この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。

ユーザが Salesforce にログインできる範囲と時間帯の制限

ユーザが Salesforce にログインできる時間帯と、ログインおよびアクセスできる IP アドレスの範囲を制限できます。IP アドレスの制限はユーザのプロファイルおよび不明な IP アドレスからのログインに対して定義され、Salesforce によってユーザのログインが拒否されます。この制限は、未承認のアクセスおよびフィッシング攻撃からデータを保護するのに役立ちます。

ログイン時間帯の制限

プロファイルごとに、ユーザがログインできる時間帯を設定できます。次のトピックを参照してください。

ユーザインターフェースログインの多要素認証

プロファイルごとに、ユーザインターフェースを使用してログインするときにユーザ名とパスワード以外の ID 検証方法も用意するようユーザに要求できます。(以前は、多要素認証は 2 要素認証と呼ばれていました)。「多要素認証ログイン要件の設定」を参照してください。

API ログインの多要素認証

プロファイルごとに、時間ベースのワンタイムパスワードまたは TOTP とも呼ばれる確認コードを要求できます。「API ログインの多要素認証」権限を持つユーザは、アカウントのパスワードのリセット時など、要求されたときはいつでも、標準のセキュリティトークンではなく、確認コードを使用します。ユーザはこれらの確認コードを生成するために TOTP 認証アプリケーションをインストールして登録する必要があります。(以前は、多要素認証は 2 要素認証と呼ばれていました)。「API アクセスの多要素認証ログイン要件の設定」を参照してください。

ログイン IP アドレス範囲の制限

Enterprise Edition、Performance Edition、Unlimited Edition、Developer Edition、および Database.com Edition の場合、ユーザがどのアドレス範囲からログインできるかを指定する [ログイン IP アドレスの制限] のアドレスを個々のプロファイルに設定できます。ログイン IP の範囲外のユーザは、Salesforce 組織にアクセスできません。

Contact Manager Edition、Group Edition、および Professional Edition の場合、[ログイン IP アドレスの制限] を設定します。範囲を設定するには、[設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択します。

すべてのアクセス要求に対するログイン IP アドレス範囲の適用

クライアントアプリケーションからの要求を含むページ要求ごとに IP アドレス制限を適用できます。このオプションを有効にするには、[設定] から、[クイック検索] ボックスに「セッションの設定」と入力し、[セッションの設定] を選択して、[すべての要求でログイン IP アドレスの制限を適用] を選択します。このオプションは、ログイン IP アドレスが制限されたすべてのユーザプロファイルに影響します。

組織全体の信頼できる IP アドレス範囲

すべてのユーザについて、ユーザがログインの問題が発生することなく常にログインできる IP アドレス範囲のリストを設定できます。これらのユーザは、追加の確認情報を提供した後で組織にログインできます。「組織の信頼済み IP 範囲の設定」を参照してください。

ユーザがユーザインターフェース、API、または Salesforce for Outlook、Connect Offline、Connect for Office、データローダなどのデスクトップクライアントを使用して Salesforce にログインする場合、Salesforce は、ログインを次の方法で承認します。

Salesforce は、ユーザのプロファイルにログイン時間の制限が設定されているかどうかを確認します。ユーザのプロファイルにログイン時間の制限が指定されている場合、それ以外の時間にログインを試みようとすると、拒否されます。
ユーザに「ユーザインターフェースログインの多要素認証」権限がある場合は、Salesforce ログインプロセスで、ユーザ名とパスワード以外の ID 検証方法も用意するようユーザに促します。ユーザのアカウントが Salesforce Authenticator モバイルアプリケーションなどの検証方法にまだ接続されていない場合は、Salesforce では、方法を登録するようユーザに促します。
ユーザに「API ログインの多要素認証」権限があり、認証アプリケーションがアカウントに接続されている場合、ユーザは認証アプリケーションで生成される確認コード (TOTP) を入力する必要があります。ユーザが標準のセキュリティトークンを使用している場合、Salesforce はエラーを返します。
Salesforce は次に、ユーザのプロファイルに IP アドレス範囲の制限が定義されているかどうかを確認します。定義されている場合、その IP アドレス範囲外からのログインは拒否されます。[すべての要求でログイン IP アドレスの制限を適用] セッション設定が有効になっている場合、クライアントアプリケーションからの要求も含め、ページ要求ごとに IP アドレス制限が適用されます。
プロファイルベースの IP アドレス制限が設定されていない場合、Salesforce は、ユーザのログイン元のデバイスが、以前 Salesforce へのアクセスに使用されたかどうかを確認します。
- Salesforce が認識するデバイスやブラウザからユーザがログインしている場合は、ログインが許可されます。
- 信頼できる IP アドレスのリストに含まれる IP アドレスからのログインであれば、ログインは許可されます。
- Salesforce で認識された信頼できる IP アドレス、デバイス、またはブラウザからユーザがログインしていない場合、ログインはブロックされます。

ログインがブロックされるか、API ログインの失敗エラーが返された場合、Salesforce は、ユーザの ID を検証します。

ユーザインターフェース経由でアクセスする場合、ユーザは、Salesforce Authenticator (バージョン 2 以降) を使用して検証するか、確認コードを入力するように求められます。
ユーザが Salesforce に初めてログインするときは、確認コードを要求されません。
メモ
API またはクライアントアプリケーション経由でアクセスする場合、ユーザプロファイルに「API ログインの多要素認証」権限が設定されているときは、認証アプリケーションで生成された TOTP 確認コードをユーザが入力します。
この権限が設定されていない場合、ユーザはログインパスワードの末尾にセキュリティトークンを追加する必要があります。セキュリティトークンは Salesforce から生成されるキーです。たとえば、パスワードが mypassword で、セキュリティトークンが XXXXXXXXXX の場合は、ログイン時に「mypasswordXXXXXXXXXX」と入力します。また、クライアントアプリケーションによっては、別個にセキュリティトークン用の項目があります。

セキュリティトークンを取得するには、Salesforce ユーザインターフェースを通じてパスワードを変更するか、セキュリティトークンをリセットします。ユーザがパスワードを変更するか、セキュリティトークンをリセットすると、Salesforce がユーザの Salesforce レコードのメールアドレス宛に新しいセキュリティトークンを送信します。セキュリティトークンは、ユーザがセキュリティトークンをリセットするか、パスワードを変更するか、またはパスワードがリセットされるまで有効です。

新しい IP アドレスから Salesforce にアクセスする前に、[私のセキュリティトークンのリセット] を使用して信頼できるネットワークからセキュリティトークンを取得しておくことをお勧めします。
ヒント

ログイン制限の設定に関するヒント

ログイン制限を設定するときには、次の点を考慮してください。

ユーザのパスワードが変更されると、セキュリティトークンがリセットされます。API またはクライアントを使用してログインする場合は、生成されるセキュリティトークンをユーザがパスワードの末尾に追加するまで、ログインがブロックされる場合があります。
パートナーポータルとカスタマーポータルのユーザは、ログインを行うためにブラウザをアクティベートする必要はありません。
次のイベントは、ロックアウトされるまでの無効なパスワードによるログイン試行回数のカウントの対象となります。
- ユーザが ID 検証が促された場合
- ユーザが API またはクライアント経由で Salesforce にログインするときに、パスワードの末尾に追加したセキュリティトークンまたは確認コードが誤っていた場合

Salesforce セキュリティガイド