基本

Keeperボルトとマスターパスワード

Keeperボルトにアクセスする際は、各Keeperユーザー (MSP管理者、技術者、管理対象企業のユーザー) がマスターパスワードを選択する必要があります。この固有のマスターパスワードは、Keeperにのみ使用し、他のサービスには使用しないようにします。Keeperのゼロ知識アーキテクチャにより、管理者、MSP、Keeperサポートチームであってもユーザーのマスターパスワードにアクセスすることはできません。

マスターパスワードは、Keeper管理者が適用するガイドラインに従う必要があり、ロール強制適用ポリシーを通してユーザーに適用されます。マスターパスワードを紛失した場合、秘密の質問と回答、メールアドレスによる認証、二要素認証など、ゼロ知識リカバリープロセスを介してアカウントを復元できます。

また、MSP管理者および技術者は、SAML 2.0シングルサインオン (SSO) プロバイダを使用してKeeperに認証することも可能です。SSOが有効な場合、マスターパスワードは使用しません。

管理対象企業の分離

Keeper MSPでは、管理対象企業 (MC) 間で論理レイヤーと暗号化レイヤーの両方において厳格なデータ分離を実施しており、MCの独立性、プライバシー、セキュリティが確保されています。この取り組みにより、SOC 2 Type IおよびIIの管理基準、ISO 27001、ISO 27017、ISO 27018、FINRA、HIPAAの基準に準拠しています。Keeperのゼロ知識アーキテクチャにより、各MCのデータは完全に分離され、MC固有のキー導出システムで暗号化されているため、メールアドレス、管理者、チーム、ロール、ボルトデータなどのMC固有の情報が誤って共有されることはありません。

MSP技術者は、MSPのシステムのrootノードレベルに存在しており、各管理対象企業のインスタンスを「起動 (launch）」して管理できます。 管理対象企業で設定されたすべての「ローカル」管理者は、MSPのコンソールやMSPのすべてのデータに対して、このrootレベルのアクセス権は持っていません。管理対象企業は、自身の組織のアーキテクチャ内で厳密に分離されているため、別の管理対象企業の管理コンソールやボルトのレコードを閲覧したりアクセスすることはできません。

MSP技術者はMSPシステムのルートノードレベルで操作を行い、各MCインスタンスを「起動」することで管理業務を行います。各MC内で設定された管理者は、MSPのコンソールやMSP専用データへのルートレベルアクセス権を付与されていません。各MCとその組織構造は厳密に隔離されており、他のMCの管理コンソールやボルトレコードにアクセスすることはできません。

地域別のSaaSプラットフォーム (米国、欧州、豪州、カナダ、日本、GovCloud)

新規のMSPアカウントおよび管理対象企業アカウントは、米国、欧州、カナダ、豪州、日本、US_GOVの地域のいずれかで作成されます。MSPおよび管理対象企業の地域が選択され確立されると、環境を作成し直す以外で地域を変更することはできません。

MSPの主な補完機能

ライセンス割り当てと使用量の請求

KeeperのMSP従量課金モデルでは、MSPおよび管理対象企業 (MC) でユーザーにライセンスを割り当てて、翌月の最初に使用したライセンスに対して支払いを行います。また、管理対象企業は、ユーザーを追加するだけでライセンスを割り当てることができます。

アドオン機能の追加と削除

MSPは、社内での使用のため、または管理対象企業に対して、いつでもアドオン機能を追加したり削除したりできます。MSPには毎月、「1日の平均使用量の概要」が提供され、利用単位数に基づいてその月の料金が算出されます。大部分のアドオン機能については、月末に1日の平均ライセンス数を使用してその月の請求金額が算出されます。

ロールおよび強制適用ポリシー

管理者は、ロールを作成し、各ロールのユーザーに対してさまざまな強制適用ポリシーを設定できます。プラットフォームを制限したり強力なパスワードを要求したり、さまざまな強制を適用できます。また、管理スタッフに対して権限レベルの高いロールを付与することもでき、チームやロールの管理、レポートの実行など、さまざまな操作が実行できるようになります。

ロールは階層構造の「ツリー」形式で設定されており、権限の可視化と継承は現在のノードの下にある「ノード」に限定され、同階層の兄弟ノードには適用されません。また、ノードはMSPレベルおよびMCレベルでご利用になれます。

