Microsoft Dataverse - アクセスを制御する

自分

SharePoint Listsを利用すると、SharePoint Online のサイトごとに設定した権限や、アプリごとに設定した権限によって、閲覧できるデータの範囲が変わります。　そのため、部署ごとに閲覧範囲を変えることは出来ないものになります。　より細かに設定する方法を Microsoft Dataverse を利用した設定方法を記載します

サイトやアプリの管理者は、すべてのデータを参照可能。ユーザーは自分だけのデータを参照可能　という設定は、Dataverseを利用しなくても設定可能です。

1 アクセス制御事前準備
2 実現するアクセス制御
- 2.1 想定した組織構成
3 制御の設定手順
4 設定してみて感じたこと
5 実際の動作確認
6 まとめ

アクセス制御事前準備

事前準備として、最低3つ必要になります。
一番のハードルは、有償ライセンスかと思いますが重要な作業は[権限のプランニング]になります。
細かくしすぎることで、管理が大変に。大雑把だとセキュリティが・・・将来の運用も考えて慎重にご判断してください

Microsoft Dataverseの利用が必須となります
ユーザー全員分の有償ライセンスが必要になります
どのような権限管理を実装するかのプランニング

実現するアクセス制御

PowerAppsを利用していく中で、自分のデータだけ見せたい。一部利用者には部下のデータも見せたい。といった用途が生まれると考え以下制限を実装します

部署ごとに閲覧できる範囲を変える
部門長 / 部門配下ユーザーによって閲覧できる範囲を変える

想定した組織構成

１．営業部の管理者	営業部配下の利用者の全データを閲覧可能
２．営業部配下の利用者	自身のデータのみ閲覧可能
３．販売部の管理者	販売部配下の利用者の全データを閲覧可能
４．販売部配下の利用者	自身のデータのみ閲覧可能

制御の設定手順

設定手順を6つに分けて記載していきます。

手順１：環境作成方法

環境を作成するため、Power Platform 管理センター (https://admin.powerplatform.microsoft.com/environments) にアクセスし [環境] > [＋新規] をクリックします。
任意の名前を作成し、種類にて “試用 (サブスクリプションベース)” を選択し、[次へ] をクリックします。
[Dynamics 365 アプリを有効にする] のスイッチコントロールを “はい” にし、[保存] をクリックします。

手順２：部署の作成手順

使用する環境にて部署を作成するため、Power Platform 管理センターより、[環境] > [任意の環境] > [設定] の順にクリックします。
[ユーザーとアクセス許可] をクリックし、ドロップダウンリストより [部署] を選択します。
[新規] をクリックし、任意の部署を作成後 [保存して閉じる] をクリックします。
- 追加前
- 追加後

手順３：セキュリティロールの作成

Power Platform 管理センターより [環境] > [任意の環境] > [設定] の順にクリックします。
[ユーザーとアクセス許可] をクリックし、ドロップダウンリストより [セキュリティロール] を選択します。
作成した部署ごとのセキュリティロールをカスタマイズするため、部署を切り替えた後、既定で用意されている “営業担当者” のセキュリティーロールを二つコピーし、任意の名前で作成します。
- 切り替え
- セキュリティロールのコピー
- セキュリティロールの作成 – コピー時
- セキュリティロールの作成 – 追加後
手順３の項番2-3を繰り返し、他の部署も同じ要領でセキュリティロールのコピー/作成を行います。
- 全て追加後

手順４：ユーザーの追加方法

Power Platform 管理センターより、[環境] > [任意の環境] > [設定] の順にクリックします。
[ユーザーとアクセス許可] をクリックし、ドロップダウンリストより [ユーザー] を選択します。
[+ ユーザーの追加] をクリックし、使用するユーザーを追加します。
セキュリティロールはそれぞれ “Basic User” で割り当てます。
※ 後のほど、それぞれのセキュリティーロールを変更します。
ユーザーが追加されたことを確認します。

手順５：ユーザーの部署割り当て方法

ユーザーを選択し、Dynamics 365 に画面遷移します。
- ユーザー選択画面
- クリック後の Dynamics 365 画面
画面上部の [部署の変更] をクリックします。
検索ボタンより、以下の内容でそれぞれ任意の部署に変更します。
部署設定は、上部の[想定した構成]をご参照ください。
部署およびユーザーに応じたセキュリティロールに変更するため、画面上部の [ロールの管理] をクリックし、それぞれ以下の内容で設定します。
ロール設定は、上部の[想定した構成]をご参照ください。
[OK] をクリック後、画面右下の保存アイコンにて保存をします。

