Salesforce Lightning Sync に関する FAQ

Salesforce Lightning Sync の使用に関する具体的な質問に対する回答を以下に示します。

1.Microsoft Office 365® アカウントを使用して OAuth 2.0 に接続するときに、Office365 グローバル管理者ロールが必要なのはなぜですか?

OAuth 2.0 に慣れていない場合は、まず仕様をご確認ください: OAuth 2.0

Lightning Sync の設定ページを見るとわかるように、グローバル管理アカウントの認証が必要になると、ユーザは Microsoft O365 ログインページにリダイレクトされます。ログイン情報は Lightning Sync には決して提供されず、Salesforce はログイン情報が何であるか感知することはありません。つまり、このログイン情報は Salesforce 組織に保存されず、その後の O365 への接続では使用されません。代わりに、OAuth 認証の同意フォームに 1 度承諾いただくことで、初期 OAuth 設定後にログイン情報を含まない OAuth トークンが使用されるようになります。

OAuth 2.0 フローの初期フェーズの一部として、Lightning Sync のマルチテナント Azure アプリケーション (「Salesforce Lightning Sync」) を Azure インスタンスにインストールします。Azure インスタンスは、Acitve Directory ポータルで表示できます。これを実行することで、Azure グローバル管理者は、EWS を通じてユーザのメールボックスにアクセスできる OAuth トークンを、Lightning Sync アプリケーションが取得することに同意したものとみなされます。

この手順の目的は、アプリケーションをお客様の Azure テナントの AD に登録し、かつ Lightning Sync が Azure からテナント ID を取得できるようにすることです。この手順では、Azure グローバル管理者はユーザを同期したり、Azure にログインすることで何らかの「特権」や偽装ユーザ権限を得たりするわけではなく、単に Azure テナントにアプリケーションをインストールするだけです。アプリケーションをインストールした状態のまま、管理者がパスワードを変更したり、退社したりした場合でも、アプリケーションは引き続き機能します。

Lightning Sync エンタープライズアプリケーションのアーキテクチャと設計についての詳細は、以下を参照してください。
Azure Active Directory v2.0 and the OAuth 2.0 client credentials flow (Azure Active Directory v2.0 と OAuth 2.0 クライアント資格情報フロー) 
クライアント資格情報の概要に関するドキュメント
Building Daemon or Service Apps with Office 365 Mail, Calendar, and Contacts APIs (Office 365 のメール、カレンダー、連絡先 API を使用したデーモンまたはサービスアプリケーションの構築)

以下に、Lightning Sync で使用されるアクセス権/許可について重要な点をまとめます。

• このアプリケーションでは、ユーザがサインインしなくてもすべてのメール Exchange ユーザアカウントに対して、Exchange Web サービス経由で完全にアクセスすることができます。
• ユーザがアプリケーションにサインインできるようにし、アプリケーションがサインインしているユーザのプロファイルを参照することを許可します。また、サインインしているユーザの基本的な会社情報を読み取ることも許可します。
• セットアップ時に O365 管理者は Azure パスワードを Salesforce ではなく Microsoft Azure AD サイトに入力します。
• Salesforce は、資格情報 (ログイン情報) ではなく OAuth 2.0 トークンを保存します。
• Microsoft の OAuth 2.0「クライアント資格情報付与フロー」プロトコルの実装では、クライアントにアクセスを許可するメールボックスを限定する方法が提供されていません。ゆえに Lightning Sync が Azure から取得するトークンは、個々のユーザの認証を必要とせずに、すべての Office Mail Exchange ユーザアカウントにアクセスできてしまいます。
• Lightning Sync を経由して転送されるデータは、SSL を使用して完全に暗号化され、サードパーティに共有されることはありません。
• O365/Azure 管理者がアクセス権の取り消しを決定した場合、管理者が Azure ポータルからアプリケーションをアンインストールすると、Lightning Sync サービスはトークンを取得できなくなります。
• ユーザが O365 または Salesforce で無効化された場合 (あるいは有効な Lightning Sync 設定から削除された場合)、そのユーザの行動や取引先責任者の同期は中止されます。

2.Office365 グローバル管理者のパスワードを変更したり、ロールを「ユーザ (管理者アクセス権なし)」にダウングレードした場合、または Microsoft Exchange の OAuth 2.0 を使用して一度接続を確立したグローバル管理者を削除した場合はどうなりますか?

何も変わりません。アクセストークンは新しいトークンに更新されるのではなく、再使用されるため、Lightning Sync 接続は確立されたままの状態を保ちます。

注意: グローバル管理者が同意し、テナントにアプリケーションをインストールすると、Lightning Sync は、EWS API を介してそのテナントのユーザのメールボックスアカウントにアクセスするトークンを取得することができます。

3.「Microsoft Exchange のサービスアカウント」を使用して接続を確立した後、Exchange サービスアカウントのパスワードを変更するとどうなりますか?

Exchange サービスアカウントのログイン情報を Salesforce Lightning Sync 設定で再設定する必要があります。これを行わないと、レコード同期が動作しません。
 

4.「Microsoft Exchange のサービスアカウント」の接続方法を使用する場合、Lightning Sync によって Exchange サービスアカウントのパスワードはどのように保存されますか?

