search
⮐ Keeper HomeAll DocumentationAdmin Console

基本

hashtag
Keeperボルトとマスターパスワード

Keeperボルトにアクセスするには、各Keeperユーザー (MSP管理者、MSP技術担当者、管理対象企業のユーザーなど) が「マスターパスワード」を設定する必要があります。このマスターパスワードはKeeper専用であり、他のサービスでは使用されません。Keeperのゼロ知識セキュリティアーキテクチャにより、管理者、MSP、さらにはKeeperの従業員であっても、ユーザーのマスターパスワードにアクセスすることはできません。

マスターパスワードは、Keeper管理者が定めるガイドラインに従う必要があり、ロールの適用ポリシーを通じてユーザーに適用できます。マスターパスワードを紛失した場合は、リカバリーフレーズの入力、メール認証、二要素認証を含むゼロ知識リカバリープロセスを通じてアカウントを復旧できます。

また、MSP管理者およびMSP技術担当者は、構成済みのSAML 2.0シングルサインオン (SSO) プロバイダを使用してKeeperに認証することも可能です。SSOが有効な場合、ユーザーにマスターパスワードは設定されません。

hashtag
管理対象企業の分離

Keeper MSPでは、各管理対象企業 (MC) 間で、論理層および暗号化層の両方において厳格かつ安全なデータ分離が行われています。これは、MCの独立性、プライバシー、セキュリティを確保するうえで重要です。また、SOC 2 Type IおよびType IIの統制、ISO 27001、ISO 27017、ISO 27018、FINRA、HIPAAなどのセキュリティおよびプライバシー基準への準拠を維持することにもつながります。Keeperはゼロ知識セキュリティアーキテクチャを採用しているため、各MCのデータは完全に分離され、それぞれのMCに固有の鍵導出アーキテクチャによって暗号化されます。その結果、メール、管理者、チーム、ロール、ボルトデータなどのMC関連データが意図せず共有されることはありません。

MSP技術担当者は、MSPシステムのルートノードレベルに存在し、管理目的で各MCインスタンスに「起動」してアクセスできます。一方、MC内で設定されたローカル管理者には、このルートレベルのアクセス権は付与されておらず、MSPのコンソールやMSPデータへアクセスすることはできません。各MCはそれぞれ独立した組織アーキテクチャ内で厳格に分離されているため、他のMCの管理コンソールやボルトレコードを閲覧または取得することはできません。

hashtag
地域別のSaaSプラットフォーム (US、EU、CA、AU、JP、US_GOV)

新しいMSPおよび管理対象企業アカウントは、US (米国)、EU (欧州)、CA (カナダ)、AU (豪州)、JP (日本)、US_GOV (GovCloud) のいずれかの地理的リージョンに作成されます。MSPまたは管理対象企業のリージョンを選択して確定すると、環境を再作成しない限り、そのリージョンを変更することはできません。

hashtag
MSPの主な補完機能

hashtag
ライセンス割り当てと使用量の請求

KeeperのMSP従量課金モデルでは、MSPおよびその管理対象企業(MC)がユーザーにKeeperライセンスを割り当て、使用したライセンス分を翌月初めに支払う仕組みになっています。管理対象企業は、ユーザーを追加するだけで、ライセンスを割り当てることができます。

circle-info

MSP管理により、管理対象企業が割り当てられるライセンスの最大数の制限を設定できます (デフォルトでは制限なし)。

hashtag
アドオン機能の追加と削除

MSPは、社内での使用のため、または管理対象企業に対して、いつでもアドオン機能を追加したり削除したりできます。MSPには毎月、「1日の平均使用量の概要」が提供され、利用単位数に基づいてその月の料金が算出されます。大部分のアドオン機能については、月末に1日の平均ライセンス数を使用してその月の請求金額が算出されます。

hashtag
ロールおよび強制適用ポリシー

管理者はロールを作成し、各ロールに属するユーザーに対してさまざまな適用ポリシーを設定できます。プラットフォームの制限や強力なパスワードの必須化など、多様な制御を適用できます。また、管理業務を担う担当者には、昇格権限を持つロールを割り当てることも可能です。これにより、チームやロールの管理、レポートの実行など、さまざまな操作を行うことができます。

強制適用ポリシー

ロールは階層型の「ツリー」構造で設定されます。権限の可視性および継承は、現在のノードより下位にあるノードに限定され、同階層のノード (兄弟ノード) には適用されません。ノードは、MSPレベルおよびMCレベルの両方で利用できます。

ノード構造

hashtag
管理権限

MSP管理者にはさまざまな操作を承認する権限も付与されています。

MSPの会社の管理権限

「企業を管理」権限が有効になっているMSP技術担当者は、ワンクリックでMCの管理コンソールにアクセスできます。これにより、MSP技術担当者はMCのKeeper管理コンソールを設定および管理するための管理者権限を持ちます。管理コンソールでは、MCのユーザー、ロール、チームの設定、適用ポリシーの構成、指定ユーザーへのKeeperボルトのプロビジョニング、さらに詳細なイベントログおよびレポート機能を通じたパスワードセキュリティの監視を行うことができます。

