Qlik無料Webセミナー 2020年12月17日【オンライン技術勉強会】Qlik Sense Enterprise on Windows 管理者向けトレーニング ３日目の資料です。セキュリティの概要編

1. Qlik Senseのセキュリティ
クリックテック・ジャパン株式会社
Qlik Senseサーバー管理者向けトレーニング
(3日目)​
中嶋 翔 , Solution Architect

2. 2

3. 3
• セキュリティ概要
• 認証
• 認可: ユーザー情報の取得
• 認可: リソースアクセス制御
• 認可: 管理者アクセス制御
• 動的データ削減(Section Access)
• (参考)ファイルシステムのアクセス制御
Agenda

4. セキュリティ概要

5. 5
セルフサービスBIにおけるガバナンスの重要性
セルフサービスBIの展開において、ビジネスに悪影響をもたらす不整合や管理上の問題を
防ぐために以下のような要素を含むガバナンスのもとに統制を行うことが重要です。

6. 6
Qlik Sense Enterpriseのセキュリティ概要
• プラットフォームの保護：Qlik Senseプラットフォーム自体の保護、通信および操作方法
• 認証(Authentication)：ユーザーの身元の確認を実施
• 認可(Authorization)：認証によって確認された利用者を識別して、アクセス権限の制御を
実施
 アクセス制御：
• ユーザー情報の取得 → リソースアクセス制御(どのアプリにアクセスできるか等）
• 管理者アクセス制御
 動的データ削減：
• 行・列レベルでのデータ セキュリティを実施（データレベルのアクセス制御）
Qlik Sense Enterprise on Windowsのセキュリティは、主に以下で構成されています。

7. 7
ユーザー
認証情報を取得
ユーザーの資格情報を確認
プロキシ(QPS)
セッションの作成
アクセス制御
セキュリティルール
ユーザーディレクトリコネクタ
動的データ削減
レポジトリ(QRS)エンジン(QES)
IDプロバイダ認証モジュール
セッションモジュール
認
証
認
可
ユーザーデータベース
Active Directory等
Active Directory,
LDAP, ODBC等
ユーザーディレクトリ
• Qlik Sense の全ての認証(QMCを含む)は、プロキシ (QPS) によって管理
• ユーザー認証はQlik Sense自身では行わず、 外部システムに問い合わせて認証処理が実施
 Qlik Sense と外部ID プロバイダー間の操作は、認証モジュールにより処理
セキュリティシステムのフロー

8. 認証

9. 10
Qlik Sense Enterpriseの認証方式
認証方式 利用方法 説明
Windows
ユーザー認証
標準機能 • Windowsのユーザー情報を利用して認証を行う、デフォルトで利用される認証方式
• NTLM認証、Kerberos認証、基本認証の利用をサポート
ヘッダー認証 標準機能
(要追加設定)
• リバースプロキシやユーザー認証用フィルタを提供するシングルサインオン(SSO)システム
• 認証をクリアしたユーザーIDをHTTPヘッダーに埋め込んでQlik Senseに渡し、そのユーザーでの
ログオンを許可する仕組み
SAML認証 標準機能
(要追加設定)
• SAML(Salesforce,ADFSなど)との連携を行う場合に利用
JWT認証 標準機能
(要追加設定)
• JWT(JSON Web Token)に対応するウェブアプリケーションなどとの連携を行う場合に利用
チケット認証 認証の仕組みを
要開発
• LDAP、Oauth(Facebook,Google,Salesforce)などを利用して認証を行いたい場合、もしくはこれ
らの認証方式を利用するWebサイトと連携を行いた場合に利用
• 他のウェブサイトで認証されたユーザーをQlik Senseでも認証済みと扱ってシステム連携を行う仕
組み
セッションAPI 認証の仕組みを
要開発
• ポータルサイト(Jboss, WebSphereを含むJavaポータルなど) との連携を行う場合に利用
• 他システムで生成されたセッション情報はQlik Senseに共有されユーザー認証を行う仕組み（チ
ケット認証と異なりセッション情報が他システムと共有され、ログオフ時には両システムからログ
オフされる）

10. 11
仮想プロキシによる複数認証方式への対応
• プロキシ (QPS) は、Qlik Sense サイトの認証、セッション ハンドリング、負荷分散を管理
• 仮想プロキシを利用することで、複数の認証方式に対応することが可能です
プロキシ
エンジン
スケジューラー レポジトリ
中央プロキシ 仮想プロキシ１ 仮想プロキシ2
http://<QPS>/hub
(Windows認証)
http://<QPS>/hdr/hub
(ヘッダー認証)
http://<QPS>/custom/hub
(チケット認証)

11. 12
ヘッダー認証のフロー
① ユーザーはシステムにアクセスし、リバースプロキシに対し認
証を要求。
② リバースプロキシは、定義済みHTTPヘッダーにユーザー名を
挿入。Qlik Sense Proxy Service(QPS)への要求にはすべて、
ヘッダーが含まれている必要があります。
③ ユーザー認証が完了。
プロキシ(QPS)
ユーザー
リバースプロキシ
/
フィルタ
ユーザー認証完了
①
②
③

12. 13
チケット認証のフロー
① ユーザーは、Qlik Senseにアクセス
② Qlik Senseは、ユーザー(ユーザーIDおよび資格情報を含
む)を認証モジュールにリダイレクト。認証モジュールは、
IDプロバイダーを利用してユーザーIDおよび資格情報を
検証。
③ 資格情報が確認されたら、QPSからチケットを要求。
④ 認証モジュールがチケットを受領。
⑤ チケットを使用して、QPSにユーザーをリダイレクト。
QPSは、チケットが有効でタイムアウトになっていない
かを確認。
⑥ ユーザー用のセッションが作成。
⑦ ユーザー認証が完了。
プロキシ(QPS)
ユーザー
ユーザー認証完了
①
認証モジュール
セッションモジュール
⑦
⑥
⑤
②
④
③

13. DEMO
・SFDCを使用したSAML認証
・ヘッダー認証

14. 16
SAML認証 認証の流れ
出展: 技術ブログQlikSpace:SAMLを使ったQlik SenseとSFDCの連携
※デモではSalesforceの開発者アカウントを利用しています。資料中は開発者アカウントの取得手順を省略しています。詳細手順
については出展のQlikSpace記事を参照ください。

