ロールのコピーでは上手くいかない?!各サービスを利用するために必要な最低限の権限とは?!

106 Views

August 16, 25

スライド概要

2025/07/05
Power Platform Administrator 勉強会 #05でお話しした内容です。

イベント概要
https://jppac.connpass.com/event/356735/

profile-image
スライド一覧

組み込みソフトウェアプログラマ → 情シス → ITコンサルタント → 技術営業 → ITコンサルタントを経て、現在はPower PlatformのアーキテクトとしてPower Platformのガバナンス策定、開発、技術支援、教育等の職務に従事。 書籍「Microsoft Power Apps入門 手を動かしてわかるローコード開発の考え方」共著者。 https://www.shoeisha.co.jp/book/detail/9784798173955

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

slide-thumbnail

分かりそうで分からないセキュリティロールを頑張って説明してみる
user-img Junichi Kodama 25.5K
slide-thumbnail

Dataverse for Teams環境?なにそれおいしいの?
user-img Junichi Kodama 10.5K
slide-thumbnail

世界でも日本だけ!Power Apps楽器アプリ座談会
user-img Junichi Kodama 8.9K
slide-thumbnail

コパコパコパコパ!Power Pagesで使えるCopilot4選
user-img Junichi Kodama 7.7K
slide-thumbnail

Microsoftが考えるPower Platformのテナント環境戦略のオススメを読み解いてみる
user-img Junichi Kodama 6.7K
slide-thumbnail

Copilot Studioことはじめ
user-img Junichi Kodama 6.7K
各ページのテキスト
1.

ロールのコピーでは上手くいかない?! 各サービスを利用するために必要な 最低限の権限とは?! 2025/07/05 Power Platform Administrator 勉強会 #04 じゅんじゅん

2.

ロール

3.

セキュリティロール

4.

セキュリティロール って何だっけ…?

5.

管理者 開発者 利用者

6.

管理者 開発者 利用者 環境設定変更OK 開発OK アプリ実行OK 全テーブル読み書きOK 環境設定変更NG 開発OK アプリ実行OK 全テーブル読み書きOK 環境設定変更NG 開発NG アプリ実行OK 一部のテーブルだけ読み書きOK

7.

管理者 開発者 利用者 環境設定変更OK 開発OK アプリ実行OK 全テーブル読み書きOK 環境設定変更NG 開発OK アプリ実行OK 全テーブル読み書きOK 環境設定変更NG 開発NG アプリ実行OK 一部のテーブルだけ読み書きOK これ。

8.

セキュリティロールとは 環境内のすべてのデータやアプリ等へのアクセス権を ひとまとめにした権限のセット。 ユーザーの役割(ロール)に応じて用意する/されている。

9.

ユーザPPAC > 環境 > (環境名) > 設定 > セキュリティ ロール > (ロール名)

10.

今日の目的 セキュリティロールのカスタマイズ方法と 注意点を理解し、カスタマイズの要否を 判断できるようにする

11.

スピーカー:自己紹介 じゅんじゅん と申します。 お仕事 Power Platform 運用管理方針策定支援 Power Platform システム開発(Apps、Automate、Pages、Dataverse) Power Platform 内製開発支援・トレーニング SNSなど X (Twitter):@KodamaJn LinkedIn:Junichi-kodama 著書:Microsoft Power Apps入門 手を動かしてわかるローコード開発の考え方 |翔泳社 YouTube:@kodamachallenge

12.

https://kodamachallenge.connpass.com/

13.

セキュリティロールとは 環境内のすべてのデータやアプリ等へのアクセス権を ひとまとめにした権限のセット。 ユーザーの役割(ロール)に応じて用意する/されている。

14.

定義済みのセキュリティロールが 用意されている、のです。 どんなのがあるの?

15.