また、既定で「MSPサブスクリプションマネージャー」ロールが用意されており、MSP管理者はMSP内部のサブスクリプションを管理できます。

MSPサブスクリプションマネージャのデフォルトロール

hashtag
チームと共有フォルダ

チームを作成すると、チームメンバーでログイン情報を共有することができます。ログイン情報は複数のレコードとしてフォルダ内に格納されます。

MSPでは、この機能を使用して管理対象企業が使用するパスワードを設定ができます。

  1. 初期の「所有者」であるMSP技術担当者が、各種レコード、URL、ユーザー名、初期パスワードを設定します。

  2. このフォルダは、ユーザーまたは管理対象企業のユーザーと共有できます。

  3. 共有した後、MSPがフォルダの所有権と閲覧権を放棄することで、管理対象企業のユーザーに移管するようにします。

フォルダ構造を作成するには、ボルトに「お客様」などのフォルダを作成します。フォルダ内には、任意の数の共有フォルダを追加できます。 各共有フォルダは、以下のように技術者間で共有したりチームと共有したりできます。

ボルトの共有フォルダ

hashtag
アカウント移管

組織ではアカウント移管機能を有効にできます。この機能を有効にすると、ユーザーが退職した場合でも、そのユーザーのボルトに保存されているすべてのレコードを回収できるようになります。これにより、重要なアクセス認証情報の喪失を防ぎ、ロックアウトのリスクを回避できます。あらかじめ移管先となる管理者を指定しておくことで、該当ユーザーのボルトを引き継ぐことが可能になります。

アカウント移管は、MSPレベルおよびMCレベルの両方で設定することを推奨します。移管先は同じMC内のユーザーに限定されており、MSPスタッフへボルトを移管することはできません。

hashtag
アカウント移行のための管理者パススルー

MSPでは、管理対象企業内でアカウントを移管できるようにするための管理権限の連携を設定できます。これにより、MSP管理者が管理対象企業内のアカウントを移管できるようになります。

設定手順としては、まずMSPおよび管理対象企業の両方にある「Keeper管理者」ロールで「アカウント移管」管理権限を有効にします。その後、こちらのページの手順3で説明しているとおり、「Keeper管理者」を「アカウント移管を実行できるロール」として選択します。

circle-info

管理権限の連携機能では、MC内の「デフォルト」のKeeper管理者ロールを使用します。ユーザーが作成したロールでは、連携機能は実行されません。ユーザー作成のロールは、管理対象企業内のローカル管理者によって開始されたボルトの移行にのみ使用できます。

hashtag
高度なレポートとアラート

Keeperの高度なレポートとアラートモジュール (Advanced Reporting and Alerts Module) (ARAM) は、200を超えるさまざまなイベントを対象に、フィルタリング表示やリアルタイムアラートを利用できます。対象となるイベントには、MSP固有の操作も含まれています。

hashtag
リモートセッションでアプリ用KeeperFillを使用する

アプリ用KeeperFillを使用すると、ボルト内の情報に簡単にアクセスでき、ネイティブアプリケーションやリモートセッションへ自動入力できます。

最新バージョンのKeeperデスクトップアプリarrow-up-rightをダウンロードすると、MacOSおよびWindowsデバイスの両方でアプリ用KeeperFillをすべての機能で利用できます。Keeperデスクトップアプリにログインすると、同時にアプリ用KeeperFillにもログインされます (その逆も同様です)。Keeperデスクトップアプリのウィンドウを閉じても、アプリケーションはバックグラウンドで動作を続けます。MacOSではメニューバーから、Windowsではシステムトレイから、使い慣れたKeeperアイコンを通じて再度アクセスできます。

hashtag
コマンドラインSDK

Keeperコマンダーは、コマンドライン、Python、.Net、PowerShell対応のSDKで、MSP技術担当者向けの特別な機能が使用できます。 Keeperコマンダーの詳細については、こちらのページをご参照ください。

MSP固有の機能が表示されたKeeperコマンダー

hashtag
MSP固有のコマンド

Keeperコマンダー使用すると、MSP技術担当者がMSP環境と管理対象企業環境を切り替えながら、社内環境と顧客環境の両方を管理できます。

  • msp-down MSPの最新データをダウンロードします。

  • msp-info MSPおよびMCの構成情報を表示します。switch-to-mcで使用するMC識別子も確認できます。

  • msp-license 現在のライセンス割り当て状況を表示します。

  • msp-license-report

    過去のライセンス割り当て状況のレポートを実行します。

  • switch-to-mc 管理対象企業の環境に切り替えます。

  • switch-to-msp MSPの環境に戻ります。

  • msp-add 管理対象企業を追加します。

  • msp-remove 管理対象企業を削除します。

  • msp-convert-node

    エンタープライズノードを管理対象企業へ変換します。

circle-info

MSP管理コマンドの完全なリストについては、こちらをご参照ください。

コマンダーに関するサポートが必要でしたら、[email protected]にメールでお問い合わせください。

前へはじめに次へ従量制課金モデル

最終更新