15. 17
SAML認証 設定の流れ
出展: 技術ブログQlikSpace:SAMLを使ったQlik SenseとSFDCの連携
• Salesforceの開発者アカウントの取得（省略）
• QMC上で仮想プロキシの作成
• Salesforce上でドメインの追加
• Salesforce上で接続アプリケーションとしてQlik Senseを登録
• Salesforce上でIdPメタデータをダウンロード
• QMC上でIdPメタデータをアップロード
※デモではSalesforceの開発者アカウントを利用しています。資料中は開発者アカウントの取得手順を省略しています。詳細手順
については出展のQlikSpace記事を参照ください。

16. 18
SAML認証 QMCでVirtual Proxyの作成
SAML認証に対応する新たな仮想プロキシを作成します。Qlik SenseのQMCを開き、[CONFIGURE
SYSTEM]>[Proxies]を選択します。

17. 19
SAML認証 QMCでVirtual Proxyの作成
設定するプロキシノード(この例では[Central])を選択し、[Edit]をクリックします。

18. 20
SAML認証 QMCでVirtual Proxyの作成
右側のAssociated itemsの[Virtual proxies]のタブを開いて[Add]>[Create new]をクリックします。

19. 21
タブ 項目 設定内容
IDENTIFICATION Description Salesforce.com
Prefix sfdc
Session cookie header name X-Qlik-Session-sfdc
AUTHENTICATION Authentication method SAML
SAML host URI Qlik Sense ServerのFQDN (Fully Qualified Domain Name)を入力します。この設定がIdPのACS
URLもしくはAssertionConsumerServer URLとして利用されます。Qlik Sense側でここで入力した
値にポート番号、仮想プロキシ、/samlauthn/を付加します。
入力例) https://demo.qliktech.com
※最後尾に「/」(スラッシュ)や仮想プロキシの値を付加しないように注意して下さい。
SAML entity ID Service Provider (SP)を識別する一意のIDを入力します。グッドプラクティスとして、ホストURI
+ 仮想プロキシ + spを入力することが推奨されます。
入力例) https://demo.qliktech.com/sfdc/sp
※最後尾に「/」(スラッシュ)を付加しないように注意して下さい。
SAML attribute for user ID Dummy
※SAMLでユーザーIDとして扱われるSAML attributeを設定します。この時点では「Dummy」を入
力します。
SAML attribute for user
directory
[SFDC]
※ SAML認証されたユーザーのQlik Sense User Directoryの値を入力します。ここでは[SFDC]を指
定します。
LOAD BALANCING Load balancing nodes ロードバランシングノードとしてサーバーノードを追加します。（この例ではCentral nodeを追加）
ADVANCED Host allow list Qlik Senseへのアクセス時に利用するURL, IPアドレス, FQDNを追加します。
SAML認証 QMCでVirtual Proxyの作成
Create associated virtual proxyの画面で、以下の設定を実施して[Apply]します。

20. 22
SAML認証 QMCでVirtual Proxyの作成
前項画面イメージ

21. 23
SAML認証 Salesforceでドメインを追加
[設定]の画面から[管理]>[ドメイン管理]>[私のドメイン]を選択します。
※SalesforceのLightning ExperienceのUIでも設定可能です。Lightning Experienceでは[会社の設定]>[私のドメイン]となります。

22. 24
SAML認証 Salesforceでドメインを追加
SalesforceをSAML Identity Provider (IdP)として利用するためにはドメイン名を登録する必要があ
ります。任意のドメイン名を指定して「使用可能か調べる」ボタンをクリックし、指定したドメイン
が利用可能か確認します。契約条件の同意にチェックをして「ドメインの登録」ボタンをクリックし
ます。ドメインの登録に数分かかります。

23. 25
SAML認証 Salesforceでドメインを追加
ドメイン登録完了後、[設定]の画面から[管理]>[ドメイン管理]>[IDプロバイダ]を選択し「IDプロバ
イダを有効化」のボタンをクリックします。（ドメインの登録が完了しないとこのボタンは表示され
ません。）
※Lightning Experienceでは[ID]>[IDプロバイダ]となります。

24. 26
SAML認証 Salesforceでドメインを追加
既に作成済みの証明書を選択したまま「保存」をクリックします。

25. 27
SAML認証 Salesforceでドメインを追加
IDプロバイダの有効化の完了

26. 28
SAML認証 接続アプリケーションの作成
引き続きSFDCで[設定]の画面から[ビルド]>[作成]>[アプリケーション]を選択し、「接続アプリ
ケーション」の「新規」ボタンをクリックします。
※Lightning Experienceでは[アプリケーション]>[アプリケーションマネージャ]に[新規接続アプリケーション]ボタンがありますのでそちらから作成します。

27. 29
SAML認証 接続アプリケーションの作成
以下を入力し、「保存」をクリックします。
タブ 項目 設定内容
基本情報 新規アプリケーション名 QlikSense
API参照名 QlikSense
取引先責任者メール 登録メールアドレス
Webアプリケー
ション設定
開始URL Qlik Senseの仮想プロキシを介したハブへのアクセスURLを入力
入力例) https://demo.qliktech.com/sfdc/hub
SAMLの有効化 チェック
Entity ID QMC上で設定したSAML Entity IDを入力
入力例) https://demo.qliktech.com/sfdc/sp
ACS URL 仮想プロキシに/samlauthn/を付加したURLを指定
入力例) https://demo.qliktech.com/sfdc/samlauthn/

28. 30
SAML認証 接続アプリケーションの作成
前項画面イメージ

29. 31
SAML認証 接続アプリケーションの作成
「プロファイル」の「プロファイルを管理する」をクリックします。

30. 32
SAML認証 接続アプリケーションの作成
このアプリケーションへアクセスを許可するユーザーを指定します。ここでは「Force.com – Free
User」と「システム管理者」をチェックして「保存」をクリックします。

31. 33
SAML認証 接続アプリケーションの作成
「メタデータのダウンロード」をクリックし、メタデータのファイルをローカルPC上に保存します。

32. 34
SAML認証 Qlik SenseへのIdPメタデータの追加
QMCの画面に戻り、作成した仮想プロキシ[Virtual proxy]の設定画面を開いて「SAML Metadata
IdP」の「ファイルを選択」ボタンをクリックしてダウンロードしたIdPメタデータのファイルを指定
し、「Apply」をクリックします。

33. 35
SAML認証 Qlik SenseへのIdPメタデータの追加
作成した仮想プロキシ(https://<サーバ名>/sfdc/hub)を経由してQlik Senseハブにアクセスします
と、Salesforceのログイン画面にリダイレクトされます。SFDCにログインすると、Qlik Senseにリ
ダイレクトされますが、ここではSAML attribute for user IDがDummyになっているためログイン
に失敗します。

