Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

Salesforce 多要素認証に関する FAQ

公開日: Apr 22, 2025
説明

お客様の信頼は Salesforce の最優先事項です。脅威の状況は常に変化しており、企業の業務を停止させ、消費者のセキュリティ上の弱点をつく攻撃が増加の一途をたどっています。このような脅威から保護するため、Salesforce では Salesforce 製品にアクセスするすべてのお客様に多要素認証 (MFA) の使用を義務付けています。MFA は、ログインセキュリティを強化し、セキュリティ上の脅威からビジネスやデータを保護するための最も簡単で効果的な手段と言えます。

このドキュメントを使用して、MFA 要件ポリシーを理解し、ユーザーがこの契約要件を満たしていることを確認します。Salesforce 製品の MFA を構成するためのガイダンスについては、MFA 顧客サイトの「Salesforce 製品の MFA ヘルプ」セクションを参照してください

この記事は 2024 年 6 月 28 日に更新されました。

解決策

よくある質問

MFA を有効にするための要件

MFA 要件の範囲

Salesforce 製品に直接ログインする場合の MFA

Salesforce 製品に SSO でログインする場合の MFA

MFA の検証手段

MFA の準備をする

Salesforce パートナー/サービスプロバイダ向け MFA 要件ガイダンス

詳細情報

 

MFA を有効にするための要件

 

MFA とは何ですか? どういう仕組みなのでしょうか?

MFA は、フィッシング攻撃、クレデンシャルスタッフィング、アカウントの乗っ取りなどの一般的な脅威に対するユーザーアカウントの保護を強化します。この方法では、本人であることを証明する 2 つ以上の証拠 (要素) の入力をユーザーに要求することで、ログインプロセスのセキュリティを一層強化します。要求される要素の 1 つは、ユーザーが知っていること (ユーザー名とパスワードの組み合わせなど) です。もう 1 つの要素は、ユーザーが持っている認証手段 (認証アプリケーション、セキュリティキーなど) です。よく見られる MFA の実例として、2 つの要素を使用した ATM からの現金の引き出しが挙げられます。この場合、ユーザーが持っている要素はキャッシュカード、知っている要素は暗証番号です。

ユーザーアクセスを複数の異なる種類の認証要素に結び付けることで、悪意のあるユーザーが Salesforce 環境にアクセスすることが大幅に困難になります。たとえば、ユーザーのパスワードが盗まれた場合でも、攻撃者がユーザーの認証アプリケーションからコードも推測またはハッキングできる可能性は非常に低くなります。

詳細は、「How Multi-Factor Authentication Works to Protect Account Access (多要素認証がアカウントへのアクセスを保護する仕組み)」の動画をご覧ください。

先頭に戻る

 

MFA 要件とは何ですか?

Salesforce のすべての内部ユーザーは、Salesforce 製品 (パートナーソリューションを含む) へのユーザーインターフェースを介してログインするたびに MFA を使用することが契約上義務付けられています。この要件は、Salesforce のユーザー名とパスワードを使用した直接ログインとシングルサインオン (SSO) ログインに同様に適用されます。

MFA 要件は 2022 年 2 月 1 日から適用されています。この要件は、Salesforce の「信頼とコンプライアンスに関するドキュメント」の「Notices and Licenses Information」(通知およびライセンス情報) セクションのサービス利用規約と、該当する Salesforce ユーザーガイドに記載されています。

Salesforce 製品に直接ログインする場合、MFA 機能は追加費用なしで提供されます。SSO ログインの場合は、SSO プロバイダの MFA サービスを使用できます。

関連情報:

先頭に戻る

 

Salesforce が MFA を必須とする理由

お客様の信頼と成功は、何よりも重要です。世界の脅威の状況が変化するにつれ、企業の業務を停止させ、消費者のセキュリティ上の弱点をつく可能性のある攻撃が増加の一途をたどっています

セキュリティ戦略の要は、Salesforce ユーザーアカウントへのアクセスを保護することです。もはやユーザー名とパスワードだけではサイバー攻撃に対して十分な保護を実施できません。そこで登場するのが MFA です。これは、アカウントへの不正アクセスを防止し、お客様のデータと顧客データを保護するための最も簡単かつ効果的な方法の 1 つです。Salesforce では、フィッシング攻撃、クレデンシャルスタッフィング、侵害されたデバイスなどの脅威に起因するリスクを軽減するために、お客様に MFA の実装を求めています。

先頭に戻る

 

顧客が MFA 要件を満たすため、Salesforce はどのように対応していますか?

1 つの例外を除き、すべての Salesforce 製品の直接ログインプロセスに MFA が完全に組み込まれました。ユーザーがユーザー名とパスワードを使って Salesforce 製品にログインすると、MFA 認証の法方を指定するよう求められます。詳細は、「MFA を有効にすると、ユーザーにどのような影響がありますか?」を参照してください。

Salesforce Platform 上に構築された製品の詳細は、「Salesforce Platform 上に構築された製品に MFA を実施するための現在の計画について教えてください」を参照してください。

注意: SSO を使用して Salesforce 製品にアクセスするユーザーは、Salesforce が提供する MFA 機能の影響を受けません。ただし、SSO を使用して認証するすべての Salesforce ユーザーに、MFA が契約によって義務付けられます。詳細は、「SSO への MFA は強制適用されますか?」を参照してください。

先頭に戻る

 

MFA の実装で MFA 要件を満たしていることを検証するにはどうすればよいですか?

この要件を満たす MFA ソリューションを使用していることを確認するには、Salesforce の『Trust and Compliance Documentation (信頼とコンプライアンスに関するドキュメント)』の「Notices and Licenses Information (通知およびライセンス情報)」セクションと適切な Salesforce ユーザーガイドにあるサービス利用規約や、この FAQ の詳細を確認してください。

また、MFA 要件チェッカーを使用していくつかの質問に答え、実装が要件を満たしているかどうかを確認することもできます。このサイトに、要件を完全に満たしていない場合の次のステップが示されています。

IT チームまたはサイバーセキュリティチームがいる場合は、その指示を仰ぐことをお勧めします。また、ご不明点があればいつでも Trailblazer Community グループの MFA - Getting Started にご質問ください。

先頭に戻る

 

MFA の実装で MFA 要件を満たしていることを証明する必要はありますか?

Salesforce では、契約上の義務への遵守を証明することをお客様に求めていません。こうした指針により、正式な認定書を取得するなどの方法で、契約上の MFA 要件を満たしていることをユーザーが Salesforce に証明する必要はありません。

先頭に戻る

 

MFA 要件を満たさない場合はどうなりますか?

MFA 要件は 2022 年 2 月 1 日に適用され、それ以降、Salesforce は Salesforce 製品への直接ログインに対して MFA を強制的に有効にしてきました。SSO ログインに MFA を実装していない、または製品の Salesforce MFA 機能を無効にしているために、製品が MFA 要件を満たしていない場合:

  • Salesforce の「信頼とコンプライアンスに関するドキュメント」の「Notices and Licenses Information」(通知およびライセンス情報) セクションの MFA サービス利用規約が組み込まれたメインサービス契約 (MSA) に基づく契約上の義務を遵守していません。

  • Salesforce 製品にアクセスする際に MFA を使用しないことに伴うリスクは、すべてお客様が負うものとします。

法務部門と相談のうえ、MFA を使用しないことによる帰結について理解しておくことをお勧めします。要件に準拠する方法について懸念がある場合は、Salesforce 担当者に連絡することもできます。Salesforce がお客様と協力して解決策を模索します。

先頭に戻る

 

Salesforce Platform 上に構築された製品に MFA を実施するための現在の計画について教えてください。

データ保護は共有の責任であり、Salesforce は製品にセキュリティを組み込み、お客様は提供されるリソースやツール (MFA を含む) を活用して Salesforce 組織のセキュリティをさらに強化します。お客様が連携してユーザーアカウントアクセスの保護に取り組んでいただいたおかげで、MFA を自動的に有効にするプログラムは非常に順調です。

