Seit Februar 2022 ist Multi-Faktor-Authentifizierung in Salesforce Pflicht. Ab 1. Juli 2026 wird sie nochmal verschärft: Für alle User mit Admin-Profil oder den Permissions Modify All Data, View All Data, Customize Application oder Author Apex reicht der Salesforce Authenticator nicht mehr. Salesforce verlangt dann phishing-resistant Methoden wie Security Keys oder Built-in Authenticators. Wer das verschläft, riskiert dass sich seine Admins am Stichtag nicht mehr einloggen.
In diesem Artikel zeige ich Ihnen beides: wie Sie MFA grundsätzlich einrichten und worauf Sie bei der Juli-2026-Verschärfung konkret achten müssen. Alles Schritt für Schritt, praxisorientiert und direkt anwendbar.
Update: Phishing-Resistant MFA-Pflicht ab Juli 2026
Salesforce setzt für alle Privileged Users eine verschärfte MFA-Pflicht durch. Sandbox-Orgs werden ab dem 22. Juni 2026 umgestellt, Produktions-Orgs ab dem 1. Juli 2026. Die Umstellung läuft gestaffelt über etwa 30 Tage. Ab diesem Zeitpunkt blockiert Salesforce Logins für betroffene User, bis sie eine phishing-resistant MFA-Methode registriert haben.
Wer ist betroffen?
Die Pflicht greift für alle User, die mindestens eine der folgenden Bedingungen erfüllen:
- Zugewiesen auf das Standard-Profil System Administrator
- Permission Modify All Data (direkt oder über Permission Set)
- Permission View All Data
- Permission Customize Application
- Permission Author Apex
Die Bedingungen gelten objekt-übergreifend und auch dann, wenn die Permissions über Permission Set Groups vererbt werden. Reguläre Sales- oder Service-User ohne diese Permissions sind nicht betroffen.
Welche Methoden gelten als phishing-resistant?
Salesforce klassifiziert MFA-Methoden in drei Stufen. Nur die phishing-resistant Stufe erfüllt die neuen Anforderungen für Privileged Users:
- Phishing-Resistant (akzeptiert): Security Keys nach WebAuthn-Standard (z.B. YubiKey), Built-in Authenticators (Touch ID, Face ID, Windows Hello), Passkeys.
- Standard MFA (NICHT mehr akzeptiert für Admins): Salesforce Authenticator App, TOTP-Apps wie Google Authenticator oder Microsoft Authenticator, Admin-generierte Temporary Verification Codes.
- Weak / Keine MFA: SMS, E-Mail, reine Passwort-Logins. Bereits jetzt nicht ausreichend.
Bei SSO-Logins prüft Salesforce die AMR/ACR-Signale des Identity Providers. Akzeptierte Werte sind unter anderem fido2, hwk, pki, x509. Wenn Ihr IdP keine phishing-resistant Signale sendet, werden die Admins trotz funktionierendem SSO zur Enrollment-Seite in Salesforce weitergeleitet.
Ihre Audit-Checkliste für die nächsten 30 Tage
- Privileged Users identifizieren: SOQL-Query auf User mit System-Administrator-Profile oder den vier Permissions. Liste exportieren.
- Bestehende MFA-Methoden prüfen: Wer nutzt aktuell Salesforce Authenticator oder TOTP? Diese User müssen umgestellt werden.
- Security Keys oder Built-in Authenticators in den Identity Verification Settings aktivieren. Optional Passwordless Login mit Passkeys einschalten.
- Bei SSO-Nutzung: Identity Provider so konfigurieren, dass phishing-resistant AMR/ACR-Signale gesendet werden. Anbieter wie Okta, Azure AD und Ping Identity unterstützen das.
- Test in einer Sandbox: MFA für einen Test-Admin auf phishing-resistant umstellen, Login-Flow durchspielen, Recovery-Pfad dokumentieren.
- Permission "Waive Multi-Factor Authentication for Exempt Users" prüfen: ab 1. Juli wirkt sie nicht mehr automatisch. Für legitime Ausnahmen wie automatisierte Tests müssen Sie Salesforce Support kontaktieren.
- Privileged Users mindestens zwei Wochen vor dem Enforcement-Datum informieren und proaktiv registrieren lassen.
Die offizielle Salesforce-Quelle mit allen Details (akzeptierte AMR/ACR-Werte, Mobile-SDK-Konsequenzen, OAuth-Flow-Auswirkungen) finden Sie im Salesforce Knowledge Article zur Phishing-Resistant MFA Enforcement.
