# 強制適用ポリシー

## 概要 Keeperのロール強制適用ポリシーにより、Keeper環境のセキュリティと機能性をきめ細かくコントロールできます。 ### ポリシーの種類 * [ログイン設定](#login-settings) * [2要素認証](#two-factor-authentication-2fa) * [プラットフォーム制限](#platform-restriction) * [ボルト機能](#vault-features) * [レコード内パスワード](#record-passwords) * [レコードタイプ](#record-types) * [作成と共有の権限設定](#creating-and-sharing) * [インポートとエクスポート](#import-and-export) * [KeeperFill](#keeperfill) * [アカウント設定](#account-settings) * [IPのホワイトリスト](#allow-ip-list) * [特権アクセス管理](#privileged-access-manager) * [アカウント移管](#transfer-account) *** ## ログイン設定

### マスターパスワードの複雑さマスターパスワードの複雑さに関するポリシーは、該当のロールが付与されているユーザーのパスワードの複雑さに適用されます。 ![マスターパスワードの複雑さ](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FR4zobOBKfc0pc0m5ElKY%2FJP_Master_Enforcement.png?alt=media\&token=91f7b4c8-9b2b-41bb-93aa-29582875692e) 以下の設定項目があります。 * パスワードの長さ * 数字の数 * 大文字の数 * 小文字の数 * 記号の数 **マスターパスワードの複雑さとデフォルトのロールに関する注意事項** ユーザーが最初にボルトを作成する際、マスターパスワードの複雑さに関するルールの適用のため、管理コンソール内のすべてのデフォルトロールが参照されます。マスターパスワードの複雑さに関するルールは、各デフォルトロールの最大値を基に決定されます。アカウントが作成されると、ユーザーに割り当てられたロールを使用してマスターパスワードの複雑さに関する要件が継続的に適用されるようにします。 ![デフォルトロールは、マスターパスワードの複雑さ要件を計算するために使用されます（新規アカウントのみ）](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FpvsGDoG6PJxONfJuReOG%2FJP_Roledefault.png?alt=media\&token=ef581cfb-c230-48ee-a38a-260414162279) Keeperボルトのアカウントを作成する際、ユーザーはこの複雑さに関する要件を遵守する必要があります。 ![マスターパスワードの複雑さの適用](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FGY8qx7vbHoAfad8BNveL%2FJP_MasterPassword%20change%20error.png?alt=media\&token=f927bfec-6278-4dbd-872b-7805fe385b79) ### マスターパスワードの有効期限マスターパスワードの有効期限ポリシーを利用すると、ユーザーは指定の間隔 (日数) でマスターパスワードを変更しなければなりません。このポリシーを有効にした場合、マスターパスワードが期限切れになると、ユーザーは次回のログイン時に強制的に新しいマスターパスワードに更新しなければならなくなります。マスターパスワードの変更が必要になるまでの日数を設定するには、10～150日の範囲で選択します。 ![マスターパスワードの有効期限](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FifIpgI8fWRvWRoEasHWd%2FJP_Master%20Expire.png?alt=media\&token=430b940d-8a4f-4a64-ba4c-618ff7e3e72a) {% hint style="info" %} 本機能はクラウドSSOコネクトを使用してログインするユーザーには影響しません。 {% endhint %} ユーザーのマスターパスワードを直ちに失効させる必要がある場合は、**「ユーザー」**タブからマスターパスワードを失効するユーザーを選択し、**\[マスターパスワード失効]** を選択します。これにより、ユーザーのマスターパスワードが直ちに失効し、パスワードリセットが必要になります。 ### SSOユーザーのマスターパスワード作成このオプションは、「代替手段としてのマスターパスワード」とも呼ばれ、SSOでログインするユーザーがマスターパスワードでもログインできるようになります。SSO接続がダウンしている場合やユーザーがオフラインの場合に便利です。また、SSOでログインするユーザーがKeeperコマンダーCLIにログインする場合にも使用できます。

