Salesforceではセキュリティ強化の一環として多要素認証(MFA)の有効化が推奨されています。しかし、実際に導入した後でユーザーから「認証が通らない」「MFAの設定ができない」といった問い合わせが管理者に寄せられることが少なくありません。本記事では、そうしたトラブルの原因を迅速に特定し、適切に対応するための手順を解説します。管理者として最初に確認すべきポイントと、よくある失敗パターンを押さえておけば、問い合わせの一次対応が格段に楽になります。
【要点】この記事で確認すること
- 最初に見る場所: ログイン履歴(Login History)、MFA設定状況(ユーザー詳細)、認証ポリシー(Session Settings / MFA Policy)
- 切り分けの軸: ユーザー単位の問題か、組織全体のポリシー設定の問題か、認証器(Authenticator)の設定ミスか
- 注意点: 管理者自身が最初にMFAを有効化した状態でテストしないと、設定変更後にロックアウトされるリスクがあります
ADVERTISEMENT
目次
MFA関連の問題の主な原因パターン
SalesforceのMFAトラブルは、大きく分けて「ユーザー側の操作ミス」「組織のポリシー設定」「認証基盤の設定」の三つに分類できます。それぞれの原因に対応する修正方法が異なるため、まずはどのパターンに該当するかを切り分けることが重要です。
たとえば、ユーザーが「MFAのコードを入力しても進めない」と報告してきた場合、認証器の時刻同期ずれ、またはセッション有効期限切れが考えられます。一方で「MFAのプロンプト自体が表示されない」場合は、組織のMFAポリシーが適用されていない、またはユーザーのプロファイルにMFAが設定されていない可能性が高いです。
以下に代表的な原因パターンをまとめました。
| 問題の症状 | 主な原因 | 確認すべき設定 |
|---|---|---|
| MFAコードが何度入力してもエラーになる | 認証器の時刻ずれ、またはワンタイムパスワードの有効期限切れ | ユーザーの認証器アプリの時刻同期、ログイン履歴のエラーコード |
| MFAの設定画面が表示されない/設定できない | 組織のMFAポリシーが未設定、またはユーザープロファイルにMFAが割り当てられていない | セッション設定のMFAポリシー、プロファイルの権限 |
| MFA認証が突然できなくなった(以前は使えていた) | ユーザーが認証器を変更・リセットした、または管理者側でMFAポリシーが変更された | ユーザー詳細のMFA設定(Multi-Factor Authentication)、ログイン履歴 |
| メール認証が届かない | Salesforceからのメールが迷惑メールフォルダに振り分けられている、またはメールアドレスが間違っている | ユーザーのメールアドレス設定、組織のメール配信設定 |
まず確認すべきログイン履歴とエラーメッセージ
トラブル発生時、最初に行うべきはログイン履歴(Login History)の確認です。管理者は「設定」→「ログイン履歴」から該当ユーザーの直近の試行を確認できます。ここに表示されるエラーコードやステータスが原因特定の手がかりになります。
代表的なエラーコードとその意味は以下のとおりです。
- LOGIN_MUST_USE_MFA:ユーザーにMFAが必須となっているが、まだMFAを設定していない。
- LOGIN_INVALID_TOTP:入力されたワンタイムパスワードが不正(認証器の時刻ずれが原因であることが多い)。
- LOGIN_MFA_EXPIRED:MFA認証の有効期限が切れている。再認証が必要。
- LOGIN_MFA_LOCKOUT:一定回数以上MFA認証に失敗し、アカウントがロックされた。
また、ユーザーが実際に目にするエラーメッセージも重要です。たとえば「認証コードが無効です」という表示が出た場合、管理者はユーザーの認証器の時刻同期を促すか、MFA設定をリセットする必要があります。
ユーザー設定の確認ポイント
次に、個別のユーザー設定を確認します。管理者は「設定」→「ユーザー」→該当ユーザーの詳細ページで、MFA関連の項目をチェックします。
MFAデバイスの登録状況
ユーザー詳細の「Multi-Factor Authentication」セクションに、登録されている認証デバイス(Authenticator、SMS、メールなど)が表示されます。何も登録されていない場合は、ユーザーがまだMFA設定を完了していないか、管理者側でリセットした可能性があります。登録済みであれば、デバイスの種類や最終使用日を確認し、古すぎる場合は再登録を促します。
認証方法の優先順位
組織設定で複数のMFA方式を許可している場合、ユーザーごとに優先順位を変えている可能性があります。ただし、通常はSalesforceのシステム管理者が一括で設定します。ユーザーが「認証方法を選択できない」と訴える場合は、プロファイルや権限セットでMFA方式の選択が制限されていないか確認しましょう。
組織設定(MFAポリシー)の確認
組織全体のMFAポリシーが正しく設定されていないと、一部のユーザーだけMFAが強制されなかったり、逆に全員に強制されるべきなのに適用漏れが発生したりします。
管理者は「設定」→「セッション設定」で「多要素認証ポリシー」を確認します。ここで「強制するユーザー」の条件(プロファイル、権限セット、または全ユーザー)を設定できます。もし特定のユーザーのみMFAをスキップさせたい場合は、例外リストに追加することも可能です。
