はじめに
Salesforceの「プロファイル」は、ユーザーの基本的な権限を決定する重要な設定です。プロファイルは、オブジェクトへのアクセス権限、項目レベルのセキュリティ、アプリケーション設定、ページレイアウトなど、多岐にわたる権限を一元管理します。適切なプロファイル設計により、セキュリティを確保しながら、ユーザーが効率的に業務を遂行できる環境を構築できます。本記事では、プロファイルの基本から応用まで詳しく解説します。
学習目標
この記事を読むことで、以下の内容が理解できます:
- プロファイルの役割と構成要素
- 標準プロファイルとカスタムプロファイルの違い
- プロファイルで管理できる権限の種類
- カスタムプロファイルの作成方法
- プロファイルと権限セットの使い分け
- プロファイル設計のベストプラクティス
プロファイルとは
プロファイルの定義
プロファイル: ユーザーが Salesforce でできることとできないことを決定する設定の集合
プロファイル = 権限の基本セット
含まれる権限:
• オブジェクト権限(CRUD)
• 項目レベルセキュリティ(FLS)
• アプリケーション設定
• Apexクラス・Visualforceページへのアクセス
• ページレイアウト割り当て
• レコードタイプ割り当て
• ログイン時間・IPアドレス制限
プロファイルの重要性
ユーザーの権限 = プロファイル + 権限セット + ロール + 共有ルール
プロファイル: 基本的な権限(必須、1つのみ)
権限セット: 追加の権限(オプション、複数可)
ロール: データの可視性(オプション)
共有ルール: 特定データへのアクセス(オプション)
プロファイルの必須性
重要なポイント:
• すべてのユーザーは1つのプロファイルを持つ(必須)
• 1ユーザーは1つのプロファイルのみ
• ライセンスタイプに応じたプロファイルを選択
• プロファイルは変更可能
プロファイルの種類
1. 標準プロファイル
定義: Salesforce が事前に用意しているプロファイル
主な標準プロファイル:
システム管理者(System Administrator)
説明: 完全な管理者権限
権限:
• すべてのデータの参照・編集
• すべての設定へのアクセス
• ユーザー管理
• カスタマイズ
• AppExchange アプリのインストール
使用対象:
- システム管理者
- スーパーユーザー
重要な注意点:
• システム管理者プロファイルは変更できません
• 最低1人のアクティブな管理者が必要
• 権限が強力なため、慎重に割り当て
標準ユーザー(Standard User)
説明: 一般的なビジネスユーザー向け
権限:
• 標準CRMオブジェクトの作成・編集
• レポート・ダッシュボードの作成
• 自分のデータと共有されたデータへのアクセス
• 設定へのアクセス不可
• 他のユーザーのデータ(ロール階層による)
使用対象:
- 営業担当者
- サポート担当者
- 一般的な業務ユーザー
標準プラットフォームユーザー(Standard Platform User)
説明: カスタムアプリケーション専用
権限:
• カスタムオブジェクトへのアクセス
• レポート・ダッシュボード
• 標準CRMオブジェクト(Account, Opportunity等)へのアクセス不可
使用対象:
- Platform ライセンスのユーザー
- カスタムアプリのみ使用
読み取り専用(Read Only)
注意: このプロファイルは Spring '21 以降の新規組織では廃止され、
Minimum Access プロファイルに置き換えられました。既存の組織では
Summer '21 でカスタムプロファイルに変換されています。
説明: データの閲覧のみ
権限:
• すべてのデータの参照
• データの作成・編集・削除は不可
• 設定へのアクセス不可
使用対象(既存組織のみ):
- 経営陣(ダッシュボード閲覧)
- 監査担当者
- レポート閲覧のみのユーザー
Chatter Free User
説明: Chatter 機能のみ
権限:
• Chatter フィード
• グループ
• ファイル共有
• CRMデータへのアクセス不可
• レポート作成不可
使用対象:
- Chatter Free ライセンスのユーザー
その他の標準プロファイル
• Contract Manager: 契約管理者
