アプリを共有していく際に設定するべき項目について記載します。
キャンバスアプリもモデル駆動型アプリもユーザーに使ってもらえるように「公開」をするのですが、それだけでは、アプリを使うことができません。
最初に十分なアクセス権を付与する必要がありますが、十分なアクセス権とは何でしょうか。
キャンバスアプリとモデル駆動型アプリで分けて説明していきます。
モデル駆動型アプリ(Dataverse)に関しては、工夫したアクセス権付与方法を最後のほうに記述してますので、ご参考ください。
キャンバスアプリ
アクセス権設定
アプリの一覧画面で該当のアプリの三点リーダー[…]をクリックして、[共有]をクリックします。
表示される画面で、個人ユーザー、セキュリティ グループ、または組織の全ユーザーと共有できます。(また、組織外の方でも、Azure Active Directoryテナントのゲストユーザーであれば共有できます。)
検索バーでユーザーを検索して一人ずつ権限を付与してもよいですし、検索バーに「すべて」と入れると「組織のすべてのユーザー」が表示されるのでこちらを選択することで全ユーザーに一括で割り当てることができます。
組織全体に共有するのは、、という方はセキュリティグループを設定して、部署内の人だけ、特定の人だけに見せるということも可能です。
さらに、アプリ自体の共有だけでなく、アプリが基盤としているソース (DataverseやSharePointなど) へのアクセス許可も管理者が管理する必要があります。
また、フロー、ゲートウェイ、コネクタなどアプリが利用する他のリソースを共有する必要が生じることもあります。
Dataverseのアクセス許可の考え方は基本的にモデル駆動型アプリの考え方と一緒ですので、後述を参考にしてください。
共有されたユーザー側の画面
共同編集者の権限を持たないユーザーは以下のように編集や共有などがグレーアウトして実行できません。基本再生させたり、Teamsに追加するなど使用者としての操作しかできないです。
モデル駆動型アプリ
モデル駆動型アプリの共有にはロールベースセキュリティを使用します。
ロールベースセキュリティの基本的な概念として、アプリ内で実行可能な一連のアクションを定義する権限がセキュリティロールに含まれています。
すべてのアプリユーザーに1つ以上の標準ロールやカスタムロールを割り当てる必要があります。
(キャンバスアプリでもDataverseを使う場合はこちらの設定も必要です。)
セキュリティロールに関しては以下を参考にしてください。
アクセス権設定方法
①アプリから設定する方法と②Power Platform管理センターで設定する方法があります。どちらかを行えば大丈夫です。
セキュリティロールの細かい定義を確認したり、設定変更したりする場合は、Power Platform管理センターから設定するといいと思います。
①アプリからアクセス権を設定する方法
キャンバスアプリと同じように、モデル駆動型アプリも、アプリの一覧画面で該当のアプリの三点リーダー[…]をクリックして、[共有]をクリックします。
表示される画面で、左の「アプリケーション」の下のアプリ名をクリックします。(今回は「管理者アプリ(プロトタイプ)」)
次に共有したいユーザーを選択します。
アプリ名を選択し、ユーザー入力欄で共有したいユーザーを検索します。
ユーザーを選択した状態で右のDataverseのセキュリティロールを割り当てるドロップダウンをクリックします。
ロールが表示されるため、この中のどれかを選びます。(ユーザーには少なくとも1つ以上のロールを割り当てなければいけません。)
つまり、標準のロールであるシステム管理者、システムカスタマイザーを選ぶか、カスタムしたロール(今回は「ナレッジ管理者」)を選びます。
デフォルトのロール「システム管理者」、「システムカスタマイザー」はすべてのテーブルに権限を持つため、その権限を付与したくない場合はカスタムロールを先に設定する必要があります。
②Power Platform管理センターでアクセス権を設定する方法
Power Platform管理センターで、[環境]から該当の環境を開きます。
[セキュリティロール]、もしくは[ユーザー]からユーザーやチームにセキュリティロールを設定することができます。
今回はセキュリティロールから設定していきましょう。
[セキュリティロール]をクリックしたら、現在あるセキュリティロールの一覧が表示されます。
以下のいずれかの方法でユーザーに付与するセキュリティロールを用意します。
①[新しいロール]で新しくカスタムロールを新しく作る
セキュリティロールの詳細画面で、このセキュリティロールを付与されているユーザーが一覧で表示されます。
新しくユーザーを追加したい場合は左上の[ユーザーの追加]をクリックします。
その右にある[編集]を選択すると、このセキュリティロールの細かい設定ができます。ここで、どのテーブルに対してどれだけのことをできるようにするのか設定していくことができます。
セキュリティロールの付与がめんどうな場合の方法
環境にユーザーを追加したら共有できるようにする方法
セキュリティロールの割り当て方法として、ユーザーに直接割り当てる方法と、部署・チームに割り当てる方法があります。
実は環境にはデフォルトチームというものがあり、そのチームには環境に追加されたユーザー全員が入ります。そのため、このデフォルトチームにセキュリティロールを付与することで「環境に追加されたユーザー全員」に付与することができます。
Power Platform管理センターで[環境]メニューを開き、該当の環境を選択します。
以下のような環境の詳細画面が表示されたら、
[詳細]の環境URLの最初のxxxの値がデフォルトチームの名前になりますので、こちらをメモしておいてください。
xxx.crmx.dynamcis.com
デフォルトチーム名は環境によって違います。
画面右の[セキュリティロール]を選択します。
一覧が表示されたら、割り当てたいセキュリティロールを選択します。
左上の[ユーザーの追加]を選択し、画面右側に出てくるメニューで先程メモしたデフォルトチームを検索して、選択します。
これで、環境に追加されているユーザーならだれでもこのロールが割り当たるようになりました。
Teamsのチームに追加したら共有できるようにする方法
環境のユーザー全員にロールを付与したくない場合や、Power Platform管理センターでユーザーを環境に追加するのがめんどくさい場合はTeamsのチームと連携させて割り当てることもできます。
Power Platform管理センターで環境を選択します。
詳細画面で[チーム]をクリックします。
チームの一覧画面で左上の[チームの追加]をクリックします。
以下の画像のように新しいチームを作成します。
重要なのはチームの種類とグループ名です。ここで、Teamsのチームとの連携ができます。
設定したら[次へ]ボタンをクリックします。
割り当てたいセキュリティロールを選択し、[保存]ボタンをクリックします。
これで、Teamsでメンバーを追加すると、そのメンバーに対してセキュリティロールが割り当てられます。
Teamsのメンバーになったら、そのユーザーはアプリを開くことができます。
ユーザーは適切なライセンス(Teams、Power Apps)を持っている必要がありますので、そちらの設定はMicrosoft管理センターで行ってください。
ちなみに
環境に入っていないユーザーにはアプリURLは以下のように表示されます。
Basicユーザーロールだけだと以下のような画面になります。
まとめ
今回はアプリの共有、アクセス権の付与に関してまとめました。
複数のユーザーに対するセキュリティロールの付与を簡単にする方法もぜひご活用いただければと思います。
最後のTeamsのチームとの連携は以下のグループチームという考え方です。他にも使えそうな場面で使ってみてください。