MSPのベストプラクティス
Keeper MSPのベストプラクティスと一般的な推奨事項
概要
本ページでは、Keeper MSPテナントのセットアップおよび構成に関するベストプラクティスをご紹介します。
管理アクセス
MSP
rootノード内には、Keeper管理コンソールへの完全な管理者アクセス権限を持つ2人以上のユーザーを保持することが非常に重要です。1人の管理者がパスワードの紛失、SSOサービスエラー、強制適用ポリシー設定などが原因で管理インターフェースに入れない場合、回復対応するには、2つ目のアカウントが必要になります。ゼロ知識暗号化モデルのため、Keeperのサポートスタッフメンバーは、MSPのすべての管理者がログインできない状況を修正できません。
クライアント (管理対象企業)
特定の構成では、MCテナント内に管理者アカウントが必要です。たとえば、クラウドSSOコネクトおよびKeeperブリッジサービスでは、管理対象企業内に管理者権限を持つアカウントが必要です。このアカウントは、プロビジョニング方法を管理対象企業のインスタンスにバインドするために必要です。
ロール
命名
ロールは必要な数だけ作成し、機能に合わせて名前を付けることをお勧めします。たとえば、オフラインアクセスが必要な外交営業スタッフのチームの場合を紹介します。ロール名は、「外交営業スタッフ」より、「オフラインアクセスを有効化」のほうがはるかに適しています。こうすることで、6か月後にアクセス問題が発生した場合、ロールの対象者とは異なり、各ロールの内容を簡単に区別することができます。
ロールの積み重ね
同じユーザーやチームに複数のロールを積み重ねることは一般的な方法です。ルールの重ね合わせは、常に最も厳しい/厳格な結果となることにご注意ください。
デフォルトロール
新しくプロビジョニングしたユーザーをホストするには、デフォルトのロールを作成することをお勧めします。これは、ジャストインタイムの高度なプロビジョニング方法を使用する場合、特に便利です。これにより、新しいユーザーをプロビジョニングした際に適用される強制設定を正確に把握できます。一般的なデフォルト設定には、マスターパスワードの複雑さや二要素認証の要件などが含まれます。これにより、初回ログイン時、すべてのユーザーボルトが保護されていることを保証します。
ロールテンプレート
管理対象企業やユーザー数が増加すると、アクセス制御の管理オーバーヘッドも増加します。このため、クライアントベース全体で使用する標準化したロールセットを作成しておくことをお勧めします。これにより、管理先の管理対象企業に関係なく、企業全体で一貫的なアクセス管理を保証できます。
アカウント移管
アカウント移管はオプション機能で、Keeper管理者がKeeper導入の初期段階で設定する必要があります。アカウント移管は、移管を実行する権限を持つユーザー間で暗号鍵が共有されている状態に依存しているのがその理由です。鍵の交換はユーザーがボルトにログインしたときに発生し、Keeperのゼロ知識インフラストラクチャを支えています。ユーザーのアカウントが移管される前に、アカウント移管の設定を行う必要があります。
移管が成功するには、移管操作の前にユーザーが1回以上ログインしている必要があります。ユーザーが退社すると、適切な管理上の許可を持つ管理者はユーザーのボルトを他のユーザーに移管できます。このアカウント移管機能は、安全なロールベースの階層を維持しながら、ユーザーのボルト内に存在するコンテンツの所有権を得るための重要かつ強力な方法です。
アカウント移管の詳細についてはこちらのページをご参照ください。
チームの共有とフォルダの共有
ボルトバージョン16.8より前は、MSPユーザーは管理対象企業内の個人とのみ、レコードやフォルダを共有できました。ボルトバージョン16.8以降では、MSPボルトのフォルダを、管理対象企業内のチーム全体に直接共有することができます。
たとえば、MSPボルトから、「クライアント」のように、rootレベルでプライベートフォルダを作成することをお勧めします。 プライベートフォルダ内に、共有する管理対象企業のすべての共有フォルダを追加します。 各共有フォルダ内にサブフォルダを作成して、情報を分類したりカテゴリ分けすることができます。
MSPボルトのこのような構造の例を以下に示します。
