィールドに、1 つ以上のセキュリティ プロファイルが割り当てられていなければ、システム管理者セキュリティ ロールを持つユーザーのみがこのフィールドにアクセスできます。

取引先担当者エンティティの携帯電話フィールドの制限の例

ここでは、営業メンバーが携帯電話番号に連絡するために異なるレベルのアクセス権を持つ必要がある場合を例に挙げます。

ユーザーまたはチーム アクセス
担当副社長 フル。 取引先担当者の携帯電話番号を作成、更新、および表示できます。
営業課長 読み取り専用。 取引先担当者の携帯電話番号の表示のみができます。
営業担当者およびそのほかのすべてのユーザー ありません。 取引先担当者の携帯電話番号を作成することも、更新することも、表示することもできません。

このフィールドを制限するには、次の手順を実行します。

ファイルにセキュリティを設定します。

  1. Web アプリで、設定 (設定。) > 詳細設定 の順に移動します。

  2. 設定 > カスタマイズ の順に選択します。

  3. システムのカスタマイズ を選択。

  4. エンティティ > 取引先担当者 > フィールド を選択します。

  5. 携帯電話 を選択し、編集 を選択します。

  6. フィールド セキュリティ の隣で、有効化 を選択し、保存して閉じる を選択します。

  7. カスタマイズを公開します。

セキュリティ プロファイルを構成します。

  1. 営業課長のフィールド セキュリティ プロファイルを作成します。

    1. Web アプリで、設定 (設定。) > 詳細設定 の順に移動します。

    2. 設定 > セキュリティ の順に選択します。

    3. フィールド セキュリティ プロファイル を選択します。

    4. 新規 を選択し、営業課長による取引先担当者の携帯電話へのアクセス などの名前を入力し、保存 を選択します。

    5. ユーザー を選択し、追加 を選択し、連絡先フォームの携帯電話番号への読み取りアクセス権を付与するユーザーを選択し、続いて 追加 を選択します。

      ヒント

      ユーザーを個別に追加する代わりに、読み取りアクセスを許可するすべてのユーザーが含まれる 1 つまたは複数のチームを作成します。

    6. フィールド権限携帯電話編集 の順に選択し、読み取りを許可する の横の はい を選択して、OK を選択します。

  2. 担当副社長のフィールド セキュリティ プロファイルを作成します。

    1. 新規 を選択し、部長による取引先担当者の携帯電話へのアクセス などの名前を入力し、保存 を選択します。

    2. ユーザー を選択し、追加 を選択し、連絡先フォームの携帯電話番号への完全なアクセス権を付与するユーザーを選択し、続いて 追加 を選択します。

    3. フィールド権限携帯電話編集 の順に選択し、読み取りを許可する更新を許可する作成を許可する の横の はい を選択して、OK を選択します。

  3. 保存して閉じる を選択します。

以前に作成したフィールド セキュリティ プロファイルで定義されていないユーザーは、連絡先フォームやビューの携帯電話フィールドに対するアクセス権がありません。 フィールド値にロック アイコン。が表示されます ******** が表示され、フィールドが保護されていることを示します。

どのフィールドにセキュリティを設定できますか。

システムにある各フィールドには、フィールド セキュリティを許可するかどうかを示す設定が格納されています。 これはソリューション エクスプローラー のフィールド定義にて確認することができます。 ソリューション エクスプローラーにて、任意の エンティティ を開き、任意の フィールド を開きます。 有効 が選択可能となっている場合は、フィールド セキュリティのフィールドを有効にすることができます。

有効なフィールドセキュリティ。

ほとんどの属性はセキュア化することができますが、ID、タイムスタンプ、レコード トラッキング属性などのシステム属性はセキュア化することができません。 以下がフィールドセキュリティにて有効化できない属性です。

  • ownerid、processid、stageid、accountid、contactid、businessunitid、organizationid、solutionid、supportingsolutionid、transactioncurrencyid、goalownerid、subscriptionid、userpuid、yammeruserid
  • createdby、modifiedby、OwningTeam、OwningUser、Owningbusinessunit、yammeremailaddress
  • createdon、EntityImage_Timestamp、modifiedon、OnHoldTime、overriddencreatedon、overwritetime、modifiedonbehalfby、timezoneruleversionnumber、versionnumber、importsequencenumber
  • statecode、statuscode、componentstate、exchangerate、utcconversiontimezonecode
  • fullname、firstname、middlename、lastname、yominame、yomifirstname、yomifullname、yomilastname、yomimiddlename
  • 非推奨のフィールド、例: traversedpath、stageid

組織で使用しているメタデータを閲覧するに記載されているメタデータ ブラウザ ソリューションをインストールすることで、フィールド セキュリティで使用可能なフィールドなど、組織で使用している エンティティの メタデータを表示することができます。 カスタマイズされていない組織のメタデータを、EntityMetadata.xlsx という名前の Office Excel ファイルで見ることもできます。このファイルは、SDK の最上位のフォルダーに含まれています。 SDK をダウンロード

フィールド セキュリティを使用する際のベスト プラクティス

セキュリティで保護されたフィールドを含む計算フィールドを使用すると、セキュリティで保護されたフィールドへのアクセス許可がないユーザーに対して計算フィールドにデータが表示される場合があります。 この場合、元のフィールドおよび計算フィールドをセキュリティで保護する必要があります。

住所などの一部のデータは、実際には複数のフィールドから構成されます。 したがって、住所などの、複数のフィールドが含まれるデータを完全に保護するには、エンティティの複数のフィールドについて、適切なフィールド セキュリティ プロファイルをセキュリティで保護して構成する必要があります。 たとえば、エンティティの住所を完全に保護するには、address_line1、address_line2、address_line3、address1_city、address1_composite などのすべての関連するアドレス フィールドにセキュリティを設定します。

関連項目

フィールド セキュリティ プロファイルの作成
フィールドに対するセキュリティの追加または削除
階層セキュリティ

注意

ドキュメントの言語設定についてお聞かせください。 簡単な調査を行います。 (この調査は英語です)

この調査には約 7 分かかります。 個人データは収集されません (プライバシー ステートメント)。