SandboxとDeveloper EditionでのMFAとMFA必須化のスケジュールについて
こちらの記事で取り上げておりますので、あわせてご確認ください。
「MFA 自動適用と強制適用のスケジュールの変更」(2022/03/28 追記)
「Summer’22 リリースノート日本語版が公開されました&MFAのスケジュール最新版」(2022年6月1日追記)
Winter’22には「私のドメイン」必須化が控えておりますが、その次の Spring’22には多要素認証(MFA)の必須化が待っています。システム的に強制となるのは Spring’22以降、製品によって異なるようですが、担当されている組織でまだ未対応の場合は、早めに確認して準備をしましょう。
なお、ほとんどの情報は 「Salesforce 多要素認証に関する FAQ」のページに記載があるか、詳しく書かれているページのリンクが用意されていますので、まずはこちらのページを確認するといいと思います。
今回は、細かなところまでは触れませんが、Salesforceの活用支援に携わっている、もしくは独学で勉強されている方にとっては重要な Developer Editionと SandboxでのMFAの情報をメインに、重要な部分を抜き出してみました。
MFA必須化の対象組織の種別
こちら、英語の情報と日本語の情報が若干異なる部分があったり、リンク先のページが日本語に未対応であったので、SandboxとDeveloper Editionの部分をメインに、英語の記載を日本語に訳して確認してみました。まとめると、
Developer Edition および SandboxではMFAは必須ではないが、顧客情報や開発中のアプリケーションや製品などの機密情報がこれらの組織に存在する場合や、Sandboxに本番組織の情報の多くがコピーされている場合に、データ保護のため、MFAの設定を推奨する
らしいです。そして、
Sandboxでは本番環境での各ユーザへの「ユーザインターフェースログインの多要素認証」の割り当て情報がコピーされ、MFAを求められるが、認証方法は設定されていない状態のため、Sandboxで新しく設定する必要がある
とのこと。
一応、9月3日現在で確認した英語の内容を載せておきます。
Requirements for Types of Orgs and Tenants
組織やテナントの種別ごとの MFA 要件
Org / Tenant Type | MFA Required? | Notes |
|---|---|---|
Production environments | Yes | |
Experience Cloud sites, e-commerce sites, help portals, employee communities | No | See Is MFA required for customer and partner Experience Cloud sites? for more information. |
Sandbox environments (Partial, Full, Developer, Pro) | See Notes | See Is MFA required for sandbox environments? to learn how the MFA requirement applies to internal testing environments. |
Scratch orgs | No | |
Developer Edition and Partner Developer Edition environments | See Notes | The MFA requirement does not apply to these environments. But we strongly recommend enabling MFA for DE orgs that include any customer data, intellectual property, or other Salesforce production data. |
Trailhead Playgrounds | No | |
Trials | See Notes | Trials have a grace period before the MFA requirement applies. If a trial period is longer than 45 days, MFA must be enabled for all users in the environment by the 45th day. When a trial is converted to production, MFA is required for all users. |
SandboxでのMFAについて
日本語のページが見つけられなかったので、英語を訳しました。◇ SALESFORCE HELP >DOCS >SANDBOXES: STAGING ENVIRONMENTS FOR CUSTOMIZING AND TESTING >Multi-Factor Authentication
SANDBOXES: STAGING ENVIRONMENTS FOR CUSTOMIZING AND TESTING >Multi-Factor Authentication↓
Sandbox environments are temporarily excluded from the multi-factor authentication (MFA) requirement that goes into effect on February 1, 2022. But we strongly recommend using MFA for sandboxes that include intellectual property, customer data, or other Salesforce production data. To develop a strategy for managing MFA in sandbox environments, review these considerations.
When you create or refresh a sandbox, all Multi-Factor Authentication for User Interface Logins user permission assignments — whether set via profiles or permission sets — are copied over from your production org. However, none of the MFA verification methods that a user has registered for your production org are copied to your sandbox. As a result, all MFA-enabled users must register an MFA method the first time they log in to a new sandbox. And they must repeat this step each time the sandbox is refreshed.
