Ist MFA in Salesforce Pflicht?

Ja. Salesforce hat MFA per Vertragsbedingungen für alle Nutzer verpflichtend gemacht. Ab 2023 wird MFA in den meisten Editionen automatisch erzwungen. Ausnahmen gelten für API-Only-Nutzer und bestimmte Integrationen.

Welche MFA-Methoden unterstützt Salesforce?

Salesforce unterstützt die Salesforce Authenticator App, TOTP-Apps (Google Authenticator, Microsoft Authenticator), Hardware-Security-Keys (WebAuthn/FIDO2) sowie SSO mit MFA-fähigem Identity Provider (Okta, Azure AD). SMS-basiertes MFA ist nicht supported.

Kann ich MFA-Ausnahmen in Salesforce konfigurieren?

Ja, über Berechtigungssätze können einzelne Nutzer oder API-Integrationen vom MFA-Zwang ausgenommen werden. Für verbundene Apps (Connected Apps) gibt es eigene Einstellungen. Vollständige Ausnahmen müssen mit Salesforce abgestimmt werden.

MFA in Salesforce: Schritt-für-Schritt einrichten

Seit Februar 2022 ist die Multi-Faktor-Authentifizierung (MFA) ein verpflichtender Bestandteil der Salesforce-Sicherheitsrichtlinien. Für Admins und Berater bedeutet das: Es gilt, MFA nicht nur technisch einzurichten, sondern auch Nutzer effektiv darauf vorzubereiten – ohne Schlupflöcher zu lassen. In diesem Artikel zeige ich Ihnen, wie Sie MFA sinnvoll implementierst, welche Optionen Salesforce bietet und wie Sie typische Herausforderungen meisterst. Alles Schritt für Schritt, praxisorientiert und direkt anwendbar.

Warum ist MFA so wichtig?

MFA schützt Salesforce-Accounts, indem sie über das Passwort hinaus einen zweiten Authentifizierungsfaktor verlangt – etwa eine App-Bestätigung oder ein Sicherheitstoken. Das reduziert das Risiko von Hacks erheblich, besonders bei Phishing-Angriffen oder schwachen Passwörtern. Stell Ihnen vor: Ein kompromittiertes Passwort allein reicht nicht mehr aus, um Schaden anzurichten. Das macht MFA zur Grundlage moderner Sicherheit. Laut Salesforce-Statistiken sind Unternehmen ohne MFA bis zu 80 % anfälliger für Cyberangriffe. Ein klares Argument, hier nicht zu sparen.

Salesforce MFA: Optionen zur Implementierung

Salesforce bietet mehrere Wege, MFA umzusetzen. Hier ein Überblick über die gängigsten Möglichkeiten und ihre Stärken.

Salesforce Authenticator App: Die hauseigene Lösung generiert Einmalcodes oder sendet Push-Benachrichtigungen zur Bestätigung. Sie ist einfach einzurichten und ideal für Nutzer, die eine nahtlose Integration wünschen. Sie findest sie im App Store oder bei Google Play – eine Anleitung zur Einrichtung gibt’s direkt in der Salesforce MFA-Dokumentation.
Drittanbieter-Authentifikatoren: AApps wie Google Authenticator oder Microsoft Authenticator sind ebenfalls kompatibel. Sie eignen sich besonders, wenn Nutzer bereits mit diesen Tools vertraut sind. Wichtig: Stelle sicher, dass die App die Time-based One-Time Passwords (TOTP) unterstützt.
Single Sign-On (SSO): Wenn Ihr Unternehmen ein SSO-System wie Azure AD nutzt, können Sie MFA darüber steuern. Salesforce akzeptiert das, verlangt aber „High Assurance“-Richtlinien, falls MFA nicht nativ im SSO aktiviert ist. Das bietet zentrale Kontrolle und spart Zeit bei der Verwaltung.

💡

Teste die gewählte Methode mit einer kleinen Nutzergruppe, bevor Sie sie flächendeckend ausrollen. So vermeidest Sie Überraschungen wie inkompatible Geräte.

Best Practices für die MFA-Einrichtung

Eine erfolgreiche Implementierung braucht mehr als Technik – sie erfordert Planung und Kommunikation. Hier die essenziellen Schritte.

1. Vermeidung von MFA-Umgehungen

Ein häufiges Problem: Nutzer umgehen MFA über ungesicherte Geräte oder alternative Zugänge. So hältst Sie das in Schach:

Zentrales SSO-System: Verwalte interne und externe Nutzer in einem Identitätsmanagement wie Azure AD. Das sorgt für Einheitlichkeit und schließt Hintertüren.
High Assurance aktivieren: Konfiguriere diese Richtlinie in Salesforce, um MFA auch bei externen Anbietern zu erzwingen. Das ist besonders bei Partnerportalen nützlich.

