強制適用ポリシー

概要

Keeperのロール強制適用ポリシーにより、Keeper環境のセキュリティと機能性をきめ細かくコントロールできます。

ログイン設定

SSOユーザーのマスターパスワード作成

このオプションは、「代替手段としてのマスターパスワード」とも呼ばれ、SSOでログインするユーザーがマスターパスワードでもログインできるようになります。SSO接続がダウンしている場合やユーザーがオフラインの場合に便利です。また、SSOでログインするユーザーがKeeperコマンダーCLIにログインする場合にも使用できます。

普段は法人SSO ログイン (SAML 2.0) を使用してKeeperボルトにログインしているユーザーでも、マスターパスワードを使用してウェブボルト、KeeperFill、Keeperコマンダーにログインできるようになります。この機能を利用するには、Keeper管理者がロールポリシーで有効にした上で、ユーザーが自分で設定します。この機能を有効にすると、SSOでログインするユーザーもマスターパスワードを使用してオフラインでアクセスできるようになります。

このポリシーが有効になると、ユーザーは以下の手順に従って代替手段としてのマスターパスワードを使えるようにします。

1. SSOを使用してウェブボルトにログインします。

2. 設定画面にアクセスし、[セットアップ] か [編集] をクリックしてマスターパスワードを設定します。

3. 設定が完了すると、[法人SSOログイン] > [マスターパスワード] からログインできるようになります。

マスターパスワードの複雑さ

マスターパスワードの複雑さに関するポリシーは、該当のロールが付与されているユーザーのパスワードの複雑さに適用されます。

以下の設定項目があります。

• パスワードの長さ

• 数字の数

• 記号の数

• 大文字の数

• 小文字の数

マスターパスワードの複雑さとデフォルトのロールに関する注意事項

ユーザーが最初にボルトを作成する際、マスターパスワードの複雑さに関するルールの適用のため、管理コンソール内のすべてのデフォルトロールが参照されます。マスターパスワードの複雑さに関するルールは、各デフォルトロールの最大値を基に決定されます。

アカウントが作成されると、ユーザーに割り当てられたロールを使用してマスターパスワードの複雑さに関する要件が継続的に適用されるようにします。

Keeperボルトのアカウントを作成する際、ユーザーはこの複雑さに関する要件を遵守する必要があります。

マスターパスワードの有効期限

マスターパスワードの有効期限ポリシーを利用すると、ユーザーは指定の間隔 (日数) でマスターパスワードを変更しなければなりません。このポリシーを有効にした場合、マスターパスワードが期限切れになると、ユーザーは次回のログイン時に強制的に新しいマスターパスワードに更新しなければならなくなります。マスターパスワードの変更が必要になるまでの日数を設定するには、10～150日の範囲で選択します。

ユーザーのマスターパスワードを直ちに失効させる必要がある場合は、「ユーザー」タブからマスターパスワードを失効するユーザーを選択し、[マスターパスワード失効] を選択します。これにより、ユーザーのマスターパスワードが直ちに失効し、パスワードリセットが必要になります。

生体認証

Windows Hello、Touch ID、Face ID、Android生体認証がネイティブでサポートされています。通常、マスター パスワードまたはエンタープライズSSOログインを使用してKeeperボルトログインするユーザーは、生体認証を使用してデバイスにログインすることもできます。「オフラインアクセスの制限」の強制が適用されていない限り、マスター パスワード使用のユーザーもSSOユーザーのユーザーも、生体認証を使用してオフラインアクセスを使用できます。

本機能はオペレーティングシステムの既存の生体認証機能と統合されているため、Keeperではユーザーの生体認証データを保存も処理もされません。

二要素認証 (2FA)

二要素認証ポリシーを有効にすると、ユーザーはKeeperプロファイルの設定時に二要素認証の方式の設定が必要となります。この設定が適用されると、既存のユーザーは二要素認証を有効にしなければなりません。