Warum ist MFA so wichtig?
MFA schützt Salesforce-Accounts, indem sie über das Passwort hinaus einen zweiten Authentifizierungsfaktor verlangt – etwa eine App-Bestätigung oder ein Sicherheitstoken. Das reduziert das Risiko von Hacks erheblich, besonders bei Phishing-Angriffen oder schwachen Passwörtern. Stellen Sie sich vor: Ein kompromittiertes Passwort allein reicht nicht mehr aus, um Schaden anzurichten. Das macht MFA zur Grundlage moderner Sicherheit. Laut Salesforce-Statistiken sind Unternehmen ohne MFA bis zu 80 % anfälliger für Cyberangriffe. Ein klares Argument, hier nicht zu sparen.
Salesforce MFA: Optionen zur Implementierung
Salesforce bietet mehrere Wege, MFA umzusetzen. Hier ein Überblick über die gängigsten Möglichkeiten und ihre Stärken.
- Salesforce Authenticator App: Die hauseigene Lösung generiert Einmalcodes oder sendet Push-Benachrichtigungen zur Bestätigung. Sie ist einfach einzurichten und ideal für Nutzer, die eine nahtlose Integration wünschen. Sie finden sie im App Store oder bei Google Play – eine Anleitung zur Einrichtung gibt’s direkt in der Salesforce MFA-Dokumentation.
- Drittanbieter-Authentifikatoren: AApps wie Google Authenticator oder Microsoft Authenticator sind ebenfalls kompatibel. Sie eignen sich besonders, wenn Nutzer bereits mit diesen Tools vertraut sind. Wichtig: Stellen Sie sicher, dass die App die Time-based One-Time Passwords (TOTP) unterstützt.
- Single Sign-On (SSO): Wenn Ihr Unternehmen ein SSO-System wie Azure AD nutzt, können Sie MFA darüber steuern. Salesforce akzeptiert das, verlangt aber „High Assurance“-Richtlinien, falls MFA nicht nativ im SSO aktiviert ist. Das bietet zentrale Kontrolle und spart Zeit bei der Verwaltung.
Best Practices für die MFA-Einrichtung
Eine erfolgreiche Implementierung braucht mehr als Technik – sie erfordert Planung und Kommunikation. Hier die essenziellen Schritte.
1. Vermeidung von MFA-Umgehungen
Ein häufiges Problem: Nutzer umgehen MFA über ungesicherte Geräte oder alternative Zugänge. So halten Sie das in Schach:
- Zentrales SSO-System: Verwalten Sie interne und externe Nutzer in einem Identitätsmanagement wie Azure AD. Das sorgt für Einheitlichkeit und schließt Hintertüren.
- High Assurance aktivieren: Konfiguriere diese Richtlinie in Salesforce, um MFA auch bei externen Anbietern zu erzwingen. Das ist besonders bei Partnerportalen nützlich.
2. Schulung der Nutzer
Ohne Akzeptanz scheitert jede Sicherheitsmaßnahme. Setzen Sie hier an:
- Erklären Sie den Nutzen von MFA – etwa mit Beispielen wie „Schutz vor Datenklau“.
- Stellen Sie eine einfache Anleitung bereit, z. B. als PDF oder Video. Die Salesforce Authenticator-Anleitung ist ein guter Startpunkt.
- Bieten Sie ein kurzes Webinar an, um Fragen live zu klären.
3. Testen und Feedback einholen
Rollen Sie MFA zunächst in einer Sandbox aus. Testen Sie Szenarien wie:
- Logins mit verschiedenen Geräten.
- Reaktion auf vergessene Authentifikatoren.
Holen Sie Feedback von Pilotnutzern ein, bevor Sie den Schalter umlegen. Das zeigt Schwachstellen, bevor sie zum Problem werden.
Herausforderungen und Lösungsansätze
- Gastnutzer und MFA: Gästenutzer, etwa in Communities, sind tricky. Viele Unternehmen kämpfen hier mit der Umsetzung. Lösung: Integrieren Sie Gäste ins SSO-System mit eingeschränktem Zugriff. Alternativ können Sie spezielle Richtlinien für Gästenutzer definieren.
- App-Kompatibilität: Manche Drittanbieter-Apps hängen bei MFA hinterher. Das führt zu Frust, wenn Funktionen nicht greifen. Lösung: Setzen Sie auf die Salesforce Authenticator App, die volle Kompatibilität garantiert. Prüfen Sie bei älteren Apps, ob ein Update verfügbar ist, oder ersetze sie durch moderne Alternativen.
