LogoLogo
⮐ Keeper HomeAll DocumentationAdmin Console
エンタープライズガイド (企業、組織向け)
エンタープライズガイド (企業、組織向け)
  • はじめに
  • トライアルを開始
  • 資料
  • スモールビジネス (小規模組織) 向けKeeper
  • Keeperエンタープライズについて
  • 導入の概要
  • ドメインの予約
  • Keeperをエンドユーザーにデプロイ
    • Keeperデスクトップアプリケーション
      • コンピュータの起動時にKeeperを起動
    • KeeperFillブラウザ拡張機能
      • Mac
        • PLIST (.plist) ポリシーの展開
          • Jamf Proでのポリシーの展開 - Chrome
          • Microsoft Intuneポリシーの展開 - Chrome
      • Linux
        • JSONポリシーの展開 - Chrome
      • Windows
        • グループポリシーの展開 - Chrome
        • グループポリシーの展開 - Firefox
        • グループポリシーの展開 - Edge
        • SCCMでの展開 - Chrome
        • Intune - Chrome
        • Intune - Edge
        • Edge設定ポリシー
        • Chrome設定ポリシー
      • 仮想マシンの永続化
    • モバイルアプリケーション
      • IBM MaaS360
    • オプションの展開タスク
    • IE11信頼済みサイト
  • エンドユーザーガイド
  • Keeper管理コンソールの概要
  • ノードと組織構造
  • リスク管理ダッシュボード
  • ユーザーとチームのプロビジョニング
    • 招待メールとロゴのカスタマイズム
      • カスタムEメールでのマークダウン記法
    • 管理コンソールでの手動プロビジョニング
    • Active Directoryでのプロビジョニング
    • LDAPでのプロビジョニング
    • SSO JIT (ジャストインタイム) プロビジョニング
    • Oktaでのプロビジョニング
    • Azure / Entra IDでのプロビジョニング
    • Google Workspaceでのプロビジョニング
    • JumpCloudでのプロビジョニング
    • CloudGateでのプロビジョニング
    • OneLoginでのプロビジョニング
    • Microsoft AD FSでのプロビジョニング
    • SCIMを使用したAPIのプロビジョニング
      • SCIM APIプロビジョニングの使用
    • チームとユーザーの承認
    • メールアドレスで自動プロビジョニング
    • コマンダーSDKを使用したCLIのプロビジョニング
  • SSO/SAML認証
  • ユーザー管理とライフサイクル
  • メールアドレスの変更
  • ロール単位のアクセス権限設定
    • 強制適用ポリシー
    • セキュリティキー
  • 管理権限の委任
  • アカウント移管ポリシー
  • チーム (グループ)
  • 共有
    • レコードとファイルの共有
    • 共有フォルダ
    • PAMリソースの共有
    • ワンタイム共有
    • 共有管理機能
    • 時間制限付きアクセス
    • 自動消滅レコード
    • パスワードを隠す
  • レコードの作成
  • データのインポート
  • レコードタイプ
  • 二要素認証
  • 二要素認証コードの保存
  • セキュリティ監査
    • セキュリティ監査スコアの算出方法
  • BreachWatch (ダークウェブ)
  • ファイルストレージ
  • レポート作成、アラート、SIEM
    • イベント詳細
    • Splunk
    • Sumo Logic
    • Exabeam (LogRhythm)
    • Syslog
    • QRadar
    • Azure Sentinel