Salesforce Platform 上で構築された製品への MFA の導入率が高く、お客様の貴重な時間とリソースを大切にしたいと考えているため、MFA を技術的に適用するのではなく、通知モデルに移行しました。Salesforce システム管理者にとって、テストや設定のために MFA を一時的に無効にするオプションを持ち続けることが有益であることは、Salesforce でも理解しています。しかし、MFA をオフにすると、MFA を使用するという契約上の義務を履行していない状態になるため、できるだけ早く MFA を再度有効にする必要があります。

MFA 非準拠通知についての詳細は、こちらのリリースノートを参照してください。

この変更が MFA 要件に与える影響
MFA を使用するという契約上の要件は引き続き有効です。すべての Salesforce 組織における MFA の使用状況を追跡していきます。Salesforce Platform に構築された製品の MFA 導入率が低下した場合は、技術的に MFA を適用するプログラムを開始します。その場合は、事前にご連絡いたします。

他の Salesforce 製品の MFA 適用についての変更はありません。

先頭に戻る

 

潜在顧客や新規顧客の Salesforce 製品には、MFA 要件はどのように適用されますか?

MFA は、すべての Salesforce 製品の直接ログインエクスペリエンスに自動的に組み込まれます。Salesforce 製品を購入すると、ユーザーが本番環境のユーザーインターフェースに直接ログインするたびに MFA が要求されます。ユーザーは、ユーザー名とパスワードを入力した後、追加の検証手段で本人確認を行うよう促されます。初回ログイン時、ユーザーは検証手段を選択して登録するよう促されます。画面に表示されるプロンプトに従って登録を完了させてください。詳細は、「MFA を有効にすると、ユーザーにどのような影響がありますか?」を参照してください。ユーザーが使用できる検証手段の種類についての詳細は、「MFA の検証手段」セクションを参照してください。

Salesforce 製品をシングルサインオン (SSO) と統合する予定の場合は、実装に MFA が含まれていることを確認してください。SSO プロバイダの MFA サービスを使用できます。また、Salesforce Platform 上に構築された製品の場合、SSO レベルで MFA を有効にする代わりに Salesforce で提供される無料の MFA 機能を使用できます。詳細は、Salesforce ヘルプの「SSO ログインでの Salesforce MFA の使用」を参照してください。

先頭に戻る

 

MFA 要件の範囲

 

MFA が必要なユーザー、ログイン、環境の種別は?

Salesforce 製品 (パートナーソリューションを含む) にユーザーインターフェースを通じてログインするすべての内部ユーザーに対して MFA が有効になっていることを確認することで、お客様は MFA 要件を満たすことができます。MFA 要件の影響を受けるユーザー、ログイン、環境の種別の詳細は、下表を参照してください。

ユーザー種別ごとの MFA 要件

ユーザー種別

ログインに MFA が必要か?

メモ

内部ユーザー

はい

内部ユーザーとは、標準ユーザーライセンスを所有し、Salesforce 組織の UI にアクセスできるユーザーで、システム管理者、開発者、特権ユーザー、標準ユーザーのほか、会社の業務を代行する権限が与えられたユーザー (パートナー、サードパーティエージェンシーなど) が該当します。

外部ユーザー

いいえ

外部ユーザーがアクセスできるのは、会社の Experience Cloud サイト、E コマースサイトやストアフロント、ヘルプポータル、従業員コミュニティなどに限られます。Salesforce Platform 上に構築された製品の場合、外部ユーザーとは Community、Employee Community、または External Identity ライセンスを持つユーザーのことです。詳細は、「顧客とパートナーの Experience Cloud サイトでは MFA は必要ですか?」を参照してください。

Tableau Cloud のお客様: 組み込みコンテンツで視覚化を利用する Tableau Cloud 外部ユーザー、またはお客様の Tableau Cloud サイトの外部ユーザーの場合、MFA は必要ありません。

ただし、MFA の規制要件が厳しい一部の地域の管轄区域や業界では、上記のタイプのユーザーでも MFA が必要になる場合があります。

Chatter External、Chatter Free ユーザー

いいえ

 

Chatter のみ (Chatter Plus) ユーザー

はい

 

 

ログイン種別と認証方式ごとの MFA 要件

ログイン種別/認証方式

MFA は必須か?

メモ

UI への直接 (人による) ログイン

はい

モバイルアプリケーションやクライアントアプリケーション (データローダなど) を含むすべての Salesforce インターフェースに適用されます(Data Loader には 2 つのログインオプションがあります。MFA が有効の場合、OAuth オプション (UI ログイン) では MFA チャレンジが生成されますが、パスワード認証 (API ログイン) では生成されません。データローダの OAuth オプションは、セキュリティキーや組み込み認証アプリによる検証手段をサポートしていません)。

管理者またはインテグレーションユーザー (API ユーザーとも呼ばれる) アカウントにログインする人は MFA が必要です。詳細は、「インテグレーションユーザーに MFA は必須ですか?」を参照してください。

詳細は、「Salesforce 製品に直接ログインする場合の MFA」セクションを参照してください。

SSO (SAML、OpenID Connect)

はい

詳細は、「Salesforce 製品に SSO でログインする場合の MFA」セクションを参照してください。

UI への自動テストおよび RPA アカウントログイン

いいえ

詳細は、「RPA または自動テストアカウントに MFA は必要ですか?」を参照してください。

API を使用したシステムインテグレーションログイン種別

いいえ

詳細は、「インテグレーションユーザーに MFA は必須ですか?」を参照してください。

デバイスの有効化/ID 検証

はい

デバイスの有効化は MFA とは異なっているため、MFA 要件を満たしません。デバイスの有効化を含む Salesforce 製品では、ログインごとに MFA が必要になります。詳細は、「デバイスの有効化とは何ですか? MFA とはどのような関連がありますか?」を参照してください。

代理認証

はい

 

リスクベースの認証/継続的な認証

状況による

詳細は、「リスクベースの認証/継続的な認証で MFA 要件を満たすことはできますか?」を参照してください。

会社の信頼できるデバイス/デバイス証明書

状況による

詳細は、「会社の信頼できるデバイスで MFA 要件を満たすことはできますか?」を参照してください。

信頼できるネットワーク

状況による

詳細は、「信頼できるネットワークにログインを制限することで MFA 要件を満たすことはできますか?」を参照してください。

ユーザー証明書

状況による

詳細は、「ユーザー証明書で MFA 要件を満たすことはできますか?」を参照してください。

 

組織やテナントの種別ごとの MFA 要件

組織 / テナント種別

MFA は必須か?

メモ

本番環境

はい

 

Experience Cloud サイト、
E コマースサイト、ヘルプポータル、従業員コミュニティ

いいえ

詳細は、「顧客とパートナーの Experience Cloud サイトでは MFA は必要ですか?」を参照してください。

Sandbox 環境 (Partial、Full、Developer、Pro)

「メモ」を参照

内部のテスト環境に MFA 要件がどのように適用されるのかについては、「Sandbox 環境で MFA は必須ですか?」を参照してください。

スクラッチ組織

いいえ

 

Developer Edition および Partner Developer Edition 環境

「メモ」を参照

これらの環境には MFA 要件が適用されません。ただし、顧客データ、知的財産、その他の Salesforce 製品データを格納する DE 組織では MFA を有効にすることを強くお勧めします。

イネーブルメントサイト (myTrailhead)

状況による

イネーブルメントサイトの認証プロバイダとしてイネーブルメント向けの Salesforce Identity を使用する場合、MFA が必要になります。Salesforce 組織で MFA が有効になると、イネーブルメントサイトにアクセスするユーザーのログイン時に、MFA チャレンジを満たすことを求めるプロンプトが自動的に表示されます。

イネーブルメントサイトの認証プロバイダとして Trailblazer アカウントを使用している場合、MFA は必要ありません。

Trailhead Playground

いいえ

 

トライアル

「メモ」を参照

トライアルには、MFA 要件が適用されるまでの猶予期間があります。詳細は、「製品トライアルでは MFA は必要ですか?」を参照してください。

先頭に戻る

 

シングルサインオン (SSO) を介してアクセスされる Salesforce 製品に MFA は必須ですか?

