強制ポリシー

ログイン設定

SSOでログインするユーザーにマスターパスワード作成を許可

このオプションは、「代替手段としてのマスターパスワード」とも呼ばれ、SSOでログインするユーザーがマスターパスワードでもログインできるようになります。SSO接続がダウンしている場合やユーザーがオフラインの場合に便利です。また、SSOでログインするユーザーがKeeper Commander CLIにログインする場合にも使用できます。

普段は法人SSO ログイン (SAML 2.0) を使用してKeeperボルトにログインしているユーザーでも、マスターパスワードを使用してウェブボルト、KeeperFill、Keeper Commanderにログインできるようになります。この機能を利用するには、Keeper管理者がロールポリシーで有効にした上で、ユーザーが自分で設定します。この機能を有効にすると、SSOでログインするユーザーもマスターパスワードを使用してオフラインでアクセスできるようになります。

このポリシーが有効になると、ユーザーは以下の手順に従って代替手段としてのマスターパスワードを使えるようにします。

1. SSOを使用してウェブボルトにログインします。

2. 設定画面にアクセスし、[セットアップ]か[編集]をクリックしてマスターパスワードを設定します。

3. 設定が完了すると、[法人SSOログイン] > [マスターパスワード]からログインできます。

マスターパスワードの複雑さ

マスターパスワードの複雑さに関するポリシーは、該当のロールが付与されているユーザーのパスワードの複雑さに適用されます。

以下の設定項目があります。

• パスワードの長さ

• 数字の数

• 記号の数

• 大文字の数

• 小文字の数

マスターパスワードの複雑さとデフォルトのロールに関する注意事項

ユーザーが最初にボルトを作成する際、Keeper Enterpriseコンソール内のすべてのデフォルトロールを確認してマスターパスワードの複雑さに関するルールが適用されます。マスターパスワードの複雑さに関するルールは、各デフォルトロールの最大値を基に決定されます。

アカウントが作成されると、ユーザーに割り当てられたロールを使用してマスターパスワードの複雑さに関する要件が継続的に適用されるようにします。

Keeperボルトのアカウントを作成する際、ユーザーはこの複雑さに関する要件を遵守する必要があります。

マスターパスワードの有効期限

マスターパスワードの有効期限ポリシーを利用すると、ユーザーは指定の間隔 (日数) でマスターパスワードを変更しなければなりません。このポリシーを有効にした場合、マスターパスワードが期限切れになると、ユーザーは次回のログイン時に強制的に新しいマスターパスワードに更新しなければならなくなります。マスターパスワードの変更が必要になるまでの日数を設定するには、10～150日の範囲で選択します。

ユーザーのマスターパスワードを直ちに失効させる必要がある場合は、ユーザータブからマスターパスワードを失効するユーザーを選択し、[マスターパスワード失効]を選択します。これにより、ユーザーのマスターパスワードが直ちに失効し、パスワードリセットが必要になります。

生体認証

iOS Touch ID/Face ID、Mac OS Touch ID (Mac Storeアプリのみ) 、Windows Hello (Microsoft Store) 、Androidプラットフォームでは、生体認証ログインがサポートされています。デフォルトでは、すべての生体認証ログインが許可されています。

二要素認証（2FA）

二要素認証ポリシーを有効にすると、ユーザーはKeeperプロファイルの設定時に二要素認証の方式の設定が必要となり、既存のユーザーは二要素認証の有効化が必要となります。

• 二要素認証を適用すると、アカウント作成時またはログイン時に二要素認証の設定を案内するプロンプトが表示されます。

• 二要素認証を適用すると、ユーザー側から無効にすることはできませんが、編集により二要素認証を再設定できます。

• 二要素認証の適用に加えて、新しいコードで再認証を促す頻度も指定できます。

• 管理者によって管理コンソールのユーザー詳細画面からそのユーザーの二要素認証を一時的に無効にできます。

ユーザーに対して二要素認証を設定すると、コード入力を求める頻度に関係なく常にKeeperサーバー側で二要素認証が適用されます。ユーザーが二要素認証コードで認証されるとデバイスでトークンが生成され、バックエンドシステムとの後続の通信に使用されます。

