Salesforce Authenticatorで始める簡単セキュリティ強化

2024年4月からSalesforceのログインに多要素認証(MFA)が自動有効化されるようになりました。

この記事ではSalesforce Authenticatorを使ってMFAを設定する方法、トラブルシューティングを詳しく説明します。
Salesforce Authenticatorでログインセキュリティを強化し、ビジネスを安全に保護しましょう。

Salesforce Authenticatorの設定方法

Salesforce Authenticatorの設定および接続はシステム管理者による一括設定ではなく各ユーザ単位の手動設定が必要です。

Salesforce Authenticatorのインストールと初期設定

iPhoneの場合: App StoreからSalesforce Authenticatorをインストールします。
Androidの場合: Google Play StoreからSalesforce Authenticatorをインストールします。
アプリをインストールしたら、初期設定を行います。

アプリを開き、ツアー画面を確認後、画面右上の「ツアーの終了」をタップします。

Salesforce AuthenticatorとSalesforce組織の接続

以下の手順に従ってSalesforce AuthenticatorとSalesforce組織を接続してください。
なお緑色のステップはPC、青色のステップはスマートフォンの作業です。

Salesforce Authenticatorの設定完了後のログイン手順

• 1.ユーザーIDとパスワードを入力してSalesforceにログインします。
• 2.スマートフォンのSalesforce Authenticatorアプリに通知が届きます。
• 3.通知を確認し、「承認」をタップするとログインが完了します。

機種変更に備えてバックアップを取ろう

Salesforce Authenticatorでメールアドレス（アプリのバージョンが4.0未満の場合は携帯番号)を登録することで、バックアップを作成できます。

アドレスなどの登録やバックアップの作成は必須ではありませんが、接続する端末を変更する際には必要になります。
機種変更の時だけでなく端末を破損・紛失した場合に備えて必ず実施しましょう。

バックアップ作成手順

なお、ここで登録したメールアドレスとパスコードはそれぞれ同じ手順でいつでも変更可能です。

バックアップからの復活手順

ここではメールアドレスによる復活（バージョン4.0以降）の手順を説明します。
携帯番号による認証・復活も引き続き使用できますが、安全のためにアプリは常に最新の状態にアップデートしてください。

移行後は、以前の端末のアプリからはデータは削除され、新しい端末から認証できるようになります。

よくある質問とトラブルシューティング（一般ユーザ向け）

バックアップを作成しても影響はない？

バックアップデータを現在使用中の端末で作成するだけであれば、今の端末でのログイン認証には影響はありません。
安心してバックアップを作成してください。
※ 作成したバックアップを使って別の端末で接続を復活させると旧端末ではログインできなくなります。

複数の端末で認証を管理できる？

ログイン認証で登録できる端末は1台だけです。
また新しい端末でバックアップを復元した場合、それまで使っていた端末のバックアップは削除されます。
参考：ユーザーのアカウントからの Salesforce Authenticator の切断

Salesforce Authenticatorのバックアップを作成せずに端末を変更してしまいました

Salesforce Authenticatorの認証のバックアップデータを作成しないまま別の端末を変更してしまった場合は、次のいずれかで再接続する必要があります。

パターン1：Salesforce Authenticator以外のMFAの認証方法で自力でログインできる場合

• ログイン後、右上のマーク（プロファイルを参照）の「設定」をクリックし、「私の個人情報」にアクセスする
• 「高度なユーザーの詳細」をクリックする
• 「アプリケーション登録: Salesforce Authenticator」を探し、右側の「切断」をクリックする
• Salesforce Authenticatorのアプリを使用して再接続する

この方法を実行する場合、Salesforce Authenticator以外のMFAでログインできることを事前に確認しておいてください。
確認できない場合はシステム管理者に依頼してください。

パターン2：自力でログインできない場合

• システム管理者に自分のユーザ情報とSalesforce Authenticatorの切断を依頼する
• 認証なしでログインできるようになったらSalesforce Authenticatorのアプリを使用して再接続する

Salesforce Authenticatorでログインできません

誤ってアプリからSalesforce組織との接続を削除するなど、何らかの理由でSalesforce Authenticatorによるログインが失敗する、かつSalesforce Authenticator以外のMFAを設定していない場合、システム管理者に依頼して「仮の確認コード」の生成を依頼してください。
その後、生成してもらった確認コードを入力してログインしてください。

仮の確認コードが有効な間はすべての多要素認証よりも確認コードによる認証が優先されます。
確認コードが不要になった場合は、コードの有効期限を待たず「私の個人情報」から「高度なユーザーの詳細」にアクセスし、「今すぐ期限切れにする」をクリックしてコードを無効化してください。

よくある質問とトラブルシューティング（システム管理者向け）

このトピックのシステム管理者とは、プロファイルの「システム管理者」を割り振られているユーザ、もしくはプロファイルか権限セットで「ユーザーインターフェースで多要素認証を管理」の権限を付与されたユーザを指しています。

