menu
%}

多要素認証(MFA)のトラブルシューティング

 2022.02.07 support_service_team
Salesforce
ITトピックス
Circlace
Agave
海外人事のトピック
海外赴任者に関する労務問題
Agaveイベント
Salesforce
Salesforceの使い方
Salesforce開発
Salesforce運用
Salesforceを学ぶ
Salesforceイベント
Anaplan
Anaplan導入・運用サービス
Anaplanイベント
社員紹介
エンジニア
セールス
コンサルタント
トレーナー
その他
サークレイスについて
社長メッセージ
イベント
サークレイス情報

こんにちは。新人アドミニストレーターのCです。

上級アドミニストレーター試験につい先日合格いたしました。うれしい限りです。

さて、2022年2月1日よりSalesforce製品へのアクセスには多要素認証(MFA)の使用が必須となりました。

今回は、MFAを使用する際に実際に起こったトラブルと、その解決方法をご紹介いたします。

※MFAの概要や設定方法については以下が参考になりますのでご確認くださいませ。

・Salesforce MFAの準備できていますか? 
 https://www.circlace.com/blog/salesforce-mfa_202109
・多要素認証でセキュリティ強化&手間を最小限にする
 https://sf.forum.circlace.com/articles/505732402388144128

※本記事は、MFAに[Salesforce Authenticator]を使用していることを前提としています。

スマホを忘れてログインできない


ユーザがSalesforce Authenticatorとして使用しているスマートフォンを忘れてしまいSalesforceにログインができない場合、システム管理者は対象ユーザへ「仮の確認コード」を生成することができます。

設定方法

  1. [設定]>[ユーザ]>対象ユーザを選択>ユーザの詳細画面にある[仮の確認コード(1~24時間後に有効期限切れ)]の[生成]をクリックします。

    生成


  2. [モバイルデバイスを確認]と表示されます。

    モバイルデバイスを確認


  3. システム管理者のスマートフォンで[Authenticator]アプリを開くと[仮の確認コードを生成]画面が表示されるので[承認]をタップします。

    ※ユーザ名などを確認し、身に覚えのない通知の場合は無視しましょう!

    IMG_1424-1


  4. PCにもどり、有効期限を選択して[コードの生成]をクリックします。

    コード生成-1


  5. [ユーザ用に生成されたコード]画面の仮の確認コードと有効期限をユーザに共有します。

    ※仮の確認コードを生成するとユーザにメールが届きますが、メールにはコードが記載されていないため、システム管理者からユーザへコードの共有が必要です。


  6. ユーザは通常通りログイン操作をするとIDを求められるので、システム管理者から共有してもらった仮の確認コードを入力し、ログインができます。

    ※仮の確認コードは有効期限内であればログイン時に何度でも使用可能であり、期限が切れない限りログインには必ず仮の確認コードが必要です。

    IDを検証


  7. [設定]>[ユーザ]>対象ユーザを選択>ユーザの詳細画面にある[仮の確認コード(1~24時間後に有効期限切れ)]の項目に仮の確認コードの有効期限と[今すぐ期限切れにする]というボタンが表示されます。

    仮の確認コードを有効期限内に無効にしたい場合、[今すぐ期限切れにする]をクリックします。

    期限切れにする

👉[仮の確認コード]が生成できない!

[仮の確認コード]が生成できない場合、お客様の環境により確認箇所が変わります。
下記ヘルプなどを参考に確認頂ければ幸いです。

・セッションセキュリティレベルを使用した MFA の有効化
 https://help.salesforce.com/s/articleView?id=sf.security_require_two-factor_authentication.htm&type=5

・仮の ID 確認コードの生成
 https://help.salesforce.com/s/articleView?id=sf.security_temp_id_verification_code_generate.htm&type=5

 

スマホを紛失した・機種変更した


Salesforce Authenticatorとして使用しているスマートフォンを紛失した場合、不正ログインを防ぐためにもSalesforceアカウントとSalesforce Authenticatorの接続を切断することが必要です。

また、機種変更などを行う場合も、一度接続を切断することで、ユーザは新しいスマートフォンにインストールしたSalesforce Authenticatorを新たに自身のSalesforceアカウントと接続することができます。

設定方法

 [設定]>[ユーザ]>対象ユーザを選択>ユーザ詳細画面の[アプリケーション登録:Salesforce Authenticator]の[切断]をクリックします。

切断

 

システム管理者がログインできなくなってしまった

システム管理者がスマートフォンを忘れてしまいSalesforceにログインができない...なんてこともあると思います。

こうなってしまっては対処ができないので、システム管理者は自身がログインできない状況を防ぐために事前に準備が必要です。

一例ではございますが、対処方法をご紹介します。

◆ 複数の検証手段を登録する


スマートフォンにインストールするAuthenticatorとの接続とは別に、USBポートに差し込むU2Fセキュリティキーなど、他の検証手段を登録しておくことが必要です。

セキュリティキーなどは金庫などの職場の安全な場所に保管しておくと安心でしょう。

 ・U2FまたはWebAuthnセキュリティキー
  ※設定方法はこちらが参考になりますのでご確認くださいませ(Salesforceヘルプ)。

 ・サードパーティTOTP認証アプリケーション
  ※設定方法はこちらが参考になりますのでご確認くださいませ(Salesforceヘルプ)。

◆ ユーザとMFA設定を管理する権限を持つアカウントを用意


システム管理者とは別に、ユーザに[ユーザインターフェースで多要素認証を管理]権限を付与することで、ここまでにご紹介いたしました

 ・仮の確認コードの生成

 ・ユーザアカウントとAuthenticatorの接続を切断

以上の操作をシステム管理者に代わり、権限を付与したユーザができるようになります。

設定方法

[設定]>[権限セット]>[システム権限]をクリックし、[ユーザインターフェースで多要素認証を管理]のチェックボックスをクリックし、権限を付与します。

  1. [設定]>[権限セット]>[新規]のボタンをクリックします。

    権限セット作成


  2. [表示ラベル]と[API参照名]を記入し、[保存]をクリックします。

    保存


  3. 作成した権限セットの設定画面が開きます。

    システム内の[システム権限]>[編集]をクリックし、[ユーザインターフェースで多要素認証を管理]のチェックボックスをチェックし、[保存]をクリックします。

    ※保存後、[権限変更確認]の画面が表示されます。内容を確認し問題なければ[保存]をクリックします。

    ユーザインターフェースで多要素認証を管理


  4. 作成した権限セットの設定画面に戻るので、[割り当ての管理]をクリックします。

    割り当ての管理


  5. 権限セットを割り当てられたユーザ一覧が表示されます。(権限セットを新規作成しているのでまだユーザは1人も表示されません。)
    [割り当てを追加]をクリックします。

    追加

  6. 対象のユーザのチェックボックスをチェックし、[割り当て]をクリックします。

    割り当て


  7. [完了]をクリックします。
    これで、作成した権限セットを割り当てられたユーザはMFAの管理を行うことができます。

    完了

※権限セットを作成せず、プロファイルの[システム権限]からも[ユーザインターフェースで多要素認証を管理]権限を付与することもできますが、該当のプロファイルを割り当てられている全員に権限付与されてしまうため、権限セットを使用することをおすすめします。

さいごに

今回は、多要素認証(MFA)にまつわるトラブル解決方法をご紹介いたしました。

セキュリティ強化を目的とするMFAは、Salesforceにログインする度に使用する機能のため、トラブル発生頻度も高いかもしれません。

この記事が皆さまのMFAトラブル防止・対応に少しでもお役に立てますと幸いです。

Salesforce使いこなせていますか?