MFA(多要素認証)

すでに Okta™ や Duo™ などの MFA ソリューションを使用している場合は、Salesforce 製品の MFA 機能を有効化する代わりに、そのシステムと Salesforce 製品を統合することをお勧めします。既存のソリューションとの統合により、MFA を実装するための時間とコストを節約できます。また、ユーザはすでに既存のシステムを使い慣れていますので、移行への抵抗や変更管理を最小限に押さえることができます。

会社ですでにログインごとに MFA が必要な既存のシングルサインオン (SSO) が実装されている場合は、Salesforce 製品を SSO システムに統合できるかどうか確認してください。ただし、すべての Salesforce ユーザは MFA を使用する必要があります。製品に直接ログインするユーザ (Salesforce システム管理者など) がいる場合、それらのアカウントの Salesforce の MFA を有効にします。詳細はFAQ 内の「Salesforce のシングルサインオン (SSO) を使用しています。SSO は MFA 要件を満たしますか?」を参照してください。

Salesforce では、MFA がデータや顧客を保護するための最良の手段であると強く信じており、Salesforce 製品で MFA を正常に実装してロールアウトできるようにお客様を全力でサポートしています。一方で、一部のお客様が MFA を実装するのに問題を抱えていることも理解しています。Salesforce は、お客様の組織のセキュリティ面やコンプライアンス面への影響を回避するための方策として MFA を活用できるようにします。要件を満たすことができないのではないかと懸念している場合は、Salesforce の担当者にお問い合わせください。お客様と協力して解決策を模索します。

はい。物理的なセキュリティキーを使用することで MFA ログイン要件を満たすことができます。

Heroku、Marketing Cloud—Datorama、MuleSoft Anypoint Platform については、組み込み Authenticator (Touch ID、Face ID、Windows Hello など) を使用して認証するオプションも用意されています。Winter '22 リリースで、Salesforce プラットフォーム上に構築された製品のベータ機能としてこのオプションが使用可能になっています。また、TOTP デスクトップ認証アプリケーションまたはブラウザ拡張機能がユーザが使用できる唯一のオプションである場合は、この種の手段で MFA 要件を満たすことができます。

MFA が意図されている保護を実現するためには、ユーザが Salesforce 製品に直接ログインするたびに検証手段に入力する必要があります。ユーザの負担を減らすには、Salesforce Authenticator を使用することをお勧めします。信頼できる場所 (オフィスや自宅など) からユーザが作業している場合、このアプリケーションによって追加の認証手順を自動化できます。つまり、このような場所からログインする場合、ユーザは電話を操作する必要はありません。このオプションはユーザ自身で設定できます。詳細は、Salesforce ヘルプの「Salesforce Authenticator を使用した信頼できる場所からの多要素認証ログインの自動化」を参照してください。

また、ユーザが同じ場所から 3 回認証されると、Salesforce Authenticator はその場所を自動的に信頼することができます。このオプションを設定するには、「Salesforce Authenticator による信頼できる場所のインテリジェントな保存」を参照してください。

MFA を使用することおよび MFA の重要性をユーザに事前に伝えます。いくつかのアイデアを次に示します。

• ロールアウト全体にわたって情報を伝えて質問に答えることができる Chatter グループや Slack チャネルなどのフォーラムを作成します。
• 事前に認知度を高めます。ポスターを掲示します。1 週間のメールドリップキャンペーンを実行して、ユーザに MFA の概要を紹介し、ログインプロセスの変更をユーザが可視化できるようにするほか、ヒントと使用方法を提供して、MFA の有効化時にユーザの準備が整っているようにします。

最低 1 つの検証手段を取得、登録、および使用してログインする方法についてユーザを教育します。Web セミナーやランチミーティングセッションの開催を検討します。稼働開始日にユーザがヘルプをすぐに取得できるように、詳細な手順が記述された Web ページやラミネート加工された早見表を作成することもできます。

サポートチームを準備して、検証手段の設定、ログインの問題のトラブルシューティング、通常の検証手段を失ったまたは忘れたユーザに対する一時コードの生成など、さまざまな問題に関してユーザをサポートできるようにします。

最後に、パイロットグループを使用してロールアウトを開始することを検討します。少数のユーザに対して MFA を開始した後、何が適切に機能し、何が適切に機能しなかったかを含め、状況に関してフィードバックを取得します。学んだことを使用してロールアウトプロセスとオンボーディング資料を改善してから、他のすべてのユーザに対して MFA を有効にします。

Salesforce ヘルプの「多要素認証に向けたユーザの準備」で他のアイデアも参照してください。また、Multi-Factor Authentication Rollout Packをダウンロードして、カスタマイズ可能な計画や変更管理のテンプレートを入手します。

この要件を満たす MFA ソリューションを使用していることを確認するには、Salesforce の「Trust and Compliance Documentation (信頼とコンプライアンスに関するドキュメント)」の「Notices and Licenses Information (通知およびライセンス情報)」セクションにあるサービス利用規約や、この FAQ の詳細を確認してください。