また、管理者によりユーザーのデバイス側でコードの入力を促す頻度が指定できます。たとえば、ウェブボルトおよびKeeper Desktopのユーザーにはログイン毎にコード入力を求め、モバイル端末のユーザーには、30日に1回だけ求めるような指定ができます。ただし、新しいデバイスにログインする際には、必ずコード入力が求められます。

二要素認証を求める頻度に加えて、ロール内でユーザーが使用できる二要素認証の方式も指定できます。 ロールに応じて異なる方式を適用できます。

以下の二要素認証方式に対応しています。

• SMS通知

• TOTP (Google Authenticator、Microsoft Authenticator、任意のTOTPジェネレータ)

• スマートウォッチ (Apple WatchまたはAndroid Wear)

• RSA SecurID (管理者による設定が必要)

• Duo Security (管理者による設定が必要)

• FIDO2 WebAuthnセキュリティキー

二要素認証とデバイス承認

Keeperの認証システムにはデバイス確認機能が備わっており、未承認デバイスにログインしようとする際には2つ目の要素としてメール確認を行います。ユーザーが二要素認証を設定済みである場合は、メールの代わりにデバイス承認の方法として使用できます (たとえば、メールにアクセスできない場合など)。

プラットフォーム制限

ウェブボルト、KeeperFIll、モバイル、Keeper Desktopなど、特定のプラットフォームでのKeeperボルトの使用を制限できます。KeeperChatの場合は、Keeper Desktopとモバイルでの制限となります。

ボルト機能

ロールを持つユーザーに対して、ボルトの標準機能の使用を禁止できます。

「アプリ内オンボーディング」の解除

ONにすると、ユーザーが初回ログインする際にユーザーのボルトに「クイックスタート」モジュールが表示されなくなります。

ユーザーがフォルダを作成することを禁止

ONにすると、ロールを持つユーザーに対してフォルダや共有フォルダの作成を禁止します。

ユーザーが ID や支払い記録を作成することを禁止

ONにすると、ロールを持つユーザーに対して、IDや支払い記録（クレジットカードや住所など）の作成を禁止します。

カスタムフィールドをマスク

ONにすると、すべてのカスタムフィールドの名前と値が強制的にマスクされます。マスクを解除するには、目のアイコンをクリックします。

メモをマスク

記録のメモセクションがマスクされます。マスクを解除するには目のアイコンをクリックします。

パスワードをマスク

デフォルトでは、パスワードはKeeperのすべてのプラットフォームで常にマスクされます。iOSおよびAndroidデバイスでは、パスワードマスクのON/OFFを切り替えることができます。この設定を有効にすると、マスキングが常に有効な状態になります。パスワードを表示するには目のアイコンをクリックします。

クライアントデバイスでBreachWatchを一時停止

有効にすると、BreachWatchイベントがデバイスからKeeper管理コンソールに送信されなくなります。テストデータを使用したり、Enterpriseコンソールの初期設定を行う場合にのみ使用します。BreachWatchイベントを一時停止することで、管理コンソールや接続先のレポートシステムでイベントが生成されなくなります。

レポート＆アラートおよび接続している外部ログシステムに BreachWatch のイベントを送信

デフォルトでは、ユーザーのデバイスから接続済みのSIEMや高度なレポートとアラートツールへBreachWatchイベントデータが送信されることはありません。Keeper管理者はこの機能を明示的に有効にする必要があります。有効にすると、イベントデータは高度なレポートエンジンや接続済みのSIEMシステム（Splunkなど）に送信を開始します。

