パートナー管理共有ログインユースケースで MFA 要件を満たす方法

目次

• パートナー管理ユースケースで MFA 要件を満たすためのソリューション
• パートナー管理ユースケースソリューションを実装する必要があるユーザー
• パートナー管理ユースケースソリューションの実装方法
• パートナー管理ユースケースソリューションの実装期日
• 追加のサポート
• よくある質問

パートナー管理ユースケースで MFA 要件を満たすためのソリューション

お客様は Salesforce サービスプロバイダに、サービスプロバイダのユーザーごとに必要な数の固有のライセンスを提供し、その後組織の MFA を有効にすることを強くお勧めします。これが最も安全な方法です。

これが実行できない場合、限られた数のライセンスを Salesforce サービスプロバイダに割り当てているお客様は、次の条件を満たすことで MFA 要件に準拠できます。

• 共有資格情報の MFA 検証方法として機能する特権アカウント管理ツールまたはエンタープライズパスワード管理ツールをリリースするように Salesforce サービスプロバイダに依頼します。
• 特権アカウント管理ツールまたはエンタープライズパスワード管理ツールでは MFA の使用がサポートされている必要があり、MFA が有効になっている必要があります。
• このツールでは、ロールベースのアクセス制御や最小権限などの技術を使用してアクセス権限を承認済みのユーザーにのみ制限する機能を提供する必要があります。
• 本ツールのユーザーは全員、サービスプロバイダの従業員である必要があります。これらのユーザーは、サポートまたは他のサービスをお客様に提供する目的でのみ 1 つのライセンスを使用している必要があります。
• お客様が提供した Salesforce ライセンスをサービスプロバイダが使用することについての責任はお客様が負います。

サービスプロバイダは MFA の使用をサポートする特権アカウント管理ツールをリリースすることを強くお勧めします。このオプションでは、共有ログインを、ログインした実際のユーザーまで追跡できるため、監査履歴が提供され、セキュリティが向上します。特権アカウント管理ツールの使用ができない場合、サービスプロバイダは MFA をサポートするエンタープライズパスワード管理ツールの使用を検討します。

注意: Salesforce は特定のツールの使用を推奨するものではありません。ツールは上記の機能要件を満たす必要があります。

Salesforce は、いつでも MFA および前述のユースケースの条件を変更したり、この許可された使用を完全に中止したりする権利を有します。

関連情報:

• Salesforce 多要素認証に関する FAQ (MFA とパートナー管理ユースケースに関する契約上のポリシー)

• サービスプロバイダの独自のパスワード管理ツールはパートナー管理ユースケースのソリューションとして機能しますか?

パートナー管理ユースケースソリューションを実装する必要があるユーザー

サービスプロバイダのお客様には、パートナー管理サービス用にサービスプロバイダに提供したライセンスを含め、組織のすべてのライセンスが MFA 要件に準拠していることを徹底する契約上の義務があります。

サービスプロバイダまたはそのお客様は、お客様から提供されたライセンスを使用してログインする個々のサービスプロバイダユーザーを含め、お客様の組織のすべての内部ユーザーに対して MFA を有効にする必要があります。

お客様から提供されたライセンスを共有している個々のサービスプロバイダユーザーがお客様の組織にログインするときに確実に MFA チャレンジに対応できるようにするために、サービスプロバイダは特権アカウント管理ツールまたはエンタープライズパスワード管理ツールを設定する必要があります。また、サービスプロバイダはすべての共有資格情報をツールに保存して、お客様の組織の MFA 実装と連携するように設定する必要があります。

ほとんどの場合、パートナー管理ユースケースソリューションに関する Salesforce からのコミュニケーションとガイダンスは Salesforce サービスプロバイダ向けであるため、サービスプロバイダは MFA 要件を満たす方法に関してお客様と連携する必要があります。お客様が Salesforce に直接連絡を取り、延長が認められた場合、Salesforce はそのお客様およびそのサービスプロバイダと直接やり取りします。
 