34. 36
SAML認証 Qlik SenseへのIdPメタデータの追加
サーバーにアクセスし、以下のログファイルを開きます。
c:ProgramDataQlikSenseLogProxyTrace<hostname>_Audit_Proxy.txt
ログファイルの中から、以下の様なメッセージが表示されている行を確認します。このログのメッ
セージから、SalesforceからSAML認証によるQlik Senseに渡されている属性を確認することができま
す。ここでは「username」の属性をユーザーIDとして利用します。
Existing SAML attributes: [Name=’userId’, Value=’0052800000162re’] [Name=’username’,
Value=’user@qlikdemo.com’] [Name=’email’, Value=’qlikspace@gmail.com’] [Name=’is_portal_user’,
Value=’false’]

35. 37
SAML認証 Qlik SenseへのIdPメタデータの追加
QMCの画面に戻り、作成した仮想プロキシの設定画面を開いて「SAML attribute for user ID」を
「username」に変更し、「Apply」をクリックします。
再度ログオンし、正しくアクセスできることを確認します。※ログインユーザーにライセンスが付
与されていることも確認ください。

36. 38
ヘッダー認証
QMCで[CONFIGURE SYSTEM]>[Virtual proxies]を選択します。
出展：Example: Configuring header authentication

37. 39
ヘッダー認証
[Create new]で新規仮想プロキシを作成します。

38. 40
ヘッダー認証
以下を参考に[Edit virtual proxy]の設定を行い、[Apply]します。
作成した仮想プロキシ経由でQlik Senseにアクセスし、挿入されたヘッダー情報でログインができるか確認します。
※デモではMod Headerでヘッダー情報を挿入しています。

39. 認可：ユーザー情報の取得

40. 42
ユーザーディレクトリコネクタ(UDC)による
ユーザー情報取得
ユーザーディレクトリ
コネクタ
Active
Directory
LDAP ODBC
① Qlikの管理コンソール上でユーザー同期タスクをスケジュール実行
③ Qlik Sense内でユーザー管理
② 外部ユーザーディレクトリより
ユーザー情報を取得
外部ディレクトリ サービスに接続してユーザーID、所属グループなどのユーザー情報
をQlik Sense側に読込み、そのユーザー情報を利用してQlik Sense上でアクセス許可
などの設定を行います。

41. 44
UDCの種類
認証タイプ 説明
Generic LDAP
汎用 LDAP用のディレクトリコネクタ
Advanced LDAP
高度なLDAP用のディレクトリコネクタ
Active Directory Active Directory用のディレクトリコネクタ
Apache Directory Search Apache Directory用のディレクトリコネクタ
ODBC 汎用のODBCデータソース用のディレクトリコネクタ
Access (via ODBC) Microsoft Access用のディレクトリコネクタ
Excel (via ODBC) Microsoft Excel用のディレクトリコネクタ
SQL (via ODBC) Microsoft SQL Server用のディレクトリコネクタ
Teradata (via ODBC) Teradata用のディレクトリコネクタ
• Qlik Senseではデフォルトで以下のUDCを提供しています。

42. 45
ユーザー情報の同期方法： 全同期
• ユーザーディレクトリの全ユーザー情報をQlik Sense側に同期
• ユーザー数が少ない場合やディレクトリ内のほとんどのユーザーがQlik Senseを利用する場合に有効な方法
• メリット: Qlik Sense側に取り込むユーザーの範
囲を絞るなどの管理上の手間がかからない
• デメリット: ユーザー情報が多くなるめ、ノード
間のユーザー情報同期に時間・負荷がかかる
[画面へのアクセスパス] Start > User directory connectors

43. 46
ユーザー情報の同期方法： 選択的同期
• ディレクトリ内のユーザー情報を範囲を絞ってQlik Sense側に同期
• Qlik Senseを利用するユーザーの範囲が限られている場合に有効な方法
• メリット: Qlik Senseで管理するユーザー数が限
られ、管理性が優れる。また、ノード間のユー
ザー情報同期に要するシステムリソースや時間が
少なくて済む
• デメリット: 同期対象を絞るためにディレクトリ
側でユーザーのグループ管理などが必要となる
[画面へのアクセスパス] Start > User directory connectors

44. 47
ユーザー情報の同期方法： 累進的同期
• Qlik Sense Enterpriseユーザーが認証をクリアすると、ユーザーデータベースにユーザー情報が存在しない場合に
はユーザー情報が自動的に追加されます。これらのユーザーのみをQlik Sense Enterprise側へ同期
• 不特定多数のユーザーがQlik Senseを利用する場合に有効な方法
• メリット: 不特定多数のユーザーの内、
システム利用ユーザーのみを同期の対象
とし、ユーザー管理の手間が省ける
• デメリット: ユーザーが属するグループ
情報などはディレクトリ側に同期される
まで利用できずタイムラグが発生する。
また長期的には、現在はシステムを利用
していない古いユーザー情報を削除する
作業が必要となる
[画面へのアクセスパス] Start > User directory connectors

45. 48
同期方法の選択基準
ユーザー数が少ない
全ユーザーのほとんどがQlik Senseを利用す
る
Qlik Senseの利用ユーザー範囲が定義されて
いる
不特定多数のユーザーがQlik Senseを利用す
る
全同期
全同期
選択的同期
累進的同期

46. 49
ユーザー同期タスク
• ユーザーディレクトリ コネクタ (UDC) の新しいインスタンスを作成すると、既定でスケジュール済みのユーザー同期
タスクが作成されます。
• 適宜、ユーザー同期タスクの既定のトリガーを変更したり、トリガーを追加できます。
[画面へのアクセスパス] Start > Tasks

47. 認可: リソースアクセス
制御

48. 51
認可: 属性ベース・アクセス制御(ABAC)の提供
• 属性ベースのアクセス制御（ABAC=Attribute Based
Access Control)の採用
• ルールにより、例えば以下の様な制御が可能
 あるグループのみにアプリやストリームの利用を許可
 特定のユーザーのみにデータのエクスポートを許可
 グループ内の管理者ユーザーに、アプリの公開作業を許
可
• 企業のセキュリティ要件に合わせたカスタマイズが可
能
• ロール/グループ定義数の増大を防ぎ、管理性を向上
リソース
環境
ユーザー
アクション
セキュリティルール
の条件
許可
拒否
Qlik Sense ではセキュリティルールを設定することで、どういったユーザーがどのようなリソースに対
し、どのようなアクションを行うことができるかを制御することができます。

