Salesforce権限セット:プロファイルからの脱却
Salesforceのシステム管理者であれば、誰しもが一度は経験したことがあるだろう、「特定のユーザーだけに一時的に権限を付与したい」「組織変更でユーザーの役割が変わったが、プロファイルの設定が複雑すぎて管理しきれない」という悩み。
これまで権限管理の主役はプロファイルでしたが、プロファイルが増え、その設定が複雑化するにつれて、設定ミスやセキュリティホールを生むリスクも高まってきました。
過去にSalesforceからはSpring ’26でのプロファイルのサポート終了というリリースが取りざたされたことも記憶に新しいように(後に撤回) 、今後のSalesforce利用の上での権限の管理は権限セットが主軸に移行することが確実視されています。この移行は「いつかやる」ではなく、「今すぐ始めるべき」課題となってきているのです
プロファイル管理の煩雑さから解放された、本当に安全で柔軟な権限管理を実現するために。本記事では、Salesforce初心者から往年の名プレイヤーたちの参考にもなる、権限セットの基本的な考え方から、権限セットグループ、そして注目の新機能まで、めくるめく権限セットの世界をお伝えします。
まずは基本から!権限セットとプロファイルの違い
「権限セットって、プロファイルの追加機能でしょ?」と思われがちですが、まずは基本的な考え方をおさらいします。
プロファイルとは
プロファイルは、1ユーザーにつき1つだけ設定できる権限のベースであり、ユーザーの属性そのものに関わる最低限の設定を管理します 。
ここで触れておきたいのが今後認識すべきプロファイルの考え方。
プロファイルは本来、権限の「拡張」に使用すべきではありません。もしプロファイルに多くの権限を付与してしまうと、そのプロファイルを持つすべてのユーザーが不要な権限を持つことになり、セキュリティリスクが増大します。プロファイルは、「必要最低限の権限」を与える権限管理のベースとなるものとして割り切りましょう。
権限セットとは
一方、権限セットは、1ユーザーに複数設定できる、権限のオプション部分です 。
プロファイルで権限のベースを付与したら、それぞれのユーザーが組織に対して持っている役割やタスクに応じて権限を追加していくのが権限セットの役割です 。例えば、「営業担当」というプロファイルを持つユーザーに対し、「キャンペーン管理者」「データインポート担当者」といった複数の役割を、権限セットで柔軟に追加できます。
権限管理においては、「権限は足し算である」という原則を常に意識することが重要です。プロファイルは最小限に、権限セットで必要な権限を拡張していく設計思想こそ、今後の管理のキモとなります。
権限セットとプロファイルのイメージ図
POINT!
権限セットライセンスを活用することで、そのユーザーに含まれていないライセンス機能を使用可能になります(例:Salesforceライセンスを拡張してSalesforce Platformライセンスを付与する)。
ライセンスの壁を超えて特定の機能にアクセスさせられるこの柔軟性は、権限セット管理の大きな強みの一つです。
ライセンス機能についてはきっと弊ブログで記事が上がるはずなので乞うご期待。
管理が劇的にラクになる!「権限セットグループ」
権限セットは非常に便利な機能ですが、ユーザーの役割が多岐にわたると、いつの間にか数十、数百という数の権限セットが組織内に作成されてしまいがちです。
そうなると、「このユーザーには結局どの権限セットを割り当てればいいんだっけ?」と管理者が混乱し、設定漏れや設定ミスが発生するリスクが高まります 。
権限セットグループは、いわゆる「権限セットをまとめる便利なフォルダ」として考えられる機能です 。部署、役職、プロジェクトなど、共通の役割を持つユーザーがまとめて必要とする権限セットを一つのグループに集約することで、この混乱を回避できます。
権限セットと権限セットグループの割り当てイメージ図
POINT!
権権限セットグループの最大のメリットは、割り当てが一度で済むことです 。
・設定ミスの撲滅:ユーザーに対して個別の権限セットを一つずつ割り当てる手間がなくなり、「この権限セットの設定を忘れた!」といった設定漏れや、不要な権限を渡してしまうといった設定ミスが発生する可能性を抑えることが可能です 。
・設計の可視化:権限セットグループを「営業部」「経理部」「システム管理者」といった組織内の役割に合わせて設計することで、権限管理の設計図がそのまま管理画面に反映され、組織全体の権限構成を誰もが理解しやすくなります。
【注目の便利機能】権限セットグループの隠れた実力「ミュート権限セット」
今回の最大の目玉である機能、「ミュート権限セット」についてもお伝えします。
この機能を使用することで、権限セット内の権限をマイナスすることができ、一部の権限だけを除いた同じような権限セットを複数作成する必要がなくなります。
「営業部全体」に共通の権限セット(商談オブジェクトの編集権限、レポート作成権限など)を付与したいが、研修中の新人Aさんだけは誤操作を防ぐためにレポート作成権限だけを一時的に剥奪したいといったとき、そんな時にこの機能が役立ちます。
ミュート権限セットイメージ図
POINT!