はい、MFA 要件は、Salesforce 製品のユーザーインターフェースに直接ログインまたは SSO 経由でアクセスするすべてのユーザーに適用されます。Salesforce 製品が SSO と統合されている場合、すべての Salesforce ユーザーに対して確実に MFA を有効にします。たとえば、SSO プロバイダの MFA サービスを使用できます。また、Salesforce Platform 上に構築された製品の場合、SSO レベルで MFA を有効にする代わりに Salesforce で提供される無料の MFA 機能を使用できます。詳細は、Salesforce ヘルプの「SSO ログインでの Salesforce MFA の使用」を参照してください。

SSO ID プロバイダ (IdP) を使用してアクセスされるアカウントを保護する責任はすべてお客様が負うものとします。ID プロバイダは、デジタル ID を保存して管理し、ユーザーを認証する信頼できるシステムです。

関連情報:

先頭に戻る

 

顧客とパートナーの Experience Cloud サイトでは MFA は必要ですか?

会社の Experience Cloud サイト、従業員コミュニティ、ヘルプポータル、E コマースサイト/ストアフロントでは MFA が必須ではありません。上記のサイトにアクセスする外部ユーザーに対しては MFA を有効にする必要がありません。外部ユーザーは次の種別のライセンスで識別されます。

  • Community ライセンス

  • External Identity ライセンス

  • Employee Community ライセンス (Salesforce Platform ライセンスと Company Community for Lightning Platform 権限セットライセンスの組み合わせか、従来の Company Community ライセンスのいずれか)

従業員コミュニティまたは他のコミュニティにアクセスすることのみを目的に Salesforce または Salesforce パートナーからコミュニティ以外のライセンスを発行された外部ユーザーについては、MFA が義務付けられません。

会社の従業員コミュニティまたは他の Experience Cloud サイトにログインする内部ユーザー (つまり、標準ユーザーライセンスを所有している全員) は MFA が義務付けられます。

先頭に戻る

 

Salesforce モバイルおよびデスクトップアプリケーションへのログインも MFA 要件に含まれますか?

はい。ユーザーインターフェースへのログインによってアクセスする、Salesforce、カスタム、AppExchange、パートナーのモバイルおよびデスクトップアプリケーションはすべて MFA 要件の対象です。これには、Salesforce モバイルアプリケーション、Marketing Cloud モバイルアプリケーション、Salesforce Inbox、Quip、Gmail™ および Outlook® とのインテグレーションが含まれます。

注意: [設定] の [ログイン履歴] ページで Salesforce モバイルアプリケーションへのログインは、「Remote Access 2.0」ログイン種別と表示されます。その後アプリケーションを使用する場合、通常は API コールによるトークンの交換が行われます。ただし、モバイルアプリケーションユーザーは API ユーザーではありません。モバイルアプリケーションへのログインは、ユーザーがユーザーインターフェースにログインするため MFA が必要です。

先頭に戻る

 

Sandbox 環境で MFA は必須ですか?

Sandbox 環境で MFA が必須かどうかは Salesforce 製品によって異なります。

  • Salesforce Platform 上に構築された製品:

    • Sandbox は現在 MFA 要件から除外されています。この要件は将来適用される可能性があります。

    • 現在、Sandbox で MFA は必須ではありませんが、Sandbox 環境に知的財産、顧客データ、その他の Salesforce 製品データが格納されている場合は MFA を使用することを強くお勧めします。

  • B2C Commerce および Marketing Cloud Intelligence: Sandbox 環境で MFA が必須です。B2C Commerce および Marketing Cloud Intelligence のお客様に MFA が適用されている場合は、Sandbox 環境にも影響します。

  • 正式な Sandbox 環境がない製品 (Marketing Cloud Engagement、Tableau Cloud など) で、テスト専用に使用するテナント、組織、インスタンスのみの場合でも、これらの環境に MFA が必要です。

先頭に戻る

 

インテグレーションユーザーに MFA は必須ですか?

API を使用したシステムインテグレーションログイン種別には MFA 要件が適用されません。

メモ:

  • システム管理者または他のユーザーがインテグレーションユーザー (API ユーザーとも呼ばれる) アカウントにログインする場合は MFA が必須です。ユーザーの初期設定や不定期のメンテナンスタスク (パスワードの変更、セキュリティトークンの更新など) のみを行う場合も同様です。この種のユーザーは高度な権限を有していることが多いため、MFA を使用してこうしたアカウントへの人によるアクセスを保護することが重要です。

  • Salesforce Platform 上に構築された製品の場合: 組織が統合目的のみに使用されている場合、[Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要] 設定は、組織の操作に影響しません。この設定は安全であり、オンのままにしておくことお勧めします。

先頭に戻る

 

RPA または自動テストアカウントに MFA は必要ですか?

いいえ。Selenium™、Cucumber™、Appium® などのテスト自動化ツールや、Automation Anywhere® などのロボティックプロセスオートメーション (RPA) システムのアカウントでは MFA が必要ありません。このようなアカウントは、フィッシングの標的になる可能性は高くありません。ただし、自動化アカウントのログイン情報に対して予防策を講じ、悪意のあるユーザーがログイン情報を使用して Salesforce 環境へのアクセス権を取得できないようにしてください。RPA ツールやテストツールでサポートされていれば、ログイン時に時間ベースのワンタイムパスコード (TOTP) で MFA を自動化することをお勧めします。他のオプションとして、特権アカウント管理 (PAM) システムを介して自動化アカウントのログイン情報を管理する方法もあります。

関連情報:

先頭に戻る

 

リスクベースの認証/継続的な認証で MFA 要件を満たすことはできますか?

リスクベースの認証 (適応型認証、リスクと信頼性の継続的な適応型評価 (CARTA) ともいう) は、ユーザー、ユーザーのデバイス、ユーザーがサービスにアクセスする方法やタイミングに起因する各種のシグナルを監視するという方法で、ユーザーに関連するリスクを継続的に分析する認証システムです。特定の状況におけるリスクがあるレベルに達すると、ID プロバイダまたは認証サービスが自動的に追加のセキュリティチャレンジに回答することをユーザーに義務付けます。詳細は、こちらの記事を参照してください。

リスクベースの認証システムをすでに SSO ソリューションに統合している場合は、その実装が MFA 要件に準拠します。この種のソリューションを検討する場合、提携可能なテクノロジープロバイダーが多数存在します。

関連情報:

先頭に戻る

 

会社の信頼できるデバイスで MFA 要件を満たすことはできますか?

Active Directory やモバイルデバイス管理 (MDM) などのサービスから発行された証明書を備えた、会社の信頼できるデバイスを単独で使用しても MFA 要件を満たしません。デバイス証明書が侵害され、デバイスにアクセス可能になった人物に使用されるおそれがあるためです。

デバイス証明書を使用する場合は、SSO ID プロバイダまたは自分の Salesforce 製品の MFA をオンにする必要があります。ただし、この MFA をオンにできない場合でも、次の 2 つの SSO または直接ログインの条件を満たすという方法で MFA 要件を満たすことができます。

  • ユーザーは、デバイス証明書を発行した、デバイス管理ソリューションで管理されている、会社の信頼できるデバイスからログインする必要がある。さらに、次の条件も満たす必要があります。

  • 信頼できるデバイスが、オフィスまたは会社の提供するセキュアなネットワークアクセスソリューション (VPN や Zero Trust Network Access (ZTNA) 製品) からアクセスされる会社のネットワークなど、信頼できるネットワークのみで使用されている。


また、信頼できるデバイスで Windows Defender や CrowdStrike などのエンドポイントセキュリティソフトウェアを有効にするなど、優れた IT ハイジーン方法に従うことをお勧めします。

関連情報:

先頭に戻る

 

信頼できるネットワークにログインを制限することで MFA 要件を満たすことはできますか?

