2025 年 9 月上旬より、組織にインストールされていない接続アプリケーションの使用は制限されます。この使用制限により、エンドユーザーは未インストール接続アプリケーションを使用できなくなります。この変更は、Salesforceの製品とサービスの「セキュア・バイ・デフォルト (secure-by-default) 」アプローチに基づく取り組みの一環です。
既存のアプリケーションの使用の中断を最小限に抑えるため、次の両方の条件に該当する場合にのみ、エンドユーザーは未インストールアプリケーションを引き続き使用できます。
ユーザーが以前にアプリケーションを承認している。
アプリケーションで OAuth 2.0 デバイスフローが使用されていない。
OAuth 2.0 デバイスフロー(Device Authorization Grant)は、スマートテレビやIoT機器、プリンター、コマンドラインツール(CLI)のように、入力機能が限定されているかブラウザを持たないデバイスで、ユーザーの認証と認可を行うためのプロトコルです。ユーザーは、そのデバイスとは別に、スマートフォンやPCなどのフル機能のデバイスで認可コードを入力し、デバイスにアクセスを許可することで、デバイスへのアクセストークン発行を完了します。
なぜこのフローが必要か
通常のOAuth 2.0フローでは、ウェブブラウザで認可ページにリダイレクトしてログインやリクエストの承認を行う必要があります。しかし、入力機能が制限されたデバイスでは、このようなブラウザベースの処理ができないため、このデバイスフローが代替手段として利用されます。
新規ユーザーが同じ未インストールアプリケーションにアクセスしようとすると、ブロックされます。OAuth 2.0 デバイスフローを使用するすべての未インストールアプリケーションは、以前にアプリケーションを承認済みのユーザーでもブロックされます。変更前にインストールされた接続アプリケーションは、中断することなく引き続き機能します。
有効にすると、特定の権限を持つ信頼性の高いユーザーのみが未インストール接続アプリケーションを使用できます。API アクセスコントロールが有効になっているかどうかによって、必要な権限が異なります。
API アクセスコントロールが有効になっている場合、「任意の API クライアントを使用」権限でのみ未インストールアプリケーションを使用するためのアクセス権を付与されます。
API アクセスコントロールが有効になっていない場合、信頼済みユーザーは「インストールされていない接続アプリケーションを承認」権限があれば、未インストールアプリケーションを使用できます。この新しい権限は Summer '25 で追加されたもので、信頼済みユーザーがインストールされていない接続アプリケーションを自己承認して使用することを許可します。
これらの権限では、未インストール接続アプリケーションの使用制限を回避できるため、割り当てには注意することをお勧めします。たとえば、システム管理者や開発者など、接続アプリケーションを管理するユーザーにのみこれらの権限を付与することもできます。これらのユーザーは、他のエンドユーザーがアクセスできるように組織にアプリケーションをインストールする前に、接続アプリケーションをテストする必要があります。
新しい接続アプリケーションをインストールするために必要なユーザー権限 (「アプリケーションのカスタマイズ」および「すべてのデータの編集」または「接続アプリケーションの管理」) は変更されません。エンドユーザーがアクセスできるようにする接続アプリケーションを確認してインストール手順を実行します。信頼されていないアプリケーションはブロックします。
解決策
- 新しいユーザー権限「インストールされていない接続アプリケーションを承認」
この新しいユーザー権限は、システム管理者標準プロファイルに自動的に割り当てられます。システム管理者標準プロファイルから以前にコピーしたプロファイルを含め、カスタムプロファイルは自動的に更新されません。
2025 年 9 月に接続アプリケーションの使用制限が適用されると、このユーザー権限では新しい使用制限を回避して、未インストール接続アプリケーションを使用するためのアクセス権が付与されます。システム管理者や接続アプリケーションのインテグレーションの管理またはテストに関与するユーザーなど、信頼性の高いユーザーのみに割り当てる必要があります。
このユーザー権限を割り当てるときは、十分に注意することをお勧めします。たとえば、システム管理者ユーザーと接続アプリケーションのインテグレーションを管理し、他のエンドユーザーがアクセスできるように組織にアプリケーションをインストールする前にテストする必要があるユーザーにのみ付与します。
- 「任意の API クライアントを使用」ユーザー権限
このユーザー権限により、ユーザーは任意の API クライアント (未インストール接続アプリケーションやブロックされた接続アプリケーションを含む) から Salesforce にアクセスできます。「インストールされていない接続アプリケーションを承認」ユーザー権限と同様に、この権限は、未インストール接続アプリケーションを使用する必要があるシステム管理者など、信頼性の高いユーザーにのみ割り当てる必要があります。
この権限は、API アクセスコントロールが有効になっている場合に未インストールアプリケーションを使用する際に必要です。API アクセスコントロールを有効にしていない場合は、代わりに「インストールされていない接続アプリケーションを承認」ユーザー権限を使用することをお勧めします。
- エラーシナリオ: API アクセスコントロールが有効になっていない場合
API アクセスコントロールが有効になっていない場合、エンドユーザーが未インストールアプリケーションにアクセスしようとすると、UI に次のエラーメッセージが表示されます。「OAuth エラーのため、あなたを認証できません。詳細は、Salesforce システム管理者にお問い合わせください。」というメッセージと「OAUTH_APPROVAL_ERROR_GENERIC」メッセージが表示されます。
関連
Since connected apps are metadata, I don't think you can use SOQL.
Unfortunately, it doesn't seem to be supported by the metadata API either.