しばらく追えていなかったMFAの最新情報、Winter’23のリリースノートにも掲載されていたので確認しました。

要点は後でまとめてみますので、とりあえずリリースノートの翻訳を載せます。

◇ SALESFORCE HELP ＞DOCS ＞SALESFORCE RELEASE NOTES ＞ Salesforce Winter'23 Release Notes ＞Security, Identity, and Privacy＞ Identity and Access Management ＞MFA To Be Auto-Enabled for Some Customers in Spring ’23 (Release Update)

MFA To Be Auto-Enabled for Some Customers in Spring ’23 (Release Update)

This release update enables multi-factor authentication (MFA) for direct logins to Salesforce. In Winter ’23, this update is available for orgs with fewer than 100 active users. The update becomes available in a later release for all other orgs. Even if you’re fully compliant with the MFA requirement now, you may need to complete one last step to prevent MFA-exempt user types from being affected by this release update.

Where: This change applies to Lightning Experience, Salesforce Classic, and all Salesforce mobile apps in all editions.

When: For Salesforce orgs with fewer than 100 active users, this release update is available in Winter ’23 and enforced in Spring ’23. The active user count for each org occurs when Winter ’23 goes live in production. To see if you’re affected, monitor the Release Update node in Setup. In rare cases, it can take several weeks for the update to appear after the Winter ’23 release completes. For orgs with more than 100 active users, the update appears in a later release.

How: This release update automatically turns on the Require multi-factor authentication (MFA) for all direct UI logins to your Salesforce org setting. Users who have the Multi-Factor Authentication for User Interface Logins user permission experience no changes.

When MFA is turned on for your org, the process for logging in to the UI changes. After a user enters their username and password, they must verify their identity with an MFA verification method, such as an authenticator app, security key, or built-in authenticator. If users haven’t done so already, they’re prompted to register a verification method the next time they log in after this release update goes into effect.

To prepare for this update, we recommend taking these steps.

・Verify if your org has exempt user types that need to be manually excluded from MFA before it’s enabled. See Exclude Exempt Users from MFA in Salesforce Help.
・Train your users on how to acquire, register, and log in with MFA verification methods. See Change Management for a Successful MFA Rollout for guidance and customizable templates.
・Take control by enabling MFA yourself before this change goes into effect. See Enable MFA for Your Entire Org in Salesforce Help.

In the unlikely event users experience issues with MFA, temporarily disable it.

1.From Setup, in the Quick Find box, enter Identity, and select Identity Verification.
2.Deselect the Require multi-factor authentication (MFA) for all direct UI logins to your Salesforce org checkbox.
3.Save your changes.

↓日本語訳です。

Spring’23に一部のお客様でMFAを自動有効化へ（リリースアップデート）

このリリースアップデートにより、Salesforce への直接ログインで多要素認証 (MFA) が可能になります。このアップデートは、Winter’23に、有効ユーザが100人未満の組織で利用可能です。それ以外の組織では、後日、このアップデートを利用できるようになります。現在、MFA の要件に完全に準拠している場合でも、MFA 非対象のユーザタイプがこのリリースの更新の影響を受けないようにするために、最後のステップを完了する必要がある場合があります。

対象：この変更は、Lightning Experience、Salesforce Classic、およびすべてのエディションの Salesforce モバイルアプリに適用されます。

適用時期 ：アクティブユーザが100人未満の Salesforce組織では、このリリースアップデートはWinter'23に利用可能で、Spring'23に実施されます。各組織のアクティブユーザ数は、Winter '23 の本番稼動時に発生します。影響を受けるかどうかを確認するには、設定のリリース更新ノードを監視してください。まれに、Winter '23 のリリースが完了してからアップデートが表示されるまでに数週間かかることがあります。アクティブユーザが100人以上の組織では、アップデートは後のリリースで表示されます。

どのように：このリリースでは、「Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要」が自動的にオンになります。「ユーザインターフェースログインの多要素認証」ユーザ権限を持っているユーザーには、変更はありません。

組織で MFA を有効にすると、UI へのログインのプロセスが変更されます。ユーザはユーザ名とパスワードを入力した後、認証アプリ、セキュリティキー、組み込み Authenticator などのMFA認証手段で本人確認を行う必要があります。ユーザがまだ登録していない場合、このリリースアップデートの発効後、次回ログイン時に検証方法を登録するよう促されます。