信頼できるネットワークを使用するだけでは MFA 要件を満たしません。信頼できるネットワーク上で SSO にアクセスすることをユーザーに義務付ける場合は、SSO ID プロバイダの MFA をオンにする必要があります。同様に、Salesforce 製品で IP 許可リスト、信頼済み IP 範囲、またはログイン IP 範囲を使用して直接ログインを制御できる場合は、お使いの製品の MFA 機能をオンにして MFA 要件を満たすことをお勧めします。

ただし、この MFA をオンにできない場合でも、次の 2 つの条件を満たすという方法で MFA 要件を満たすことができます。

  • ユーザーは、デバイス証明書を発行した、デバイス管理ソリューションで管理されている、会社の信頼できるデバイスからログインする必要がある。さらに、次の条件も満たす必要があります。

  • 信頼できるデバイスが、オフィスまたは会社の提供するセキュアなネットワークアクセスソリューション (VPN や Zero Trust Network Access (ZTNA) 製品) からアクセスされる会社のネットワークなど、信頼できるネットワークのみで使用されている。


さらに、信頼できるデバイスで Windows Defender や CrowdStrike などのエンドポイントセキュリティソフトウェアを使用するなど、適切な IT セキュリティ対策に従うことをお勧めします。

関連情報:

先頭に戻る

 

VPN または Zero Trust Network Access を使用することで MFA 要件を満たしますか?

VPN や Zero Trust Network Access (ZTNA) 製品などのセキュアなネットワークアクセスソリューションだけでは MFA 要件を満たしません。SSO や直接ログインに MFA を使用できない場合でも、信頼できるネットワークと信頼できるデバイスを使用して Salesforce 製品にアクセスするように求めることで、MFA 要件を満たすことができます。
ユーザーが VPN や ZTNA 製品などのネットワークアクセステクノロジーを介して接続した場合、信頼できるネットワークの条件を満たします。信頼できるデバイスの条件を満たすためには、以下のいずれかが必要です。

  • 信頼できるネットワークへのアクセスを会社で管理されているデバイスに制限する

  • 会社のネットワークで管理されていないデバイスの使用を許可する場合は、ネットワークアクセスで MFA を求めるか、またはリスクベースの/継続的な認証システムを使用して、ユーザーを保護する


信頼できるデバイスと信頼できるネットワークの組み合わせを使用できない場合は、SSO ID プロバイダまたは自分の Salesforce 製品の MFA をオンにして MFA 要件を満たしてください。

関連情報:

先頭に戻る

 

ユーザー証明書で MFA 要件を満たすことはできますか?

Salesforce 組織に証明書ベースの認証を使用する場合や、SSO 実装でユーザー名とパスワードの代わりにユーザー証明書を使用する場合は、MFA 要件を満たしません。

この要件を満たすには、Salesforce 製品または SSO ID プロバイダの MFA をオンにする必要があります。ただし、この MFA をオンにできない場合でも、ユーザーがユーザー証明書を選択または受信する前に (たとえば、PIV または CAC カードを使用してログインするときに)、PIN の入力を求めるよう証明書サービスを設定して MFA を実現すれば、要件を満たすことができます。

関連情報:

先頭に戻る

 

MFA の代わりにパスワードマネージャーを使用できますか?

パスワードマネージャーは多層防御戦略で重要な役割を果たしますが、MFA の代わりにはなりません。この種類のツールを使用することで、ユーザーが強力で予測が困難なパスワードを作成し、パスワードを再利用せず、推奨されるスケジュールでパスワードを変更することを保証できます。ただし、どれほど強力なパスワードであっても、フィッシング攻撃、クレデンシャルスタッフィング、マルウェアといったよくある脅威によって侵害されるおそれがあるため、アカウントへの不正アクセスを防止する手段としては十分ではありません。パスワードマネージャーは、2 つ以上の認証要素を要求する MFA ほどはログインセキュリティを強化してくれません。

先頭に戻る

 

製品トライアルでは MFA は必要ですか?

Salesforce 製品のトライアルには、MFA 要件が適用されるまでの猶予期間があります。トライアル期間が延長されるか、45 日よりも長い場合、45 日目までに環境内のすべてのユーザーの MFA を有効にする必要があります。トライアルが本番に移行されると、直接ログインで MFA が自動的に有効になり、すべてのユーザーはユーザー名とパスワードに加えて認証方法を指定する必要があります。

先頭に戻る

 

MFA 要件から除外される製品はありますか?

はい。Salesforce では、以下のオンプレミス製品については MFA を要求しません。

  • MuleSoft Anypoint Platform On-Premises Edition。

  • On-Premises Tableau Server および Tableau Public。さらに、Tableau Desktop、Tableau Prep、Tableau Content Migration Tool (CMT)、Tableau Resource Monitoring Tool (RMT) は、Tableau Cloud に接続されていない限り除外されます。

先頭に戻る

 

パートナーとの Salesforce サブスクリプションにも MFA 要件は適用されますか?

Salesforce リセラーまたは OEM パートナーから Salesforce サブスクリプションを購入した場合でも、ユーザーに対して MFA を有効にする必要があります。MFA 要件についての詳細は、Salesforce リセラーまたは OEM パートナーにお問い合わせください。

先頭に戻る

 

環境ハブで MFA は必須ですか?

(このトピックは Salesforce Platform 上に構築された製品にのみ適用されます。)

本番組織に対する認証の結果として環境ハブにログインする場合は MFA が必要です。

Developer Edition、Partner Developer Edition、スクラッチ組織には MFA 要件が適用されません。したがって、こうした環境にアクセスするために環境ハブを使用する場合は MFA が必要ありません。

先頭に戻る

 

特権ユーザーに対してのみ MFA を有効にすることはできますか?

MFA 要件を満たすには、Salesforce 製品 (パートナーソリューションを含む) にユーザーインターフェースを通じてログインするすべての内部ユーザーが MFA を使用する必要があります。システム管理者と特権ユーザーに対する MFA を最優先にします。この種のユーザーは、攻撃者に狙われやすい権限を持っているためです。攻撃者がこの種のアカウントにアクセスすれば、リスクが高まります。

先頭に戻る

 

すべての Salesforce ユーザーに同じ MFA ソリューションを使用する必要がありますか?

MFA 要件で重要なのは、すべての Salesforce ユーザーは Salesforce 製品にアクセスするとき、パスワードに加えて強力な検証手段を提供しなければならないという点です。必要に応じて、複数の MFA ソリューションをリリースすることでこれを実現できます。たとえば、SSO ユーザーと非 SSO ユーザーが混在している場合は、直接ログインするユーザーに対して Salesforce 製品の MFA 機能を使用することに加えて、SSO 実装で MFA が有効になっていることを確認してください。

先頭に戻る

 

Salesforce 製品に直接ログインする場合の MFA

 

どの Salesforce 製品で MFA がサポートされますか?