ミュートされるのは権限セット内の権限のみなので、それ以外の場所(プロファイルなど)で設定された権限はそのまま適用されます!
なのでプロファイルなどは最低期限の権限にして、原則権限セットで拡張していく権限の構築を心がけておくとGOOD!
【高度なTips】必要な時だけ権限を付与!「セッションベースの権限セット」
「普段は不要だけど、月末の締め処理時だけはデータの一括更新のために強い権限が欲しい……」 、「本番環境での緊急データ修正のためだけに、一時的にシステム管理者プロファイル級の権限が欲しい」といったケースは少なくありません。
従来の管理方法では、システム管理者が手動でユーザーに権限を付与し、作業完了後に手動で剥奪する必要がありました。しかし、この「戻し忘れ」こそが、セキュリティホールや誤操作の原因となり得る最大の危険性でした。
「セッションベースの権限セット」は、この手動管理の危険性から管理者を解放します。設定方法は、権限セットの作成時に「セッションの有効化が必要」にチェックするだけ 。
権限セットの作成画面で設定
どうやってセッションベースの権限セットを有効化すればよいのか、という疑問についてもお答えします。
有効化の手段については、フローを使用するのが非常に便利。
セッションベースの権限セットを有効化するフローのイメージ
上記画像の例では、画面フローでボタン操作を行った際に、有効化したことを知らせるメール送信を行い、指定された権限セットをユーザーに対して有効化します。
当然、フローで出来る処理を間に挟むことはできるし、プログラミングが出来ればより高度な処理を間に挟むことも可能です。
ここで大事なのは「セッションベース」であること。上記のフローの場合、
操作を行ったセッション(ログインしている間)だけ権限セットが有効になり、
ログアウトすれば自動で権限が消えるので、権限の戻し忘れがなく安心ですね!
今後のユーザー権限の管理の在り方について
冒頭で触れたように、SalesforceからはSpring’26でのプロファイルのサポート終了というリリースが取りざたされたこともあり、今後のSalesforce利用の上での権限の管理については権限セットが主軸に移行しくことが考えられます。
プロファイルでしかできないこと、権限セットでもできることを見極め、より柔軟な権限構築をしていくことが、今後のSalesforceでの権限管理のキモになっていくことでしょう。
ここでプロファイル、権限セットで出来ることを確認してみましょう。
プロファイルでしか管理できないもの
・ログイン時間
・ログインIP範囲
・レコードタイプ/アプリケーションなどのデフォルト設定
・ページレイアウトの割り当て(Lightningページで動的設定を使用する等でプロファイルの管理は縮小するのが吉)
・パスワードポリシー
権限セットで管理できるもの
・ユーザー権限(システム権限・アプリケーション権限)
・オブジェクト権限(参照・作成・編集・削除)
・項目レベルセキュリティ
・タブの表示
・Apex/Visualforce権限
等々……
今から準備すべき5つのステップ
この大きな移行プロジェクトを成功させるために、以下のステップで準備を進めましょう 。
1.プロファイルの棚卸:設定マネージャーやメタデータAPIなどを活用し、今あるプロファイルがどのような設定になっているのか、そして組織内にどれくらいの数があるのか、現状の設定を正確に把握・文書化しましょう 。
2.権限設定に関わる組織内の役割の特定:権限を区分するにあたって、「営業担当者」「経理担当者」「マネージャー」など、どのような役割が組織内に存在するかを確認しましょう 。
3.役割毎のタスクの洗い出し:それぞれの役割において、どのようなデータにアクセスして、**どのような操作(参照・作成・編集・削除)**ができる必要があるかを具体的に特定しましょう 。
4.各役割に必要な権限を文書化:実施するタスクをもとに、どのような権限が必要になるかを文書に起こし、ステークホルダーと確認しましょう 。
5.権限セットと権限セットグループの計画:洗い出された役割毎に必要な権限をもとに、再利用可能な権限セットと、それを集約する権限セットグループの構成を設計しましょう 。
まとめ
いかがでしたか?
権限セットは、単なる追加機能からSalesforceセキュリティの「主役」になろうとしています。 最初は少しとっつきにくいかもしれませんが、権限セットグループやミュート、セッションベースといった機能を使いこなせると、プロファイルだらけの管理画面から解放され、本当に安全で柔軟な権限管理が実現できます。
今回の記事が、皆さまのSalesforce運用のお役に立てれば幸いです! 是非ご活用ください。
