MFA（多要素認証）自動有効化まであと2か月。まだ間に合う！15分で簡単にできる 設定マニュアル提供中

MFA（多要素認証）設定マニュアル配布中

テストのポイント

この記事で学べること多要素認証 (MFA) のテストをする際のポイントを理解することができますMFA のテスト多要素認証のテストの推奨事項は製品毎に異なっております。​MFA 実装のテスト ​この記事では Salesforce Platform で構築された製品 (Sales Cloud や Service Cloud 等) におけるテストの推奨事項について紹介させて頂きます。その他の製品におけるテスト時の推奨事項は上記ヘルプ記事内の各製品毎のヘルプページへのリンクをご参照頂ければ幸いです。 Salesforce Platform で構築された製品 における MFA のテストテストに利用する環境検証に利用する環境ですが、本番環境で実施する前に Sandbox 環境、もし利用できる Sandbox 環境が無い場合には Developer Edition 組織をサインアップ頂き、そちらの環境でのテスト実施を推奨しております。テストに利用するユーザテストを実施する際には、テストを実施頂くシステム管理者のアカウントについては誤って自身がロックアウトされるのを防ぐため、システム管理者権限の無いテストユーザを作成頂き、テストユーザのアカウントを使用する事を推奨しております。テストで確認することテストで確認頂く事としてはテストユーザとしてログインし、選定頂いた検証方法*での登録フローの実施・完了検証方法登録後、Salesforce に正常にログイン頂けるかを確認エンドユーザーが検証用のデバイスを忘れた場合を想定して、管理者アカウントで仮のコードの発行仮のコードを利用してのログインの流れの確認といった点があげられます。​*Salesforce Authenticator、 3rd party の TOTP アプリケーション、セキュリティキー 等。学習ツールMFA 実装のテストMFA のテスト (Salesforce Platform で構築された製品)仮のコードによる ID の検証 まとめMFA のテストを実施する上ではまず本番環境ではなく、Sandbox や Developer Edition 組織でお試し頂く管理者ユーザがロックアウトされる事を防ぐため、テストユーザを作成しテストに使用するエンドユーザでの実施事項と管理者で実施しなければならない動作をテストでは検証するといった点がポイントとなる旨、紹介させて頂きました。MFA のテスト計画を立てる際の参考となれば幸いです。どうぞよろしくお願いいたします。