この機能は過去に遡って適用できません。この機能を有効にして初めてイベントが高度なレポートとアラートに送信されるようになります。

再認証の要求（マスターパスワードか生体認証）

この強制ポリシーを使用すると、以下の操作を実行する前にマスターパスワードか生体認証ログインを使用して再認証するようユーザーに要求します。

• パスワードの自動入力

• パスワードや隠されたフィールドを表示してコピー

• 記録やフォルダの編集、共有、削除

また、「数分間認証されない場合に再認証を遅らせる」を使用すると、非アクティブになってから再認証を要求するまでの経過時間を分単位で指定することができます。

注: この機能はSSOユーザーには適用されません。

削除した記録を消去

デフォルトでは、削除した記録は記録所有者のゴミ箱（削除済みアイテム）に移動されます。削除済みアイテムの処理を制御するための2つの強制ポリシーがご利用になれます。

• 記録が完全削除されるまでの日数

• 削除した記録が自動消去されるまでの日数

ユーザーが誤ってボルト内の記録を完全に削除してしまうのを防止するため、記録が完全に削除されまでゴミ箱に留まる日数を指定できます。

また、ユーザーがゴミ箱に移動した記録を特定期間後に自動的に完全削除するよう設定することもできます。

作成するパスワードの複雑さ

この機能を有効にすると、パスワード生成ツールの複雑さに関するポリシーをドメインごとに指定したり、ワイルドカードを使用してドメイン名の一致パターンを広げて指定したりできます。この強制ポリシーを適用すると、記録の所有者はパスワード生成ツール (サイコロボタン) でパスワードを作成しなければならなくなります。

プライバシー画面を適用 (パスワード表示を禁止)

Keeperのプライバシー画面機能は、チーム単位、ロールポリシー単位 (特定の記録ドメインに基づく)、記録タイプ (テンプレート) 単位で適用できます。

ロールポリシー単位の適用ではパスワードの複雑さに関するポリシーと連動し、ドメインごとにパスワードを表示 (マスク解除) できるようにします。このポリシーが適用されると画面でパスワードがマスクされるため、万一画面上のパスワードを覗き見されても安全です。

記録の編集権限または所有者権限を持つユーザーに適用した場合、記録を編集する際にパスワード生成ツールを使用しなければならなくなります。

パスワードのマスキングは視覚的なものに過ぎず、パスワードはボルトに保管されたままであり、API通信およびウェブページの要素を検証することでアクセスできます。管理者側でユーザーがウェブページの要素を検証できないようにしたい場合は、グループポリシーを使用してユーザーがブラウザのデベロッパーツールを使用できなくすることを推奨します。

この機能はパスワードの複雑性に関する設定内でも有効にできます。[パスワードの複雑性]でドメインを追加して[プライバシー画面の適用]ボックスをチェックします。

ボルト内ではURLに一致する記録はすべてロックされるので、ユーザー側ではパスワードのマスク表示を解除できません。

同様に、KeeperFillでもプライバシー画面が発動します。

プライバシー画面機能の詳細は、以下のビデオをご覧ください。

記録タイプ

アカウントの記録タイプが有効になっている場合、さらに特定の記録タイプを有効にしたり無効にしたりできます。デフォルトの記録タイプとカスタム記録タイプのどちらも、ロールの権限に基づいて有効にしたり無効にしたりできます。カスタム記録タイプはデフォルトタイプの下に表示されますが、各ユーザーのボルト設定内で表示の順序を変更できます。

特定の記録タイプを無効ににすると、ユーザーのボルト内のドロップダウンで表示されなくなります。

管理コンソールで1つ記録タイプのみを有効にした場合、ボルト内で記録を作成する際に記録タイプ選択のポップアップは表示されず、あたかも記録タイプ自体が無効になっているかように進行します。

記録タイプが無効になっている別の組織と記録を共有する場合、組織で記録タイプが有効になるまで表示はされませんが、記録タイプのデータ自体は存在します。

作成と共有

管理者はユーザーが記録を作成したり共有したりする際に、広範囲にわたる制限を適用できます。

作成

作成では、ユーザーに記録、フォルダ、共有フォルダなどの作成を許可するかどうかを設定します。

作成は以下のようにカスタマイズできます。

• 記録を作成できる (記録とフォルダの作成を共有フォルダ内のみに制限する機能が含まれます)