パートナー管理ユースケースソリューションの実装方法

Salesforce サービスプロバイダとそのお客様がパートナー管理ユースケースソリューションを実装する方法の概要を次に示します。
 

1. サービスプロバイダが特権アカウント管理ツールまたはエンタープライズパスワード管理ツールをインストールします。
2. サービスプロバイダはすべての共有資格情報を特権アカウント管理ツールまたはエンタープライズパスワード管理ツールに追加します。
3. サービスプロバイダまたはそのお客様はお客様の組織で MFA を有効にします。
4. 個々のサービスプロバイダユーザーが共有アカウントにログインします。お客様の組織から要求されたら、サービスプロバイダは特権アカウント管理ツールまたはエンタープライズパスワード管理ツールを共有アカウントの MFA 検証方法として登録します。  
5. その後、個々のサービスプロバイダユーザーがログインするたびに、特権アカウント管理ツールまたはエンタープライズパスワード管理ツールによって、共有アカウントのユーザー名とパスワードが自動的に入力され、ユーザーはツールが生成したワンタイムパスコードを入力し、ログインできます。

パートナー管理ユースケースソリューションを適用するための具体的なステップは、Salesforce サービスプロバイダが使用を決定した実際の特権アカウント管理ツールまたはエンタープライズパスワード管理ツールによって異なります。ツールの設定と、MFA の使用の設定に関する詳細なガイダンスは、ツールの製品ドキュメントを参照してください。
 

パートナー管理ユースケースソリューションの実装期日

サービスプロバイダユーザーごとに固有のライセンスを提供できないお客様が MFA 要件に準拠するためには、Salesforce サービスプロバイダは速やかに特権アカウント管理ツールまたはエンタープライズパスワード管理ツールを実装し、サービスプロバイダまたはお客様はお客様の組織で MFA を有効にする必要があります。

パートナー管理ユースケースの延長が認められている場合、このドキュメントで説明されているソリューションを延長期間が終了する前に実装する (または十分な数の新しいライセンスを購入する) 必要があります。延長の規約に従い、Salesforce がパートナー管理ユースケースのソリューションを発表した場合、サービスプロバイダとそのお客様にはソリューションの各自の部分の実装、または MFA 要件準拠のために 1 年の猶予が与えられます。Salesforce は、2022 年 10 月 13 日にパートナー管理ユースケース ソリューションを公開しました。すべてのパートナー管理ユースケースの拡張機能 (ソリューションの公開日以降に付与された拡張機能を含む) は、2023 年 11 月 15 日に期限切れになりました。

パートナー管理ユースケースの延長が終了すると、追加時間や延長は認められず、Salesforce の自動有効化が適用されます。

追加のサポート

このドキュメントの最後にある FAQ を確認してください。

質問に対する回答が見つからない場合、サービスプロバイダは次のリソースを使用してください。

• ISVForce または OEM パートナー: 「AppExchange & ISV Technical Enablement」コラボレーショングループに直接質問してください。
• コンサルティングパートナーまたはマネージドサービスプロバイダ: 「Consulting Partner Questions & Answers」コラボレーショングループに直接質問してください。

よくある質問

Salesforce サービスプロバイダとそのお客様はパートナー管理ユースケースが適用されるかどうかをどのようにして確認できますか?

サービスプロバイダがお客様から提供されたライセンスを共有してお客様の本番組織の管理作業を実施している場合、パートナー管理ユースケースが適用されます。このような作業には、実装、テスト、トレーニング、継続的メンテナンス、その他のサポートが含まれます。

確実に把握するには、お客様は監査を実行し、サービスプロバイダが組織内でライセンスをサービスプロバイダまたはお客様のリソースと共有しているかどうかを確認します。
 

サービスプロバイダの独自のパスワード管理ツールはパートナー管理ユースケースのソリューションとして機能しますか?

お客様のサービスプロバイダが独自のパスワード管理ツールを使用している場合、ツールは共有ライセンスを使用してログインする個々のサービスプロバイダユーザーごとの MFA の使用に対応している必要があります。共有ライセンスに対して MFA を設定できない場合、独自のパスワード管理ツールは MFA 要件を満たしていません。

独自のツールは、「パートナー管理ユースケースで MFA 要件を満たすためのソリューション」で指定された他の要件も満たす必要があります。
 

今後、Salesforce はパートナー管理ユースケース用の製品ベースのソリューションを実装または作成しますか?

