基本

Keeperボルトとマスターパスワード

Keeperボルトにアクセスするには、各Keeperユーザー(MSP管理者、技術者、マネージド企業のユーザー)は、「マスターパスワード」を選択する必要があります。この固有のマスターパスワードは、Keeperのみに使用され、他のサービスには使用されません。 Keeperのゼロ知識セキュアアーキテクチャにより、管理者やMSP、Keeper従業員を含む誰もがユーザーのマスターパスワードにアクセスできません。

マスターパスワードは、Keeper管理者が適用するガイドラインに従う必要があり、ロール強制ポリシーを通してユーザーに適用されます。マスターパスワードを紛失した場合、ユーザーはゼロ知識回復プロセスを介してアカウントを回復することが可能で、これには秘密の質問と回答、Eメールによる検証、および二要素認証が含まれます。

マネージド企業の分離

Keeper MSPは、各マネージド企業間で、論理的および暗合化の両方のレイヤーで、厳密かつ安全なデータ分離を利用します。 これはMCの独立性、プライバシー、セキュリティにとって非常に重要です。また、複数のセキュリティおよびプライバシー標準のコンプライアンスを保持しており、SOC 2 Type IおよびIIのコントロール、ISO 27001、FINRA、およびHIPAAをカバーしています。 Keeperはゼロ知識セキュリティアーキテクチャを利用しており、各MCに固有の鍵導出関数の仕組みにより、各MCのデータは完全に分離され暗号化されています。したがって、Eメールや管理者、チーム、ロールやボルトのデータなどのMC関連のデータを誤って共有することはありません。

MSP技術者は、MSPのシステムのrootノードレベルに存在しており、各MCインスタンスを「起動(launch)」して管理できます。 MCで設定されたすべての「ローカル」管理者は、MSPのコンソールやMSPのすべてのデータに対して、このrootレベルのアクセス権は持っていません。MCは、自身の組織のアーキテクチャ内で厳密に分離されているため、別のMCの管理コンソールやボルトの記録を閲覧したりアクセスすることはできません。

地域別のSaaSプラットフォーム(米国、欧州、豪州、GovCloud、日本)

新規のMSPアカウントおよびマネージド企業アカウントは、米国、欧州、豪州、日本、US_GOVの地理的リージョンのいずれかで作成されます。MSPおよびマネージド企業のリージョンが選択され確立されると、環境を作成し直す以外、リージョンを変更することはできません。

MSPの主な補完機能

ライセンス割り当てと使用量の請求

KeeperのMSP使用量モデルを利用すると、MSPおよびマネージド企業(MC)は、ユーザーにライセンスを割り当てて、翌月の最初に使用したライセンスに対して支払うことができます。また、マネージド企業は、ユーザーを追加するだけで、独自のライセンスを割り当てることができます。

MSP管理者は、マネージド企業が割り当て可能なライセンスの最大数の制限をオプションで設定できます(デフォルトでは制限なし)。

セキュアアドオン機能の追加と削除

MSPは、社内利用に合わせてまたはマネージド企業に対して、いつでもセキュアアドオン機能を追加・削除することができます。MSPは毎月、「日次平均使用量サマリ」が提供され、毎月の請求金額の決定に使用する単位が記載されています。大部分のアドオン機能については、月末に、平均日次ライセンス数を使用して、毎月の請求が計算されます。

ロールおよび強制ポリシー

管理者は、ロールを作成し、各ロールのユーザーに対して多数の強制ポリシーを設定できます。プラットフォームを制限したり、強力なパスワードを要求するなど、強力なさまざまな強制を行うことができます。また、管理スタッフに対して、管理者権限を持つロールを付与することも可能で、チームやロールの管理、レポートの実行など、さまざまなアクションを許可できます。

ロールは階層「ツリー」構造で設定され、権限の可視化と継承は現在のノードの配下の「ノード」に限定されますが、兄弟ノードの横方向には設定されません。ノードは MSPレベルおよびMCレベルで利用できます。

