多要素認証（MFA）設定のまとめ

まとめページに戻る

• Authyのまとめ

• WinAuthを使ってSalesforceにログインする

• Salesforce 多要素認証に関するロードマップが更新されました (2023/3/14)

• 【重要なお知らせ】MFA のロードマップが更新されました

• すべての新しい Salesforce 組織で MFA が有効になっていますか?
  ロードマップを見ると、自動有効化は 2023 年 1 月から 6 月の間に予定されています。
  -->

• 強制適用については現時点では 2023 年 9 月に実施予定となっており、

• Spring '23 で一部の顧客に対して MFA が自動有効化 (リリース更新)

• 多要素認証（MFA）設定

• SF Authenticator【TerraSky】

• MFAとMFA必須化のスケジュールについて

• ユーザーが新しいデバイスを入手すると、新しいデバイスに接続するのに苦労することがよくあります。痛みを和らげるためのガイダンスを提供できますか？

• ユーザーが使用しているAuthenticatorアプリの名前を取得します

• Lightning Loginのまとめ

• Salesforce AuthenticatorとLightning Loginを併用した場合の挙動<--両立できません

• 多要素認証の問題のトラブルシューティング

• Google Chrome 拡張機能 2FA

• スマートフォンとyubiキーの優先順位について

• Generic integration user for docusign connector 統合ユーザを使う

• アップルウォッチで二要素認証する方法等salesforceのログインを効率化する方法

• MFA 要件から除外されるユースケース

• MFAから除外する

You can allow Exempt users and waive the requirement for MFA. Documentation is here:

https://help.salesforce.com/s/articleView?id=sf.security_mfa_exclude_exempt_users.htm&type=5

• 中国におけるSalesforce Authenticatorのダウンロード方法（2023年）
• Note that this permission applies only if someone logs in to the user account via the UI – REST or SOAP API calls aren’t affected.
• 1つの端末にてSalesforceAuthenticatorをインストールし、複数のアカウントと紐づけて認証を行う
• Salesforce モバイルアプリケーション - パスキーはサポートされていません
• SSO を第一選択として使用することは可能ですか?
• ログイン認証を２回求められる

過去にも同じ質問があるのですが、解決できてないようです。

Why do I have to login twice every time now that I have MFA enabled? My custom domain doesn't load automatically.
https://trailhead.salesforce.com/trailblazer-community/feed/0D54S00000De3PfSAJ

MFAではないのですが、２回ログイン画面が出る問題ではブラウザの設定と回答されています。シークレットモードあるいは別のブラウザで試してみるとどうなりますか？

What could be causing a user to have to login twice to the customer portal?
https://salesforce.stackexchange.com/questions/14046/what-could-be-causing-a-user-to-have-to-login-twice-to-the-customer-portal

該当ユーザーに試してみてもらったところ、別のブラウザでは2回ログインを求められることはなかったようです。
ブラウザのセキュリティ設定あたりかでしょうか

• MFAで生成したコード（番号）いれていますが、Invalid or Timeoutと表示されログインができなくなりました。　どことチェックすればよいでしょうか。

以下のヘルプを参考にしてみてください。

「エラー: 確認コードが無効であるか、期限が切れています。もう一度入力しください。」というメッセージが表示される
https://help.salesforce.com/s/articleView?id=000395187&type=1

• MFA Login Flow

• パートナーコミュニティユーザーライセンスの多要素認証

https://medium.com/@rjallu01/salesforce- experience-cloud-how-to-setup-two-factor-authentication-af629e8481f2

https://trailhead.salesforce.com/trailblazer-community/feed/0D54S00000Emd97SAB

ライセンスとの関係

同様の問題/エラーに直面しました。MFA のアクセス許可セットを作成するときは、ユーザーと同じライセンス タイプを選択します。

• Help for = Secure Users´Identity

I faced similar issue / error. When creating the Permission Set for MFA choose the same license type as the user.

Step 3: Does not mention about choosing the license permission set “MFA Authorization for User Logins”.

Assignment was a success after this correction.

https://trailhead.salesforce.com/trailblazer-community/feed/0D54S00000FuSnmSAF

• 私のドメインを利用した専用ログインページを利用可能なことは把握しておりますが、専用ログインページにてPCとモバイルアプリで使用する認証を分けるための実装が可能か

英語のヘルプしかなかったのですが、モバイルに特化した有料のサービスがありそうです。

Salesforce offers Enhanced Mobile App Security, a paid mobile application management (MAM) add-on designed to meet high security and compliance needs for the Salesforce mobile app.

