結論
ユーザが下記のいずれかに該当している場合、①承認プロセスによってロックされたレコードの編集②承認申請中のレコードの承認、の双方が可能となってしまいます。
- システム管理者
- 当該オブジェクトに対する「全て変更」システム権限を有している
- 「すべてのデータの編集」権限を有している
対策
これまでプロファイルで担保していた当該オブジェクトへの「すべて編集」権限をOFFにした上で、同様の権限をレコードレベルセキュリティによって与え直します。
①以下の両チェックボックが外れている状態に変更(※商談を例にとった場合)
②レコードレベルセキュリティで「すべて編集」権限を与え直します。
基本はOWDでダメなら共有ルールという発想で大丈夫です。
この辺りは素人アドミンが真似すると大変なことになりかねないので敢えて具体的な手順は載せないことにします。
https://help.salesforce.com/articleView?id=approvals_considerations_manage.htm&type=5