普段は法人SSO ログイン (SAML 2.0) を使用してKeeperボルトにログインしているユーザーでも、マスターパスワードを使用してウェブボルト、KeeperFill、Keeperコマンダーにログインできるようになります。この機能を利用するには、Keeper管理者がロールポリシーで有効にした上で、ユーザーが自分で設定します。この機能を有効にすると、SSOでログインするユーザーもマスターパスワードを使用してオフラインでアクセスできるようになります。このポリシーが有効になると、ユーザーは以下の手順に従って代替手段としてのマスターパスワードを使えるようにします。 1. SSOを使用してウェブボルトにログインします。 2. 設定画面にアクセスし、**\[セットアップ]** か **\[編集]** をクリックしてマスターパスワードを設定します。 3. 設定が完了すると、**\[法人SSOログイン]** > **\[マスターパスワード]** からログインできるようになります。

![SSOマスターパスワードのログインの流れ](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2F96labbvnEOuHifa6WdGT%2FJP_SSOMasterloging.png?alt=media\&token=9852dff7-2111-4cda-8f55-f1edbe379e5e) {% hint style="info" %} SSOユーザーのマスターパスワードによるログイン機能は、ウェブボルト、Keeperデスクトップ、KeeperFill、コマンダーCLIでのみ使用できます。 {% endhint %} ### デバイスの生体認証 Windows Hello、Touch ID、Face ID、Android生体認証がネイティブでサポートされています。通常、マスターパスワードまたはエンタープライズSSOログインを使用してKeeperボルトログインするユーザーは、生体認証を使用してデバイスにログインすることもできます。アカウント設定の画面で「オフラインアクセスの制限」の強制が適用されていない限り、マスターパスワード使用のユーザーもSSOユーザーのユーザーも、生体認証を使用してオフラインアクセスを使用できます。本機能はオペレーティングシステムの既存の生体認証機能と統合されているため、Keeperでユーザーの生体認証データを保存したり処理したりすることはありません。 ### パスキーによる生体認証ログイン 2025年7月より、Keeperでは**パスキーによる生体認証ログイン**がサポートされ、従来のログイン手段 (マスターパスワード、SSO、2要素認証) をすべて置き換えることが可能になります。パスキーが有効化されると、ログイン時の**第1要素 (マスターパスワードやSSO)** と**第2要素 (TOTP、SMS、Duoなど)** の両方を不要とし、より高速かつ安全な認証が可能になります。パスキーによる生体認証ログインは、ブラウザー拡張機能バージョン17.2以降およびウェブボルトバージョン17.5以降で利用できます。なお、Keeperでは、パスキーとは別に、デバイスの生体認証 (Touch IDやWindows Hello) を用いて第1要素 (マスターパスワードまたはSSO) を置き換える機能もサポートしています。この場合でも2FAは必要です。これらの機能は、管理者が本セクションから個別に設定します。

### パスキーとは？なぜ第1要素・第2要素を置き換えられるのか **パスキー**は、FIDO2に準拠した認証情報で、ユーザーのデバイス内に安全に保存され、ローカルの生体認証やPINによって保護されます。従来のパスワードとは異なり、パスキーは**フィッシング耐性があり**、**デバイスに紐づけられ、サービスと暗号的に結び付けられています**。パスキーの使用には、対象デバイスの所持 (所持情報) と、生体認証またはPINの確認 (生体情報、知識情報) の両方が必要なため、1回の操作で2要素認証を満たすことができます。これにより、別途2要素認証を用意する必要がなくなり、セキュリティとユーザー体験が大幅に向上します。 ### パスキーの対応範囲についての補足 – プラットフォームのみ Keeperのパスキーによる生体認証ログインは、**プラットフォーム**認証器 (platform authenticator attachment) のみをサポートしています。これは、パスキーが**ユーザーのデバイス** (例: ノートパソコン、スマートフォン、タブレット) 上に作成・保存され、他のデバイスへ持ち出すことができないことを意味します。ユーザーは、パスキーを登録したデバイスでのみ認証が可能です。YubiKeyなどのセキュリティキーや外部FIDOトークンのような**クロスプラットフォーム (ローミング) 認証器**には対応していません。この設計により、信頼されたデバイスにパスキーを厳密に紐づけ、生体認証による保護とともに、よりシンプルかつ安全なログイン体験が実現します。 *** ## 2要素認証 (2FA) 2要素認証ポリシーを有効にすると、ユーザーはKeeperプロファイルの設定時に2要素認証の方式の設定が必要となります。この設定が適用されると、既存のユーザーは2要素認証を有効にしなければなりません。

