Power Platform での組織ごとのセキュリティロールのメンテナンスは非常に工数のかかる作業です。
Dataverse の部署は、チームに連携しており、そのチームは Microsoft Entra ID のセキュリティグループと連携することができます。セキュリティグループがメンテナンスされたら自動的にセキュリティロールによる権限も更新されるのでとても良い方法かと思います。
しかし一般的には、セキュリティグループの作成権限はIT部門の限られた人にしかなく、Power Platformの運用を行っているチームからするとコントロールするのが難しいと考える場合があります。
そのため、 Power Platform の世界のみでセキュリティ部分についても運用したいという要望があります。これは、 Microsoft Entra ID や Microsoft 365 管理センターを利用せず、 Power Platform のシステム管理者の権限があれば、データに対するセキュリティ権限の運用まで行うことを指します。
今回は、 Power Platform の運用を行う組織の方が、IT部門と独立してリソースの利用権限、データセキュリティの権限までを運用する方法についてご紹介します。
この仕組みをしっかり理解して効率的な組織階層 x セキュリティロールの活用をしましょう!
Entra ID や M365 管理センターを管理しているチームとの連携を不要にするため、組織階層の Entra ID セキュリティグループとの連携は行わない設定で実現するシナリオを紹介します。
目次
前提の理解
部署とセキュリティロールの関係
ユーザーは以下のように部署でまとめられています。また、セキュリティロールを部署(チーム)に割り当てることができます。
かっこでチームとしているのは、部署を作成すると同時にチームが自動作成されます。このチームに対してセキュリティロールを割り当てるからです。
部署は以下のように Power Platform 管理センターより作成できます。
上位階層の部署の指定と名前をつければ完成です。
このような階層の組織が作成できました。
階層表示はこのように利用できます。
チームを見てみます。自動的にチームが作成されています。
このように部署に対して1対の関係でチームが自動作成されます。
部署階層
部署には階層があり、それにユーザーが所属しているイメージです。
ユーザーを部署に所属させるには、ユーザーのテーブルから行うことができます。例えば、モデル駆動型アプリから行うことができます。
Excel Onlineからも一括で行うことができます。
ユーザーの部署を変更すると、これまで与えていたリソース (アプリやフロー) のアクセス、セキュリティロールを一度失います。部署に紐づいているセキュリティロールに上書きされますのでご注意ください。
セキュリティロール
セキュリティロールを部署に割り当てておくことで、その部署にユーザーを設定すれば自動的にそのキュリティロールがユーザーに割当たります。
割当方法は以下のとおりです。Power Platform 管理センターからチームを選択します。チームには部署をセキュリティロールに関連付けます。
設定したいセキュリティロールを指定します。
このようにしてセキュリティロールを部署 (チーム) に設定することができます。
以上ご参考になれば幸いです。