• Marketing User: マーケティングユーザー
• Solution Manager: ソリューション管理者
• Standard Platform One App User: 1アプリ専用
• Minimum Access: 最小限のアクセス
2. カスタムプロファイル
定義: 組織の要件に合わせて作成したプロファイル
特徴:
• 既存のプロファイルをクローン作成
• 権限を細かくカスタマイズ
• 組織固有の要件に対応
• 名前を自由に設定
• 編集・削除が可能
使用例:
• 営業マネージャープロファイル
• サポート担当者プロファイル
• 人事部プロファイル
• 経理部プロファイル
• パートナーユーザープロファイル
プロファイルで管理できる権限
1. オブジェクト権限(Object Permissions)
CRUD権限:
C - Create (作成)
R - Read (参照)
U - Update (編集)
D - Delete (削除)
加えて:
• View All (すべて参照)
• Modify All (すべて変更)
権限の階層:
Modify All > View All > Edit + Delete > Read > Create
例:
Read権限がなければ、Create権限があっても作成できない
Edit権限がなければ、Delete権限があっても削除できない
オブジェクト権限の設定:
設定 > ユーザー > プロファイル
> [プロファイル名]
> オブジェクト設定
> [オブジェクト名]
2. 項目レベルセキュリティ(Field-Level Security)
定義: 特定の項目の参照・編集権限
設定レベル:
• 参照可能(Visible)
• 編集可能(Editable)
• 非表示(Hidden)
重要な概念:
項目レベルセキュリティ > ページレイアウト
例:
FLSで非表示 → ページレイアウトに配置しても表示されない
FLSで参照のみ → ページレイアウトで編集可能にしても編集不可
設定方法:
方法1: プロファイルから設定
プロファイル > オブジェクト設定 > [オブジェクト] > 項目レベルセキュリティ
方法2: 項目から設定
オブジェクトマネージャー > [オブジェクト] > 項目とリレーション
> [項目名] > 項目レベルセキュリティを設定
3. アプリケーション設定
Lightning アプリケーション:
各プロファイルで利用可能なアプリを制御
設定:
プロファイル > 割り当て済みアプリ
デフォルトアプリ:
ユーザーがログイン時に表示されるアプリ
設定:
プロファイル > カスタムアプリケーション設定
4. タブ設定
タブの可視性:
• デフォルトで表示(Default On)
• デフォルトで非表示(Default Off)
• タブ非表示(Tab Hidden)
使用例:
営業プロファイル:
- 商談タブ: デフォルトで表示
- ケースタブ: デフォルトで非表示
- カスタムタブ: タブ非表示
サポートプロファイル:
- ケースタブ: デフォルトで表示
- 商談タブ: タブ非表示
5. レコードタイプとページレイアウト
レコードタイプの割り当て:
プロファイルごとに利用可能なレコードタイプを設定
設定:
プロファイル > レコードタイプ設定 > [オブジェクト]
ページレイアウトの割り当て:
レコードタイプとプロファイルの組み合わせで
表示するページレイアウトを決定
設定:
プロファイル > ページレイアウト割り当て
6. システム権限
主なシステム権限:
データ管理:
• すべてのデータの参照
• すべてのデータの編集
• 一括API を使用したハードデリート
• リードの変換
カスタマイズ:
• アプリケーションのカスタマイズ
• すべての設定とメタデータの参照
• Apex クラスの作成・編集
ユーザー管理:
• ユーザーの管理
• パスワードのリセット
• ロールのマッピング
その他:
• レポートの作成・カスタマイズ
• ダッシュボードの作成・カスタマイズ
• リストビューの作成・編集
• API の有効化
• 週次データエクスポート
設定方法:
プロファイル > システム権限
> 各権限のチェックボックス
7. ログイン時間とIPアドレス制限
ログイン時間:
プロファイルごとにログイン可能な時間帯を設定
例:
営業プロファイル: 月〜金 8:00-20:00
