強制適用ポリシー
ロールに対する強制適用ポリシー
Last updated
ロールに対する強制適用ポリシー
Last updated
Keeperのロール強制適用ポリシーにより、Keeper環境のセキュリティと機能性をきめ細かくコントロールできます。
このオプションは、「代替手段としてのマスターパスワード」とも呼ばれ、SSOでログインするユーザーがマスターパスワードでもログインできるようになります。SSO接続がダウンしている場合やユーザーがオフラインの場合に便利です。また、SSOでログインするユーザーがKeeperコマンダーCLIにログインする場合にも使用できます。
普段は法人SSO ログイン (SAML 2.0) を使用してKeeperボルトにログインしているユーザーでも、マスターパスワードを使用してウェブボルト、KeeperFill、Keeperコマンダーにログインできるようになります。この機能を利用するには、Keeper管理者がロールポリシーで有効にした上で、ユーザーが自分で設定します。この機能を有効にすると、SSOでログインするユーザーもマスターパスワードを使用してオフラインでアクセスできるようになります。
このポリシーが有効になると、ユーザーは以下の手順に従って代替手段としてのマスターパスワードを使えるようにします。
SSOを使用してウェブボルトにログインします。
設定画面にアクセスし、[セットアップ]か[編集]をクリックしてマスターパスワードを設定します。
設定が完了すると、[法人SSOログイン] > [マスターパスワード]からログインできるようになります。
SSOユーザーのマスターパスワードによるログイン機能は、ウェブボルト、Keeperデスクトップ、KeeperFill、コマンダーCLIでのみ使用できます。
マスターパスワードの複雑さに関するポリシーは、該当のロールが付与されているユーザーのパスワードの複雑さに適用されます。
以下の設定項目があります。
パスワードの長さ
数字の数
記号の数
大文字の数
小文字の数
マスターパスワードの複雑さとデフォルトのロールに関する注意事項
ユーザーが最初にボルトを作成する際、マスターパスワードの複雑さに関するルールの適用のため、管理コンソール内のすべてのデフォルトロールが参照されます。マスターパスワードの複雑さに関するルールは、各デフォルトロールの最大値を基に決定されます。
アカウントが作成されると、ユーザーに割り当てられたロールを使用してマスターパスワードの複雑さに関する要件が継続的に適用されるようにします。
Keeperボルトのアカウントを作成する際、ユーザーはこの複雑さに関する要件を遵守する必要があります。
マスターパスワードの有効期限ポリシーを利用すると、ユーザーは指定の間隔 (日数) でマスターパスワードを変更しなければなりません。このポリシーを有効にした場合、マスターパスワードが期限切れになると、ユーザーは次回のログイン時に強制的に新しいマスターパスワードに更新しなければならなくなります。マスターパスワードの変更が必要になるまでの日数を設定するには、10~150日の範囲で選択します。
本機能はクラウドSSOコネクトを使用してログインするユーザーには影響しません。
ユーザーのマスターパスワードを直ちに失効させる必要がある場合は、「ユーザー」タブからマスターパスワードを失効するユーザーを選択し、[マスターパスワード失効]を選択します。これにより、ユーザーのマスターパスワードが直ちに失効し、パスワードリセットが必要になります。
Windows Hello、Touch ID、Face ID、Android生体認証がネイティブでサポートされています。通常、マスター パスワードまたはエンタープライズSSOログインを使用してKeeperボルトログインするユーザーは、生体認証を使用してデバイスにログインすることもできます。「オフラインアクセスの制限」の強制が適用されていない限り、マスター パスワード使用のユーザーもSSOユーザーのユーザーも、生体認証を使用してオフラインアクセスを使用できます。
本機能はオペレーティングシステムの既存の生体認証機能と統合されているため、Keeperではユーザーの生体認証データを保存も処理もされません。
二要素認証ポリシーを有効にすると、ユーザーはKeeperプロファイルの設定時に二要素認証の方式の設定が必要となります。この設定が適用されると、既存のユーザーは二要素認証を有効にしなければなりません。
二要素認証を適用すると、アカウント作成時またはログイン時に二要素認証の設定を案内するプロンプトが表示されます。
二要素認証を適用すると、ユーザー側から無効にすることはできませんが、編集により二要素認証を再設定できます。
二要素認証の適用に加えて、新しいコードで再認証を促す頻度も指定できます。
管理者によって管理コンソールのユーザー詳細画面からそのユーザーの二要素認証を一時的に無効にできます。
