Salesforce導入時にやっておきたい権限設定についてです。下記を最初にやっておくのがオススメです。
- 重要な更新の有効化
- アプリケーションのアクセス権限オフ
- 各プロファイルのアクセス権限オフ
重要な更新の有効化
まず組織にログインして最初にやっておくのは重要な更新の有効化です。運用中の場合は有効化により支障がでる場合があるので検証環境で確認後という流れの必要がありますが、導入の場合はそういった問題がないため始めに有効にしておくのが良いと思います。
アプリケーションのアクセス権限オフ
続いて標準アプリケーションのアクセス権限を可能なアクセス不可の状態にします。権限設定の理想は必要な権限のみ付与することです。一度付与した権限を運用開始後にオフにするのは思わぬトラブルの原因となります。
下記のような感じです。
- タブはホームのみ
- 各プロファイルの利用権限チェックはすべてオフ
ただし、かならず1つのアプリケーションはデフォルトとして指定が必要です。プラットフォームアプリケーションをデフォルトに指定しておくのが良いと思います。
おそらく標準アプリケーションはなんとなく表示してしまっているケースが多々あると思います。システム利用の混乱のもとにもなるので参照権限は除外しておくのがオススメです。
運用時にはカスタムアプリケーションを作成してそちらをユーザに割り当てて運用するのが確認箇所も絞られるので良いと思います。
各プロファイルのアクセス権限オフ
下記の手順でプロファイル設定を進めていくのが良いと思います。
標準プロファイルの権限設定見直し
はじめに標準プロファイルのアプリケーションとタブのアクセス権限を無効にします。
標準プロファイルではオブジェクトの参照権限とは変更できないためそのままにしますが、タブへのアクセス権限がなければ誤ってユーザに割り当てた場合でも思わぬデータ参照を防ぐことが可能です。項目レベルセキュリティの無効も行うとより安全ですが、付けたり外したりをするのも時間がかかるためそこまでは難しいと思います。
標準プロファイルで可能な限り権限を外した結果がこちらです。
それでも一部標準機能にはアクセスできます。
カスタムプロファイルの作成
標準プロファイルは運用環境では基本利用しません。(システム管理者プロファイルは除く)通常は標準プロファイルをコピーしてカスタムプロファイルを作成しそれをユーザに割り当てます。コピー元の標準プロファイルはタブの参照権限をアクセス不可にしているので、それをベースに作成したカスタムプロファイルもオフになっていると思います。あとは運用上必要な権限を付与していけばいいと思います。
