共有フォルダ

概要

Keeperのフォルダ、共有フォルダ、サブフォルダ機能は、柔軟性があり安全です。管理者の許可があれば、ユーザーはボルト内でフォルダや共有フォルダを作成できます。また、ユーザーやチームは、Keeperブリッジを介してActive Directoryから、あるいはAzure、Okta、Google WorkspaceなどのSCIM対応のIDプロバイダから自動的にプロビジョニングされ、共有フォルダの権限設定が簡単になります。

フォルダ

フォルダは、作成したユーザーしか閲覧できません。フォルダはサブフォルダやレコードで構成されます。また、フォルダの中に他の共有フォルダや共有レコードを含めることもできます。フォルダを作成するには、[新規作成] > [フォルダ] をクリックします。ドロップダウンメニューでフォルダを配置する場所を選択する際には、親フォルダを選んだり [マイボルト] を選択してルートレベルに追加したりできます。

共有フォルダ

共有フォルダは、個々のKeeperユーザーまたは管理コンソールで指定されたユーザーチームと共有できます。共有フォルダの権限は、ユーザー、チーム、レコードに対して適用できます。

共有フォルダを作成するには、[新規作成] > [共有フォルダ] をクリックします。ドロップダウンメニューでフォルダを配置する場所を選択する際には、親フォルダを選んだり [マイボルト] を選択してルートレベルに追加したりできます。次に、フォルダ名を入力し、ユーザーとフォルダに対する権限を設定します。

チームを手動で設定するには、管理コンソールの[管理者] 画面で [チーム] タブを開き、[チームを追加] ボタンをクリックします。

また、Active Directoryブリッジ、シングルサインオン、Azure AD、SCIM、APIなど、前述のオンボーディング方法を通じてユーザーがチームにプロビジョニングされると、ユーザーはそのチームの共有フォルダおよび関連レコードへのアクセス権が即座に付与されます。ユーザーがチームから削除された場合、そのユーザーの共有フォルダへのアクセス権は即座に取り消され、フォルダはユーザーのボルトから削除されます。

レコードの追加とレコードの権限設定

レコードは、ドラッグ＆ドロップでフォルダに追加できます。また、編集ボタンをクリックしてレコード検索バーを使って追加することもできます。

レコード権限は、フォルダのメンバー (ユーザー) とフォルダ内の個々のレコードとのやり取りを管理するために使用されます。これらの権限には、レコードタブで編集をクリックし、各レコード名の横にあるドロップダウン アイコンをクリックすることでアクセスできます。

レコード権限は、フォルダのメンバー (ユーザー) がフォルダ内の各レコードとどのようにやり取りできるかを管理するために使用されます。これらの権限を設定するには [レコード] タブを開き、各レコード名の横にあるドロップダウンをクリックします。

ユーザーの追加と権限の設定

レコード編集画面の [ユーザー] タブでメールアドレスフィールドをクリックし、フォルダを共有する相手のKeeperユーザー (共有管理者を含む) またはチームのメールアドレスを入力します。

次に、各ユーザーのメールアドレスの横にあるドロップダウンをクリックして、アクセス権限を設定します。

サブフォルダ

共有フォルダ内にサブフォルダを作成するには、共有フォルダを右クリックし、[新規フォルダ]を選択します。 フォルダにレコードを追加するには、ドラッグ＆ドロップするか、編集ボタンをクリックして、レコード検索バーからレコードを追加します。

共有フォルダ内のレコードを閲覧している状態で、編集ボタンをクリックし、[レコード] タブにある [サブフォルダのレコードを表示する] にチェックを入れると、それらのレコードが表示され、チェックを外した状態では表示されません。

フォルダにも共有フォルダにも無制限にレコードや サブフォルダを含めることができます。各サブフォルダでは、親フォルダと同じ権限構造が適用されます。

フォルダを共有フォルダ内に移動すると、そのフォルダでは共有フォルダの権限が適用されます。これには、フォルダとフォルダ内のレコードを閲覧したり編集したりする権限が含まれます。

