Salesforceでは多要素認証(MFA)の義務化が進み、多くの企業で導入が進められています。しかし、設定どおりに動作しない、想定と異なる認証画面が表示されるといった問題が発生することがあります。本番環境に反映する前に、原因を切り分けて適切に対処することが重要です。この記事では、本番反映前にMFAの動作が想定と違う場合の切り分け手順と、管理者が確認すべきポイントを詳しく解説します。
【要点】この記事で確認すること
- 最初に見る場所: 認証ポリシー設定、ユーザプロファイルのMFA割り当て、ログイン履歴のエラーコード
- 切り分けの軸: ユーザ側の設定(プロファイル・権限セット)とシステム側の設定(認証ポリシー・セッション設定)、ネットワーク環境の3軸
- 注意点: 変更前に現在の設定をバックアップし、必ずテストユーザで検証すること。本番環境への一括適用は避ける
ADVERTISEMENT
目次
多要素認証の仕組みと想定との違いとは
MFAの基本設定
SalesforceのMFAは、認証ポリシー(Authentication Policy)で「多要素認証を要求」を有効にすることで、対象ユーザにMFAが強制されます。ユーザは「Salesforce Authenticatorアプリ」「TOTP認証アプリ」「セキュリティキー」「メールによるワンタイムパスワード」などの方法から選択できます。管理者はユーザプロファイルまたは権限セットで「多要素認証」権限を付与するか、認証ポリシーで直接ユーザを対象にします。
よくある想定との違いパターン
想定と異なる動作として、以下のようなケースが報告されています。
- 認証画面でMFAの選択肢が表示されず、パスワードのみでログインできてしまう
- 逆にMFAが強制されず、通常のログインが可能なまま
- 特定のユーザだけMFAが要求されない
- 認証方式として想定した方法(例:認証アプリ)が選択できない
- MFAの登録画面でエラーが発生し、先に進めない
本番反映前に行うべき切り分け手順
- ログイン履歴の確認
ユーザのログイン履歴([設定]→[ユーザ管理]→[ログイン履歴])を開き、MFA関連のエラーコード(例:MFA_FAILED、MFA_NOT_CONFIGURED)がないか確認します。エラーコードから原因を特定できます。 - 認証ポリシーの確認
[設定]→[セキュリティ]→[認証ポリシー]で、「多要素認証を要求」が有効になっているか、対象ユーザが含まれているか確認します。「すべてのユーザ」または特定のプロファイル・権限セットが設定されています。 - ユーザプロファイルの設定確認
対象ユーザのプロファイルまたは権限セットに「多要素認証」権限が含まれているか確認します。権限がない場合はMFAの選択肢が表示されません。 - セッション設定の確認
[設定]→[セキュリティ]→[セッション設定]で、「ログインIP範囲」「信頼済みIP範囲」「セッションタイムアウト」などの設定がMFAの動作に影響しないか確認します。特に信頼済みIP範囲内からのログインではMFAがスキップされる場合があります。 - 接続アプリケーションの設定
Salesforceに連携している外部アプリケーション(接続アプリ)がある場合、そのアプリケーションのOAuthポリシーでMFAが要求されない設定になっている可能性があります。接続アプリの設定を確認し、必要に応じてMFAを強制します。 - テストユーザでのシミュレーション
実際の動作を確認するために、テストユーザ(管理者以外)を使ってログインし、MFAの画面遷移や認証方式の選択肢を確認します。本番ユーザと同じプロファイル・権限セットを割り当てて検証します。
想定と違う動作の原因と対策
原因を特定するための一覧表を以下に示します。
| 症状 | 考えられる原因 | 確認箇所 | 対策 |
|---|---|---|---|
| MFAが要求されない | 認証ポリシーで対象外、あるいは権限が不足 | 認証ポリシー、プロファイル・権限セット | 認証ポリシーを「すべてのユーザ」に変更するか、プロファイルにMFA権限を追加 |
| 認証方式の選択肢が少ない | セッション設定で特定の認証方式が無効 | セッション設定の「使用可能な認証方式」 | 希望する認証方式(例:TOTP認証アプリ)を有効にする |
| 登録中にエラーが発生 | スマホ側のアプリ未インストールやリンクURLの期限切れ | ユーザのデバイス、メールのリンク有効期限 | アプリのインストールを促し、再送信 |
| 信頼済みIPからでもMFAが要求される | 認証ポリシーで「信頼済みIPからのログインを除外」がOFF | 認証ポリシーの詳細設定 | 必要に応じて除外設定を有効にする |