• フォルダを作成できる (フォルダの作成を共有フォルダ内のみに制限する機能が含まれます)

• 共有フォルダを作成できる

• 記録オプションメニューの複製機能を使用して記録を複製できる

• KeeperFillを使用して、[個人情報と支払い]タブで支払いの記録や住所の記録などを作成できる

• ファイルをアップロードできる

共有

共有では、ユーザーがワンタイム共有リンクや添付ファイルなどを共有したり受けとったりできるかを設定します。

共有は以下のようにカスタマイズできます。

• アイテムの共有および受け取りができる

• 共有フォルダ内に記録を追加することでのみ他のユーザーと共有でき、他のユーザーを記録や共有フォルダに追加できない

• 共有アイテムのみを受け取れ、他のユーザーを記録や共有フォルダに追加できない

• アイテムを共有または受信できないため、ユーザーは記録や共有フォルダに他のユーザーを追加したり、他のユーザーからアイテムを受け取ったりできない。この強制が有効になっている場合、ワンタイム共有リンクの生成、添付ファイル付き記録の共有、および社外のユーザーとの共有の機能はデフォルトで無効になります。

管理者は、ユーザーの以下の機能を個別に制限することもできます。

• ワンタイム共有リンクを生成する

• 添付ファイル付きでレコードを共有する

• 社外のユーザーと共有する

• 社外のユーザーからアイテムを受け取る

インポートとエクスポート

インポートとエクスポートでは、ボルトからのインポートおよびエクスポートの設定をコントロールできます。

インポートとエクスポートは以下のようにカスタマイズできます。

• ボルトへインポートできる (LastPassからの共有フォルダのインポートの制限を含む)

• ボルトからエクスポートできる

KeeperFill

KeeperFillは、ウェブサイトやアプリケーションでのログイン時に自動入力を支援するブラウザ拡張機能です。

KeeperFillブラウザ拡張機能

KeeperFillのさまざまな機能を個別にコントロールできます。

ご利用になれる許可設定:

• カギをホバー表示

• Autofill Suggestions (自動入力候補の表示)

• 自動入力

• 自動送信

• サブドメインが一致する記録のみ表示

• 入力プロンプト

• 保存プロンプト

• 変更プロンプト

• 無効の指示

• HTTP入力警告ポップアップ

特定のウェブサイトでKeeperFillを無効にする

管理者によって特定のウェブサイトでKeeperFillを使用できないように設定できます。その際、ワイルドカード文字を使用してドメイン名やURLを指定できます。多くのフォームフィールドを持つ内部アプリケーションに対してKeeperFillを無効にするという使用例が考えられます。

アカウント設定

オフラインアクセスを禁止

有効にすると、インターネットアクセスがない場合にKeeperボルトにアクセスできなくなります。

メールアドレスの変更を禁止

有効にすると、ユーザーはメールアドレスの変更ができなくなります。なお、SSOでログインするユーザーは自身のメールアドレスを変更できません。

メール招待を無効化

このポリシーが有効な場合、該当ロールを持つユーザーにはアカウントをプロビジョニングする際のメール招待が送信されなくなります。使用例としては、管理者がシステムの招待メッセージを使用せず、自身でメール招待を送信する場合が考えられます。他には、管理者が招待プロセスをテストする場合にもご使用になれます。

自己破壊

このポリシーを有効にすると、該当ロールを持つユーザーは、パスワードによるログインを5回まで試行でき、その後ローカルに保存されているすべてのKeeperデータが消去されます。

Keeper家族ライセンスへの招待を禁止

このポリシーを有効にすると、個人使用のために自身の個人用メール使用してKeeper家族ライセンスを利用できなくなります。個人使用のための無料のファミリーライセンスについては、こちらをご参照ください。

