# 基本
## Keeperボルトとマスターパスワード
Keeperボルトにアクセスするには、各Keeperユーザー (MSP管理者、MSP技術担当者、管理対象企業のユーザーなど) が「マスターパスワード」を設定する必要があります。このマスターパスワードはKeeper専用であり、他のサービスでは使用されません。Keeperのゼロ知識セキュリティアーキテクチャにより、管理者、MSP、さらにはKeeperの従業員であっても、ユーザーのマスターパスワードにアクセスすることはできません。
マスターパスワードは、Keeper管理者が定めるガイドラインに従う必要があり、ロールの適用ポリシーを通じてユーザーに適用できます。マスターパスワードを紛失した場合は、リカバリーフレーズの入力、メール認証、2要素認証を含むゼロ知識リカバリープロセスを通じてアカウントを復旧できます。
また、MSP管理者およびMSP技術担当者は、構成済みのSAML 2.0シングルサインオン (SSO) プロバイダを使用してKeeperに認証することも可能です。SSOが有効な場合、ユーザーにマスターパスワードは設定されません。
## 管理対象企業の分離
Keeper MSPでは、各管理対象企業 (MC) 間で、論理層および暗号化層の両方において厳格かつ安全なデータ分離が行われています。これは、MCの独立性、プライバシー、セキュリティを確保するうえで重要です。また、SOC 2 Type IおよびType IIの統制、ISO 27001、ISO 27017、ISO 27018、FINRA、HIPAAなどのセキュリティおよびプライバシー基準への準拠を維持することにもつながります。Keeperはゼロ知識セキュリティアーキテクチャを採用しているため、各MCのデータは完全に分離され、それぞれのMCに固有の鍵導出アーキテクチャによって暗号化されます。その結果、メール、管理者、チーム、ロール、ボルトデータなどのMC関連データが意図せず共有されることはありません。
MSP技術担当者は、MSPシステムのルートノードレベルに存在し、管理目的で各MCインスタンスに「起動」してアクセスできます。一方、MC内で設定されたローカル管理者には、このルートレベルのアクセス権は付与されておらず、MSPのコンソールやMSPデータへアクセスすることはできません。各MCはそれぞれ独立した組織アーキテクチャ内で厳格に分離されているため、他のMCの管理コンソールやボルトレコードを閲覧または取得することはできません。
## 地域別のSaaSプラットフォーム (US、EU、CA、AU、JP、US\_GOV)
新しいMSPおよび管理対象企業アカウントは、US (米国)、EU (欧州)、CA (カナダ)、AU (豪州)、JP (日本)、US\_GOV (GovCloud) のいずれかの地理的リージョンに作成されます。MSPまたは管理対象企業のリージョンを選択して確定すると、環境を再作成しない限り、そのリージョンを変更することはできません。
## MSPの主な補完機能
### ライセンス割り当てと使用量の請求
KeeperのMSP従量課金モデルでは、MSPおよびその管理対象企業(MC)がユーザーにKeeperライセンスを割り当て、使用したライセンス分を翌月初めに支払う仕組みになっています。管理対象企業は、ユーザーを追加するだけで、ライセンスを割り当てることができます。
{% hint style="info" %}
MSP管理により、管理対象企業が割り当てられるライセンスの最大数の制限を設定できます (デフォルトでは制限なし)。
{% endhint %}
### アドオン機能の追加と削除
MSPは、社内での使用のため、または管理対象企業に対して、いつでもアドオン機能を追加したり削除したりできます。MSPには毎月、「1日の平均使用量の概要」が提供され、利用単位数に基づいてその月の料金が算出されます。大部分のアドオン機能については、月末に1日の平均ライセンス数を使用してその月の請求金額が算出されます。
### ロールおよび強制適用ポリシー
管理者はロールを作成し、各ロールに属するユーザーに対してさまざまな適用ポリシーを設定できます。プラットフォームの制限や強力なパスワードの必須化など、多様な制御を適用できます。また、管理業務を担う担当者には、昇格権限を持つロールを割り当てることも可能です。これにより、チームやロールの管理、レポートの実行など、さまざまな操作を行うことができます。
ロールは階層型の「ツリー」構造で設定されます。権限の可視性および継承は、現在のノードより下位にあるノードに限定され、同階層のノード (兄弟ノード) には適用されません。ノードは、MSPレベルおよびMCレベルの両方で利用できます。
### 管理権限
MSP管理者にはさまざまな操作を承認する権限も付与されています。
「企業を管理」権限が有効になっているMSP技術担当者は、ワンクリックでMCの管理コンソールにアクセスできます。これにより、MSP技術担当者はMCのKeeper管理コンソールを設定および管理するための管理者権限を持ちます。管理コンソールでは、MCのユーザー、ロール、チームの設定、適用ポリシーの構成、指定ユーザーへのKeeperボルトのプロビジョニング、さらに詳細なイベントログおよびレポート機能を通じたパスワードセキュリティの監視を行うことができます。
また、既定で「MSPサブスクリプションマネージャー」ロールが用意されており、MSP管理者はMSP内部のサブスクリプションを管理できます。
## チームと共有フォルダ
チームを作成すると、チームメンバーでログイン情報を共有することができます。ログイン情報は複数のレコードとしてフォルダ内に格納されます。
MSPでは、この機能を使用して管理対象企業が使用するパスワードを設定ができます。
