アクセス・グループ・ルールおよびアクセス・グループの有効化データ・セキュリティ・ポリシー
エクスプローラUIでは、アクセス・グループ・ルールとデータ・セキュリティ・ポリシーの両方からデータへのユーザーのアクセスを表示できます。 このトピックでは、アクセス・グループ・ルールと、アクセス・グループ有効化職務ロールによって提供されるポリシー間の相互作用について説明します。
アクセス・グループを介してオブジェクト・レコードへのアクセスを受信するには、次の条件を満たす必要があります:
-
ユーザーには、アクセス・グループ・メンバーシップを介して関連するアクティブ・ルールが割り当てられている必要があります。
-
ユーザーには、アクセス・グループ有効化職務ロールによって提供される適切なデータ・セキュリティ・ポリシーが割り当てられている必要があります。
これらのデータ・セキュリティ・ポリシーは、ユーザーがアクセス・グループを介して提供されたオブジェクト・データへのアクセスを取得するために必要ですが、オブジェクト・データ自体へのアクセスは提供されません。
ユーザーには、割り当てられている事前定義済またはカスタムのジョブ・ロールを介して、またはリソース抽象ロールを介して、アクセス・グループ使用可能職務ロールが自動的に割り当てられます。 一般に、アクセス・グループでサポートされている各オブジェクトについて、アクセス・グループ有効化職務によって、オブジェクトでサポートされている各アクセス・レベル(通常は読取り、更新、削除およびフル・アクセス)のデータ・セキュリティ・ポリシーがユーザーに提供されます。
探索UIで情報をレビューするときは、ユーザーにはアクセス・グループ使用可能データ・セキュリティ・ポリシーが割り当てられていますが、同じアクセスを提供する対応するアクティブ・ルールも割り当てられている場合のみ、関連するデータ・アクセスを受信することに注意してください。