新規ユーザーが初回サインインするとユーザーカードが作成され、権限セットが割り当てられます。この時に割り当てられる権限セット(および権限セットの割り当てに使用されるユーザーグループ)を管理者が自由に定義できるようになりました。この機能は D365BC 2022 release wave1 で追加された新機能です。
Docs(英語):Security administrators can define default permission set assignments when users sign up – Dynamics 365 Release Plan | Microsoft Docs
Docs(日本語):ユーザーがサインアップする際の既定の権限セットの割り当てをセキュリティ管理者が定義できる – Dynamics 365 Release Plan | Microsoft Docs
1. 前提
テナントが持っているD365BCのライセンスをM365管理センターで確認します。今回、説明に使用する環境はフリートライアル環境なので以下のように「Dynamics 365 Business Central for IWs」というライセンスを持っています。BCのライセンスはほかにもいろいろあり、一般的にはパートナーから購入した場合は「Dynamics 365 Business Central Premium」が割り当たっているケースが多いと思います。
2. ライセンスに対して既定権限セットと既定ユーザーグループを割り当てる
“License Configuration”機能を検索して実行します。
ライセンスが一覧表示されます。余談ですが、この画面を見れば新しいライセンスが追加されたことを検知できると思います。それはさておき、M365管理センターで確認したライセンスの行を選択し”Configure”をクリックします。
このライセンスに割り当てるユーザーグループと権限セットの一覧が表示されます。ユーザーカードの画面に似ています。(理由は後でわかります。)
ユーザーグループにも権限にも”Company”列があり “(first company sign-in)”と表示されています。これは最初にユーザーがサインインしたカンパニーにのみユーザーグループや権限セットが割り当たることを示しています。
初めてこの画面を開いた場合、”Customize permission”がOFFになっているはずです。これは、既定の設定値を変更していないことを示しています。既定値からの変更は後程試してみます。いまはOFFのまま調査を進めます。
M365管理センターから新規ユーザーを一つ作成します。BCのライセンス(先ほどユーザーグループと権限セットの割り当てを確認したライセンス)を割り当てておきます。
新規作成したユーザーでサインインします。
ユーザーカードで自分の権限を確認します。先ほどの割り当て画面でライセンスに対して割り当てたユーザーグループと権限セットが割り当たっていることが確認できます。”Company”列には今サインインしている会社がセットされています。 これが結構曲者です。(最後のまとめで説明。)
ライセンスに対するユーザーグループと権限セットの編集画面に戻ります。”Customize permission”をONにします。するとユーザーグループや権限セットが編集できるようになります。
試しに以下のように編集してみます。BC標準で設定されていたユーザーグループを一つ削除し、残り2つのCompanyをブランクにします。そしてユーザー定義したユーザーグループを割り当てます。結果的に権限セットは以下のようになります。
新たにユーザーを作成します。先ほどと同様にBCライセンスを割り当てます。
新しく作成したユーザーでサインインし、自分のユーザーカードを確認します。先ほどカスタマイズしたとおりにユーザーグループと権限セットが割り当てられていることが確認できます。
3. ユーザーグループと権限セットのリセット
初回サインインした際にユーザーグループと権限セットが割り当てられますが、その後、ユーザーグループや権限セットや変更できます。色々と変更しすぎて分からなくなった場合にリセットすることができます。たとえば先ほど新規作成してサインインしたユーザーにユーザーカードからSuper権限を追加で付与します。なおこの機能は2022Wave1で追加された機能ではなく、結構以前から存在する機能です。
ユーザー一覧画面からAction > Restore User’s Default User Group を選択します。
処理を実行したのち、ユーザーカードを開くと、License Configurationで設定したとおりにユーザーグループと権限セットが戻っていることが分かります。
4. まとめ
管理者がユーザーを作成した直後にユーザーがサインインすると過大権限になるケースがありました。一時的にとはいえ過大権限になるのは監査上よろしくないので、今回の新機能により過大権限が解消されるのは良いことです。
また、実際に管理者として運用してみると分かるのですが、導入前の要件定義やトレーニングのフェーズではカンパニーの制限をせずに割り当てたい場合があるにも関わらず、実際にはどれか一つのカンパニーが割り当たってしまうために管理者が都度都度各ユーザーのカンパニー列の値を削除する必要がありました。 今回の変更ではこの手間を省くことができます。
非常に便利な機能だと思いますので積極的に使ってほしいです。