コラム詳細
はじめに
セラクCCCのSalesforce推進部のNです。顧客情報や商談金額など、機密性の高いSalesforceデータにすべてのユーザがアクセスできる状態は、セキュリティの観点から望ましくありません。そこで、本記事では「プロファイル」と「権限セット」の違いや付与できる権限、権限セットの作成方法、注意点を解説します。
なお、Spring ’26のリリースをもとに、権限セットによるアクセス制御に移行する見込みですが、本記事では2023年時点の内容を扱っています。
詳細はこちら
Salesforce admins「Permissions Updates | Learn MOAR Spring ’23」
※また、アクセス制御、権限設定などセキュリティについて解説しているこちらの資料「Salesforceアクセス制御 権限設定のポイント」と併せてご活用ください。
Salesforceの権限セットとプロファイルの違い
ユーザごとのアクセス制御で使われるのは、「プロファイル」と呼称される権限設定の機能です。一方、「権限セット」はプロファイルに追加して、権限をさらに細かく設定できる機能として扱われます。ここでは、それぞれの機能や特徴について解説します。
プロファイルとは?
<プロファイルの設定画面>
Salesforceのプロファイルは、複数のアクセス権限を一つにまとめたもので、アクセス権限の基本です。
すべてのユーザは、最初からアクセス権限を持っていないため、ユーザ作成時にプロファイルを紐づけなければなりません。プロファイルを紐づけることで、ユーザに権限が付与されます。
プロファイルの活用により、Salesforceに搭載されている多くの機能やアクセス権限を、効率的に付与・変更できます。
たとえば、新入社員のユーザアカウント作成時に、研修用のプロファイルを紐づけておくとします。Aが営業部に配属されることが決定した場合、営業スタッフBと同じプロファイルを紐づければ、簡単に同じ権限の付与が可能です。
権限セットとは?
権限セットは、ユーザごとのアクセス権限をさらに細かく設定できるほか、プロファイルの変更も不要で、ユーザのアクセス権限の拡張が可能です。したがって、新たにプロファイルを作成する必要がなく、一つのプロファイルに対して、複数の権限セットを割り当てられます。
たとえば、営業部のAが人事部の業務も兼任している状況があるとしましょう。このような場合でも、Aのプロファイルに対し、業務ごとの異なる権限セットを割り当てられるということです。アクセス制御において、複数の業務に対応した権限設定を行えることが、権限セットの大きな特徴です。
権限セットやプロファイルで付与できる権限の項目
権限セットで付与できる権限にはさまざまなものがありますが、主に以下の権限で構成されます。
- ・Apexクラスの権限(オブジェクトの作成元の設計図への権限)
- ・接続アプリへのアクセス権限
- ・カスタム権限
- ・フィールド権限
- ・オブジェクトの権限
- ・ユーザ権限(アプリ権限とシステム権限)など
権限セットやプロファイルで付与できる権限は、大きく分けると「データアクセス」「システム管理」「ユーザインターフェース」の3つです。
- ・データアクセス
データに対して「参照」「編集」「削除」などのアクションを行う権限
- ・システム管理
ログインできる時間帯やIPアドレスを制限するなど、システム全体に関して設定する権限
- ・ユーザインターフェース
アプリケーション機能やタブ、ページレイアウトの表示・非表示など、ユーザの画面表示に関する権限
【ケース別】権限セットとプロファイルを使い分けて効率的に権限付与する方法
権限セットはプロファイルと同じように、さまざまなツールや機能へのアクセス権限をまとめたものです。
ユーザに紐づけられるプロファイルは一つだけですが、権限セットは複数紐づけられます。細かく権限に差異をつけたいユーザがいる場合や、一時的に権限を付与したい場合などに、権限セットを活用すれば、複数のプロファイルを作成するより、効率的に権限を付与できます。
たとえば、「契約の作成、管理」の権限が必要な契約チェック業務を、[プロファイル:標準ユーザ]の総務スタッフが一時的に手伝うケースをイメージしてみてください。
必要な権限をまとめた新しいプロファイルを作成して、総務スタッフのプロファイルを変更するより、必要な権限をまとめた「権限セット:契約管理」を作成して、総務スタッフに一時的に紐づけた方が効率的といえます。
ユースケースA:100人中3人に権限を付与したい場合