現在、81種類。 (2025/6/7時点) 1. AIB Roles 2. AIB SML Roles 3. App Deployment Orchestration Role 4. Approvals Administrator 5. Approvals User 6. Async ingestion 7. Basic User 8. BizQAApp 9. Bot Author 10. Bot Contributor 11. DataLakeFolderEntityContributor 12. DataLakeWorkspaceAppAccess 13. DataProcessingConfigTableAppAccess 14. Dataverse as a Cluster App Role 15. Dataverse Search Role 16. Deflection Service Role 17. Desktop Flows AI Application User 18. Desktop Flows Runtime Application User 19. EAC App Access 20. EAC Reader App Access 21. Environment Maker 22. Export Customizations (Solution Checker) 23. Fabric AISkills Role 24. Federated Knowledge Role 25. FileStoreService App Access 26. Flow-CDS Native Connector Role 27. Flow-RP Role 28. Global Active Metrics Monitoring Alerting Custom Role 29. Global Discovery Service Role 30. Help Page Author 31. Help Page Consumer 32. Insights Apps Platform Role 33. IntegratedSearchApp 34. Microsoft Copilot Administrator 35. Microsoft Copilot User 36. Non-Relational Data App Access 37. Office コラボレーター 73. デスクトップ フロー コンピューター アプリケーション 38. Omnichannel CDS Flush Role ユーザー 39. Portal Application User 74. デスクトップ フロー コンピューター ユーザー 40. Portal RP Service Role 75. デスクトップ フロー コンピューター ユーザー共有可能 41. Power Apps Checker Service Role 76. デスクトップ フロー コンピューター構成管理者 42. Power Automate AI Flows Application User 77. デスクトップ フロー コンピューター所有者 43. Power BI Embedded App Access 78. デスクトップ フロー モジュール開発者 44. Power Platform Dataflows Service Role 79. ナレッジ マネージャー 45. Power Policy App User Role 80. 代理メールボックス承認者 46. PowerAppsRPRole 81. 代理人 47. PowerPlatformDataAnalyticsRole 48. PowerPlatformInsightsRole 49. Process Mining アプリケーション 50. Process Mining ユーザー 51. Project Background Services App Role 52. PurviewLabelRole 53. Report Service Role 54. RPE Role 55. Solution Checker 56. SuggestedActionS2SRole 57. SupportUserCustomAPI Role 58. Sustainability all - full access Role 59. Sustainability all - ingest - full access Role 60. Sustainability BusinessUnit - full access Role 61. Sustainability BusinessUnit - ingest - full access Role 62. Synapse Link Service Access 63. System Customizer 64. Teams Chat Sync App Access 65. Tour Author 66. Tour Consumer 67. アプリ オープナー 68. サービス ライター 69. サービス リーダー 70. サービス削除 71. サポート ユーザー 72. システム管理者

16.

現在、81種類。 (2025/6/7時点) 1. AIB Roles 2. AIB SML Roles 3. App Deployment Orchestration Role 4. Approvals Administrator 5. Approvals User 6. Async ingestion 7. Basic User 8. BizQAApp 9. Bot Author 10. Bot Contributor 11. DataLakeFolderEntityContributor 12. DataLakeWorkspaceAppAccess 13. DataProcessingConfigTableAppAccess 14. Dataverse as a Cluster App Role 15. Dataverse Search Role 16. Deflection Service Role 17. Desktop Flows AI Application User 18. Desktop Flows Runtime Application User 19. EAC App Access 20. EAC Reader App Access 21. Environment Maker 22. Export Customizations (Solution Checker) 23. Fabric AISkills Role 24. Federated Knowledge Role 25. FileStoreService App Access 26. Flow-CDS Native Connector Role 27. Flow-RP Role 28. Global Active Metrics Monitoring Alerting Custom Role 29. Global Discovery Service Role 30. Help Page Author 31. Help Page Consumer 32. Insights Apps Platform Role 33. IntegratedSearchApp 34. Microsoft Copilot Administrator 35. Microsoft Copilot User 36. Non-Relational Data App Access 37. Office コラボレーター 73. デスクトップ フロー コンピューター アプリケーション 38. Omnichannel CDS Flush Role ユーザー 39. Portal Application User 74. デスクトップ フロー コンピューター ユーザー 40. Portal RP Service Role 75. デスクトップ フロー コンピューター ユーザー共有可能 41. Power Apps Checker Service Role 76. デスクトップ フロー コンピューター構成管理者 42. Power Automate AI Flows Application User 77. デスクトップ フロー コンピューター所有者 43. Power BI Embedded App Access 78. デスクトップ フロー モジュール開発者 44. Power Platform Dataflows Service Role 79. ナレッジ マネージャー 45. Power Policy App User Role 80. 代理メールボックス承認者 46. PowerAppsRPRole 81. 代理人 47. PowerPlatformDataAnalyticsRole 48. PowerPlatformInsightsRole 49. Process Mining アプリケーション 50. Process Mining ユーザー 51. Project Background Services App Role 52. PurviewLabelRole 53. Report Service Role 54. RPE Role 55. Solution Checker 56. SuggestedActionS2SRole 57. SupportUserCustomAPI Role 58. Sustainability all - full access Role 59. Sustainability all - ingest - full access Role 60. Sustainability BusinessUnit - full access Role 61. Sustainability BusinessUnit - ingest - full access Role 62. Synapse Link Service Access 63. System Customizer 64. Teams Chat Sync App Access 65. Tour Author 66. Tour Consumer 67. アプリ オープナー 68. サービス ライター 69. サービス リーダー 70. サービス削除 71. サポート ユーザー 72. システム管理者

17.

よく利用される定義済みのセキュリティロール 環境管理者/ システム管理者 システム カスタマイザ (Environment Admin/ System Administrator) (System Customizer) 環境メーカー (Environment Maker) ベーシック ユーザー (Basic User) 参考:ロールベースのセキュリティロール - Power Platform | Microsoft Learn https://learn.microsoft.com/ja-jp/power-platform/admin/database-security

18.