* 2要素認証を適用すると、アカウント作成時またはログイン時に2要素認証の設定を案内するプロンプトが表示されます。 * 2要素認証を適用すると、ユーザー側から無効にすることはできませんが、編集により2要素認証を再設定できます。 * 2要素認証の適用に加えて、新しいコードで再認証を促す頻度も指定できます。 * 管理者によって管理コンソールのユーザー詳細画面からそのユーザーの2要素認証を一時的に無効にできます。ユーザーに対して2要素認証を設定すると、コード入力を求める頻度に関係なく常にKeeperサーバー側で2要素認証が適用されます。ユーザーが2要素認証コードで認証されるとデバイスでトークンが生成され、バックエンドシステムとの後続の通信に使用されます。また、管理者によりユーザーのデバイス側でコードの入力を促す頻度が指定できます。たとえば、ウェブボルトおよびKeeperデスクトップのユーザーにはログイン毎にコード入力を求め、モバイル端末のユーザーには、30日に1回だけ求めるような指定ができます。ただし、新しいデバイスにログインする際には、必ずコード入力が求められます。 2要素認証を求める頻度に加えて、ロール内でユーザーが使用できる2要素認証の方式も指定できます。ロールに応じて異なる方式を適用できます。以下の2要素認証方式に対応しています。 * FIDO2 WebSuthnセキュリティキー (PIN確認対応) * TOTP (Google Authenticator、Microsoft Authenticator、任意のTOTPジェネレータ) * スマートウォッチ (Apple WatchまたはAndroid Wear) * RSA SecurID * Duo Security * テキストメッセージ (SMS) **備考**: 「パスキーによる生体認証ログイン」が有効になっていて、ユーザーが自身のデバイスでパスキーを作成した場合、そのデバイスではログイン時に2要素認証が不要になります。 {% hint style="info" %} DUO SecurityおよびRSA SecurIDに関する詳細情報については、[2要素認証](/jp/enterprise-guide/two-factor-authentication.md)のページをご参照ください。 {% endhint %} #### 2要素認証とデバイス承認 Keeperの認証システムにはデバイス承認機能が備わっており、未承認デバイスにログインしようとする際には2つ目の要素としてメール確認を行います。ユーザーが2要素認証を設定済みである場合は、メール確認の代わりにデバイス承認の方法として使用できます (たとえば、メールにアクセスできない場合など)。 ![デバイス検証のための2要素認証](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FuqWvEX5sQcNWaCvJQSbP%2F%E3%83%86%E3%82%99%E3%83%8F%E3%82%99%E3%82%A4%E3%82%B9%E6%89%BF%E8%AA%8D.png?alt=media\&token=f501ffa5-84e2-482a-add1-35fb0bfd03cb) {% hint style="info" %} 2要素認証コードによるデバイス承認は、マスターパスワードでログインするアカウントでのみ可能です。 SSOでログインするユーザーが新しいデバイスでログインする際には、[Keeper Push](/jp/sso-connect-cloud/device-approvals/push-approvals.md)、[管理者による承認](/jp/sso-connect-cloud/device-approvals/guan-li-zhe-cheng-ren.md)、[Keeperオートメーター](/jp/sso-connect-cloud/device-approvals/automator.md)を使用する必要があります。 {% endhint %} *** ## プラットフォーム制限ウェブボルト、KeeperFIll、モバイル、Keeperデスクトップ、コマンダーSDK、KeeperChatなど、特定のプラットフォームでのKeeperボルトの使用を制限できます。 ![プラットフォーム制限の適用](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2F07aqHxWTUJdcZNyF9PhH%2FJP_Admin_Platform.png?alt=media\&token=ac2189f2-bcce-4663-9767-5b4a8990ce13) *** ## ボルト機能ロールを持つユーザーに対して、ボルトの標準機能の使用を制限します。 ![ボルト機能の適用](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2F3LtZQ15VbvmdK2gNP2sl%2FJP_Vault%20feature%20Setting.png?alt=media\&token=59375cd5-c645-4a4d-ab7b-9bd1956556c3) ### クイックスタートウィザードを無効にする ONにすると、ユーザーが初回ログインする際にユーザーのボルトにクイックスタートウィザードが表示されなくなります。

