ブログ

フロッグウェル株式会社 > blogs > Salesforce > [Salesforce]時間ベースのステップアップ認証を検証:レポート・ダッシュボード操作で再認証が走るタイミング

[Salesforce]時間ベースのステップアップ認証を検証:レポート・ダッシュボード操作で再認証が走るタイミング

#Salesforce #ステップアップ認証 #再認証 #時間ベース

積極採用中
セミナー情報

目次

サイバー攻撃の脅威から Salesforce 利用者を保護するというSalesforce社の継続的な取り組みの一環として、
順次セキュリティの強化が進められています。
本記事ではその1つである「ステップアップ認証: 時間ベース」が、2026年7月より本番適用予定であるため、詳細を検証していきます。

はじめに:本記事の位置づけ

本記事はSalesforce公式で案内されている時間ベースのステップアップ認証について、2026年6月中旬時点で検証ベースの内容を記載しています。
レポート・ダッシュボード操作で、どのタイミングに再認証が求められるのかを検証しました。

2026年7月以降、本番組織にも順次適用される機能であるため、挙動を把握するための参考情報としてご覧ください。
なお、本記事の検証結果は特定の検証環境・検証時点で確認した挙動であり、Salesforceのリリース状況、組織設定、画面UIの変更により実際の挙動が異なる可能性があります。

この記事で分かること

  • 時間ベースのステップアップ認証の概要
  • Sandbox組織・本番組織への適用時期
  • レポート/ダッシュボード操作時の再認証タイミング
  • レポート編集中の未保存内容など、運用上注意したいポイント
  • SSOユーザーやMFA検証方法未登録ユーザーへの影響
  • スケジュール配信、埋め込みダッシュボード、Salesforceモバイルアプリなどへの影響

時間ベースのステップアップ認証とは

本記事の主題である時間ベースのステップアップ認証についてです。
Salesforceログイン後であってもレポートやダッシュボードの表示・実行・エクスポートなど、機密性の高い操作を行うタイミングで追加の本人確認を求める仕組みです。
Salesforceでは、不正なデータ持ち出しへの対策として、時間ベースのステップアップ認証が段階的に適用予定です。

Salesforce公式情報では、この機能はSandbox組織および本番組織に順次適用されます。
・適用開始時期
Sandbox組織は2026/6/17より約7日間かけて、
本番組織は2026/7/1より約30日間かけて段階的に適用されると案内されています。

対象となるユーザー

すべての内部ユーザーが対象です。Experience Cloud ユーザーなどの外部ユーザーは対象外とされています。
SSOでログインしている場合でも、ステップアップ認証はSSO側ではなくSalesforce側の本人確認として求められます。
SSOを利用している組織でも「SSOだから追加対応不要」とはならず、各ユーザーがSalesforce側で利用可能な検証方法を持っているか、メールや携帯電話番号などの連絡先情報が正しく設定されているかを事前に確認しておくことが重要です。
ステップアップ認証は以下の方法で実施されます。
下記 3 つのうち、いずれか1つで認証する必要があります。

  • 登録済みの多要素認証(MFA)
  • 有効なメールアドレスへの確認コード送付
  • SMS 対応の携帯電話番号への確認コード送付

 

再認証の起点タイミング

「最後にレポートを操作した時刻」ではなく、「最後にステップアップ認証をした時刻」が起点になるようです。ID検証で設定した「ステップアップ認証期間(分)」が経過すると、特定の操作時に再認証が求められます。
従来のセッションタイムアウトのように「最後の操作時刻」を基準にする挙動とは異なるため、画面を操作し続けていても、認証期間を過ぎた後の操作で再認証が発生する点に注意が必要です。

※本記事の操作別結果は検証環境で確認した内容です。
Salesforceのリリース状況、組織設定、UI変更により、実際の挙動が異なる可能性があります。

 

「ステップアップ認証期間(分)」の設定

ID検証画面の「ステップアップ認証期間(分)」にて設定した数値によって、再認証が求められるまでの期間が定義されます。
運用を開始する前にSalesforce管理者は適切な数値を設定しましょう。
セッションセキュリティレベルポリシー
 

検証結果一覧

実際にレポート・ダッシュボードを操作する流れの中で、具体的にはどのタイミングでステップアップ認証が必要となるのでしょうか。
ステップアップ認証期間が経過した後に再認証が必要となる操作、不要な操作を挙動ベースで確認しました。再認証の要否を一覧で整理します。