49. 52
「包含」によるセキュリティルール評価
• セキュリティルールに従ってアクセス要求が評価され、
ルールの内の一つが「True」となる場合にアクセス
を許可
• 明示的にアクセス許可されない場合、暗示的に拒否さ
れる
• 明示的にユーザーアクセスを拒否するルールの作成は
行えない
所有権は特定ユーザーにより所有
• リソース(アプリ、シート、ストーリー)はある特定の一
人のユーザーによって所有される
• リソースは公開されるまでは、所有者のみが扱うことが
可能
• 所有者はセキュリティルール設定に関わらず、常に自分
のアプリにアクセスが可能
• 公開後も所有権は保持されるが、アプリ、シート、ス
トーリーは読み取りのみ可能となる
リソースアクセス制御の考え方

50. 53
ルールによる柔軟なロールの作成
• ストリーム
• アプリ
• アプリ・オブジェクト
• データ接続
• エクステンション
• タスク
• システムルール
• カスタムプロパティ
• コンテンツライブラリー
リソース環境ユーザー アクション
• ブラウザ
• デバイス
• OS
• IP
• リクエストタイプ
• ユーザー名
• ユーザーID
• ユーザーディレクトリ
• グループ
• 作成
• 読み取り
• 更新
• 削除
• 公開
• 所有権変更
• エクスポート
誰が どの環境で
どのリソースに
対して
どのアクションを行え
るか＋ ＋ ＋
ロールの作成例：
• 開発者ロール：アプリ、シート、ストーリー、データ接続などを開発・作成できるロール
• ヘビーユーザーロール：公開されたアプリの参照や、アプリに対してシートやストーリーの
追加を行えるロール
• 参照者ロール：公開されたアプリ等の参照のみを行えるロール
Qlik Senseではユーザー、環境、リソース、アクションの組み合わせで柔軟な
ロール作成やセキュリティ制御が行えます。

51. 55
Allow the [ユーザー] to do [アクション] on the [リソース] provided [条件]
ルールを使用したアクセスの評価
(条件 が満たされた時、 リソース に対して アクション を実行することを ユーザー に許可する)
Allow the user to do [読み取り] on the [Financeストリーム] provided [group=finance]
例）財務部(groupがfinance)のユーザーに対して、「Financeストリーム」の読み取り権限を付与する。
• ルールは以下のようなセンテンスの形式で理解することができます。

52. 56
Allow the user to do [読み取り] on the [Financeストリーム] provided [group=finance]
アクセス制御の流れ
ユーザー
name = MyName
userid = mn
group = sales
リソース
name = Finance
resourcetype = Stream
アクション
読み取り
リクエスト
プロパティ
ルールエンジン
該当するルールを識別
action = 読み取り
resource = Finance
resourcetype = stream
group = sales
action = 読み取り
resource = Finance
resourcetype = stream
group = finance
☑
☑
☑
×
×
ア
ク
セ
ス
拒
否

53. 57
セキュリティルールの作成
• セキュリティルールは以下の形式で作成することができます。
対象となるリソースを指定
ユーザーや環境のプロパティ
を条件として指定
権限を付与するアクション
を指定
[画面へのアクセスパス] Start > Security rules

54. 58
カスタムプロパティ
• Qlik Senseでは以下の2種類のプロパティを利用することが出来ます：
 インポートされたプロパティ(読み取り専用)
 カスタムプロパティ(QMCで定義)
ユーザーディレクトリ側での設定
QMCでのカスタムプロパティ設定
インポート
 user.group=“Finance”の
形式で利用
 user.@UserType=“Developer”
(アットマークを付加)の形式で利用
[画面へのアクセスパス] Start > Custom properties

55. 59
アプリに対するアクセス制御：グループ単位でのアクセス制御
Qlik Sense内でのグループ管理
• カスタムプロパティを利用したセキュリティルールを
利用
• Qlik SenseのQMC上で、カスタムプロパティをユー
ザーに設定
• セキュリティルールは以下の様な形で定義：
• Resource.@org=user.@org
Qlik Sense外でのグループ管理
• ユーザーディレクトリの属性・グループ定義を利用
• ユーザーディレクトリ側でユーザーのグループ等を管理
• セキュリティルールは以下の様な形で定義：
• Resource.stream.name=”Sales” and
user.group=”Sales”
ユーザーディレクトリ Qlik Sense
Finance
Marketing
Sales
Finance
Marketing
Sales
Finance
Marketing
Sales
Finance
Marketing
Sales
Finance
Marketing
Sales
ストリームにグループに対するセキュリティルールの設定を行うことにより、以下の様な形でアクセス制御を
行うことができます。

56. 61
監査
• QMC 監査ページでは、Qlik Sense システムで定義されたセキュリティや同期のルールのクエリや監査を実行できます。
[画面へのアクセスパス] Start > Audit

57. 62
監査ログの確認
参照: https://help.qlik.com/en-US/sense/June2018/Subsystems/Monitoring/Content/OperationsMonitor/QMC-
changes.htm
QMC(管理コンソール)上でのオペレーション (QMC Change Log)
参照: https://help.qlik.com/en-US/sense/June2018/Subsystems/Troubleshooting-Qlik-Sense-using-
logs/Content/ServerLogTroubleshoot/ServerLogTroubleshoot-Using-Logs.htm
接続ユーザーのオペレーションのログ (Log Details)
標準ツールのOperations Monitor上で各種のログを参照可能です。
いつ、どの管理者が、どのリソースに
対して、何を行ったかを検索・表示
証明書をエクスポート
新規アプリ作成
シートオブジェクト等の削除
ユーザー情報更新
アプリの削除
いつ、どの管理者が、どのリソースに
対して、何を行ったかを検索・表示
ユーザーからの接続オープン
アプリ接続要求・権限確認
アプリオープン