次の Salesforce 製品には MFA 機能が付属しています。

  • Salesforce Platform 上に構築されたすべての製品: Sales Cloud、Service Cloud、Analytics Cloud、B2B Commerce Cloud、Experience Cloud、Industries 製品 (Consumer Goods Cloud、Education Cloud、Financial Services Cloud、Government Cloud、Health Cloud、Manufacturing Cloud、Nonprofit Cloud、Philanthropy Cloud)、Marketing Cloud Audience Studio (旧 DMP)、Marketing Cloud Account Engagement (Pardot)、Platform、Salesforce Essentials、Salesforce Field Service、パートナーソリューション

  • B2C Commerce Cloud

  • Heroku

  • Marketing Cloud Engagement (メール、メッセージング、ジャーニー)

  • Marketing Cloud Intelligence (Datorama)

  • Marketing Cloud Social

  • MuleSoft Anypoint Platform

  • Quip 製品

  • Tableau Cloud

これらの製品の MFA についての詳細は、Salesforce お客様向け MFA サイトを参照してください。

先頭に戻る

 

MFA が有効化されたされた場合に、MFA 要件が免除されているユースケースを除外するにはどうすればよいですか?

この FAQ に記載のとおり、自動テストや RPA アカウント、API を使用したシステムインテグレーションログイン種別、Developer Edition やスクラッチ組織など、MFA が義務付けられていないユースケースがいくつか存在します。こうしたケースの大部分は、MFA の使用義務が自動的に除外されます。ただし、製品によっては、除外するためにお客様によるアクションが必要となるユースケースがあります。

Salesforce プラットフォーム上に構築された製品
MFA の使用義務を手動で除外する必要がある MFA 免除ユースケースのリストを確認し、このアクションを実行する方法については、Salesforce ヘルプのこちらのトピックを参照してください。

B2C Commerce Cloud
次のいずれかが実装に当てはまる場合は、MFA がテナントに適用される前に次の手順を実行してください。


Marketing Cloud Engagement (メール、メッセージング、ジャーニー)
Marketing Cloud Intelligence (Datorama)
信頼できるデバイスと信頼できるネットワークの組み合わせを使用して MFA 要件を満たす予定の場合、Salesforce の担当者にお問い合わせください。

MuleSoft Anypoint Platform
MFA の使用義務を手動で除外する必要がある MFA 免除ユースケースのリストを確認し、このアクションを実行する方法については、MuleSoft ドキュメントのこちらのトピックを参照してください。

Tableau Cloud
サイトに次のいずれかが当てはまる場合は、Tableau アカウントチームまでお問い合わせください。

  • Tableau Cloud の視覚化を社外の消費者に利用可能にしている、またはユーザーガイドで許可されている方法で Tableau Cloud サイトのコンテンツにアクセス可能な外部ユーザーがいる。

  • 信頼できるデバイスと信頼できるネットワークの組み合わせを使用して MFA 要件を満たしている。

関連情報:

先頭に戻る

 

Lightning Login は MFA の一種ですか?

はい、Lightning Login を使用することで、Salesforce Platform 上に構築された製品の MFA 要件を満たすことができます。この機能を使用すると、ユーザーは拡張 MFA 環境を使用して、パスワードなしですばやく安全に Salesforce アカウントにアクセスできます。Lightning Login は、Salesforce Authenticator (ユーザーが持っているもの) とモバイルデバイスでの PIN または生体認証スキャン (ユーザーを表すもの) という 2 つの認証要素を要求することで、MFA 標準を満たします。詳細は、Salesforce ヘルプの「Lightning Login の有効化によるパスワードを使用しないログイン」を参照してください。

先頭に戻る

 

サードパーティの MFA ソリューションを使用できますか?

すでに Okta™ や Duo™ などの MFA ソリューションを使用している場合は、Salesforce 製品の MFA 機能を使用する代わりに、そのシステムと Salesforce 製品を統合することをお勧めします。ユーザーは既存のシステムを使い慣れているため、既存のソリューションと統合することで、移行への抵抗や変更管理を最小限に抑えることができます。

会社ですでに MFA が必要な既存のシングルサインオン (SSO) が実装されている場合は、Salesforce 製品を SSO システムに統合できるかどうか確認してください。ただし、すべての Salesforce ユーザーは MFA を使用する必要があります。製品に直接ログインするユーザー (Salesforce システム管理者など) がいる場合は、そのユーザーがSalesforce が提供する MFA 機能を使用していることを確認してください。

先頭に戻る

 

デバイスの有効化とは何ですか? MFA とはどのような関連がありますか?

一部の Salesforce 製品には、デバイスの有効化または ID 検証と呼ばれる機能があります。この機能は MFA と混同されることがあります。

デバイスの有効化は、認識されていないブラウザやデバイスからユーザーがログインする場合や、ユーザーの IP アドレスが信頼済み IP 範囲に含まれていない場合に、追加の認証要素を提供するように要求します。この機能でサポートされる検証手段としては、メールや SMS テキストメッセージのほか、より強力な手段として Salesforce Authenticator、サードパーティ TOTP 認証アプリケーション、セキュリティキーがあります。

一方で MFA は、ユーザーがログインするたびに強力な検証手段の提供を要求します。メールや SMS テキストメッセージは本質的に悪意のあるユーザーの攻撃に脆弱であるため、MFA ログインでは使用できません。

注意: Salesforce Platform および Marketing Cloud Engagement 上に構築された製品の場合、MFA が有効になっていると、デバイスの有効化/ID 検証は無効になります。

先頭に戻る

 

Salesforce 製品に SSO でログインする場合の MFA

 

Salesforce のシングルサインオン (SSO) を使用しています。SSO は MFA 要件を満たしますか?

SSO だけでは MFA 要件を満たしません。適切に実装された SSO 戦略を使用すれば、脆弱なパスワードやパスワードの再利用によるリスクが低減され、ユーザーはよく使用するアプリケーションに簡単にログインできるようになります。ただし、SSO 実装がユーザーログイン情報にのみ依存していると、ユーザーアカウントがフィッシングやクレデンシャルスタッフィングなどよくある攻撃に対して脆弱なままになるおそれがあります。

Salesforce 製品が SSO と統合されている場合、すべての Salesforce ユーザーに対して確実に MFA を有効にします。SSO プロバイダの MFA サービスを使用できます。また、Salesforce Platform 上に構築された製品の場合、SSO レベルで MFA を有効にする代わりに Salesforce で提供される無料の MFA 機能を使用できます。詳細は、Salesforce ヘルプの「SSO ログインでの Salesforce MFA の使用」を参照してください。

注意: すべての Salesforce ユーザーは MFA を使用する必要があります。製品に直接ログインするユーザー (Salesforce システム管理者など) がいる場合は、そのユーザーがSalesforce が提供する MFA 機能を使用していることを確認してください。

関連情報:

先頭に戻る

 

Salesforce が SSO に MFA を必須とする理由は何ですか?

SSO 実装がユーザーログイン情報のみに依存していると、ユーザーアカウントがフィッシングやクレデンシャルスタッフィングなどよくある攻撃に対して脆弱なままになるおそれがあります。MFA は、アカウントへの不正なアクセスを防ぐ最も効果的な方法の 1 つです。SSO 経由で Salesforce にアクセスするユーザーに対して MFA を実装しない場合、サイバー攻撃のリスクが高まり、ビジネスや顧客に損害を与える可能性があります。

セキュリティチームや IT チームと連携し、MFA 要件を会社の全体的なセキュリティ上の目標に合わせ、要件を満たすことをお勧めします。

SSO 経由で Salesforce にアクセスするユーザーの MFA を実装しないと、ビジネスや顧客に損害を与える可能性のあるサイバー攻撃のリスクが増大します。

先頭に戻る

 

SSO と Salesforce の両方のレベルで MFA を使用する必要がありますか?

MFA 要件を満たすには、すべての内部ユーザーが MFA を使用してログインするよう徹底します。

  • SSO ユーザーと非 SSO ユーザーが混在している場合は、SSO プロバイダの MFA サービスと Salesforce 製品の直接ログイン用の MFA 機能の両方が有効になっていることを確認してください。

  • Salesforce 製品に直接ログインするユーザーがいない場合でも、Salesforce 製品の直接ログイン用の MFA 機能を有効のままにしておくことがセキュリティ対策として推奨されます。これにより、SSO ログインに影響を与えず、管理者またはその他の特権ユーザーが製品に直接アクセスする必要がある場合に、MFA 要件に完全に準拠することが保証されます。

先頭に戻る

 

ユーザーが SSO にログインする場合、どのくらいの頻度で MFA 検証手段を使用する必要がありますか?

