?

『私のドメインの有効化』、『MFAの必須化』とは?

最終更新日 2021.8.13 FRI

 

 

Salesforceでは、新機能や機能強化を年に3SpringSummerWinterの季節ごとにリリースされます。

リリースの情報については、Salesforceより組織のシステム管理者宛てに通知されますが、特に『お客様の運用に大きな

影響のある重要な更新』については最大1年前頃から何度も通知される事があります。

本コーナーでは、メールで通知される『重要な更新』について紐解いていきます。

 

今回は、2022年2月までに予定されている特に大きな更新である、「私のドメイン」、「MFA(多要素認証)」の必須化について解説します。

 

 

1.「私のドメイン」の必須化

「私のドメイン」とは?

Salesforce組織のURLに固有のドメイン名を “追加” し、データの保護を強化します。また、会社固有のブランディング化にも役立ちます。

私のドメインを使用することで、Salesforceのログイン先のURLが『https://{設定した私のドメイン名}.my.salesforce.com』となります。

リリース時期と対応期限

できるようになること

 

(※1)SSOSingle Sign On(シングルサインオン)とは…
一組のIDとパスワードによる認証を利用して、複数のWebサービス、クラウドサービス、アプリケーションにログインできるようにする仕組みの事をいいます。

必須化に向けて必要な作業

1)     設定する『私のドメイン名』を検討し、リリース(設定)してください。
リリース手順に関しては、〔Salesforceヘルプ: [私のドメイン]の名前の選択〕を参照するか、組織にログインし、[設定 > リリース更新]に移動して、[私のドメインをリリース]を確認してください。

2)     「私のドメイン」のリリース後、Salesforceのログイン後のURLが変更されるので、ブラウザでSalesforce内のページをお気に入り登録している場合は、新しいURLのページに登録し直す必要があります。

「必須化に向けて必要な作業」をされなかった場合の影響

Winter22 の適用日までに「私のドメイン」をリリースしなかった場合、組織の会社名に基づいて自動的に私のドメインが設定されます。

「私のドメイン」は設定された後から変更することも可能です。

Argusのご利用への影響

1)     上部メニューにカスタムメニューを追加している場合、URLが『ap3』などのインスタンス名が含まれている場合、相対パスに変更する必要があります。
 例:
   変更前)https://ap3.lightning.force.com/lightning/page/home
   変更後)/lightning/page/home

2)     Argusで《 Microsoft365 新着メール連携 》機能を利用されているお客様は、Microsoft365側の「CallbackURL」を変更(または新しいドメインを追加してから古いものを削除)する必要があります。変更方法はArgus オプションガイド Microsoft365 連携 の「9 Microsoft365 アカウントを認証」を参照してください。

 

考慮事項

ご参考リンク

 

2.MFAMulti-Factor Authentication(多要素認証)の必須化

MFA」とは?

 多要素認証(MFA)は、フィッシング攻撃、アカウントの乗っ取りなど、一般的な脅威に対するユーザアカウントの保護を強化するための効果的な方法です。

 MFA では、ユーザはログインするときに 2 つ以上の証拠 (要素) を提供し、本人であることを証明する必要があります。

 Salesforceは2022年2月1日より、Salesforce製品へのアクセスにはMFAの仕様を必須条件とすることに決定しました。Salesforceにログインするすべての内部ユーザは、MFAを使用する必要があります。

 

Salesforceへログインする場合、ユーザ名とパスワードの入力に追加して、以下のいずれかのMFA手段を使用してログインする必要があります。(2)

SSO経由でSalesforceにログインする場合は、SSOプロバイダ側のMFAサービスを使用してください。(3)

 

(※2) 現状、MFAの必須化を回避する方法はありません。

(※3)  SSO側ではなく、Salesforce側でMFAを利用することも可能です。

リリース時期と対応期限

できるようになること

必須化に向けて必要な作業

1)     組織に対して、多要素認証にセキュリティレベルが設定されていることを確認し、全ユーザに対してモバイル、セキュリティキーなどを配布し多要素検証手段を確保してください。

2)     その後、多要素認証を有効化してください。

 

考慮事項

 

Salesforce Platformでサポートされている検証手段

現在、Salesforce PlatformでサポートされているMFAの検証手段は以下の通りです。

種類

種別

難易度

コスト

U2F または WebAuthn をサポートするセキュリティキー

物理キー

1台あたり3000 ~ 7000

Yubico YubiKey

Google Titan セキュリティキーなど

Salesforce Authenticator モバイルアプリケーション

モバイルアプリ

11台モバイルデバイスが必要(アプリは無料)

-

時間ベースのワンタイムパスワード (TOTP) 認証アプリケーション

モバイルアプリ

11台モバイルデバイスが必要(例に提示したアプリは無料)

Google AuthenticatorMicrosoft Authenticator

Authy(4) など

 