よく利用される定義済みのセキュリティロール 我、最強。 テーブル作成も できるにゃー アプリ/フローは 作れるよ 環境管理者/ システム管理者 システム カスタマイザ (Environment Admin/ System Administrator) (System Customizer) アプリ/フローを 使わせてください! 環境メーカー (Environment Maker) ベーシック ユーザー (Basic User) 参考:ロールベースのセキュリティロール - Power Platform | Microsoft Learn https://learn.microsoft.com/ja-jp/power-platform/admin/database-security

19.

定義済みのセキュリティロールの ポイントいろいろ (すべて小玉調べ。2025/6/7時点)

20.

ロールがなくてもキャンバスアプリやクラウドフローを 共有されれば実行できる。 環境とセキュリティグループを 紐づけ、不要なユーザーを環境 に登録させないことが重要 環境管理者/ システム管理者 システム カスタマイザ (Environment Admin/ System Administrator) (System Customizer) 環境メーカー (Environment Maker) ベーシック ユーザー (Basic User)

21.

ロールなし / Basic Userのみの場合、 Power Appsでは該当環境が出てこないが、 Power Automateでは出てきたりする。 ただし何も作れないので 問題はない 環境管理者/ システム管理者 システム カスタマイザ (Environment Admin/ System Administrator) (System Customizer) 環境メーカー (Environment Maker) ベーシック ユーザー (Basic User)

22.

Basic UserやEnvironment Makerロールで CRUDできる標準テーブルがそれなりにある。 Basic User:126テーブル Environment Maker :221テーブル 環境管理者/ システム管理者 システム カスタマイザ (Environment Admin/ System Administrator) (System Customizer) アクセスレベルはテーブルそれぞれで 異なるため、要件を満たすかは 確認が必要 環境メーカー (Environment Maker) ベーシック ユーザー (Basic User)

23.

直接カスタマイズできるロールとできないロールがある。 カスタマイズできないロールを カスタマイズしたい場合は ロールをコピーする × ○ × 環境管理者/ システム管理者 システム カスタマイザ (Environment Admin/ System Administrator) (System Customizer) × 環境メーカー (Environment Maker) ベーシック ユーザー (Basic User)

24.

カスタムテーブルを追加した際、システム管理者とSystem Customizerは自動でカスタムテーブルへのフルアクセス 権が付与される アプリ利用者には別途 カスタムテーブルへの アクセス権付与が必要 環境管理者/ システム管理者 システム カスタマイザ (Environment Admin/ System Administrator) (System Customizer) 環境メーカー (Environment Maker) ベーシック ユーザー (Basic User)

25.

色々な特徴があって 面白いね! (# ゚Д゚) < ワカルカゴルァ!!!

26.

セキュリティロールを全部 把握するなんて無理ですよ (いつぞやの勉強会にて)

27.

セキュリティロールの カスタマイズ

28.

時にカスタマイズが必要になるケースが存在する その1:付与権限を増やしたい。 実行者にカスタムテーブルへの アクセス権を付与したい 変更不可 ベーシック ユーザー (Basic User)

29.

新しいロールを作成し、追加で割り当てる。 実行者にカスタムテーブルへの アクセス権を付与したい カスタムテーブルへの アクセス権あり 変更不可 あたらしい ロール ベーシック ユーザー (Basic User)

30.

時にカスタマイズが必要になるケースが存在する その2:付与権限を減らしたい。 Environment Makerに Dataverseを触らせたくない 変更不可 221テーブルに アクセス可能 環境メーカー (Environment Maker)

31.

定義済みのロールをコピーし、権限を減らして割り当てて みる。 Environment Makerに Dataverseを触らせたくない 変更可 変更不可 環境メーカー のコピー アクセス可能な テーブルを削減 221テーブルに アクセス可能 環境メーカー (Environment Maker)

32.

実際に起こったこと

33.

キャンバスアプリが作れなくなった。 ※定義済みのロールをコピーしたのみで内容を変更しなくても同様の事象が発生する。 キャンバスアプリの作成権限って これじゃないんかい!!

34.

この事象が意味していること

35.

権限というのはセキュリティロール内の設定だけでなく、 定義済みのセキュリティロール”そのもの”にも存在する?! コピーしただけなら お前と同じだろ! 兄弟! 環境メーカー のコピー ふっ。俺じゃなきゃ ダメなこともあるんだよ 環境メーカー (Environment Maker)

36.

真相は闇の中…

37.

まとめ

38.

セキュリティロールには特殊な挙動が含まれるため、 カスタマイズする際は入念な検証を。 というか、なるべくカスタマイズは避けましょう。 これで何度お客様に 頭を下げたことか…

39.

様々な機能を楽しく学び、 楽しいPower Platform Lifeを!

40.

ご清聴ありがとうございました。