Mobile Application Management (MAM) with Enhanced Mobile App Security
https://help.salesforce.com/s/articleView?id=sf.mobile_security_mam_overview.htm&type=5

• Built-in authenticators aren’t available for Experience Cloud sites

Reading the help, it seems that it can be used in the following editions.

Available in: Essentials, Contact Manager, Database.com, Developer, Enterprise, Group, Performance, Professional, and Unlimited Editions

Is MFA required for customer and partner Experience Cloud sites?
https://help.salesforce.com/s/articleView?id=000388806&type=1

設定する場合の方法　２つあるよ

• ユーザーのサブセット (管理者) のみに MFA をロールアウトしてプロセスをテストするには、どのような手順を実行しますか?

基本的に、目的のユーザーに「ユーザー インターフェイス ログイン用の多要素認証」ユーザー権限を割り当てる必要があります。これは、権限セットを使用して行うことができます。または、カスタム プロファイルですべてのユーザーを有効にする場合は、プロファイルにユーザー権限を割り当てることができます。

• I'm not sure how to prepare for MFA

I'm guessing it doesn't apply to your org but check out the Exclude Exempt Users from MFA help topic just to be safe. If you have any of the contractually-exempt use cases that need to be manually excluded from auto-enablement, you'll want to take that step before MFA is enabled in your production org.
あなたの組織には当てはまらないと思いますが、安全のために、MFA ヘルプ トピックから除外ユーザーを除外するを確認してください。自動有効化から手動で除外する必要がある契約上免除されるユースケースがある場合は、本番組織で MFA を有効にする前にその手順を実行する必要があります。

強制適用

このリリース更新により、[Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要] 設定が自動的に有効になります。[ユーザインターフェースログインの多要素認証] ユーザ権限を持つユーザは、変更の影響を受けません。

• Spring '23 での一部のユーザの MFA の自動有効化 (リリース更新)

• MFA強制適用について

• 多要素認証が Salesforce によって自動有効化された後のアカウントのアクセス再取得 (Salesforce Platform 上に構築された製品)
  

• Failure : Duplicate PermissionSetAssignment. Assignee: 0052w00000HLjEF; Permission Set: 0PS2w000009NpmY　

エラーに関してですが同じ権限セットが既に割り当てられていませんか？

https://trailhead.salesforce.com/trailblazer-community/feed/0D54S00000FY2ZQSA1

無効化とユーザによるスキップ

Salesforce Authenticator の設定方法

• Salesforce によって MFA が有効化されてから、ユーザが登録をスキップして MFA を使用せずにログインできる猶予期間は 30 日間です。

• 自動有効化が有効になった時点で MFA に対する準備ができていない場合、Salesforce システム管理者はすべてのユーザに対して一時的に無効化できます (Salesforce によって組織で MFA が適用されるまで)。

スキップの場所が分からない？

ユーザーID とパスワード入力後の画面で MFA の認証要素を促す画面の下に "スキップ"のリンクがでる形となる予定です。

現在公開されている画像キャプチャが無いので具体的に対象個所をお示しすることができないのですが、今月末～来月初めにかけてスキップ手順を記載したヘルプ記事が公開される予定となっておりますので、そちら公開されましたらこちらのフィードでも共有させて頂きます。

• MFA有効化スケジュールと有効化後の無効化対応について

オプティマイザーアプリのMFA採用セクションに誤った結果が表示されている

• MFA Adoption section in Optimizer App is Showing Incorrect Results
• I've assigned the multi-factor authentication required permission set to all of my active users. When I run Salesforce Optimizer it tells me that I have 9 users in the last 30 days that have not logged in using MFA.
• Salesforce オプティマイザについて
  サポートは最終的にこのコメントで応答しました。「オプティマイザーは現在、SSOプロバイダーで実装されたMFAを使用したSSOログインのデータを表示するようには設計されていません。」

サービスは一時的に利用できません

回避策があるみたいです。

Service temporarily unavailable

MFA認証ログインエラー

• MFA認証ログインエラーの件で

仮パスコードの発行でログインできたようです

• 「ID の検証中に問題が発生しました」というエラーの対応策

Salesforceに問い合わせたところ、 組織の設定で高保証にする必要があると回答ありました。プロファイルや接続済みアプリケーションで高保証になっていなければ影響はないとのことでした。