• 二要素認証を適用すると、アカウント作成時またはログイン時に二要素認証の設定を案内するプロンプトが表示されます。

• 二要素認証を適用すると、ユーザー側から無効にすることはできませんが、編集により二要素認証を再設定できます。

• 二要素認証の適用に加えて、新しいコードで再認証を促す頻度も指定できます。

• 管理者によって管理コンソールのユーザー詳細画面からそのユーザーの二要素認証を一時的に無効にできます。

ユーザーに対して二要素認証を設定すると、コード入力を求める頻度に関係なく常にKeeperサーバー側で二要素認証が適用されます。ユーザーが二要素認証コードで認証されるとデバイスでトークンが生成され、バックエンドシステムとの後続の通信に使用されます。

また、管理者によりユーザーのデバイス側でコードの入力を促す頻度が指定できます。たとえば、ウェブボルトおよびKeeperデスクトップのユーザーにはログイン毎にコード入力を求め、モバイル端末のユーザーには、30日に1回だけ求めるような指定ができます。ただし、新しいデバイスにログインする際には、必ずコード入力が求められます。

二要素認証を求める頻度に加えて、ロール内でユーザーが使用できる二要素認証の方式も指定できます。 ロールに応じて異なる方式を適用できます。

以下の二要素認証方式に対応しています。

• FIDO2 WebSuthnセキュリティキー (PIN確認対応)

• TOTP (Google Authenticator、Microsoft Authenticator、任意のTOTPジェネレータ)

• スマートウォッチ (Apple WatchまたはAndroid Wear)

• RSA SecurID

• Duo Security

• テキストメッセージ (SMS)

二要素認証とデバイス承認

Keeperの認証システムにはデバイス承認機能が備わっており、未承認デバイスにログインしようとする際には2つ目の要素としてメール確認を行います。ユーザーが二要素認証を設定済みである場合は、メール確認の代わりにデバイス承認の方法として使用できます (たとえば、メールにアクセスできない場合など)。

プラットフォーム制限

ウェブボルト、KeeperFIll、モバイル、Keeperデスクトップ、コマンダーSDK、KeeperChatなど、特定のプラットフォームでのKeeperボルトの使用を制限できます。

ボルト機能

ロールを持つユーザーに対して、ボルトの標準機能の使用を制限します。

クイックスタートウィザードを無効にする

ONにすると、ユーザーが初回ログインする際にユーザーのボルトにクイックスタートウィザードが表示されなくなります。

カスタムフィールドをマスク (伏せ字表示)

ONにすると、すべてのカスタムフィールドの名前と値が強制的にマスクされます。マスクを解除するには、目のアイコンをクリックします。

メモをマスク (伏せ字表示)

レコードのメモセクションがマスクされます。マスクを解除するには目のアイコンをクリックします。

パスワードをマスク (伏せ字表示)

デフォルトでは、パスワードはKeeperのすべてのプラットフォームで常にマスクされます。iOSおよびAndroidデバイスでは、ユーザーがパスワードマスクのON/OFFを切り替えることができます。この設定を有効にすると、マスキングが常に有効な状態になります。パスワードを表示するには目のアイコンをクリックします。

クライアントデバイスでBreachWatchを一時停止

有効にすると、BreachWatchイベントがデバイスからKeeper管理コンソールに送信されなくなります。テストデータを使用したり、管理コンソールの初期設定を行う場合にのみ使用します。BreachWatchイベントを一時停止することで、管理コンソールや接続先のレポートシステムでイベントが生成されなくなります。

BreachWatchのイベントをレポートシステムと外部SIEMに送信

再認証の要求 (マスターパスワードか生体認証)

この設定を使用すると、以下の操作を実行しようとする際にマスターパスワードか生体認証での再認証が必要となります。

• パスワードの自動入力

• パスワードや伏せ字フィールドの表示とコピー

• レコードレコードやフォルダの編集、共有、削除

また、[上でオンにした操作を行なっても再認証を保留する (行わない) 時間を設定する] ことにより、再認証が要求されるまでの保留時間を分単位で指定することができます。

注: この機能はSSOユーザーには適用されません。

削除したレコードの保持期間

デフォルトでは、削除したレコードはレコード所有者の「削除済みアイテム」に移動されます。削除済みアイテムの処理を制御するための2つの強制ポリシーがご利用になれます。