「ログイン状態を維持」の解除

この強制ポリシーを有効化すると、該当ロールを持つユーザーのログイン状態維持機能が使えなくなります。 「ログイン状態維持」機能を利用すると、非アクティブタイマーが切れるまではブラウザやコンピュータを再起動しても、ウェブボルト、Keeper Desktop、KeeperFillへのログイン状態を維持できます。

「ログイン状態維持」のデフォルトのユーザー設定

該当ロールの新規ユーザーのデフォルトの「ログイン状態を維持」設定をオンかオフに設定します。この設定は新規ユーザーにのみ適用され、遡及的には適用されません。

ログアウトタイマー

管理者によって非アクティブログアウトタイマーを設定できます。ウェブ、モバイル、デスクトップの各Keeperアプリで異なる時間を分単位で指定します。非アクティブ状態で指定した時間が経過すると、ユーザーはログアウトします。

アカウントの回復

マスターパスワードを忘れた場合にボルトを回復する非常手段として、自動生成される24語から成るリカバリーフレーズの使用があります。SSO IDプロバイダが使用できない場合は、アカウント回復を使用してアカウントにログインすることもできます。

リカバリーフレーズは、暗号ウォレットの保護に使用されるものと同じBIP39単語リストを使用して実装されています。BIP39単語リストは2048単語のセットで、256ビットのエントロピーを持つ暗号化キーを生成するために使用ます。BIP39リストの各単語は、可視性を向上させ、回復プロセスでエラーが発生しにくくなるように慎重に選択されています。アカウントの回復に関する詳細については、こちらのKeeperのブログ投稿をご参照ください。

このポリシーにより、管理者はユーザーのアカウント回復を無効にできます。ユーザーがSAML 2.0 IDプロバイダを使用してKeeper SSO Connect Cloudでログインする場合に推奨されます。

アカウントの回復を無効にする場合、マスターパスワードを紛失してボルトにアクセスできないユーザーを管理者がサポートできるよう、ボルト移管ポリシーを有効にすることを推奨します。

アカウント回復の手順については、「アカウント移管によるパスワード回復」のページをご参照ください。

Keeperグループへのご招待

新規ユーザーに送信されるKeeperの招待メールは、特定の時間内にユーザーがアカウントを作成しない場合、自動的に再送信されます。 デフォルトの設定は、招待メールの送信は1回限りとなっていますが、必要に応じて頻度を増やせます。

デフォルトではKeeperの招待メールは7日間のみ有効ですので、自動的に再送することを推奨します。

IPのホワイトリスト化

特定のロールを持つユーザーに対して、指定のIPアドレス範囲以外でKeeperを使用することを禁止できます。IPアドレスは、ログイン時にKeeperインフラストラクチャによって認識される外部 (パブリック) アドレスでなければなりません。IP範囲を追加するには、[範囲を追加]をクリックします。

Keeper Secrets Manager

ロールに対してKeeper Secrets Managerを有効にすると、ウェブボルト、デスクトップアプリ、Commander CLIに、Secrets Manager機能が表示されるようになります。

Keeper Secrets Managerの詳細については、以下をご覧ください。

Keeper パスワードローテーションの管理

Keeperパスワードローテーションにより、クラウドベースでもオンプレミス環境でも安全に認証情報をローテーションすることができます。パスワードローテーションがロール上で有効になっている場合、パスワードローテーション機能がウェブボルト、Keeper Desktop、Commander CLIに表示されます。

アカウント移管

アカウント移管を有効にするには、スイッチをONにしてアカウント移管を実行できる適任ロールをドロップダウンメニューから選択します。

Keeper Commander CLIでのポリシーの管理

以下は、Engineeringのロールがインポート記録にアクセスできないように制限する例となります。

enterprise-role Engineering --enforcement "RESTRICT_IMPORT:True"

概要動画

強制ポリシーの詳細については、以下の動画をご覧ください。