2023.10.13 「Salesforce Winter '24 リリース直前の重要な確認(主にMFA)と新機能を少しだけ覗いてみました」
お世話になっております。
ウフル カスタマーサポート Salesforce 担当の 後藤 でございます。
Winter '24 リリースが今週末に実施されます。
10月15日(日)午前1時または2時(日本時間)に更新が開始され、5分間のサービス停止を伴います。(インスタンスにより異なります)
詳しくは Salesforce Trust サイトにてご確認ください。
https://status.salesforce.com/products/Salesforce_Services?locale=ja
日曜日の深夜なので業務をされている方はあまりいらっしゃらないと思いますが、外部基幹サービスからのデータの取り込みなどをスケジュールされているお客様は、当該時間帯に掛からないよう、スケジュールを調整いただけますでしょうか。
毎度のことですが、今回も多要素認証(MFA)自動適用について。
前回(Summer '23)同様、今回も「多要素認証(MFA)」の自動有効化がリリースのタイミングで実施されます。
今後の予定は、同様の自動有効化が Spring '24(来年2月中旬予定)でも行われ、最終的に Summer '24(来年6月中旬予定)にて強制適用(無効化ができなくなる)となります。
MFA の自動有効化および適用について知っておくべきすべての情報 (Salesforce Platform 上に構築された製品)
https://help.salesforce.com/s/articleView?id=000389361&type=1&language=ja
MFA 有効化については、利用規約上は昨年2月よりご利用者様の履行義務となっておりますので、原則すべての方がご対応いただくものとなっておりますが、準備が伴わない(主に Salesforce Authenticator アプリケーションをインストールするためのスマートフォンのご用意が難しい)などで組織全体の有効化ができていない場合は、以下のご対応をいただけますでしょうか。
- ユーザ個人が利用するスマートフォンに Salesforce Authenticator アプリケーションをインストールする(推奨)
決して少なくない方に誤解をされているのかと思いますが、私物で構いません。
端末の個人情報が Salesforce 社ならびに御社の Salesforce 管理者に参照されることは一切ありません。
Salesforce システムが参照するのは端末に付与されたデバイス ID など個人情報に紐づかないものだけになります。
ちなみに弊社では業務組織にログインする際に原則として私物のスマートフォンに Autheticator アプリケーションをインストールして運用しております。
「Salesforce Authenticator」をApp Storeで
https://apps.apple.com/jp/app/salesforce-authenticator/id782057975
Salesforce Authenticator - Google Play のアプリ
https://play.google.com/store/apps/details?id=com.salesforce.authenticator&hl=ja&gl=US
- 準備ができていないユーザを予め除外対象に設定する
とはいえ、御社の社内規則などで私物のデバイスを持ち込むことを許可していない場合などもあるかと存じます。
そのような場合、月曜朝の業務を一分でも止められない、もしくは日曜出社の予定があり管理者への連絡ができない場合などは、予め MFA 自動適用の対象から除外するために、プロファイルまたは権限セットを設定してユーザに割り当てます。
具体的には以下の権限になります。
「除外ユーザーの多要素認証を放棄」
対象となるユーザが特定のプロファイルに偏って属している場合は、プロファイルの設定で変更します。
プロファイルに偏っていない場合は、権限セットを作成し、この権限を有効化した上で、対象のユーザに割り当てます。
併せて、RPA (ロボティック・プロセス・オートメーション:操作自動化システム)にて Salesforce にログインしている場合、API と異なりあくまでもユーザインターフェース上でのアクセスとなるため、今回の有効化対象となります。
RPA アカウントについては(既にご対応済みだと思いますが)今一度この権限が適用されているかをご確認いただけますでしょうか。
(「除外ユーザの多要素認証を放棄」は本来こういったユーザアカウントの MFA を除外するための権限であることをご認識いただければと存じます)
MFA からの除外ユーザーの除外
https://help.salesforce.com/s/articleView?id=sf.security_mfa_exclude_exempt_users.htm&type=5&language=ja
- 月曜朝、管理者が出社したら組織の MFA 設定をオフにする
日曜出社する人もおらず、月曜朝に一部のユーザがログインできない事態が発生しても特に緊急性が無い場合は、管理者にてログインし、今回自動有効化される以下の設定を外します。
設定メニューの「ID」>「ID 検証」
「Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要」
但し、少なくとも管理者の方はきちんとログインできるよう、先行して MFA を使用できていることが絶対必須条件となります。
もし管理者がまだ MFA を有効化していない場合は、絶対に今日中にシステム管理者プロファイルにて以下の権限を有効化(または権限セット作成からの割り当て)した上で、スマートフォンへの Salesforce Authenticator のインストールを実施し、MFA が機能するかを必ず確認しておいてください。
「ユーザインターフェースログインの多要素認証」
管理者がログインできないと MFA の一時解除ができませんので、管理者の方が MFA を現在使用していない場合は、必ずご確認ください。