以下の画像では、「領域 1」フォルダ内に「月次売上予想」と「従業員の勤務評価」の2つのサブフォルダが含まれています。「領域 1」フォルダは共有されていませんが、「月次売上予測」フォルダはアイコンが示しているように共有フォルダです。「領域 2」はアイコンが示すとおり共有フォルダなので、「領域 2」のサブフォルダに含まれるレコードもすべて共有されます。

共有フォルダのデフォルト設定

共有フォルダのデフォルト設定を使うことで、フォルダおよびサブフォルダ内のすべてのユーザーやレコードに対して、権限を簡単に設定できます。これらの設定はフォルダ作成時に選択されますが、右上の編集アイコンをクリックすることでいつでも変更できます。

共有フォルダにユーザーまたはレコードを追加する際には、新しく追加するレコードにはこれらの権限が適用されます。

サブフォルダ内のレコードにも権限変更を適用したい場合は、まず [レコード] タブ内にある [サブフォルダのレコードを表示する] のボックスをチェックしておきます。

次に、[設定] タブを選択し、各ドロップダウンをクリックして、フォルダに対するデフォルトの [ユーザー権限] と [レコード権限] を設定します。

必要に応じて、[既存のレコード ([XXX]件) にデフォルト権限を適用する] の横にあるボックスをオンにすると、既存のフォルダ内レコードにも変更を適用できます。さらに、［すべてのサブフォルダ ([XXX]件のレコード) にデフォルト権限を適用する] のボックスをチェックするとサブフォルダにも変更を適用できます。

デフォルトのフォルダ設定を変更しても、変更は変更後に追加されたユーザーのみに適用されます。変更前に追加されたユーザーの権限を編集するには、個別に編集するか、[ユーザー] タブから一括で編集します。

一括編集を行うには、[名前] の横にあるボックスにチェックを入れ、[権限] ドロップダウンから適用する権限を選択します。

フォルダとサブフォルダの管理に関する注意事項

フォルダおよび共有フォルダは、レコードとは別に作成されるオブジェクトとなります。Keeperのサブフォルダ (フォルダ内フォルダ) は強力で柔軟な仕様となっており、ドラッグアンドドロップなどの使いやすい機能を備えながら、最も安全な暗号化モデルをご利用になれます。

• フォルダには、レコード、共有レコード、サブフォルダを格納できます。

• サブフォルダには共有フォルダや通常のフォルダが使用できます。

• 作成できるフォルダと共有フォルダの数は無制限です。

• 共有フォルダに格納できるサブフォルダの数は無制限で、共有フォルダ内の各サブフォルダには親フォルダのアクセス権限が適用されます。

• フォルダツリーの深さに制限はありません。

• フォルダには、レコードとレコードの参照 (ショートカット) を格納します。

• 共有フォルダにはレコードを格納し、ユーザーやチーム間での柔軟な共有機能を備えています。

• 共有フォルダに含まれるフォルダとサブフォルダには、共有フォルダの権限が適用されます。

共有フォルダの作成と権限の設定については、以下の動画をご覧ください。

コマンダーを使用してレコード権限を一括で変更

コマンドラインSDKツールキットであるKeeperコマンダーを使用すると、一括でレコードの権限を変更できます。コマンダーにはユーザーインターフェイスでは利用できない特別な機能を備えています。

MacまたはPCでKeeperコマンダーのバイナリファイルをダウンロードについては、以下のウェブサイトをご参照ください。

Releases · Keeper-Security/CommanderGitHub

また、CLIを開発者モードでインストールする場合は、以下のドキュメントに記載のインストール方法をご参照ください。

GitHub - Keeper-Security/Commander: Keeper CommanderGitHub

使用事例: 全レコードのアクセス権を昇格させる

この事例では、共有フォルダのレコード権限を共有フォルダ内のレコードやサブフォルダも含めて変更することにします。

1. ボルトまたはコマンダーのCLIを使用して共有フォルダのUIDを特定します。コマンダーでは、Bashシェルと同様に「ls -l」コマンドを使用します。

ボルト内上で情報アイコンをクリックすると、共有フォルダUIDを確認できます。

1. コマンダーで、「record-permission」コマンドを「--dry-run」オプションをつけて実行し、シミュレーションしてみます。この例では、共有フォルダのUIDは「-FHdesR_GSERHUwBg4vTXw」とすると、以下のようになります。

record-permission --dry-run --recursive --action grant --can-edit -- -FHdesR_GSERHUwBg4vTXw

