MSPのベストプラクティス
Keeper MSPのベストプラクティスと一般的な推奨事項
rootノード内には、Keeper管理コンソールへの完全な管理者アクセス権限を持つ2人以上のユーザーを保持することが非常に重要です。1人の管理者がパスワードの紛失、SSOサービスエラー、強制ポリシー設定などが原因で管理インターフェースに入れない場合、回復対応するには、2つ目のアカウントが必要になります。ゼロ知識暗号化モデルのため、Keeperのサポートスタッフメンバーは、MSPのすべての管理者がログインできない状況を修正できません。
特定の構成では、MCテナント内に管理者アカウントが必要です。たとえば、SSO Connect CloudおよびKeeper Bridgeサービスでは、マネージド企業内に管理者権限を持つアカウントが必要です。このアカウントは、プロビジョニング方法をMCインスタンスにバインドするために必要です。
ロールは必要な数だけ作成し、機能に合わせて名前を付けることをお勧めします。たとえば、オフラインアクセスが必要な外交営業スタッフのチームの場合を紹介します。ロール名は、「外交営業スタッフ」より、「オフラインアクセスを有効化」のほうがはるかに適しています。こうすることで、6か月後にアクセス問題が発生した場合、ロールの対象者とは異なり、各ロールの内容を簡単に区別することができます。
同じユーザーやチームに複数のロールを積み重ねることは一般的な方法です。ルールの重ね合わせは、常に最も厳し い/厳格な結果となることにご注意ください。
新しくプロビジョニングしたユーザーをホストするには、デフォルトのロールを作成することをお勧めします。これは、ジャストインタイムの高度なプロビジョニング方法を使用する場合、特に便利です。これにより、新しいユーザーをプロビジョニングした際に適用される強制設定を正確に把握できます。一般的なデフォルト設定には、マスターパスワードの複雑さや二要素認証の要件などが含まれます。これにより、初回ログイン時、すべてのユーザーボルトが保護されていることを保証します。
マネージド企業(MC)やユーザー数が増加すると、アクセス制御の管理オーバーヘッドも増加します。このため、クライアントベース全体で使用する標準化したロールセットを作成しておくことをお勧めします。これにより、管理先のMCに関係なく、企業全体で、一貫的なアクセス管理を保証できます。
アカウント移管はオプション機能で、Keeper管理者がKeeper導入の初期段階で設定する必要があります。アカウント移管は、移管を実行する権限を持つユーザー間で暗号鍵が共有されている状態に依存しているのがその理由です。鍵の交換はユーザーがボルトにログインしたときに発生し、Keeperのゼロ知識インフラストラクチャを支えています。ユーザーのアカウントが移管される前に、アカウント移管の設定を行う必要があります。
移管が成功するには、移管操作の前にユーザーが1回以上ログインしている必要があります。ユーザーが退社すると、適切な管理上の許可を持つ管理者はユーザーのボルトを他のユーザーに移管できます。このアカウント移管機能は、安全なロールベースの階層を維持しながら、ユーザーのボルト内に存在するコンテンツの所有権を得るための重要かつ強力な方法です。
ボルトバージョン16.8より前は、MSPユーザーはマ ネージド企業内の個人とのみ、記録やフォルダを共有できました。ボルトバージョン16.8以降では、MSPボルトのフォルダを、マネージド企業内のチーム全体に直接共有することができます。
たとえば、MSPボルトから、「クライアント」のように、rootレベルでプライベートフォルダを作成することをお勧めします。 プライベートフォルダ内に、共有するマネージド企業のすべての共有フォルダを追加します。 各共有フォルダ内にサブフォルダを作成して、情報を分類したりカテゴリ分けすることができます。
MSPボルトのこのような構造の例を以下に示します。

推奨されるMSPボルトの構造
フォルダをMSPユーザーまたはマネージド企業と直接(必要に応じて)共有するには、共有フォルダの「編集」画面で、「ユーザー」タブをクリックします。 「メールアドレスまたはチーム名」フィールドで、MSPテナント、またはマネージド企業のテナントからチームを選択できます。

マネージド企業のチームと共有する