はじめに
こんにちは、社内でSalesforceの改修および運用を担当しているシステム企画部のOです。
Salesforceのシステム管理者になって、はや2年。 少しずつ設定には慣れてきましたが、ずっと心のどこかで「いつか向き合わなきゃ……」と見ないふりをしてきた大きな壁がありました。
それが、Salesforceの「権限管理」の最適化です。
弊社はありがたいことに組織が急成長中で、新しい仲間がどんどん増えています。その際、スムーズに業務を始めてもらうために、依頼者の方から「〇〇さんと同じ権限を付与してください」と、分かりやすい基準を添えて依頼をいただきます。
慣れない私にとっても、その一言はとても助かるヒントでした。 ……ですが、運用を続けていくうちに、「この権限は、現在の実務とどう紐付いているのか」 「コピーを繰り返す中で、意図しない過剰な権限が付与されていないか」などなど、様々な課題が見えてきました。
手探りではありますが、現状を可視化し、権限構造を再定義しようと試みる管理者の備忘録をここに記します。
- はじめに
- 1. 現場で起きていた「権限管理」の負のスパイラル
- 2. まずは「現状の可視化」から着手
- 3. 目指すべきゴールは権限の標準化と運用の最適化
- おわりに:理想と現実の間で「今のベスト」を探す
- おまけ:権限調査の強い味方
1. 現場で起きていた「権限管理」の負のスパイラル
これまでの弊社では、新しいメンバーが入る際の権限付与は、多くの場合以下のような運用になっていました。
- 依頼者と同一のプロファイルを付与
- 入社時、対象ユーザーに対し依頼者(上長等)と同じプロファイルを割り当て
- 「周辺権限」のコピー付与
- 「〇〇さんと同一権限」という指示に合わせ、権限セット、権限セットグループ、公開グループ等も同様に紐付け
- 運用開始後の「依頼ベース」による追加対応
- 業務開始後、起票された情シス依頼に基づき、必要に応じて不足している権限を個別に追加
その結果、以下のような課題が山積みとなっていました。
ブラックボックス化: 過去の設定経緯を知る担当者が不在となり、設定意図の特定が困難
過剰権限の懸念: 「前任者と同様の設定」を継続することで、現在の業務範囲を超えた権限が付与されている可能性
設定の重複: 似た機能を持つ権限セットやグループが並存し、全体像の把握が複雑化
コストの不透明性: 異動に伴う利用実態の把握が難しく、ライセンスコストの最適化に改善の余地
切り分けの難化: 現場で不具合が起きた際、それが「操作手順」によるものか「権限設定」によるものかの判別に時間を要する
何より、依頼者(現場)もシステム管理者も「何度も申請を出す・受ける」という手間が発生しており、お互いに作業効率を落とす一因になってしまっています。
2. まずは「現状の可視化」から着手
一気にすべてを解決するのは難しいため、まずは「部署とプロファイルの乖離」を明らかにすることにしました。 具体的には、はじめにレポートを使用してユーザーデータをエクスポートし、「所属部署単位でどのプロファイルが付与されているか」をマトリクスで整理しました。
そこで見えてきた差異について、以下の2パターンで調査と是正を進めています。
| パターン | 確認内容と対応 |
|---|---|
| 部署内で1人または数人だけ異なる | 異動履歴を確認。以前の部署の権限が残っている場合は、上長承認を得て現在の部署の標準プロファイルへ統合。 |
| 部署内で複数混在している | 現在の付与状況を整理し、それぞれのプロファイルにどのような違いがあるかを現場の責任者へ共有。実際の業務内容と照らし合わせながら、共通化できる部分がないか相談・判断を仰ぐ。 |
3. 目指すべきゴールは権限の標準化と運用の最適化
今回の可視化を経て、私たちが目指しているのは「部署・チーム単位での権限の標準化」です。 具体的には、以下のようなステップで整備を進めています。
- 権限セットの構造化(この部分についてはまた別途まとめたいと思っています)
- まずは5を超える権限セットが付与されている部署を対象に、共通して必要な権限を精査。個別に付与していたものを「権限セットグループ」として集約し、管理の煩雑さを解消
- 「権限マトリクス」の作成
- 「この部署・チームにはこのプロファイルと権限セットを付与する」というルールを明文化し、属人化を防ぎ迷いなく対応するための運用基準を整備してチーム内に共有
これにより、将来的には申請の簡略化や、付与作業の自動化といった「攻めの運用」への土台を作りたいと考えています。
おわりに:理想と現実の間で「今のベスト」を探す
今回の精査を通して、改めてすべてをルール通りに当てはめるのが難しいことも分かってきました。
新体制へと移行する局面では、大規模な組織変更や部署をまたぐ異動が発生します。また、弊社のように兼務者が多い組織では、完全に「一つの型」に当てはめることは容易ではありません。
だからこそ、私たちは「基本の型」を定義すると同時に、「例外(個別対応)が必要なユーザー」を正しく把握できる仕組みも併せて整備していきます。
Salesforceの権限整理は、一朝一夕には終わりません。 ですが、今回のように「部署単位での可視化」という小さな一歩を踏み出したことで、少しずつ「あるべき姿」の解像度が上がってきました。
現場のスピード感を削ぐことなく、かつ安全でスリムな環境を目指して! ひよっこ管理者なりに、これからも粘り強く、柔軟に改善を続けていこうと思います。
おまけ:権限調査の強い味方
今回の棚卸しを進める中で、チーム内で共有された「Salesforce運用に便利なツール」が非常に心強い味方になったのでご紹介します。
「Salesforce Profile Reader」というブラウザの拡張機能です。
通常、Salesforceの標準画面でプロファイルや権限セットの内容を確認しようとすると、何度もページを切り替えたり、長い画面をスクロールしたりする必要がありますよね。このツールを使うと、それらの設定内容を一画面でリスト化して、スムーズに閲覧・確認することができます。
「このプロファイル、結局どの権限が有効なんだっけ?」という確認作業が格段にスピードアップし、今回の可視化作業では手放せない存在になりました。
こうした便利なツールや周囲の知見をうまく借りながら、一つずつ丁寧に現状を紐解いていければと思っています。