• レコードが完全削除されるまでの日数

• 削除したレコードが自動消去されるまでの日数

ユーザーが誤ってボルト内のレコードを完全に削除してしまうのを防止するため、レコードが完全に削除されまでゴミ箱に留まる日数を指定できます。

また、ユーザーが「削除済みアイテム」に移動したレコードを特定期間後に自動的に完全削除されるよう設定することもできます。

レコード内パスワード

Keeperのパスワードとパスフレーズ生成ツールは、一般的なポリシーとしても特定のウェブ サイトドメインに対しても適用できます。

パスワード生成ツール

エンドユーザーボルトのパスワード生成ツールは、ここで定義されている最小文字数、小文字、大文字、数字、記号の各最小数、使用できる記号の設定に基づいて機能します。パスワード生成ツールで使用される記号は、リストからの選択したものに制限されます。デフォルトでは、すべての記号が使用できる設定となっています。

パスフレーズ生成ツール

エンドユーザーボルトのパスフレーズ生成ツールはデフォルトは有効となっていますが、管理者によって無効にすることができます。最小の単語数を設定したり、大文字と数字を含むように設定したりできます。単語間の区切り文字は、使用が許可されている記号から選択されます。デフォルトでは、すべて記号が使用できるようになっています。

ドメイン限定でのパスワード、パスフレーズ、記号のポリシー

ドメイン限定ポリシーを使用すると、管理者は特定のドメイン名や一致するドメインパターンに対してパスワードの複雑さに関するプライバシー ルールを適用できます。

以下のようにワイルドカード (*) を使用すると、複数のドメインに対して最低限のパスワードの複雑さのルールを作成できます。

• *.amazon.com

• *.google.com

• *.gov

• example.com

• *.example.com

ワイルドカード文字 (*) を単独で使用してグローバルドメインルールを作成することもできます。ルールが重複する場合は、最も厳しい制限が生成されることにご留意ください。ワイルドカードを単独で使用した場合、ドメイン名の値を含むすべてのレコードに対してポリシーが適用されます。

プライバシー画面を適用 (パスワード表示を禁止)

ロールポリシー単位の適用ではパスワードの複雑さに関するポリシーと連動し、ドメインごとにパスワードを表示 (マスク解除) できるようにします。このポリシーが適用されると画面でパスワードがマスクされるため、万一画面上のパスワードを覗き見されても安全です。

レコードの編集権限または所有者権限を持つユーザーに適用した場合、レコードを編集する際にパスワード生成ツールを使用しなければならなくなります。

パスワードのマスキングは視覚的なものに過ぎません。パスワードはボルトに保管されたままであり、API通信およびウェブページの要素を検証することでアクセスできます。管理者側でユーザーがウェブページの要素を検証できないようにしたい場合は、グループポリシーを使用してユーザーがブラウザのデベロッパーツールを使用できないようにすることを推奨します。

この機能はパスワードの複雑性に関する設定内でも有効にできます。[パスワードの複雑さ] でドメインを追加して [プライバシー画面を適用] ボックスをチェックします。

ボルト内ではURLに一致するレコードはすべてロックされるので、ユーザー側ではパスワードのマスク表示を解除できません。

同様に、KeeperFillでもプライバシー画面が発動します。

プライバシー画面機能の詳細については、以下の動画をご覧ください。

レコードタイプ

アカウントのレコードタイプが有効になっている場合、さらに特定のレコードタイプを有効にしたり無効にしたりできます。デフォルトのレコードタイプとカスタムレコードタイプのどちらも、ロールの権限に基づいて有効にしたり無効にしたりできます。カスタムレコードタイプはデフォルトタイプの下に表示されますが、各ユーザーのボルト設定内で表示の順序を変更できます。

特定のレコードタイプを無効ににすると、ユーザーのボルト内のドロップダウンで表示されなくなります。

管理コンソールで1つレコードタイプのみを有効にした場合、ボルト内でレコードを作成する際にレコードタイプ選択のポップアップは表示されず、あたかもレコードタイプ自体が無効になっているかように進行します。

