MSPのベストプラクティス
Keeper MSPのベストプラクティスと一般的な推奨事項
rootノード内には、Keeper管理コンソールへの完全な管理者アクセス権限を持つ2人以上のユーザーを保持することが非常に重要です。1人の管理者がパスワードの紛失、SSOサービスエラー、強制ポリシー設定などが原因で管理インターフェースに入れない場合、回復対応するには、2つ目のアカウントが必要になります。ゼロ知識暗号化モデルのため、Keeperのサポートスタッフメンバーは、MSPのすべての管理者がログインできない状況を修正できません。
特定の構成では、MCテナント内に管理者アカウントが必要です。たとえば、SSO Connect CloudおよびKeeper Bridgeサービスでは、マネージド企業内に管理者権限を持つアカウントが必要です。このアカウントは、プロビジョニング方法をMCインスタンスにバインドするために必要です。
ロールは必要な数だけ作成し、機能に合わせて名前を付けることをお勧めします。たとえば、オフラインアクセスが必要な外交営業スタッフのチームの場合を紹介します。ロール名は、「外交営業スタッフ」より、「オフラインアクセスを有効化」のほうがはるかに適しています。こうすることで、6か月後にアクセス問題が発生した場合、ロールの対象者とは異なり、各ロールの内容を簡単に区別することができます。
同じユーザーやチームに複数のロールを積み重ねることは一般的な方法です。ルールの重ね合わせは、常に最も厳し��い/厳格な結果となることにご注意ください。
新しくプロビジョニングしたユーザーをホストするには、デフォルトのロールを作成することをお勧めします。これは、ジャストインタイムの高度なプロビジョニング方法を使用する場合、特に便利です。これにより、新しいユーザーをプロビジョニングした際に適用される強制設定を正確に把握できます。一般的なデフォルト設定には、マスターパスワードの複雑さや二要素認証の要件などが含まれます。これにより、初回ログイン時、すべてのユーザーボルトが保護されていることを保証します。
マネージド企業(MC)やユーザー数が増加すると、アクセス制御の管理オーバーヘッドも増加します。このため、クライアントベース全体で使用する標準化したロールセットを作成しておくことをお勧めします。これにより、管理先のMCに関係なく、企業全体で、一貫的なアクセス管理を保証できます。
アカウント移管はオプション機能で、Keeper管理者がKeeper導入の初期段階で設定する必要があります。アカウント移管は、移管を実行する権限を持つユーザー間で暗号鍵が共有されている状態に依存しているのがその理由です。鍵の交換はユーザーがボルトにログインしたときに発生し、Keeperのゼロ知識インフラストラクチャを支えています。ユーザーのアカウントが移管される前に、アカウント移管の設定を行う必要があります。
移管が成功するには、移管操作の前にユーザーが1回以上ログインしている必要があります。ユーザーが退社すると、適切な管理上の許可を持つ管理者はユーザーのボルトを他のユーザーに移管できます。このアカウント移管機能は、安全なロールベースの階層を維持しながら、ユーザーのボルト内に存在するコンテンツの所有権を得るための重要かつ強力な方法です。
ボルトバージョン16.8より前は、MSPユーザーはマ��ネージド企業内の個人とのみ、記録やフォルダを共有できました。ボルトバージョン16.8以降では、MSPボルトのフォルダを、マネージド企業内のチーム全体に直接共有することができます。
たとえば、MSPボルトから、「クライアント」のように、rootレベルでプライベートフォルダを作成することをお勧めします。 プライベートフォルダ内に、共有するマネージド企業のすべての共有フォルダを追加します。 各共有フォルダ内にサブフォルダを作成して、情報を分類したりカテゴリ分けすることができます。
MSPボルトのこのような構造の例を以下に示します。
推奨されるMSPボルトの構造
フォルダをMSPユーザーまたはマネージド企業と直接(必要に応じて)共有するには、共有フォルダの「編集」画面で、「ユーザー」タブをクリックします。 「メールアドレスまたはチーム名」フィールドで、MSPテナント、またはマネージド企業のテナントからチームを選択できます。
マネージド企業のチームと共有する