考慮事項

(※4Trailblazer Comunityにて、サードパーティ製の認証アプリ 「Authy(オウシー)」を使った、PCのみで
MFA認証できる例が紹介されています。
ただしデバイスを分ける方法ではありませんので、あくまで20222月に向けた緊急避難的な方法として
紹介されていますのでご注意ください。

 

ご参考リンク

Trailblazer COMMUNITY: Trailblazer COMMUNITY: [JP]配布用_20210409_SalesforceのMFA必須化に備えよう

 

「必須化に向けて必要な作業」をされなかった場合の影響

ご利用中のSalesforce組織(ArgusなどのOEMアプリケーションを含む)へのログインができなくなります。

MFAを動画で学ぶ

Salesforceサクセスナビ」にてSalesforceのセキュリティ・運用について学ぶ事ができます。

よくある質問(抜粋)

以下に、多要素認証(MFA)に関するよくある質問を抜粋してご案内します。

〔Trailblazer COMMUNITY Salesforce 多要素認証に関する FAQより

MFA でサポートされている検証手段には何がありますか。
  • Salesforce Authenticator モバイルアプリケーション
  • 時間ベースのワンタイムパスワード (TOTP) 認証アプリケーション (Google AuthenticatorMicrosoft AuthenticatorAuthy など)
  • U2FまたはWebAuthnをサポートするセキュリティキー(YubicoYubiKeyGoogleTitanセキュリティキーなど)
  • Touch IDFace IDWindows Hello などの組み込み Authenticator

【重要/考慮事項】

  • メール、テキストメッセージ、音声コールなどの安全性の低い手段は、Salesforce 製品ではサポートされていません。
  • 現在、組み込み Authenticator は、HerokuMarketing Cloud?SocialMuleSoft Anypoint Platform でのみサポートされています。

ユーザは複数の検証手段を登録できますか。

はい。

実際、普段使用している検証手段を忘れたり紛失したりした場合のバックアップとして複数の検証手段を登録しておくことを推奨しています。

セキュリティキーとは何ですか。

セキュリティキーは、MFA ログインの検証手段として使用する、小さい物理的なトークンです。セキュリティキーは、何もインストールせず、手動で入力するコードもないため使いやすい手段です。

モバイルアプリケーションソリューションを利用できない場合、たとえば、ユーザが会社支給のモバイルデバイスを保有していなかったり、モバイルデバイスを持ち込めない環境 (PCI 準拠のサービスセンターなど) で働いていたりする場合には、非常に便利なオプションとなります。

私の会社では、サポートされている MFA 検証方式のいずれも使用できません。

MFA 要件を満足するにはどうすればよいでしょうか。

Salesforce では、MFA がデータや顧客を保護するための最良の手段であると強く信じており、Salesforce 製品で MFA を正常に実装してロールアウトできるようにお客様を全力でサポートしています。

一方で、一部のお客様が MFA を実装するのに問題を抱えていることも理解しています。

そこで、お客様が MFA ソリューションを導入するための最良の手段を選べるように、ガイダンスやアシストを追加して既存の MFA リソースの拡充を続けています。

また、MFA 要件が適用されるまでに解決できない問題を抱えているお客様のためには、救済策の提供にも取り組んでいます。今後の新しい情報にご注目ください。

ユーザはモバイルデバイスを持っていません。それでも MFA を使用できますか。

はい。

物理的なセキュリティキーを使用することで MFA ログイン要件を満足することができます。

ユーザが検証手段を忘れたり紛失したりした場合には、どうやってアクセスすることができますか。

ユーザがモバイルデバイスやセキュリティキーを紛失したり忘れたりした場合、Salesforce システム管理者はユーザがアカウントにログインできるようにするための一時的な確認コードを生成できます。

MFA を有効化した後でシステム管理者がロックアウトされないようにするには。

アクセス回復計画を準備して、通常の検証手段にアクセスできなくなった場合にシステム管理者が実行できる手順を用意しておいてください。

次のベストプラクティスを検討してください。

  • 各システム管理者は、少なくとも 2 つの検証方法を登録する必要があります。
  • バックアップセキュリティキーは、金庫など、職場の安全な場所に保管します。
  • ユーザとMFA設定を管理する権限を持つアカウントを少なくとも 2 つ用意します。こうすることで、一方のアカウントがロックアウトされても、他方のアカウントを使用してアクセスを回復できます。

一部のユーザは同じ Salesforce アカウントを共有しています。どうやって MFA を実装すればよいでしょうか。

Salesforce では、複数のユーザが同じログイン情報を共有することを禁止しています。

MFAでは、各ユーザが固有の検証手段を登録して自分の Salesforce アカウントに接続しなければログインできません。

複数のユーザが同じアカウントを共有している場合、MFA が有効化された後は、そのアカウントには 1 人しかログインできなくなります。

ご参考リンク

 

【発行元】

株式会社レッティ Argusサポートデスク

460-0022 名古屋市中区金山1-14-18

https://letty.co.jp/

Copyright© 2021 Letty Inc. All Rights Reserved.