Salesforceレコード共有設定について、わかりやすく解説してみた #Salesforce認定アドミニストレーター試験

こんにちは
本橋孝昭です

今回は
・レコード共有設定
について解説します

今回の内容はとても長いので動画でも公開しています
ぜひご確認ください

レコード共有設定とは

ざっくりいうと「特定のレコードをどのユーザに見せる？どこまで許可する？（参照まで？編集まで？）」という設定です

画像でいえばみんな見たことあるはず？のここの設定です！
（いつもの三角形の図ですね）

画像はこちらから引用
https://successjp.salesforce.com/article/NAI-000106

ここはSalesforce初学者？についてはとてもつまづきやすい部分であると私は勝手に思っているのでなるべく分かりやすく解説しようと思います
（といってもわかりにくかったらごめんなさい。コメントお待ちしてます）
（※そして今回の記事は、わかりやすく書こうとした結果5000文字超えました笑）

なぜ難しいかというと、レコード共有設定では前提として

・オブジェクト
・レコード
・項目

・プロファイル（権限セット）
を理解する必要があるからです

「オブジェクト？なんだっけ？プロファイル？」って思った人。大丈夫です。
まずは↓の前提を確認してください

前提1 オブジェクト　レコード　項目について思い出そう

さて、レコード共有とは何か　についてですが、今回はそもそも
・オブジェクト
・レコード
・項目
という言葉があっちこっち出てきてこの言葉の意味がわからないととても厳しいです

上記言葉、ちょっとでも「これってなんだっけ？」と思ったらまずはこちらをCheck！

ざっくりいうと
・オブジェクト＝エクセルでいうタブごとに管理してるシート
・レコード＝エクセルでいう行のこと
・項目＝エクセルでいう列のこと

です。

前提2 プロファイル（権限セット）について思い出そう

次に大事な考えとしては

・プロファイル（権限セット）
の考えです

もしも「プロファイルってなんだっけ？」とすこしでも思ったらこちらをＣｈｅｃｋ！

さきほど、私はSalesforceのオブジェクトやレコード、項目をエクセルで例えましたが、
プロファイルや権限セットはそのオブジェクトや項目を見たり編集出来たりする権限だと思ってください

ざっくりいうとプロファイルと権限セットの権限がそのユーザがオブジェクトでできる権限です（細かい話はいくらでもできますしこの表現はなんとなく適切ではない気がしますが、とりあえず今は当初の目標「レコード共有設定」について理解するためこのように理解しましょう）

プロファイル（権限セット）とレコード共有設定　の考え方

今後話をしていくうえで
・オブジェクト
・レコード
・項目
についての考えが複雑に絡んできます
そして今回メインで話したい部分は
・レコードには「非公開」「公開（参照のみ）」「公開（参照・編集）」
という主に３タイプがあります

さらに言えば
・オブジェクト権限は参照可能のみ（編集不可）だけどレコードでは編集可能、しかし項目は参照可能のみ（編集不可）
のようなややこしい話が出てきます

こういうときの考え方として
・オブジェクト権限、レコード権限、項目レベルセキュリティの権限の順に考えよう
としてください

さて、以上のことから、正直文面だけでは何を言ってるかわかりにくいはずです
そして、Salesforceの画面を見せても、もっとわからないことはわからなくなると思います
なので、まずはこのようなイメージを持っていただければと思います

↑　図１　レコードの共有設定を考えるにはプロファイル（権限セット）の権限（赤の縦軸）とレコードの共有設定（緑の横軸）の考えが必要

↑図２　まずはオブジェクト権限を考え、次にレコード共有設定を考え、その後項目レベルセキュリティを考えよ　の図

さて、前提が決まったところでさっそくレコード設定について考えます。
その前に、そもそもSalesforceではレコード共有設定について考えなくてもいいパターンがいくつかあります
まずは話をややこしくしないため「Salesforceレコード共有設定を考えなくてもいいパターン」をいくつか説明し、そのあと「どのような場面でSalesforceレコード共有設定が必要か？」について考えていきます

分かりやすくするため、今から以下のような会社があるとして、このSalesforce環境は
・レコード共有設定を設定するの？
・レコード共有設定を設定しないの？
について解説します

以下、いくつか同じような画像が表示されますが、この画像は以下の「会社設定」を基に構築されたSalesforce環境だとお考え下さい

「会社設定」
・これからの話は株式会社TAKAAKIのSalesforce環境の設定です
・株式会社TAKAAKIは採用管理の求人情報をSalesforce環境で管理したい
・株式会社TAKAAKIのSalesforceシステム管理者はSalesforce環境で「採用管理」というカスタムオブジェクトを作成。その採用管理オブジェクトには「希望年収」「住所」などの項目を作成した
・さあ、Salesforceシステム管理者どのようにプロファイルやレコード共有をするべきか？みんなで考えよう！

