MFA適用除外にはIPアドレスの制限が必要
先日、Salesforce製品が更新された際に、多要素認証(MFA)から除外していたユーザーに対し「IDを検証」画面が表示、つまり多要素認証が求められるということがありました。
結論として原因は、プロファイルにてIPアドレスの範囲を制限していなかったことにありました。
多要素認証(MFA)への対応依頼
2021年にSalesforce社より下記の発表がありました。
Salesforce は 2022 年 2 月 1 日より、Salesforce 製品 へのアクセスには MFA の使用を必須条件とすることを決定しました。
これについては、既に4年以上経過し、どの企業も対応自体は完了していたと思います。
多要素認証からの適用除外
一方で「一部のユーザーは、多要素認証の対象から除外せねばならない」みたいなニーズは色々なところであったと思います。
そこで参考となったのが以下の記事でした。
例外ユーザーに適用する権限セットを介して、
「除外ユーザーの多要素認証を放棄」ユーザー権限を割り当てます。
こちらの権限を割り当てれば、対象からは除外できるはずでした。
IPアドレスの制限
ですが先述の通り、適用除外したはずのユーザーで、「IDを検証」画面が表示されるという事象が発生。権限周りを調べても当然何も出てこず、Salesforceヘルプデスクに問い合わせることとなりました。
回答を要約すると、
「当該プロファイルは、IPアドレスの制限が広すぎる。この場合は『除外ユーザーの多要素認証を放棄』権限が割り当てられていても、多要素を求められる」とのこと。
確認すると「0.0.0.0 - 255.255.255.255」という設定(つまりは制限なし)。
改めてここを設定し直すことで、無事、再び対象から外すことができました。
- プロファイルでのログイン IP アドレスの制限
ちなみに軽くヘルプを探してみたのですが、該当する記述は見つかりませんでした。(どこかにはあるのかもしれませんが)
「ここに書いてるよ~」という方がいれば是非教えていただきたい。