Dynamics CRM 2015/Online 2015 更新プログラム フィールド セキュリティの拡張

みなさん、こんにちは。 Microsoft Dynamics CRM 2015 および Microsoft Dynamics CRM Online 2015 更新で、フィールド セキュリティの機能が拡張されましたので紹介します。 背景と概要 Microsoft Dynamics CRM 2015 および Microsoft Dynamics CRM Online 2015 更新では、 フィールドレベルのセキュリティを利用すると、ビジネスに大きな影響を与えるフィールドへの アクセスを特定のユーザーおよびチームに制限できます。この機能は Microsoft Dynamics CRM 2011 から提供されていましたが、カスタムエンティティのカスタムフィールドしかサポートして いませんでした。 今回のリリースでは対象が拡張され、多くの既定の標準フィールドが対象となりました。 この機能の拡張により、個人経営の取引先企業の住所情報など、個人を特定できるような情報に対してもフィールドレベルセキュリティを適用できます。 ポイント 今までのバージョンでは実現できなかった、既定の標準フィールドにおいては、以下の拡張があります。 サポートされていなかったエンティティのフィールドがサポートされるようになりました カスタマイズできないエンティティもサポートされるようになりました 2 つのオプションセットは、作成、更新の制御のみサポートされます 早速、取引先企業の住所を例に見てみましょう。今回はフィールドセキュリティを使って 2 人の登場人物のうち片方だけが住所にアクセスできる例を紹介します。 設定方法 1. Dynamics CRM 2015 にシステム管理者でログインします。 2. 設定 | カスタマイズ |…


Dynamics CRM 2015/Online 2015 更新プログラム 認証の新機能 : SDK 組織/探索サービス利用時の OAuth 2.0 サポート

みなさん、こんにちは。 前回に続き、Microsoft Dynamics CRM 2015 および Microsoft Dynamics CRM Online 2015 更新で拡張された認証の機能を紹介します。 SDK : 組織サービス利用時に OAuth 2.0 を利用をサポート これまで Dynamics CRM SDK を利用した開発では、Windows 統合認証と クレーム認証のみサポートしていましたが、今回 OAuth 2.0 認証をサポート するクラスを提供します。 開発者の方は文書での説明よりコードとハンズオンを好まれますので、早速 以下に利用方法を紹介します。この例では Microsoft Dynamics CRM Online に接続する例を紹介します。 AccessToken の取得 今回提供されるライブラリは AccessToken を渡してサービスを呼び出せる 機能はありますが、自ら認証をする機能は無いため、認証部分は別途実装が 必要となります。ここでは Active Directory Authentication Library を使って 実装していきます。 プロジェクトの作成と ADAL の追加 1. Visual Studio…


Dynamics CRM 2015/Online 2015 更新プログラム 認証の新機能 : Outlook クライアント多要素認証のサポート

みなさん、こんにちは。 今回は Microsoft Dynamics CRM 2015 および Microsoft Dynamics CRM Online 2015 更新で拡張された認証の機能を紹介します。 概要 セキュリティの新機能としては、以下の 2 つの機能が追加されました。 – Outlook アドイン : 構成ウィザードの改善と多要素認証のサポート – SDK : 組織サービス利用時に OAuth 2.0 の利用をサポートするクラスを提供 今日は前者の紹介を行い、SDK については次回紹介します。 構成ウィザードの改善 この記事のメインは多要素認証サポートの紹介ですが、構成ウィザードで 利用される機能である他、構成ウィザード自体も改善されていますので、 ここで合わせて紹介します。 Outlook クライアント用アドインの導入では、いくつか問題が発生しえる ポイントがあります。その中でも構成ウィザードはユーザーが初めに操作 する必要がある一方、サーバーのアドレスを間違えたり、入れるべき値が よくわからないという問題が発生します。 今回のリリースでは、構成ウィザードの体験を大幅に簡素化することで、 問題がより発生しないよう配慮がされています。 多要素認証のサポート 多要素認証は、従来のユーザー名/パスワード認証以外に、携帯にコードを 送って入力させるなど、セキュリティをより強固にできます。これまでは ブラウザでしかサポートしなかった多要素認証ですが、今回のリリースでは Outlook クライアントもサポート対象となりました。 必要要件 Microsoft Dynamics CRM Online をご利用の場合は特に要件はなく、管理者 ポータルから多要素認証を有効化することで対応が行えます。設置型は、…