If a user registers Salesforce Authenticator as an MFA verification method for their sandbox account, the connection to the account is invalidated each time the sandbox is refreshed. But the connection details aren’t automatically removed from Salesforce Authenticator. To avoid a long list of invalid connected accounts in Salesforce Authenticator, users should manually delete their old sandbox account from the app each time the sandbox is refreshed.
Salesforce Authenticator assigns the same default name each time a user registers the app for their sandbox account. To avoid losing track of which sandbox connected accounts are active and which are invalid, delete the old sandbox account before logging in to the new version of the sandbox.
If you use SSO to access your production org but don’t want to set up SSO for your sandboxes, you must enable MFA for all sandbox users to satisfy the MFA requirement. Do so by assigning the Multi-Factor Authentication for User Interface Logins user permission to users when you create or refresh a sandbox.
But when you deploy customizations to your production org, take care that you don’t accidentally include the sandbox’s MFA configuration. To help keep MFA isolated to your sandbox:
Use a dedicated permission set to assign the Multi-Factor Authentication for User Interface Logins permission to sandbox users.
Give the permission set an obvious MFA-related name so it’s easy to distinguish it from other permission sets.
Create a checklist that reminds Salesforce admins to exclude the MFA permission set from each deployment.
日本語訳です。
Sandbox >カスタマイズとテストのためのステージング環境 >多要素認証
Sandbox環境は、2022年2月1日に発効する多要素認証(MFA)の要件から一時的に除外されます。しかし、知的財産、顧客データ、その他の Salesforce本番データが含まれるSandboxには、MFAを使用することを強くお勧めします。Sandbox環境でMFAを管理するための戦略を立てるには、以下の検討事項を確認してください。
●Sandboxを作成または更新すると、プロファイルや権限セットを介して設定されているかどうかにかかわらず、すべての「ユーザインターフェースログインの多要素認証」の権限の割り当てが本番組織からコピーされます。ただし、ユーザが本番組織で登録したMFA認証方法は、Sandboxにはコピーされません。そのため、MFA を有効にしているすべてのユーザは、新しいSandboxに初めてログインしたときに MFA の認証を登録する必要があります。また、Sandboxが更新されるたびに、この手順を行う必要があります。
●ユーザがSandboxアカウントのMFA認証方法としてSalesforce Authenticatorを登録すると、Sandboxがリフレッシュされるたびに、そのアカウントへの接続が無効になります。しかし、接続の詳細はSalesforce Authenticatorから自動的に削除されません。Salesforce Authenticatorの無効な接続アカウントの長いリストを避けるために、Sandboxがリフレッシュされるたびに、ユーザは古いSandboxのアカウントをアプリから手動で削除する必要があります。
Salesforce Authenticator は、ユーザがSandboxのアカウントのためにアプリを登録するたびに、同じデフォルト名を割り当てます。どのSandboxの接続アカウントが有効でどれが無効かわからなくなるのを防ぐために、新しいバージョンのSandboxにログインする前に古いサンドボックスアカウントを削除してください。