{% hint style="info" %} クイックスタートウィザードは、Keeper管理者が設定するポリシーに従います。 * インポートが許可されていない場合、このオプションは非表示になります。 * ブラウザ拡張機能が許可されていない場合、このオプションは非表示になります。 * アカウント復元が無効になっている場合、このオプションは非表示になります。 * クイックスタートが完全に無効になっている場合、このフローは表示されません。 {% endhint %} ### カスタムフィールドをマスク (伏せ字表示) ONにすると、すべてのカスタムフィールドの名前と値が強制的にマスクされます。マスクを解除するには、目のアイコンをクリックします。 ![カスタムフィールドのマスキング](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FTp9OheO0qzgR4JkpYklk%2FJP_Custom%20Field.png?alt=media\&token=6f9ff3d2-7184-42f0-9df9-39e55ba93f0c) ### メモをマスク (伏せ字表示) レコードのメモセクションがマスクされます。マスクを解除するには目のアイコンをクリックします。 ![メモのマスキング](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FlrdlOxRAA0kzW1kIKwy6%2FJP_Memo_Mask.png?alt=media\&token=5c04c7e4-5bbf-4870-b7ba-9ba86c8b192d) ### パスワードをマスク (伏せ字表示) デフォルトでは、パスワードはKeeperのすべてのプラットフォームで常にマスクされます。iOSおよびAndroidデバイスでは、ユーザーがパスワードマスクのON/OFFを切り替えることができます。この設定を有効にすると、マスキングが常に有効な状態になります。パスワードを表示するには目のアイコンをクリックします。 ### クライアントデバイスでBreachWatchを一時停止有効にすると、BreachWatchイベントがデバイスからKeeper管理コンソールに送信されなくなります。テストデータを使用したり、管理コンソールの初期設定を行う場合にのみ使用します。BreachWatchイベントを一時停止することで、管理コンソールや接続先のレポートシステムでイベントが生成されなくなります。 ### BreachWatchのイベントをレポートシステムと外部SIEMに送信デフォルトでは、BreachWatchイベントデータがユーザーのデバイスから接続済みのSIEMやレポート・アラートモジュールへ送信されます。イベントデータは[レポート作成エンジン](/jp/enterprise-guide/event-reporting.md)や接続済みのSIEMシステム (Splunkなど) へ送信されます。 ### 再認証の要求 (マスターパスワードか生体認証) この設定を使用すると、以下の操作を実行しようとする際にマスターパスワードか生体認証での再認証が必要となります。 * パスワードの自動入力 * パスワードや伏せ字フィールドの表示とコピー * レコードレコードやフォルダの編集、共有、削除また、**\[上でオンにした操作を行なっても再認証を保留する (行わない) 時間を設定する]** ことにより、再認証が要求されるまでの保留時間を分単位で指定することができます。 ![](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FQhJXqTU2121S4bhddjZJ%2FJP_Vault%20Re-request%20min.png?alt=media\&token=a32054aa-eb5a-4ae1-99ba-2571c0626e74) 注: この機能はSSOユーザーには適用されません。 ### 削除したレコードの保持期間デフォルトでは、削除したレコードはレコード所有者の「削除済みアイテム」に移動されます。削除済みアイテムの処理を制御するための2つの強制ポリシーがご利用になれます。 * レコードが完全削除されるまでの日数 * 削除したレコードが自動消去されるまでの日数ユーザーが誤ってボルト内のレコードを完全に削除してしまうのを防止するため、レコードが完全に削除されまでゴミ箱に留まる日数を指定できます。また、ユーザーが「削除済みアイテム」に移動したレコードを特定期間後に自動的に完全削除されるよう設定することもできます。 ![削除したレコードを消去](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FkIhtRcJCj6FKoCJrcygr%2FJP_%E5%89%8A%E9%99%A4%E3%81%97%E3%81%9F%E8%A8%98%E9%8C%B2%E3%82%92%E6%B6%88%E5%8E%BB.png?alt=media\&token=7bb2da7c-e164-4961-b92f-b603d0c6107c) *** ## レコード内パスワード Keeperのパスワードとパスフレーズ生成ツールは、一般的なポリシーとしても特定のウェブサイトドメインに対しても適用できます。