    • Azure Monitor
    • AWS S3バケット
    • Devo
    • Datadog
    • Logz.io
    • Elastic
    • ファイアウォールの設定
    • コマンダーによるオンサイトプッシュ通知
  • 推奨アラート
  • Webhooks (SlackおよびTeams)
    • Slack Webhook
    • Teams Webhook
    • Amazon Chime Webhook
    • Discord Webhook
  • コンプライアンスレポート
  • ボルトへのオフラインアクセス
  • シークレットマネージャー
  • コマンダーCLI
  • Keeperコネクションマネージャー
  • KeeperPAM特権アクセス管理
  • Keeperフォースフィールド
  • Keeper MSP
    • 無料トライアル
    • はじめに
    • 基本
    • 使用量に基づく請求
      • アドオン
      • 既存のMSP管理者
    • 導入
    • PSA 請求リコンサイル (照合)
    • Slackチャンネルに参加
    • 次のステップ
    • 削除
    • コマンダーCLI/SDK
    • アカウント管理API
    • API利用プロビジョニング家族プラン
    • MSPのベストプラクティス
  • 個人使用のための家族向け無料ライセンス
    • API経由で家族向けプランを提供
    • API経由での学生プランの提供
    • APIトラブルシューティング
      • APIパラメータ
      • APIレスポンスコード
      • APIエクスプローラ - Swagger
  • セキュリティの推奨設定
  • KeeperのIPをホワイトリスト化
  • Keeperの暗号化モデル
  • 開発者用API/SDKツール
  • KeeperChat
  • オンプレミスとクラウド
  • 認証フローV3
  • LastPassからの移行
  • トレーニングとサポート
  • LMS用Keeper SCORMファイル
  • ドキュメントホーム
Powered by GitBook
On this page
  • 概要
  • ログイン設定
  • SSOユーザーのマスターパスワード作成
  • マスターパスワードの複雑さ
  • マスターパスワードの有効期限
  • 生体認証
  • 二要素認証 (2FA)
  • プラットフォーム制限
  • ボルト機能
  • クイックスタートウィザードを無効にする
  • カスタムフィールドをマスク (伏せ字表示)
  • メモをマスク (伏せ字表示)
  • パスワードをマスク (伏せ字表示)
  • クライアントデバイスでBreachWatchを一時停止
  • BreachWatchのイベントをレポートシステムと外部SIEMに送信
  • 再認証の要求 (マスターパスワードか生体認証)
  • 削除したレコードの保持期間
  • レコード内パスワード
  • パスワード生成ツール
  • パスフレーズ生成ツール
  • ドメイン限定でのパスワード、パスフレーズ、記号のポリシー
  • プライバシー画面を適用 (パスワード表示を禁止)
  • レコードタイプ
  • 作成と共有の権限設定
  • 作成に関する設定
  • 共有に関する設定
  • インポートとエクスポート
  • KeeperFill
  • KeeperFillブラウザ拡張機能
  • 特定のウェブサイトでKeeperFillを無効にする
  • アカウント設定
  • オフラインアクセスを禁止
  • メールアドレスの変更を禁止
  • 自己破壊 (自動消滅)
  • Keeperファミリーライセンスの使用を禁止
  • 「ログイン状態を維持」を禁止
  • 「ログイン状態維持」のデフォルトのユーザー設定
  • ログアウトタイマー
  • アカウントの復元
  • Keeperへの招待
  • IPのホワイトリスト
  • Keeperシークレットマネージャー
  • Keeperパスワードローテーション
  • 特権アクセス管理
  • アカウント移管
  • KeeperコマンダーCLIでのポリシーの管理
  • 概要動画
  1. ロール単位のアクセス権限設定