このアップデートに備えるために、以下の手順を実行することをお勧めします。

・MFA を有効にする前に、手動で MFA から除外する必要がある除外ユーザのタイプが組織にあるかどうかを確認します。Salesforce ヘルプの「MFA から対象外ユーザーを除外する」を参照してください。
・MFA 検証方法を使用して取得、登録、およびログインする方法について、ユーザをトレーニングします。ガイダンスとカスタマイズ可能なテンプレートについては、「MFA 導入を成功させるための変更管理」を参照してください。
・この変更が適用される前に、自分で MFA を有効にして管理します。Salesforce ヘルプの「組織全体の MFA を有効にする」を参照してください。

万が一、ユーザが MFA で問題を起こした場合は、一時的に MFA を無効にしてください。

1.［設定] の [クイック検索] ボックスで「ID」と入力し、[ID 検証] を選択します。
2.「Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要」チェックボックスの選択を解除します。
3.変更を保存します。

まとめると、

・Salesforce 組織全体でMFAを有効化する設定が使用可能となる。システム管理者で「Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA)が必要」にチェックを入れることで組織全体（のユーザ）にMFAが適用される。

・有効ユーザが100名以下の組織では、Winter’23より使用可能となり、Spring’23で自動的に有効化される。それ以外の組織でも、以降に可能となる予定。

・MFAを除外する必要があるユーザに対しては、「除外ユーザの多要素認証を放棄」の権限を割り当て、ログイン時MFAが要求されないようにする。

・早めにこの設定を有効化して問題がないかを確認し、対応する。問題が起こった場合は一時的に無効化する。

ということらしいです。

組織全体でMFAを有効化する方法については Summer’22から案内がありました（それまでは権限の割り当てでMFAが必須となるように設定しました）が、強制適用の前の最後のフェーズとして、システム管理者自身で組織単位での MFA必須を有効化および無効化できるようにし、来る「強制適用」に向けて最終確認を促す、ということでしょうかね。そしてそれを有効ユーザの少ない組織から始めていく、と。

MFAの「自動適用」と「強制適用」と「除外ユーザ」について

また、「自動適用」「強制適用」について、過去の記事で↓のように書いていたのですが、

・自動有効化のタイミングでは自動的に「ユーザインターフェースログインの多要素認証」の権限がをユーザに割り当てられますが、管理者でMFAを無効化できるオプションがあります。

※6ヶ月前には通知が届く予定です。
※プロファイルや権限セットでの割り当てなのか、割り当て方法は確認できていません。

・強制適用を迎えると、管理者でMFAを無効化できなくなります。
※6ヶ月前には通知が届く予定です。

「Summer’22　リリースノート日本語版が公開されました＆MFAのスケジュール最新版」より

組織の「Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要」が自動的に有効化されることを「自動適用」と呼ぶのかもしれません。そして、この無効化ができなくなることが「強制適用」なのかもしれません。
ハッキリ書いているところを確認できなかったのですが、↓のページを読むとそういうことなのかな？と思います。

◇ SALESFORCE ヘルプ＞ドキュメント＞多要素認証のロールアウト方法＞多要素認証の用語集

ちなみに、これが組織全体にMFAを有効化する設定です。

設定＞ID ＞ID 検証＞
「Salesforce 組織へのすべての直接 UI ログインに多要素認証 (MFA) が必要」

MFA必須から除外を許可する権限はこちらになります。

プロファイルまたは権限セット
システム権限＞除外ユーザの多要素認証を放棄

除外ユーザに関しては、こちらをご確認ください。

◇ SALESFORCE ヘルプ＞ドキュメント＞ユーザの識別およびアクセス権の管理＞MFA からの除外ユーザの除外

ロードマップも細目に更新されているようなので、定期的な確認を忘れないようにしたいと思います。
◇ SALESFORCE ヘルプ＞多要素認証 (MFA) 適用ロードマップ

もし内容に誤りがありましたら、お知らせいただけますと幸いです。

【要確認】Winter’23 管理者が組織全体でMFAを有効化して、強制適用前の最終確認を行う