### パスワード生成ツールエンドユーザーボルトのパスワード生成ツールは、ここで定義されている最小文字数、小文字、大文字、数字、記号の各最小数、使用できる記号の設定に基づいて機能します。パスワード生成ツールで使用される記号は、リストからの選択したものに制限されます。デフォルトでは、すべての記号が使用できる設定となっています。

### パスフレーズ生成ツールエンドユーザーボルトのパスフレーズ生成ツールはデフォルトは有効となっていますが、管理者によって無効にすることができます。最小の単語数を設定したり、大文字と数字を含むように設定したりできます。単語間の区切り文字は、使用が許可されている記号から選択されます。デフォルトでは、すべて記号が使用できるようになっています。

### ドメイン限定でのパスワード、パスフレーズ、記号のポリシードメイン限定ポリシーを使用すると、管理者は特定のドメイン名や一致するドメインパターンに対してパスワードの複雑さに関するプライバシールールを適用できます。

以下のようにワイルドカード (\*) を使用すると、複数のドメインに対して最低限のパスワードの複雑さのルールを作成できます。 * **\*.amazon.com** * **\*.google.com** * **\*.gov** * **example.com** * **\*.example.com** ワイルドカード文字 (\*) を単独で使用してグローバルドメインルールを作成することもできます。ルールが重複する場合は、最も厳しい制限が生成されることにご留意ください。ワイルドカードを単独で使用した場合、ドメイン名の値を含むすべてのレコードに対してポリシーが適用されます。

### プライバシー画面を適用 (パスワード表示を禁止) Keeperのプライバシー画面機能は、[チーム](/jp/enterprise-guide/teams.md)単位、ロールポリシー単位 (特定のレコードドメインに基づく)、[レコードタイプ](/jp/enterprise-guide/record-types.md) (テンプレート) 単位で適用できます。ロールポリシー単位でこの機能を使う場合、「生成パスワードの複雑さ」ポリシーと組み合わせて、特定のドメインに該当するレコードのパスワードが画面上で見えないように設定できます。こうすることで、万一誰かが画面上のパスワードを覗き見しようとしてもパスワードは伏せ字表示されており盗まれることはありません。具体的には、ボルト内のレコードに登録されているURLが指定したドメインと一致すると、そのレコードはロックされた状態になり、ユーザーはパスワードを伏せ字解除 (表示) できなくなります。ただし、編集権限があるユーザーは、既存のパスワードを確認することはできませんが、パスワード生成ツールを使って新しいパスワードに変更することは可能です。注意点として、パスワードの伏せ字表示は見た目だけの制限であり、パスワード自体はユーザーのボルトに保存されているため、API経由やブラウザのデベロッパーツールを使えば取得できてしまいます。管理者側でユーザーにブラウザのデベロッパーツールを使わせたくない場合は、グループポリシーで制限することを推奨します。この機能は「生成パスワードの複雑さ」設定内で、ドメインを追加した後に **\[プライバシー画面を適用]** ボックスをチェックすることで有効化できます。なお、プライバシー画面が適用されるのは共有されたレコードに限られます。 * ロールレベルで設定された場合 → ユーザーに共有されたレコードに適用 * チームレベルで設定された場合 → チームに共有されたレコードに適用ユーザー自身が作成・所有しているレコードについては、通常どおりパスワードの閲覧・更新が可能となります。

同様に、KeeperFillでもプライバシー画面が発動します。 ![ブラウザ拡張のプライバシー画面](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FIbEHXiZzT8bUA2HsxEoV%2FJP_KeeperFill_Maskwarning.png?alt=media\&token=27bee30d-d6d1-4e73-8583-29905b31d719) プライバシー画面機能の詳細については、以下の動画をご覧ください。 {% embed url="" %} プライバシー画面 {% endembed %} *** ## レコードタイプアカウントのレコードタイプが有効になっている場合、さらに特定のレコードタイプを有効にしたり無効にしたりできます。デフォルトのレコードタイプとカスタムレコードタイプのどちらも、ロールの権限に基づいて有効にしたり無効にしたりできます。カスタムレコードタイプはデフォルトタイプの下に表示されますが、各ユーザーのボルト設定内で表示の順序を変更できます。