SalesforceのMFA対応、Chrome拡張のAuthenticatorアプリがたぶん最強（だが、たぶん非推奨）

・SSO設定されたサードパーティアプリケーションへのMFA適用除外
・多要素認証（MFA）設定のまとめ
・仮のコードによる ID の検証

　モバイルアプリやデータローダーなどのクライアントアプリを含む、すべてのSalesforceインターフェースに適用されます。

　データローダーには2つのログインオプションがあることに注意してください。MFAが有効になっている場合、UIログインであるOAuthオプションはMFAチャレンジを生成しますが、APIログインであるパスワード認証は生成しません。データローダーのOAuthオプションは、U2F検証方法をサポートしていません。
-->ということはMFA有効後にデータローダーを使う場合は、APIログインで行えばいいということ？

• Chrome版
  https://chrome.google.com/webstore/detail/authenticator/bhghoamapcdpbohphigoooaddinpkbai?hl=ja

• Edge版
  +https://microsoftedge.microsoft.com/addons/detail/authenticator-2fa-client/ocglkepbibnalbgmbachknglpdipeoio?hl=ja

---

仮コードの発行。ちょっと分かりずらい。

その他

• データローダとMFA
• SSOのMFA対応について
• MFA有効化後のユーザのログインについて
• システム管理者のMFA紛失
• サイトユーザーのMFA対応

今回のアップデートでは Tableau Online の外部ユーザーが MFA の対象外となる事が明記されました。

Tableau Online customers: MFA isn't required for Tableau Online external users who consume visualizations in embedded contexts or for external users of a customer's Tableau Online site.
【お知らせ】Salesforce 多要素認証に関する FAQ アップデート(2021/12/13)

• Salesforce Authenticatorが接続されているかの確認について

• MFAが適用されていない(適用し忘れた)ユーザを調べる標準機能はありませんでしょうか？

• Confirm Authentication multiple times (Data Loader & MFA)

• スマホのみのユーザのユーザアカウントとSalesforce Authentificatorの接続について

• MFA　権限セットにユーザ割り当てが出来ない

• 権限セット割り当てについて(多要素認証・LightningLogin)

• セキュリティキーを利用したMFA設定について

• MFAチャレンジでバッジ/ポイントの問題を解決した人はいますか？

• 携帯やスマホの持ち込みが禁止されております。

• Lost my mobile phone which has salesforce authenticator

• Salesforce Authenticatorを、１つのアカウントに対して複数の携帯にインストールする事は可能ですか

• 連携のためのアカウントに関するMFAの適用につきまして

• authenticatorのモバイル端末変更

• 2/1以降の挙動

• 不十分な特権エラーが発生するMFAユーザー
  　一部のユーザーで同じ問題が発生していますが、ログインを試みる前にすべてのユーザーがアプリをダウンロードしませんでした。タイムアウトだと思っていました。私が見つけた1つのことは、そのページからログアウトするにはリンクを使用する必要があるということです。ブラウザのタブを閉じるだけで、同じメッセージが表示されます。「ログアウト」リンクをクリックして再試行すると、毎回機能します。

• 統合ユーザーとMFA
  　すべてのUIログインにはMFAが必要です。
  　したがって、Salesforceと統合するアプリケーションでUIログイン（OAuth接続の確立を含む）が必要な場合は、MFAを有効にして適用する必要があります。統合に利用されるユーザーアカウントが1年に1回または数回しかログインしない場合は、MFAの一時コードを使用することをお勧めします。管理者ログインを取得し、統合ユーザーの一時コードを生成してから、UIを介してユーザー名/パスワード/一時コードを使用してログインし、必要なタスクを完了します。
  注：ユーザーに対してMFAを有効にしても、OAuth更新トークンが無効になることはないため、統合が中断されることはありません。
  22年後半/ 23年初頭に製品にMFAを適用し始めると、必要に応じてアカウントをMFAから除外する方法があり、このプロセスが完了したら通知します。

• 認証システムアプリからアカウントを削除する

• login.salesforceに対してMFAが有効になっている場合のOutlookプラグインの問題

• The Single Sign-On Gateway Url is invalid

• SSO MFA users - Issues with clicking external SF links from emails

　他の誰かがこの問題に遭遇した場合に備えて更新するだけです。ユーザーは、最初にSFにログインせずにリンクをクリックしようとしていました。彼らが最初にSFにログインしたとき、リンクは正常に機能しました。したがって、大文字と小文字を区別しないボックスにチェックマークを付けると、これは単純な問題でした。

• Google Authenticator（認証システム）でSalesforce にログインしてみた

• Marketing CloudはどのFactorsをサポートしていますか？

• Enabling MFA for API Logins Permission on an API Only User

• Community または Community Plus ライセンス タイプを介してアクセスするコミュニティ ユーザーを認証するために Azure AD MFA を使用した経験のある人はいますか?

• セッションセキュリティレベルを使用した MFA の有効化

• could not find "App Registration: Salesforce Authenticator"

Problem solved. The User had a new phone, so I needed to disconnect Authenticator and have her set it up again.

