多要素認証ログイン要件の設定
| 使用可能なインターフェース: Salesforce Classic (使用できない組織もあります) および Lightning Experience の両方 |
| 使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition |
| 必要なユーザ権限 | |
|---|---|
| プロファイルと権限セットを編集する | 「プロファイルと権限セットの管理」 |
| 仮の確認コードを生成する | ユーザインターフェースで多要素認証を管理 |
次のいずれかの方法を使用して、MFA ログイン要件を設定します。
ユーザ権限
「ユーザインターフェースログインの多要素認証」権限をコピーしたユーザプロファイルまたは権限セットに割り当てます。「ユーザインターフェースログインの多要素認証」権限があるユーザは、Salesforce 組織またはコミュニティにログインするときに、検証方法を通じて 2 つ目の要素を入力する必要があります。ユーザは、モバイル認証アプリケーションや Universal Second Factor (U2F) セキュリティキーなどのサポートされる任意の検証方法を使用できます。
プロファイルベースのポリシー
特定のプロファイルに割り当てられたユーザに対して多要素認証を必須にするには、ログインに必要なセッションセキュリティレベルのプロファイル設定を編集します。次に、特定のログイン方法にポリシーを適用するように、組織のセッションセキュリティレベルを設定します。
デフォルトでは、ログイン時のセッションセキュリティ要件のプロファイル設定は [なし] になっています。プロファイルの [セッションの設定] を編集して要件を [高保証] に変更できます。[高保証] 要件が設定されたプロファイルユーザが、高保証ではなく標準レベルのセキュリティのログイン方法を使用すると、MFA を使用して ID を検証するように求められます。ユーザ認証に成功すると、Salesforce にログインします。
ログイン方法に割り当てるセキュリティレベル (標準または高保証) は、組織の [セッションの設定] で編集できます。
モバイルデバイスを使用するユーザは、Salesforce Authenticator モバイルアプリケーションまたはサードパーティ認証アプリケーションを MFA の検証方法として使用できます。内部ユーザは、個人設定の [高度なユーザの詳細] ページで、アプリケーションを自分のアカウントに接続できます。プロファイルで [高保証] 要件が設定されていると、Salesforce Authenticator や他の認証アプリケーションのないプロファイルユーザは、アプリケーションをアカウントに接続するよう求められます。アプリケーションを接続した後、アプリケーションを使用して ID を検証するよう求められます。
また、登録済みの U2F セキュリティキーを MFA 用の検証方法として使用することもできます。
ユーザが OAuth 認証フローを使用してログインする場合、多要素認証を 2 回使用して ID を検証するよう要求される場合があります。1 回目は、UI セッションのときです。2 回目は、アクセストークンが UI にブリッジされるときです。[高保証] のセッションセキュリティレベルをアクセストークンに転送することはできません。
- [設定] から、[クイック検索] ボックスに「プロファイル」と入力し、[プロファイル] を選択します。
- プロファイルを選択します。
- [セッションの設定] までスクロールして、[ログインに必要なセッションセキュリティレベル] 設定を見つけます。
- [編集] をクリックして [高保証] を選択します。
- [保存] をクリックします。
- [設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。
-
[セッションセキュリティレベル] で、[高保証] 列が [多要素認証] であることを確認します。
[多要素認証] が [標準] 列にある場合、標準レベルセキュリティを付与する方法を使用してログインすると、エラーが発生します。
- 変更内容を保存します。
例
- カスタマーコミュニティユーザプロファイルで、[ログインに必要なセッションセキュリティレベル] を [高保証] に設定します。
- 組織のセッション設定で、セッションセキュリティレベルを編集します。
- Facebook アカウントには MFA を要求しているため、[標準] 列に [Facebook] が設定されていることを確認します。
- [多要素認証] を [高保証] 列に追加します。ユーザが Facebook アカウントでログインするとき、ユーザ名とパスワードに加えてもう 1 つの検証方法を用意するように要求されます。
- [LinkedIn] を [高保証] 列に追加します。ユーザが LinkedIn アカウントでログインするとき、検証方法を用意しなくても、[高保証] アクセス権が付与されます。
MFA に通常使用しているデバイスを紛失したか、忘れたユーザのために、仮の確認コードを生成できます。コードの有効期限が生成後 1 ~ 24 時間後に切れるように設定します。コードは有効期限まで繰り返し使用できます。ユーザが使用できる仮のコードは一度に 1 つのみです。以前のコードがまだ有効な間にユーザが新しいコードを必要とする場合は、以前のコードを期限切れにして新しいコードを生成できます。ユーザは、個人設定で自分の有効なコードを期限切れにできます。