組織へのアクセスの制御
学習の目的
この単元を完了すると、次のことができるようになります。
- ユーザーを作成、参照、管理する。
- パスワードポリシーを設定する。
- ユーザーがログインできる IP アドレスを制限する。
- ユーザーがログインできる時間を制限する。
組織へのアクセスの制御
一定の条件を満たした従業員だけが Salesforce にログインできるようにすると、最も広範なレベルでデータを保護することができます。これには、承認されたユーザーを管理し、パスワードポリシーを設定して、ユーザーがログインできる時間と場所を制限する必要があります。
ユーザーの管理
すべての Salesforce ユーザーは、ユーザー名とパスワード、1 つのプロファイルで識別されます。プロファイルは、ログイン制限やパスワードポリシーなどのデフォルト設定を定義します。次に、ユーザーが実行できるタスクや参照できるデータ、データで実行可能な操作を決定する追加の権限セットや権限セットグループを割り当てます。
組織のユーザーを表示して管理するには、[Setup (設定)] の [Quick Find (クイック検索)] ボックスで [Users (ユーザー)] を検索して選択します。ユーザーリストには、組織内の全ユーザーが表示されます。
Developer Edition 組織にサインアップする
このモジュールを受講するためには、サンプルデータが含まれている特別な Developer Edition 組織が必要です。このモジュールの Challenge に取り組めるように、ここで無料の Developer Edition を入手して Trailhead に接続します。この Developer Edition は、このバッジの Challenge 用に設計されているため、他のバッジでは機能しないことがあります。使用している Trailhead Playground や特別な Developer Edition 組織が推奨されているものであることを必ず確認してください。
-
サンプルデータを搭載した無料の Developer Edition 組織にサインアップします。
- フォームに入力します。
- [Email (メール)] に、有効なメールアドレスを入力します。
- [Username (ユーザー名)] に、メールアドレス形式の一意のユーザー名 (例: yourname@example.com) を入力しますが、有効なメールアカウントである必要はありません。
- [Email (メール)] に、有効なメールアドレスを入力します。
- フォームに入力したら [Sign me up (サインアップ)] をクリックします。確認メッセージが表示されます。
- アクティベーションメールを受信したら (数分かかる場合があります)、そのメールを開いて [Verify Account (アカウントを確認)] をクリックします。
- パスワードと確認用の質問を設定して、登録を完了します。ヒント: 後でアクセスしやすいように、ユーザー名、パスワード、ログイン URL をパスワードマネージャーなどの安全な場所に保存しておきます。
- Developer Edition にログインした状態になります。
新しい Developer Edition 組織を Trailhead に接続します。
- Trailhead アカウントにログインしていることを確認します。
- このページの下部にある「Challenge」セクションで組織名をクリックして、[組織を接続] をクリックします。
- ログイン画面で、先ほど設定した Developer Edition のユーザー名とパスワードを入力します。
- [Allow Access? (アクセスを許可しますか?)] 画面で [Allow (許可)] をクリックします。
- [この組織をハンズオン Challenge 用に接続しますか?] 画面で [はい] をクリックします。保存します。
- Challenge ページにリダイレクトされたら、このバッジの獲得を目指して新しい Developer Edition を使用できます。
ユーザーの作成
ユーザーは数回クリックするだけで作成できます。この方法で複数のユーザーも作成できます。ユーザー名や別名、メールを入力して、ロールとライセンス、プロファイルを選択するだけです。他にもオプションは多数ありますが、とりあえず最初に必要なオプションはこれだけです。
Salesforce によって自動的に新しいパスワードが生成され、すぐに新しいユーザーに通知されます。ユーザーは、ログイン後、独自の個人情報を変更または追加できます。
- [Setup (設定)] の [Quick Find (クイック検索)] ボックスで [Users (ユーザー)] を検索して選択します。
-
[新規ユーザー] をクリックします。または、[Add Multiple Users (複数のユーザーを追加)] をクリックして、同時に 10 人までのユーザーを追加できます。
- ユーザーの名前、メールアドレス、およびメールアドレス形式の一意のユーザー名を入力します。デフォルトでは、ユーザー名はメールアドレスと同じです。
- このユーザーに適用するユーザーライセンスを選択します。ユーザーライセンスによって、各ユーザーの利用可能なプロファイルが決まります。
- ユーザーのデフォルト設定を指定するプロファイルを選択します。
- 新しいパスワードを生成してユーザーに通知するためのオプションを選択し、保存します。
ユーザーの無効化
ユーザーを削除することはできませんが、ユーザーがログインできないように、アカウントを無効化できます。無効化されたユーザーは、すべてのレコードにアクセスできなくなります。(これには、個別に共有していたレコードや、チームメンバーとして共有していたレコードが含まれます)。ただし、そのデータを他のユーザーに移行することと、[ユーザー] ページでユーザー名を表示することはできます。
- [Setup (設定)] の [Quick Find (クイック検索)] ボックスで [Users (ユーザー)] を検索して選択します。
- 無効化するユーザー名の横にある [編集] をクリックします。
-
[有効] チェックボックスをオフにして、[保存] をクリックします。アカウントをすぐに無効にできない場合 (たとえば、ユーザーがカスタム階層項目で選択されている場合) は、アカウントを凍結できます。これにより、ユーザーの無効化作業を行っている間、ユーザーはログインできません。
- [設定] の [ユーザー] ページで、アカウントを凍結するユーザーのユーザー名をクリックします。
-
[凍結] をクリックします。
- [設定] の [ユーザー] ページで、アカウントを凍結するユーザーのユーザー名をクリックします。
パスワードポリシーの設定
いくつかの設定を使用して、ユーザーのパスワードが強固で安全なものとなるように設定できます。
パスワードポリシー
すべてのユーザーのパスワードが期限切れになるまでの時間や、パスワードに要求される複雑さのレベルなど、パスワードとログインのポリシーを設定します。
ユーザーパスワードの有効期限
「パスワード無期限」権限のあるユーザーを除いて、組織内のすべてのユーザーのパスワードを期限切れにします。
ユーザーパスワードのリセット
指定されたユーザーのパスワードをリセットします。
ログイン試行とロックアウト期間
ログインに失敗した回数が多すぎてユーザーがロックアウトされた場合、そのユーザーのアクセスをロック解除できます。
- [Setup (設定)] の [Quick Find (クイック検索)] ボックスで [Password Policies (パスワードポリシー)] を検索して選択します。
- パスワード設定をカスタマイズします。
- パスワードの長さは? 妥当な範囲内であれば、通常は長いパスワードをお勧めします。
- パスワードの複雑さは? 英文字、数字、大文字、小文字、特殊文字を含めるように要求できます。
- パスワードの有効期間 (日数) は?