58. 認可: 管理者アクセス制御

59. 64
既定の管理者ロール
プロパティ 説明
RootAdmin インストール時に作成され、QMCに有効なライセンス
キーを最初に入力したユーザーに、自動的に割り当て
られます。RootAdminは、Qlik Sense のすべてのリ
ソースへのフルアクセス権を有します。
AuditAdmin すべてのリソースへの読み取りアクセス権を有し、ア
クセスの監査権を有効にします。
ContentAdmin ノード、エンジン、リポジトリ、スケジューラおよび
同期を除くすべてのリソースを作成、読み取り、更新
および削除する権利を有します。
DeploymentAd
min
アプリ、タスク、ライセンス、ノード、リポジトリ、
スケジューラ、プロキシおよびエンジンを作成、読み
取り、更新および削除する権利を有します。
SecurityAdmin ContentAdmin同様、プロキシの作成、読み取り、更
新および削除の権利を有しますが、タスクへのアクセ
ス権はありません。
Security
Admin
Deploy
ment
Admin
Content
Admin
Audit
Admi
n
RootAdmin
管理者ロールとして規定で以下のロールが定義されており、カスタマイズも可能です。

60. 65
既定の管理者ロールの管理可能範囲
MC SecurityAdmin DeploymentAdmin ContentAdmin AuditAdmin
ストリーム x x
アプリ x x x
アプリ オブジェクト x x
コンテンツ ライブラリ x
データ接続 x x
拡張機能 x
タグ x x x x
監査 x x x
ノード x
エンジン x
プロキシ x x
リポジトリ x
スケジューラ x
タスク x x
タスクのリロード x
ユーザー同期タスク x
トリガー x
ライセンスとトークン x
ユーザー x x x
ユーザー ディレクトリ コネ
クタ
x
セキュリティ ルール x
同期ルール x
カスタム プロパティ x x x
証明書 x x

61. DEMO
ストリーム、アプリレベルのアクセ
ス制御

62. 67
デモ内容
セキュリティルールとカスタムプロパティを活用して、所属部署や役職によってストリームレベル、
アプリレベルのアクセス権限を制御します。
部門
デモでは省略
Manager Staff
Sales Manager Sales Rep
Marketing
Manager
Sales
Marketing
役職
「アプリ」レベルでアクセス制御
• Sales Managerのみが閲覧可能なアプリ「sales_mgr」
• Sales ManagerとSales Rep両方が閲覧可能なアプリ「sales_all(mgr, rep) 」
「ストリーム」レベルでアクセス制御
• Sales部門のみアクセス可能な
「Sales」ストリーム
• Marketing部門のみアクセス可能な
「Marketing」ストリーム

63. 68
QMCでUsersとStreamsの設定
Users Stream
s
以下のユーザーとストリームを作成します。ユーザーにはライセンスを適用し、Qlik Senseへアクセ
スできるようにしておきます。ストリームのセキュリティルールなどは別途設定します。

64. 69
ストリームにアプリを公開
SalesとMarketingのストリームへ以下のアプリを公開しています。

65. 70
Custom propertyの作成
QMCで[MANAGE RESOURCE]>[Custom properties]を選択します。続いて[Create new]を選択し
ます。

66. 71
Department(部門)プロパティを作成
Custom propertyの作成

67. 72
Position(役職)プロパティを作成
Custom propertyの作成

68. 73
QMCトップ画面から[Streams]>[Marketing]と遷移し、図の通りカスタムプロパティを設定します。
ストリームへカスタムプロパティを設定

69. 74
Associated itemsの「Security rules」をクリックしてこのストリームに紐づくセキュリティルール
の一覧を表示させ、このストリームのセキュリティルール(標準では「Security rule for access to
“ストリーム名”」となっています)をダブルクリックして開きます。
ストリームへカスタムプロパティを設定

70. 75
「user@Department = #Stream.@Department」のルールを設定し、「Apply」をクリックして
セキュリティルールとストリームの編集を完了します。このルールの設定により、ストリームに設定
されている「Department」のカスタムプロパティの値と同じ値が設定されているユーザーはこのス
トリームに対してアクセスすることができます。
ストリームへカスタムプロパティを設定

71. 76
同様に、Salesストリームの編集画面でSalesプロパティの適用と、セキュリティルールの設定を実施
します。
ストリームへカスタムプロパティを設定

72. 77
QMCトップ画面から[Users]>[SalesManager]と遷移し、図の通りカスタムプロパティを設定します。
ユーザーへカスタムプロパティを設定

73. 78
その他のユーザーに関してもそれぞれカスタムプロパティを設定します。
ユーザーへカスタムプロパティを設定

74. 79
QMCトップ画面から[Apps]>[sales_mgr]と遷移し、図の通りカスタムプロパティを設定します。
アプリへカスタムプロパティを設定

75. 80
その他のアプリに関してもそれぞれカスタムプロパティを設定します。
アプリへカスタムプロパティを設定

76. 81
QMCのトップ画面から「Security rules」を選択し、セキュリティルールの一覧から「Stream」のセ
キュリティルールをダブルクリックして編集画面を開きます。Edit security ruleで[Disabled]に
チェックを入れ、[Apply]します。
既存セキュリティルールの無効化

77. 82
セキュリティルールの一覧画面に戻り「Create new」をクリックします。
新規セキュリティルールの作成

78. 83
以下を入力して「Apply」をクリックし、「_ModStream」という名称で新たなルールを作成します。
このルールの設定により、アプリに設定されている「Position」のカスタムプロパティの値と同じ値
が設定されているユーザーはこのアプリに対してアクセスすることができます。
新規セキュリティルールの作成
プロパティ 設定内容
Name _ModStream
Resouce filter App*
Actions Read
Advanced
Conditions
(resource.resourcetype = "App" and
resource.stream.HasPrivilege("read") and
(resource.@Position.empty() or
resource.@Position=user.@Position)) or
((resource.resourcetype = "App.Object" and
resource.published ="true" and resource.objectType
!= "app_appscript" and resource.objectType !=
"loadmodel") and
resource.app.stream.HasPrivilege("read"))
Context Both in hub and QMC
※ここでは、resource.@Position.empty()の指定が入っており、アプリのCustom Propertyの「Position」に
指定がない場合はストリームにアクセスできるユーザー全員が参照可能となります。

79. 動的データ削減
(Section Access)

80. 85
様々な階層でのアクセス制御
ストリーム、アプリファイル、データ(行/列)など各レベルでアクセス制御が可能です。
データレベル(行・
列)
ストリームレベル / アプリファイルレベ
ル
社員情報
社員名
部署名
連絡先
給与
等級
顧客分析用
ドキュメント
販売分析用
ドキュメン
ト
人事管理用アプリ
支社 顧客 売上
東京 A 1000
東京 B 2000
大阪 C 1500
大阪 D 3000
人事ストリーム
営業ストリーム
列レベル
行レベル