フォルダをMSPユーザーまたは管理対象企業と直接 (必要に応じて) 共有するには、共有フォルダの「編集」画面で、「ユーザー」タブをクリックします。 「メールアドレスまたはチーム名」フィールドで、MSPテナント、または管理対象企業のテナントからチームを選択できます。
強制適用ポリシー
以下は推奨される強制適用ポリシーです。以下の内容は、MSP技術者および管理対象企業のエンドユーザーに適用されます。
二要素認証の使用必須 - 有効に切り替えます。「二要素認証」の下にあります
削除したレコードを消去 - 「レコードが完全に消去されるまでの日数」および「削除したレコードが自動消去されるまでの日数」の両方を有効にします - これを365日に設定することをお勧めします。ページの下部の「ボルト機能」にあります。
ウェブアプリおよびデスクトップアプリのレコードのエクスポートを抑止 - 有効に切り替えます。技術者が離職した場合、技術者がパスワードを持ち去るのを防止できます。「共有&アップロード」の下にあります。
アカウント移管 - 有効に切り替えます (ロールに関係なくすべてのユーザーに使用することが非常に重要で推奨されます)。「アカウント移管」の下にあります。
MSPとして、アカウント移管ポリシーを有効化することが重要です。有効にしない場合、ユーザーがアカウントのマスターパスワードやアカウント復元に関する質問を忘れた場合、ユーザーはプラットフォームからロックアウトされ、ボルトへアクセスを失う危険があります。
ロールベースの強制ポリシーの詳細な説明は、こちらください。
高度なレポートとアラート (ARAM)
MSP管理コンソール内で作成可能な推奨されるレポートとアラートの一覧を以下に示します。
(レポート) 管理対象企業の変更
選択するイベントタイプ
「MSP」の下で、すべて選択します。目的の時間範囲を選択します。保存をクリックします。
(レポート) 管理者アクティビティ
ユーザーの下で、すべての管理者を選択します。
選択するイベントタイプ
「セキュリティ」で、二要素を無効にし、ユーザーの作成、ユーザーの招待、ボルトの転送、ユーザーのロールへの追加を行いました。
「ポリシー変更」の下で、作成されたノード、削除されたノード、作成されたチーム、削除されたチーム、作成されたレポート、削除されたレポート、作成されたアラート、削除されたアラート 「一般的な使用法」の下、空になったゴミ箱、インポートされたレコード、エクスポートされたレコード
「MSP」の下で、シート数の増加、シート数の減少、プランの変更、管理対象企業の一時停止、管理対象企業の削除、希望の時間範囲を選択します。 「保存」をクリックします。
(アラート) BreachWatchアラート
選択するイベントの種類
「BreachWatch」では、BreachWatchが高リスクのレコードのパスワードを検出し、ユーザーは検出された高リスクのパスワードを無視しました。
「属性」で「メールアドレス」を選択し、すべてを選択します。
希望するアラート頻度を選択します (発生するたびに推奨されます)。このアラートに他の受信者を追加したい場合は、「受取人」を選択し、「追加」をクリックします。 「保存」をクリックします。
(アラート) ブルートフォース攻撃のウォッチ
選択するイベントタイプ
「セキュリティ」の下、コンソールログインが失敗しました
「ログインID」の下で、「ログイン失敗」を選択します。「属性」の下で、「メールアドレス」を選択し、すべてを選択します。
「アラート頻度」の下で、「イベント数 > 5回発生ごと」に設定します。このアラートに他の受信者を追加する場合、「受取人」を選択し「受取人を追加」をクリックします。「保存」をクリックします。
(アラート) 一時停止した会社
選択するイベントタイプ
「MSP」の下で、「一時停止した管理対象企業」を選択し、「属性」の下で「メールアドレス」を選択し、すべて選択します。希望するアラート頻度を選択します (各イベント発生時を推奨します)。このアラートに他の受信者を追加する場合、「受取人」を選択し、「受取人を追加」をクリックします。「保存」をクリックします。
Keeperのイベントレポートおよびアラートの詳細については、こちらのページをご参照ください。
Last updated