※下記で「再認証必要」と記載した操作のたびに、必ずしも再認証を求められるわけではありません。
あくまで前回のステップアップ認証から「再認証が求められるまでの期間」が経過した後にこれらの操作を行った場合、再認証が必要となるかという観点で整理しています。

 
 

①レポート新規作成時の挙動

操作 結果
「レポート」タブを押す 再認証必要
「新規レポート」ボタンを押す 再認証不要
「レポートを開始」ボタンを押す 再認証不要
列追加や検索条件変更を行う 再認証不要
「実行」ボタンを押す 再認証不要
「編集」ボタンを押す 再認証不要
「保存」ボタンを押す/保存が完了する 再認証不要

 

②レポート保存後の挙動

操作 結果
「エクスポート」ボタンを押す 再認証必要
「登録」ボタンを押す 再認証不要
「別名で保存」ボタンを押す 再認証必要
「削除」ボタンを押す 再認証必要

 

③レポート編集時の挙動

操作 結果
「編集」ボタンを押す 再認証必要
「アウトライン」「検索条件」間でタブ移動する 再認証不要
列追加や検索条件変更を行う 再認証必要
「グラフを追加」ボタンを押す 再認証必要
グラフを削除する 再認証不要

 

④ダッシュボード作成時の挙動

操作 結果
「ダッシュボード」タブを押す 再認証必要
「新規ダッシュボード」ボタンを押す 再認証不要
新規ダッシュボードの「保存」ボタンを押す 再認証不要
「+ウィジェット」ボタンを押す~グラフを追加する 再認証不要
「保存」や「完了」を押す 再認証不要

 

⑤ダッシュボード保存後の操作

操作 結果
ダッシュボードグラフのソースレポートへ遷移する 再認証必要
「ダウンロード」ボタンを押す 再認証必要
「別名で保存」ボタンを押す 再認証不要
「所有者を変更」ボタンを押す 再認証不要
「削除」ボタンを押す 再認証必要

 

⑥ダッシュボード編集時の挙動

操作 結果
「編集」ボタンを押す 再認証不要
「+ウィジェット」ボタンを押す~グラフ追加・保存する 再認証不要
「フォルダーを選択」から保存フォルダを変更する 再認証必要

 
ここからは再認証の要否一覧について、具体的な該当箇所をキャプチャ交えてそれぞれ見ていきましょう。

レポート新規作成時の挙動

新規レポート作成では、最初に「レポート」タブを開いたタイミングで再認証が求められました。
一方でその後の新規レポート作成、レポート開始、列追加や検索条件変更、実行、編集、保存では再認証は求められませんでした。

「レポート」タブを押したタイミング 【再認証必要】
「レポート」タブを押したタイミング 【再認証必要】

「新規レポート」ボタンを押したタイミング 【再認証不要】
「新規レポート」ボタンを押したタイミング 【再認証不要】

「レポートを開始」ボタンを押したタイミング 【再認証不要】
「レポートを開始」ボタンを押したタイミング 【再認証不要】

列追加や検索条件変更のタイミング 【再認証不要】
列追加や検索条件変更のタイミング 【再認証不要】

「実行」ボタンを押したタイミング 【再認証不要】
「実行」ボタンを押したタイミング 【再認証不要】

「編集」ボタンを押したタイミング 【再認証不要】
「編集」ボタンを押したタイミング 【再認証不要】

「保存」ボタンを押したタイミング、および保存が完了したタイミング 【再認証不要】
「保存」ボタンを押したタイミング、および保存が完了したタイミング 【再認証不要】

※保存完了後に接続エラーのような画面が表示されましたが、再度レポートを開いたところ、レポート自体は保存済みの状態でした。
保存完了後に接続エラーのような画面
 

レポート保存後の操作

保存済みレポートに対する操作では、エクスポート、別名保存、削除で再認証が必要でした。
登録の操作では再認証は求められませんでした。
「エクスポート」ボタンを押したタイミング 【再認証必要】
「エクスポート」ボタンを押したタイミング 【再認証必要】

「登録」ボタンを押したタイミング 【再認証不要】
「登録」ボタンを押したタイミング 【再認証不要】

「別名で保存」ボタンを押したタイミング 【再認証必要】
「別名で保存」ボタンを押したタイミング 【再認証必要】

「削除」ボタンを押したタイミング 【再認証必要】

 