なお、シングルサインオン(SSO)で外部サービス認証を使用して Salesforce にログインしている場合(Microsoft 365 や Google Workspace にログインした上での Salesforce へのアクセス、ならびに ID Federation や Gluegent Gate、CloudGate などのシングルサインオンサービスでの Salesforce ログイン管理)を行っている場合、SSO 側で MFA を有効にしていれば、Salesforce 側での MFA は必須ではありません。
適切に設定されているかのご確認については以下の記事がご参考になるかと存じます。
SSO と MFA 要件
https://security.salesforce.com/ja/sso-and-mfa
MFA 自動有効化は、今回以降ではもう一度 Spring '24 (来年2月)に実施されるのは先述の通りです。
次回はつつがなくリリースを迎えられるよう、できるだけ早めの適用をお願いいたします。
Winter ’24 新機能を少し覗いてみた。
Salesforce サクセスナビ - Winter '24リリース 注目の新機能
https://successjp.salesforce.com/security-operation/winter24?utm_source=newsletter&utm_medium=systemadmin&utm_campaign=october
今回のリリースにて、メール配信に関連する2つの重要な仕様変更があります。
- Chatter メール通知を送信するときの送信者名とメールアドレスの必須化
- Salesforce からメールを送信するためのメールアドレスの検証
今までは Chatter 通知をメールで受信する場合、今までは設定画面で送信者名義を指定しないままでも、no-reply@chatter.salesforce.com が自動で送信者名義になっていましたが、これがセキュリティの面での懸念となっており、Winter '24 にて送信者名義を指定しないと通知メールを送信できなくなるよう仕様変更が発生します。
併せて、リードや取引先責任者への Salesforce 画面からのメール送信、リードやケースの自動応答メール設定、フローでのメール送信アクションにて使用するメールアドレスが「検証済み」でないとメールが送信できなくなりました。
「月曜以降突然メールが送れなくなった / 送信されてこなくなった」という場合は、この二点に該当するかをご確認ください。
Chatter メール通知を送信するときの送信者名とメールアドレスの必須化 (リリース更新)
https://help.salesforce.com/s/articleView?id=release-notes.rn_experiences_require_sender_email_release_update.htm&release=246&type=5&language=ja
Salesforce からメールを送信するためのメールアドレスの検証
https://help.salesforce.com/s/articleView?id=release-notes.rn_security_email_verification.htm&release=246&type=5&language=ja
既報の通り Winter '24 にて拡張ドメインが強制有効化されますが、旧ドメインへアクセスした際のリダイレクトは、一年後の Winter '25 リリースまで有効となります。
但し、一年はあっという間に過ぎますので、早いうちの対処が賢明かと思われます。
Experience Cloud(カスタマー&パートナー向けポータル/コミュニティ/サイト)を使用しているお客様は必ずご確認ください。
[私のドメイン] の一部のリダイレクトの終了への準備
https://help.salesforce.com/s/articleView?id=release-notes.rn_security_domains_prepare_end_redirections.htm&release=246&type=5&language=ja
機能面では、フローの機能向上が今回も目覚ましいです。
以前からワークフロールールやプロセスビルダーを使っていたものの、これらの機能でのプロセス新規作成が停止&フローに移行になって以来、「フローは難しい、自分で作るのは諦めて開発チームに依頼するようになった」という管理者の方も少なくないと思います。
今回のリリースで、そういった皆様への配慮が少なからず見受けられます。
設定画面も、かつてのプロセスビルダーのように「左ペインで要素を選択すると、右ペインにパラメータ設定が表示される」ようになっており、パラメータ設定も、今までのように開発的な知見がある程度無いと難解に見えるものよりは、どちらかというとより直感的なものに変わっているようです。
新しいフローインターフェースで幾つか設定を作ってみましたが、従来ワークフロールールやプロセスビルダーがカバーしていた基本的なレベルでのものでしたら、特に迷うことなく有効化まで至ることができました。
何よりフローは有効化しないで内部でデバッグができるのが大きいです(ワークフロールールやプロセスビルダーにはデバッグ機能が無かったので、有効化してテストレコードで試す必要がありました)。
その上での気づき(ちょっとした設定の「穴」だったり考慮事項だったり)が得られましたので、次回の記事で「管理者の方のためのフロー使いこなし」の特集を組みたいと考えております。
それと、設定済みワークフロールールやプロセスビルダー設定をフローに移行する機能、今回は機能改善あるのでしょうか・・・結構こちらの方が重要なのではないかと思います。
Salesforce フロー
https://help.salesforce.com/s/articleView?id=release-notes.rn_automate.htm&release=246&type=5&language=ja
フローへの移行
https://successjp.salesforce.com/special/flow-overview
============================== =============================
今回はまず「月曜にあわてないで済むように」MFA および重要な更新についてのご案内がメインで、新機能については駆け足でのご案内となりましたが、次回は機能面でのご案内をできればと考えております。
今後ともウフル カスタマーサポートを引き続きご愛顧いただきますよう、 何卒よろしくお願い申し上げます。
コメント