強制適用ポリシー

ロールに対する強制適用ポリシー

Previousロール単位のアクセス権限設定Nextセキュリティキー

Last updated 3 days ago

概要

Keeperのロール強制適用ポリシーにより、Keeper環境のセキュリティと機能性をきめ細かくコントロールできます。

ログイン設定

SSOユーザーのマスターパスワード作成

このオプションは、「代替手段としてのマスターパスワード」とも呼ばれ、SSOでログインするユーザーがマスターパスワードでもログインできるようになります。SSO接続がダウンしている場合やユーザーがオフラインの場合に便利です。また、SSOでログインするユーザーがKeeperコマンダーCLIにログインする場合にも使用できます。

普段は法人SSO ログイン (SAML 2.0) を使用してKeeperボルトにログインしているユーザーでも、マスターパスワードを使用してウェブボルト、KeeperFill、Keeperコマンダーにログインできるようになります。この機能を利用するには、Keeper管理者がロールポリシーで有効にした上で、ユーザーが自分で設定します。この機能を有効にすると、SSOでログインするユーザーもマスターパスワードを使用してオフラインでアクセスできるようになります。

このポリシーが有効になると、ユーザーは以下の手順に従って代替手段としてのマスターパスワードを使えるようにします。

  1. SSOを使用してウェブボルトにログインします。

  2. 設定画面にアクセスし、[セットアップ] か [編集] をクリックしてマスターパスワードを設定します。

  3. 設定が完了すると、[法人SSOログイン] > [マスターパスワード] からログインできるようになります。

SSOユーザーのマスターパスワードによるログイン機能は、ウェブボルト、Keeperデスクトップ、KeeperFill、コマンダーCLIでのみ使用できます。

マスターパスワードの複雑さ

マスターパスワードの複雑さに関するポリシーは、該当のロールが付与されているユーザーのパスワードの複雑さに適用されます。

以下の設定項目があります。

  • パスワードの長さ

  • 数字の数

  • 記号の数

  • 大文字の数

  • 小文字の数

マスターパスワードの複雑さとデフォルトのロールに関する注意事項

ユーザーが最初にボルトを作成する際、マスターパスワードの複雑さに関するルールの適用のため、管理コンソール内のすべてのデフォルトロールが参照されます。マスターパスワードの複雑さに関するルールは、各デフォルトロールの最大値を基に決定されます。

アカウントが作成されると、ユーザーに割り当てられたロールを使用してマスターパスワードの複雑さに関する要件が継続的に適用されるようにします。

Keeperボルトのアカウントを作成する際、ユーザーはこの複雑さに関する要件を遵守する必要があります。

マスターパスワードの有効期限

マスターパスワードの有効期限ポリシーを利用すると、ユーザーは指定の間隔 (日数) でマスターパスワードを変更しなければなりません。このポリシーを有効にした場合、マスターパスワードが期限切れになると、ユーザーは次回のログイン時に強制的に新しいマスターパスワードに更新しなければならなくなります。マスターパスワードの変更が必要になるまでの日数を設定するには、10~150日の範囲で選択します。

本機能はクラウドSSOコネクトを使用してログインするユーザーには影響しません。

ユーザーのマスターパスワードを直ちに失効させる必要がある場合は、「ユーザー」タブからマスターパスワードを失効するユーザーを選択し、[マスターパスワード失効] を選択します。これにより、ユーザーのマスターパスワードが直ちに失効し、パスワードリセットが必要になります。

生体認証

Windows Hello、Touch ID、Face ID、Android生体認証がネイティブでサポートされています。通常、マスター パスワードまたはエンタープライズSSOログインを使用してKeeperボルトログインするユーザーは、生体認証を使用してデバイスにログインすることもできます。「オフラインアクセスの制限」の強制が適用されていない限り、マスター パスワード使用のユーザーもSSOユーザーのユーザーも、生体認証を使用してオフラインアクセスを使用できます。

本機能はオペレーティングシステムの既存の生体認証機能と統合されているため、Keeperではユーザーの生体認証データを保存も処理もされません。

二要素認証 (2FA)

二要素認証ポリシーを有効にすると、ユーザーはKeeperプロファイルの設定時に二要素認証の方式の設定が必要となります。この設定が適用されると、既存のユーザーは二要素認証を有効にしなければなりません。

  • 二要素認証を適用すると、アカウント作成時またはログイン時に二要素認証の設定を案内するプロンプトが表示されます。

  • 二要素認証を適用すると、ユーザー側から無効にすることはできませんが、編集により二要素認証を再設定できます。

  • 二要素認証の適用に加えて、新しいコードで再認証を促す頻度も指定できます。

  • 管理者によって管理コンソールのユーザー詳細画面からそのユーザーの二要素認証を一時的に無効にできます。

ユーザーに対して二要素認証を設定すると、コード入力を求める頻度に関係なく常にKeeperサーバー側で二要素認証が適用されます。ユーザーが二要素認証コードで認証されるとデバイスでトークンが生成され、バックエンドシステムとの後続の通信に使用されます。

また、管理者によりユーザーのデバイス側でコードの入力を促す頻度が指定できます。たとえば、ウェブボルトおよびKeeperデスクトップのユーザーにはログイン毎にコード入力を求め、モバイル端末のユーザーには、30日に1回だけ求めるような指定ができます。ただし、新しいデバイスにログインする際には、必ずコード入力が求められます。