レポート編集時の挙動


編集ボタンを押す、列を追加する、グラフを追加するなどのタイミングで再認証が必要でした。
※レポート編集時に再認証が走るタイミングでは、「保存済みレポートとして再読み込み」されるように見えました。保存していない編集中の内容は消えてしまう可能性があるため、これまで以上にこまめな保存を意識した方がよさそうです。

 
「編集」ボタンを押したタイミング 【再認証必要】
「編集」ボタンを押したタイミング 【再認証必要】

「アウトライン」「検索条件」間でのタブ移動タイミング 【再認証不要】
「アウトライン」「検索条件」間でのタブ移動タイミング 【再認証不要】

列追加や検索条件変更のタイミング 【再認証必要】
列追加や検索条件変更のタイミング 【再認証必要】

「グラフを追加」ボタンを押したタイミング 【再認証必要】
「グラフを追加」ボタンを押したタイミング 【再認証必要】
「グラフを追加」ボタンを押したタイミング 【再認証必要】

グラフを削除したタイミング 【再認証不要】
グラフを削除したタイミング 【再認証不要】
 
 

ダッシュボード作成時の挙動

ダッシュボード作成では、最初に「ダッシュボード」タブを開いたタイミングで再認証が必要でした。
その後の新規作成、ウィジェット追加、保存、完了では再認証は求められませんでした。
「ダッシュボード」タブを押したタイミング 【再認証必要】
「ダッシュボード」タブを押したタイミング 【再認証必要】

「新規ダッシュボード」ボタンを押したタイミング 【再認証不要】
「新規ダッシュボード」ボタンを押したタイミング 【再認証不要】

新規ダッシュボードの「保存」ボタンを押したタイミング 【再認証不要】
新規ダッシュボードの「保存」ボタンを押したタイミング 【再認証不要】

ダッシュボードで「+ウィジェット」ボタンを押す~グラフを追加するまでの一連のタイミング 【再認証不要】

ダッシュボードで「+ウィジェット」ボタンを押す~グラフを追加するまでの一連のタイミング 【再認証不要】
ダッシュボードで「+ウィジェット」ボタンを押す~グラフを追加するまでの一連のタイミング 【再認証不要】 ダッシュボードで「+ウィジェット」ボタンを押す~グラフを追加するまでの一連のタイミング 【再認証不要】 ダッシュボードで「+ウィジェット」ボタンを押す~グラフを追加するまでの一連のタイミング 【再認証不要】

「保存」や「完了」ボタンを押したタイミング 【再認証不要】
「保存」や「完了」ボタンを押したタイミング 【再認証不要】
 
 

ダッシュボード保存後の操作

保存後のダッシュボードでは、ソースレポートへの遷移、ダウンロード、削除で再認証が必要でした。
一方で別名で保存、所有者変更では再認証は求められませんでした。
ダッシュボードグラフのソースレポート遷移のタイミング 【再認証必要】
ダッシュボードグラフのソースレポート遷移のタイミング 【再認証必要】

「ダウンロード」ボタンを押したタイミング 【再認証必要】
「ダウンロード」ボタンを押したタイミング 【再認証必要】

「別名で保存」ボタンを押したタイミング 【再認証不要】
「別名で保存」ボタンを押したタイミング 【再認証不要】

「所有者を変更」ボタンを押したタイミング 【再認証不要】
「所有者を変更」ボタンを押したタイミング 【再認証不要】

「削除」ボタンを押したタイミング 【再認証必要】
「削除」ボタンを押したタイミング 【再認証必要】
 
 

ダッシュボード編集時の挙動

既存ダッシュボードの編集では編集ボタンやウィジェット追加、保存では再認証は不要でした。
ただし、保存フォルダを変更する操作では再認証が必要でした。

「編集」ボタンを押したタイミング 【再認証不要】
「編集」ボタンを押したタイミング 【再認証不要】

ダッシュボードで「+ウィジェット」ボタンを押す~グラフを追加し保存するまでの一連の流れ 【再認証不要】

ダッシュボードで「+ウィジェット」ボタンを押す~グラフを追加し保存するまでの一連の流れ 【再認証不要】
ダッシュボードで「+ウィジェット」ボタンを押す~グラフを追加し保存するまでの一連の流れ 【再認証不要】 ダッシュボードで「+ウィジェット」ボタンを押す~グラフを追加し保存するまでの一連の流れ 【再認証不要】 ダッシュボードで「+ウィジェット」ボタンを押す~グラフを追加し保存するまでの一連の流れ 【再認証不要】

「フォルダーを選択」ボタンから保存フォルダーを変更するタイミング 【再認証必要】
「フォルダーを選択」ボタンから保存フォルダーを変更するタイミング 【再認証必要】

想定されるよくある質問

最後にSalesforce公式FAQの中から、多くのユーザーに影響がありそうな内容を整理します。

よくある質問 回答 詳細
SSOでログインしているユーザーはステップアップ認証は必要ですか?

