【Salesforce】Sandboxの多要素認証は必要？？

本番環境では多要素認証が必須

皆様ご存知の通り、本番環境で多要素認証が必須になっています。
毎日のようにサイバー犯罪のニュースが飛び交う現在では、商談や顧客の大事な情報が登録されているSalesforceには必要な対応だと思っています。

ただ、ユーザーに「多要素認証」の仕組みやログイン方法を浸透させるのはなかなか大変でした。
私はリリーススケジュールが出てすぐにユーザーに説明会を開いてスマートフォンにて「Salesforce Authenticatorアプリ」からログイン出来るようにしてもらいました。
社用のスマートフォンを持っていない人にはPCから多要素認証が出来るようにしました。
現在は、シングルサインオンのサービスを導入し、アプリを使わずにログイン出来るようにしました。

本番環境には必須！なのは理解できますが、Sandboxは必要なのかな？とSandboxで試しにこれを作ってみてほしい！と依頼を受けたときにふと思いました。

公式では半分推奨？

公式のヘルプページを確認すると、本番環境と同様のデータが登録されているSandboxには推奨がされているようです。

Help And Training Community

Sandboxでは新しい項目やフローを追加し、正常かどうかテストデータで試すのが自社の一般的な使い方です。
本番データをコピーしてクレンジング作業をしたことがありますが、よっぽどでない限りそんな作業は起こらないかなと思います。

Sandboxに初めてログインするときは、アプリへの連携設定が初めからになってしまうので、アプリの二語を入力してどうのうというのをやらなくてはいけません。
私は慣れているのでぱぱっとできますが、他のユーザーは戸惑ってしまいます。。
連携設定をするたびにアプリに接続先が増えてしまいますし、何よりテスト環境を作る毎に設定もし直すのは大変です。

本番環境のデータを使うときは多要素認証

そんなわけで、自社ではどうするか考えましたが、やはり公式の記載も含めて「本番環境のデータを使うSandboxは多要素認証」「テストデータだけのSandboxは多要素認証なし」という結論になりました。

Sandboxを作成し、自分が最初にログインするときは上記に書いた通りにアプリ連携をしないといけないんですが…
ログインしたあとに「ユーザインターフェースログインの多要素認証」権限セットから割り当てユーザーを外す&プロファイルの「ログインに必要なセッションセキュリティレベル」をなしにすると次からログイン時に多要素認証が求められることはありませんでした。

そのため、最近Sandboxを作成して一番最初に行うことは上記の作業になりました。

Sandbox→本番環境に移行するときに誤ってこの権限セットやプロファイル情報を移行セット内に入れないように注意しないといけないですね…。

まとめ

本番環境のデータの使用有無でSandboxにて多要素認証を行うか判断するのが一般的な考え方なのかな？と思いました。
Sandbox毎にアプリ連携の設定をするのは大変なので、データ有無で臨機応変に外してしまっていいのかなと思います。
自分は権限セットとプロファイルから外しちゃいましたが、他に良い方法や考え方があれば教えてくださると嬉しいです！