2026.06.23 14:15 (更新: 2026.06.23)

Salesforce 2026年6月セキュリティ強化要件への対応（Okta / Entra ID）

IDチームの前田です。

Salesforce から、2026年のセキュリティ要件強化がアナウンスされました。SSO で Salesforce にログインしている組織は、IdP 側の設定変更が必要になることがあります。Okta と Entra ID それぞれで、作業の流れをまとめました。細かい手順は変わりやすいので、実際の設定時は各公式ページを確認してください。

3行まとめ

2026年6月から、Salesforce で MFA が順次必須になります。特権ユーザーはフィッシング耐性 MFA が必須です。
SSO 利用時は、フィッシング耐性 MFA で認証したことを示す信号（AMR）を、IdP から Salesforce に渡す必要があります。
Okta は OIN の公式アプリなら基本は自動対応。Entra ID は条件付きアクセスで設定しますが、新要件の細かい伝達はまだ調整中です。

何が変更になるのか

ざっくり言うと、MFA が「推奨」から「必須」になります。しかも特権ユーザーは、フィッシングに強い MFA でないと認証が通らなくなります。

適用は段階的です。

時期	対象	内容
2026年6月22日〜	全ユーザー	Sandbox 環境で MFA を強制適用
2026年7月1日〜	特権ユーザー	本番環境でフィッシング耐性 MFA 必須
2026年7月20日〜	一般ユーザー	本番環境で標準 MFA 必須
2026年6月25日	REST API 利用者	PKCE 対応の期限

特権ユーザーとは、システム管理者プロファイル、またはデータの全変更や全表示、Apex 開発といった強い権限を持つユーザーです。まずは自社の対象者を洗い出すところから始めます。

フィッシング耐性 MFA として認められるのは、FIDO2 / WebAuthn、パスキー、Okta FastPass、証明書認証あたりです。SMS や TOTP（ワンタイムコード）は、特権ユーザーには使えません。

気をつけたいのは SSO を使っている場合です。Salesforce は「どの方式で認証したか」を、IdP からの信号（AMR 属性）で判断します。なので、IdP 側でこの信号が正しく渡るようにしておかないと、フィッシング耐性 MFA でログインしていても弾かれます。

Salesforce 公式の案内

今回の大元は、Salesforce のナレッジ記事 005317465「Security-Related Product Updates to the Salesforce Platform: User Identity, Data Protection, and Access Controls」 です。プラットフォームのセキュリティに関わる重要なアップデートをまとめた、継続更新型のロードマップ記事です。

公式に書かれている要点は、次のとおりです。

対象: System Administrator プロファイル、または Modify All Data / View All Data / Customize Application / Author Apex のいずれかの権限を持つユーザー（＝特権ユーザー）。
適用日: Sandbox は 2026年6月22日、本番は 2026年7月1日 から、特権ユーザーにフィッシング耐性 MFA を強制。
フィッシング耐性 MFA の定義: 組み込み認証システム（Touch ID、Windows Hello など）またはセキュリティキー（U2F / WebAuthn(FIDO2) に対応した YubiKey、Google Titan など）。
パスキー: ID 検証設定で「パスキーによるパスワードレスログインを許可」をオンにすると、ユーザー名＋パスキーだけで要件を満たせます。

対象別の準備手順は、公式記事にまとまっています。

対応するには（作業の流れ）

詳しい操作は各公式ページが最新で正確です。ここでは全体の流れだけ示します。骨格は Okta も Entra ID も共通で、フィッシング耐性 MFA でログインさせる、その事実（AMR）を Salesforce に渡す、最後に Sandbox で検証する、という3ステップです。

Okta の場合

最初に、Salesforce 連携が OIN（Okta Integration Network）の公式アプリか、自前のカスタムアプリかを確認します。ここで作業量が大きく変わります。

OIN の公式アプリ: 基本は自動対応です。手動の AMR 設定はいりません。アプリが最新かを確認し、特権ユーザーにフィッシング耐性の認証ポリシー（FIDO2 / WebAuthn / FastPass）を割り当てれば、ほぼ完了です。
カスタムアプリ: AMR 属性（session.amr）を手動で追加します。値の渡し方でつまずくこともあるので、公式 FAQ の回避策もあわせて確認してください。

最後に、どちらの場合も SAML トレーサーで AMR が Salesforce に渡っているかを確認します。REST API でプロビジョニングしている場合は、6月25日までに PKCE 対応も必要です。

手順の詳細:

Entra ID の場合

Entra ID は、条件付きアクセスでフィッシング耐性 MFA を要求し、その認証情報を SAML トークンの authnmethodreferences クレームで Salesforce に渡します。流れは次のとおりです。具体的な操作は、各リンク先の公式ドキュメントが正確です。

SSO を設定する
ギャラリーから Salesforce アプリを追加し、SAML の基本設定（識別子、応答 URL）とフェデレーションメタデータの交換を行います。

→ Salesforce × Entra ID 連携チュートリアル
フィッシング耐性の認証方法を先に登録する
パスキー（FIDO2）などを対象ユーザーに登録します。登録前に次のポリシーを有効化するとロックアウトのおそれがあるため、ここは必ず先に済ませます。

→ パスキー（FIDO2）の登録
条件付きアクセスポリシーを作る
認証強度で「フィッシング耐性 MFA」を選び、対象に Salesforce（または全リソース）を指定します。まず Report-only で影響を確認し、問題なければ On にします。

→ フィッシング耐性 MFA を要求する条件付きアクセス（管理者向け）
ローカルログインを無効化する
SSO の動作を確認できたら、Salesforce 側でローカル資格情報でのログインを無効化し、条件付きアクセスと MFA を必ず通るようにします。

MFA の信号については、Entra ID が SAML トークンに authnmethodreferences クレームをデフォルトで含めます。条件付きアクセスで MFA を満たすとこのクレームに multipleauthn が入り、Salesforce はデバイスを信頼します（2026年2月3日からの Device Activation 対応）。つまり、条件付きアクセスで MFA を確実に強制しておくことが、そのまま要件を満たすことになります。

OpenID Connect で連携している場合は、AMR クレームを渡せる V1 エンドポイントを使ってください（V2 は対応予定）。AD FS をフェデレーションに使っている場合は、SAML トークンにクレームを含めるための別ガイドの手順が必要です。

⚠️ 注意（Microsoft 公式・2026年6月9日時点）

Salesforce が管理者向けに発表したフィッシング耐性 MFA 要件について、Microsoft は連携チュートリアルで「Entra ID が必要な粒度の情報をトークンクレームで送れるよう、Salesforce と連携して対応中。タイムラインが固まり次第このページで更新する」と案内しています。つまり、フィッシング耐性の細かい伝達はまだ調整中です。本番適用の前に、必ずチュートリアルページの最新の記載と Sandbox での検証を確認してください。

あわせて確認:

最後に。

やることはシンプルです。対象ユーザーを洗い出す。IdP 側でフィッシング耐性 MFA と AMR の伝達を整える。Sandbox で信号の中身を検証する。この3つです。

ただし Okta は、OIN の公式アプリならプラットフォーム側で自動対応が進んでいます。まずは「公式アプリか、カスタムアプリか」を見極めるのが近道です。Entra ID は条件付きアクセスで MFA を強制すれば Device Activation には対応できますが、新しいフィッシング耐性要件の細かい伝達は Microsoft が調整中です。連携チュートリアルの更新を追いつつ、早めに Sandbox で試しておくと安心です。

タグ

Maeda Akira