体制とロールアウト戦略の検討ポイント

この記事で学べること多要素認証導入 (MFA) に際しての体制とロールアウト戦略の検討ポイントを把握することができます ロールアウトの計画ロールアウトを成功させるにあたっては、下記の 3 点をプロジェクトの計画の条件に含める事が重要です。ロールアウト戦略変更管理サポートチームロールアウト戦略ロールアウトの戦略を考えていく上では、まずどのユーザに対して MFA を有効化していくかという点を考慮する必要があります。考慮する際には、ユーザが持つ権限が 1 つ考慮する上でのポイントとなります。例えば、“システム管理者権限”を持つユーザは全てのデータへのアクセスや、組織の設定自体も変更可能です。なので、まずはこのような強力な権限を持つユーザに対して優先して MFA を適用頂く事がセキュリティを担保する上で重要となります。​次に、一部のユーザグループから適用を進めるのか、それとも全ユーザに対して同時にロールアウトするのかを検討します。会社の規模等にもよりますが、例えば一部のシステム管理者権限のユーザでパイロットとして開始パイロット後、残りの管理者ユーザや権限が強いユーザで開始最後にその他の一般ユーザーに対して開始といったステップや、部署ごとにロールアウトするといった選択肢が考えられます。​また、ロールアウトのスケジュールを考えるにあたっては、自社内の競合する可能性があるプロジェクトの有無を確認し、同時での稼働開始を避けることもポイントとなります。ロールアウトのプランを計画する際に役に立つ推奨事項とガイドラインについては、下記のヘルプサイトの記事も併せてご参照下さい。​MFA 実装およびテスト計画の定義 変更管理次に変更の管理です。変更の管理の主な目的はエンドユーザーに対して MFA が導入される旨を伝え、実際のリリース日までに告知やトレーニングを通じて MFA の導入に関与してもらい、リリースに備えるという点になります。観点としては、ユーザにどう伝えるのか (コミュニケーションとマーケティング)ユーザをどうトレーニングするのか導入やリリース当日のサポート体制の検討はどうするのかといった事があげられます。サポートチーム3 点目はサポートの体制です。一度 MFA をエンドユーザにロールアウトされますと、例えば認証に使う携帯電話を家に忘れて来てしまった、セキュリティキーを紛失してしまった、といった事が発生する可能性が見込まれます。このような事態に備えて、ポリシーとプロセスを先んじて確立・周知しておくことが重要になります。​また導入にあたってサポートを実施される方に対して、設定やトラブルシューティング、またアクセスの復旧手順を整え、事前にトレーニングを施すことも重要です。​併せて、新しく会社に入社された方が最初から MFA を利用できるような運用(例：入社時の実施必須事項に追加する)も継続的な運用の観点から大切なポイントとなります。学習ツール管理者向け多要素認証クイックガイド多要素認証ロールアウトの計画MFA 実装のサポートの準備 まとめこの記事では、MFA のロールアウトにあたっては、​ロールアウト戦略変更管理サポートチームの 3 つの観点をプロジェクトの計画を立てる際に条件として含める事が重要である旨を紹介させて頂きました。お客様毎にロールアウトの戦略も変わってくるものと想定されます。上記の内容をご参照の上で、ロールアウトの戦略・体制作りの検討をお願い致します。

多要素認証の導入に必要なコスト

この記事で学べること多要素認証を導入する際にコストが発生し得るポイントを大まかに把握することができます。導入にコストが発生するポイント多要素認証を導入するためには、いくつかコストがかかる可能性があります。導入計画時において、どのような点にコストがかかるかを事前に知ることで予算計画を立てやすくできます。​費用が発生する可能性があるものとしては、下記になります。設定費用物理デバイス費用モバイルデバイスセキュリティキー※社内のユーザトレーニングやドキュメント作成は除く。シミュレーションしてみようシミュレーション 1前提状況従業員 10 名 程度従業員はモバイルデバイスを保有している多要素認証の設定は自分たちで実施する​既にモバイルデバイスを従業員の方が持たれており、設定はご自身で実施可能という場合では追加で発生するコストはありません。​設定を実施し、多要素認証を使い始めてみましょう。設定方法については下記の記事も併せてご参照下さい。​最も基本的な多要素認証(MFA)の設定方法を知ろう​シミュレーション 2前提状況従業員100名従業員はモバイルデバイスを保有していない多要素認証の設定は自分たちで実施する​このような場合、セキュリティーキーをご利用頂く、もしくはモバイルデバイスを持ち込み頂くという二つの選択肢があります。仮にセキュリティーを利用する場合でセキュリティキーを 1 つ 2000 円とした場合(セキュリティーの価格については各ベンダーへお問い合わせをお願い致します。)、200,000 円 (2000(単価)×100(ユーザ)) の費用がかかります。​モバイルデバイスをご利用頂く場合は社用携帯を配布するのか、もしくは従業員の私用携帯を持ち込み可とするかで費用に差異が発生いたします。​シミュレーション 3前提状況従業員 1,000 名シングルサインオン利用中だが、シングルサインオン側での MFA は未適用設定は外部委託している​SSOへのMFA適用費用 + 外部委託費 が発生します。このような場合は、外部委託をされているベンダー様とも相談の上で、見積もりを実施する必要があります。​学習ツールSalesforce 多要素認証に関するFAQ 管理者向け多要素認証クイックガイド​まとめ多要素認証を導入する際にコストが発生し得るポイントとしては設定費用物理デバイス費用の 2 点が考えられます。自社の状況とシミュレーションの内容を照らしあわせて、導入のご計画をお願いいたします。