81. 86
データ(行/列)に対するアクセス許可
Section Access(データ削減)はユーザーが閲覧できるデータを動的に変更する方法です。
ユーザー
認可認証
ユーザー
A
ユーザー
B
ユーザー
C
ユーザー
D
データ
A
データ
B
データ
C
全データ
ログオン

82. 87
データ(行/列)に対するアクセス許可の設定
ACCESS USERID 支店名 OMIT
USER User1 支店A
USER User1 支店B
USER User2 支店C
USER User3 支店C 営業部
アクセス範囲をテーブルで管理：
User1: 支店Aと支店Bのデータ
User2: 支店Cのデータ
User3: 支店Cの営業部の列を除くデータ
ユーザー毎のアクセス可能な行・列をテーブルで管理
アプリに取り込み
User1
User2
User3
支店Aと支店Bのデータ
支店Cのデータ
支店Cの営業部の列を除くデータ

83. 88
Section Accessの定義方法
• Section Accessテーブルを定義するスクリプトは、「Section Access」で開始する必要があります。
• アプリのデータロードを定義するスクリプトは「Section Application」で開始されるセクション内に配置する必
要があります。
Section Access;
LOAD * inline
[ACCESS,USERID
USER, A
USER,B ];
Section Application;
LOAD... ... from... ...

84. 89
Section Accessテーブルの項目
項目名 内容
ACCESS 対応するユーザーに与えられるアクセス権限を定義。
ADMIN、USERのどちらかの値をとります。
USERID Qlik Sense ユーザー名に対応する文字列を「UDUID」の
形式で指定
GROUP Qlik Senseのユーザー属性として設定されたグループ名を
指定
OMIT ユーザーもしくはグループに対して利用不可とする列名
を指定(列制御)
（項目名） データモデルに含まれる項目名に対して、ユーザーもし
くはグループに対して利用可能な値を指定(行制御)
section access;
LOAD * inline [
ACCESS, USERID,REDUCTION, OMIT
USER, AD_DOMAINADMIN,*,
USER, AD_DOMAINA,1,
USER, AD_DOMAINB, 2,NUM
USER, AD_DOMAINC, 3, ALPHA
];
section application;
T1:
LOAD *,
NUM AS REDUCTION;
LOAD
Chr( RecNo()+ord(‘A’)-1) AS ALPHA,
RecNo() AS NUM
AUTOGENERATE 3;
• Section Accessテーブルでは以下の項目を利用することが出来ます。

85. 90
Section Accessの設定例
Section Access;
Load * Inline [
ACCESS,USERID,支店名,OMIT
USER,WIN-H1VKAV90G6Asense_system,,
USER,XLryoke,関東支店,
USER,XLasakura,中部支店,
USER,XLasakura,関西支店,
USER,XLakagi,九州支店,営業員名
];
Section Application;
LOAD
支店コード,
営業所コード,
従業員コード AS 営業員コード,
支店名,
営業所名,
営業員名
FROM [lib://Sales Analysis (win-
h1vkav90g6a_sense_system)/営業担当マスタ.xls]
(biff, embedded labels, table is 営業担当マスタ$);
・
・
・
XLryoke = 関東支店のみ
XLasakura = 中部支店、関西支店のみ
XLakagi = 九州支店のみ(「営業員名」列参照不可)
sense_system = 全データ参照可能

86. 91
Section Accessの注意点
• Section Accessの機能はQlik Sense Enterpriseのみで提供されます。
• Section Accessを利用したアプリケーションはQlik Sense Desktopでは開くことが出来ません。
• (データが英語などの場合)Section Accessテーブル内の項目名と値はデフォルトで大文字に変換されます。よって、
Section Accessテーブルと照合される実データ側の項目名と値を明示的に大文字に変換する必要があります。(e.g.
Upper()関数)
• Section Accessを利用するアプリでは、Section Accessテーブル内で利用されるシステム項目名(ACCESS,
USERIDなど)を実データの項目名として使用できません。
• QMCタスクでアプリをスケジュールリロードさせたい場合は、Section AccessテーブルにADMIN権限で
INTERNALSA_SCHEDULERを追加してください。
• ODAGのテンプレートアプリでSection Accessを使用する場合は、Section AccessテーブルにADMIN権限で
INTERNALSA_APIを追加してください。
• バイナリロードを使用すると新しいQlik Senseアプリにアクセス制限が継承されます。
• OMITはキー項目に使用しないでください。省略されたキー項目はデータモデルビューアに表示されますが、分析で
は使用できないのでユーザーを混乱させる可能性があります。さらに、ビジュアライゼーションで使用されるキー項
目にOMITを適用すると、省略された項目へのアクセス権を持っていないユーザーにはビジュアライゼーションが不
完全なものになります。

87. 92
Section Accessの注意点
• QVF(分析アプリのファイル)自体にセキュリティが組み込まれるので、ダウンロードしたファイルもある程度は保護
されます。しかし、徹底的なセキュリティ対策を講じるには、ファイルのダウンロードやオフライン使用を防止する
必要があります。
• アプリをストリームへ公開する際、Section Accessを効かせたAttached filesも公開されるアプリに含まれます。公
開されたアプリが複製されたときAttached Filesも複製されますが、その際、Section Accessを効かせる前の全デー
タが含まれます。このことから、アプリの公開前には当該Attached Filesを除くことを推奨します。
• ストーリーテリングに使用するスナップショットは、スナップショットを作成したユーザーの閲覧権限で画像として
保存されます。一方で、ストーリーテリングからシートに移動してアプリのデータを分析するときは、シートを開い
ているユーザーの権限でデータが表示されます。
• マスターアイテム軸に色を適用しないことを推奨します。色の設定によって、閲覧制限がかかっているデータを判別
できてしまう可能性があります。
• QlikViewで提供されていた以下のドキュメントプロパティ項目は提供されていません。既定で以下の設定となって
います。
 Section Accessによる初期データ削除：ON
 Section Accessによる初期データ選択: OFF
 強制削除: ON
• アプリから自分がロックアウトされた場合、データなしでアプリを開き、ロードスクリプトでSection Accessを編
集することができます。(データロードスクリプトの編集およびリロードにアクセスできる必要があります。)