- 無効なログイン情報でログインを何回試行したら、ロックアウトされるか?
- パスワードの長さは? 妥当な範囲内であれば、通常は長いパスワードをお勧めします。
- パスワードを忘れた場合とアカウントをロックした場合に何をするかを選択します。
-
[保存] をクリックします。
パスワードポリシーはプロファイル設定レベルでも設定できます。プロファイルのパスワードポリシーを設定すると、そのプロファイルのユーザーに対して、組織のパスワードポリシーが上書きされます。
組織の信頼できる IP 範囲の指定
Salesforce に初めてログインすると、IP アドレスがブラウザーにキャッシュされます。異なる IP アドレスからログインするたびに、ID の検証が求められ、通常は確認コードを入力します。信頼できる IP 範囲について、このステップを省略できます。たとえば、ユーザーがオフィスにいるときには確認コードを入力せずにログインできるようにする必要があるとします。
- [Setup (設定)] の [Quick Find (クイック検索)] ボックスで [Network Access (ネットワークアクセス)] を検索して選択します。
-
[New (新規)] をクリックします。
- 信頼できる IP アドレス範囲の開始アドレスと終了アドレスを入力して、[保存] をクリックします。
アドレスがこの範囲外であってもログインから除外されるわけではありません。確認コードを入力することによって ID を検証する必要があるだけです。
プロファイルを使用した IP アドレスによるログインアクセスの制限
Salesforce では、デフォルトではログインアクセスの場所は制限されません。何も設定しなければ、ユーザーはあらゆる IP アドレスからログインできます。ユーザーがログインできる場所を制限するには、プロファイルを使用します。たとえば、特定のユーザーがオフィス外の IP アドレスを使用している場合にログインできないようにする必要があるとします。
- [Setup (設定)] の [Quick Find (クイック検索)] ボックスで [Profiles (プロファイル)] を検索して選択します。
- プロファイルを選択し、その名前をクリックします。
-
[ログイン IP アドレスの制限] をクリックします。拡張プロファイルインターフェースが有効になっていない場合は、[Login IP Range (ログイン IP アドレスの制限)] 関連リストまでスクロールダウンします。
-
[New (新規)] をクリックします。
- 信頼できる IP アドレス範囲の開始アドレスと終了アドレスを入力して、[保存] をクリックします。
これで、このプロファイルを持つすべてのユーザーは、信頼できる IP アドレスの範囲外からはログインできなくなります。プロファイル IP 範囲を使用すれば、ユーザーは範囲の内外のどちらかにいるわけですから、確認コードは不要になります。
ログインアクセスの時間帯制限
プロファイルごとにユーザーがログインできる時間帯を指定できます。たとえば、コールセンターの従業員が顧客データを参照できる時間帯を電話対応中の午前 9 時から午後 5 時までに限定するように設定できます。こうすることで、コールセンターの従業員は夜間や週末にはログインできなくなります。
- [Setup (設定)] の [Quick Find (クイック検索)] ボックスで [Profiles (プロファイル)] を検索して選択します。
- 変更するプロファイルをクリックします。
-
[ログイン時間帯の制限] で [編集] をクリックします。
- このプロファイルを持つユーザーが組織にログインできる曜日と時間帯を設定します。
- ユーザーがいつでもログインできるようにするには、[すべての時刻を解除] をクリックします。
- 特定の曜日にユーザーがシステムを使用できないようにするには、開始時刻と終了時刻に同じ値を設定します。
- ユーザーがいつでもログインできるようにするには、[すべての時刻を解除] をクリックします。
これで、Salesforce 組織にユーザーを追加する方法がわかりました。このモジュールの残りの部分では、データアクセスを管理する他の 3 つのレベル (オブジェクト、項目、レコード) について詳しく見ていきます。
リソース
- Salesforce ヘルプ: ライセンスの概要
- Salesforce ヘルプ: ログインアクセスポリシーの制御
- Salesforce ヘルプ: ログイン IP アドレスの制限
- Salesforce ヘルプ: プロファイルでのデフォルト設定の定義