最も基本的な多要素認証(MFA)の設定方法を知ろう

本資料の目的遅くとも2022 年 2 月 1 日までに、Salesforce 製品 (パートナーソリューションを含む) に画面からログインするすべての内部ユーザに対して、MFA（多要素認証。以降「MFA」と記載） を有効にしていただく必要があります。本資料では、MFA の対象となる全てのユーザに対して、SalesforceのMFA を有効にする手順をご説明します。​本資料は、既にSalesforceのコア製品（Sales CloudやService Cloudなど）をご利用のお客様を対象にしております。これから、新たにユーザの作成を行う新規のお客様については、こちらを参照してください。​MFA の概要MFA は、ログインセキュリティを強化し、セキュリティ上の脅威からビジネスやデータを保護するための最も簡単で効果的な手段と言えます。​MFA を有効にすると、ユーザ名とパスワードだけではログインができなくなります。ログインするためには、追加でSalesforce Authenticator等の（第2の認証方法）で[承認]をする必要があります。​なお、組織内のユーザが MFA を使用してログインする準備が整っていない状態で、Salesforceユーザ全員に対して MFA を有効にすると、誰もログインができなくなってしまいます！そのため、まずは一般ユーザやテスト用ユーザで MFA を有効化してみましょう。（所要時間は約15分です）その後、皆様へ操作方法の説明をして展開するようにしましょう。前提事項本手順書では、権限セットを使用する方法で説明しています組織の設定によっては、本手順書の画面とお客様の画面が異なる場合がありますモバイル端末はiPhoneの画面ショットです。Android端末をご利用の場合は表示が異なります第2の認証方法として、Salesforce Authenticatorを使用する手順です本手順書は、Salesforceの MFA を有効化する手順です。（SSOをご利用のお客様の手順は含まれません）MFA 移行のベストプラクティスは、Salesforceの設定画面にある[多要素認証アシスタント]をご確認ください不明点は弊社テクニカルサポートへお問い合わせ下さい（お問い合わせ方法はこちら）設定手順ここまでの説明を含む、具体的な設定手順はこちらをご確認ください。

