Salesforce 組織のデバイスの有効化

詳細情報:

Salesforce 組織のデバイスの有効化

デバイスの有効化は、組織への不正アクセスを防止するのに役立つセキュリティ対策です。デバイスの有効化は、不明なログイン試行に対して追加の ID 検証を要求することで機能します。組織にログインする従業員の場合、デバイスの有効化は自動的に有効になり、無効にすることはできません。

必要なエディション

使用可能なインターフェース: Salesforce Classic および Lightning Experience の両方

使用可能なエディション: Essentials Edition、Group Edition、Professional Edition、Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Contact Manager Edition

概要

有効な本番組織およびSandbox組織でのUIログインでは、Salesforceが次のいずれかの方法を使用してログイン試行をTrustできない場合、デバイスの有効化が必要です。

メモ API ログインにデバイスの有効化は必要ありません。

セキュリティ対策説明デバイスの有効化動作

強力な認証方法ユーザー名とパスワードによるログインの場合、これは多要素認証 (MFA) を意味します。シングルサインオン (SSO) の場合、ID プロバイダーは Salesforce セキュリティ標準を満たす認証方法を使用します。使用できる方法についての詳細は、「シングルサインオンの強力な認証方法」セクションを参照してください。強力な認証方法を使用するログインでは、ブラウザーやデバイスの認識、IP 範囲に関係なく、デバイスの有効化は常にスキップされます。

ブラウザーまたはデバイスの認識

セキュリティ対策	説明	デバイスの有効化動作
強力な認証方法	ユーザー名とパスワードによるログインの場合、これは多要素認証 (MFA) を意味します。シングルサインオン (SSO) の場合、ID プロバイダーは Salesforce セキュリティ標準を満たす認証方法を使用します。使用できる方法についての詳細は、「シングルサインオンの強力な認証方法」セクションを参照してください。	強力な認証方法を使用するログインでは、ブラウザーやデバイスの認識、IP 範囲に関係なく、デバイスの有効化は常にスキップされます。
ブラウザーまたはデバイスの認識	Salesforce では、ブラウザまたはデバイスが `sfdc_lv2` プラットフォームの cookie 内の情報と照合できる場合、そのブラウザまたはデバイスが認識されるものと見なされます。	Salesforce は、特定のシナリオでのみこの基準を使用してデバイスの有効化動作を決定します。 IP 範囲が設定されておらず、ログインで強力な認証方法が使用されていない。組織の信頼済み IP 範囲またはプロファイルログイン IP 範囲が広すぎ、ログインで強力な認証方法が使用されていない。
IP 範囲を狭める IPv4: 16,777,216 を超えない IPv6：2^99 を超えないこれらの制限は、組織の共有範囲と、特定のプロファイルのログイン IP アドレス範囲に個別に適用されます。	2 種類の IP 範囲（組織の信頼済み IP 範囲とプロファイルログイン IP 範囲）を使用して組織を保護できます。	プロファイルログイン IP アドレスの範囲が狭い場合: デバイスの有効化は適用されません。範囲内のユーザーは、デバイスの有効化なしでログインできます。範囲外のユーザーは、完全にブロックされます。組織の IP 範囲が狭い場合: 範囲外のユーザーは、ログインで強力な認証方法が使用されていないことを前提として、デバイスの有効化を完了する必要があります。

Salesforce では、ブラウザまたはデバイスが sfdc_lv2 プラットフォームの cookie 内の情報と照合できる場合、そのブラウザまたはデバイスが認識されるものと見なされます。

Salesforce は、特定のシナリオでのみこの基準を使用してデバイスの有効化動作を決定します。

IP 範囲が設定されておらず、ログインで強力な認証方法が使用されていない。
組織の信頼済み IP 範囲またはプロファイルログイン IP 範囲が広すぎ、ログインで強力な認証方法が使用されていない。

