LMS365 は、サインインしたユーザーの名前でデータにアクセスすることができます。これを「権限の委譲」と呼びます。そのためには、データプロバイダーが提供するアクセススコープを使用します。LMS365が使用できるすべてのスコープは以下に記載の通りです。
このデータアクセスは、常にサインインしたユーザーに限定されます。決して、ELEARNINGFORCEの従業員がお客様のデータにアクセスできるわけではありません。また、Office 365で使用されているのと同じ認証インフラを使用しているため、お客様のデータは多要素認証を含むOffice 365のセキュリティフレームワークによって保護されます。実際のサインイン画面は、マイクロソフトが提供し、ホストしています。LMS365のサインインプロセスでは、Office 365にサインインした場合と同じサインイン画面とフローが表示されることがわかります。
つまり、ユーザーがLMS365内のデータにアクセスできるのは、Office 365の既存のアクセス権に基づいてアクセスできるデータのみです。これは、ユーザーがLMS365を介して他のユーザーのデータにアクセスできないことも意味します。また、以下に記載したスコープでは、ユーザーはOffice 365で閲覧を許可されているデータ以外は見ることはできないということです。例えば、SharePointの「Sites.Read.All」スコープは、ユーザーがSharePointでアクセス可能なSharePointデータの閲覧のみを許可します。データはSharePointによって管理されているため、ユーザーはSharePoint内のすべてのサイトにあるすべてのデータを見ることはできません。つまり、ユーザーがSharePointで提供される画面やLMS365アプリで提供される画面など、どのようなユーザーインターフェースを使用していても、ユーザーはSharePoint内でアクセスできるデータにしかアクセスできず、そのアクセスはOffice 365サインインインフラストラクチャによって管理されているため、Office 365テナントにアクセスしているユーザー以外はそのデータにアクセスすることはできません。
サインインとユーザープロファイルの読み込み
お客様のAzure ADを使用してユーザーがLMS365アプリにサインインし、サインインしたユーザーのプロフィールや基本的な会社情報をアプリが読み取ることを許可します。
すべてのユーザーの基本プロフィールの読み込み
LMS365では、どのアカウントでサインインしたかをユーザーに表示するために、表示名、姓名、メールアドレス、写真などの基本的なプロフィール情報を表示するための権限を必要とします。
ユーザーのファイルの読み込み
トレーニングコースやプランの中で使用されているドキュメントを受講者が読み込むことを許可します。例えば、ラーニングモジュールで使用されているドキュメントは、そのドメインのユーザーのみが利用できます。受講者がラーニングモジュールにアクセスすると、これらのドキュメントを読み込むための許可が与えられます。
すべてのサイトコレクションのアイテムとリストの読み書き
LMSおよびコース管理者が、ラーニングモジュールビルダー、クイズビルダー、課題で使用するドキュメントやメディアをSharePointにアップロードすることを許可します。
すべてのサイトコレクションのフルコントロール
Office 365 グローバル管理者が、LMS365 グローバルサイトコレクションから LMS365 コースカタログとその基盤となる SharePoint サイトコレクションを作成することを許可します。
外部ユーザを組織に招待する
コースカタログ管理者が外部ユーザをコースカタログに招待することを許可します。
重要:これは、以下の場合においてLMS365アプリケーション内でのみ動作します。
- グローバル管理者はAzure ADの外部コラボレーションを有効にします。外部コラボレーションの設定は、こちらB2B 外部コラボレーションを有効にしてゲストを招待できるユーザーを管理するをご参照ください。
- LMS365カタログを保持しているサイトコレクションでは、SharePoint Tenantの外部共有設定とサイトコレクションの外部共有設定を有効します。