1. 初期の「所有者」であるMSP技術担当者が、各種レコード、URL、ユーザー名、初期パスワードを設定します。
2. このフォルダは、ユーザーまたは管理対象企業のユーザーと共有できます。
3. 共有した後、MSPがフォルダの所有権と閲覧権を放棄することで、管理対象企業のユーザーに移管するようにします。
フォルダ構造を作成するには、ボルトに「お客様」などのフォルダを作成します。フォルダ内には、任意の数の共有フォルダを追加できます。 各共有フォルダは、以下のように技術者間で共有したりチームと共有したりできます。
## アカウント移管
組織ではアカウント移管機能を有効にできます。この機能を有効にすると、ユーザーが退職した場合でも、そのユーザーのボルトに保存されているすべてのレコードを回収できるようになります。これにより、重要なアクセス認証情報の喪失を防ぎ、ロックアウトのリスクを回避できます。あらかじめ移管先となる管理者を指定しておくことで、該当ユーザーのボルトを引き継ぐことが可能になります。
アカウント移管は、MSPレベルおよびMCレベルの両方で設定することを推奨します。移管先は同じMC内のユーザーに限定されており、MSPスタッフへボルトを移管することはできません。
## アカウント移行のための管理者パススルー
MSPでは、管理対象企業内でアカウントを移管できるようにするための管理権限の連携を設定できます。これにより、MSP管理者が管理対象企業内のアカウントを移管できるようになります。
設定手順としては、まずMSPおよび管理対象企業の両方にある「Keeper管理者」ロールで「アカウント移管」管理権限を有効にします。その後、[こちらのページ](/enterprise-guide/jp/account-transfer-policy.md)の手順3で説明しているとおり、「Keeper管理者」を「アカウント移管を実行できるロール」として選択します。
{% hint style="info" %}
管理権限の連携機能では、MC内の「デフォルト」のKeeper管理者ロールを使用します。ユーザーが作成したロールでは、連携機能は実行されません。ユーザー作成のロールは、管理対象企業内のローカル管理者によって開始されたボルトの移行にのみ使用できます。
{% endhint %}
## レポート・アラートモジュール
Keeperのレポート・アラートモジュール (ARAM) は、200を超えるさまざまなイベントを対象に、フィルタリング表示やリアルタイムアラートを利用できます。対象となるイベントには、MSP固有の操作も含まれています。
## リモートセッションでアプリ用KeeperFillを使用する
アプリ用KeeperFillを使用すると、ボルト内の情報に簡単にアクセスでき、ネイティブアプリケーションやリモートセッションへ自動入力できます。
{% embed url="" %}
最新バージョンの[Keeperデスクトップアプリ](https://www.keepersecurity.com/download.html?t=v)をダウンロードすると、MacOSおよびWindowsデバイスの両方でアプリ用KeeperFillをすべての機能で利用できます。Keeperデスクトップアプリにログインすると、同時にアプリ用KeeperFillにもログインされます (その逆も同様です)。Keeperデスクトップアプリのウィンドウを閉じても、アプリケーションはバックグラウンドで動作を続けます。MacOSではメニューバーから、Windowsではシステムトレイから、使い慣れたKeeperアイコンを通じて再度アクセスできます。
## コマンドラインSDK
Keeperコマンダーは、コマンドライン、Python、.Net、PowerShell対応のSDKで、MSP技術担当者向けの特別な機能が使用できます。\
\
Keeperコマンダーの詳細については、[こちらのページ](/keeperpam/jp/commander-cli/overview.md)をご参照ください。
### MSP固有のコマンド
Keeperコマンダー使用すると、MSP技術担当者がMSP環境と管理対象企業環境を切り替えながら、社内環境と顧客環境の両方を管理できます。
* **msp-down**\
MSPの最新データをダウンロードします。
* **msp-info**\
MSPおよびMCの構成情報を表示します。switch-to-mcで使用するMC識別子も確認できます。
* **msp-license**\
現在のライセンス割り当て状況を表示します。
* **msp-license-report**
過去のライセンス割り当て状況のレポートを実行します。
* **switch-to-mc**\
管理対象企業の環境に切り替えます。
* **switch-to-msp**\
MSPの環境に戻ります。
* **msp-add**\
管理対象企業を追加します。
* **msp-remove**\
管理対象企業を削除します。
* **msp-convert-node**
エンタープライズノードを管理対象企業へ変換します。
{% hint style="info" %}
MSP管理コマンドの完全なリストについては、[こちら](/keeperpam/jp/commander-cli/command-reference/msp-management-commands.md)をご参照ください。
{% endhint %}
コマンダーに関するサポートが必要でしたら、にメールでお問い合わせください。
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.keeper.io/enterprise-guide/jp/keeper-msp/fundamentals.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
