導入
Keeper MSPの導入プロセス
Last updated
エンタープライズガイド (企業、組織向け)
Keeper MSPの導入プロセス
Last updated
次のセクションでは、将来的に管理や運用を担うクライアントにインスタンスを引き渡すのではなく、MSPが管理対象企業を作成し管理することについて説明します。
設計を開始する前に、すべてのアカウントの全体的な顧客ベースを把握し、できるだけ多くの共通点を抽出することをお勧めします。 すべての管理対象企業に共通する要件を探します。すべての管理対象企業が互いに近いほど、全体として管理しやすくなります。 目標は、将来の管理対象企業に再利用可能なテンプレート化した手順を作成することです。
以下の表では、すべてのMCで「ボルトの移管が必要」という名前のロールを使用します。一見すると、各MCごとに異なる二要素要件を扱うために、「二要素認証 (2FA)」という名前のロールを作成したくなるかもしれません。しかし、Keeperには10を超える二要素認証 (2FA) のオプションがあるため、この名前は曖昧です。プラットフォームを長期的に管理するには、ロールに適用する正確な設定に関する名前を付けることをお勧めします。目標は、すべての管理対象企業で名前と結果が一貫していることです。
ロールはプラットフォーム管理に関するものであるため、MC間で多くの共通性があります。一方で、さまざまなビジネス要件により、チームや共有フォルダはMC固有になる傾向があります。 以下の表は、特定のMCに存在する各チームに1つの共有フォルダを作成しています。表とは異なり、すべての管理対象企業で共通の命名規則を使用するようにします。ある管理対象企業で「AP」チームを作り、別の管理対象企業で「Account Payable (AP、買掛金)」チームを作ったりしないでください。
MC1
ボルトの移管が必要 二要素認証が必要
マスターパスワードの複雑さ
IT
HR
AP
チームごとの共有
MC2
ボルトの移管が必要 二要素認証は
オプション
モバイルデバイスのアクセスなし
買掛金部門
AP
チームごとの共有
MC3
ボルトの移管が必要
Officeアクセスのみ
N/A
営業
IT
AP
コンソールインターフェースから、新しい管理対象企業を作成し、プロビジョニング方法を決定し、必要なロールとチームを作成します。
また、会社のロゴやカスタマイズしたEメールの招待状など、必要なを作成します。
「MC」を作成したら、の構造に影響するため、プロビジョニング方法を選択する必要があります。 または を使用する場合、プロビジョニング方法をホストにするには、ノードを追加する必要があります。この例では、基本的なマスターパスワードアクセスと手動プロビジョニングを使用しているため、ノードの追加は必要ありません。
オンプレミスSSO接続 (On-Prem SSO Connect) およびAD Bridgeは、サービスをバインドするために、管理対象企業内の管理者アカウントが必要です。前述のサービスのいずれかを設定する場合、管理者のEメールによって、バインドするインスタンスがサービスに通知されます。
管理コンソール内で必要なすべてのロールを作成します。ロールは積み重ねることができます。ユーザーは複数のロールに属することが可能で、合計したロールの最も厳しい結果が適用されます。Keeperは、事業部門や地理的な位置ではなく、提供する機能に合わせたロールの名前を付けることを推奨しています。ボルトの移管のロールを適用する場合、「ボルトの移管」という名前を付けます。
「ノードとサブノードのデフォルトロールとして設定」を含むすべてのロールは、「チームの作成」オプションが有効な場合、自動的にすべての新規ユーザーが割り当てられます。 また、ロールはユーザーとチームの両方に含めることができるため、チームメンバーとして、ユーザーを間接的にロールに追加することもできます。
小規模な会社の場合、必要なロールは2つのみです。プラットフォーム管理に使用する管理者ロール、および一般ユーザーベース用のロールです。Keeperは、以下のように最小の「ロール強制」ポリシーを有効化することを推奨します。
ログイン設定
長さ
12文字以上
ログイン設定
有効期限
90日
二要素認証
二要素認証の使用が必要
ON
二要素認証
すべてのプラットフォーム
ログインごとにコードを要求
アカウント設定
「ログイン状態を維持」の解除
ON
アカウント設定
ログアウトタイマー (すべて)
10分