英語の理解力の問題か？よく分からん

Embedded Service Deployment（Chat）ウィジェットのコードスニペット生成機能はのみを使用します。現時点でのforce.comのURL。拡張ドメインが有効になっている場合は、生成されたコードスニペットを手動で更新してを使用するようにユーザーに指示します。my.site.comまたは*。salesforce-sites.comのURL。

埋め込みサービスチャットの質問

Salesforce Authenticator が拒否する　オチはスマホのパスワードロック？

Salesforce Authenticator denying requests

Thank you Jyothshna - I don't keep my phone on a password lock when I'm home - this was the issue - once I turned my mobile phone's password lock back on it worked - thank you -

Jothshna さん、ありがとうございます - 家にいるときは携帯電話をパスワード ロックしていません - これが問題でした - 携帯電話のパスワード ロックを元に戻すと、機能しました - ありがとうございます -

ログイン時に 2 ワードのコードを入力する画面が表示されない

• User does not see screen to enter 2 word code when logging in

try visiting this person's User record and clicking 'Disconnect' next to the ' App Registration: Salesforce Authenticator ' field - if it is there?

I had an occurrence where the system seemed to think the User was already connected so never let them add the two word phrase.

切り替え

• 社内ではMFA除外、社外ではAuthenticatorによる認証の場合の対応について

To log in, you need both a higher access level and an identity verification method. Contact your administrator to gain login access.

• セッションセキュリティレベル変更をしたところログインできなくなってしまいました。

英語ですが、同じエラーについての回答があります。

できるだけ早く Salesforce サポートに連絡してください (幸いなことに、Salesforce サポートへのログインは Salesforce 組織へのログインとは独立しています)。入手できる最も緊急のチケットを調達します。セキュリティ エンジニア サポートに連絡する必要があり、そのエンジニアは、発行されたプロファイルの「ログイン時に必要なセッション セキュリティ レベル」のチェックを外す必要があります。

https://trailhead.salesforce.com/trailblazer-community/feed/0D54S00000A8mM6SAJ

中国

• 中国におけるSalesforce Authenticatorのダウンロード方法（2023年）

セキュリティキー (U2F または WebAuthn) | [削除]にて削除しても下記エラーが出て切断ができません。

• 多要素認証（MFA）切断ができない

英語ですが同じエラーメッセージの質問と回答があります。
カスタマーサポートに連絡して対応してもらう必要があるとのことです。

I have just had this problem today, and had to open a case with customer support to fix it. The customer support engineer was able to remove it without Login Access, but needed the username. The engineer reported that the problem was caused by the release of enhanced domains, so any security keys added before that release will return an error when an attempt is made to remove them.

Can't remove Security Key (U2F or WebAuthn).
https://trailhead.salesforce.com/trailblazer-community/feed/0D54S00000QNn9ySAD

sandbox環境でのMFA設定解除

• sandbox環境にて組織全体のMFAの設定解除したいのですが、どちらで設定すればいいのでしょうか？設定>ID検証>saleforce組織へのすべての直接UIログインに多要素認証(MFA)が必要のチェックは外れています。

本番環境との同期後の最初の接続が必ずMFAになるので、解除したいということでしょうか？（個人の設定でoffにすれば解除できたと思いますが...）

同じような質問があって、PermissionsForceTwoFactor = trueのプロファイルや、権限セットを探してfalseにするようなことが提案されているみたいです...

https://salesforce.stackexchange.com/questions/354365/how-to-disable-mfa-after-sandbox-refresh

確かに、ユーザー全員に、MFA除外の権限セットをつける方法もありだと思います。
ユーザのIdをレポートで取得してデータローダで一括割り当てするのが早いかもしれないです。

データローダを使用して権限セットを一括で割り当てる
https://help.salesforce.com/s/articleView?id=000384595&type=1

• giving users access to sandbox with connected app

I went back over everything one more time and it looks like I had the wrong certificate uploaded. Once I corrected that, it's been working like a charm.

test class

• 【未解決】test class using TwoFactorMethodsInfo

多要素認証をセキュリティキーからスマホアプリに変更したい

• 多要素認証をセキュリティキーからスマホアプリに変更したい

英語ですが同じような質問と回答があります。

1. Log in as an administrator.
2. From Setup, enter Users in the Quick Find box, then select Users.
3. Click necessary name.
   4.On the user detail page, click Disconnect next to App Registration: TOTP Authenticator App.

https://trailhead.salesforce.com/trailblazer-community/feed/0D54S00000DzHUFSA3