Dynamics CRM 2015/Online 2015 更新プログラム 階層セキュリティ : ポジション階層

みなさん、こんにちは。 前回に続き、階層セキュリティのポジション階層についてご紹介します。 前回の記事を読まれていない方は、以下のリンクを参照ください。 –  Dynamics CRM 2015/Online 2015 更新プログラム 階層セキュリティ : 管理者階層 ポジション階層 さまざまな部署のメンバーが参加したプロジェクトの場合、 プロジェクトにおける役割に基づいたデータにアクセスできる必要があります。 ポジション階層は、独自の職位(ポジション)階層を定義しユーザーを登録することで、 自動的にアクセス権が付与される機能です。具体的には以下の通りです。  ・上位ポジションのユーザーは、直属の下位ポジションのユーザーのデータに 対する読み取り、書き込み権限が与えられる ・上位ポジションのユーザーは、直属以外の下位ポジションのユーザーのデータに 対する読み取り権限が与えられる ・読み取り権限が与えられる範囲は、深さで指定できる(既定は 3 ) 今回は、以下の 3 名の関係をポジション階層で説明します。 ・プロジェクトオーナー ・プロジェクトマネージャー ・プロジェクトメンバー 事前準備 まずは、事前準備として以下の 3 つを行います。 ・ユーザー登録 ・報告書エンティティの作成 ・報告書データの作成 最初に、Dynamics CRM 2015 にユーザーを 3 名を登録します。 1. Dynamics CRM 2015 にシステム管理者でログインします。 2. 設定 | セキュリティ | ユーザーを選択します。 3….

0

Dynamics CRM 2015/Online 2015 更新プログラム 階層セキュリティ : 管理者階層

みなさん、こんにちは。 Microsoft Dynamics CRM 2015 および Microsoft Dynamics CRM Online 2015 更新プログラムで 提供される階層セキュリティについてご紹介します。 階層セキュリティは、既存のセキュリティモデル(部署、セキュリティロール、共有、チーム)を 拡張した新たなセキュリティモデルです。既存のセキュリティモデルを利用してコストをかけず、 レコードに対するアクセス権を容易に管理することが可能です。 階層セキュリティの概要 これまで大規模な組織を構成する場合、既存のセキュリティモデルでは多くメンテナンスコストが 必要でしたが、本機能により組織構成や独自の構成に基づいたアクセス権を容易に設定でき、 既存のセキュリティモデルを利用することでよりきめ細かいアクセス権を設定できます。 階層セキュリティには、管理者階層とポジション階層の2つのモデルがあります。 管理者階層 ユーザーの上司部下の関係性から必要なアクセス権が自動的にユーザーに付与される機能です。 これは同じ部署内または配下の部署のデータに対するアクセス権を容易に設定するための手段です。 ポジション階層 一方ポジション階層は、管理者階層のような直接的な上司部下の関係性に基づいていません。 階層化した職位(ポジション)を定義し、職位にユーザーを設定することで独自の関係性を 定義することが出来ます。これは、実務が組織構成と異なる場合に設定するための手段です。 基本的な部署構造に則ったアクセス権設定は管理者階層で、また実務が組織構成と異なり 独自の構成に基づいたアクセス権設定はポジション階層で行うことで、 様々なセキュリティ要件に対応できます。 今回は管理者階層について説明します。 管理者階層 上司は仕事上、部下から提出されたレポートやそれに該当するデータにアクセスできる 必要があります。 管理者階層は、ユーザーの上司部下の関係性から必要なアクセス権が 自動的にユーザーに付与される機能です。 具体的には以下の通りです。 ・上司は、直属の部下(第 1 階層)のデータに対する読み取り、書き込み権限が与えられる ・上司は、部下の部下(第 2 階層)のデータに対する読み取り権限が与えられる ・読み取り権限が与えられる範囲は、深さで指定できる(既定は 3 ) 今回は、以下の 3 名の関係を例に管理者階層を説明します。 ・営業部長 山田さん ・営業課長 川口さん(上司:営業部長 山田さん)…

0

Dynamics CRM 2015/Online 2015 更新プログラム 新しい権限とエンティティ

みなさん、こんにちは。 今回は Microsoft Dynamics CRM 2015 および Microsoft Dynamics CRM Online 2015 更新プログラム で追加された新しい権限とエンティティをご紹介します。 情報元: 開発者向けの新機能 http://msdn.microsoft.com/ja-jp/library/gg309589.aspx#BKMK_NewEntities70 今回のリリースでは、製品やセキュリティ、サービスモジュールなどに新機能が 追加されていますが、それに伴い、新しいエンティティや権限も追加されています。 すでに Dynamics CRM 2013 をご利用されている開発者やシステム管理者の方々は、 Dynamics CRM 2015 でどのようなエンティティや権限が追加されたかをご確認ください。 新しい権限 セキュリティロールに追加された権限は次の通りです。 – 営業には次の権限が追加されました。 タブ名 名前 権限名 詳細 営業 プロパティ prv*DynamicProperty 製品のプロパティを定義する(SDKでサポートされない) 営業 プロパティ関連 prv*DynamicPropertyAssociation 製品のプロパティを定義する(SDKでサポートされない)  営業 プロパティ インスタンス prv*DynamicPropertyInstance DynamicPropertyInstance(プロパティ インスタンス)メソッドとメッセージ  営業 プロパティのオプション セット 項目 prv*DynamicPropertyOptionSetItem…

