この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Salesforce セキュリティガイド

Salesforce セキュリティガイド
Salesforce のセキュリティの基本
ユーザの認証
ユーザへのデータアクセス権の付与
オブジェクトと項目の共有
項目レベルセキュリティ
共有ルール
ユーザ共有
グループとは?
共有の直接設定
組織の共有設定
制限ルール
制限ルールの作成
制限ルールの考慮事項
制限ルールのシナリオ例
Shield Platform Encryption でのデータのセキュリティの強化
組織のセキュリティの監査と監視
リアルタイムイベント監視
Apex および Visualforce 開発のセキュリティガイドライン
API の有効期限のポリシー
PDF

制限ルール

制限ルールを使用すると、特定のユーザに指定したレコードのみへのアクセスを許可することで、セキュリティを強化できます。制限ルールにより、ユーザは機密データや作業に不可欠でない情報が含まれる可能性があるレコードにアクセスできなくなります。また、制限ルールによってユーザがアクセス権を持つレコードが絞り込まれ、ユーザがアクセスできるのは指定した条件に一致するレコードのみになります。
使用可能なインターフェース: Lightning Experience
使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition

制限ルールは、カスタムオブジェクト、外部オブジェクト、契約、ToDo、行動で使用できます。Enterprise Edition と Developer Edition ではオブジェクトあたり最大 2 つの有効な制限ルールを作成でき、Performance Edition と Unlimited Edition ではオブジェクトあたり最大 5 つの有効な制限ルールを作成できます。制限ルールは、次の Salesforce 機能に適用されます。
  • リストビュー
  • ルックアップ
  • 関連リスト
  • レポート
  • 検索
  • SOQL
  • SOSL
組織の共有設定、共有メカニズム、制限ルール、およびその組み合わせにより絞り込まれたレコードが示されているグラフ。

制限ルールをユーザに適用すると、組織の共有設定、共有ルール、および他の共有メカニズムを通じてそのユーザにアクセス権が付与されているレコードが、指定した条件によって絞り込まれます。たとえば、ユーザが [今日の ToDo] タブまたは活動のリストビューに移動した場合、制限ルールの条件を満たすレコードのみが表示されます。制限ルールが適用された結果アクセスできなくなったレコードへのリンクをユーザが使用した場合、ユーザにはエラーメッセージが表示されます。

外部オブジェクトに制限ルールを設定する前に、次の考慮事項を確認してください。

  • 外部オブジェクトの制限ルールには、組織の共有設定や共有メカニズムは含まれません。
  • 制限ルールは、Salesforce Connect: OData 2.0、OData 4.0、および組織間アダプタを使用して作成された外部オブジェクトでのみサポートされます。
  • 組織間アダプタを使用して作成された外部オブジェクトでは、ルールがユーザに適用された場合に検索または SOSL がサポートされません。最近参照したレコードに一致する検索結果のみが返されます。
  • 外部オブジェクトの検索を無効にすることをお勧めします。
  • Salesforce Connect: カスタムアダプタを使用して作成された外部オブジェクトはサポートされません。

メモ

制限ルールは外部レコード項目の検索条件であり、結合されると絞り込まれたレコードが表示されることを示しているグラフ。

制限ルールを使用するケース

制限ルールは、特定のユーザに特定のレコードセットのみを表示する場合に使用します。制限ルールにより、機密性の高い情報や機密情報が含まれるレコードへのアクセス制御を簡略化できます。契約、ToDo、および行動へのアクセスでは、組織の共有設定を使用して完全に非公開にするのが困難になる場合があるため、制限ルールを作成するのがこの表示範囲を設定する最適な方法になります。

たとえば、競合している営業チームを抱えていて、同じ取引先に対する活動ではあっても、互いの活動内容を表示できないようにするとします。制限ルールを使用すれば、営業チームには自分のチームに属していてその業務に関連している活動しか表示されないようにできます。または、さまざまな個人を対象として機密サービスを提供している場合は、制限ルールを使用して、サポートを担当しているチームメンバーのみが関連する ToDo を参照できるようにします。

複数の制限ルールまたは範囲設定ルールを作成する場合は、特定のユーザに有効なルールが 1 つのみ適用されるようにルールを設定します。特定のユーザに有効なルールが 1 つのみ適用されることは検証されません。2 つの有効なルールを作成し、その両方のルールを特定のユーザに適用した場合、どちらかの有効なルールのみが監視されます。

制限ルールを作成する前に、組織の Salesforce Classic を無効にすることをお勧めします。Salesforce Classic 環境のエンドユーザに対しては、制限ルールが意図したとおりに機能することを保証できません。

他の共有設定への制限ルールの影響

ユーザは、組織の共有設定のほか、共有ルールやエンタープライズテリトリー管理などの共有メカニズムに基づいて、レコードにアクセスします。

制限ルールを適用する前のレコードの表示を示すグラフ。

制限ルールをユーザに適用すると、共有設定を通じてユーザが参照アクセス権を持っていたデータの範囲がさらに限定され、レコード条件に一致するレコードのみになります。この動作は、永続的である点を除いて、リストビューやレポートでの結果の絞り込みに似ています。ユーザに表示されるレコード数は、レコード条件で設定した値に応じて大幅に変動します。

制限ルールを適用した後のレコードの表示を示すグラフ。

制限ルールの設定方法

オブジェクトマネージャでサポートされているオブジェクトに移動して、制限ルールを作成および管理できます。または、RestrictionRule Tooling API オブジェクトまたは RestrictionRule メタデータ API 種別を使用します。API の使用方法についての詳細は、『Restriction Rules Developer Guide (制限ルール開発者ガイド)』を参照してください。