Salesforceレコード共有設定を考えなくてもいいパターン１　全ユーザが採用オブジェクトのレコードをすべて「参照・編集」してもOKだよ　というパターン

まずはレコード共有設定について考えなくていいパターン１　として

・全ユーザが特定のオブジェクトのレコードを「参照・編集」してもOKだよ

という状態です
今回の株式会社TAKAAKIでいうと
・採用管理オブジェクトに記載されている採用者データは誰が見てもいいし編集してもしてもいいぞ　という状態です

この場合
・レコード共有設定を設定しなくてOK（レコードの共有設定は「公開（参照・編集）」です）

です

図にするとこのようになります

↑この場合、なんとなくレコード共有設定も不要だな　と思ったはずです
では、次のパターンです

Salesforceレコード共有設定を考えなくてもいいパターン２　あるユーザが採用オブジェクトのレコードをすべて「参照」のみOKだよ　というパターン

さあ、株式会社TAKAAKIは順調に社員も増えてきて、よく考えれば「採用情報はみんな見えてもいいけど、特定の人だけ編集させたいな」ということにやっと気づきました

この場合、レコードの共有設定はどのようになるでしょうか

この場合も
・レコード共有設定を設定しなくてOK（レコードの共有設定は「公開（参照・編集）」です）

そして、採用オブジェクト閲覧のみのユーザには新しくプロファイルを作成して参照のみのプロファイルを付与しましょう

↑このように参照のみなら参照のみのプロファイルを割り当てれば大丈夫です

Salesforceレコード共有設定を考えなくてもいいパターン３　あるユーザが採用オブジェクトのレコードをすべて「参照」のみで閲覧可能。しかし「希望年収」項目は参照不可　というパターン

さあ、従業員数が拡大すると、株式会社TAKAAKIの社長は考えました
「いままで採用データを参照のみか編集可能にユーザを分けていたが、そもそも閲覧のみのユーザにも希望年収項目とか見せるのはやばいんじゃないの？」となりました

この場合、レコードの共有設定はどのようになるでしょうか

この場合も
・レコード共有設定を設定しなくてOK（レコードの共有設定は「公開（参照・編集）」です）

そして、採用オブジェクト閲覧のみ＆希望年収項目は非公開にしたいユーザには新しくプロファイルを作成して
・採用オブジェクトのプロファイル権限は参照のみ
・採用オブジェクトの希望年収項目は非公開
のプロファイルを付与しましょう

さあ、みなさんいかがでしょうか？
さきほどのパターン２の
・特定のユーザにすべてのレコードを編集させたくない（すべてのレコードを参照のみにしたい）
や
・特定のユーザに（すべてのレコード参照は許可するが）すべてのレコードの特定の項目を参照不可にしたい

の場合、このいつもの三角形（レコードの共有設定）は必要ないです
なんと、プロファイル（または権限セット）の設定のみで対応可能です

「では、このいつもの三角形はいつ現れるんだ」というと

A.オブジェクトのレコードを１レコード以上参照して欲しいが特定のレコードだけ見せたくない人がいる１ユーザでもいる場合
B.オブジェクトのレコードを１レコード以上編集して欲しいが特定のレコードだけ閲覧や編集してほしくない　という人が１ユーザでもいる場合

の場合です。

では、レコードの共有設定場面は以下のようになります

Salesforceレコード共有設定を考えるパターン　あるユーザが採用オブジェクトのレコードを「参照・編集」したいが、特定の条件のレコードは閲覧不可にさせたいというパターン

さて、株式会社TAKAAKIも無事に拡大していき、東京本社のほか大阪支社、名古屋支社も設立されました
採用活動も本格化していき、社員だけでは採用活動が足りないので新しくインターン生を１人東京本社で採用し採用活動に励んでいただきました
そこで株式会社TAKAAKIは考えました
・インターン生には採用オブジェクトの閲覧や編集権限を与えて、どんどん採用情報を更新してほしい
・しかし、インターン生は東京の採用のために雇ったので、大阪支社の採用情報を見せるのは、ちょっとよくないな（大阪の採用情報は少ないけど１件ある）

さあ、この場合どうしましょう
この場合、Salesforceの考えとしては
・レコード共有設定を公開から非公開にする
（非公開にしたら基本的にシステム管理者のようなすべてのレコード閲覧権限があるユーザ以外はレコードの所有者が自分のレコードしか見えなくなる）
・その後、共有ルール・ロール階層・手動共有などを使用しユーザの参照権限・編集権限を増やす
というふうになります

つまり、このように

・オブジェクトのレコードを１レコード以上編集して欲しいが特定のレコードだけ閲覧や編集してほしくない　という人が１ユーザでもいる場合
にレコードの共有設定を考える必要があります

なお、この話を聞くと（おそらく）多くの人が
・今までインターン生がいない場合、レコードの共有設定は公開のままでよかったのだからインターン生のみ参照権限を閲覧することはできないのか？
・インターン生に見せたくない大阪採用のレコードは１レコードしかないのだから、大阪レコード１件を何とか設定してインターン生に見せなくすることはできなかったか？

と思うかもしれないですが、今回のように
・インターン生は大阪以外の採用活動データは閲覧をさせたい
という場合、Salesforceでは「まずは採用オブジェクトのレコード設定を非公開にする」しか解決方法は無いです

なお、ほかにもこの話をまとめた記事がありますのでこちらをご覧ください

以上で大まかな考えはおしまいです

今の話をまとめると

・単純なオブジェクトの参照のみや編集のみ　などの権限や項目権限は
→プロファイル（または権限セット）のオブジェクト権限で対応可能

・特定のレコードだけ閲覧してほしくない（他は閲覧してほしい）　というユーザが一人でもいる場合
→まずはレコードの共有設定を「非公開」にして考えよう
→非公開後、上司が部下のレコードが見たい　ならロール階層
→非公開後、特定の条件での共有なら共有ルール
→非公開後、特に条件などはないけどこのレコードもあのユーザに見て欲しい　という微調整は手動共有

さて、ここから今の話も踏まえた確認テストを行います
ぜひ解いてみてください