| 一部のユーザのみMFAが動かない | プロファイルや権限セットの割り当て漏れ | ユーザのプロファイルと権限セット割り当て | 不足している権限を追加 |
設定変更時の失敗パターンと注意点
全ユーザに一斉適用してしまった
認証ポリシーを「すべてのユーザ」に設定した後、管理者自身がログインできなくなるケースがあります。MFAの登録が完了していないとログインできないため、事前に管理者がMFAを登録しておくか、テストユーザで段階的に適用する必要があります。本番反映前には、まず限定ユーザで動作確認を行い、問題がないことを確認してから全ユーザに展開しましょう。
バックアップ認証方式を設定しない
主要な認証方式(例:Salesforce Authenticator)のみを有効にし、バックアップ方式(例:メールのワンタイムパスワード)を設定していないと、モバイル端末の紛失やアプリの不具合でログイン不可能になるリスクがあります。認証ポリシーで少なくとも1つのバックアップ方式を有効にしておくことを推奨します。
信頼済みIP範囲の誤設定
社内ネットワークを信頼済みIPに設定し、MFAを除外する場合、IP範囲を誤ると社内からもMFAが要求されたり、逆に不正アクセスを許すことになります。設定後は必ずテストユーザで社内・社外両方からのログインを検証し、意図した動作になっているか確認してください。
管理者に確認すべき情報と準備
- 現在の認証ポリシー:設定画面のスクリーンショットを取得し、変更履歴を管理する
- ユーザライセンス:MFAがサポートされているライセンス(Salesforce Platformライセンスには制限あり)を確認
- 接続アプリケーション一覧:外部連携アプリがMFAをバイパスしていないか確認
- ログインIP範囲の設定:信頼済みIPとログインIP範囲の重複がないか確認
- ユーザへの周知計画:MFA登録手順のマニュアル、ヘルプデスクの問い合わせ窓口を準備
よくある質問(FAQ)
Q. MFAを有効にしたのに、なぜかユーザが普段通りログインできています。
A. 認証ポリシーの適用が正しく反映されていない可能性があります。設定後、数分待ってからログインするか、ブラウザのキャッシュをクリアしてください。また、ユーザが信頼済みIP範囲内からのログインであればMFAがスキップされる設定になっていないか確認してください。
Q. 特定のユーザだけMFAが要求されません。
A. ユーザのプロファイルまたは権限セットに「多要素認証」権限が不足している可能性があります。対象ユーザの権限割り当てを確認し、必要なら権限を追加してください。また、ユーザがシステム管理者プロファイルの場合、デフォルトではMFAが免除される設定がある場合は解除が必要です。
Q. MFA登録画面で「このページは表示できません」と出ます。
A. ユーザのブラウザがSalesforce Authenticatorのリンクをブロックしている可能性があります。ポップアップブロックを解除するか、別のブラウザで試してください。また、ネットワークのプロキシ設定で特定のURLが遮断されていないか確認してください。
Q. 認証方式としてセキュリティキーを選択したいが、選択肢に表示されません。
A. セッション設定で「セキュリティキー」が有効になっていない可能性があります。[設定]→[セキュリティ]→[セッション設定]で「使用可能な認証方式」にセキュリティキーが含まれているか確認し、有効にしてください。
Q. 本番反映前にテスト環境で問題なく動作したのに、本番では異なる動作になります。
A. テスト環境と本番環境の設定が同一であるか確認してください。特に認証ポリシー、プロファイル、権限セットの設定が一致していない場合があります。また、本番環境のユーザデータ(メールアドレスなど)がテストと異なる可能性もあるため、実際のユーザで検証することをおすすめします。
まとめ
Salesforceの多要素認証が想定と違う動作をする場合、原因は認証ポリシー、ユーザ権限、セッション設定、ネットワーク環境など多岐にわたります。本番反映前には、この記事で紹介した切り分け手順に沿って一つずつ確認し、テストユーザで十分に検証することが重要です。特に一括適用時のロックアウトを避けるため、必ずバックアップの管理者アカウントを用意してから変更を行ってください。適切な準備と段階的な展開により、スムーズなMFA導入を実現できます。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Office・仕事術の人気記事ランキング
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