多要素認証導入後の確認方法とポイント

この記事で学べること多要素認証 (MFA) 導入後の状況の確認方法確認時におけるポイント導入後の確認方法Salesforce Platform で構築された製品(*注1)での MFA 導入後の定着化の進捗を確認する方法としては下記の 4 つがあります。Salesforce Labs の MFA ダッシュボードアプリケーションID 検証履歴カスタムリストビューLightning Usage アプリケーションこれらのツールを使ってMFAの適用状況を繰り返しモニタリングし、適用の進んでいないユーザからのフィードバックを収集しながら改善を図り、ユーザに対して必要なサポートを提供していく事が重要になります。この記事ではそれぞれの確認方法の目的・操作方法を紹介させて頂きます。確認方法 1. Salesforce Labs の MFA ダッシュボードアプリケーションポイントこの確認方法では AppExchange から専用のパッケージをお使いの組織にインストールします。パッケージには大きく分けて 2 つのコンポーネントが含まれており、それぞれ下記の状況確認・管理が可能です。MFA ビュー: MFA 検証方法を登録したユーザを参照します。仮の確認コードを生成したユーザと、登録済みの検証方法を取り消したユーザを追跡することもできます。ダッシュボードおよびレポート: 組織の MFA 検証活動を監査し、検証方法の登録の進行状況を追跡します。操作方法設定は下記の 3 ステップです。パッケージのインストールMFA リストビューダッシュボード下記から詳細となります。​・パッケージのインストールまず AppExchange から専用のパッケージをお使いの組織にインストールします。Salesforce にログイン頂いた状態で、ブラウザの別のタブを開いて頂き AppExchange の URL へアクセスします。[Get It Now] をクリックし、画面の指示従ってインストールを行います。基本的なパッケージのインストール方法についてはこちらの “パッケージのインストール” のヘルプサイトも併せてご参照下さい。※パッケージのインストール中にエラーが出る、もしくは技術的に不明な点がございましたら弊社サポートまでお問い合わせをお願い致します。​・MFA リストビューパッケージをインストール頂くと、“MFA view” というリストビューをご利用頂けます。[設定] から [クイック検索] ボックスに “ユーザ” と入力頂き、[ユーザ]をクリックします。“すべてのユーザ” の画面にて “ビュー” のプルダウンをクリック頂きますと “MFA view” が追加されていますので、こちらを選択します。このリストビューでは “誰が、何の認証要素を登録しているか” を把握頂く事が可能です。また、例えばいつも使用する認証要素(例：携帯電話)を忘れた又は紛失したユーザに対し、MFA 検証方法を一旦切断するといった操作、または一時的な検証コードもこのリストビューから生成(*注2)できます。※参考の画像のユーザ名はマスキングしています。​留意点として、セキュリティキーの登録状況の項目はデフォルトの状態では項目として表示されていません。必要に応じてリストビューの[編集]をクリックし、“U2F セキュリティキー”を “選択済みの項目” へ追加をお願い致します。​・ダッシュボードダッシュボードのメニューにて “Multi-Factor Authentication (MFA) Dashboard” をクリックしてダッシュボードにアクセスします。このダッシュボードでは、デフォルトで 7 つのコンポーネントが配置されています。​Verification Challenges by Activity:アクティビティ毎(*注3) に使用されている検証要素の回数を確認頂けます。​Verification Challenges by Country: ログイン元の国を確認頂けます。(ログイン元IP により判定されます)​Verification Challenges by City: ログイン元の都市毎での各アクティビティ(*注3) の回数を確認頂けます。(ログイン元IP により判定されます)​Users with Salesforce Authenticator (ゲージグラフ): 組織内における Salesforce Authenticator を認証要素として登録しているユーザ数の進捗を把握頂けます。デフォルトの最大値は 100 となっているのでダッシュボードを編集頂き、お客様の組織に沿った値を設定頂けます。​Users with Salesforce Authenticator(ドーナツグラフ):組織内における Salesforce Authenticator を認証要素として登録しているユーザ数の割合を確認頂けます。​Users with One-Time Password Generator Apps:組織内における TOTP アプリケーショ を認証要素として登録しているユーザ数の割合を確認頂けます。