パブリッシュと管理

権限モデルの設計 — プロジェクト・ワークブック・ビューの階層管理

導入

全員が全てのレポートを見られるのは便利ですが、機密性の高い売上データや人事情報が意図せず閲覧されてしまうと困りますよね。DA試験固有の「パブリッシュと管理」ドメインでは、この「誰が何を操作できるか」を制御する権限モデルが重要なテーマになっています。

なぜ重要か

権限モデルはDA試験(Tableau Certified Data Analyst)の「パブリッシュと管理」ドメインで中核をなすテーマです。Desktop Specialistでは扱われないDA試験固有の内容で、サイトロール・プロジェクト階層・パーミッションルールの組み合わせを総合的に理解しているかが問われます。

実務でも組織内の機密性を守りつつ必要なユーザーには適切なアクセスを提供するために欠かせない知識で、誤った権限設定はコンプライアンス違反や情報漏洩に直結します。逆に権限を閉じすぎると分析が属人化し、Tableauを組織導入した意味が失われてしまいます。

この単元でサイトロール(Creator/Explorer/Viewer)・プロジェクトロック・パーミッションルールの優先順位を押さえておくと、次の「コンテンツガバナンス」「スケジュール/サブスクリプション」「埋め込み分析」と合わせて運用設計が一気に立体化します。

くわしく知ろう

Tableauの権限モデルは、サイト・プロジェクト・ワークブック・ビューという階層構造になっています。上位で設定した権限は下位に継承されるのが基本で、プロジェクトにロックをかけると配下のコンテンツはプロジェクトの権限設定に固定されます。

権限の割り当て先はユーザー個人またはグループです。グループを使うと、部門や役割ごとに権限をまとめて管理できるため、ユーザー数が多い組織での運用に向いています。各コンテンツには「パーミッションルール」として許可(Allow)・拒否(Deny)・未設定(None)の3段階で権限を定義します。

ビューに対する主な権限としては、閲覧(View)・フィルター操作(Filter)・コメント追加(Comment)などがあります。ワークブックに対しては、さらにウェブ上での編集(Web Edit)や上書き保存(Overwrite)、ダウンロード(Download)なども個別に制御できます。

サイトロールも権限と密接に関わります。Creator・Explorer・Viewerという3つのサイトロールは、ユーザーがサイト全体で行えるアクションの上限を定めるものです。たとえばViewerロールのユーザーは、プロジェクト権限でWeb Editを許可されていても実際には編集できません。サイトロールが「許容できる最大値」として機能する点が重要になっています。

具体例で理解する

たとえば「Finance」プロジェクトをロックし、Financeグループにのみ閲覧権限を付与すれば、他部門のユーザーはそのプロジェクト内のコンテンツを参照できなくなります。一方、全社共有の「Marketing」プロジェクトは権限を緩め、全Viewerに閲覧を許可するという使い分けが可能です。

試験での出題パターン

【パターン1:プロジェクトロックの動作を問う問題】

「プロジェクトにロックを設定した場合の動作として最も適切なものはどれか」という形式で、「配下コンテンツの権限がプロジェクト設定に固定される」を選ばせる問題が頻出します。「配下のワークブックが閲覧できなくなる」「データソースのみに権限が適用される」「オーナーだけが権限を変更できない」といった誤った選択肢に翻弄されないことが重要です。

【パターン2:サイトロールと個別権限の優先順位】

「Viewerサイトロールのユーザーに対しパーミッションルールでWeb Edit:Allowを設定した場合の結果はどれか」という問いで、「サイトロールが上限を決めるため編集できない」を選ばせる問題がDA試験頻出です。サイトロール=実行可能アクションの上限、パーミッションルール=個別コンテンツの細分制御という二層構造を理解できているかが問われます。

【パターン3:権限の値の理解】

Allow / Deny / None(未設定)の3段階や、階層継承の仕組みも出題対象です。グループ vs 個人の優先順位も問われることがあります。

よくある間違い・紛らわしいポイント

【サイトロールとパーミッションルールの優先関係の誤解】

×「パーミッションルールでAllowにすればサイトロールの制限を超えて操作できる」→○「サイトロールが上限を定め、パーミッションルールはその範囲内での細分制御」。Viewerで Web Edit を Allow にしても編集はできません。

【プロジェクトロック=アクセス不可という誤解】

×「プロジェクトをロックすると配下のワークブックを誰も閲覧できなくなる」→○「ロックは権限の固定であり、閲覧不可になるわけではない」。プロジェクトで付与された権限がそのまま適用される仕組みを理解しておきましょう。

【グループと個人の権限の関係を混同】

×「個人権限は常にグループ権限を上書きする」→○「DenyはAllowに優先する、いずれかでDenyがあれば拒否が効く」。個人とグループで同じアクションにAllowとDenyが混在する場合、Denyが最終的に効く仕組みを押さえておきましょう。

まとめ・試験ポイント

  • 権限の階層=サイト→プロジェクト→ワークブック→ビュー
  • プロジェクトロック=配下コンテンツの権限をプロジェクト設定に固定
  • 権限の値=Allow(許可)/Deny(拒否)/None(未設定)の3種類
  • サイトロール(Creator/Explorer/Viewer)が権限の上限を決める
  • グループ管理=部門・役割単位で権限をまとめて設定できる
  • 試験ではサイトロールと個別権限の優先順位が問われることがある

学習した内容を模擬試験で確認しよう。Tableau Data Analyst模擬試験で実力を測ろう。

Tableau DA模擬試験に挑戦