二要素認証を求める頻度に加えて、ロール内でユーザーが使用できる二要素認証の方式も指定できます。 ロールに応じて異なる方式を適用できます。

以下の二要素認証方式に対応しています。

  • FIDO2 WebSuthnセキュリティキー (PIN確認対応)

  • TOTP (Google Authenticator、Microsoft Authenticator、任意のTOTPジェネレータ)

  • スマートウォッチ (Apple WatchまたはAndroid Wear)

  • RSA SecurID

  • Duo Security

  • テキストメッセージ (SMS)

二要素認証とデバイス承認

Keeperの認証システムにはデバイス承認機能が備わっており、未承認デバイスにログインしようとする際には2つ目の要素としてメール確認を行います。ユーザーが二要素認証を設定済みである場合は、メール確認の代わりにデバイス承認の方法として使用できます (たとえば、メールにアクセスできない場合など)。

プラットフォーム制限

ウェブボルト、KeeperFIll、モバイル、Keeperデスクトップ、コマンダーSDK、KeeperChatなど、特定のプラットフォームでのKeeperボルトの使用を制限できます。

ボルト機能

ロールを持つユーザーに対して、ボルトの標準機能の使用を制限します。

クイックスタートウィザードを無効にする

ONにすると、ユーザーが初回ログインする際にユーザーのボルトにクイックスタートウィザードが表示されなくなります。

クイックスタートウィザードは、Keeper管理者が設定するポリシーに従います。

  • インポートが許可されていない場合、このオプションは非表示になります。

  • ブラウザ拡張機能が許可されていない場合、このオプションは非表示になります。

  • アカウント復元が無効になっている場合、このオプションは非表示になります。

  • クイックスタートが完全に無効になっている場合、このフローは表示されません。

カスタムフィールドをマスク (伏せ字表示)

ONにすると、すべてのカスタムフィールドの名前と値が強制的にマスクされます。マスクを解除するには、目のアイコンをクリックします。

メモをマスク (伏せ字表示)

レコードのメモセクションがマスクされます。マスクを解除するには目のアイコンをクリックします。

パスワードをマスク (伏せ字表示)

デフォルトでは、パスワードはKeeperのすべてのプラットフォームで常にマスクされます。iOSおよびAndroidデバイスでは、ユーザーがパスワードマスクのON/OFFを切り替えることができます。この設定を有効にすると、マスキングが常に有効な状態になります。パスワードを表示するには目のアイコンをクリックします。

クライアントデバイスでBreachWatchを一時停止

有効にすると、BreachWatchイベントがデバイスからKeeper管理コンソールに送信されなくなります。テストデータを使用したり、管理コンソールの初期設定を行う場合にのみ使用します。BreachWatchイベントを一時停止することで、管理コンソールや接続先のレポートシステムでイベントが生成されなくなります。

BreachWatchのイベントをレポートシステムと外部SIEMに送信

再認証の要求 (マスターパスワードか生体認証)

この設定を使用すると、以下の操作を実行しようとする際にマスターパスワードか生体認証での再認証が必要となります。

  • パスワードの自動入力

  • パスワードや伏せ字フィールドの表示とコピー

  • レコードレコードやフォルダの編集、共有、削除

また、[上でオンにした操作を行なっても再認証を保留する (行わない) 時間を設定する] ことにより、再認証が要求されるまでの保留時間を分単位で指定することができます。

注: この機能はSSOユーザーには適用されません。

削除したレコードの保持期間

デフォルトでは、削除したレコードはレコード所有者の「削除済みアイテム」に移動されます。削除済みアイテムの処理を制御するための2つの強制ポリシーがご利用になれます。

  • レコードが完全削除されるまでの日数

  • 削除したレコードが自動消去されるまでの日数

ユーザーが誤ってボルト内のレコードを完全に削除してしまうのを防止するため、レコードが完全に削除されまでゴミ箱に留まる日数を指定できます。

また、ユーザーが「削除済みアイテム」に移動したレコードを特定期間後に自動的に完全削除されるよう設定することもできます。

レコード内パスワード

Keeperのパスワードとパスフレーズ生成ツールは、一般的なポリシーとしても特定のウェブ サイトドメインに対しても適用できます。

パスワード生成ツール

エンドユーザーボルトのパスワード生成ツールは、ここで定義されている最小文字数、小文字、大文字、数字、記号の各最小数、使用できる記号の設定に基づいて機能します。パスワード生成ツールで使用される記号は、リストからの選択したものに制限されます。デフォルトでは、すべての記号が使用できる設定となっています。

