プロファイルでのログイン IP アドレスの制限
ユーザーレベルでログインアクセスを制御するには、ユーザーのプロファイルで許可される IP アドレスの範囲を指定します。プロファイルに IP アドレス制限を定義すると、その他のすべての IP アドレスからのログインは拒否されます。
必要なエディション
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: すべてのエディション |
| 必要なユーザー権限 | |
|---|---|
| ログイン IP アドレスの制限を参照する | 「設定・定義の参照」 |
| ログイン IP アドレス範囲の制限を編集および削除する | 「プロファイルと権限セットの管理」 |
Salesforce エディションによって、プロファイルに有効な IP アドレス範囲を制限する方法が異なります。
- Enterprise Edition、Performance Edition、Unlimited Edition、または Developer Edition では、プロファイルで有効な IP アドレスを管理します。
- Group Edition または Personal Edition では、[設定] から、[セッションの設定] ページで有効な IP アドレスを管理します。
- Professional Edition では、IP 範囲の場所は「プロファイルとページレイアウトの編集」がアドオン機能として有効になっているかどうかによって異なります。この機能を使用すると、個々のプロファイルのログイン IP アドレスの範囲を指定できます。「プロファイルとページレイアウトの編集」機能を使用しない場合、信頼済み IP 範囲は [ネットワークアクセスの設定] ページで組織レベルでのみ定義できます。
また、これらのログイン制限は Experience Delivery でホストされるサイトには適用されません。代わりに、エクスペリエンス配信でホストされるサイトの有効な IP アドレスをカスタムファイアウォールルール式で管理します。
Winter '26 以降、Salesforce では特定のプロファイルのログイン IP アドレスの制限が適用されます。この制限は、IP アドレス種別 (IPv4 または IPv6) によって異なります。 IP 範囲種別の制限を超えるログイン IP アドレス範囲を追加することはできません。この変更の前に信頼済み IP 範囲がすでに制限を超えている場合、Salesforce は、ユーザーがプロファイルのログイン IP 範囲内であってもデバイスの有効化を要求できます。ユーザーが範囲外の場合、Salesforce はログインを完全にブロックします。詳細については、「デバイスの有効化」を参照してください。
IPv4 アドレスと IPv6 アドレスの制限を次に示します。IPv4 マッピング IPv6 アドレスを使用する場合、IPv4 制限が適用されます。
| IP アドレス種別 | 制限 |
|---|---|
| IPv4 | 16,777,216 |
| IPv6 | 2^99 (2 の 99 乗) |
IP アドレスの合計数を計算する場合、Salesforce は10.0.0.0から10.255.255.255までのプライベート IP アドレスを考慮しません。プライベート IP アドレスの詳細については、Internet Engineering Task Force の RFC 1918 を参照してください。プライベート IP アドレスを除外するには、個別の範囲エントリとして追加します。
プロファイルでのログイン IP アドレスの制限
IP 範囲に基づいてユーザーログインを制限するには、プロファイルごとに少なくとも 1 つの許可 IP アドレス範囲を指定します。プロファイルに 1 つ以上のログイン IP アドレス範囲が存在する場合、他の IP アドレスからのログインは拒否されます。
- [設定] の [クイック検索] ボックスに「プロファイル」と入力し、[プロファイル] を選択します。
-
このプロファイルの IP アドレスを制限するには、許可される IP 範囲を追加します。
-
許可される IP 範囲を追加します。
- 拡張プロファイルユーザーインターフェースで [ログイン IP アドレスの制限] をクリックして、[IP 範囲の追加] をクリックします。
- 元のプロファイルユーザーインターフェースで [ログイン IP アドレスの制限] 関連リストまで下にスクロールし、[新規] をクリックします。
メモ パートナーユーザープロファイルの IP アドレスは 5 個に制限されています。この制限を緩和するには、Salesforce にお問い合わせください。 -
プロファイルで許可されるログイン IP アドレスを指定します。
有効な IP アドレスを [IP 開始アドレス] フィールドに入力し、それと同等以上の番号の IP アドレスを [IP 終了アドレス] フィールドに入力します。
1 つの IP アドレスからのログインを許可するには、両方の項目に同じアドレスを入力します。
範囲には、IPv4、IPv4 マッピング IPv6 アドレス、または IPv6 アドレスを含めることができます。IP アドレス範囲に複数のアドレス種別を含めることはできません。たとえば、
255.255.255.255から::1:0:0:0、::から::1:0:0:0などの範囲は許可されません。- IPv4 アドレスの範囲は
0.0.0.0~255.255.255.255です。 - 公開されている IPv6 アドレスの範囲は、
