多要素認証(MFA) 導入後に発生する可能性がある事象と事前にご理解頂きたいポイント
公開日: 2022.07.20
目次
この記事で学べること
- 多要素認証 (MFA) 導入後に発生する可能性のある事象
- 日々のオペレーションやビジネスを止め無いために事前にご理解頂きたい MFA 利用のポイント
背景
Salesforce の 2022年2月より MFA の利用を必須化に伴い、非常に多くのお客様に MFA を利用して安全に Salesforce をお使い頂けております。利用の増加に伴い MFA 導入後のトラブルに関するお問い合わせも増えております。この記事では MFA 導入後に発生する可能性がある事象と日々のオペレーションやビジネスを止め無いために理解しておいて頂きたい点を紹介させて頂きます。MFA の運用を検討する一助となれば幸いです。
多要素認証 (MFA) 導入後に発生する可能性のある事象
Salesforce の MFA 導入後に発生する可能性のある事象として下記のような点が挙げられます。
- 何らかの障害(例:Salesforce の障害、お使いのスマートフォンの機器/通信障害)の影響で Salesforce の MFA を認証できない
- 認証に必要なデバイスが紛失した・壊れた
いずれの場合でも複数の認証要素(例: スマートフォンで Salesforce Authenticator + セキュリティキー)をあらかじめ登録する事でリスクを低減頂けます。特にシステム管理者様については少なくとも 2 つ以上の検証方法を登録頂く事をビジネスを止めないためのベストプラクティスとして推奨させて頂いております。
MFA を有効化した後でシステム管理者がロックアウトされないようにするには?
アクセス回復計画を準備して、通常の検証手段にアクセスできなくなった場合にシステム管理者が実行できる手順を用意しておいてください。次のベストプラクティスを検討してください。
・各システム管理者は、少なくとも 2 つの検証手段を登録する必要があります。
・バックアップセキュリティキーは、金庫など、職場の安全な場所に保管します。
・ユーザと MFA 設定を管理する権限を持つアカウントを少なくとも 2 つ用意します。こうすることで、一方のアカウントがロックアウトされても、他方のアカウントを使用してアクセスを回復できます。
通信障害等で Salesforce Authenticator の プッシュ通知が来ない場合
通信障害や Salesforce の障害等が発生した際によく頂くお問い合わせとして Salesforce Authenticator の プッシュ通知が来ず認証ができないというご相談を頂きます。
このような場合、下記のヘルプサイトに記載のように Salesforce Authenticator に表示されている 6 桁のコードでも Salesforce にログイン頂く事が可能な場合がございますので、まずこちらを一度お試し下さい。
Salesforce Authenticator のトラブルシューティング
ブラウザ上に表示される Salesforce のモバイルデバイスの確認ページで、「お困りですか?」をタップしてから、「別の検証方法を使用してください」をタップします。SalesforceAuthenticator からの 6 桁のコードを入力します。これは、電話がオフラインの場合でも機能します。
下記操作手順のステップとなりますので、ご参照下さい。(*Summer’22 リリース時点の画面キャプチャとなります。)
お困りですか?をクリックします
「別の検証方法を使用して下さい」をクリックします
「認証アプリケーションからのコードを使用」をクリックします
表示される画面の「確認コード」に Salesforce Authenticator に表示されている 6 桁のコードを入力し、「検証」をクリックします
補足:SSO (Single Sign On) を利用されているお客様
最後に蛇足とはなりますが Salesforce の MFA 必須化に伴い複数のアプリケーションをご利用のお客様では SSO を導入され SSO の ID プロバイダーでの MFA を利用されるお客様も増加いたしました。
直接 MFA とは関連いたしませんが Salesforce のベストプラクティスでは SSO を利用されているお客様におかれましても管理者の方については ID プロバイダーでの障害発生時に備えて直接ログインの経路を残す事が推奨されております点、ご認識置き頂き、一部のユーザーについては並行して Salesforce への直接ログイン頂く経路と MFA の設定をして頂きますとトラブル時の対応がスムーズになるかと存じます。ご参照いただければ幸いです。
シングルサインオンの FAQ
メモ:Salesforce システム管理者のログイン認証情報は無効にしないことをお勧めします。システム管理者は、ユーザ名とパスワードを指定して直接 Salesforce にログインできる必要があります。これは、SSO 停止などの問題に対応できるようにするためです。
学習ツール
今から始める Salesforce MFA対策セミナー(MFA導入事例)
実際に導入後にトラブルが発生したお客様にて、どのように対応されたかという点が事例が公開されております。ご参照下さい。
MFA サポートプランの設定
MFA の運用計画を検討頂く際にご参照下さい。
まとめ
この記事では MFA の導入後に発生する可能性があるトラブルに対して、(特に管理者について) 2 つ以上の検証要素をあらかじめ準備頂く事が継続的なビジネスの運営に有効である旨を説明させて頂きました。
また、通信障害や Salesforce で障害が発生した際に Salesforce Authenticator をお使いのお客様からよく頂戴するご質問としてプッシュ通知が来ず認証できないという点がありますが、そのような場合は Salesforce Authenticator の画面上に表示されます 6 桁のコードを入力することでログインいただける可能性がある旨、説明させて頂きました。
上記の情報等を踏まえて、MFA 導入後の運用を円滑に進めて頂ければ幸いです。
公開日: 2022.07.20
この情報は役に立ちましたか?
ご意見お待ちしております。
フィードバックありがとうございます。
より役に立つために
役に立たなかった一番の理由を教えてください。