パスフレーズ生成ツール

エンドユーザーボルトのパスフレーズ生成ツールはデフォルトは有効となっていますが、管理者によって無効にすることができます。最小の単語数を設定したり、大文字と数字を含むように設定したりできます。単語間の区切り文字は、使用が許可されている記号から選択されます。デフォルトでは、すべて記号が使用できるようになっています。

ドメイン限定でのパスワード、パスフレーズ、記号のポリシー

ドメイン限定ポリシーを使用すると、管理者は特定のドメイン名や一致するドメインパターンに対してパスワードの複雑さに関するプライバシー ルールを適用できます。

以下のようにワイルドカード (*) を使用すると、複数のドメインに対して最低限のパスワードの複雑さのルールを作成できます。

  • *.amazon.com

  • *.google.com

  • *.gov

  • example.com

  • *.example.com

ワイルドカード文字 (*) を単独で使用してグローバルドメインルールを作成することもできます。ルールが重複する場合は、最も厳しい制限が生成されることにご留意ください。ワイルドカードを単独で使用した場合、ドメイン名の値を含むすべてのレコードに対してポリシーが適用されます。

プライバシー画面を適用 (パスワード表示を禁止)

ロールポリシー単位の適用ではパスワードの複雑さに関するポリシーと連動し、ドメインごとにパスワードを表示 (マスク解除) できるようにします。このポリシーが適用されると画面でパスワードがマスクされるため、万一画面上のパスワードを覗き見されても安全です。

レコードの編集権限または所有者権限を持つユーザーに適用した場合、レコードを編集する際にパスワード生成ツールを使用しなければならなくなります。

パスワードのマスキングは視覚的なものに過ぎません。パスワードはボルトに保管されたままであり、API通信およびウェブページの要素を検証することでアクセスできます。管理者側でユーザーがウェブページの要素を検証できないようにしたい場合は、グループポリシーを使用してユーザーがブラウザのデベロッパーツールを使用できないようにすることを推奨します。

この機能はパスワードの複雑性に関する設定内でも有効にできます。[パスワードの複雑さ] でドメインを追加して [プライバシー画面を適用] ボックスをチェックします。

ボルト内ではURLに一致するレコードはすべてロックされるので、ユーザー側ではパスワードのマスク表示を解除できません。

同様に、KeeperFillでもプライバシー画面が発動します。

プライバシー画面機能の詳細については、以下の動画をご覧ください。

レコードタイプ

アカウントのレコードタイプが有効になっている場合、さらに特定のレコードタイプを有効にしたり無効にしたりできます。デフォルトのレコードタイプとカスタムレコードタイプのどちらも、ロールの権限に基づいて有効にしたり無効にしたりできます。カスタムレコードタイプはデフォルトタイプの下に表示されますが、各ユーザーのボルト設定内で表示の順序を変更できます。

特定のレコードタイプを無効ににすると、ユーザーのボルト内のドロップダウンで表示されなくなります。

組織単位でレコードタイプが有効になっていない場合、左側のメニューには表示されません。

管理コンソールで1つレコードタイプのみを有効にした場合、ボルト内でレコードを作成する際にレコードタイプ選択のポップアップは表示されず、あたかもレコードタイプ自体が無効になっているかように進行します。

組織内の一部のユーザーでレコードタイプが無効になっている場合でも、共有機能や編集機能が制限されることはありません。たとえば、管理者は、カスタムSSHレコードを管理者以外と共有でき、レコード内のすべてのデータが表示されます。

レコードタイプが無効になっている別の組織とレコードを共有する場合、組織でレコードタイプが有効になるまで表示はされませんが、レコードタイプのデータ自体は存在します。