ユーザーに対して二要素認証を設定すると、コード入力を求める頻度に関係なく常にKeeperサーバー側で二要素認証が適用されます。ユーザーが二要素認証コードで認証されるとデバイスでトークンが生成され、バックエンドシステムとの後続の通信に使用されます。
また、管理者によりユーザーのデバイス側でコードの入力を促す頻度が指定できます。たとえば、ウェブボルトおよびKeeperデスクトップのユーザーにはログイン毎にコード入力を求め、モバイル端末のユーザーには、30日に1回だけ求めるような指定ができます。ただし、新しいデバイスにログインする際には、必ずコード入力が求められます。
二要素認証を求める頻度に加えて、ロール内でユーザーが使用できる二要素認証の方式も指定できます。 ロールに応じて異なる方式を適用できます。
以下の二要素認証方式に対応しています。
FIDO2 WebSuthnセキュリティキー (PIN確認対応)
TOTP (Google Authenticator、Microsoft Authenticator、任意のTOTPジェネレータ)
スマートウォッチ (Apple WatchまたはAndroid Wear)
RSA SecurID
Duo Security
テキストメッセージ (SMS)
DUO SecurityおよびRSA SecurIDに関する詳細情報については、二要素認証のページをご参照ください。
Keeperの認証システムにはデバイス承認機能が備わっており、未承認デバイスにログインしようとする際には2つ目の要素としてメール確認を行います。ユーザーが二要素認証を設定済みである場合は、メール確認の代わりにデバイス承認の方法として使用できます (たとえば、メールにアクセスできない場合など)。
ウェブボルト、KeeperFIll、モバイル、Keeperデスクトップ、コマンダーSDK、KeeperChatなど、特定のプラットフォームでのKeeperボルトの使用を制限できます。
ロールを持つユーザーに対して、ボルトの標準機能の使用を制限します。
ONにすると、ユーザーが初回ログインする際にユーザーのボルトに「クイックスタート」ウィザードが表示されなくなります。
アプリ内オンボーディングは、Keeper管理者が設定するポリシーに従います。
インポートが許可されていない場合、このオプションは非表示になります。
ブラウザ拡張機能が許可されていない場合、このオプションは非表示になります。
アカウント復元が無効になっている場合、このオプションは非表示になります。
クイックスタートが完全に無効になっている場合、このフローは表示されません。
ONにすると、すべてのカスタムフィールドの名前と値が強制的にマスクされます。マスクを解除するには、目のアイコンをクリックします。
レコードのメモセクションがマスクされます。マスクを解除するには目のアイコンをクリックします。
デフォルトでは、パスワードはKeeperのすべてのプラットフォームで常にマスクされます。iOSおよびAndroidデバイスでは、ユーザーがパスワードマスクのON/OFFを切り替えることができます。この設定を有効にすると、マスキングが常に有効な状態になります。パスワードを表示するには目のアイコンをクリックします。
有効にすると、BreachWatchイベントがデバイスからKeeper管理コンソールに送信されなくなります。テストデータを使用したり、管理コンソールの初期設定を行う場合にのみ使用します。BreachWatchイベントを一時停止することで、管理コンソールや接続先のレポートシステムでイベントが生成されなくなります。
デフォルトでは、BreachWatchイベントデータがユーザーのデバイスから接続済みのSIEMや高度なレポートとアラートツールへ送信されることはありません。送信されるようにするには、Keeper管理者がこの機能を有効にする必要があります。有効にすると、イベントデータは高度なレポート作成エンジンや接続済みのSIEMシステム (Splunkなど) に送信を開始します。
この機能は過去に遡って適用できません。この機能を有効にして初めてイベントが高度なレポートとアラートに送信されるようになります。
この設定を使用すると、以下の操作を実行しようとする際にマスターパスワードか生体認証での再認証が必要となります。
パスワードの自動入力
パスワードや伏せ字フィールドの表示とコピー
レコードレコードやフォルダの編集、共有、削除
また、「上でオンにした操作を行なっても再認証を保留する (行わない) 時間を設定する」ことにより、再認証が要求されるまでの保留時間を分単位で指定することができます。
注: この機能はSSOユーザーには適用されません。
デフォルトでは、削除したレコードはレコード所有者の「削除済みアイテム」に移動されます。削除済みアイテムの処理を制御するための2つの強制ポリシーがご利用になれます。
レコードが完全削除されるまでの日数
