Salesforce 権限とプロファイル: 最新の廃止アップデート

• Salesforce Permissions & Profiles: The Latest Retirement Updates

Salesforce は今年初め、プロファイルの権限のサポート終了日がSpring '26 リリースに予定されていることを発表しました。

Salesforce のプロダクト管理ディレクターである Cheryl Feldman 氏は、このホットな話題に関して新たな発表を行いました。

「こんにちは、#AwesomeAdmins の皆さん、プロファイルの権限のサポート終了についてお知らせします。Spring '26 のサポート終了日は適用されなくなりました。ただし、権限セット主導のセキュリティ モデルで運用することを心からお勧めします。権限の観点から、当社の投資はすべてミッション セットと権限セット グループに重点を置いています。今後数週間で、@SalesforceAdmns ブログに私の更新されたブログ投稿がいくつか掲載される予定です。」

• これはどういう意味ですか？

つまり、この更新は、プロファイルベースのセキュリティ モデルから権限セット ベースのセキュリティ モデルに変更する日付が確定していないことを意味します。特に今後はこれに投資が集中するため、権限セット ベースのモデルに移行することが依然として推奨されます。

私は、変更セットと同様の視点でプロファイルを見るのが好きです。プロファイルはまだ存在し、人々はそれをまだ利用できますが、今では変更を管理するためのはるかに優れた方法があります。

それでも移行すべき理由

率直に言って、これを行うと、ユーザー権限の管理が非常に簡単になります。私は以前、SOX 準拠のプロセスの一環として、すべてのユーザーとそのプロファイルに関する情報を提供するプロジェクトに携わっていました。これには、すべてのユーザーとプロファイルを綿密に調べ、すべてのユーザーが特定の権限を持っている理由を正確に説明する作業が含まれていました。

組織がプロファイル ベースのモデルではなく権限セット ベースのモデルを使用していた場合、このプロセスは数週間ではなく数時間で完了していたでしょう。各ユーザーに割り当てられた権限セットと権限セット グループを一覧表示し、そこから各ユーザーにそれらの権限が付与されている理由を説明するだけで済みます。

計画

このようなプロジェクトでは、計画が重要です。まず、現在のプロファイルを把握する必要があります。営業ユーザーと営業マネージャーのプロファイルがある場合は、両者の違いを理解する必要があります。同様に、スーパー ユーザー プロファイルがある場合は、これらのユーザーには一般ユーザーに対してどのような権限があるのでしょうか。

権限をグループ化する方法を計画します。たとえば、営業マネージャーとサービス マネージャーのプロファイルがある場合、これらをレポートやダッシュボードなどへのアクセスを許可する単一の「マネージャー」権限セットにグループ化できますか?

プロファイルからどの権限を移行する必要があるかを計画する必要があるのと同じくらい、どの権限を残す必要があるかを特定する必要があります。たとえば、国際的な営業チームがある場合、世界のどこにいるかに応じてログイン IP 範囲が異なるため、異なるプロファイルを持つ可能性があります (営業 - US、営業 - EMEA、営業 - APAC など)。

この場合、ログイン IP 範囲を権限セットに移動できないため、各営業チームはそれぞれのプロファイルに留まる必要があります。これは、プロファイルから一般的な営業権限セット (商談レコードの管理など) に権限を移動できないという意味ではありませんが、基本プロファイルは残す必要があります。

また、何が起こっているかをユーザーに伝える必要があります。何を、なぜやっているのかを伝えます。何がいつ起こっているのかタイムラインを伝え、プロセスにユーザーを参加させるようにします。変更のテストでは、ユーザーが大きな役割を果たします。

ドキュメント

これは、組織で適用されているセキュリティ モデルに関係なく、すべての管理者が実行する必要があることです。しかし、実行している人はほとんどいません。したがって、権限セット ベースのモデルに移行するかどうかに関係なく、私たち全員が実行する必要があります。

以下に概説するユーザー アクセスおよび権限アシスタント ツールは、これを実行するのに大いに役立ちますが、すべてのユーザー権限を文書化できる状態にしておく必要があります。新しい組織に参加したときに、作業に必要な文書がまったくなく、すべてを一から調べなければならないほど最悪なことはありません。

ユーザーアクセスと権限アシスタント

Salesforce ユーザー アクセスおよび権限アシスタント (UA) は、Salesforce 管理者がユーザーの権限とアクセス レベルを監視するのに役立つように設計された無料のツールです。このツールは情報を統合し、権限を確認、分析、管理するための集中プラットフォームを提供し、ユーザーが自分の役割に必要なアクセス権のみを持つようにするプロセスを合理化します。

ユーザー アクセスおよび権限アシスタントの主な機能は次のとおりです。

1. アナライザー: ユーザー、特定の権限、または権限セット グループに基づいてユーザー権限を評価します。
2. レポーター: ユーザー権限、権限の割り当て、権限セットの使用状況に関するレポートを生成します。
3. マネージャー: ユーザー権限、権限セットの割り当て、権限セット グループを監視します。
4. 推奨者: 権限の割り当てを簡素化するための推奨事項を受け取ります。

Salesforce 管理者にとって、UA は次の点で非常に役立ちます。

• セキュリティの強化: ユーザーの権限を必要最低限​​のものに制限することで、不正アクセスのリスクを軽減します。
• 効率を向上: 権限管理を合理化し、権限関連の問題のトラブルシューティングにかかる​​時間を短縮します。
• コンプライアンスの確保: ユーザー権限の正確な記録を維持することで、コンプライアンス要件を満たします。

ユーザーアクセスポリシー

• ユーザーアクセスポリシー

関連資料

• SalesForce to retire permissions in profiles in spring ‘26

• 【ヘルプ】プロファイルから権限セットへの変換

• Install for "All Users" vs "Admin Only" (Salesforce CPQ)

管理者のみのアプローチが最善の方法です。追加の権限はいつでもコピーして再展開できます。

すべてのユーザーを割り当ててからライセンス (その permissionSet) を使用して制限するというアプローチは、すべて結構ですが、細分化ができません。また、「権限セットを使用して適切なアクセスを割り当てる」ことも絶対にできません。Salesforce エンジニアが間違っていると思います。このレベルのアドバイスは、実際には私にとって懸念事項であり、誤った情報です。回答の理由が示されるまで、難しい質問をし続けてください。回答者はそれを裏付ける必要があります。この質問を書いたという事実は、あなたが確信していて、自分の考えが正しいことを示しています。正しく理解するために余分な作業を行ってください。コンサルティングのアドバイスは、「とにかく終わらせる」(営業) という願望に汚染されることがありますが、これは通常、「最初から正しく行う」(サービス) によって上回られます。

2 つのこと...

• インストールされたアプリの一部として付与できる特定の権限を指定することが重要だと思います。ただし、他のユーザーにはプロファイル アクセスを提供せず、管理者プロファイルのみにアクセス権を付与すべきだと思います。

• 特定のアクセスで各権限セットを構築する必要があります。もちろん、これを実現するには 2 つの方法があります。すべてのユーザーから始めてアクセスを削除するか、管理者のみにしてそれに応じてアクセスを追加します。多くの場合、インストールされたパッケージは組織の特定のセグメント (大規模) のみを対象としています。