SSO ID プロバイダの MFA サービスを設定し、ユーザーがログインするたびにユーザー名とパスワードのほか、強力な検証手段を使用するよう義務付けることを強くお勧めします。

関連情報:

先頭に戻る

 

Salesforce は、SSO ID プロバイダの MFA が有効になっていることや、要件を満たしていることをどのように把握するのですか?

サードパーティ ID プロバイダ (IdP) を使用して Salesforce 製品にアクセスする場合、Salesforce で把握できる MFA 実装は限定的になります。MFA 要件の管理に必要なインサイトを得るために、SSO ログイン時に使用される認証方式を記述する SSO プロトコルの標準ベースの属性が活用される予定です。

大部分の SSO プロバイダでは、2 つのプライマリ属性がサポートされています。OpenID Connect (OIDC) では認証メソッド参照 (amr) が使用され、SAML では認証コンテキスト (AuthnContext) が使用されます。現在、OIDC amr は Salesforce Platform 上に構築された製品で使用でき、データをエクスポートすれば LoginHistory の値を確認できます。今後のリリースで、OIDC amr が他の Salesforce 製品に拡張され、SAML AuthnContext のサポートがすべての製品に追加される予定です。

先頭に戻る

 

SSO への MFA は有効化されますか? それとも強制適用されますか?

Salesforce がお客様の代わりにアクションを実行して、SSO ID プロバイダの MFA を有効にすることはありません。また、SSO サービスで MFA が義務付けられていないからといって、Salesforce 製品へのアクセスをブロックしたり、MFA チャレンジをトリガーしたりする予定もありません。このポリシーは将来変更される可能性があります。

ただし、契約上のこの MFA 要件は、Salesforce の『Trust and Compliance Documentation (信頼とコンプライアンスに関するドキュメント)』の「Notices and Licenses Information (通知およびライセンス情報)」セクションおよび適切な Salesforce ユーザーガイドに従ってSSO を使用して Salesforce 製品にアクセスするすべての Salesforce 内部ユーザーに適用されます。SSO ログインに対して MFA を有効にしていない場合は、「MFA 要件を満たさない場合はどうなりますか?」を参照してください。また、法務部門と相談のうえ、コンプライアンス違反による帰結について理解しておいてください。

要件を満たすことに懸念がある場合は、Salesforce の担当者にお問い合わせください。Salesforce がお客様と協力して解決策を模索します。

先頭に戻る

 

SSO プロバイダの MFA サービスを使用する代わりに、Salesforce の MFA 機能を使用できますか?

Salesforce Platform 上に構築された製品の場合、SSO プロバイダの MFA サービスではなく Salesforce で提供される MFA 機能を使用できます。この手法の場合、ユーザーは SSO ログインページからログインします。ログインすると Salesforce に進み、MFA 検証手段を提供して ID を確認するように求められます。詳細は、Salesforce ヘルプの「SSO ログインでの Salesforce MFA の使用」を参照してください。

注意: このオプションは他の Salesforce 製品では使用できません。

先頭に戻る

 

Salesforce システム管理者の SSO を有効化できますか? SSO が停止したらどうなりますか?

システム管理者は常に、お使いの Salesforce 製品に自分のユーザー名とパスワードで直接ログインできるようにしておく必要があります。SSO 実装でサービスの停止などの問題が発生するとログインできなくなってしまうため、Salesforce システム管理者に対して SSO を有効にすることはお勧めしません。たとえば、サードパーティの SSO プロバイダでサービス停止が続いている場合、システム管理者は Salesforce 製品の標準ログインページから自分のユーザー名とパスワードを使用してログインし、問題が解決されるまで SSO を無効化できます。Salesforce システム管理者の場合、SSO を使用する代わりに、Salesforce 製品で直接システム管理者アカウントに対して MFA を有効にすることをお勧めします。

先頭に戻る

 

Salesforce ユーザーに SSO ログインを適用するにはどうすればよいでしょうか?

会社で SSO を使用して Salesforce にアクセスする場合、すべての標準ユーザーの直接ログインを無効にすることをお勧めします。Salesforce ユーザー名とパスワードを使用したログインを防止するには、ユーザーが SSO システムをバイパスできないようにします。影響を受けるユーザーが、SSO ログインページにアクセスできる URL を認識していることを確認します。これを行う手順についての詳細は、Salesforce ヘルプの「Disable Logins with Salesforce Credentials for SSO Users (SSO ユーザーの Salesforce ログイン情報を使用したログインの無効化)」を参照してください。

先頭に戻る

 

SSO が停止してユーザーが Salesforce 製品に直接ログインする必要がある場合にはどうすればよいですか?

SSO サービスが停止した場合のフォールバックとして、Salesforce 製品への直接ログインを許可する場合は、Salesforce 製品が提供する MFA 機能が有効になっていることと、影響を受けるすべてのユーザーに MFA が適用されていることを確認してください。また、これらのユーザーには、直接ログインする必要がある場合に遅延が発生しないように、今すぐ Salesforce アカウントの検証手段を登録することをお勧めします。製品の MFA ヘルプドキュメントへのリンクについては、Salesforce お客様向け MFA サイトを参照してください。

先頭に戻る

 

MFA の検証手段

 

MFA 要件を満たす検証手段はどれですか?

まず、直接ログインに SSO ID プロバイダの MFA サービスまたは Salesforce の MFA を使用しているかどうかに関係なく、要件を満たさない検証手段から説明します。


MFA 要件を満たすには、サイバー攻撃 (フィッシング攻撃、中間者攻撃など) に対して強い耐性のある検証手段を使用する必要があります。強力な検証手段により、Salesforce 製品にアクセスするユーザーが本人であることが高いレベルで保証されます。

SSO の場合:
上記のオプション以外で、ID プロバイダの MFA ソリューションでサポートまたは統合されているいずれかの手段を使用します。

Salesforce MFA の場合:
Salesforce 製品の MFA 機能でサポートされているいずれかの手段を使用します。

  • Salesforce Authenticator モバイルアプリケーション (App Store® または Google Play™ で入手可能)

  • 時間ベースのワンタイムパスワード (TOTP) 認証アプリケーション (Google Authenticator™、Microsoft Authenticator™、Authy™ など)

  • WebAuthn または U2F をサポートするセキュリティキー (Yubico の YubiKey™、Google の Titan™ セキュリティキーなど)

  • Touch ID®、Face ID®、Windows Hello™ などの組み込み認証アプリ

各手段の利点と考慮事項については、Salesforce ヘルプのこちらのトピックを参照してください。

MFA の実装では、ビジネスやユーザーのニーズに最も適した 1 つまたは複数の手段を選択します (このトピックのガイダンスに留意します)。

先頭に戻る

 

ユーザーは複数の検証手段を登録できますか?

はい。実際、普段使用している検証手段を忘れたり紛失したりした場合のバックアップとして複数の検証手段を登録しておくことを推奨しています。

ユーザーが複数の検証手段を設定すると、ログイン時には自動的に最も安全な方から要求されます。MFA でのログイン時に求められる検証手段の優先順位は次のようになっています。

  1. Salesforce Authenticator

  2. 組み込み認証アプリ

  3. セキュリティキー

  4. サードパーティの時間ベースのワンタイムパスワード (TOTP) 認証アプリケーション

注意: Quip 製品では、現時点では 1 つの検証手段しか登録できません。

先頭に戻る

 

MFA 検証手段でメール、SMS、または電話連絡を使用できますか?