- Widerstand der Nutzer: „Zu kompliziert“ ist ein häufiger Einwand. Das lässt sich mit Geduld und guter Vorbereitung lösen. Praxistipp: Bieten Sie persönlichen Support für die ersten zwei Wochen nach dem Rollout an. Ein Ansprechpartner macht den Unterschied.
Häufige Fragen
Warum verlangt Salesforce Multi-Faktor-Authentifizierung?
Salesforce hat MFA seit Februar 2022 für alle Nutzer verpflichtend gemacht, um Konten vor Phishing und Credential-Diebstahl zu schützen. Passwort allein reicht nicht mehr, ein zweiter Faktor erschwert unbefugten Zugriff erheblich.
Welche Authentifizierungsmethoden unterstützt Salesforce für MFA?
Salesforce unterstützt die Salesforce Authenticator App, TOTP-Apps wie Google Authenticator oder Authy sowie Hardware-Sicherheitskeys. SMS-basiertes OTP wird von Salesforce nicht als akzeptable MFA-Methode anerkannt.
Was passiert, wenn ein Nutzer sein MFA-Gerät verliert?
Admins können die MFA-Verifizierung für betroffene Nutzer temporaer aufheben, um den Zugang wiederherzustellen. Danach sollte der Nutzer sofort ein neues Geraet einrichten. Es empfiehlt sich, diesen Prozess im Vorfeld zu dokumentieren.
Kann MFA für bestimmte Nutzer oder Gruppen deaktiviert werden?
Grundsätzlich nicht ohne Weiteres, da es sich um eine vertragliche Anforderung von Salesforce handelt. In Ausnahmen wie API-only Nutzern gibt es aber Sonderregelungen, da diese sich nicht interaktiv anmelden.
Wie lange dauert die MFA-Einrichtung für eine komplette Org?
Für eine Org mit bis zu 50 Nutzern ist die Konfiguration meist in einem halben Tag erledigt. Bei größeren Orgs mit vielen Profilen und externen Systemen sollten Sie mehr Zeit für Tests und Rollout-Kommunikation einplanen.
Wer gilt als "Privileged User" für die Juli-2026-Pflicht?
Jeder User mit dem Standard-Profil System Administrator oder mit einer der Permissions Modify All Data, View All Data, Customize Application, Author Apex. Die Permission kann direkt vergeben sein oder über ein Permission Set bzw. eine Permission Set Group geerbt werden.
Was passiert, wenn sich am 1. Juli kein Admin mehr einloggen kann?
Salesforce Support kann einen einmaligen Login-Code ausstellen. Das ist aber ein Notfall-Pfad, kein Standard-Recovery. Stellen Sie sicher, dass mindestens zwei Admins ihre phishing-resistant MFA spätestens zwei Wochen vor dem Stichtag registriert haben.
Gilt die Pflicht auch für SSO-Logins?
Ja. Salesforce prüft die AMR/ACR-Signale des Identity Providers. Sendet der IdP keine phishing-resistant Signale (z.B. nur Passwort + SMS), werden die Admins trotz SSO zur Salesforce-MFA-Registrierung umgeleitet. Sprechen Sie früh mit Ihrem IdP-Admin.
Was wird aus der "Waive MFA"-Permission?
Sie wirkt ab 1. Juli 2026 nicht mehr automatisch. User mit dieser Permission werden trotzdem zur MFA-Registrierung aufgefordert. Für legitime Ausnahmefälle wie automatisierte Testtools müssen Sie Salesforce Support kontaktieren, um die Ausnahme manuell freigeben zu lassen.
Schritt-für-Schritt-Anleitung: MFA einrichten
Der komplette MFA-Rollout in sieben Schritten auf einer Seite. Drucken Sie die Anleitung aus und geben Sie sie Ihrem Team, damit der Rollout reibungslos läuft.
MFA in Salesforce einzuführen ist kein Hexenwerk, sondern eine Chance, Sicherheit und Nutzerfreundlichkeit zu vereinen. Ob MFA-Rollout, SSO-Integration oder ein ganzheitliches Security-Konzept für Ihre Salesforce-Org: Ich begleite Sie von der Planung über die technische Umsetzung bis zur Schulung Ihrer User, damit Compliance und Usability Hand in Hand gehen.
