重磅！ 2026 Salesforce 强制 MFA：提前部署，规避登录风险！

2026-05-26

如果您最近收到了 Salesforce 发来的“需立即处理”的安全邮件，却不清楚具体情况，本文将为您讲解其中两项最重要的通知内容：Salesforce 将对所有用户强制启用多因素认证（MFA），并于2026 年 6 月正式开始强制执行。

这项要求已不再是建议措施。若用户未在截止日期前完成 MFA 注册，后续在登录 Salesforce 时可能会被频繁要求进行身份验证，情况严重者甚至无法登录系统。这类登录障碍可能直接导致业务停摆。下文将完整说明政策出台原因、您需要完成的准备工作，以及关键时间节点。

多因素认证（MFA）又要调整了？

MFA 的变更再次出现，而且这次严格得多。您可能还记得，Salesforce 最早在 2022 年就要求启用 MFA。当时的重点是“要求”——这是一项合同义务。为了帮助客户满足 MFA 要求，Salesforce 已为那些直接使用用户名和密码登录的用户自动启用并强制执行了 MFA。

背后原因其实很简单。众所周知，自去年以来网络安全泄露事件频发，账号凭证盗取的成本变得更低、作案规模也空前扩大。依托人工智能的钓鱼攻击可同时针对数千名用户实施精准诱骗，攻击者只需盗取一组普通的用户名和密码，就能入侵您的组织、窃取内部数据，甚至泄露客户隐私信息。

MFA 增加了第二道验证环节，专门用来拦截凭证（账号密码）被盗的风险，这样一来，即使有人窃取了密码，没有第二重验证因素也无法登录。Salesforce 还记录了一些活跃的攻击活动，其中不法分子利用网络钓鱼绕过单点登录（SSO）并窃取会话令牌。而 MFA 正是为了阻止这类攻击而设计的。

今年到底有哪些政策变动？

本次将有两项相关但相互独立的 MFA 正式要求生效，截止时间均为2026 年 6 月。

1. 全员强制启用多因素认证（MFA）

自 2026 年 6 月起，Salesforce 计划对所有员工许可用户强制执行 MFA。

MFA 可通过两种方式强制执行：直接在 Salesforce 平台启用，或通过单点登录（SSO）服务商配置。如果您的企业组织已使用 SSO（如Okta、Azure AD、Ping、ADFS 等），并不代表可以豁免，只需确保在身份提供商（IdP）层面开启 MFA 即可。无论采用哪种方式，都必须完成配置落地。

重要提示：根据 Salesforce 官方 MFA 常见问题说明，通过邮件、短信、电话接收的一次性验证码，均不满足 MFA 合规要求，该规则同时适用于 Salesforce 原生 MFA 及第三方 SSO 登录场景。请务必为用户配置身份验证器App或其他官方支持的认证方式（下文详述）。

Salesforce 同时明确：即便登录时已开启了 MFA，用户执行部分高敏感登录后操作时，仍会触发进阶二次认证；也就是说，用户在会话过程中进行特定高危操作时，会被要求再次完成身份验证。