Salesforce MFA対応 業務ワークフロー
Salesforce の MFA 強制適用に備えて、管理者が本番前に確認すべきポイントを業務フローとして整理します。
技術設定を細かく追う前に、まず確認すべきことは 「誰がログインできなくなる可能性があるか」 です。
業務フロー図
目的
MFA 対応では、設定内容そのものよりも、利用者への影響を先に把握することが重要です。
特に Salesforce 管理者は、以下のような問い合わせを受ける可能性があります。
- ログイン時に追加認証を求められる
- MFA の登録方法が分からない
- SSO を使っているが、MFA 対応済みか判断できない
- 管理者アカウントで、より強い認証方法が必要になる
- 本番適用後に一部ユーザがログインできない
そのため、MFA 対応は「設定変更」だけではなく、対象者確認、事前検証、ユーザ周知、問い合わせ対応まで含めて進める必要があります。
管理者が確認する5つのステップ
| No | 確認項目 | Yes の場合 | No の場合 |
|---|---|---|---|
| 1 | 社内ユーザか | 次の確認へ進む | 対象外として別管理する |
| 2 | MFA 登録済みか | 次の確認へ進む | 登録手順・期限を案内する |
| 3 | SSO を利用しているか | IdP 側の MFA 設定を確認する | Salesforce 側の MFA 設定を確認する |
| 4 | 管理者・特権ユーザか | 強い MFA を確認する | 通常 MFA で確認する |
| 5 | Sandbox で確認済みか | 本番前の周知へ進む | 事前検証を実施する |
チェックリスト
管理者は、少なくとも以下を一覧化しておくと対応しやすくなります。
- Salesforce を利用するユーザ一覧
- MFA の登録状況
- SSO 利用有無
- SSO 利用時の IdP 側 MFA 設定
- 管理者・特権ユーザの認証方法
- Sandbox でのログイン確認状況
- ユーザ向け周知内容
- ログインできない場合の問い合わせ対応手順
対応の考え方
MFA 対応は、すべてのユーザに同じ順番で一括展開するよりも、影響が大きいユーザから確認する方が安全です。
優先順位の目安は以下です。
- 管理者・特権ユーザ
- SSO 利用ユーザ
- MFA 未登録ユーザ
- 日常的に Salesforce を利用する一般ユーザ
- 利用頻度が低いユーザ
特に管理者アカウントは、通常の MFA だけでなく、Touch ID、Windows Hello、セキュリティキーなどのフィッシング耐性が高い認証方法も確認しておくと安心です。
まとめ
Salesforce の MFA 対応で管理者が最初に行うべきことは、細かい技術設定を調べることではありません。
まずは、対象ユーザ、MFA 登録状況、SSO 利用状況、管理者アカウント、Sandbox 検証状況を整理し、ユーザがログインできなくなるリスクを事前に減らすことが重要です。