特定のレコードタイプを無効にすると、ユーザーのボルト内のドロップダウンで表示されなくなります。

{% hint style="info" %} 組織単位でレコードタイプが有効になっていない場合、左側のメニューには表示されません。 {% endhint %} 管理コンソールで1つレコードタイプのみを有効にした場合、ボルト内でレコードを作成する際にレコードタイプ選択のポップアップは表示されず、あたかもレコードタイプ自体が無効になっているかように進行します。 {% hint style="success" %} 組織内の一部のユーザーでレコードタイプが無効になっている場合でも、共有機能や編集機能が制限されることはありません。たとえば、管理者は、カスタムSSHレコードを管理者以外と共有でき、レコード内のすべてのデータが表示されます。 {% endhint %} レコードタイプが無効になっている別の組織とレコードを共有する場合、組織でレコードタイプが有効になるまで表示はされませんが、レコードタイプのデータ自体は存在します。 ## 作成と共有の権限設定管理者はユーザーがレコードを作成したり共有したりする際に、広範囲にわたる制限を適用できます。 {% embed url="" %} 詳細な共有設定の強制 {% endembed %} ### 作成に関する設定「作成に関する設定」では、ユーザーにレコード、フォルダ、共有フォルダなどの作成を許可するかどうかを設定します。

作成機能は以下のようにカスタマイズできます。 * レコードの作成 (レコードとフォルダの作成を共有フォルダ内のみに制限する機能が含まれます) * フォルダの作成 (フォルダの作成を共有フォルダ内のみに制限する機能が含まれます) * 共有フォルダの作成 * KeeperFillを使用して、**\[個人情報とカード情報]** タブでクレジットカード情報のレコードや住所のレコードなどを作成 * ファイルのアップロード * レコード内で2要素認証 (TOTP) コードを作成できます。 ### 共有に関する設定「共有に関する設定」では、ユーザーがワンタイム共有リンクや添付ファイルなどを共有したり受けとったりできるかを設定します。

共有は以下のようにカスタマイズできます。 * 共有する、共有される * 共有フォルダ内にレコードを追加することでのみ他のユーザーと共有できるようにすることで、他のユーザーをレコードや共有フォルダに追加できないようにする * 他のユーザーからの共有のみ許可することで、他のユーザーをレコードや共有フォルダに追加できないようにする * 共有することも共有されることもできなくすることで、レコードや共有フォルダに他のユーザーを追加したり、他のユーザーから共有されたりできないようにする (この強制が有効になっている場合、ワンタイム共有リンクの生成、添付ファイル付きレコードの共有、組織外のユーザーとの共有の機能はデフォルトで無効になります)。以下の機能を個別に制限することもできます。 * ワンタイム共有リンクの生成 * 自動消滅機能付きレコードの作成 * ファイルのアップロード機能と編集可能フィールド付きワンタイム共有リンクの作成 * 共有フォルダ内のレコードの削除 * 共有フォルダおよびサブフォルダの削除 * 添付ファイルを含むレコードの共有 * 分離ノード外への共有 * 組織外のユーザーとの共有 * 組織外のユーザーからの共有 *** ## インポートとエクスポート「インポートとエクスポート」では、ボルトからのインポートおよびエクスポートの設定をコントロールできます。

以下のようにカスタマイズできます。 * ボルトへインポート (LastPassからの共有フォルダのインポートの制限を含む) * ボルトからエクスポート *** ## KeeperFill KeeperFillポリシーは、ウェブサイトやアプリケーション上でユーザー名やパスワード、その他の認証情報を自動入力するKeeperブラウザ拡張機能の動作を管理するものです。 {% hint style="info" %} KeeperFillの詳細については、[こちらのページ](/jp/user-guides/browser-extensions.md)をご参照ください。 {% endhint %} ### KeeperFillブラウザ拡張機能 KeeperFillのさまざまな機能を個別にコントロールできます。

**使用できる設定** * カギをホバー表示の有無 * 自動入力候補の表示の有無 * 自動入力の有無 * 自動送信の有無 * サブドメインが一致するレコードのみ表示するかどうか * パスワード入力ポップアップを開く * パスワード保存ポップアップを開く * パスワード変更ポップアップを開く * KeeperFill動作不能時のポップアップを開く * HTTPウェブサイトでパスワードを入力しようとする際の警告の発動 ### 特定のウェブサイトでKeeperFillを無効にする管理者によって特定のウェブサイトでKeeperFillを使用できないように設定できます。その際、ワイルドカード文字を使用してドメイン名やURLを指定できます。多くのフォームフィールドを持つ内部アプリケーションに対してKeeperFillを無効にするという使用例が考えられます。