作成と共有の権限設定

管理者はユーザーがレコードを作成したり共有したりする際に、広範囲にわたる制限を適用できます。

作成に関する設定

「作成に関する設定」では、ユーザーにレコード、フォルダ、共有フォルダなどの作成を許可するかどうかを設定します。

作成機能は以下のようにカスタマイズできます。

  • レコードの作成 (レコードとフォルダの作成を共有フォルダ内のみに制限する機能が含まれます)

  • フォルダの作成 (フォルダの作成を共有フォルダ内のみに制限する機能が含まれます)

  • 共有フォルダの作成

  • KeeperFillを使用して、[個人情報とカード情報] タブでクレジットカード情報のレコードや住所のレコードなどを作成

  • ファイルのアップロード

共有に関する設定

「共有に関する設定」では、ユーザーがワンタイム共有リンクや添付ファイルなどを共有したり受けとったりできるかを設定します。

共有は以下のようにカスタマイズできます。

  • 共有する、共有される

  • 共有フォルダ内にレコードを追加することでのみ他のユーザーと共有できるようにすることで、他のユーザーをレコードや共有フォルダに追加できないようにする

  • 他のユーザーからの共有のみ許可することで、他のユーザーをレコードや共有フォルダに追加できないようにする

  • 共有することも共有されることもできなくすることで、レコードや共有フォルダに他のユーザーを追加したり、他のユーザーから共有されたりできないようにする (この強制が有効になっている場合、ワンタイム共有リンクの生成、添付ファイル付きレコードの共有、組織外のユーザーとの共有の機能はデフォルトで無効になります)。

以下の機能を個別に制限することもできます。

  • ワンタイム共有リンクの生成

  • 添付ファイルを含むレコードの共有

  • 分離ノード外への共有

  • 組織外のユーザーとの共有

  • 組織外のユーザーからの共有

インポートとエクスポート

「インポートとエクスポート」では、ボルトからのインポートおよびエクスポートの設定をコントロールできます。

以下のようにカスタマイズできます。

  • ボルトへインポート (LastPassからの共有フォルダのインポートの制限を含む)

  • ボルトからエクスポート

KeeperFill

KeeperFillは、ウェブサイトやアプリケーションでのログイン時に自動入力を支援するブラウザ拡張機能です。

KeeperFillブラウザ拡張機能

KeeperFillのさまざまな機能を個別にコントロールできます。

使用できる設定

  • カギをホバー表示の有無

  • 自動入力候補の表示の有無

  • 自動入力の有無

  • 自動送信の有無

  • サブドメインが一致するレコードのみ表示するかどうか

  • パスワード入力ポップアップを開く

  • パスワード保存ポップアップを開く

  • パスワード変更ポップアップを開く

  • KeeperFill動作不能時のポップアップを開く

  • HTTPウェブサイトでパスワードを入力しようとする際の警告の発動

特定のウェブサイトでKeeperFillを無効にする

管理者によって特定のウェブサイトでKeeperFillを使用できないように設定できます。その際、ワイルドカード文字を使用してドメイン名やURLを指定できます。多くのフォームフィールドを持つ内部アプリケーションに対してKeeperFillを無効にするという使用例が考えられます。

アカウント設定

オフラインアクセスを禁止

有効にすると、インターネットアクセスがない場合にKeeperボルトにアクセスできなくなります。

メールアドレスの変更を禁止

有効にすると、ユーザーはメールアドレスの変更ができなくなります。なお、SSOでログインするユーザーは自身のメールアドレスを変更できません。

自己破壊 (自動消滅)

このポリシーを有効にすると、該当ロールを付与されたユーザーは、間違ったパスワードを使用してログインに5回失敗すると、ローカルに保存されているすべてのKeeperのデータが消去されます。

Keeperファミリーライセンスの使用を禁止

「ログイン状態を維持」を禁止

この強制ポリシーを有効化すると、該当ロールを持つユーザーのログイン状態維持機能が使えなくなります。 「ログイン状態維持」機能を利用すると、非アクティブタイマーが切れるまではブラウザやコンピュータを再起動しても、ウェブボルト、Keeperデスクトップ、KeeperFillへのログイン状態を維持できます。

