アカウント移管ポリシー

ボルトのコンテンツを別のKeeperユーザーに移管

アカウント移管 (メンバーの組織からの離脱)

アカウント移管ポリシーにより、ユーザーが組織を去る場合にそのユーザーのボルトを別のユーザーへ移管できます。この機能はオプション機能で、移管を実行する権限を持つユーザー間で暗号鍵が共有されている必要があるため、Keeper導入の初期段階でKeeper管理者が設定しておく必要があります。Keeperのゼロ知識インフラストラクチャを維持するため、鍵の交換はユーザーがボルトにログインする際に発生します。このように、アカウント移管の設定は、実際にアカウント移管が発生する前に設定しておく必要があり、移管が機能するには移管操作の前にユーザーが1回以上ログインしている必要があります。

アカウント移管機能は、該当の管理権限を持つ管理者によって行われ、安全なロールに基づいた階層を維持しながらユーザーのボルト内コンテンツの所有権を得る上で有効な機能です。

アカウント移管を有効化するタイミング

デフォルトではアカウント移管の権限は無効となっていますが、Keeper管理者により有効にできます。この権限は、アカウント移管機能を使用する必要が生じる前に有効にしておく必要があります。たとえば、ユーザーA が、組織内の他の誰もアクセスできないボルト内に、業務に不可欠なアプリケーションまたはアカウントへのパスワードを保管している場合、何らかの理由でユーザーA がボルトへアクセスできなくなると組織ではアクセスを回復するのが困難な状況に陥る可能性があります。そのような際に、アカウント移管権限がデフォルトのKeeper管理者ロールで有効にされており、ユーザーAが属するロールに適用されている場合、Keeper管理者はユーザーAのボルトの全コンテンツを別のユーザーに移管することが可能となります。

初期設定が必要な理由

特定のロールでアカウント移管機能を有効にすると、Keeper管理者の意思でそのロールに属するユーザー全員のボルトが移管されたり、アカウントを削除されたりする可能性があります。この強制適用ポリシーが施行にされると、ユーザーがボルトにログインする際にポップアップ通知が表示されボルト移管機能が有効になったことを通知されます。ユーザーは通知を承諾する必要があります。承諾時に、Keeperはユーザーとロールの間で必要な暗号鍵の交換を実行し、データ移管が必要となった場合に備えます。この暗号鍵の交換がなければ、管理コンソール内のユーザーはデータを復号化して移管できません。このプロセスにより、ゼロ知識が確保され、特定のユーザーのみが移管の対象となります。ボルトが別のユーザーに移管されると、移管元ユーザーのボルトは削除されます。

管理者からユーザーのボルトへアクセスはできません

アカウント移管機能により、管理者にはユーザーのボルトのコンテンツを別のユーザーに移管する権限が付与されますが、管理者がアクセスしたいときにいつでもユーザーのボルトにアクセスできる権限が付与されるわけではありません。移管元のボルトはまずロックされる必要があり、そのアカウントは移管後に削除されます。管理者によってアカウントがロックされた場合や移管されて削除された場合にはユーザーへ通知が送信されます。

アカウント移管機能を有効化する方法

まずアカウント移管機能を有効にしておき、ユーザーは管理者が移管を実行する前にボルトにログインしてアカウント移管を承諾しておく必要があります。

1. アカウントの移管権限を付与するロールの「管理権限」からアカウント移管設定を有効にします。

管理上の許可
アカウント移管権限を有効にする

アカウント移管のボックスをチェックできない場合、そのユーザーはアカウント移管権限が有効になっているロールに属するアカウント (デフォルトのKeeper管理者など) にログインしている必要があります。

他のロールにアカウント移管権限を付与する前に、ロール (Keeper管理者ロールなど) でこの権限が有効になっている必要があります。

2. 対象のロールの強制適用ポリシーの「アカウント移管」タブで、「アカウント移管を有効にする」ONにします。

アカウント移管ポリシー

3. 管理者ロールを選択します。このロールが移管を開始する権限を持つことになります (複数のロールが権限を持つことはできますが、実施時には1つのロールしか選択できません)。

アカウント移管機能が有効になるとユーザーはその旨通知を受け取り、所属の組織がユーザーのボルトを移管することを承諾するように求められます。承諾はユーザーはボルトにログインする際に1度だけ行います。

アカウント移管を承諾する

ユーザーが自身のボルトにログインすると。以下のメッセージが表示されます。

ユーザーは7日以内に移管ポリシーを承諾する必要があります。7日以内に承諾しない場合はボルトへのログイン時に承諾する必要があります。

アカウント移管の実行

1. ユーザータブからユーザーを選び、ポップアップの上部の[オプション]をクリックしてから[アカウントをロックする]を選択し、ユーザーのアカウントをロックします (管理者に付与されるのは、ロックしたユーザーからボルト内のレコードを移管する権利のみです)。

2. 次に、[アカウント移管]を選択します。ユーザーのリストが表示されたウィンドウが開きます。移管先ユーザーを選択し、次に[移管]をクリックします。

ロックと移管
ボルトの移管
  1. 移管元ユーザーのアカウント (ボルト) 内のレコード、フォルダ、サブフォルダは移管先ユーザーのボルトに1つのフォルダにまとめられて転送され (フォルダ名は移管元ユーザーのメールアドレス)、移管元ユーザーのアカウントは完全に削除されます。

移管元ユーザーの「削除済みアイテム」にあるレコードは移管先ユーザーの「削除済みアイテム」に転送されます。

アカウント移管機能に関して、詳しくは以下の動画をご覧ください。

コマンダーCLI

アカウント移管に関する操作と自動化は KeeperコマンダーCLIでご利用になれます。下記の関連コマンドをご参照ください。

Last updated