## アカウント設定

### オフラインアクセスを禁止有効にすると、インターネットアクセスがない場合にKeeperボルトにアクセスできなくなります。 {% hint style="info" %} オフラインアクセスの詳細については、[こちら](/jp/enterprise-guide/vault-offline-access.md)をご参照ください。 {% endhint %} ### メールアドレスの変更を禁止有効にすると、ユーザーはメールアドレスの変更ができなくなります。なお、SSOでログインするユーザーは自身のメールアドレスを変更できません。 ### 自動消滅機能このポリシーを有効にすると、該当ロールを付与されたユーザーは、間違ったパスワードを使用してログインに5回失敗すると、ローカルに保存されているすべてのKeeperのデータが消去されます。 ### Keeperファミリーライセンスの使用を禁止このポリシーを有効にすると、個人使用のために自身の個人用メール使用してKeeperファミリーライセンスを利用できなくなります。個人使用のための無料のファミリーライセンスについては、[こちらのページ](https://github.com/Keeper-Security/gitbook-jp-enterprise-guide/blob/main/personal-vaults-for-enterprise-and-business-users.md)をご参照ください。 ### 「ログイン状態を維持」を禁止この強制ポリシーを有効化すると、該当ロールを持つユーザーのログイン状態維持機能が使えなくなります。「ログイン状態維持」機能を利用すると、非アクティブタイマーが切れるまではブラウザやコンピュータを再起動しても、ウェブボルト、Keeperデスクトップ、KeeperFillへのログイン状態を維持できます。 ### 「ログイン状態維持」のデフォルトのユーザー設定該当ロールの新規ユーザーのデフォルトの「ログイン状態を維持」設定をオンかオフに設定します。この設定は新規ユーザーにのみ適用され、遡及的には適用されません。 ![「ログイン状態を維持」のデフォルトのユーザー設定](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FAdBGV7wsZYE7mo1CnFho%2FJP_EG_enforcement_accountSetting3.png?alt=media\&token=1b0c64b3-6c0b-41f2-bef4-e37ecb646375) ### ログアウトタイマーユーザーが非アクティブ状態 (待機状態) になったときに、Keeperから自動的にログアウトするまでの時間を設定します。ウェブ、モバイル、デスクトップの各Keeperアプリで異なる時間を分単位で指定できます。非アクティブ状態で指定した時間が経過すると、ユーザーはログアウトします。ユーザー自身が個々に設定した時間の方が長い場合は、ここでの設定時間に短縮されます。

### アカウントの復元マスターパスワードを忘れた場合にボルトを回復する非常手段として、自動生成される24語から成るリカバリーフレーズの使用があります。SSO IDプロバイダが使用できない場合は、アカウント回復を使用してアカウントにログインすることもできます。リカバリーフレーズは、暗号ウォレットの保護に使用されるものと同じBIP39単語リストを使用して実装されています。BIP39単語リストは2048単語のセットで、256ビットのエントロピーを持つ暗号化キーを生成するために使用ます。BIP39リストの各単語は、可視性を向上させ、回復プロセスでエラーが発生しにくくなるように慎重に選択されています。アカウントの回復に関する詳細については、こちらのKeeperの[ブログ記事](https://www.keepersecurity.com/blog/2023/04/24/keeper-introduces-24-word-recovery-phrases/)をご参照ください。このポリシーにより、管理者はユーザーのアカウント回復を**無効に**できます。ユーザーがSAML 2.0 IDプロバイダを使用してKeeperクラウドSSOコネクトでログインする場合に[推奨](/jp/enterprise-guide/recommended-security-settings.md)されます。アカウントの復元を無効にする場合、管理者がマスターパスワードを紛失してボルトにアクセスできないユーザーをサポートできるよう、[ボルト移管ポリシー](/jp/enterprise-guide/account-transfer-policy.md)を有効にすることを推奨します。 ### Keeperへの招待 #### 招待メールを送信しないこのポリシーを有効にすると、ロールのユーザーへアカウントがプロビジョニングされる際に招待メールが送信されません。使用例としては、管理者がシステムの招待メールではなく独自に作成した招待メールを送信したい場合が考えられます。また、管理者が招待プロセスをテストする際にもご利用になれます。 #### 招待メールを自動的に再送信する新規ユーザーに送信されるKeeperの招待メールは、ユーザーが特定の時間内にアカウントを作成しない場合、自動的に再送信されます。デフォルトの設定は、招待メールの送信は1回限りとなっていますが、必要に応じて頻度を増やせます。デフォルトではKeeperの招待メールは**7日間**のみ有効ですので、自動的に再送することを推奨します。