アカウント設定
IPのホワイトリスト化
以下の注記を参照
アカウント移管
アカウント移管を有効化
ON
管理者アクセスは、「IPのホワイトリスト化」を作成することで、公開されている管理対象企業の送信IPアドレスに制限することができます。これを行うには、管理者は、管理対象企業のLANまたはVPNにアクセスしてプラットフォームを管理する必要があります。
ログイン設定
長さ
10文字以上
ログイン設定
有効期限
90日
二要素認証
二要素認証の使用が必要
以下の注記を参照
二要素認証
すべてのプラットフォーム
以下の注記を参照
共有&アップロード
エンタープライズ以外の共有を禁止
ON
共有&アップロード
レコードのエクスポートを禁止
ON
アカウント設定
ユーザーのメールアドレス変更を禁止
ON
アカウント設定
「ログイン状態を維持」の解除
ON
アカウント設定
ログアウトタイマー(すべて)
15~90分
アカウント移管
アカウント移管を有効化
ON
アカウント移管
対象ロール
Keeper管理者
通常、二要素認証は、マスターパスワードベースの認証を目的に構成されます。特に、モバイル端末の場合、「ログインごとにコードを要求」ポリシー設定を利用するよう、クライアントに促してください。デスクトップクライアントには、「30日ごとにコードを要求」がしばしば使用されます。 SSO認証を使用しており、IDプロバイダ (idP) の二要素認証が有効な場合、オフまたは設定を解除することができます。デフォルトでは、強制ポリシー内で「利用可能な」すべての方法が明示的に無効化されている場合を除き、ユーザーは引き続き二要素認証を設定し使用することができます。
チームを利用すると、共有するユーザーをグループ化したり、追加の共有オプションを適用できます。SCIMプロビジョニングを使用する場合、チームのロール割り当てを通して、間接的にユーザーをロールに追加できます。
必要に応じて、適用するロールマッピングを追加します。
Keeperには、ユーザー登録のための複数のオプションが用意されています。複数の方法を並行して使用できます。
管理コンソールを利用した手動入力
管理コンソールを利用したCSVインポート
Keeperのゼロ知識アーキテクチャにより、アカウントの復旧には追加の設定が必要となる場合があります。SSO (シングルサインオン) を使用している場合、管理者はIdP (アイデンティティプロバイダ) のユーザー管理インターフェースからエンドユーザーのパスワードリセットを実行できます。一方、マスターパスワード方式のユーザーにはこの方法が利用できないため、復旧を可能にするためには追加の手順が必要です。
マスターパスワード方式のユーザー向けの第一の手段は、自己対応型のリカバリー方法です。これは、ボルトの初期設定時に構成された24語の自動生成フレーズ (リカバリーフレーズ) を使用します。ユーザーがこのリカバリーフレーズを忘れてしまった場合でも、管理者によってアカウント移管ポリシーが設定され、かつエンドユーザーによってそのポリシーが受諾されていれば、アカウント移管機能を用いてボルトの復旧が可能です。
ボルト移管の設定の詳細については、を参照してください。
必要なすべてのを作成します。
ユーザーを登録する前に、特定のKeeperのブラウザ拡張、デスクトップアプリ、およびモバイルアプリを配布できます。では、ソフトウェアの一元的な配布方法の詳細について説明します。
「Plus」ライセンスタイプを持つ管理対象企業は、Keeperの高度なレポートとアラート (Advanced reporting and Alerts) モジュールにアクセスできます。必要に応じて、SIEMログの転送、アラートやカスタムレポートの作成を行う必要があります。以下を参照してください
Keeperのエージェントを利用したActive Directoryのプロビジョニング
Keeperのまたはを利用した (JIT) プロビジョニング
IDプロバイダ (IdP) を利用した
APIを利用した
ドメイン入力による
API/CLIインターフェースによる高度な
「Plus」ライセンスタイプを持つ管理対象企業は、Keeperの高度なレポートとアラート (Advanced reporting and Alerts) モジュール (ARAM) を利用できます。SIEMおよびSyslog転送の設定については、こちらをご覧ください 。ベストプラクティスとサンプルのレポートとアラートについてはこちらをご覧ください 。