2. Schulung der Nutzer

Ohne Akzeptanz scheitert jede Sicherheitsmaßnahme. Setze hier an:

Erkläre den Nutzen von MFA – etwa mit Beispielen wie „Schutz vor Datenklau“.
Stelle eine einfache Anleitung bereit, z. B. als PDF oder Video. Die Salesforce Authenticator-Anleitung ist ein guter Startpunkt.
Biete ein kurzes Webinar an, um Fragen live zu klären.

💡

Erstelle eine FAQ-Seite mit typischen Nutzerfragen wie „Was, wenn ich mein Handy verliere?“ Das spart Ihnen später Support-Aufwand.

3. Testen und Feedback einholen

Rolle MFA zunächst in einer Sandbox aus. Teste Szenarien wie:

Logins mit verschiedenen Geräten.
Reaktion auf vergessene Authentifikatoren.

Hole Feedback von Pilotnutzern ein, bevor Sie den Schalter umlegst. Das zeigt Schwachstellen, bevor sie zum Problem werden.

Herausforderungen und Lösungsansätze

Gastnutzer und MFA: Gästenutzer, etwa in Communities, sind tricky. Viele Unternehmen kämpfen hier mit der Umsetzung. Lösung: Integriere Gäste ins SSO-System mit eingeschränktem Zugriff. Alternativ können Sie spezielle Richtlinien für Gästenutzer definieren.
App-Kompatibilität: Manche Drittanbieter-Apps hängen bei MFA hinterher. Das führt zu Frust, wenn Funktionen nicht greifen. Lösung: Setze auf die Salesforce Authenticator App, die volle Kompatibilität garantiert. Prüfe bei älteren Apps, ob ein Update verfügbar ist, oder ersetze sie durch moderne Alternativen.
Widerstand der Nutzer: „Zu kompliziert“ ist ein häufiger Einwand. Das lässt sich mit Geduld und guter Vorbereitung lösen. Praxistipp: Biete persönlichen Support für die ersten zwei Wochen nach dem Rollout an. Ein Ansprechpartner macht den Unterschied.

Häufige Fragen

Warum verlangt Salesforce Multi-Faktor-Authentifizierung?

Salesforce hat MFA seit Februar 2022 für alle Nutzer verpflichtend gemacht, um Konten vor Phishing und Credential-Diebstahl zu schuetzen. Passwort allein reicht nicht mehr, ein zweiter Faktor erschwert unbefugten Zugriff erheblich.

Welche Authentifizierungsmethoden unterstuetzt Salesforce für MFA?

Salesforce unterstuetzt die Salesforce Authenticator App, TOTP-Apps wie Google Authenticator oder Authy sowie Hardware-Sicherheitskeys. SMS-basiertes OTP wird von Salesforce nicht als akzeptable MFA-Methode anerkannt.

Was passiert, wenn ein Nutzer sein MFA-Geraet verliert?

Admins können die MFA-Verifizierung für betroffene Nutzer temporaer aufheben, um den Zugang wiederherzustellen. Danach sollte der Nutzer sofort ein neues Geraet einrichten. Es empfiehlt sich, diesen Prozess im Vorfeld zu dokumentieren.

Kann MFA für bestimmte Nutzer oder Gruppen deaktiviert werden?

Grundsaetzlich nicht ohne Weiteres, da es sich um eine vertragliche Anforderung von Salesforce handelt. In Ausnahmen wie API-only Nutzern gibt es aber Sonderregelungen, da diese sich nicht interaktiv anmelden.

Wie lange dauert die MFA-Einrichtung für eine komplette Org?

Für eine Org mit bis zu 50 Nutzern ist die Konfiguration meist in einem halben Tag erledigt. Bei groesseren Orgs mit vielen Profilen und externen Systemen sollten Sie mehr Zeit für Tests und Rollout-Kommunikation einplanen.

Fazit

MFA in Salesforce einzuführen ist kein Hexenwerk, sondern eine Chance, Sicherheit und Nutzerfreundlichkeit zu vereinen. Mit den richtigen Tools – sei es die Authenticator App, SSO oder High Assurance – und einer klaren Strategie wird der Übergang zum Erfolg. Schulung und Testen sind hier der Schlüssel: So vermeidest Sie Chaos und baust Vertrauen auf. Starte noch heute und mache Ihre Organisation fit für die Zukunft.