管理上の許可

MSP管理者にはその他の権限も付与されており、さまざまな操作の承認を管理できます。

「会社の管理(Manage Companies)」権限が有効なMSP技術者は、ワンクリックでMCの管理コンソールを起動できます。これより、管理者権限を持つMSP技術者は、MCのKeeper管理コンソールを設定および管理できます。管理コンソールでは、MCのユーザー、ロール、チームを設定したり、強制ポリシーを構築したり、Keeperボルトを指定のユーザーにプロビジョニングしたり、詳細なイベントログおよびレポート機能を利用してパスワードセキュリティを監視することもできます。

デフォルトで存在する別の「MSPサブスクリプションマネージャ」ロールを使用すると、MSP管理者はMSP社内のサブスクリプションを管理できます。

チームと共有フォルダ

チームを作成すると、ユーザーグループはログイン認証情報を共有することが可能で、これは記録のコレクションとしてフォルダに格納されています。

MSPは、この機能を使用して、MCクライアントが使用するパスワードを設定することができます。

  1. 初期の「所有者」であるMSP技術者は、一連の各種記録、およびURL、ユーザー名、初期パスワードを設定することができます。

  2. このフォルダは、ユーザーまたはクライアントのユーザーと共有することができます。

  3. 完了したら、MSPはフォルダの所有権および可視性を放棄することで、MCのユーザーにそれらを効果的に移管することが可能で、その結果、完全にプライベートな状態となります。

フォルダ構造を作成する一般的な方法は、ボルトに「お客様」などのフォルダを作成することです。 フォルダ内には、任意の数の共有フォルダを追加できます。 各共有フォルダは技術者間またはチームと共有することができます。 以下に例を示します。

アカウント移管

アカウント移管機能は非常用の回復メカニズムを備えており、有効化すると、ユーザーが組織を離れる場合、ユーザーのボルトに保存されているすべての記録を緊急で回復できます。 管理者を指定してそのユーザーのボルトを回復することが可能で、重要なアクセス認証情報は失われず、ロックアウトを回避できます。

MSPレベルおよびMCレベルでも、アカウント移管を構成しておくことをお勧めします。移管されたボルトを受け取る管理者は、MCのローカル管理者である必要があり、MSPスタッフにはボルトを移管できません。

高度なレポートとアラート

Keeperの高度なレポートとアラートモジュール(Advanced Reporting and Alerts Module)(ARAM)は、90を超えるさまざまなイベントタイプのフィルタ表示およびリアルタイムアラートを備えており、これらはすべてユーザーレベルおよび管理者レベルの活動によってトリガされます。これらのイベントタイプは拡張されており、以下のようなMSP固有のオペレーションも含まれています。

リモートセッションでアプリ用KeeperFillを使用する

アプリ用KeeperFillは、ボルト内の情報にアクセスし、ネイティブアプリケーションまたはリモートセッションで入力するための便利なツールです。

最新バージョンのKeeper Desktopアプリをダウンロードすると、アプリ用KeeperFill をMacOSデバイスでもWindowsデバイスでも存分に活用できます。Keeper Desktopアプリにログインすると、同時にアプリ用KeeperFillにもログインすることになります(逆も同様) 。Keeper Desktopアプリを閉じることはできますが、実行状態は維持されるため、コンピュータのメニューバー(MacOS)やシステムトレイ(Windows)から通常のKeeperアイコンを使用してアクセスできます。

コマンドラインSDK

MSP固有のコマンド

Keeper Commanderを使用すると、MSP技術者はMSPおよびマネージド企業のコンテキストを切り替えて、社内および顧客の環境の両方を管理することができます。 MSP固有のコマンドは次のとおりです。

  • msp-down: MSPの最新データをダウンロードします

  • msp-info: MSPおよびMCの構成を表示します(switch-to-mcのMC識別子を含む)

  • msp-license: 現在のライセンス割り当てを表示します

  • msp-license-report: ライセンス割り当て履歴レポートを実行します

  • switch-to-mc: マネージド企業のコンテキストに切り替えます

  • switch-to-msp: MSPのコンテキストに戻します

  • msp-add: マネージド企業を追加します

  • msp-remove: マネージド企業を削除します

  • msp-convert-node: Enterpriseノードをマネージド企業に変換します。

Commanderのサポートをお求めですか?commander@keepersecurity.comにEメールでお問い合わせください。

Last updated