また、MFA 要件チェッカーを使用していくつかの質問に答え、実装が要件を満たしているかどうかを確認することもできます。このサイトでは、要件を完全に満たしていなければ次のステップが示されるため、2022 年 2 月 1 日の期限までに準備を整えることができます。

IT チームまたはサイバーセキュリティチームがいる場合は、その指示を仰ぐことをお勧めします。また、いつでも Trailblazer Community の「多要素認証(MFA)コミュニティ 日本」グループに質問を投稿して、Salesforce のセキュリティエキスパートに助けてもらうこともできます。

MFAの導入後の運用で気をつけるべきことは、こちらの記事をご参照ください。

ユーザがモバイルデバイスやセキュリティキーを紛失したり忘れたりした場合、Salesforce システム管理者はユーザがアカウントにログインできるようにするための一時的な確認コードを生成できます。コードは有効期限まで繰り返し使用できます。詳細は、Salesforce ヘルプの「多要素認証実装のサポート」を参照してください。

注意: Marketing Cloud—Datorama、MuleSoft Anypoint Platform、Salesforce Anywhere/Quip 製品、Tableau Online では一時コードを使用できません。

MFA の準備とロールアウトの方法を理解するのに役立つ、各製品に共通したリソースを用意しています。

• 「Multi-Factor Authentication Quick Guide for Admin (管理者向け多要素認証クイックガイド)」: サポートされる検証手段、製品別の MFA の有効化手順、各検証手段の登録方法とログイン方法など、MFA の導入に関する主要な概念と手順を簡潔にまとめてあります。
• 「How to Roll Out Multi-Factor Authentication (多要素認証を展開する方法)」: MFA の導入におけるガイドライン、実装手順、推奨される作業の詳解など、包括的で詳細なヘルプ情報を提供します。

製品特有の MFA リソースも豊富に用意されています。

Sales Cloud、Service Cloud、Analytics Cloud、B2B Commerce Cloud、Experience Cloud、Industries 製品 (Consumer Goods Cloud、Education Cloud、Financial Services Cloud、Government Cloud、Health Cloud、Manufacturing Cloud、Nonprofit Cloud、Philanthropy Cloud)、Marketing Cloud—Audience Studio (旧 DMP)、Marketing Cloud—Pardot、Platform、Salesforce Essentials、Salesforce Field Service、パートナーソリューションなど、Salesforce Platform を基盤とする製品向け:

• 多要素認証アシスタントの概要 (Salesforce ヘルプ)
• Launch Multi-Factor Authentication (多要素認証の起動) (動画 日本語字幕あり)
• ユーザ認証 (Trailhead)
• 多要素認証 (Salesforce ヘルプ)

B2C Commerce Cloud 向け:

• Verify Your Identity with Multi-Factor Authentication (多要素認証での ID の検証) (B2C Commerce Infocenter)
• MFA (B2C Commerce Cloud) の有効化 (Salesforce ヘルプ)
• B2B Commerce の役割 & 許可 (Trailhead)
• B2C Commerce の MFA に関する FAQ

Heroku 向け:

• Enhancing Security - MFA with More Options (セキュリティの強化 - MFA のオプションの増加)
• Heroku の MFA のヘルプ
• Heroku Multi-Factor Authentication FAQ (Heroku の多要素認証に関する FAQ)

Marketing Cloud—Datorama 向け:

• MFA for Datorama Knowledge Article (Datorama の MFA に関するナレッジ記事) (Datorama へのログインが必要)
• MFA for Datorama FAQ (Datorama の MFA に関する FAQ) (Datorama へのログインが必要)

Marketing Cloud—Email Studio、Mobile Studio、および Journey Builder 向け:

• Launch Multi-Factor Authentication (多要素認証の起動) (動画 日本語字幕あり)
• 多要素認証 (Salesforce ヘルプ)
• Marketing Cloud の MFA に関する FAQ
• Marketing Cloud 多要素認証(MFA)対策ガイド (動画 日本語字幕あり)

Marketing Cloud—Social 向け:

• Multi-Factor Authentication in Social Studio (Social Studio の多要素認証) (Salesforce ヘルプ)
• Register and Manage Verification Methods for MFA in Social Studio (Social Studio での MFA の検証手段の登録および管理) (Salesforce ヘルプ)
• Access Social Studio from a URL When MFA is Enabled (MFA が有効になっている場合の URL からの Social Studio へのアクセス) (Salesforce ヘルプ)

MuleSoft Anypoint Platform 向け:

• 多要素認証

Salesforce Anywhere/Quip 製品向け:

• Enable MFA for Your Quip Site (Quip サイトでの MFA の有効化)

Tableau Online 向け:

• About Multi-Factor Authentication and Tableau Online (多要素認証と Tableau Online について)
• Multi-Factor Authentication and Tableau Online (多要素認証と Tableau Online)
• Register for Multi-Factor Authentication (多要素認証の登録)
• Manage Multi-Factor Authentication Verification Methods (多要素認証の検証手段の管理)

不明な点がある場合は、Trailblazer Community の「多要素認証(MFA)コミュニティ 日本」にご参加ください。Salesforce のセキュリティの専門家や、MFA の実装を進めているその他の Trailblazer システム管理者への質問を投稿することができます。