再認証必要

 SSO利用ユーザーも対象です。Salesforce側のMFA検証方法、またはメール/SMSのOTPで追加認証を行う必要があります。
ログイン時にMFAをしていれば、ステップアップ認証は不要ですか?

再認証必要

 ログイン時のMFAはステップアップ認証のタイマーをリセットしません。直近でMFAログインしていても、対象操作では再認証を求められる場合があります。
社内ネットワークや信頼済みIPからのアクセスなら例外になりますか?

例外にならない
(再認証必要)

 信頼済みIPや企業ネットワークからログインしている場合でも、レポート/ダッシュボード操作ではステップアップ認証が必要です。
SalesforceにMFA検証方法を登録していないユーザーもステップアップ認証は必要ですか?

再認証必要

 登録済みのMFA方法がない場合、ユーザーに設定されたメールアドレスまたは電話番号へ認証が送信されます。事前に連絡先情報の確認をおすすめします。
Experience Cloudユーザーもステップアップ認証は必要ですか?

再認証不要

 Experience Cloudユーザーなどの外部ユーザーはステップアップ認証の対象外とされています。
スケジュール配信や登録済みレポートも影響を受けますか?

影響を受けない
(再認証不要)

 スケジュール送信や登録送信はバックグラウンドで実行されるため影響を受けません。ただし、通知メール内のリンクからレポートを開く場合は、認証が求められる場合があります。
埋め込みレポートや埋め込みダッシュボードもステップアップ認証は必要ですか?

再認証不要

 Lightningページなどに配置された埋め込みレポート/ダッシュボードは、ステップアップ認証の対象外とされています。
API連携、開発者コンソール、Salesforceモバイルアプリもステップアップ認証は必要ですか?

再認証不要

 非対話型API/開発者コンソール/WorkbenchでのSOQL、Salesforceモバイルアプリ経由のアクセスは対象外とされています。

※上記はSalesforce公式ヘルプ「レポートアクションにおけるステップアップ認証への適用準備」のFAQをもとに要点を整理したものです。

まとめ

時間ベースのステップアップ認証は、単純に「一定時間操作しなかったら再認証」という挙動ではなく、最後にステップアップ認証を行った時刻を起点として、対象操作のタイミングで再認証が求められる仕組みのようです。
特にレポート編集では、列追加・検索条件変更・グラフ追加などの操作で再認証が発生し、保存済みレポートとして再読み込みされる可能性があります。編集中の内容を失わないためにも、レポート編集時はこまめな保存を意識しておくと安心です。

また、エクスポートやダウンロードに加え、削除などの重要操作でも再認証が求められるケースが見られました。
Salesforce管理者としては、適用前にユーザーへ「こまめな保存」と「利用可能な認証方法の確認」を案内しておくと、7月以降の問い合わせや混乱を減らしやすくなります。
※本記事は検証時点の挙動をもとにまとめています。実際の挙動は組織の設定やSalesforce側の更新により変更となる可能性があります。

<Salesforce>
弊社ではSalesforceをはじめとするさまざまな無料オンラインセミナーを実施しています!
>>セミナー一覧はこちら

また、弊社ではSalesforceの導入支援のサポートも行っています。ぜひお気軽にお問い合わせください。
>>Salesforceについての詳細はこちら
>>Salesforceの導入支援実績はこちらからご覧いただけます!

医療業界に特化した営業支援、顧客管理(SFA/CRM)のコンサルティングも提供しております。こちらもぜひお気軽にお問い合わせください。
>>顧客管理(SFA/CRM)のコンサルティングの詳細はこちら

CONTACT
お問い合わせ

ご相談やご依頼、病院マスタなどについてのお問い合わせはこちらのお問い合わせフォームから。

サービスなどについてのお問い合わせ 病院マスタについてのお問い合わせ

メールお問い合わせ
×