​Users with Temporary Verification Codes:プロファイル毎に一時的な検証コードを生成している回数を確認頂けます。​例えば、Users with Salesforce Authenticator(ドーナツグラフ)で組織内で Salesforce Authenticator を認証要素として登録済みのユーザの割合を把握頂けます。レポートで登録が進んでいないユーザを確認頂きフォローアップのメールを送って頂いたり、理解を深めて頂くために勉強会を開催するといった進め方が可能です。確認方法 2. ID 検証履歴ポイントID 検証履歴では最新の ID 検証レコードを最大 20,000 個まで絞り込み、表示しています。“メソッド”の項目でどのような検証要素を使用しているか確認ができ、“状況”で操作の成否を確認可能です。例えば、上手くログインができていないユーザがいるようであれば、フォローアップが必要な事が分かります。操作方法[設定] から [クイック検索] ボックスに「検証履歴」と入力し、[ID 検証履歴] をクリックします。デフォルトで表示されているリストビュー以外でも、ご要件に沿ってカスタムリストビューを作成頂く事も可能です。デフォルトで用意されている項目の内容、またカスタムリストビュー作成のヒントについては下記のヘルプサイトを併せてご参照下さい。​Monitor Identity Verification History (ID 検証履歴の監視)※参考の画像のユーザ名はマスキングしています。確認方法 3. カスタムリストビューポイントカスタムリストビューは、確定方法 1.で紹介させて頂いた管理パッケージに含まれているリストビューを自身で作成頂くものとなります。運用の制約等で管理パッケージをインストール頂けない場合はこちらの方法をお試し下さい。操作方法作成方法については、下記のヘルプサイトに手順がございますのでご参照下さい。​ユーザの ID 検証方法の表示 確認方法 4. Lightning Usage アプリケーションポイントLightning Usage アプリケーションの [ログイン総計値] タブを使用して、組織のログインを監視できます。多要素認証 (MFA) やシングルサインオン (SSO) など、組織のさまざまな ID サービスを使用してログインしているユーザの数を一覧で確認する事が可能なので、複数のログイン方法を監視するとユーザが MFA を使用せずにログインしているかどうかといったトレンドを把握するのにご利用頂けます。操作方法プリケーションランチャーから [Lightning 利用状況] を見つけて開きます。このアプリケーションで、ページの左側にある [セキュリティ] の [ログイン総計値] をクリックし、関連付けられたデータを表示します。​詳細は下記のヘルプサイトを併せてご参照下さい。Lightning Usage アプリケーションを使用したログインの監視学習ツールMFA の使用状況の監視と分析MFA 使用状況の監視 (Salesforce Platform で構築された製品)まとめこの記事では、MFA の適用状況の管理/確認のツールとして、Salesforce Labs の MFA ダッシュボードアプリケーションID 検証履歴カスタムリストビューLightning Usage アプリケーションの 4 点がある事、またそれぞれのポイント・操作方法について紹介をさせて頂きました。このようなツールを使ってMFAの適用状況を繰り返しモニタリングし、適用の進んでいないユーザからのフィードバックを収集しながら改善を図り、ユーザに対して必要なサポートを提供していく事が適用を進めていく上で非常に重要になります。是非、これらのツールをご活用の上で MFA 適用の推進をお願い致します。​(*注1) Sales Cloud、Service Cloud、Analytics Cloud、B2B Commerce Cloud Marketing Cloud、Audience Studio、Marketing Cloud、Account Engagement（旧 Pardot）、Experience Cloud、Platform、Industries Cloud、Consumer Goods Cloud、Financial Services Cloud、Government Cloud、Health Cloud、Manufacturing Cloud、Philanthropy Cloud、Salesforce Essentials など​(*注3) Lightning Experience をお使い頂いている場合、現在リストビューから一時的な検証コードを生成する処理にてエラーが出る既知の問題がございます。お手数ですが、一時的な検証コードの生成が必要な場合はユーザの詳細ページより生成をお願い致します。Known Issues: Unable to Generate a Temporary Identity Verification Code from within a list view ​(*注3) 例：“Salesforce へのログイン”,“ワンタイムパスワードジェネレータを接続”等