少人数に新たに権限を付与したい場合は、権限セットを使った方が効率的といえるでしょう。紐づけていたプロファイルの異なるユーザがいる場合、プロファイルで対応しようとすると、複数の新しいプロファイルを作成する必要があります。権限セットであれば、新しい権限セットを一つ作成して紐づけるだけで対応できます。
ユースケースB:100人中3人の権限を制限したい場合
少人数のユーザについて、現在よりも権限を制限したい場合は、プロファイルを使わなければなりません。
プロファイルも権限セットも権限を付与する機能であるため、新しく「権限を制限したプロファイル」を設定して、少人数のユーザに紐づけることで対応可能です。
3ステップでできる権限セットの作成・割り当て方法
ここでは、権限セットの作成および権限セットを割り当てる手法を解説します。
ステップ1:権限セットの立ち上げと情報を入力
1. まずは、Salesforceの画面右上にある歯車マークをクリックして、そこから[設定]を選択
2. クイック検索のボックスに「権限セット」と入力し、表示されたリストから[権限セット]を選択
3. [新規]ボタンをクリックし、作成画面へ
4. 権限セットの作成画面が表示されたら、「表示ラベル」「API参照名」「説明」の項目を入力し、保存
なお、作成画面における「説明」の入力は必須ではありません。しかし、入力しておくことで、一覧画面に表示された際に権限の内容がわかりやすくなります。
ステップ2:権限を付与したいオブジェクトを選択
1. 作成した権限セットから、[オブジェクト設定]を選択
2. 表示されたリストから、権限を付与したいオブジェクトを選択
なお、多くのオブジェクトの中から、対象のオブジェクトを素早く見つけるには、「Ctrl + Fキー」での検索がオススメです。
ステップ3:権限の内容と対象ユーザを選択
次に権限の内容と割り当てを設定します。
1. [編集]を選択し、リストの中から付与したいオブジェクト権限のチェックボックスにチェックを入れて、[保存]をクリック
2. [割り当ての管理]を選択
3. [割り当てを追加]を選択し、ユーザの一覧から対象となるユーザをチェックし、「次へ」を押下した後、[割り当て]をクリック
プロファイルと権限セット活用の注意点
プロファイルと権限セットを使用するうえで、注意しておくべきポイントを2つ紹介します。
[すべて表示][すべて変更]権限に設定しない
プロファイルのオブジェクト権限で、[すべて表示]と[すべて変更]権限を設定すると、他の権限付与や制限の設定状況に関係なく、当該オブジェクトの全レコードに対してアクセスが可能です。特定のオブジェクトに対する「管理者権限」のように、非常に強い権限となるため、注意して使いましょう。
権限セットは「用途」に合わせて作成する
[権限セット:部長]のように、役職に合わせた[権限セット]を作成しようとしても、付与したい権限は部署によって異なります。したがって、営業部長や広報部長など部門長ごとに作成する必要があることから、効率的とはいえません。[権限セット:支払い状況管理]のように、「職種、役職で権限セットを作らない/用途で作成する」ことを意識すると、汎用性が高く使いやすい権限セットを作成できます。
Salesforceにおけるアクセス制御には、プロファイル機能に加え、さらに詳細な権限が付与できる、権限セット機能があります。一つのプロファイルに複数の権限セットを設定できることから、プロファイルを増やさずに、効率的な権限の付与が可能です。
まとめ
プロファイルと権限セットは、セキュリティに関わるアクセス権限の基礎であり、Salesforceを導入した時点で早めに設定しておきたい機能です。しかし、権限付与を使いこなすためには、Salesforceの機能やデータに関する多くの知見が必要です。Salesforceの導入を成功させるためには、データ入力や社内でのSalesforceに関する知見の共有など、ほかにも早めに行うべきことは多く、社内のリソースだけで対応するのは難しいケースもあります。
企業にマッチしたアクセス権限の設定や、社内Salesforce管理者の育成方法など、Salesforceの導入や定着に関して困っている場合は、セラクCCCにご相談ください。当社はセールスフォース社認定のコンサルティングパートナーとして300名(23年5月時点)を超える経験豊富なコンサルタントが在籍しており、お客様の視点に立ってSalesforceの定着・活用支援サービスを行っています。
Salesforceでお悩みなら、
まずはお気軽に
お問い合わせください
Salesforceでお悩みなら、
まずはお気軽に
お問い合わせください