「ログイン状態維持」のデフォルトのユーザー設定

該当ロールの新規ユーザーのデフォルトの「ログイン状態を維持」設定をオンかオフに設定します。この設定は新規ユーザーにのみ適用され、遡及的には適用されません。

ログアウトタイマー

ユーザーが非アクティブ状態 (待機状態) になったときに、Keeperから自動的にログアウトするまでの時間を設定します。ウェブ、モバイル、デスクトップの各Keeperアプリで異なる時間を分単位で指定できます。非アクティブ状態で指定した時間が経過すると、ユーザーはログアウトします。ユーザー自身が個々に設定した時間の方が長い場合は、ここでの設定時間に短縮されます。

アカウントの復元

マスターパスワードを忘れた場合にボルトを回復する非常手段として、自動生成される24語から成るリカバリーフレーズの使用があります。SSO IDプロバイダが使用できない場合は、アカウント回復を使用してアカウントにログインすることもできます。

Keeperへの招待

招待メールを送信しない

このポリシーを有効にすると、ロールのユーザーへアカウントがプロビジョニングされる際に招待メールが送信されません。使用例としては、管理者がシステムの招待メールではなく独自に作成した招待メールを送信したい場合が考えられます。また、管理者が招待プロセスをテストする際にもご利用になれます。

招待メールを自動的に再送信する

新規ユーザーに送信されるKeeperの招待メールは、ユーザーが特定の時間内にアカウントを作成しない場合、自動的に再送信されます。 デフォルトの設定は、招待メールの送信は1回限りとなっていますが、必要に応じて頻度を増やせます。

デフォルトではKeeperの招待メールは7日間のみ有効ですので、自動的に再送することを推奨します。

IPのホワイトリスト

特定のロールを持つユーザーに対して、指定のIPアドレス範囲以外でKeeperを使用することを禁止できます。IPアドレスは、ログイン時にKeeperインフラストラクチャによって認識される外部 (パブリック) アドレスでなければなりません。IP範囲を追加するには、[範囲を追加] をクリックします。

ご利用のアカウントに関連付けられていないロールでIPのホワイトリスト化をテストするようにしてください。無効なIP範囲を追加すると、ご自身または関連するすべてのユーザーがロックアウトされる可能性があります。このような状況になった場合には、エンタープライズサポートへお問い合わせください。

Keeperシークレットマネージャー

ロールに対してKeeperシークレットマネージャーを有効にすると、ウェブボルト、Keeperデスクトップアプリ、コマンダーCLIに、シークレットマネージャー機能が表示されるようになります。

Keeperシークレットマネージャーの詳細については、以下のページをご覧ください。

Keeperパスワードローテーション

Keeperパスワードローテーションにより、クラウドベースでもオンプレミス環境でも安全に認証情報をローテーションすることができます。パスワードローテーションがロール上で有効になっている場合、パスワードローテーション機能がウェブボルト、Keeperデスクトップ、コマンダーCLIに表示されます。

特権アクセス管理

KeeperPAMをお使いでしたら、[特権アクセス管理] のタブから、特権アクセス機能のロール権限を管理できます。これにはKeeperシークレットマネージャーの権限も含まれます。

  • アプリケーションを作成、シークレットを管理

  • Keeperゲートウェイを作成、展開、管理

  • ローテーション設定を構成

  • 認証情報をローテーション

  • 接続設定を構成

  • 接続を開始

  • セッション録画を表示

  • トンネル設定を構成

  • トンネルを開始

  • リモートブラウジングを構成

  • リモートブラウジングを開始

  • RBIセッションの録画を表示

  • 検出を実行

アカウント移管

アカウント移管を有効にするには、スイッチをONにしてアカウント移管を実行できるロールをドロップダウンメニューから選択します。

ボルトへのログイン時に、ユーザーがアカウント移管に同意した場合のみアカウントを移転できます。アカウント移管ポリシーは、必要になる前に設定して備えておくことが重要となります。

KeeperコマンダーCLIでのポリシーの管理

以下は、「Engineering」のロールがレコードをエクスポートできないように制限する例となります。

enterprise-role Engineering --enforcement "RESTRICT_EXPORT:True"