サポートプロファイル: 24時間365日
設定:
プロファイル > ログイン時間
IP アドレス制限:
プロファイルごとにログイン可能なIPアドレス範囲を設定
例:
社内ネットワークからのみログイン許可
VPN経由のみログイン許可
設定:
プロファイル > ログインIPアドレスの範囲
8. Apex クラスと Visualforce ページへのアクセス
プロファイルごとに実行可能な
Apexクラスと Visualforce ページを制御
設定:
プロファイル > 有効化された Apex クラスアクセス
プロファイル > 有効化された Visualforce ページアクセス
カスタムプロファイルの作成
作成手順
ステップ1: 既存プロファイルのクローン
設定 > ユーザー > プロファイル
> [クローン元のプロファイル]
> クローン
クローン元の選択:
類似の役割のプロファイルを選択
例:
営業マネージャープロファイル作成
→ 標準ユーザーをクローン
人事部プロファイル作成
→ 標準プラットフォームユーザーをクローン
ステップ2: プロファイル名の設定
プロファイル名: 営業マネージャー
API 参照名: Sales_Manager
命名規則:
• 役割や部門を明確に
• わかりやすい日本語名
• API名は英数字とアンダースコア
ステップ3: 説明の入力
説明欄に以下を記載:
• プロファイルの目的
• 対象ユーザー
• 主要な権限
• 作成日・作成者
• 変更履歴
例:
「営業部門のマネージャー向けプロファイル。
チームメンバーのデータを参照し、
売上予測とレポート作成が可能。
作成: 2025-01-15 by 山田太郎」
ステップ4: オブジェクト権限の設定
必要なオブジェクトの権限を設定
例: 営業マネージャープロファイル
Account: CRUD + View All
Contact: CRUD + View All
Opportunity: CRUD + View All + Modify All
Lead: CRUD + View All
Case: Read only
Report: Create, Read
Dashboard: Create, Read
ステップ5: 項目レベルセキュリティの設定
機密項目へのアクセス制御
例:
Opportunity.Amount: 参照可能・編集可能
Account.Annual_Revenue__c: 参照可能・編集不可
Contact.SSN__c: 非表示
ステップ6: システム権限の設定
必要なシステム権限を有効化
例: 営業マネージャー
• レポートの作成・カスタマイズ
• ダッシュボードの作成・カスタマイズ
• リードの変換
• 週次データエクスポート
• アプリケーションのカスタマイズ(無効)
• ユーザーの管理(無効)
ステップ7: アプリとタブの設定
利用可能なアプリとタブを設定
営業マネージャー:
アプリ: Sales, Service
タブ:
- Home: デフォルトで表示
- Account: デフォルトで表示
- Opportunity: デフォルトで表示
- Reports: デフォルトで表示
- Dashboards: デフォルトで表示
ステップ8: ページレイアウトの割り当て
プロファイルごとに適切なページレイアウトを割り当て
営業マネージャー:
Account: マネージャー用レイアウト
Opportunity: マネージャー用レイアウト
カスタムプロファイルの例
例1: 営業担当者プロファイル
プロファイル名: 営業担当者
クローン元: 標準ユーザー
主要な権限:
• Account: CRUD
• Contact: CRUD
• Lead: CRUD
• Opportunity: CRUD
• Campaign: Read
• Case: Read (サポート確認用)
• Report: Create, Read (自分のレポートのみ)
制限:
• すべて参照権限なし
• すべて変更権限なし
• 他のユーザーのデータは共有ルールで制御
例2: サポート担当者プロファイル
プロファイル名: サポート担当者
クローン元: 標準ユーザー
主要な権限:
• Case: CRUD + View All
• Account: Read, Edit (限定的)
• Contact: Read, Edit (限定的)