IP 範囲を狭める

IPv4: 16,777,216 を超えない
IPv6：2^99 を超えない

これらの制限は、組織の共有範囲と、特定のプロファイルのログイン IP アドレス範囲に個別に適用されます。

2 種類の IP 範囲（組織の信頼済み IP 範囲とプロファイルログイン IP 範囲）を使用して組織を保護できます。

プロファイルログイン IP アドレスの範囲が狭い場合:

デバイスの有効化は適用されません。範囲内のユーザーは、デバイスの有効化なしでログインできます。範囲外のユーザーは、完全にブロックされます。

組織の IP 範囲が狭い場合:

範囲外のユーザーは、ログインで強力な認証方法が使用されていないことを前提として、デバイスの有効化を完了する必要があります。

メモ Salesforce カスタマーサポート担当者が問題をトラブルシューティングしやすくするために、ユーザーのアカウントで「ログイン時にデバイスの有効化をスキップ」権限を有効にできます。この権限を有効にすると、カスタマーサポート担当者のみがアカウントへのログイン時にデバイスの有効化をスキップできます。この権限を持つユーザーでも、認識できないブラウザー、デバイス、または IP アドレスからログインするときは ID を検証する必要があります。

ブラウザーまたはデバイスの認識

ユーザーのブラウザーまたはデバイスが認識されるかどうかを判断するために、Salesforce は sfdc_lv2 プラットフォーム Cookie を使用します。[次回からは確認しない] チェックボックスがオンになっている限り、Salesforce はユーザーがデバイスの有効化を初めて完了したときにこの Cookie を作成します。このチェックボックスは、デフォルトではオンです。ユーザーがメールで ID を検証するページのチェックボックスを次に示します。他の検証方法の場合、このページの表示は異なりますが、このチェックボックスは引き続き表示されます。

[次回からは確認しない] チェックボックスが強調表示されている ID 検証ページ

プロファイルログイン IP アドレスの制限

プロファイルログインの IP アドレス範囲は、ユーザーがログインできるかどうかを制御します。ユーザーがプロファイルログイン範囲外の IP アドレスからログインしようとすると、Salesforce は他の設定に関係なくログインをブロックします。ただし、IP 範囲が広すぎる場合でも、プロファイル範囲内であれば、デバイスの有効化を要求されることがあります。IP 範囲の制限は、プロファイルログイン IP 範囲と組織の信頼済み IP 範囲の両方に適用されます。たとえば、ユーザーのプロファイルログイン IP アドレスの制限を下回っているが、組織の共有信頼 IP アドレスの制限を超えている場合、ユーザーはデバイスの有効化を完了する必要がある可能性があります。

IP 範囲の制限は、IP アドレスのタイプによって異なります。

IP アドレス種別	制限
IPv4	16,777,216
IPv6	2^99 (2 の 99 乗)

Internet Engineering Task Force の RFC 1918 で定義されている10.0.0.0 から10.255.255.255へのプライベート IP アドレスは、合計に含まれません。

有効な本番組織と Sandbox 組織のログイン動作の概要を次に示します。

IP 範囲設定	ログイン動作
組織の信頼済み IP 範囲またはプロファイルのログイン IP 範囲の制限を超えない	プロファイル IP 範囲内: デバイスの有効化は不要プロファイル IP 範囲外: ログインが完全にブロックされています
組織の信頼済み IP 範囲またはプロファイルのログイン IP 範囲の制限を超えている	プロファイル IP 範囲内：認識できないブラウザまたはデバイスでデバイスのアクティブ化が必要（`sfdc_lv2` Cookie なし）プロファイル IP 範囲外: ログインが完全にブロックされています