削除したレコードが自動消去されるまでの日数
ユーザーが誤ってボルト内のレコードを完全に削除してしまうのを防止するため、レコードが完全に削除されまでゴミ箱に留まる日数を指定できます。
また、ユーザーが「削除済みアイテム」に移動したレコードを特定期間後に自動的に完全削除されるよう設定することもできます。
Keeperのパスワードとパスフレーズ生成ツールは、一般的なポリシーとしても特定のウェブ サイトドメインに対しても適用できます。
エンドユーザーボルトのパスワード生成ツールは、ここで定義されている最小文字数、小文字、大文字、数字、記号の各最小数、使用できる記号の設定に基づいて機能します。パスワード生成ツールで使用される記号は、リストからの選択したものに制限されます。デフォルトでは、すべての記号が使用できる設定となっています。
エンドユーザーボルトのパスフレーズ生成ツールはデフォルトは有効となっていますが、管理者によって無効にすることができます。最小の単語数を設定したり、大文字と数字を含むように設定したりできます。単語間の区切り文字は、使用が許可されている記号から選択されます。デフォルトでは、すべて記号が使用できるようになっています。
ドメイン限定ポリシーを使用すると、管理者は特定のドメイン名や一致するドメインパターンに対してパスワードの複雑さに関するプライバシー ルールを適用できます。
以下のようにワイルドカード (*) を使用すると、複数のドメインに対して最低限のパスワードの複雑さのルールを作成できます。
*.amazon.com
*.google.com
*.gov
example.com
*.example.com
ワイルドカード文字 (*) を単独で使用してグローバルドメインルールを作成することもできます。ルールが重複する場合は、最も厳しい制限が生成されることにご留意ください。ワイルドカードを単独で使用した場合、ドメイン名の値を含むすべてのレコードに対してポリシーが適用されます。
Keeperのプライバシー画面機能は、チーム単位、ロールポリシー単位 (特定のレコードドメインに基づく)、レコードタイプ (テンプレート) 単位で適用できます。
ロールポリシー単位の適用ではパスワードの複雑さに関するポリシーと連動し、ドメインごとにパスワードを表示 (マスク解除) できるようにします。このポリシーが適用されると画面でパスワードがマスクされるため、万一画面上のパスワードを覗き見されても安全です。
レコードの編集権限または所有者権限を持つユーザーに適用した場合、レコードを編集する際にパスワード生成ツールを使用しなければならなくなります。
パスワードのマスキングは視覚的なものに過ぎません。パスワードはボルトに保管されたままであり、API通信およびウェブページの要素を検証することでアクセスできます。管理者側でユーザーがウェブページの要素を検証できないようにしたい場合は、グループポリシーを使用してユーザーがブラウザのデベロッパーツールを使用できないようにすることを推奨します。
この機能はパスワードの複雑性に関する設定内でも有効にできます。[パスワードの複雑さ]でドメインを追加して[プライバシー画面を適用]ボックスをチェックします。
ボルト内ではURLに一致するレコードはすべてロックされるので、ユーザー側ではパスワードのマスク表示を解除できません。
同様に、KeeperFillでもプライバシー画面が発動します。
プライバシー画面機能の詳細については、以下の動画をご覧ください。
アカウントのレコードタイプが有効になっている場合、さらに特定のレコードタイプを有効にしたり無効にしたりできます。デフォルトのレコードタイプとカスタムレコードタイプのどちらも、ロールの権限に基づいて有効にしたり無効にしたりできます。カスタムレコードタイプはデフォルトタイプの下に表示されますが、各ユーザーのボルト設定内で表示の順序を変更できます。
特定のレコードタイプを無効ににすると、ユーザーのボルト内のドロップダウンで表示されなくなります。
組織単位でレコードタイプが有効になっていない場合、左側のメニューには表示されません。
管理コンソールで1つレコードタイプのみを有効にした場合、ボルト内でレコードを作成する際にレコードタイプ選択のポップアップは表示されず、あたかもレコードタイプ自体が無効になっているかように進行します。
組織内の一部のユーザーでレコードタイプが無効になっている場合でも、共有機能や編集機能が制限されることはありません。たとえば、管理者は、カスタムSSHレコードを管理者以外と共有でき、レコード内のすべてのデータが表示されます。
レコードタイプが無効になっている別の組織とレコードを共有する場合、組織でレコードタイプが有効になるまで表示はされませんが、レコードタイプのデータ自体は存在します。
管理者はユーザーがレコードを作成したり共有したりする際に、広範囲にわたる制限を適用できます。
