重磅！ 2026 Salesforce 强制 MFA：提前部署，规避登录风险！

2026-05-26

如果您最近收到了 Salesforce 发来的“需立即处理”的安全邮件，却不清楚具体情况，本文将为您讲解其中两项最重要的通知内容：Salesforce 将对所有用户强制启用多因素认证（MFA），并于2026 年 6 月正式开始强制执行。

这项要求已不再是建议措施。若用户未在截止日期前完成 MFA 注册，后续在登录 Salesforce 时可能会被频繁要求进行身份验证，情况严重者甚至无法登录系统。这类登录障碍可能直接导致业务停摆。下文将完整说明政策出台原因、您需要完成的准备工作，以及关键时间节点。

多因素认证（MFA）又要调整了？

MFA 的变更再次出现，而且这次严格得多。您可能还记得，Salesforce 最早在 2022 年就要求启用 MFA。当时的重点是“要求”——这是一项合同义务。为了帮助客户满足 MFA 要求，Salesforce 已为那些直接使用用户名和密码登录的用户自动启用并强制执行了 MFA。

背后原因其实很简单。众所周知，自去年以来网络安全泄露事件频发，账号凭证盗取的成本变得更低、作案规模也空前扩大。依托人工智能的钓鱼攻击可同时针对数千名用户实施精准诱骗，攻击者只需盗取一组普通的用户名和密码，就能入侵您的组织、窃取内部数据，甚至泄露客户隐私信息。

MFA 增加了第二道验证环节，专门用来拦截凭证（账号密码）被盗的风险，这样一来，即使有人窃取了密码，没有第二重验证因素也无法登录。Salesforce 还记录了一些活跃的攻击活动，其中不法分子利用网络钓鱼绕过单点登录（SSO）并窃取会话令牌。而 MFA 正是为了阻止这类攻击而设计的。

今年到底有哪些政策变动？

本次将有两项相关但相互独立的 MFA 正式要求生效，截止时间均为2026 年 6 月。

1. 全员强制启用多因素认证（MFA）

自 2026 年 6 月起，Salesforce 计划对所有员工许可用户强制执行 MFA。

MFA 可通过两种方式强制执行：直接在 Salesforce 平台启用，或通过单点登录（SSO）服务商配置。如果您的企业组织已使用 SSO（如Okta、Azure AD、Ping、ADFS 等），并不代表可以豁免，只需确保在身份提供商（IdP）层面开启 MFA 即可。无论采用哪种方式，都必须完成配置落地。

重要提示：根据 Salesforce 官方 MFA 常见问题说明，通过邮件、短信、电话接收的一次性验证码，均不满足 MFA 合规要求，该规则同时适用于 Salesforce 原生 MFA 及第三方 SSO 登录场景。请务必为用户配置身份验证器App或其他官方支持的认证方式（下文详述）。

Salesforce 同时明确：即便登录时已开启了 MFA，用户执行部分高敏感登录后操作时，仍会触发进阶二次认证；也就是说，用户在会话过程中进行特定高危操作时，会被要求再次完成身份验证。

2. 管理员需启用防钓鱼MFA

我们都知道，管理员用户权限极高，因此标准的 MFA 对于管理员账号来说安全性还不够。Salesforce 要求对任何拥有“系统管理员”配置文件或同等权限集的用户，必须采取更高的安全标准，即防钓鱼MFA。

两者的区别在于验证过程是否难以被拦截。常规的 TOTP 应用（如 Google Authenticator）和推送通知，可能通过“MFA 疲劳攻击”等技术被拦截。这种攻击方式是指，攻击者不断批量推送认证请求，直至用户疏于分辨、误点“批准”。而防钓鱼的方法采用加密校验机制，完全无法被中间人拦截窃取。

Salesforce 指出，内置的身份验证器或安全密钥属于防钓鱼 MFA。内置验证器的例子包括苹果的 Touch ID（指纹识别）和 Windows Hello；而安全密钥则是指任何支持通用第二因素（U2F）和 WebAuthn（FIDO2）标准的硬件或物理密钥，比如 YubiKey 或 Google Titan。

请注意，TOTP 应用（如 Google Authenticator、Authy、Microsoft Authenticator）以及基于推送通知的认证方式，均不符合管理员账号的合规要求。

如何做好准备？

1. 核查当前多因素认证（MFA）落地情况

首要工作是摸清企业组织当前的合规现状。Salesforce 提供免费的MFA 合规检查工具，只需回答少量问题，就能清晰了解已完成的配置项以及需要升级的部分。

这些问题主要用于核查当前启用的 MFA 验证方式是否合规。如果您对此尚不明确，可优先使用该工具开展自查。