多要素認証(MFA)を設定するには?
2022年2月より、Salesforceへのログイン時に多要素認証(MFA)が契約上必須となります。
本手順では、設定上で注意すべき点や実際の設定方法についてご案内します。
MFAを設定してもSynergy!LEADのご利用に影響ございません。
ただし、プロファイルで以下の設定を行いますと正常にご利用いただけなくなりますので、有効化しないようお願いいたします。
- ログインに必要なセッションセキュリティレベルを「高保証」に設定
- APIの多要素認証(※)を有効化する
(※)「APIの多要素認証」は、この度のMFA必須化の対象外となっております。
Synergy!LEADをご利用の場合の設定例は こちら をご確認ください。
Salesforce が MFA を必須とする理由
MFA は、ログイン時にユーザが2つ以上の身元証明の証拠(または要素)を提供する必要がある、安全性の高い認証方法です。1つの要素として、ユーザが知っていること(ユーザ名とパスワードの組み合わせなど)があります。もう1つの要素は、認証アプリケーションやセキュリティキーなど、ユーザの手元にある認証方式です。複数の種類の要素を繋ぎ合わせることで、MFA にはフィッシング攻撃やアカウント乗っ取りなどの脅威が成功するハードルを上げる効果があります。
引用元:https://help.salesforce.com/s/articleView?id=000356005&type=1
MFAの要件
MFA の要件は、Salesforce のユーザインタフェースにログインする全てのユーザに適用されます。
Salesforce では、スマートフォンかセキュリティキーを利用した多要素認証を推奨しております。SMS やメール、PC にインストールして利用する多要素認証は非推奨(※)となっていますので、出来る限り推奨している方法で設定する必要があります。
(※)本質的に、傍受やなりすまし、その他の攻撃に対して脆弱であるため。
なお、MFA の要件が適用されるのは、あくまでも Salesforce 製品群の本番環境のみとなっています。
Sandbox には MFA が義務付けられていませんが、Sandbox 上に知的財産や顧客データが格納されている場合は、MFAの使用を強く推奨いたします。
SSO(シングルサインオン)を利用している場合の注意点
MFA の要件は、Salesforce のユーザインタフェースに直接ログイン、または SSO 経由でログインする全てのユーザに適用されます。Salesforce に SSO を通してログインした場合であっても MFA を設定する必要がある点に注意してください。
一般的な SSO であれば、MFA(2段階認証と呼ばれている場合もあります)の機能を持っているので、全ての Salesforce ユーザに対して MFA を設定してください。
多要素認証、及び、Salesforce Authenticator を利用した設定方法
以下のヘルプページより「多要素認証(MFA)設定マニュアル」をダウンロードして、設定方法をご確認ください。
多要素認証(MFA)設定マニュアル ダウンロード
https://customersuccessjp.salesforce.com/l/220122/2021-09-02/26rt47
※ダウンロードにはメールアドレスとSalesforce組織IDが必要です。
Synergy!LEADをご利用されている場合について
Synergy!LEADをご利用されている場合は、以下の方法で多要素認証(MFA)を有効するようにしてください。
なお、Synergy!LEAD以外にAppExchangeをご利用でSalesforceとAPIを通じて連携をされている場合には、Synergy!LEADと同様の対処を行うことをおすすめいたします。
※ この方法はセールスフォース・ドットコム社がご提供している「多要素認証(MFA)設定マニュアル」に記載されている手順です。
権限セットで用意する場合
標準プロファイルをご利用されている方に付与する場合は権限セットで対応をお願いいたします。
権限セットの作成
- 設定画面にある [ クイック検索 ] に「権限セット」と入力し検索
- 検索結果に表示された [ 権限セット ] をクリックし、[ 新規 ] をクリック
- 「表示レベル」と「API参照名」を入力し、[保存 ] をクリック
・表示ラベル: 日本語で設定が可能です。(例)多要素認証用権限セット
・API参照名:英字で始まる英数字で設定します。(例)MFA_AuthSet - 画面下部にある「システム」セクションの [ システム権限 ] をクリックし、[ 編集 ] をクリック
- 「ユーザインターフェースログインの多要素認証」にチェックを入れて [ 保存 ] をクリック
- 確認画面上で上記の通りチェックを入れているかを確認
権限セットの割り当て
- 作成した権限セットの [ 割り当ての管理 ] をクリック
- [ 割り当てを追加 ] をクリック
- 対象ユーザにチェックを入れて [ 割り当て ] をクリック
- 割り当てたユーザが一覧で表示されるため [ 完了 ] をクリック
プロファイルにて設定する場合
カスタムプロファイルでご利用されているユーザへ付与する場合は直接プロファイルに設定いただくことも可能です。
- 設定画面にある [ クイック検索 ] に「プロファイル」と入力し検索
- 検索結果に表示された [ プロファイル ] をクリック
- 多要素認証を有効化したいプロファイルをクリック
- [ 編集 ] をクリック
- 「ユーザインターフェースログインの多要素認証」にチェックを入れて [ 保存 ] をクリック
上記を設定後、次回ログイン時に Salesforce Authenticator による多要素認証設定画面が表示されます。事前にご利用ユーザへ設定方法や、対応時期を周知後にご対応いただくことをおすすめいたします。
Google Authenticator を利用した設定方法
「多要素認証、及び、Salesforce Authenticator を利用した設定方法」に記載している URL から「多要素認証(MFA)設定マニュアル」をダウンロードして、Salesforce Authenticator で設定しているものを Google Authenticator で行います。
「多要素認証(MFA)設定マニュアル」の中にある「2ユーザアカウントとSalesforce Authenticatorの接続」セクションの「2」まで実施後、「アプリケーション登録: ワンタイムパスワード認証」の[接続]をクリックします。
以下の画面が表示されたら、Google AuthenticatorでQRコードを読み取り、Google Authenticatorに表示されている6桁の数字を「確認コード」に入力して[接続]をクリックします。
Google Authenticator の設定方法は Android、iPhone/iPad それぞれ以下をご確認ください。
Google 認証システムで確認コードを取得する(Android)
https://support.google.com/accounts/answer/1066447?hl=JA
Google 認証システムで確認コードを取得する(iPhone/iPad)
https://support.google.com/accounts/answer/1066447?hl=ja&co=GENIE.Platform%3DiOS
非推奨:PCを利用したMFAの設定
以下の Google Chrome 用の拡張機能や、ダウンロードして利用するソフトウェアを使うことでMFAを設定すること自体はできますが、非推奨の方法であるため手順のご紹介はいたしません。
各自で設定方法をご確認いただき、設定をお願いいたします。
Google Chrome 拡張機能:Authenticator
https://chrome.google.com/webstore/detail/authenticator/bhghoamapcdpbohphigoooaddinpkbai?hl=ja
ソフトウェア:WinAuth
https://winauth.github.io/winauth/download.html
