接続方法を「組織レベルのOAuth2.0」としたい場合、Einstein活動キャプチャの設定をする際にSalesforce/Microsoft365それぞれの管理者権限が必要になると認識しております。
明確には書かれてはいませんが、それぞれの管理者で設定する必要があることを考えると上記は正しいと思う
組織レベルの OAuth 2.0 による Einstein 活動キャプチャへの接続
組織レベルの認証方法は Microsoft Office 365 でのみ使用できます。Salesforce システム管理者は、Exchange システム管理者と協力して、Microsoft Office 365 のデータへのアクセス権を Salesforce に付与します。この接続は Salesforce のすべてのユーザに適用されるため、システム管理者はすべての Einstein 活動キャプチャユーザを同時に設定できます。
この場合、SalesforceからMicrosoft365へ、Microsoft365からSalesforceへそれぞれどのような情報へアクセスが可能で、どのような権限を持つのかという点をクリアにする必要があります。 また、セキュリティリスクを最小限にとどめる方法等があればその方法も入手したいです。
接続できるユーザは対象を設定できるということ?
アップグレード後、Microsoft Exchange のロールベースのアクセス制御を使用して、認証の範囲を特定のユーザー セットに設定できます。
さらに、お客様の Azure 管理者は、EWS 接続によるロールベースのアクセス制御を
使用して、Azure で直接ユーザー グループ (サービス アカウントに類似) を制限することを選択できます。Azure管理者向けの注意: Einstein Activity Capture の Microsoft Entra アプリケーション ID は次のとおりです: c55d6177-918e-4745-96d3-1715194bc7e8
組織ベースの認証なので使う人だけMicrosoft Exchange のロールで対象者を限定するということ?
MSの資料を見ても理解できん。
重要2025 年 2 月に、Microsoft は Exchange Online の ApplicationImpersonation ロールを廃止します。その結果、Salesforce は Microsoft Office 365 へのサービスアカウント OAuth 2.0 アクセスを廃止します。アクティビティデータキャプチャを継続するには、Einstein 活動キャプチャ設定で組織レベルの OAuth 2.0 認証にアップグレードしてください。アップグレードプロセス中に、Office 365 テナントにログインするように求められます。接続の作成時に使用したのと同じテナントにログインしていることを確認してください。そうでない場合は、Einstein 活動キャプチャ接続をリセットして最初からやり直す必要があります。「EAC から MS Office 365: サービスアカウント OAuth 2.0 の廃止」を参照してください。
以下のヘルプには2つの要件があるみたいですが、どのように設定すれば違いが出るのかはよく分かりませんね。
ただ、サービスアカウント OAuth 2.0 アクセスを廃止(おそらく個々のユーザではなく共通のアカウントだろう)や、上記のMicrosoft Exchange のロールで対象者を限定を考えると、このヘルプの2つ目の設定のことかな?
あらかじめ定められた範囲要件との連携により、この方法では、個々のユーザの認証なしに、ユーザの Microsoft の連絡先やイベントにアクセスできます。
一番新しそうなヘルプをみると、サポートに確認するのがよさそうですね。
If you have more questions, open a case with support via Salesforce Help or contact your Salesforce account team.