88. DEMO
Section Accessによる
行・列データ制御

89. 94
Section Accessデモ
sales_all(mgr, rep)アプリには店舗別、営業担当者別の売上データが含まれています。以下のように、
Sales Managerは全データアクセス可とする一方で、Sales Repは自店舗(ここでは、恵比寿店)の
データのみ閲覧可能とし、かつ、営業担当者レベルのデータを閲覧不可にします。
Sales
Manager
Sales Rep
(恵比寿店担当) 恵比寿店
営業担当者レベルの
データはアクセス不可
恵比寿店以外の店舗データ
にはアクセス不可

90. 95
Section Accessテーブルの設定
以下のエクセルテーブルをSection Accessテーブルとして準備し、sales_all(mgr, rep)アプリのロー
ドスクリプトから読み込みます。
OMIT:列レベルアクセス制御
SALESREPユーザのみ、「営業担当者名」という項目を除
外します。他のユーザは全項目を閲覧できるよう「(空)」
を指定しています。
店舗名:行レベルアクセス制御
「店舗名」項目から各ユーザが閲覧できる値を指定します。
他のユーザは全5店舗のデータを閲覧できる一方で、
SALESREPは恵比寿店のみ閲覧できます。
※テーブルに記載のない値はアプリから除外されるため、あ
るユーザが全ての値を閲覧できるようにするには明示的に全
ての値を記載する必要があります。ここでは
INTERNALSA_SCHEDULERに対して5店舗(5行)記述し、
他のVAGRANTやSALESMANAGERには*(ワイルドカード)
を設定しています。ワイルドカードは、Section Accessテー
ブル内の同じ項目にあるすべての値として解釈されるため、
ここではSA_SCHEDULERで指定した5店舗を指します）
Section Accessテーブル
ロードスクリプト

91. 96
Section Accessの動作確認
Sales ManagerとSales Repでそれぞれアクセスし、データの閲覧可能範囲を確認します。
Sales
Manager
Sales Rep
(恵比寿店担当) 恵比寿店
営業担当者レベルの
データはアクセス不可
恵比寿店以外の店舗データ
にはアクセス不可

92. (参考)
ファイルシステムの
アクセス制御

93. 98
• セキュリティ上の理由から、Qlik Sense の標準モードでは、ファイルシステムを露呈する恐れのある関数、変数
に含まれる絶対パスや相対パスはロードスクリプトでサポートされていません。
• QlikView ではこうした絶対パスや相対パスがサポートされていますが、QlikView ロードスクリプトを再利用する
ために、標準モードを無効にして、レガシーモードを使用することができます。
標準モードとレガシーモード
標準モード レガシーモード
• データは「lib, lib connect」文のみでロード、
かつ保存が可能
• セキュリティ上リスクのあるシステム変数や
関数は無効化
• ファイルの絶対パスや相対パスなどを利用する
QlikView v11のロードスクリプトを利用可能
• 標準モードを無効にすると、ファイルシステムが露呈
するためセキュリティリスクが生じる

94. 99
標準モード・レガシーモードの設定切り替え
QMCのEnginesのプロパティから標準モードとレガシーモードの設定切り替えを行い、エ
ンジンサービスの再起動によりモードの切り替えが可能です。
[画面へのアクセスパス] Start > Engines > Central Engine
※ Qlik Sense Desktopでは:Users%username%DocumentsQlikSenseSettings.iniにStandardReload=0」を追加

95. 100
(参考)システム変数
変数 標準モード レガシー モード 定義
Floppy サポートされていません サポート対象 見つかった最初のフロッピードライブのドライブ文字を返します。
通常は a: です。
CD サポートされていません サポート対象 見つかった最初の CD-ROM ドライブのドライブ文字を返します。
CD- ROM が見つからない場合は、c: が返されます。
QvPath サポートされていません サポート対象 Qlik Sense 実行可能ファイルへの参照文字列を返します。
QvRoot サポートされていません サポート対象 Qlik Sense 実行可能ファイルのルート ディレクトリを返します。
QvWorkPath サポートされていません サポート対象 現在の Qlik Sense アプリへの参照文字列を返します。
QvWorkRoot サポートされていません サポート対象 現在の Qlik Sense アプリのルート ディレクトリを返します。
WinPath サポートされていません サポート対象 Windows への参照文字列を返します。
WinRoot サポートされていません サポート対象 Windows のルート ディレクトリを返します。
$(include=...) サポートされている入
力: ライブラリ接続
サポートされている入力: ライ
ブラリ接続または絶対/関連パ
ス
include 変数は、スクリプトに含む必要があるテキストが格納さ
れたファイルを指定します。このため、スクリプト全体をファイ
ルに入れることができます。 これはユーザー定義変数です。

96. 101
(参考)一般的なスクリプトステートメント
ステートメント 標準モード レガシー モード 定義
Binary サポートされている入力: ラ
イブラリ接続
サポートされている入力: ライブ
ラリ接続または絶対/関連パス
別のアプリからデータをロードするには、バイナ
リ ステートメントが使用されます。
Connect サポートされている入力: ラ
イブラリ接続
サポートされている入力: ライブ
ラリ接続または絶対/関連パス
CONNECT ステートメントは、Qlik
Sense が OLE DB/ODBC インターフェイスから
一般的なデータベースにアクセスする方法を定義
する際に使用します。ODBC の場合、まず
ODBC アドミニストレータを使用して、データ
ソースを指定する必要があります。
Directory ライブラリ接続を使用すると、
このステートメントは以降の
スクリプトには影響を及ぼし
ません。
サポートされている入力: ライブ
ラリ接続または絶対/関連パス
Directory ステートメントは、後続の LOAD ス
テートメントでデータ ファイルを探すディレク
トリを定義します。ステートメント (新た
な Directory ステートメントが作成されるまで)。
Execute サポートされていません サポートされている入力: ライブ
ラリ接続または絶対/関連パス
Execute ステートメントはその他のプログラム
の実行に使用しますが、Qlik Sense ではデータ
のロードを行います。例えば、必要な変換を行う
場合などです。
Load from ... サポートされている入力: ラ
イブラリ接続
サポートされている入力: ライブ
ラリ接続または絶対/関連パス
Qlik Sense 実行可能ファイルへの参照文字列を
返します。
Store into ... サポートされている入力: ラ
イブラリ接続
サポートされている入力: ライブ
ラリ接続または絶対/関連パス
Qlik Sense 実行可能ファイルのルート ディレク
トリを返します。

