任意のAPIクライアントを使用（Use Any API Client）権限の変更について

「任意のAPIクライアントを使用（Use Any API Client）」割り当て箇所の特定方法：

「任意のAPIクライアントを使用（Use Any API Client）」権限がどこに割り当てられているかを特定するために検討できるオプションは以下のとおりです。

• すべてのプロファイルと権限セットをレビューし、「任意のAPIクライアントを使用（Use Any API Client）」が割り当てられている箇所を手動で確認する

• SalesforceのSOQLクエリを使用して、割り当て箇所を特定する
  以下のセクションに例を示します。

「任意のAPIクライアントを使用（Use Any API Client）」が割り当てられていることを特定するためのSOQLクエリ：

任意のAPIクライアントを使用（Use Any API Client）権限を持つユーザーの抽出：

SELECT AssigneeId, Assignee.Id, Assignee.Username FROM PermissionSetAssignment

WHERE PermissionSet.PermissionsUseAnyApiClient = true

任意のAPIクライアントを使用（Use Any API Client）権限が適用されているプロファイルの抽出：

SELECT Id, Name FROM Profile WHERE PermissionsUseAnyApiClient = true

任意のAPIクライアントを使用（Use Any API Client）権限が適用されている権限セットの抽出：

SELECT Id, Name FROM PermissionSet WHERE PermissionsUseAnyApiClient = true

ユーザー権限の分析には、User Access and Permission Assistant を使用することも可能です

デフォルトのSalesforce権限セットについて：

名前空間プレフィックス「force」を持つ、デフォルトのSalesforce権限セットに「任意のAPIクライアントを使用（Use Any API Client）」権限が含まれている場合があります。これらはPlatform Integration Userで使用されますが、このユーザーはよりセキュアな内部認証メカニズムを利用しているため、今後の変更による影響を受けません。

表示される可能性のある権限セットの例：

• ApexGuruStandardPermSet
• C2CHeadlessCMSAccessPermSet
• C2CMcpServicePermSet
• C360 High Scale Flow Integration User
• ConnectivityServiceCASCPermSet
• D360HomeOrgPermSet
• Data Cloud Home Org Integration User
• DCToDCSharingSetupC2CPermSet
• DeliveryEstimationServicePermSet
• DeliveryEstimationServicePermSet
• E360 Messaging Integration User
• E360MessagingC2CPermSet
• E360UEC2CPermSet
• HighScaleFlowC2cPermSet
• Marketing Cloud Reporting C2C Perm
• MarketingCloudPublishingC2CPermSet
• MarketingCloudReportingC2CPermSet
• MuleSoftPublishInvocableActionsC2CPermSet
• PromptTemplatePermSet
• PromptTemplatePermSet
• Publish Suggested for You Nudges: Integration User
• RPAC2CPermSet
• Salesforce Apex Guru
• Salesforce CMS Integration Admin
• SeaS Indexing C2C User Perm
• YourAccountFeatureDataPermSet
• YourAccountNotifierPermSet
• YukonNudgeHeadlessPublishPermSet

インテグレーションユーザーおよびAPI専用ユーザーでの「任意のAPIクライアントを使用（Use Any API Client）」権限の扱い：

この変更により、インテグレーションユーザーおよびAPI only ユーザーから「任意のAPIクライアントを使用（Use Any API Client）」権限を削除する必要はありません。Salesforce APIへの無制限なアクセスを含み、この権限の既存の機能は影響を受けないためです。ここで行われる唯一の変更は、未インストールの接続アプリケーションへの自己承認機能の削除です。

それにもかかわらず、SOAP APIの login() コールに依存するような「任意のAPIクライアントを使用（Use Any API Client）」権限に頼る新しいソリューションやインテグレーションの構築は推奨しません。安全なベストプラクティスは、まずSalesforce組織内に接続アプリケーションまたはExternal Client Appsをインストールして許可リストに登録することです。これを行った後、エンドユーザーのログインを承認できます。この推奨される方法では、インテグレーションが機能するために「任意のAPIクライアントを使用（Use Any API Client）」権限は不要になります。

注意: SOAP APIの login() メソッドの廃止は、Summer '27リリースで予定されています。この日までに、現在SOAP API login() を使用しているすべてのアプリケーションとインテグレーションを、認証のためにOAuth付きのExternal Client Appsに移行してください。

管理者が未インストールの接続アプリケーションを自己承認して使用する場合：

• 新しい接続アプリケーション、特にサードパーティからのものをインストールするために、管理者はOAuthを介して未インストールの接続アプリケーションを自己承認する必要がある場合があります。一度アプリケーションがアクティブなOAuthセッションを持った後にのみ、設定の「接続アプリケーションOAuth利用状況」ページからアプリケーションをインストールできます。このプロセスは、管理者による直接のアプリケーション作成では、サードパーティアプリケーションが必要とするクライアントIDとシークレットを定義できなくなるため、必要です。
• 2025年9月の接続アプリケーション利用制限の変更において、Salesforceはこの利用制限のために構築されたユーザー権限「未インストールの接続アプリケーションを承認（Approve Uninstalled Connected Apps）」ユーザー権限を導入しました。組織に接続アプリケーションをインストールする前にまずテストしなければならない管理者や開発者のような正当なユースケースがある場合、彼らはこの権限を使用する必要があるかもしれません。しかし、この「未インストールの接続アプリケーションを承認（Approve Uninstalled Connected Apps）」ユーザー権限が接続アプリケーションの使用制限をバイパスすることを必ずご認識ください。この権限は、管理者や接続アプリケーションのインテグレーションの管理またはテストに関わる方など、高度に信頼されたユーザーにのみ割り当てるべきです。
• 当社は、接続アプリケーションにアクセスする目的での、「未インストールの接続アプリケーションを承認（Approve Uninstalled Connected Apps）」ユーザー権限を多くののエンドユーザーに使用することを推奨しません。代わりに、必要な接続アプリケーションと外部クライアントアプリケーションを管理者がインストールしてください。一度インストールされたこれらの信頼されたアプリケーションは、許可リスト（アローリスト）に追加されます。管理者により最小権限の原則に基づいてユーザーアクセスを付与し、アクセスを管理いただくようお願いいたします。
  
  

[設定] > [API アクセスコントロール] から「管理者が承認したユーザーの場合、API アクセスを許可リストに登録された接続アプリケーションのみに制限します(For admin-approved users, limit API access to only allowlisted connected apps)」を有効化している場合、この変更が適用された後はどのような動作が期待される動作ですか？

注意: この変更はインストールされていない接続アプリケーションの新規の自己承認リクエストを制限します。
インストールされていない接続アプリケーションによる既存の有効なセッションは影響を受けません。