多要素認証「はじめてガイド」

多要素認証の検証方法と選び方

この記事で学べることSalesforce の多要素認証の検証方法検証方法ごとの特長多要素認証の検証方法多要素認証には“お客様が知っている要素”と“持っている要素”を組み合わせていただく必要がございます。ここでは“持っている要素”について、検証方法としてどのような選択肢が用意されているかをご紹介いたします。Salesforce としては現在下図の通り、4 つの検証方法をサポートしております。まず１つ目は、Salesforce Authenticator モバイルアプリケーションという Salesforce が提供しているアプリケーションを使用した方法です。iOSまたはAndroidが利用可能なモバイルデバイスを持っていれば、Salesforceアカウントに無料で簡単に接続できますので、もっともおすすめの方法となります。次に２つ目は、サードパーティ製Authenticatorアプリケーションを利用した方法です。こちらもモバイルデバイスが必要となり、Google Authenticator、Microsoft Authenticator、Authy などのRFC-6238の規格に準拠したアプリケーションであれば認証可能でございます。３つ目は、セキュリティキーを利用した方法となります。会社のポリシー上モバイルデバイスそのものやアプリの利用が制限されている場合もあるかもしれません。その場合、持っている情報としてセキュリティキーを利用することが手段としてございます。最後に 4 つ目は、組み込み認証を利用した方法となります。こちらも、会社のポリシー上モバイルデバイスそのものやアプリの利用が制限されている場合に、持っている情報として組み込み認証を利用することが手段としてございます。​なお、多要素認証の認証方法として、SMSテキストメッセージ、電話、電子メールを使用した方法はサポートしておりません。これは、電子メールの認証情報が漏洩したり、テキストメッセージや電話が傍受されたりする可能性を考慮しているためです。悪意のある者が実際のモバイルデバイスや物理的なセキュリティキーを操作することは、電子メールアカウントへの侵入や携帯電話番号のハッキングに比べてはるかに困難であることが理由としてございます。​検証方法の選び方まず、現在どのような認証方法を使用しているか確認し、その状況に基づいてどのような方法がよいか下記のフローを用いて確認します。​次に、Salesforceで用意している検証方法ごとの特長をご紹介いたします。記載されている情報をご確認いただき、自社に適した検証方法の検討をお願いいたします。​なお、自社組織でシングルサインオンを利用している場合については、ご利用中のIDプロバイダの製品仕様をご確認の上、多要素認証の適用をご検討ください。考慮事項やコストを鑑みると、Salesforce Authenticator を使った方法が導入のハードルが低く、始めやすくなっております。利用可能なモバイルデバイスがありましたら、Google Play または App Store からダウンロードできますのでぜひお試しいただけますと幸いです。設定方法については、管理者向け多要素認証クイックガイドをご活用ください！​学習ツールSalesforce Authenticator (ヘルプ)Salesforce 多要素認証に関するFAQ 管理者向け多要素認証クイックガイドまとめ検証方法としては大きく分けて4パターンあり、自社に適した方法を選択しましょうSalesforce Authenticator を使った方法が比較的始めやすいです

多要素認証(MFA) : プロダクト別情報一覧

この記事で学べることプロダクト毎 (Sales/Service Cloud, Marketing Cloud, Commerce Cloud) の MFA 関連情報が分かります。記載のリンクよりお使いの製品に関する情報をご確認ください。全製品共通* 多要素認証(MFA)コミュニティ 日本*Salesforce 多要素認証のFAQSalesforceへ安全にアクセスするために知っておくべき情報〜多要素認証Core 製品 (Sales/Service Cloud 等)ドキュメント: 多要素認証の管理者ガイドドキュメント: 管理者向けのシステム管理者ガイド[オンデマンド・アクセラレータ] Platform: 多要素認証Webinar: 【より安全にSalesforceへアクセスするための「多要素認証」の設定】 2020/8/28【動画】まだ間に合う！5分で理解、15分で設定するMFA(多要素認証) 2022/10/19 uploadMarketing CloudMarketing Cloud Messaging & Journeysヘルプサイト: 多要素認証ヘルプサイト: Marketing Cloud の多要素認証に関する FAQナレッジ: Salesforce Marketing Cloud における多要素認証 (Multi-Factor Authentication (MFA)) 設定手順Webinar: Marketing Cloud 多要素認証 (MFA) の導入と設定 2020/9/25Video: MFA の設定Marketing Cloud 多要素認証(MFA)対策ガイドSocial Studioヘルプサイト: Understand Multi-Factor Authentication in Social Studioドキュメント: Social Studio 多要素認証機能のご紹介Commerce Cloud多要素認証の導入QuipQuip 多要素認証(MFA)適用に向けたガイドTableauTableauテクニカルサポート情報ページ

MFA導入後のトラブルを未然に防いで運用を円滑に

多要素認証で安全にアクセス〜 MFA の必要性と適応のヒント

概要リモートワークによるオフィス外からのアクセス、ログイン情報を侵害する可能性のある脅威の増加など、昨今セキュリティを取り巻く状況が急激に変化しています。「多要素認証 ( MFA ) 」はアクセスを効果的に安全にするソリューションで、将来的に Salesforce へのアクセスに必須の設定となります。MFA の導入背景や適用の際に役立つリソースをご紹介します。​https://play.vidyard.com/BY9Lxsj1A73yP5ykzKE9Pr