プロファイルログイン IP アドレス範囲が設定されている場合、Salesforce でログインがどのように評価されるかを次に示します。

ユーザーの IP アドレスがプロファイルのログイン IP アドレスの範囲外ですか?
- はい — 他の条件に関係なく、ログインは常に完全にブロックされます。
- いいえ — ステップ 2 に進みます。
ログインで強力な認証方法 (ユーザー名とパスワードによるログインの場合は MFA、SSO の場合は受け入れられた認証方法) が使用されているか?
- はい — デバイスの有効化はスキップされます。
- いいえ — ステップ 3 に進みます。
プロファイルのログイン IP アドレス範囲または組織の信頼済み IP アドレス範囲 (設定されている場合) が広すぎませんか?
- はい — ステップ 4 に進みます。
- いいえ — ユーザーは、デバイスの有効化なしでプロファイルのログイン IP アドレス範囲からログインできます。ステップ 1 で述べたように、範囲外からのログインは完全にブロックされます。
Salesforce は、sfdc_lv2 Cookie に基づいてブラウザまたはデバイスを認識しますか?
- はい — デバイスはすでに有効化されています。ユーザーは ID 検証を完了せずにログインできます。
- いいえ — デバイスの有効化が必要です。ユーザーが [次回からは確認しない] チェックボックスをオンにした場合、Cookie の有効期限が切れるまで、以降のログインで異議が唱えられません。

例 MFA を使用していないユーザーは、プロファイル範囲内の IP アドレスからログインします。プロファイルのログイン IP アドレスの制限を超えていない。ただし、組織に組織の信頼済み IP 範囲もあり、その範囲が制限を超えています。Salesforce はユーザーのブラウザーまたはデバイスを認識しないため、IP アドレスがプロファイルの範囲内であっても、ユーザーはデバイスの有効化を完了する必要があります。ユーザーは、ID を検証するときに [次回からは確認しない] チェックボックスがオンになっていることを確認します。Salesforce は、ユーザーのブラウザーとデバイスの情報を sfdc_lv2 Cookie に保存します。ユーザーが次回ログインしようとすると、Salesforce はこの Cookie に基づいてユーザーを認識し、追加の ID 検証なしでログインできます。

組織の信頼済み IP 範囲

組織の信頼済み IP 範囲は、プロファイルログイン IP 範囲よりも制限が緩いです。ユーザーは、組織の IP 範囲外であってもログインできます。ただし、IP アドレスの範囲が広すぎると、IP アドレスが信頼されていても、デバイスの有効化がユーザーに要求されることがあります。IP 範囲の制限は、IP アドレスのタイプによって異なります。

IP アドレス種別	制限
IPv4	16,777,216
IPv6	2^99 (2 の 99 乗)

Internet Engineering Task Force の RFC 1918 で定義されている10.0.0.0 から10.255.255.255へのプライベート IP アドレスは、合計に含まれません。

ユーザーのプロファイルにログイン IP アドレスの制限がない場合、組織の共有 IP アドレスの制限は次のように機能します。

組織の IP 範囲設定	ログイン動作
制限を超えない	組織の IP 範囲内: デバイスの有効化は不要組織の IP 範囲外: Salesforce がブラウザーまたはデバイスを認識していても、デバイスの有効化が必要です。
制限を超えている	ユーザーの IP アドレスが組織の範囲内にあるかどうかに関係なく、認識できないブラウザーまたはデバイス (`sfdc_lv2` Cookie なし) ではデバイスの有効化が必要です。

プロファイルログイン IP アドレスではなく、組織の共有範囲が設定されている場合にログインを評価するために Salesforce で使用されるプロセスを次に示します。

ログインで強力な認証方法 (ユーザー名とパスワードによるログインの場合は MFA、SSO の場合は受け入れられた認証方法) が使用されているか?
- はい — デバイスの有効化はスキップされます。
- いいえ — ステップ 2 に進みます。
組織の信頼済み IP 範囲が広すぎませんか?
- はい — ステップ 3 に進みます。
- いいえ — ステップ 4 に進みます。
(IP 範囲が広すぎる場合) Salesforce は sfdc_lv2 Cookie に基づいてブラウザまたはデバイスを認識しますか?
- はい — デバイスはすでに有効化されています。ユーザーは ID 検証を完了せずにログインできます。
- いいえ — ユーザーの IP アドレスが組織の信頼済み範囲内であっても、デバイスの有効化が必要です。ユーザーが [次回からは確認しない] チェックボックスをオンにした場合、Cookie の有効期限が切れるまで、以降のログインで異議が唱えられません。
(IP 範囲が制限を超えていない場合) ユーザーは組織の信頼済み IP 範囲内にありますか?
- はい — デバイスの有効化はスキップされます。
- いいえ — ユーザーが組織の範囲外の場合、Salesforce でブラウザーまたはデバイスが認識されていても、デバイスの有効化が必要です。