管理権限

MSP管理者にはさまざまな操作を承認する権限も付与されています。

「管理対象企業」権限が付与されているMSP技術者は、ワンクリックで管理対象企業の管理コンソールを起動できます。これより、管理者権限を持つMSP技術者は、管理対象企業のKeeper管理コンソールを設定したり管理したりできます。管理コンソールでは、管理対象企業のユーザー、ロール、チームを設定したり、強制適用ポリシーを設定したり、Keeperボルトを指定のユーザーにプロビジョニングしたり、詳細なイベントログおよびレポート作成機能を利用してパスワードセキュリティを監視したりできます。

デフォルトで存在する「MSPサブスクリプションマネージャ」ロールを使用すると、MSP社内のサブスクリプションを管理できます。

チームと共有フォルダ

チームを作成すると、チームメンバーでログイン情報を共有することができます。ログイン情報は複数のレコードとしてフォルダ内に格納されます。

MSPでは、この機能を使用して管理対象企業が使用するパスワードを設定ができます。

1. 初期の「所有者」であるMSP技術者が、各種レコード、URL、ユーザー名、初期パスワードを設定します。

2. このフォルダは、ユーザーまたは管理対象企業のユーザーと共有できます。

3. 共有した後、MSPがフォルダの所有権と閲覧権を放棄することで、管理対象企業のユーザーに移管するようにします。

フォルダ構造を作成するには、ボルトに「お客様」などのフォルダを作成します。フォルダ内には、任意の数の共有フォルダを追加できます。 各共有フォルダは、以下のように技術者間で共有したりチームと共有したりできます。

アカウント移管

アカウント移管機能は非常用の回復メカニズムを備えており、有効化すると、ユーザーが組織を離れる場合、ユーザーのボルトに保存されているすべてのレコードを緊急で回復できます。 管理者を指定してそのユーザーのボルトを回復することが可能で、重要なアクセス認証情報は失われず、ロックアウトを回避できます。

MSPレベルおよび管理対象企業レベルでも、アカウント移管を構成しておくことをお勧めします。移管されたボルトを受け取る管理者は、管理対象企業のローカル管理者である必要があり、MSPスタッフにはボルトを移管できません。

アカウント移行のための管理者パススルー

MSPで管理者パススルーを設定することで、MSP管理者に対し、管理対象企業内でアカウントを移行する権限を付与できます。パススルーの設定には、MSP側と管理対象企業側の両方の「Keeper管理者」ロールにおいて、「アカウント移管」権限を有効にします。その後、手順3に記載されているとおり、「Keeper管理者」ロールを「アカウント移管を実行できるロール」として選択します。

高度なレポートとアラート

Keeperの高度なレポートとアラートモジュール (Advanced Reporting and Alerts Module) (ARAM) は、90を超えるさまざまなイベントタイプのフィルタ表示およびリアルタイムアラートを備えており、これらはすべてユーザーレベルおよび管理者レベルの活動によってトリガされます。これらのイベントタイプは拡張されており、以下のようなMSP固有のオペレーションも含まれています。

リモートセッションでアプリ用KeeperFillを使用する

アプリ用KeeperFillは、ボルト内の情報にアクセスし、ネイティブアプリケーションまたはリモートセッションで入力するための便利なツールです。

コマンドラインSDK

MSP固有のコマンド

Keeperコマンダー使用すると、MSP技術者はMSPおよび管理対象企業のコンテキストを切り替えて、社内および顧客の環境の両方を管理することができます。 MSP固有のコマンドは次のとおりです。

• msp-down: MSPの最新データをダウンロードします

• msp-info: MSPおよび管理対象企業の構成を表示します (switch-to-mcのMC識別子を含む)

• msp-license: 現在のライセンス割り当てを表示します

• msp-license-report: ライセンス割り当て履歴レポートを実行します

• switch-to-mc: 管理対象企業のコンテキストに切り替えます

• switch-to-msp: MSPのコンテキストに戻します

• msp-add: 管理対象企業を追加します

• msp-remove: 管理対象企業を削除します

• msp-convert-node: Enterpriseノードを管理対象企業に変換します。

コマンダーに関するサポートが必要でしたら、commander@keepersecurity.comにメールでお問い合わせください。