• Knowledge: Read, Create
• Solution: Read
• Opportunity: Read only (参照のみ)
Feature License:
• Service Cloud User
• Knowledge User
例3: 人事部プロファイル
プロファイル名: 人事部
クローン元: 標準プラットフォームユーザー
主要な権限:
• Employee__c (カスタム): CRUD + Modify All
• Leave_Request__c (カスタム): CRUD + View All
• Training__c (カスタム): CRUD
• User: Read (社員情報確認)
• Report: Create, Read
制限:
• 標準CRMオブジェクトへのアクセスなし
プロファイルと権限セットの使い分け
プロファイルの役割
プロファイル = 基本的な権限セット
特徴:
• 必須(すべてのユーザーが持つ)
• 1ユーザー1プロファイル
• 権限の追加と削除が可能
• 幅広い設定を一元管理
権限セットの役割
権限セット = 追加の権限
特徴:
• オプション(必要に応じて割り当て)
• 1ユーザーに複数割り当て可能
• 権限の追加のみ(削除不可)
• 柔軟な権限管理
使い分けの基準
プロファイルを使用すべき場合
• すべてのユーザーに共通の基本権限
• 役割や部門による権限の違い
• ページレイアウトやレコードタイプの制御
• ログイン時間・IP制限
例:
営業部門:
- 営業マネージャープロファイル
- 営業担当者プロファイル
サポート部門:
- サポートマネージャープロファイル
- サポート担当者プロファイル
権限セットを使用すべき場合
• 一部のユーザーのみに必要な権限
• 一時的な権限付与
• プロジェクトベースの権限
• Feature License の割り当て
例:
権限セット: レポート作成者
→ 一部の営業担当者のみに割り当て
権限セット: データエクスポート
→ 一時的に必要なユーザーに割り当て
権限セット: Marketing User
→ キャンペーン管理者のみに割り当て
ベストプラクティス
推奨アプローチ:
1. プロファイルで基本権限を設定
- 役割や部門ごとに作成
- 共通の権限セット
2. 権限セットで追加権限を付与
- 特定の機能へのアクセス
- プロジェクト単位の権限
- Feature License
3. プロファイルの数を最小限に
- 管理しやすさ
- 5〜10個程度が目安
4. 権限セットで柔軟に対応
- 細かい権限の違い
- 一時的な権限
プロファイル管理のベストプラクティス
1. プロファイルの命名規則
推奨形式:
[部門/役割]_[詳細]
例:
• 営業_マネージャー
• 営業_担当者
• サポート_マネージャー
• 人事_管理者
• 経理_担当者
API名:
Sales_Manager
Sales_Rep
Support_Manager
HR_Admin
Finance_User
2. プロファイル設計の原則
原則1: 最小権限の原則
必要最小限の権限のみを付与
原則2: 役割ベースの設計
役割や部門に基づいてプロファイルを作成
原則3: 標準化
類似の役割は同じプロファイルを使用
原則4: ドキュメント化
各プロファイルの目的と権限を文書化
3. プロファイルの数
推奨:
• 小規模組織: 3〜5個
• 中規模組織: 5〜10個
• 大規模組織: 10〜15個
避けるべき:
• ユーザーごとのプロファイル作成
• 過度に細分化されたプロファイル
4. 定期的なレビュー
四半期ごと:
- プロファイルの権限レビュー
- 不要な権限の削除
- セキュリティリスクの確認
年次:
- プロファイル構造の見直し
- 統合・整理の検討
- ドキュメントの更新
5. ドキュメント化
# プロファイル設計ドキュメント
## 営業担当者プロファイル
### 対象ユーザー
- 営業部の担当者
- リードから受注まで担当
### 主要な権限
- Account: CRUD
- Opportunity: CRUD
- Lead: CRUD
### 制限事項
- 他のユーザーのデータは参照不可
- すべて変更権限なし
### 作成日
2025-01-15
### 更新履歴
- 2025-01-15: 初版作成
- 2025-02-01: Case 参照権限追加