## IPのホワイトリスト特定のロールを持つユーザーに対して、指定のIPアドレス範囲以外でKeeperを使用することを禁止できます。IPアドレスは、ログイン時にKeeperインフラストラクチャによって認識される外部 (パブリック) アドレスでなければなりません。IP範囲を追加するには、**\[範囲を追加]** をクリックします。

{% hint style="danger" %} ご利用のアカウントに関連付けられていないロールでIPのホワイトリスト化をテストするようにしてください。無効なIP範囲を追加すると、ご自身または関連するすべてのユーザーがロックアウトされる可能性があります。このような状況になった場合には、エンタープライズサポートへお問い合わせください。 {% endhint %} ## Keeperシークレットマネージャーロールに対してKeeperシークレットマネージャーを有効にすると、ウェブボルト、Keeperデスクトップアプリ、コマンダーCLIにシークレットマネージャーの機能が表示されるようになります。

Keeperシークレットマネージャーの詳細については、以下のページをご覧ください。 {% content-ref url="" %} {% endcontent-ref %} ### Keeperパスワードローテーション Keeperパスワードローテーションにより、クラウドベースでもオンプレミス環境でも安全に認証情報をローテーションすることができます。パスワードローテーションがロール上で有効になっている場合、パスワードローテーション機能がウェブボルト、Keeperデスクトップ、コマンダーCLIに表示されます。パスワードローテーションの自動化については、[こちらのページ](/jp/keeperpam/privileged-access-manager/password-rotation.md)をご覧ください。 ## 特権アクセス管理 KeeperPAMをお使いでしたら、**\[特権アクセス管理]** のタブから、特権アクセス機能のロール権限を管理できます。これにはKeeperシークレットマネージャーの権限も含まれます。

* アプリケーションを作成、シークレットを管理 * Keeperゲートウェイを作成、展開、管理 * ローテーション設定を構成 * 認証情報をローテーション * 接続設定を構成 * 接続を開始 * セッション録画を表示 * トンネル設定を構成 * トンネルを開始 * リモートブラウジングを構成 * リモートブラウジングを開始 * RBIセッションの録画を表示 * 検出を実行 ## アカウント移管アカウント移管を有効にするには、スイッチをONにしてアカウント移管を実行できるロールをドロップダウンメニューから選択します。 {% hint style="warning" %} ボルトへのログイン時に、ユーザーがアカウント移管に同意した場合のみアカウントを移転できます。アカウント移管ポリシーは、必要になる前に設定して備えておくことが重要となります。 {% endhint %} ![アカウント移管の強制](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2Fr8on55ugOMrsfPsshg9b%2FJP_EG_enforcement_transferAccount.png?alt=media\&token=de98382d-5bcb-410e-a9d9-8fe5d4842596) {% hint style="info" %} アカウント移管の詳細については、[こちらのページ](/jp/enterprise-guide/account-transfer-policy.md)をご参照ください。 {% endhint %} ## KeeperコマンダーCLIでのポリシーの管理 [Keeperコマンダー](/jp/keeperpam/commander-cli/overview.md)は、コマンドラインインターフェースおよびPaythonをベースとしたSDKで、ロールおよび強制ポリシーを変更する機能を備えています。詳細については、[こちらのページ](/jp/keeperpam/commander-cli/command-reference/enterprise-management-commands.md)をご参照ください。以下は、「Engineering」のロールがレコードをエクスポートできないように制限する例となります。 ```sh enterprise-role Engineering --enforcement "RESTRICT_EXPORT:True" ``` ### 概要動画強制適用ポリシーの詳細については、以下の動画をご覧ください。 {% embed url="" %} 強制適用ポリシー {% endembed %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/jp/enterprise-guide/roles/enforcement-policies.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.