いいえ。直接ログインに Salesforce MFA を使用している場合でも、SSO プロバイダの MFA サービスを使用している場合でも、メール、SMS テキストメッセージ、電話連絡で配信されるワンタイムパスコードは、MFA 要件を満たしません。メールのログイン情報が窃取されたり、テキストメッセージや通話が傍受されたりする可能性があるためです。悪意のあるユーザーが実際のモバイルデバイスや物理的なセキュリティキーを制御することは、メールアカウントへの侵入や携帯電話番号のハッキングよりもはるかに困難です。

注意: 顧客やパートナーの Experience Cloud サイトに MFA を実装する場合は、外部ユーザーが検証手段に SMS テキストメッセージを使用してログインできます。これによって、重要なビジネスデータを扱わないユーザーのアクセスを容易に保ちつつ、サイトのセキュリティを一層強化できます。詳細は、Salesforce ヘルプのこちらのトピックを参照してください。

先頭に戻る

 

Salesforce でサポートされている MFA 検証手段の詳細についてはどこで確認できますか?

Salesforce ヘルプのこちらのトピックを参照してください。

先頭に戻る

 

デスクトップまたはブラウザベースの TOTP 認証アプリケーションを使用できますか?

ベストプラクティスとして、モバイル認証アプリケーション、物理的なセキュリティキー、組み込み認証アプリを使用することをお勧めします。これらの検証手段はユーザーのラップトップやワークステーションとは別に存在するためです。こうしておけば、悪意のある攻撃者がどうにかユーザーのコンピューターにアクセスできても、2 番目の要素まで侵害されることがありません。

TOTP デスクトップ認証アプリケーション、ブラウザ拡張機能、TOTP をサポートするパスワードマネージャーツールがユーザーが使用できる唯一のオプションである場合は、これらの手段で MFA 要件を満たすことができます。

注意: Salesforce 環境へのログインに Synebo Chrome 拡張機能を使用することは、MFA 要件に準拠しません。

関連情報:

先頭に戻る

 

Salesforce ではパスワードマネージャーが生成した TOTP コードはサポートされますか?

ベストプラクティスとして、モバイルアプリケーションや物理的なセキュリティキーなどの検証手段を使用することをお勧めします。これらはユーザーのラップトップやワークステーションとは別に存在するためです。こうしておけば、悪意のある攻撃者がどうにかユーザーのコンピューターにアクセスできても、2 番目の要素まで侵害されることがありません。多くのパスワードマネージャーでは、ユーザーが MFA 認証用の時間ベースのワンタイムパスワード (TOTP) を生成できます。この機能は、モバイルデバイスからアクセスするパスワードマネージャーでのみ使用するか、パスワードマネージャー自体に MFA 保護機能がある場合にのみ使用する (生体認証を使用している場合など) ことをお勧めします。

先頭に戻る

 

私の会社では、サポートされている MFA 検証手段のいずれも使用できません。MFA 要件を満たすにはどうすればよいでしょうか?

一部のお客様が MFA の実装に問題を抱えていることも理解しています。Salesforce は、お客様の組織のセキュリティ面やコンプライアンス面への影響を回避するための方策として MFA を活用できるようにします。要件を満たすことができないのではないかと懸念している場合は、Salesforce の担当者にお問い合わせください。お客様と協力して解決策を模索します。

先頭に戻る

 

ユーザーはモバイルデバイスを持っていません。それでも MFA を使用できますか?

はい。Salesforce 製品では、認証アプリケーションまたはモバイルデバイスを使用する必要がない MFA の検証手段がサポートされています。物理的なセキュリティキーまたは組み込み認証アプリをお勧めします。

予算の都合やハードウェアの制約により、この 2 つのオプションを利用できない場合は、TOTP デスクトップ認証アプリケーションまたはブラウザ拡張機能を使用してこの要件を満たすことも可能です。

関連情報:

先頭に戻る

 

モバイル認証アプリケーションを使用するにはデータ接続が必要ですか? 接続が切れた状態でもログインできますか?

Salesforce Authenticator モバイルアプリケーションでは、プッシュ通知やロケーションベースの自動検証によって認証を行うため、データ接続が必要です。ユーザーのモバイルデバイスがオフラインの場合でも、認証アプリケーションが常に生成する時間ベースのワンタイムパスワード (TOTP) の一意のコードを使用して認証を行えます。サードパーティ TOTP 認証アプリケーションも、デバイスがオフラインであっても動作します。

先頭に戻る

 

MFA の準備をする

 

MFA を有効にすると、ユーザーにどのような影響がありますか?

ユーザーインターフェースログインに対して MFA を有効にすると、各ユーザーは最低 1 つの検証手段を登録しなければログインできなくなります。登録プロセスでは、その検証手段がユーザーの Salesforce アカウントに接続されます。ユーザーはいつでも検証手段を登録できます。MFA が有効になるまでにユーザーが検証手段を準備していない場合は、ユーザーは次にログインしたときに検証手段を登録するように求められ、登録の手順が画面に表示されます。

以降のすべてのログイン時には、ユーザー名とパスワードに加えて、登録済みの検証手段を指定するように求められます。

MFA がログイン環境に与える影響の概要については、こちらの短い動画をご覧ください。

先頭に戻る

 

MFA に対してどうやってユーザーに準備させればいいですか?

概念とベストプラクティスについては、Salesforce ヘルプの「多要素認証に向けたユーザーの準備」を参照してください。また、多要素認証ロールアウトパックをダウンロードして、カスタマイズ可能な変更管理やオンボーディングのテンプレートを入手します。

先頭に戻る

 

ユーザーが Salesforce 製品に直接ログインする場合、どのくらいの頻度で検証手段に入力する必要がありますか?

Salesforce の MFA 機能を使用している場合、ユーザーは Salesforce 製品にログインするたびに MFA チャレンジに応答する必要があります。これは、何も操作を行わずにセッションが無効になった場合や、セッションが期限切れになった場合の再ログイン時も同様です。MFA チャレンジの頻度は変更できません。

先頭に戻る

 

ユーザーへの影響を減らすために、追加の認証手順を自動化したり、Salesforce 製品で求められる追加の認証手順の頻度を制御したりすることはできますか?

MFA が意図されている保護を実現するためには、ユーザーが Salesforce 製品に直接ログインするたびに検証手段に入力する必要があります。ユーザーの負担を減らすには、Salesforce Authenticator を使用することをお勧めします。信頼できる場所 (オフィスや自宅など) からユーザーが作業している場合、このアプリケーションによって追加の認証手順を自動化できます。つまり、このような場所からログインする場合、ユーザーは電話を操作する必要はありません。このオプションはユーザー自身で設定できます。詳細は、Salesforce ヘルプの「Salesforce Authenticator を使用した多要素認証の自動化」を参照してください。

また、ユーザーが同じ場所から 3 回認証されると、Salesforce Authenticator はその場所を自動的に信頼します。このオプションを設定するには、「Salesforce Authenticator による信頼できる場所のインテリジェントな保存」を参照してください。

先頭に戻る

 

検証手段を置き換える必要がある場合、または検証手段が機能しなくなった場合、ユーザーはどうすればよいですか?

(このトピックは、Salesforce Platform 上に構築された製品にのみ適用されます)

時間が経過すると、ユーザーが携帯電話およびコンピューターを新しいモデルに買い換えることは避けられません。古いデバイスで MFA 用の認証アプリまたは組み込み認証アプリを実行していた場合、その認証方法を新しいハードウェアに切り替える必要があります。同様に、ユーザーは物理的なセキュリティキーを新しいものに変更することになる場合もあります。このような場合は、まずユーザーの既存の認証方法の接続を解除し、その代わりの方法を登録できるようにします。ログインしようとしたときに検証手段が機能しなくなったとユーザーから報告があった場合は、検証手段の接続を解除してリセットし、ユーザーに MFA に再登録してもらいます。

製品固有のガイダンスについては、Salesforce お客様向け MFA サイトを参照してください。また、「ユーザーが検証手段を忘れたり紛失したりした場合には、どうやってアクセスすることができますか?」を確認し、ユーザーアクセスを迅速に復元します。

先頭に戻る

ユーザーが検証手段を忘れたり紛失したりした場合には、どうやってアクセスすることができますか?