ユーザーのSalesforce Authenticatorの接続を切断したい

以下の手順で接続を切断できます。

1.設定 > ユーザーにアクセスし、切断したいユーザを探す
2.ユーザの詳細ページの「アプリケーション登録: Salesforce Authenticator」の右の「切断」をクリックする

Salesforce Authenticatorの認証画面に遷移しない

ユーザ名とパスワードを入力した際にSalesforce Authenticatorの認証画面に進まず、通常のログインが実行されてしまう場合は以下を確認してください。

① ID検証の設定

デフォルトで有効化される多要素認証は、設定の「ID検証」から無効化できます。
多要素認証（MFA）の「Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要」のチェックボックスがOFFになっていないか確認してください。

② システム権限によるMFAの除外

権限セットもしくはプロファイルで「除外ユーザーの多要素認証を放棄」のシステム権限が付与されていない確認してください。
付与されている場合、あらゆるMFAがスキップされます。
この権限は上記のID検証による設定よりも強いため、除外ユーザにはMFAによる検証が実行されません。

Salesforceは2022 年 2 月 1 日より、Salesforce 製品 へのアクセスには MFA の使用を必須としています。
一部の例外を除き、ログインの際は必ず多要素認証を使用するように設定してください。

MFA 要件は 2022 年 2 月 1 日に適用され、それ以降、Salesforce は Salesforce 製品への直接ログインに対して MFA を強制的に有効にしてきました。SSO ログインに MFA を実装していない、または製品の Salesforce MFA 機能を無効にしているために、製品が MFA 要件を満たしていない場合:

• Salesforce の「信頼とコンプライアンスに関するドキュメント」の「Notices and Licenses Information」(通知およびライセンス情報) セクションの MFA サービス利用規約が組み込まれたメインサービス契約 (MSA) に基づく契約上の義務を遵守していません。
• Salesforce 製品にアクセスする際に MFA を使用しないことに伴うリスクは、すべてお客様が負うものとします。

Salesforce 多要素認証に関する FAQ.MFA 要件を満たさない場合はどうなりますか?

安心して運用するために二重三重の対策を！

MFAもシステム管理者が管理・設定する機能です。

安全な運用のために、SalesforceはMFAのベストプラクティスとして次のことを推奨しています。

• MFAを管理する権限を持つユーザアカウントを2つ以上用意する。
• 各システム管理者は複数のMFAの検証方法をあらかじめ登録しておく。
• バックアップセキュリティキーは職場の安全な場所に管理する。

システム管理者が組織から完全にロックアウトされないようにあらかじめ対策を打っておくことで、安全かつ安心してMFAを活用できるようになります。

MFAを管理する「ユーザインターフェースで多要素認証を管理」権限は「Salesforce」ライセンスのユーザにのみ割り当てられます。¹
「Salesforce Platform」ライセンスなどは対象外のため、ご自身の組織のライセンス数をご確認ください。

それでも万が一システム管理者がログインできない状況になってしまった場合はSalesforceのカスタマーサポートにお問い合わせください。
Salesforce カスタマーサポートへの問い合わせ

おまけ：パスワードはもういらない！　Salesforce AuthenticatorでLightning Loginに登録する

Salesforce Authenticatorを導入するメリットは安全なログインだけでなく、Lightning Loginを使用できるようになるところです。

Lightning Loginはパスワードの入力することなくSalesforce Authenticatorの認証だけでログインする便利機能です。
この機能を使うことにより、パスワードを覚えたりブラウザごとにパスワードを記録させたりすることなく簡単にSalesforce組織にログインできます。

すべてのユーザにLightning Loginを許可したい場合は[設定] ＞ [セッションの設定]の「Lightning Loginを許可」のチェックボックスをONにしてください。

Lightning Loginを使用するユーザを制限したい場合は、上記の設定で「Lightning Loginユーザ権限のあるユーザのみを許可」をONにして、許可したいユーザにプロファイルもしくは権限セットで「Lightning Login ユーザー」の権限を付与してください。

Lightning Loginの有効化

• 「私の個人情報」から「高度なユーザーの詳細」にアクセスする
• Lightning Loginの「登録」をクリックする
• Salesforce Authenticatorで「承認」を選択する

Lightning Login登録後のログイン

• 1.ログイン画面でユーザ名を入力し、「ログイン」をクリックする（パスワードは空欄のままでOK）
• 2.Salesforce Authenticatorでログインの承認画面が表示されたら「承認」をクリックする

まとめ

Salesforce Authenticatorを使ってMFAを設定することで、組織のセキュリティを簡単かつ大幅に向上させることができます。
Salesforceの多要素認証が必須になったいま、Salesforce Authenticatorを導入し、安全で信頼性の高いビジネス環境を構築しましょう。

1. 「ユーザインターフェースで多要素認証を管理」権限を対象ユーザへ割り当てるとエラーになる ↩︎