例組織の信頼済み IP 範囲が制限を超えています。MFA を使用していないユーザーは、組織範囲内の IP アドレスからログインします。Salesforce はユーザーのブラウザーまたはデバイスを認識しないため、IP アドレスが組織の範囲内であっても、ユーザーはデバイスの有効化を完了する必要があります。ユーザーは、ID を検証するときに [次回からは確認しない] チェックボックスがオンになっていることを確認します。Salesforce は、ユーザーのブラウザーとデバイスの情報を sfdc_lv2 Cookie に保存します。ユーザーが次回ログインしようとすると、Salesforce はこの Cookie に基づいてユーザーを認識し、追加の ID 検証なしでログインできます。

シングルサインオンの強力な認証方法

ログインで強力な認証方法が使用されている場合、デバイスの有効化は SSO でスキップされます。強力な認証には、2 つのオプションがあります。

Salesforce MFA サービスを使用します。
ID プロバイダーと連携して、Salesforce セキュリティ基準を満たす認証方法を使用します。Salesforce では、ID プロバイダーから認証コンテキストクラス参照 (ACR) と認証方法参照 (AMR) の値の範囲を受け入れます。

2 番目のオプションを選択した場合、SSO 設定に応じて、Salesforce がログイン時に認証方法を確認する方法を次に示します。いずれの場合も、ID プロバイダーが 1 つ以上の強力な認証方法を送信すると、デバイスの有効化はスキップされます。たとえば、ID プロバイダーが 2 つの認証方法 (強力な方法と弱い方法) を送信した場合、ユーザーはデバイスの有効化をスキップできます。

SSO 設定 Salesforce による認証方法の確認方法実装手順

定義済み認証プロバイダータイプを使用した OpenID Connect SSO ID トークン: ACR または AMR クレーム。AMR 請求では大文字と小文字が区別されますが、ACR 請求では大文字と小文字が区別されません。詳細は、OpenID Connect 仕様を参照してください。 ID プロバイダーと連携して、受け入れられる ACR または AMR 値を送信します。

SSO 設定	Salesforce による認証方法の確認方法	実装手順
定義済み認証プロバイダータイプを使用した OpenID Connect SSO	ID トークン: ACR または AMR クレーム。AMR 請求では大文字と小文字が区別されますが、ACR 請求では大文字と小文字が区別されません。詳細は、OpenID Connect 仕様を参照してください。	ID プロバイダーと連携して、受け入れられる ACR または AMR 値を送信します。
カスタムApex認証プロバイダーを使用したOpenID Connect SSO	IDプロバイダーと連携して、受け入れられるACRまたはAMRの値を送信し、IDトークンをSalesforceに渡すように`Auth.AuthProviderPluginClass`実装を更新します。 `handleCallback(authProviderConfiguration, callbackState)` メソッドを使用して、`Auth.AuthProviderTokenResponse (provider, oauthToken, oauthSecretOrRefreshToken, state, idToken)` クラスのインスタンスを返します。または、`getUserInfo` メソッドを使用して、`Auth.UserData(identifier, firstName, lastName, fullName, email, link, username, locale, provider, siteLoginUrl, attributeMap, idToken, userInfoJSONString)` クラスのインスタンスを返します。
Security Assertion Markup Language (SAML) SSO	SAML 応答: `AuthnContext` ステートメントの ACR (`AuthContextClassRef`) または AMR 値。AMR 値の場合、属性には `AMR` または `authmethodsreferences` という名前を付けることができます。SAML の ACR 値と AMR 値は、大文字と小文字を区別しません。	ID プロバイダーと連携して、受け入れられる ACR または AMR 値を送信します。