レコードタイプが無効になっている別の組織とレコードを共有する場合、組織でレコードタイプが有効になるまで表示はされませんが、レコードタイプのデータ自体は存在します。

作成と共有の権限設定

管理者はユーザーがレコードを作成したり共有したりする際に、広範囲にわたる制限を適用できます。

作成に関する設定

「作成に関する設定」では、ユーザーにレコード、フォルダ、共有フォルダなどの作成を許可するかどうかを設定します。

作成機能は以下のようにカスタマイズできます。

• レコードの作成 (レコードとフォルダの作成を共有フォルダ内のみに制限する機能が含まれます)

• フォルダの作成 (フォルダの作成を共有フォルダ内のみに制限する機能が含まれます)

• 共有フォルダの作成

• KeeperFillを使用して、[個人情報とカード情報] タブでクレジットカード情報のレコードや住所のレコードなどを作成

• ファイルのアップロード

共有に関する設定

「共有に関する設定」では、ユーザーがワンタイム共有リンクや添付ファイルなどを共有したり受けとったりできるかを設定します。

共有は以下のようにカスタマイズできます。

• 共有する、共有される

• 共有フォルダ内にレコードを追加することでのみ他のユーザーと共有できるようにすることで、他のユーザーをレコードや共有フォルダに追加できないようにする

• 他のユーザーからの共有のみ許可することで、他のユーザーをレコードや共有フォルダに追加できないようにする

• 共有することも共有されることもできなくすることで、レコードや共有フォルダに他のユーザーを追加したり、他のユーザーから共有されたりできないようにする (この強制が有効になっている場合、ワンタイム共有リンクの生成、添付ファイル付きレコードの共有、組織外のユーザーとの共有の機能はデフォルトで無効になります)。

以下の機能を個別に制限することもできます。

• ワンタイム共有リンクの生成

• 添付ファイルを含むレコードの共有

• 分離ノード外への共有

• 組織外のユーザーとの共有

• 組織外のユーザーからの共有

インポートとエクスポート

「インポートとエクスポート」では、ボルトからのインポートおよびエクスポートの設定をコントロールできます。

以下のようにカスタマイズできます。

• ボルトへインポート (LastPassからの共有フォルダのインポートの制限を含む)

• ボルトからエクスポート

KeeperFill

KeeperFillは、ウェブサイトやアプリケーションでのログイン時に自動入力を支援するブラウザ拡張機能です。

KeeperFillブラウザ拡張機能

KeeperFillのさまざまな機能を個別にコントロールできます。

使用できる設定

• カギをホバー表示の有無

• 自動入力候補の表示の有無

• 自動入力の有無

• 自動送信の有無

• サブドメインが一致するレコードのみ表示するかどうか

• パスワード入力ポップアップを開く

• パスワード保存ポップアップを開く

• パスワード変更ポップアップを開く

• KeeperFill動作不能時のポップアップを開く

• HTTPウェブサイトでパスワードを入力しようとする際の警告の発動

特定のウェブサイトでKeeperFillを無効にする

管理者によって特定のウェブサイトでKeeperFillを使用できないように設定できます。その際、ワイルドカード文字を使用してドメイン名やURLを指定できます。多くのフォームフィールドを持つ内部アプリケーションに対してKeeperFillを無効にするという使用例が考えられます。

アカウント設定

オフラインアクセスを禁止

有効にすると、インターネットアクセスがない場合にKeeperボルトにアクセスできなくなります。

メールアドレスの変更を禁止

有効にすると、ユーザーはメールアドレスの変更ができなくなります。なお、SSOでログインするユーザーは自身のメールアドレスを変更できません。

自己破壊 (自動消滅)

このポリシーを有効にすると、該当ロールを付与されたユーザーは、間違ったパスワードを使用してログインに5回失敗すると、ローカルに保存されているすべてのKeeperのデータが消去されます。