�推奨される強制ポリシーの一覧を以下に示します。以下の内容は、MSP技術者およびマネージド企業のエンドユーザーに適用されます。
二要素認証の使用必須 - 有効に切り替えます。「二要素認証」の下にあります
削除した記録を消去 - 「記録が完全に消去されるまでの日数」および「削除した記録が自動消去されるまでの日数」の両方を有効にします - これを365日に設定することをお勧めします。ページの下部の「ボルト機能」にあります。
ウェブアプリおよびデスクトップアプリの記録のエクスポートを抑止 - 有効に切り替えます。技術者が離職した場合、技術者がパスワードを持ち去るのを防止できます。「共有&アップロード」の下にあります。
アカウント移管 - 有効に切り替えます(ロールに関係なくすべてのユーザーに使用することが非常に重要で推奨されます)。 「アカウント移管」の下にあります。
MSPとして、ボルトの移管を有効化することが重要です。そうしない場合、ユーザーがアカウントのマスターパスワードやアカウントの回復に関する質問を忘れた場合、ユーザーはプラットフォームからロックアウトされ、ボルトのアクセス権を失う危険があります。
MSP管理コンソール内で作成可能な推奨されるレポートとアラートの一覧を以下に示します。
- (レポート)マネージド企業の変更:
- 選択するイベントタイプ:
- 「MSP」の下で、すべて選択します。目的の時間範囲を選択します。保存をクリックします。
- (レポート)管理者アクティビティ:
- 「ユーザー」の下で、すべての管理者を選択します。
- 選択するイベントタイプ:
- 「セキュリティ」の配下: 二要素認証が無効化されました、ユーザーが作成されました、ユーザーが招待されました、ボルトが移転されました、ユーザーがロールへ追加されました。
- 「ポリシー変更」の配下: 作成されたノード、削除されたノード、作成されたチーム、削除されたチーム、レポートを作成しました、レポートを削除しました、作成されたアラート、削除されたアラート。
- 「一般的な使用方法」の配下: ごみ箱が空にされました、記録がインポートされました、記録がエクスポートされました。
- 「MSP」の配下: 増加した座席数、減らした座席数、一時停止したマネージド企業、削除したマネージド企業。
- 目的の時間範囲を選択します。保存をクリックします。
- (アラート)BreachWatchアラート((Alert) BreachWatch Alerts):
- 選択するイベントタイプ:
- 「BreachWatch」の配下: BreachWatchが高リスク記録パスワードを検知/ユーザーは高リスク記録パスワードの検知を無視/ユーザーは高リスク記録パスワードの検知を無視。
- 「属性」の下で、「メールアドレス」を選択し、すべて選択します。
- 希望するアラート頻度を選択します(各イベント発生時を推奨します)。このアラートに他の受取人を追加する場合、「受取人」を選択し、「受取人を追加」をクリックします。保存をクリックします。
- (アラート)ブルートフォース攻撃のウォッチ((Alert) Brute Force Attack Watch):
- 選択するイベントタイプ: 「セキュリティ」の配下: コンソールログインが失敗しました
- 「ログインID」の下で、「ログインしました」を選択します。「属性」の下で、「メールアドレス」を選択し、すべて選択します。
- 「アラート頻度」の配下で、イベント数を5回発生ごとに設定します。このアラートに他の受信者を追加する場合、「受取人」を選択し「受取人を追加」をクリックします。「保存」をクリックします。
- (アラート)一時停止した会社((Alert) Paused Companies)
- 選択するイベントタイプ:
- 「MSP」の下で、「一時停止したマネージド企業」を選択し、「属性」の下で「メールアドレス」を選択し、すべて選択します。希望するアラート頻度を選択します(各イベント発生時を推奨します)。このアラートに他の受信者を追加する場合、「受取人」を選択し、「受取人を追加」をクリックします。保存��をクリックします。
MCがARAMを含むプランに参加している場合に限り(Business PlusおよびEnterprise Plusライセンスのみ)、必要に応じて、マネージド企業レベルで、同じレポートおよびアラートを設定できます。
Last modified 4mo ago