カスタムApex認証プロバイダーを使用したOpenID Connect SSO

IDプロバイダーと連携して、受け入れられるACRまたはAMRの値を送信し、IDトークンをSalesforceに渡すようにAuth.AuthProviderPluginClass実装を更新します。

handleCallback(authProviderConfiguration, callbackState) メソッドを使用して、Auth.AuthProviderTokenResponse (provider, oauthToken, oauthSecretOrRefreshToken, state, idToken) クラスのインスタンスを返します。
または、getUserInfo メソッドを使用して、Auth.UserData(identifier, firstName, lastName, fullName, email, link, username, locale, provider, siteLoginUrl, attributeMap, idToken, userInfoJSONString) クラスのインスタンスを返します。

Security Assertion Markup Language (SAML) SSO SAML 応答: AuthnContext ステートメントの ACR (AuthContextClassRef) または AMR 値。AMR 値の場合、属性には AMR または authmethodsreferences という名前を付けることができます。SAML の ACR 値と AMR 値は、大文字と小文字を区別しません。 ID プロバイダーと連携して、受け入れられる ACR または AMR 値を送信します。

次に、受け入れられる ACR 値と AMR 値のリストを示します。Salesforce では、OpenID Connect と SAML の両方で次の値を使用できます。

認証方法種別使用可能な値

ACR

認証方法種別	使用可能な値
ACR	標準 ACR 値: `MobileTwoFactorContract`：2 つの要素を使用したモバイルデバイス認証 `PublicKey`：デジタル署名 `PGP`—公開キーを使用したデジタル署名 `Smartcard`：スマートカード `TimeSyncToken`：時刻同期トークン `PKI`—Public Key Infrastructure (公開鍵インフラストラクチャ) 特定の ID プロバイダーのカスタム値: `Mfa` `Fido` `Multipleauthn`
AMR	Internet Engineering Task Force (インターネット技術特別調査委員会) の RFC 8176 の標準 AMR 値: `face`：顔認識 `fpt` — 指紋スキャン `hwk`：ハードウェアベースのセキュリティキー `iris`：虹彩スキャン `retina`：retina scan `sc`：スマートカード `pop`：キーの所有の証明 `swk`：ソフトウェアベースのセキュリティキー特定の ID プロバイダーのカスタム値: `mfamultipleauthn` `okta_verify`

標準 ACR 値:

MobileTwoFactorContract：2 つの要素を使用したモバイルデバイス認証
PublicKey：デジタル署名
PGP—公開キーを使用したデジタル署名
Smartcard：スマートカード
TimeSyncToken：時刻同期トークン
PKI—Public Key Infrastructure (公開鍵インフラストラクチャ)

特定の ID プロバイダーのカスタム値:

Mfa
Fido
Multipleauthn

AMR

Internet Engineering Task Force (インターネット技術特別調査委員会) の RFC 8176 の標準 AMR 値:

face：顔認識
fpt — 指紋スキャン
hwk：ハードウェアベースのセキュリティキー
iris：虹彩スキャン
retina：retina scan
sc：スマートカード
pop：キーの所有の証明
swk：ソフトウェアベースのセキュリティキー

特定の ID プロバイダーのカスタム値:

mfamultipleauthn
okta_verify

収益以外の組織での動作の違い

トライアル組織などの収益以外の組織では、ユーザーの IP アドレスが組織の共有設定またはユーザーのプロファイルで信頼済みとして設定されていても、認識されないブラウザーまたはデバイスではデバイスの有効化が必要です。この要件は、IP 範囲が狭い場合でも適用されます。

