予期せぬまたは頻繁なデバイスの有効化（Device Activation）発生の解決方法（非SSOログイン）

セールスフォースではセキュリティ強化および不正なアカウントからのアクセス防止のため、ユーザーログイン時のデバイスの有効化（Device Activation）の動作変更を実施いたします。この変更は、無料組織（トライアル組織、非サンドボックス等）には2025年9月上旬に実施済みであり、有料組織（本番環境およびサンドボックス環境）向けには米国太平洋標準時間2025年10月末（9月26日、10月2日から変更になりました）に適用されました。

SSOログイン時のデバイスの有効化（Device Activation）に関する今後の変更点については、こちらの記事をご参照ください：SSOログインにおけるデバイスの有効化（Device Activation）の変更 

変更内容：

稼働中の本番環境およびサンドボックス組織において、組織レベルのネットワークアクセス設定またはプロファイルレベルのログインIP範囲のいずれかで許可されているIPアドレスの範囲が過度に広範な場合、ユーザー名とパスワードによるユーザーログインが発生すると、デバイスの有効化（Device Activation）が強制適用されます。

トライアル組織・デモ組織ではデバイスの有効化（Device Activation）は、たとえ信頼されたIPの範囲からセールスフォースにアクセスする場合でも、常に要求されます。 詳細はこちらを参照して下さい Device Activation is Always Required for Non-Revenue Orgs Release

デバイスの有効化（Device Activation）とは：

デバイスの有効化（Device Activation）は、信頼されたIP範囲外、または認識されていないブラウザ、デバイスからログインする際、ユーザーに本人確認を求めるセキュリティ機能です。

メール認証は、ほとんどのユーザーにとって主要な認証方法となります。ログイン時には、ユーザーのメールアドレス宛に送信される認証コードによる確認が必要となります。ユーザーがより強力な認証方法（Salesforce Authenticator、サードパーティ製認証アプリ、セキュリティキー、組み込み認証アプリ、SMS認証）を登録されている場合、メールへのコード送信に代わり、そのより強力な認証方法が使用されます。

この変更によりデバイスの有効化（Device Activation）が発生する条件：

Salesforceへの多要素認証（MFA）がユーザーに対して無効化されており、かつ以下のいずれかの条件が満たされている場合において、Salesforceのユーザー名とパスワードを使用した直接的なユーザーインターフェースログイン時に、デバイスアクティベーションが要求されます。

1. 全ての有効な本番環境組織及びサンドボックス組織: 組織レベルのネットワークアクセス設定（組織の信頼済み IP 範囲の設定）またはプロファイルレベルのログインIP範囲（プロファイルでのログインIPアドレスの制限）のいずれかで設定された許可されたIPアドレス範囲の合計が16,777,216アドレスを超える場合

2. 全ての無料組織、トライアル組織、スクラッチ組織、またはサンドボックスではないデモ組織 : 組織またはユーザーのプロファイルに設定されたIPアドレス範囲にかかわらず、デバイスのアクティベーションが要求されます。 

3. 全ての組織: 信頼済みIPアドレス範囲が設定されていない場合、ユーザーは新しいブラウザやデバイスからログインする際、本人確認を求められます。（この動作は従来から実施されており、変更はありません。）

デバイスの有効化（Device Activation）の対象外となるユーザーログイン：

1. ユーザー名とパスワードによる直接ログインで多要素認証（MFA）が適用されている場合、デバイスの有効化（Device Activation）の要求がされません。注: シングルサインオン（SSO）ログインは、デバイスの有効化（Device Activation）の対象外ではありません。Salesforceのセキュリティ強化の一環として、シングルサインオン（SSO）ログインにおいてもデバイスの有効化が必要となります。2026年1月20日より、SalesforceはSSOユーザーログインに対するデバイスの有効化を強制する変更を順次適用開始します。（参考：SSOログインにおけるデバイスの有効化（Device Activation）の変更）

2. 組織レベルのネットワークアクセス（Network Access）設定またはプロファイルレベルのログインIP範囲で設定されたIPアドレスからのログインは、上記で定義された総IPアドレス数の制限内である場合に限り有効です。（この項目は、稼働中の本番環境およびサンドボックス組織に適用され、無料、トライアル、および非サンドボックスのデモ組織には適用されません。）

4. 外部ユーザーは、デフォルトではデバイスの有効化を強制されません。これは以前からの仕様であり、ヘルプ記事に記載されている通り、今回の変更後も同様です。

この動作変更におけるIPアドレスの範囲の算出方法：

この動作変更の対象となるIPアドレスの範囲は、定義されたアドレスの各行の範囲を合計することで算出されます。以下の例では、最初の行に255個のIPアドレス、2番目の行に254個のIPアドレスが含まれており、合計で509個のIPアドレスが対象範囲となります。

サンドボックスログイン時に認証コードのメールが届かないのはなぜですか？

この問題の影響を受けるユーザーは、組織の管理者に連絡し、管理者が以下の手順でトラブルシューティングを行えるようにしてください。

ユーザーがサンドボックス組織でメールによる認証コードを受信できない場合、顧客組織の管理者は以下を確認する必要があります：

• ユーザーのメールアドレスが正確であり、「.invalid」が付加されていないこと。詳細はこちらを参照してください：更新後に「.invalid」が追加された Sandbox のメールアドレス
• メール送信 を確認し、「システムメールのみ」または「すべてのメール」に更新してください。この設定を更新できない場合は、Salesforce サポートに連絡してください。
• 認証コードのメールが届かない、またはサンドボックス組織にログインできない管理者は、Salesforce サポートに連絡してください。

この変更によるメタデータデプロイの問題に対処する方法は？

プロファイルまたは組織レベルのネットワークアクセスのメタデータで参照されるIP範囲の合計が16,777,216アドレスを超える場合、メタデータのデプロイが失敗します。次のエラーメッセージが表示されます：「すべての IP 範囲で IP アドレスの制限 16,777,216 に達しました。入力した IP 範囲を縮小して、もう一度お試しください。」

組織レベルのネットワーク設定およびプロファイルレベルのログインIP範囲で、信頼済IPアドレスを確認してください。IPアドレス範囲を、企業ネットワークまたはVPNに一致する特定のアドレスに限定することで、定義された制限内で未確認または信頼できないIPアドレスに対し、拒否または確認を求めるようになります。