0

Dynamics CRM 2013 IFD 構成時の AD FS Tips

みなさん、こんにちは。 今回は Microsoft Dynamics CRM 2013 を IFD 構成にした際の AD FS の Tips をお届けします。 ※以下の内容は Windows Server 2012 R2 AD FS を利用して検証しています。 サインアウトしないオプション IFD を構成した場合ユーザーはフォーム認証画面でユーザー名とパスワードを入力する 必要がありますが、毎回入力することを避けたい場合 AD FS の設定を変更することで、 以下のように「サインアウトしない」オプションを表示できます。 手順 1. AD FS サーバーにログインして PowerShell を起動します。 2. 以下のコマンドを実行します。※サーバーレベルでの変更となります。 >Set-AdfsProperties –EnableKmsi $true 3. 以下のコマンドで設定値を確認できます。 >Get-AdfsProperties 4. ブラウザから IFD アドレスにアクセスします。 効果 サインアウトしないチェックボックスにチェックを入れてログインした 場合、一旦ブラウザを再起動しても再度ユーザー名、パスワードを 入力する必要がありません。 ※ただしトークンの期限が完全に切れてしまった場合は再入力が 必要です。…


ヨーロッパのプライバシー管理当局がマイクロソフトのクラウドにおけるコミットメントを認定

みなさん、こんにちは。 先日、マイクロソフトのクラウドに関する重要なニュースが公開されました。 欧州連合(EU) のデータ保護当局により、Microsoft Dynamics CRM Onlineを含むマイクロソフトのエンタープライズ クラウド サービスの契約が、EU のプライバシー関連法の高い水準を満たしていることが認められたのです。 以下に関連リンクをご紹介いたしますので是非ご覧ください。  ヨーロッパのプライバシー管理当局がマイクロソフトのクラウドにおけるコミットメントを認定http://blogs.msdn.com/b/windowsazurej/archive/2014/04/11/10516463.aspx – 中村 憲一郎


Dynamics CRM 2013 フィールドレベルデータ暗号化機能が、組織の作成やインポートに与える影響とその対処方法

みなさん、こんにちは。 Microsoft Dynamics CRM 2013 より、フィールドレベルデータの暗号化機能が提供されました。今回はそちらの機能が組織のインポートに及ぼす影響と、その対処方法を紹介します。 フィールドレベルデータの暗号化機能については以下記事をご参照ください。 Dynamics CRM 2013/Fall ’13 フィールドレベルデータの暗号化 組織の新規作成およびアップグレードに対する影響 Microsoft Dynamics CRM 2013 の展開マネージャーより組織を新規に作成 するか、以前のバージョンよりアップグレードインポートする際、以下の メッセージが表示されます。 [組織作成時のメッセージ] これは、新規に作成された、またはアップグレードが完了した組織で フィールドレベルデータの暗号化が自動で有効になるという意味です。 既定では、ランダムに生成された強固な暗号化キーが利用されますが、 暗号化キーは管理者が知っている必要があるため、作業の完了後迅速に 変更することをお勧めします。 ※ 暗号化キーの変更方法は後述します。 組織のインポートに対する影響 Microsoft Dynamics CRM 2013 組織データベースを、他の環境から移行 する場合、組織のインポート完了後に、手動で暗号化キーを入力し、機能をアクティブ化する必要があります。 ※ 暗号化キーの入力方法は後述します 組織のインポート後に発生しえる問題 組織のインポート後に機能を有効化しない場合、暗号化済みのデータを 読み取れない為、メールボックスを開くなど、該当フィールドの値を 読み取る可能性のある操作において、以下のエラーが表示されます。 エラー: 組織のデータベースには暗号化されたフィールドがありますが、 データ暗号化機能がアクティブ化されていません。 [エラーの画像] Microsoft Dynamics CRM サーバーは仕組み上、実際に値があるかどうか には関係なく複合化を試みるため、上記エラーは必ず発生します。 対処方法 上記エラーが出る場合、フィールドレベルデータ暗号化の暗号化キーを 再入力し、機能をアクティブにしてください。 暗号化キーを紛失した、または値がわからない場合、新規に暗号化キーを入力することで機能をアクティブにできますが、暗号化対象フィールドに値がある場合はデータを失います。 暗号化キーの入力/変更方法…


Dynamics CRM Online 多要素認証

みなさん、こんにちは。 先日 Office 365 で、多要素認証機能が特定のサブスクリプションに ついて無償で提供されることが決まりました。詳細は以下の記事を ご参照ください。これまで有償でしか利用できなかった多要素認証が 条件によっては無償で利用できることは非常に大きいと感じます。 Office 365 でエンドユーザーの皆様に多要素認証がご利用いただけるようになりました Microsoft Dynamics CRM Online でも同様に機能しますので是非 お試しください。設定方法は上記リンクに詳細がございます。 ※注意点 現時点で多要素認証はブラウザにのみ対応しています。そのため Outlook クライアントのようなリッチクライアントは対応しません。 多要素認証はセキュリティを向上させるうえで非常に重要な要素で あると同時に、ユーザーにとってはログインの工数が増えることに なります。また Outlook クライアントでは利用できないという問題 もありますので、まずは特定のユーザーでお試しいただくことを 推奨します。 – 中村 憲一郎