ユーザーが通常の検証手段を忘れたり紛失したりした場合にサポートするオプションは、Salesforce 製品によって異なります。

注意: 製品の唯一のシステム管理者がロックアウトされた場合は、Salesforce カスタマーサポートにお問い合わせください。

システム管理者が生成する一時的な検証コード
一部の製品では、システム管理者は、ユーザーが検証手段なしでログインできるようにする一時コードを生成できます。次の手順に従います。

ユーザーが生成したリカバリコード
これらの製品では、ユーザーは1 度のみ使用できるリカバリコードが 10 個記載されたリストを生成し、必要になるまで安全な場所に保管できます。これらのコードは、ユーザーの通常の検証手段が利用できない場合の代替手段としてのみ使用してください。次の手順に従います。

MFA のリセット
MuleSoft Anypoint Platform では、システム管理者は検証手段を紛失したり忘れたりしたユーザーの MFA をリセットできます。ユーザーは次回ログイン時に新しい手段を登録するよう求められます。

先頭に戻る

 

MFA を有効にした後でシステム管理者がロックアウトされないようにするには?

アクセス回復計画を準備して、通常の検証手段にアクセスできなくなった場合にシステム管理者が実行できる手順を用意しておいてください。次のベストプラクティスを検討してください。

  • 各システム管理者は、少なくとも 2 つの検証手段を登録する必要があります。

  • バックアップセキュリティキーは、職場の安全な場所に保管します。

  • ユーザーと MFA 設定を管理する権限を持つアカウントを少なくとも 2 つ用意します。こうすることで、一方のアカウントがロックアウトされても、他方のアカウントを使用してアクセスを回復できます。

先頭に戻る

 

一部のユーザーは同じ Salesforce アカウントを共有しています。MFA はこの状況でどのように機能しますか?

Salesforce では、複数のユーザーが同じログイン情報を共有することを禁止しています。MFA では、各ユーザーが固有の検証手段を登録して自分の Salesforce アカウントに接続しなければログインできません。複数のユーザーが同じアカウントを共有している場合、MFA を有効にすると、1 人のユーザーのみがそのアカウントにログインできます。

使用中のアカウントや資格情報を共有している場合は共有を解消してください。Salesforce 製品にアクセスするユーザーごとに個別のアカウントを設定するのに必要な数のライセンスがあることを確認してください。個別のユーザーアカウントの設定については、アカウントエグゼクティブまたは営業チームまでお問い合わせください。もしくは、「アカウント管理とオンライン購入を行うための Salesforce Checkout およびセルフサービス」を参照してください。

先頭に戻る

 

MFA は Sandbox 環境でどのように機能しますか?

(このトピックは Salesforce Platform 上に構築された製品にのみ適用されます。)

Sandbox 環境の MFA を管理するための戦略を作成するには、Salesforce ヘルプの「多要素認証の Sandbox の設定に関する考慮事項」を参照してください。

関連情報:

先頭に戻る

 

Salesforce パートナー/サービスプロバイダ向け MFA 要件ガイダンス

 

Salesforce サービスプロバイダが管理サービスを実行するために、お客様提供のライセンスを使用してお客様組織にアクセスする場合、MFA は必須ですか?

はい。詳細は、「お客様が 1 つのライセンスを Salesforce サービスプロバイダに割り当て、そのライセンスを複数のサービスプロバイダユーザーで共有することはできますか?」を参照してください。

先頭に戻る

 

お客様が 1 つのライセンスを Salesforce サービスプロバイダに割り当て、そのライセンスを複数のサービスプロバイダユーザーで共有することはできますか?

できます。ただし、次の条件を満たす場合に限られ、次の追加の規約が適用されます。(i) かかるユーザーはすべて、かかるサブスクリプションを、お客様の Org での本サービスの使用に関連してお客様にサポートまたはその他のサービスを提供する目的でのみ使用する Salesforce サービスプロバイダの人員でなければならず、(ii) かかるユーザーは、前述の使用に関連して、複数のサービスプロバイダユーザーが単一のサブスクリプションを使用しても MFA を実装することができ、ロールベースのアクセス制御や最小権限などの技術を使用して、許可されたユーザーにのみアクセス権限を制限する機能を提供する特権アカウント管理ツールまたはエンタープライズパスワード管理ソリューションを使用しなければならず、(iii) お客様は、当該ユーザーによるこれらのサブスクリプションの使用について責任を負うものとします。

Salesforce では、いつでも上記のユースケースの条件を変更し、この許可された使用を完全に終了する権利を有します。

この場合に MFA 要件を満たす方法に関する詳細なガイダンスは、ナレッジ記事「パートナー管理共有ログインユースケースで MFA 要件を満たす方法」を参照してください。

先頭に戻る

 

コミュニティに Platform ユーザーライセンスを使用しています。MFA 要件はこのユースケースにどのように適用されますか?

MFA は会社の Experience Cloud サイト (従業員コミュニティなど) にのみアクセスできる外部ユーザーには必要ありませんSalesforce Platform 上に構築された製品の場合、外部ユーザーとは Community、Employee Community、または External Identity ライセンスを持つユーザーのことです。

パートナーソリューションで外部ユーザーのコミュニティを構築したけれども、Experience Cloud ではなく Platform ライセンスを使用している場合は、次の手順に従ってサポートケースを登録してください。

  1. Salesforce ヘルプで、Salesforce パートナープログラムサポートのケースを開きます。

  2. [Partner Programs & Benefits (パートナープログラムと特典)] でケースを登録し、トピックとして [ISV Technology Request (ISV テクノロジー要求)] を選択します。

先頭に戻る

 

MFA 要件は登録者コンソールの使用にどのように影響しますか?

  • ライセンス管理組織 (LMO) にログインするときに MFA が必須となります。詳細は、Salesforce リリースノートの「登録者組織へのログインで多要素認証を要求」を参照してください。MFA と [他のユーザーとしてログイン] については、こちらのリリースノートを参照してください

  • パートナーが登録者サポートコンソール機能にアクセスするには、ライセンス管理組織 (LMO) に MFA を設定する必要があります。高保証の設定をテストするためにリリース ToDo を使用する以前の方法は、使用できなくなりました。MFA 権限セットを使用するパートナーは、[レポート & ダッシュボード] を使用して、高保証が正しく設定されているかどうかをテストできるようになりました。MFA 権限セットユーザーアカウントに高保証セッションがあることを確認するには、この手順に従ってください。

先頭に戻る

 

 

詳細情報

 

Salesforce 製品の MFA に関する詳細はどこで確認できますか?

Salesforce は、お客様が MFA を正常に実装できるようサポートいたします。Salesforce では、MFA をより快適に使いこなし、お客様の製品で MFA を管理する方法を学ぶためのさまざまなリソースを用意しています。

先頭に戻る

 

MFA または MFA 要件について質問がある場合はどこに問い合わせればよいですか?

ご不明な点がございましたら、Trailblazer Community の「MFA - Getting Started」にご参加ください。Salesforce のセキュリティの専門家や、MFA の実装を進めているその他の Trailblazer システム管理者への質問を投稿することができます。

Salesforce パートナーおよびサービスプロバイダの方は、Partner Community のトレイルに参加してください。

先頭に戻る

 

改訂履歴

 

日付

改訂内容

2024-05-28

2021~2024 年

  • この記事の改訂履歴はアーカイブされています。


 

ナレッジ記事番号

000396727

 
読み込み中
Salesforce Help | Article