Lightning Sync は、サービスアカウントの名前とパスワードを Visualforce ページで確認し、データベース内の暗号化ハッシュ機能を使用して、暗号化された形式でパスワードを保存します。これには、キー管理メカニズムも提供する Salesforce の既存の「暗号化項目」機能が利用されます。Lightning Sync は、これらの暗号化されたログイン情報を使用して、SSL 暗号化接続に続く EWS および Autodiscovery (自動検出) サービスを介して Exchange と通信し、プレーンテキストではなくハッシュ出力を渡します。アプリケーションは、提供されたパスワードを細分化し、保存されたパスワードと比較します。
ログイン情報は、PCI 準拠の 3 レイヤキーストレージ方式で保存されます。

5.Lightning Sync を使用して、双方向で行動を同期することができますか?

はい。使用可能な任意の接続方法で Lightning Sync を使用して、双方向で行動を同期することができます。詳細は、「Lightning Sync 使用時の設定で利用可能な行動の同期方向」を参照してください。

6.双方向同期を使用して API/バックエンドツールを使用して作成した行動を Salesforce から Exchange へ同期することはできますか?

はい。Winter'19 リリースからは、API/バックエンドから作成された行動は、既存の同期設定の割り当てに基づいて自動的に同期されます。

7.Lightning Sync を使用して、Outlook インテグレーションアドインまたは Gmail インテグレーション Chrome 拡張機能から作成した行動をクイックアクション (パブリッシャーアクション) を通じて同期することはできますか?

はい。Outlook インテグレーションアドインまたは Gmail インテグレーションから作成された行動も、Lightning Sync を使用して Salesforce から Exchange (Google) カレンダーに同期されます。

注意: クイックパブリッシャーアクションを使用してサイドパネル (メールアプリケーションペイン) から作成された行動が同期されます。[Sync 設定] で [ユーザが選択した行動] を設定して、Salesforce に同期する Exchange/Google の行動を指定すると、[行動の追加] ボタンを使用して追加される行動も同期されます。

8.Lightning Sync がサポートする Salesforce のライセンスの種類は何ですか?

Lightning Sync は、Sales/Service Cloud (Salesforce)、Lightning Platform および Force.com のユーザライセンスで利用することができます。担当者は、ライセンスで使用可能なオブジェクトに応じて、Microsoft アプリケーションと Salesforce の間で取引先責任者、行動、またはその両方を同期することができます。

注意: 行動が同期されるのは、Salesforce Platform、Lightning Platform - OneApp または Lightning Platform App サブスクリプションライセンスを持つ Lightning Platform を使用する Salesforce ユーザです。ユーザライセンス Lightning Platform - One App を使用する Lightning Sync のユーザについては、取引先責任者の同期はサポートされていません。Lightning Platform - One App には取引先責任者オブジェクトは含まれていません。Lightning Platform Starter および Lightning Platform Plus lライセンス種別では、行動、取引先責任者のいずれの同期もサポートされません。
 

9.Salesforce の行動の被招集者と招待者の違いは何ですか? それらを Salesforce から Exchange に同期することができますか?

Salesforce Classic の行動の招待者と同様に、行動の被招集者をLightning Experience は提供しますが、いくつかの違いがあります。

• 招待者は設定を必要とせず、ユーザは Salesforce Classic で行動の招待者を表示、招待、管理することができます。Salesforce は、行動の招待者にユーザの代わりにミーティングのお願いを送信します。招待者は [この要請に返答] ボタンをクリックして返答することができ、返答が Salesforce に取り込まれます。招待者は .vcs ファイルを Outlook に追加することもできます。Salesforce ユーザは Salesforce の行動から [Outlook に追加] ボタンをクリックしてミーティングを設定できます。「Salesforce Classic でのスケジュールおよび招待」を参照してください。
• 被招集者を同期するには、Lightning Experience と Salesforce for iOS/Android で行動の被招集者を表示、招待、管理することができるシステム管理者によって、Lightning Sync を設定する必要があります。このトピックについての詳細は、「行動の被招集者の同期」および「Lightning Experience で行動およびカレンダーを使用する場合の考慮事項」を参照してください。

10.Salesforce の行動で標準の [被招集者] 項目が表示されないのはなぜですか?

[被招集者] 項目は、以下の基準を満たしている場合にのみ使用することができます。

• Salesforce システム管理者は、Salesforce 組織の Lightning Experience (LEX) を有効にする必要があります。
• Lightning Experience と Salesforce アプリケーションでは、システム管理者が [被招集者] 項目を行動のページレイアウト、コンパクトページレイアウト、またはクイックアクションレイアウトに追加した場合、ユーザに [被招集者] 項目が表示されます。[被招集者] 項目は、活動タイムラインでは使用できません。
• 被招集者を同期する場合、システム管理者はすべての接続を [双方向同期] または [Salesforce から Exchange/Google] の同期方向を使用して Lightning Sync を設定する必要があります。これにより、Salesforce とユーザの Microsoft®/Google カレンダーとの間で行動が同期されます。

11.Lightning Sync を使用して行動と取引先責任者を同期する頻度はどのくらいですか?