いいえ、MFA とパートナー管理ユースケースに対処する製品ベースのソリューションを実装する予定はありません。
 

サービスプロバイダとそのお客様はパートナー管理ユースケースで MFA の使用をオプトアウトできますか?

できません。パートナー管理ユースケースのソリューションが使用可能になったため、サービスプロバイダとそのお客様はこのソリューションを使用して MFA 要件を満たす必要があります。または、サービスプロバイダに対して、サービスプロバイダのユーザーごとに固有のライセンスを提供することもできます。パートナー管理ユースケースで MFA の使用をオプトアウトするための例外プロセスやオプションはありません。
 

私のお客様の組織でパートナー管理ユースケースが延長されました。延長の期限はいつ切れますか? 延長が終了するとどうなりますか?

延長の規約に従い、Salesforce がパートナー管理ユースケースのソリューションを発表した場合、Salesforce サービスプロバイダとそのお客様には、パートナー管理ユースケースのソリューションの各自の部分の実装、または MFA 要件準拠のために 1 年の猶予が与えられます。Salesforce は、2022 年 10 月 13 日にパートナー管理ユースケース ソリューションを公開しました。すべてのパートナー管理ユースケースの拡張機能は、2023 年 11 月 15 日に期限切れになりました。

パートナー管理者ユースケースの拡張機能の有効期限が切れたため、影響を受けるサービス プロバイダーと顧客は、このドキュメントで公開されているパートナー管理者ユースケース ソリューションを実装するか、追加のライセンスを購入して MFA 要件に準拠する必要があります。拡張機能の対象となるすべてのユーザーと組織は、MFA 要件の対象となります。2022 年 2 月 1 日に適用された MFA 要件についての詳細は、「Salesforce 多要素認証に関する FAQ」を参照してください。
 

サービスプロバイダまたはお客様がパートナー管理ユースケースのソリューションを適用しない場合、どうなりますか?

サービスプロバイダまたはお客様がパートナー管理ユースケースの承認済みソリューションを適用しない場合、お客様の組織は MFA に関する契約上の要件に準拠していないことになります。お客様の組織は自動有効化のマイルストンのタイミングで、それらのマイルストンが有効化されます。

組織がパートナー管理のユースケースの延長を許可された場合、サービス プロバイダーとその顧客は 2023 年 11 月 15 日までに承認されたソリューションを採用する必要があり、その期限を過ぎると組織は MFA 要件に準拠しなくなります。

ソリューションを使用するには、「パートナー管理ユースケースで MFA 要件を満たすためのソリューション」および「パートナー管理ユースケースソリューションを実装する必要があるユーザー」を参照してください。
 

パートナー管理ユースケースソリューションを使用して、他のライセンス共有方法に対して MFA 要件を満たすことはできますか?

できません。パートナー管理ユースケースソリューションは、サービスプロバイダがお客様から提供されたライセンスを共有してお客様の組織でお客様に代わって管理作業を実施する場合にのみ、厳密に制限されます。お客様またはサービスプロバイダがパートナー管理ユースケース以外の理由でライセンスまたはアカウントログインを共有している場合、Salesforce メインサービス契約 (MSA) に直接的に違反していることになります。このドキュメントで説明されているソリューションを使用して、このようなケースの MFA 要件を満たすことはできません。

たとえば、お客様がユーザー名とパスワードをサービスプロバイダと共有して、サービスプロバイダにお客様の組織へのアクセス権を付与し、パートナー管理作業を実施させることは許可されていません。また、個々のサービスプロバイダユーザーが自身のパートナービジネス組織のサービスプロバイダのライセンス管理組織でライセンスを共有し、お客様の組織を管理することも許可されていません。

追加でログインが必要なサービスプロバイダまたはお客様は、追加のライセンスを購入する必要があります。