「作成に関する設定」では、ユーザーにレコード、フォルダ、共有フォルダなどの作成を許可するかどうかを設定します。
作成機能は以下のようにカスタマイズできます。
レコードの作成 (レコードとフォルダの作成を共有フォルダ内のみに制限する機能が含まれます)
フォルダの作成 (フォルダの作成を共有フォルダ内のみに制限する機能が含まれます)
共有フォルダの作成
KeeperFillを使用して、[個人情報とカード情報]タブでクレジットカード情報のレコードや住所のレコードなどを作成
ファイルのアップロード
「共有に関する設定」では、ユーザーがワンタイム共有リンクや添付ファイルなどを共有したり受けとったりできるかを設定します。
共有は以下のようにカスタマイズできます。
共有する、共有される
共有フォルダ内にレコードを追加することでのみ他のユーザーと共有できるようにすることで、他のユーザーをレコードや共有フォルダに追加できないようにする
他のユーザーからの共有のみ許可することで、他のユーザーをレコードや共有フォルダに追加できないようにする
共有することも共有されることもできなくすることで、レコードや共有フォルダに他のユーザーを追加したり、他のユーザーから共有されたりできないようにする (この強制が有効になっている場合、ワンタイム共有リンクの生成、添付ファイル付きレコードの共有、組織外のユーザーとの共有の機能はデフォルトで無効になります)。
以下の機能を個別に制限することもできます。
ワンタイム共有リンクの生成
添付ファイルを含むレコードの共有
分離ノード外への共有
組織外のユーザーとの共有
組織外のユーザーからの共有
「インポートとエクスポート」では、ボルトからのインポートおよびエクスポートの設定をコントロールできます。
以下のようにカスタマイズできます。
ボルトへインポート (LastPassからの共有フォルダのインポートの制限を含む)
ボルトからエクスポート
KeeperFillは、ウェブサイトやアプリケーションでのログイン時に自動入力を支援するブラウザ拡張機能です。
KeeperFillのさまざまな機能を個別にコントロールできます。
ご利用になれる設定
カギをホバー表示の有無
自動入力候補の表示の有無
自動入力の有無
自動送信の有無
サブドメインが一致するレコードのみ表示するかどうか
パスワード入力ポップアップを開く
パスワード保存ポップアップを開く
パスワード変更ポップアップを開く
KeeperFill動作不能時のポップアップを開く
HTTPウェブサイトでパスワードを入力しようとする際の警告の発動
管理者によって特定のウェブサイトでKeeperFillを使用できないように設定できます。その際、ワイルドカード文字を使用してドメイン名やURLを指定できます。多くのフォームフィールドを持つ内部アプリケーションに対してKeeperFillを無効にするという使用例が考えられます。
有効にすると、インターネットアクセスがない場合にKeeperボルトにアクセスできなくなります。
オフラインアクセスの詳細については、こちらをご参照ください。
有効にすると、ユーザーはメールアドレスの変更ができなくなります。なお、SSOでログインするユーザーは自身のメールアドレスを変更できません。
このポリシーを有効にすると、該当ロールを付与されたユーザーは、間違ったパスワードを使用してログインに5回失敗すると、ローカルに保存されているすべてのKeeperのデータが消去されます。
このポリシーを有効にすると、個人使用のために自身の個人用メール使用してKeeperファミリーライセンスを利用できなくなります。個人使用のための無料のファミリーライセンスについては、こちらのページをご参照ください。
この強制ポリシーを有効化すると、該当ロールを持つユーザーのログイン状態維持機能が使えなくなります。 「ログイン状態維持」機能を利用すると、非アクティブタイマーが切れるまではブラウザやコンピュータを再起動しても、ウェブボルト、Keeperデスクトップ、KeeperFillへのログイン状態を維持できます。
該当ロールの新規ユーザーのデフォルトの「ログイン状態を維持」設定をオンかオフに設定します。この設定は新規ユーザーにのみ適用され、遡及的には適用されません。
ユーザーが非アクティブ状態 (待機状態) になったときに、Keeperから自動的にログアウトするまでの時間を設定します。ウェブ、モバイル、デスクトップの各Keeperアプリで異なる時間を分単位で指定できます。非アクティブ状態で指定した時間が経過すると、ユーザーはログアウトします。ユーザー自身が個々に設定した時間の方が長い場合は、ここでの設定時間に短縮されます。
マスターパスワードを忘れた場合にボルトを回復する非常手段として、自動生成される24語から成るリカバリーフレーズの使用があります。SSO IDプロバイダが使用できない場合は、アカウント回復を使用してアカウントにログインすることもできます。