概要動画

強制適用ポリシーの詳細については、以下の動画をご覧ください。

DUO SecurityおよびRSA SecurIDに関する詳細情報については、のページをご参照ください。

二要素認証コードによるデバイス承認は、マスターパスワードでログインするアカウントでのみ可能です。 SSOでログインするユーザーが新しいデバイスでログインする際には、、、を使用する必要があります。

デフォルトでは、BreachWatchイベントデータがユーザーのデバイスから接続済みのSIEMや高度なレポートとアラートツールへ送信されます。イベントデータはや接続済みのSIEMシステム (Splunkなど) へ送信されます。

Keeperのプライバシー画面機能は、単位、ロールポリシー単位 (特定のレコードドメインに基づく)、 (テンプレート) 単位で適用できます。

KeeperFillの詳細については、をご参照ください。

オフラインアクセスの詳細については、をご参照ください。

このポリシーを有効にすると、個人使用のために自身の個人用メール使用してKeeperファミリーライセンスを利用できなくなります。個人使用のための無料のファミリーライセンスについては、をご参照ください。

リカバリーフレーズは、暗号ウォレットの保護に使用されるものと同じBIP39単語リストを使用して実装されています。BIP39単語リストは2048単語のセットで、256ビットのエントロピーを持つ暗号化キーを生成するために使用ます。BIP39リストの各単語は、可視性を向上させ、回復プロセスでエラーが発生しにくくなるように慎重に選択されています。アカウントの回復に関する詳細については、こちらのKeeperのをご参照ください。

このポリシーにより、管理者はユーザーのアカウント回復を無効にできます。ユーザーがSAML 2.0 IDプロバイダを使用してKeeperクラウドSSOコネクトでログインする場合にされます。

アカウントの回復を無効にする場合、マスターパスワードを紛失してボルトにアクセスできないユーザーを管理者がサポートできるよう、を有効にすることを推奨します。

アカウント回復の手順については、のページをご参照ください。

パスワードローテーションの自動化については、をご覧ください。

アカウント移管の詳細については、をご参照ください。

は、コマンドラインインターフェースおよびPaythonをベースとしたSDKで、ロールおよび強制ポリシーを変更する機能を備えています。

詳細については、をご参照ください。

二要素認証
高度なレポート作成エンジン
チーム
レコードタイプ
こちら
こちらのページ
ブログ記事
推奨
ボルト移管ポリシー
「アカウント移管によるパスワード回復」
シークレットマネージャー
こちらのページ
プライバシー画面
詳細な共有設定の強制
強制適用ポリシー
こちらのページ
ログイン設定
SSOユーザーのマスターパスワードの編集
SSOユーザー向けパスワード編集
SSOマスターパスワードのログインの流れ
マスターパスワードの複雑さ
デフォルトロールは、マスターパスワードの複雑さ要件を計算するために使用されます(新規アカウントのみ)
マスターパスワードの複雑さの適用
マスターパスワードの有効期限
生体認証
二要素認証の適用
デバイス検証のための二要素認証
プラットフォーム制限の適用
ボルト機能の適用
アプリ内オンボーディングウィザード
カスタムフィールドのマスキング
メモのマスキング
削除したレコードを消去
レコード内パスワード
パスフレーズ生成ツールのポリシー設定
ドメイン限定ポリシー
ドメイン限定のパスワードまたはパスフレーズポリシーを追加
従業員側の強制ポリシーが適用されたボルト画面
ブラウザ拡張のプライバシー画面
特定のレコードタイプの有効無効適用
ユーザーのボルトで使用できるレコードタイプの表示
作成と共有の強制
作成と共有の強制
インポートとエクスポートの設定
KeeperFill関連のポリシー
KeeperFill > ドメインアクセスを制限
アカウント設定に関する権限
アカウント設定に関する権限
「ログイン状態を維持」のデフォルトのユーザー設定
ログアウトタイマー
アカウント設定 > メール招待を再送信
IPのホワイトリスト化
Keeperシークレットマネージャー関連ポリシー
特権アクセス管理
アカウント移管の強制
こちらのページ
Keeperコマンダー
こちらのページ
Keeper Push
管理者による承認
Keeperオートメーター