●本番組織へのアクセスにはSSOを使用しているが、サンドボックスにはSSOを設定したくない場合、MFAの要件を満たすためには、すべてのSandboxユーザに対してMFAを有効にする必要があります。このためには、Sandboxを作成または更新するときに、ユーザに「ユーザインターフェースログインの多要素認証」のユーザー権限を割り当てます。
ただし、カスタマイズした内容を本番環境に展開する際には、SandboxのMFA設定を誤って取り込んでしまわないように注意してください。MFA をSandboxに限定するためには、次のような方法があります。
・専用の権限セットを使用して、Sandboxのユーザに「ユーザインターフェースログインの多要素認証」権限を割り当てます。
・権限セットには、他の権限セットと区別しやすいように、MFAに関連するわかりやすい名前を付けます。
・チェックリストを作成して、Salesforce管理者が各デプロイからMFA権限セットを除外するように注意します。
Sandbox上で管理者が「ユーザインターフェースログインの多要素認証」の割り当てを外すことで、
SandboxでのMFAを無効化することができるのでしょうか。Spring’22のプレビューが始まったら確認したいですね。
MFA必須化のスケジュール
先日、ロードマップのページの日本語訳ができました。◇ SALESFORCE >HELP >多要素認証 (MFA) 適用ロードマップ
こちらのページから表をお借りしました。
* 特に明記されていない限り、この表の日付はすべてのユーザに適用されます。
| 製品 | MFA 自動有効化予定日 | MFA 適用予定日 |
|---|---|---|
| Salesforce Platform で構築されたすべての製品 | 2022 年 9 月~ 10 月 | 2023 年 5 月~ 6 月 |
| B2C Commerce Cloud | 2022 年 4 月~ 6 月に両方を同時に適用 | |
| ClickSoftware— Field Service Edge (FSE) | 2022 年 5 月~ 7 月に両方を同時に適用 | |
| ClickSoftware— Service Optimization V8 Cloud | 自動有効化の予定なし | 2022 年 5 月~ 7 月 |
| Heroku | 2022 年 4 月~ 6 月に両方を同時に適用 | |
| Marketing Cloud—Datorama | 2022 年 9 月~ 11 月に両方を同時に適用 | |
| Marketing Cloud—Email Studio、Mobile Studio、および Journey Builder | 2021 年 9 月~ 11 月 | 2022 年 5 月~ 7 月 |
| Marketing Cloud—Social | 特権ユーザ: 2021 年 12 月~ 2022 年 2 月 すべてのユーザ: 2022 年 6 月~ 8 月 | すべてのユーザ: 2022 年 9 月~ 11 月 |
| MuleSoft Anypoint Platform | 2022 年 7 月~ 12 月 | 未定 |
| Quip Starter、Quip Plus、および Salesforce Anywhere Advanced | 2021 年 6 月完了 | 特権ユーザ: 2022 年 3 月~ 5 月 すべてのユーザ: 2022 年 7 月~ 9 月 |
| Tableau Online | 2021 年 11 月~ 2022 年 1 月 | 2022 年 5 月~ 7 月 |
ポイント
・2022年 2月1日は、「契約上」必須となります。このときにシステム的に何かが変わるわけではありません。・自動有効化 のタイミングでは自動的に「ユーザインターフェースログインの多要素認証」の権限がをユーザに割り当てられますが、管理者でMFAを無効化できるオプションがあります。
※6ヶ月前には通知が届く予定です。
※プロファイルや権限セットでの割り当てなのか、割り当て方法は確認できていません。
・強制適用 を迎えると、管理者でMFAを無効化できなくなります。
※6ヶ月前には通知が届く予定です。
ひとこと
日程が前倒しになることはないと思いますが、これから詳細な情報が公開されたり、要件について追加情報が出てくることが予想されます。重要な変更などはお知らせがあると思いますが、 「Salesforce 多要素認証に関する FAQ」のページの最下部で改定履歴が確認できるので、定期的に確認するといいかもしれません。
関連記事
※プレミアムコンテンツは会員登録(無料)いただくと閲覧できます。Google Authenticator(認証システム)でSalesforce にログインしてみた
多要素認証でセキュリティ強化&手間を最小限にする
ユーザの権限③ 権限セットとは(プレミアムコンテンツ)
ユーザの権限 ④ 権限セットを設定する(プレミアムコンテンツ)
ログイン ⑤認識されていないコンピュータの有効化(プレミアムコンテンツ)
ログイン ⑥ 多要素認証(MFA)有効化必須に備えて(プレミアムコンテンツ)
ログイン ⑦ Salesforce Authenticatorとは(プレミアムコンテンツ)
ログイン ⑧ Lightning LoginでIDとパスワードの入力を不要とする(プレミアムコンテンツ)
ログイン ⑨ MFA導入時の管理者の準備(プレミアムコンテンツ)