リカバリーフレーズは、暗号ウォレットの保護に使用されるものと同じBIP39単語リストを使用して実装されています。BIP39単語リストは2048単語のセットで、256ビットのエントロピーを持つ暗号化キーを生成するために使用ます。BIP39リストの各単語は、可視性を向上させ、回復プロセスでエラーが発生しにくくなるように慎重に選択されています。アカウントの回復に関する詳細については、こちらのKeeperのブログ記事をご参照ください。
このポリシーにより、管理者はユーザーのアカウント回復を無効にできます。ユーザーがSAML 2.0 IDプロバイダを使用してKeeperクラウドSSOコネクトでログインする場合に推奨されます。
アカウントの回復を無効にする場合、マスターパスワードを紛失してボルトにアクセスできないユーザーを管理者がサポートできるよう、ボルト移管ポリシーを有効にすることを推奨します。
アカウント回復の手順については、「アカウント移管によるパスワード回復」のページをご参照ください。
このポリシーを有効にすると、ロールのユーザーへアカウントがプロビジョニングされる際に招待メールが送信されません。使用例としては、管理者がシステムの招待メールではなく独自に作成した招待メールを送信したい場合が考えられます。また、管理者が招待プロセスをテストする際にもご利用になれます。
新規ユーザーに送信されるKeeperの招待メールは、ユーザーが特定の時間内にアカウントを作成しない場合、自動的に再送信されます。 デフォルトの設定は、招待メールの送信は1回限りとなっていますが、必要に応じて頻度を増やせます。
デフォルトではKeeperの招待メールは7日間のみ有効ですので、自動的に再送することを推奨します。
特定のロールを持つユーザーに対して、指定のIPアドレス範囲以外でKeeperを使用することを禁止できます。IPアドレスは、ログイン時にKeeperインフラストラクチャによって認識される外部 (パブリック) アドレスでなければなりません。IP範囲を追加するには、[範囲を追加]をクリックします。
ご利用のアカウントに関連付けられていないロールでIPのホワイトリスト化をテストするようにしてください。無効なIP範囲を追加すると、ご自身または関連するすべてのユーザーがロックアウトされる可能性があります。このような状況になった場合には、エンタープライズサポートへお問い合わせください。
ロールに対してKeeperシークレットマネージャーを有効にすると、ウェブボルト、Keeperデスクトップアプリ、コマンダーCLIに、シークレットマネージャー機能が表示されるようになります。
Keeperシークレットマネージャーの詳細については、以下のページをご覧ください。
シークレットマネージャーKeeperパスワードローテーションにより、クラウドベースでもオンプレミス環境でも安全に認証情報をローテーションすることができます。パスワードローテーションがロール上で有効になっている場合、パスワードローテーション機能がウェブボルト、Keeperデスクトップ、コマンダーCLIに表示されます。
Keeperパスワードローテーションの詳細については、こちらのページをご覧ください。
KeeperPAMをお使いでしたら、[特権アクセス管理]のタブから、特権アクセス機能のロール権限を管理できます。これにはKeeperシークレットマネージャーの権限も含まれます。
アプリケーションを作成、シークレットを管理
Keeperゲートウェイを作成、展開、管理
ローテーション設定を構成
認証情報をローテーション
接続設定を構成
接続を開始
セッション録画を表示
トンネル設定を構成
トンネルを開始
リモートブラウジングを構成
リモートブラウジングを開始
RBIセッションの録画を表示
ディスカバリーを実行
アカウント移管を有効にするには、スイッチをONにしてアカウント移管を実行できるロールをドロップダウンメニューから選択します。
ボルトへのログイン時に、ユーザーがアカウント移管に同意した場合のみアカウントを移転できます。アカウント移管ポリシーは、必要になる前に設定して備えておくことが重要となります。
アカウント移管の詳細については、こちらのページをご参照ください。
Keeperコマンダーは、コマンドラインインターフェースおよびPaythonをベースとしたSDKで、ロールおよび強制ポリシーを変更する機能を備えています。
詳細については、こちらのページをご参照ください。
以下は、「Engineering」のロールがレコードをエクスポートできないように制限する例となります。
強制適用ポリシーの詳細については、以下の動画をご覧ください。
二要素認証コードによるデバイス承認は、マスターパスワードでログインするアカウントでのみ可能です。 SSOでログインするユーザーが新しいデバイスでログインする際には、、、を使用する必要があります。
KeeperFillの詳細については、をご参照ください。