ただし、例外を多用するとセキュリティリスクが高まるため、利用は最小限にすべきです。また、ポリシー変更後は必ず管理者自身でログインテストを行い、意図通り動作していることを確認してください。
MFA必須化のタイミング
Salesforceでは2022年以降、多くのエディションでMFAの有効化が必須となっています。まだMFAを導入していない組織では、ユーザーに設定を促すメールが自動送信されます。このメールが届いたにもかかわらず設定しないと、ログインできなくなる場合があるので注意が必要です。
接続アプリケーションとAPIアクセスの影響
MFAの問題は、ブラウザからの直接ログインだけでなく、外部連携(接続アプリケーション)やAPI経由のアクセスにも影響を与えます。たとえば、統合のために設定した接続アプリケーションでMFAが正しく動作していないと、連携サービスがエラーを返します。
管理者は「設定」→「接続アプリケーション」で、該当アプリのOAuthポリシーを確認し、MFAが必要なセッションの扱いを設定します。多くの場合、接続アプリケーションは「リフレッシュトークン」を使って継続アクセスするため、最初の認証時のみMFAが要求されます。しかし、組織設定で「すべてのセッションにMFAを要求」していると、リフレッシュトークンの更新時にもMFAが必要になることがあるので注意してください。
よくある失敗パターンとその対処
実際に管理者が遭遇する具体的な失敗パターンをいくつか紹介します。
ユーザーがMFA認証器を紛失・変更した場合
認証器(スマートフォンなど)を紛失したり機種変更した場合、ユーザーはMFAコードを生成できなくなります。この場合、管理者はユーザーのMFA設定をリセットする必要があります。手順は以下のとおりです。
- 「設定」→「ユーザー」→該当ユーザーの詳細ページを開く。
- 「Multi-Factor Authentication」セクションにある「リセット」ボタンをクリック。
- 確認ダイアログで「リセット」を実行。
- ユーザーに新しい認証デバイスを登録するよう連絡する。
- 必要に応じて、ユーザーに一時的なログイン方法(バックアップコードやメール認証)を提供する。
注意点として、MFAリセットを行うとそのユーザーのすべての登録デバイスが削除されます。そのため、事前にユーザーと連絡を取り、リセット後に速やかに再設定できる状態にしておきましょう。
メール認証が届かない
メールアドレスが正しいにもかかわらず認証メールが届かない場合、Salesforceからのメールが迷惑メールフォルダに振り分けられている可能性が高いです。管理者は該当ユーザーに迷惑メールフォルダを確認してもらうか、組織のメール配信設定(「設定」→「メール配信」)で配信エラーが発生していないかを確認します。また、社内のメールセキュリティ製品がSalesforceからのメールをブロックしていないかもチェックポイントです。
Salesforce認証プロバイダーとの連携
SAMLやOpenID Connectを使用して外部IdPと連携している場合、MFAの問題はIdP側でも発生し得ます。たとえば、IdP側でMFAを強制しているのにSalesforce側に正しく属性が渡っていないと、ユーザーは二重に認証を求められます。管理者はIdPの設定とSalesforceのシングルサインオン設定を両方確認し、アサーションにMFA情報が含まれているかをログから検証します。
管理者が事前に準備すべきこと
MFAトラブルに迅速に対応するためには、日頃からの準備が重要です。以下の点を整備しておきましょう。
- MFA設定手順のドキュメント化:ユーザー向けに、認証器の登録方法やバックアップコードの保管方法を簡単なガイドとしてまとめておきます。
- 管理者用バックアップアカウント:管理者自身がMFAロックアウトされても復旧できるよう、バックアップの認証方法(複数のデバイス登録やバックアップコード)を準備します。
- 定期的なテスト:組織のMFAポリシー変更後には、必ず少数のテストユーザーで動作確認を行います。
- サポート連絡先の確認:どうしても解決しない場合は、Salesforceサポートに問い合わせるための準備(ケース番号、ログイン履歴のスクリーンショットなど)を整えておきます。
これらの準備があれば、トラブル発生時の対応時間を大幅に短縮できます。
まとめ
SalesforceのMFAトラブルの原因は、ユーザー設定、組織ポリシー、認証基盤のいずれかに集約されます。管理者はログイン履歴のエラーコードを最初に確認し、次にユーザーのMFA登録状況と組織のポリシーをチェックするという手順を習慣化しましょう。よくある失敗パターンとして認証器の紛失やメール未着が挙げられますが、事前にドキュメントやバックアップ方法を整えておけば、大半のケースで迅速に対応できます。最終的に解決しない場合は、詳細なログを添えてSalesforceサポートに問い合わせることで、組織全体のセキュリティを維持しつつスムーズに運用を続けられます。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Office・仕事術の人気記事ランキング
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
