👋
【Salesforce】アクセス制御マップ
まず、アクセス制御は大きく2種類に分かれます:
🔧【1】機能アクセスの制御(何ができるか)
| 設定項目 | 説明 |
|---|---|
| ✅ プロファイル | ユーザーに1つだけ割り当てる。オブジェクトや項目への操作権限(作成・編集など)を管理。 |
| ✅ 権限セット | 必要な権限を追加で付け足す。プロファイルで足りないときに使う。複数割り当てOK。 |
| ✅ 権限セットグループ | 複数の権限セットをまとめて整理・一括適用できる入れ物。 |
📝 これらは「何のオブジェクトをどこまで操作できるか」を決めるグループ
🧭【2】データアクセスの制御(どのレコードが見れるか)
| 設定項目 | 説明 |
|---|---|
| ✅ ロール | レコードの「見える範囲」を階層で管理。上司(上のロール)は部下のレコードを見れる。 |
| ✅ 共有設定(OWD / 共有ルール / 手動共有など) | 誰が、どのレコードを見れるかをオブジェクトごとに設定。 |
| ✅ チーム(商談チームなど) | レコード単位での共有に便利なグループ化。※手動共有の応用的存在。 |
📝 これらは「どのユーザーが、どの人のデータ(レコード)を見れるか」を決めるグループ
🚫【3】制限の枠組み(そもそも何を使えるか)
| 設定項目 | 説明 |
|---|---|
| ✅ ユーザーライセンス | そもそも何の機能を使えるかを決める「契約上の制限」。プロファイルや権限セットより上位にある。自作はできない。 |
📝 「その人が、そもそもSalesforceで何ができるのか?」という大前提を決める
🎯 まとめ表(超シンプル)
| 名前 | 何を制御? | 補足 |
|---|---|---|
| ユーザーライセンス | 利用できる機能の範囲 | 契約で決まる。自作不可 |
| プロファイル | できること(機能の範囲) | 1人1つだけ。基本的なアクセス許可を決める |
| 権限セット | できること(追加の権限) | 必要に応じて追加 |
| 権限セットグループ | 権限セットのまとめ | 権限をチーム単位で管理したい時に便利 |
| ロール | 見えるデータの範囲(階層) | 上司は部下のデータが見える |
| 共有設定(OWDなど) | レコード単位の共有ルール | 組織全体の「基本ルール」+条件つきルールなど |
🧠 イメージ図(文章バージョン)
「Aさん」というユーザーがSalesforceを使うとき…
- 🔒 ライセンス:「AさんはSales Cloudが使える」
- 🧩 プロファイル:「商談を作れる・編集できる」
- ➕ 権限セット:「ダッシュボードも見れるようにする」
- 📦 権限セットグループ:「営業チームに必要な権限全部まとめて付与」
- 🧭 ロール:「営業担当(部下)なので、課長はAさんの商談を見れる」
- 🔄 共有設定:「営業チーム同士は互いに自分の商談を見れるように共有ルールで設定」
💬 補足
- すべては「誰が、何を、どこまで使えて、どのデータが見えるか」をコントロールする仕組み
- アクセス権の計算は「最も広い権限が有効になる」形で合成される(例:プロファイルでは見れないけど、権限セットで見れる → 見れる)
Discussion