Dataverseのセキュリティロール「部署配下」が、複数階層下の部署にも対応しているか確認。
部署配下
セキュリティロールの「部署配下」は、そのユーザーが所属している部署の「配下の部署」や「配下の部署に所属するユーザー」が所有するレコードへアクセス可能になるセキュリティロール。
公式だと以下のように記述されているけど、
ユーザーは、自分の部署およびその下位のすべての部署のレコードにアクセスできます。
このアクセス権を持つユーザーには、自動的に部署およびユーザーのアクセス権が与えられます。
このレベルでは、事業単位と従属事業単位全体の情報へのアクセスが許可されるため、組織のデータ セキュリティ計画に合わせて制限する必要があります。 通常、このアクセス レベルは、事業単位に対する権限を持つ管理者のために予約されています。
Microsoft公式より
この『下位のすべて』が、『直下の部署すべて』なのか、『複数階層下を含めた部署すべて』なのか、ぱっと答えられなかったので検証。
結果は『複数階層下を含めた部署すべて』。
検証すること
今回は部署を3つ用意し、それぞれにユーザーを配属させる。
その上で「部署配下」のセキュリティロールになっているレコードを、複数階層下まで閲覧できるか(わんさんが所有するレコードを、ゴリラさんが見れるか)を確認する。
事前準備
まずはテーブルを作成し、所有者が異なるレコードを追加する。
続いて、このテーブルの閲覧が「部署配下」のセキュリティロールを作成する。
そして階層構造になっている部署を3つ用意し、
それぞれの部署にユーザーを配属させ、先ほどのセキュリティロールを付与する。
以上で準備完了。
動作確認
まずはわんさんでログインすると、自身のレコードしか見ることができない。
続いてうさぎさんでログインすると、自身のレコードと直下の部署に所属しているわんさんのレコードを確認できる。
最後にごりらさんでログインすると、自身のレコードと直下の部署のウサギさんのレコード、さらにその下の部署のわんさんのレコードも確認できる。
ということで、セキュリティロールの『部署配下』は直下の部署のみでなく、さらにその下の階層の部署まで対象となる。
コメント