限制設定檔中的登入 IP 位址
若要在使用者層級上控制登入存取權,請在使用者的設定檔上指定允許的 IP 位址範圍。當您定義設定檔的 IP 位址限制時,會拒絕來自任何其他 IP 位址的登入。
必要版本
| 提供版本:Salesforce Classic 和 Lightning Experience |
| 提供版本:所有版本 |
| 需要的使用者權限 | |
|---|---|
| 檢視登入 IP 範圍: | 檢視設定和組態 |
| 編輯並刪除登入 IP 範圍: | 管理設定檔和權限集 |
您限制設定檔中有效 IP 位址範圍的方式取決於您的 Salesforce 版本。
- 在 Enterprise、Performance、Unlimited 或 Developer Edition 中,管理設定檔中的有效 IP 位址。
- 在 Group 或 Personal Edition 中,進入「設定」,在「工作階段設定」頁面上管理有效的 IP 位址。
- 在 Professional Edition 中,IP 範圍的位置取決於是否啟用「編輯設定檔與版面配置」作為附加元件功能。透過該功能,您可以為個別設定檔指定登入 IP 範圍。若沒有「編輯設定檔與版面配置」功能,您只能在「網路存取設定」頁面上的組織層級定義信任的 IP 範圍。
此外,這些登入限制不適用於在「體驗傳送」上主控的網站。使用「自訂防火牆規則運算式」管理在「體驗傳送」上所主控網站的有效 IP 位址。
自 Winter ’26 起,Salesforce 會針對特定設定檔強制執行登入 IP 範圍的限制。限制取決於 IP 位址類型 (IPv4 或 IPv6)。您無法新增超過 IP 範圍類型限制的登入 IP 範圍。如果您信任的 IP 範圍已超過此變更之前的限制,Salesforce 可以要求使用者啟用裝置,即使使用者在其設定檔的登入 IP 範圍內。如果使用者超出範圍,Salesforce 會完全封鎖登入。如需詳細資訊,請參閱 裝置啟用。
以下是 IPv4 與 IPv6 位址的限制。如果您使用 IPv4 對應的 IPv6 位址,則會套用 IPv4 限制。
| IP 位址類型 | 限制 |
|---|---|
| IPv4 | 16,777,216 |
| IPv6 | 2^99 (2 至 99) |
當計算 IP 位址的總數時,Salesforce 不會計算此範圍中的私人 IP 位址:10.0.0.0 對 10.255.255.255。如需私人 IP 位址的詳細資訊,請參閱「 網際網路工程任務小組」中的 RFC 1918。若要確保排除私人 IP 位址,請將其新增為個別的範圍項目。
限制設定檔中的登入 IP 位址
若要根據 IP 範圍限制使用者登入,請為每個設定檔指定至少一個允許的 IP 位址範圍。當設定檔上存在一或多個登入 IP 範圍時,會拒絕從任何其他 IP 位址登入。
- 進入「設定」,在「快速尋找」方塊中,輸入設定檔,然後選取「設定檔」。
-
若要限制此設定檔的 IP 位址,請新增允許的 IP 範圍。
-
新增允許的 IP 範圍。
- 在增強型設定檔使用者介面中,按一下「登入 IP 範圍」,然後按一下「新增 IP 範圍」。
- 在原始設定檔使用者介面中,向下捲動至「登入 IP 範圍」相關清單,然後按一下「新增」。
備註 「合作夥伴使用者」設定檔限制為五個 IP 位址。若要增加此限制,請連絡 Salesforce。 -
指定設定檔允許的登入 IP 位址。
在「IP 起始位址」 欄位中輸入有效的 IP 位址,並在「IP 結束位址」 欄位中輸入相符或編號更高的 IP 位址。
若要允許單一 IP 位址登入,請在兩個欄位中輸入相同的位址。
範圍可包含 IPv4、IPv4 對應的 IPv6 位址或 IPv6 位址。IP 位址範圍不能包含多種類型的位址。例如,不允許範圍,例如
255.255.255.255到::1:0:0:0和::到::1:0:0:0。- IPv4 位址的範圍為