ご覧のように、共有フォルダUIDはダッシュで始まるので、識別子の前に「--」を追加して文字をエスケープします。

このコマンドを実行すると、以下のような出力が得られます。

「SKIP」セクションは、コマンダーの現在のユーザーはレコードの所有者ではないため、要求された変更を行うことができないことを意味しています。「GRANT」セクションでは、可能な変更が表示されます。

1. コマンドを実行するために、"--dry-run "の部分を削除します。

ボルトUI上で、コマンドの影響を受けるレコードの権限が「編集可」に変更されました。

同一の共有フォルダ内の多数のレコード所有者に対して変更を加えたい場合、各ユーザーがコマンダーで上記の操作を実行するだけで、それぞれのレコードの権限を変更できます。

共有管理者

Keeperの共有管理者機能はロール単位の権限で、管理者に組織の共有フォルダと共有レコードに対するアクセス権を昇格します。

共有管理者についての詳細はこちらのページをご覧ください。

レコードの移動

レコードは、フォルダの外側、フォルダの中、共有フォルダの中に存在することができます。レコードは、複数のフォルダや共有フォルダにリンクさせることもできます。リンクされたレコードは、ショートカットとも呼ばれます。リンクされたレコードに変更を加えると、すべてのショートカットでも変更が反映されます。

レコードをフォルダに移動するには、2つの方法があります。

• レコード一覧画面からレコードをドラッグ＆ドロップし、ポップアップが表示されると [移動] を選択します。

• レコード上で右クリックし、[移動先] を選択します。

共有フォルダへのレコード追加方法については、以下の動画をご覧ください。

レコードのショートカットを作成

複数のフォルダにレコードを追加する (ショートカットを作成する) には、以下の方法のいずれかを使用します。

• フォルダを選択し、編集ボタンを押します。[レコード] タブの [レコードを追加] 検索ボックスで、追加するレコードを検索して対象のレコードをクリックします。この方法では、常にフォルダにショートカットが作成されます。

• レコード一覧画面からレコードをドラッグ＆ドロップし、ポップアップが表示されルト [ショートカットを作成] をクリックします。

• レコード一覧画面からレコード上で右クリックし、[ショートカットを作成] を選択します。

共有フォルダのチーム

チームは、Keeper管理者や特定のノードや組織単位の管理権限を付与されたユーザーが作成します。チームは、ノードまたはサブノード内のユーザーで構成されます。また、作成できるチームの数に制限はありません。チームは以下のいずれかの方法でプロビジョニングできます。

• Keeper管理コンソールで手動で作成

• Active Directory / LDAPブリッジにより自動的にプロビジョニグ

• SCIMにより自動的にプロビジョニング

• KeeperコマンダーSDKを介して自動でプロビジョニング

暗号化レイヤーでは、チームには公開鍵と秘密鍵のペアがあります。ユーザーをチームに追加するには、まず自分がチームのメンバーである必要があります。と言うのも追加されるユーザーの公開鍵でチーム鍵を暗号化する必要があるためです。追加されるユーザーが自分のボルトにログインすると、チーム鍵はユーザーの秘密鍵で復号化されて取り出されます。この暗号化プロセスは、上記のプロビジョニング手法によって自動的に処理されます。

チームレベルの制限

管理コンソール内には、いくつかのチームセキュリティのオプションがあります。共有フォルダに追加されたチームの権限を制限できます。

• レコードの再共有を禁止する

• レコードの編集を禁止する

• プライバシー画面を有効にする

共有フォルダの削除と離脱

共有フォルダにアクセスできるユーザーは、共有フォルダから自分を削除するオプションがあります。ユーザーが [共有先とレコードの管理] の権限を付与されている場合、そのユーザーは共有フォルダ自体を削除することもできます。

フォルダの色を変える

共有フォルダの色を変更することで、視覚的に識別し易くなります。この機能は、共有フォルダと通常のフォルダの両方でご使用になれます。

管理者による制限

共有フォルダの使用は、管理コンソールの [ロール] セクションで制限できます。