セキュリティ対策収益以外の組織でのデバイスの有効化動作

強力な認証方法 (ユーザー名とパスワードによるログインの場合は MFA、SSO の場合は受け入れられた認証方法) 強力な認証方法を使用するログインでは、常にデバイスの有効化がスキップされます。ユーザーがすでに複数の要素を使用して ID を証明しています。

sfdc_lv2 cookie を使用したブラウザまたはデバイスの認識強力な認証方法がない場合、Salesforce はこの基準を使用してデバイスの有効化動作を決定します。

組織の信頼済み IP 範囲とプロファイルログイン IP 範囲

セキュリティ対策	収益以外の組織でのデバイスの有効化動作
強力な認証方法 (ユーザー名とパスワードによるログインの場合は MFA、SSO の場合は受け入れられた認証方法)	強力な認証方法を使用するログインでは、常にデバイスの有効化がスキップされます。ユーザーがすでに複数の要素を使用して ID を証明しています。
`sfdc_lv2` cookie を使用したブラウザまたはデバイスの認識	強力な認証方法がない場合、Salesforce はこの基準を使用してデバイスの有効化動作を決定します。
組織の信頼済み IP 範囲とプロファイルログイン IP 範囲	プロファイルログイン IP アドレス範囲の場合: 範囲内のユーザーは、認識できないブラウザーまたはデバイスの有効化を完了する必要があります。範囲外のユーザーは、完全にブロックされます。組織の IP 範囲の場合: 範囲内かどうかに関係なく、ユーザーは認識できないブラウザーまたはデバイスの有効化を完了する必要があります。

プロファイルログイン IP アドレス範囲の場合:

範囲内のユーザーは、認識できないブラウザーまたはデバイスの有効化を完了する必要があります。範囲外のユーザーは、完全にブロックされます。

組織の IP 範囲の場合:

範囲内かどうかに関係なく、ユーザーは認識できないブラウザーまたはデバイスの有効化を完了する必要があります。

例ユーザーが MFA を完了せずに、認識できないブラウザーまたはデバイスからトライアル組織にログインします。IP アドレスは、組織の共有範囲とプロファイルのログイン IP アドレス範囲の両方で信頼済みとして設定されます。ただし、デバイスの有効化は完了する必要があります。

検証方法

Salesforce では、使用可能な最も優先度の高い ID 検証方法が使用されます。Salesforce が検証方法に従う順序を次に示します。

ユーザーアカウントに登録された組み込み Authenticator (Touch ID や Windows Hello など)
ユーザーのアカウントに登録された U2F セキュリティキー
ユーザーのアカウントに接続された Salesforce Authenticator モバイルアプリケーションによるプッシュ通知またはロケーションベースの自動検証
ユーザーのアカウントに接続されたモバイル認証アプリケーションによって生成される時間ベースのワンタイムパスワード (TOTP) (Google Authenticator™ など)
ユーザーの検証済みモバイルデバイスに SMS で送信されるワンタイムパスワード (OTP)
ユーザーの登録済みメールアドレスにメールで送信される OTP

この記事で問題は解決されましたか?

ご意見をお待ちしております。

この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。

Salesforce 組織のデバイスの有効化

必要なエディション

概要

ブラウザーまたはデバイスの認識

プロファイルログイン IP アドレスの制限

組織の信頼済み IP 範囲

シングルサインオンの強力な認証方法

収益以外の組織での動作の違い

検証方法

General Information

Required Cookies

Functional Cookies

Advertising Cookies

General Information

Required Cookies

Functional Cookies

Advertising Cookies

Cookie List

この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。英語に切り替える今はしません

製品エリア

機能の影響

エディション

環境

Salesforce 組織のデバイスの有効化

必要なエディション

概要

ブラウザーまたはデバイスの認識

プロファイルログイン IP アドレスの制限

組織の信頼済み IP 範囲

シングルサインオンの強力な認証方法

収益以外の組織での動作の違い

検証方法

この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。