Keeperファミリーライセンスの使用を禁止

「ログイン状態を維持」を禁止

この強制ポリシーを有効化すると、該当ロールを持つユーザーのログイン状態維持機能が使えなくなります。 「ログイン状態維持」機能を利用すると、非アクティブタイマーが切れるまではブラウザやコンピュータを再起動しても、ウェブボルト、Keeperデスクトップ、KeeperFillへのログイン状態を維持できます。

「ログイン状態維持」のデフォルトのユーザー設定

該当ロールの新規ユーザーのデフォルトの「ログイン状態を維持」設定をオンかオフに設定します。この設定は新規ユーザーにのみ適用され、遡及的には適用されません。

ログアウトタイマー

ユーザーが非アクティブ状態 (待機状態) になったときに、Keeperから自動的にログアウトするまでの時間を設定します。ウェブ、モバイル、デスクトップの各Keeperアプリで異なる時間を分単位で指定できます。非アクティブ状態で指定した時間が経過すると、ユーザーはログアウトします。ユーザー自身が個々に設定した時間の方が長い場合は、ここでの設定時間に短縮されます。

アカウントの復元

マスターパスワードを忘れた場合にボルトを回復する非常手段として、自動生成される24語から成るリカバリーフレーズの使用があります。SSO IDプロバイダが使用できない場合は、アカウント回復を使用してアカウントにログインすることもできます。

Keeperへの招待

招待メールを送信しない

このポリシーを有効にすると、ロールのユーザーへアカウントがプロビジョニングされる際に招待メールが送信されません。使用例としては、管理者がシステムの招待メールではなく独自に作成した招待メールを送信したい場合が考えられます。また、管理者が招待プロセスをテストする際にもご利用になれます。

招待メールを自動的に再送信する

新規ユーザーに送信されるKeeperの招待メールは、ユーザーが特定の時間内にアカウントを作成しない場合、自動的に再送信されます。 デフォルトの設定は、招待メールの送信は1回限りとなっていますが、必要に応じて頻度を増やせます。

デフォルトではKeeperの招待メールは7日間のみ有効ですので、自動的に再送することを推奨します。

IPのホワイトリスト

特定のロールを持つユーザーに対して、指定のIPアドレス範囲以外でKeeperを使用することを禁止できます。IPアドレスは、ログイン時にKeeperインフラストラクチャによって認識される外部 (パブリック) アドレスでなければなりません。IP範囲を追加するには、[範囲を追加] をクリックします。

Keeperシークレットマネージャー

ロールに対してKeeperシークレットマネージャーを有効にすると、ウェブボルト、Keeperデスクトップアプリ、コマンダーCLIに、シークレットマネージャー機能が表示されるようになります。

Keeperシークレットマネージャーの詳細については、以下のページをご覧ください。

Keeperパスワードローテーション

Keeperパスワードローテーションにより、クラウドベースでもオンプレミス環境でも安全に認証情報をローテーションすることができます。パスワードローテーションがロール上で有効になっている場合、パスワードローテーション機能がウェブボルト、Keeperデスクトップ、コマンダーCLIに表示されます。

特権アクセス管理

KeeperPAMをお使いでしたら、[特権アクセス管理] のタブから、特権アクセス機能のロール権限を管理できます。これにはKeeperシークレットマネージャーの権限も含まれます。

• アプリケーションを作成、シークレットを管理

• Keeperゲートウェイを作成、展開、管理

• ローテーション設定を構成

• 認証情報をローテーション

• 接続設定を構成

• 接続を開始

• セッション録画を表示

• トンネル設定を構成

• トンネルを開始

• リモートブラウジングを構成

• リモートブラウジングを開始

• RBIセッションの録画を表示

• 検出を実行

アカウント移管

アカウント移管を有効にするには、スイッチをONにしてアカウント移管を実行できるロールをドロップダウンメニューから選択します。

KeeperコマンダーCLIでのポリシーの管理

以下は、「Engineering」のロールがレコードをエクスポートできないように制限する例となります。

enterprise-role Engineering --enforcement "RESTRICT_EXPORT:True"

概要動画

強制適用ポリシーの詳細については、以下の動画をご覧ください。