複数の内部および/または外部的要因 (ユーザ単位および同期しているレコードの数を含む) に応じて、初期同期には 48 ～ 72 時間またはそれ以上の時間がかかります。初期同期が完了すると、新しく作成されたすべてのレコードが数分で同期されます。ただし、次のような場合は、同期に最大 1 日以上かかることがあります。

• 多くのユーザがほぼ同時に同期を開始するように設定されている
• 大量の取引先責任者の同期を待機している
• 注意: Lightning Sync で同期される取引先責任者と行動はそれぞれ 50,000 個になります。

「取引先責任者の同期」および「行動の同期」を参照してください。
レコードの同期が大幅に遅延している場合、Salesforce にサポートケースを登録してください。
 

12.Lightning Sync で複数要素認証はサポートされていますか?

同期エンジンはサービスとして実行されるため、Lightning Sync では 2 要素認証は機能しません。現在、Lightning Sync サービスアカウントの方法では、Outlook の複数要素認証はサポートされていません。回避策として、サービスアカウントの複数要素認証のみを無効にします。詳細は、「2 要素認証ログイン要件の設定」を参照してください。
 

13.Lightning Sync を設定するときのベストプラクティスについて把握しておくべきことは何ですか?

• 本番環境でソリューションを展開する前に、まず Sandbox の少数ユーザ単位でテストを実施してください。
• Lightning Sync を設定するすべての新しい組織は、常に最初の同期として扱われ、48 ～ 72 時間以上の時間がかかります (いくつかの内部要因および/または外部的要因に応じて)。 
• Lightning Sync を最初から設定する場合は、常に最初に同期する 1 人のユーザを有効にしてから、複数の時間枠でユーザを徐々に増やしてください。 
• ユーザ/プロファイルの追加/削除、同期方向の変更、データセットの変更、設定の削除/再作成、新しい設定への同じユーザの再追加など、有効な設定を頻繁に変更しないでください。 
• 無効なユーザ (有効でないユーザ) または同期先ドメイン/Exchange に属していないメールアドレスを持つユーザを含むプロファイルを Lightning Sync 設定に追加しないでください。その結果、毎回複数のサイクルでそれらのユーザが選択され、サーバエラーが生成されます。 
• 同期に遅延や機能の問題が発生した場合には、ユーザに対して「同期のリセット」を実行しないでください。特定のユーザに対して何も同期していないと表示された場合、または接続テストにパスしていても同期するユーザが選択されていない場合のみ、同期をリセットします。同期をリセットすると、すべてのレコードが消去され、最初から同期が開始されます。
• Lightning Sync を有効/無効にしたり、接続方法を変更したり、(サービスアカウントの方法を使用している場合は) サービスアカウントのログイン情報を頻繁に変更したりしないでください。これらの操作を行うと、パフォーマンスの問題が発生したり、同期しなかったり、バックエンドの対応付けが失われたり、レコードが重複したりする可能性があります。
• Salesforce の行動または取引先責任者レコードの一括/バルク更新を実行する前には注意が必要です。それにより、同期方向とデータセットの設定に応じて相手方システムのレコードが更新/上書きされる可能性があります。また、重複が発生したり、(被招集者が存在する場合は) 行動の更新通知が送信されたりすることもあります。
• Exchange サーバを移行する場合は、異なるサーバを指すように変更するか、メールボックスアカウントを移動します。Outlook と Salesforce の行動間の一意の対応付け ID/リレーション ID は失われるか、破損します。このシナリオでは、同期方向に応じて、いずれかまたは両方のシステムのエントリが重複して取得されます。重複を避けるために、Exchange 側の移動されたデータに対して異なるカレンダーフォルダを管理し、Salesforce と同期するためのメインカレンダーを空白にしてください。また、Exchange サーバでそのような変更をしている間は Lightning Sync を無効にしてください。

いいえ。Lightning Sync では、レコードを同期するのに、カレンダーおよび取引先責任者フォルダのアクセス権を持つプライマリメールボックスアドレスが必要です。「別名」、「配布リスト」、「共有グループ」メールボックス/メールアドレスを使用する場合、同期は機能せず、Salesforce はサポートを提供できません。

18.Salesforce で削除した行動が Outlook から削除されないのは何故ですか?

理由の 1 つは、Lightning Sync に従来の「双方向同期 (ベータ)」権限が有効化されている組織では、Salesforce から Exchange (Outlook) に対する行動の削除をサポートしていないためです。Salesforce から Exchange に対して行動を削除できるようにするには、この権限を無効化する必要があります。自分の Salesforce 組織でこの権限を無効化する方法については、Salesforce サポートまでご連絡ください。

19.Salesforce カレンダーの行動の時刻が Outlook カレンダーと一致しないのは何故ですか?

Lightning Sync を使用して行動を同期する場合には、Windows と Salesforce で同じタイムゾーンが設定されている必要があります。タイムゾーンが異なる場合、Salesforce はユーザーにタイムゾーン設定を表示します。タイムゾーンが異なっていると、行動の時刻が 1 時間または 2 時間遅れたり進んだりします。