::1:0:0:0からffff:ffff:ffff:ffff:ffff:ffff:ffff:ffffです。 - IPv4 マッピング IPv6 アドレスを使用すると、IPv6 対応アプリケーションは IPv4 専用デバイスと通信できます。この設定を行うには、IPv4 アドレスが IPv6 アドレス形式に埋め込まれます。これらのアドレスは、Salesforce ユーザーインターフェースおよび API では IPv4 アドレスとして表されます。
IPv4 マッピング IPv6 アドレスの構文は
::ffff:a.b.c.dです。ここで、a.b.c.dは IPv4 アドレスの 10 進数表現です。たとえば、192.0.2.128の IPv4 マッピング IPv6 アドレスは::ffff:192.0.2.128です。そのため、IPv4 マッピング IPv6 アドレスの範囲は::ffff:0.0.0.0から::ffff:255.255.255.255になります。
重要 ユーザーアクセスの問題を回避するには、IPv4 アドレスを含むログイン IP アドレス範囲が少なくとも 1 つあるプロファイルにのみ IPv6 アドレスを含むログイン IP アドレス範囲を追加します。 - IPv4 アドレスの範囲は
-
必要に応じて、範囲の説明を入力します。
複数の範囲を管理する場合、説明項目を使用して、ネットワークのどの部分がこの範囲に対応するかなど、詳細を入力します。
- このプロファイルを持つユーザーがより多くの IP アドレスからログインできるようにするには、別の範囲を追加します。
- 変更内容を保存します。
-
許可される IP 範囲を追加します。
-
ログイン IP アドレス範囲を削除するには、[Delete] をクリックします。
ユーザーのグループが任意の IP アドレスからログインできるようにするには、ユーザーのプロファイルのすべてのログイン IP アドレス範囲を削除します。
ページ要求へのプロファイルログイン IP 制限の適用
プロファイルログイン IP アドレス範囲を使用して、Salesforce へのアクセスをさらに制限できます。このオプションを使用すると、これらのログイン IP アドレスの制限が、クライアントアプリケーションからの要求を含む各ページ要求に適用されます。それ以外の場合、ログイン IP アドレスの制限はユーザーがログインしたときにのみ適用されます。
- [設定] の [クイック検索] ボックスに「セッション設定」と入力し、[セッション設定] を選択します。
-
[Enforce login IP ranges on every request (すべての要求でログイン IP アドレスの制限を適用)] を選択し、変更を保存します。
この設定は、ログイン IP アドレスが制限されているユーザープロファイルにのみ影響します。
プロファイルログイン IP アドレスの制限に対する IPv6 サポートの準備
現在、IPv6 は Experience Cloud サイトの Salesforce コンテンツ配信ネットワーク (CDN) でのみサポートされています。ただし、Salesforce は IPv6 を完全にサポートするためにバックグラウンドで作業しています。IPv6 を完全にサポートするための具体的な目標日はありません。Salesforce では、IPv6 サポートを段階的にロールアウトする予定です。各フェーズの具体的なタイミングに関する発表については、リリースノートを参照してください。
Salesforce で組織の IPv6 がサポートされている場合、IPv4 許可リストは有効なままになり、ユーザーはプロファイルで許可されている IPv4 または IPv6 アドレスを介してのみログインできます。ユーザーのアクセスが中断されないようにするには、IPv4 アドレスを含むログイン IP アドレス範囲を持つプロファイルごとに、それらのユーザーの IPv6 アドレスを含む 1 つ以上のログイン IP アドレス範囲を追加します。
IPv6 許可リストをプロファイルに追加するときの考慮事項を次に示します。
- プロファイルにログイン IP アドレス範囲が存在しない場合、そのプロファイルを持つユーザーは任意の IP アドレスから Salesforce にログインできます。プロファイルログインの IP アドレス範囲は必須ではありません。ただし、1 つ以上のログイン IP アドレス範囲を持つプロファイルでは、IPv6 の更新が必要になる場合があります。
- 現在、IPv6 アドレスを使用してログイン IP アドレス範囲を追加できますが、これらのアドレスを使用したログインは、Salesforce で IPv6 がサポートされている場合にのみ許可されます。
- IPv6 アドレスと IPv4 アドレスの間には相関関係はありません。ユーザーの IPv6 アドレスを確認するには、ネットワークチームと協力します。
- Salesforce で IPv6 が完全にサポートされるまで、プロファイルにログイン IP アドレスの制限が含まれている場合は、プロファイルに少なくとも 1 つの IPv4 範囲が存在することを確認します。プロファイルに 1 つ以上のログイン IP アドレス範囲が存在する場合、他の IP アドレスからのログインは拒否されます。そのため、プロファイルのログイン IP アドレス範囲に IPv6 アドレスのみが含まれている場合、そのプロファイルを持つユーザーは、ユーザーがアクセスしている機能で IPv6 が組織でサポートされるまで Salesforce にアクセスできません。