0.0.0.0到255.255.255.255。 - 可公開存取 IPv6 位址的範圍是
::1:0:0:0到ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff。 - IPv4 對應的 IPv6 位址允許啟用 IPv6 的應用程式與僅限 IPv4 的裝置通訊。若要完成此組態,IPv4 位址會以 IPv6 位址格式內嵌。在 Salesforce 使用者介面和 API 中,這些位址會以 IPv4 位址表示。
IPv4 對應 IPv6 位址的語法為
::ffff:a.b.c.d,其中a.b.c.d是 IPv4 位址的小數表示。例如,192.0.2.128的 IPv4 對應 IPv6 位址為::ffff:192.0.2.128。因此,IPv4 對應 IPv6 位址的範圍為::ffff:0.0.0.0到::ffff:255.255.255.255。
重要 若要避免使用者存取問題,請僅將具有 IPv6 位址的登入 IP 範圍新增至具有至少一個 IPv4 位址之登入 IP 範圍的設定檔。 - IPv4 位址的範圍為
-
或者輸入範圍的描述。
如果您有多個範圍,請使用「描述」欄位提供詳細資料,例如與此範圍相對應的網路部份。
- 若要允許具有此設定檔的使用者從更多 IP 位址登入,請新增其他範圍。
- 請儲存您的變更。
-
新增允許的 IP 範圍。
-
若要刪除「登入 IP」範圍,請按一下「刪除」。
若要允許一組使用者從任何 IP 位址登入,請刪除使用者設定檔上的所有「登入 IP」範圍。
將設定檔登入 IP 限制套用至頁面要求
您可以使用設定檔登入 IP 範圍來進一步限制對 Salesforce 的存取權。透過此選項,系統會在每個頁面要求上強制執行這些登入 IP 範圍,包括來自用戶端應用程式的要求。否則,只有在使用者登入時,才會強制執行登入 IP 範圍。
- 進入「設定」,在「快速尋找」方塊中輸入工作階段設定,然後選取「工作階段設定」。
-
選取「在每個要求上強制登入 IP 範圍」,然後儲存您的變更。
此設定只會影響具有登入 IP 限制的使用者設定檔。
準備設定檔登入 IP 範圍的 IPv6 支援
目前只有 Experience Cloud 網站的 Salesforce 內容傳遞網路 (CDN) 支援 IPv6。但 Salesforce 正在在背景工作,以完全支援 IPv6。沒有完整 IPv6 支援的特定目標日期。Salesforce 計畫在階段內推出 IPv6 支援。請觀看版本注意事項,以取得每個階段特定時間點的公告。
當 Salesforce 為您的組織支援 IPv6,IPv4 允許清單會保持啟用,且使用者只能透過其設定檔允許的 IPv4 或 IPv6 位址登入。若要確保使用者無間斷存取,請針對具有 IPv4 位址的登入 IP 範圍的每個設定檔,新增一或多個具有這些使用者 IPv6 位址的登入 IP 範圍。
以下是將 IPv6 允許清單新增至設定檔時的一些考量事項。
- 如果設定檔上沒有登入 IP 範圍,則擁有該設定檔的使用者可以從任何 IP 位址登入 Salesforce。不需要設定檔登入 IP 範圍。然而,具有一或多個登入 IP 範圍的設定檔可能需要更新 IPv6。
- 您可以立即新增 IPv6 位址的登入 IP 範圍,但只有在 Salesforce 支援 IPv6 時,才允許透過這些位址登入。
- IPv6 位址與 IPv4 位址之間沒有關聯。若要決定使用者的 IPv6 位址,請與您的網路小組合作。
- 在 Salesforce 完全支援 IPv6 之前,如果設定檔包含登入 IP 範圍,請確認設定檔中至少存在一個 IPv4 範圍。如果設定檔上存在一或多個登入 IP 範圍,則會拒絕從任何其他 IP 位址登入。因此,如果設定檔的登入 IP 範圍僅包含 IPv6 位址,則具有該設定檔的使用者無法存取 Salesforce,直到您的組織支援使用者存取之功能的 IPv6。