6. テスト手順
プロファイル作成後のテスト:
1. テストユーザーの作成
新しいプロファイルでテストユーザーを作成
2. 権限の確認
- オブジェクトへのアクセス
- 項目の参照・編集
- レポート作成
- ダッシュボード閲覧
3. 制限の確認
- アクセスできないデータ
- 編集できない項目
- 非表示のタブ
4. 本番展開
テスト完了後、実際のユーザーに割り当て
よくある間違いと対処法
間違い1: プロファイルの過剰な作成
問題:
ユーザーごと、または細かい要件ごとに
プロファイルを作成してしまう
結果:
- 管理が複雑化
- メンテナンスが困難
- プロファイル数が50個以上に
対処法:
1. 類似の役割を統合
2. 基本はプロファイル、差分は権限セット
3. 定期的にプロファイルを見直し
間違い2: システム管理者プロファイルの乱用
問題:
多くのユーザーにシステム管理者プロファイルを割り当て
リスク:
- セキュリティリスク
- データ削除の危険性
- 監査証跡の不明確化
対処法:
1. システム管理者は最小限に(2〜3人)
2. 必要な権限のみのカスタムプロファイル作成
3. 権限セットで一時的な管理権限付与
間違い3: 項目レベルセキュリティの未設定
問題:
オブジェクト権限は設定したが
項目レベルセキュリティを設定していない
結果:
- 機密情報が参照可能
- コンプライアンス違反
対処法:
1. 機密項目の特定
2. 項目レベルセキュリティの設定
3. プロファイルごとにレビュー
間違い4: 標準プロファイルの直接使用
問題:
標準ユーザープロファイルをそのまま使用
問題:
- 組織の要件に合わない
- 過剰な権限
- カスタマイズ困難
対処法:
1. 標準プロファイルをクローン
2. 組織の要件に合わせてカスタマイズ
3. カスタムプロファイルを使用
試験対策ポイント
重要な試験トピック
-
プロファイルの必須性
- すべてのユーザーは1つのプロファイルを持つ
- 1ユーザーは1プロファイルのみ
-
権限の階層
- 項目レベルセキュリティ > ページレイアウト
- プロファイルの権限 < 権限セットの追加権限
-
オブジェクト権限
- CRUD + View All + Modify All
- Read権限がなければCreate不可
-
標準プロファイル
- システム管理者は変更不可
- 最低1人のアクティブな管理者が必要
-
プロファイル vs 権限セット
- プロファイル: 必須、1つのみ、基本権限
- 権限セット: オプション、複数可、追加権限
よく出る試験問題パターン
問題例1:
Q: 1ユーザーが持てるプロファイルの数は?
A: 1つのみ
問題例2:
Q: 項目レベルセキュリティとページレイアウトの
優先順位は?
A: 項目レベルセキュリティが優先
FLSで非表示の項目は、ページレイアウトに
配置しても表示されない
問題例3:
Q: Read権限がない場合、Create権限があっても
レコードを作成できますか?
A: いいえ、Read権限が必要です
問題例4:
Q: システム管理者プロファイルは編集できますか?
A: いいえ、標準プロファイルは編集できません
問題例5:
Q: プロファイルと権限セットの違いは?
A:
- プロファイル: 必須、1つのみ、権限の追加と削除
- 権限セット: オプション、複数可、権限の追加のみ
まとめ
Salesforceのプロファイルは、すべてのユーザーが必ず1つ持つ基本権限セットで、標準プロファイルは変更できない一方、カスタムプロファイルは自由に調整できます。権限はオブジェクト、項目、システム、アプリ表示など多岐にわたり、設計時は「最小権限の原則」と役割ベースの構成が重要です。プロファイル数は必要最小限に抑え、細かな差分は権限セットで補うと管理しやすくなります。さらに、命名規則やドキュメント化を徹底し、定期的なレビューとテストユーザーでの検証を行うことで、より安全で効率的な運用が可能になります。
参考資料
Trailhead
- User Management
- Data Security
- [Profiles and Permission Sets] (https://trailhead.salesforce.com/content/learn/modules/identity_basics)
動画解説 (著者用)
スライド (著者用)