手順６：セキュリティロールのカスタマイズ方法

セキュリティロールをカスタマイズするため、Power Platform 管理センターより、[環境] > [任意の環境] > [設定] の順にクリックします。
[ユーザーとアクセス許可] をクリックし、ドロップダウンリストより [セキュリティロール] を選択します。
部署を切り替えた後、カスタマイズする任意のセキュリティロールを選択します。
[編集] をクリックします。
検証するためのテーブル “取引先企業” の権限を設定権限の変更を行うため、 [コアレコード] タブを選択後、“取引先企業” を何回かクリックし、キーの設定を “ユーザー” に変更します。
- 変更前
  
  変更後
  ユーザー用のセキュリティーロールは “ユーザー”を設定し [保存して閉じる] をクリックします。
同じ要領で、他のセキュリティロールの権限もカスタマイズします。
管理者用のセキュリティロールは “部署配下” を設定します。
部署 “営業部” を設定後、“販売部” のセキュリティロールも変更します。

設定してみて感じたこと

ユーザーごとにロールを割り当てる必要があるのは、面倒ですが今回の設定を行うことでデータの閲覧権限を制御することが出来るため、オススメの設定手順となります。疑問を検索して私のサイトにたどり着いた方は、ぜひ設定してみてください。設定した瞬間に全ユーザーに適用される制御ではないので、設定に対するハードルは低いと思います。
動作イメージつかないし。設定したくないなぁ。という方は、以下の動作確認をご参考にして頂き、ぜひ設定への一歩を踏み出してください。

実際の動作確認

結果：管理者は自部門のレコードが参照可能

結果：部門配下のユーザーは、自身のレコードのみ参照可能

“管理者ユーザー” にて、既定で用意されているモデル駆動型アプリにアクセスするため、Power Platform 管理センターより、[環境] > [任意の環境] をクリックします。
詳細項目の環境 URL をクリックします。
“Dynamics 365 ― custom” を選択します。
顧客項目の “取引先企業” を選択し、[＋新規] よりレコードを作成し、[保存して閉じる] をクリックします。
- 登録時
- 登録後
画面上部の “Dynamics 365 ― custom” をクリックし、アプリ選択画面に戻ります。
[・・・] > [すべてのロールに対して表示] をクリックします。
※ この操作により、環境内のそれぞれのユーザーにアプリが展開されます。
- クリック前
- クリック後
任意の “部署の管理者” ユーザーにて、既定で用意されているモデル駆動型アプリにアクセスするため、環境URLにアクセス/サインインします。
※ 環境 URL は手順2. にてアクセスしたURLと同じものでアクセスします。
アクセスできたことを確認します。
“取引先企業” を選択し、手順2. にて管理者ユーザーが登録したレコード “システム管理者が登録した企業” が表示されないことを確認し、新規でレコードを追加します。
- レコード追加前
- レコード追加後
上記7～8の手順にて、別の任意の部署の管理者でモデル駆動型アプリにアクセスし、上記手順まで登録したレコードが表示されないことを確認します。
新規でレコードを作成します。
販売部配下のユーザーにてモデル駆動型アプリにアクセスし、任意の部署の管理者が作成したレコードを確認できないことを確認します。
販売部配下のユーザーにて新規レコードを作成します。
販売部管理者にて、配下ユーザーのレコードを確認できること、他部署のレコードを確認できないことを確認します。

全体管理者 / システム管理者の画面では以下のように全てのレコードを閲覧できるようになっております。

まとめ

いかがでしたか？　手順が長く、読むのも大変だったと思いますが最後まで閲覧ありがとうございます。
有償ライセンスが必要になりますが、悩みが解決できるのではないでしょうか。
手順は画像を張る形でイメージしやすく記載させてもらっていますので、なんとなく作業イメージを付けていただけたかと思います。
設定してしまえば便利なので、体温記録や在庫記録、出退勤管理などをPowerAppsで作成されたときには、ぜひ設定してみてください。