97. 102
(参考)スクリプト制御ステートメント・システム関数
ステートメント 標準モード レガシー モード 定義
For each...
filelist mask/dirlist
mask
サポートされている入力:
ライブラリ接続
返された出力: ライブラリ
接続
サポートされている入力: ライ
ブラリ接続または絶対/関連パ
ス
返された出力: ライブラリ接続
または絶対パス (入力に応じ
て)
構文 filelist maskは、filelist mask に一致する
現在のディレクトリ内にある、すべてのファイル
のコンマ区切りリストを生成します。構文 dirlist
mask は、ディレクトリ名のマスクに一致する現
在のディレクトリ内にある、すべてのディレクト
リのコンマ区切りリストを生成します。
関数 標準モード レガシー モード 定義
GetRegistryString() サポートされていません サポート対象 指定されたレジストリの path にある指定された
レジストリの key の値を返します。この関数は、
チャートとロードスクリプトで使用できます。
DocumentPath() サポートされていません 返された出力: 絶対パス この関数は、現在の Qlik Sense アプリへの完全
なパスを含む文字列を返します。
• スクリプト制御ステートメント
• システム関数

98. 103
(参考)ファイル関数
関数 標準モード レガシー モード 定義
Attribute() サポートされている入力: ライブラリ
接続
サポートされている入力: ライブラリ接続
または絶対/関連パス
異なるメディア ファイルのメタ タグの値をテキストとして返します。
ConnectString() 返された出力: ライブラリ接続名 ライブラリ接続名または実際の接続 (入力
に応じて)
ODBC または OLE DB 接続のアクティブな接続文字列を返します。
FileDir() 返された出力: ライブラリ接続 返された出力: ライブラリ接続または絶対
パス (入力に応じて)
このスクリプト関数は、現在読み取り中のテーブル ファイルのディレクトリ
パスを文字列で返します。
FilePath() 返された出力: ライブラリ接続 返された出力: ライブラリ接続または絶対
パス (入力に応じて)
このスクリプト関数は、現在読み取り中のテーブル ファイルのフル パスを
文字列で返します。
FileSize() サポートされている入力: ライブラリ
接続
サポートされている入力: ライブラリ接続
または絶対/関連パス
このスクリプト関数は、ファイル filename のサイズをバイト数で表した整
数を返します。filename が指定されていない場合は、現在読み取り中の
テーブル ファイルのサイズを返します。
FileTime() サポートされている入力: ライブラリ
接続
サポートされている入力: ライブラリ接続
または絶対/関連パス
このスクリプト関数は、ファイル filename が最後に更新された日付と時刻
のタイムスタンプを返します。filename が指定されていない場合、この関
数は現在読み取り中のテーブル ファイルを参照します。
GetFolderPath() サポートされていません 返された出力: 絶対パス このスクリプト関数は、Microsoft Windows のSHGetFolderPath 関数の値
とパス (MyMusic など) を返します。この関数はWindows Explorer の可
視スペースを使用しませんので注意してください。
QvdCreateTime() サポートされている入力: ライブラリ
接続
サポートされている入力: ライブラリ接続
または絶対/関連パス
このスクリプト関数は、QVD ファイルに含まれた XML ヘッダーのタイムス
タンプを返します (ない場合は NULL を返します)。
QvdFieldName() サポートされている入力: ライブラリ
接続
サポートされている入力: ライブラリ接続
または絶対/関連パス
このスクリプト関数は、項目番号 fieldno が QVD ファイル内にあれば、そ
の名前 (ない場合は NULL) を返します。
QvdTableName() サポートされている入力: ライブラリ
接続
サポートされている入力: ライブラリ接続
または絶対/関連パス
このスクリプト関数は、QVD ファイルに含まれるテーブルの名前を返しま
す。
QvdNoFields() サポートされている入力: ライブラリ
接続
サポートされている入力: ライブラリ接続
または絶対/関連パス
このスクリプト関数は、QVD ファイル内の項目数を返します。
QvdNoRecords() サポートされている入力: ライブラリ
接続
サポートされている入力: ライブラリ接続
または絶対/関連パス
このスクリプト関数は、QVD ファイル内に含まれるレコードの数を返しま
す。

99. 104
• デモ手順参考リンク
• SAMLを使ったQlik SenseとSFDCの連携 （SAML認証）
• Example: Configuring header authentication （ヘッダー認証）
• Qlik Senseのセキュリティルール：ストリーム/アプリ/オブジェクトの階層構造のアクセ
ス制御
• セクションへの安全なアクセス管理 （Section Access）
参考

100. 105
次回のQlikテックトーク→1.19 新春デモ祭り！

101. Q & A

102. 107
Q&Aリスト
No. ご質問 回答
1​ ・以前はUDCにローカルユーザーを選択できたと思うの
ですが、なくなったのでしょうか？
・先ほど出ていた質問に「UDCにローカルディレクトリ
はデフォルトで使用できるようになっています。」と回
答されていましたが、実際には、UDC画面の
「CreateNew」でどれを選択するのでしょうか？
UDCの選択メニューはなくなりました。
[QlikSense local UDC / local user sync: Local Network no longer a UDC option
from 3.2 onwards] -------The change is stated in each of the release notes of
the 3.2 releases:Local User Directory Connector functionality removed------
ローカルユーザーを追加する方法はこちらにございます。[How to add local users in
Qlik Sense without local network connector]
2 Audit の画面が見慣れていたものと変わっていますがどの
バージョンから変わったのでしょうか？
バージョンアップなどご検討の際に必要に応じてご確認いただきますようお願いします。
なお、Auditの画面に関しては最新のNovember 2020から昨年のNovember2019まで
は同じ画面になっています。
（※補足：資料中のキャプチャがかなり古いバージョンのもののようでした。）
3 Sheetレベルのアクセス制御もできるはずですのでその情
報にも触れていただけますでしょうか？
下記を参照ください。
・https://community.qlik.com/t5/Qlik-Sense-Documents/QlikSense-Sheet-
Level-Security-QMC-Security-Rules/ta-p/1478917
・Qlik Senseのセキュリティルール：ストリーム/アプリ/オブジェクトの階層構造のアクセス制御
4 Qlik Sense のHubにユーザーが接続さえすれば、（QMC
の）User欄にそのユーザーが自動で追加されるという意
味でしょうか。
はい。追加されます。
5 Hubに接続せずとも、ローカルユーザーをまとめて認識さ
せることは可能ですか？
Excelで同等の情報を同期する、あるいは、UDCのAPI(.NETアセンブリを開発して)を
利用してユーザー情報を同期するといった方法を取る必要があります。

103. Thank You