エンタープライズガイド (企業、組織向け)
⮐ Keeper Home All Documentation Admin Console

チーム (グループ)

Keeperチームであらかじめ定義されたユーザーグループ間で特権アカウントを共有

チームは、個人をグループ分けしてボルト内の記録やフォルダを共有できるようにする目的で作成します。管理者はチームを作成し、チームの制限 (編集、表示、パスワードの共有) を設定して、個々のユーザーをチームに追加します。ユーザーは手動あるいは各種の自動化手法を使用してチームに追加できます。

また、チームを使用するとグループ全体にロールを簡単に割り当てられるため、グループ全体で強制適用ポリシーの一貫性を確保できます。

チームを追加

[チーム]タブに移動し、[+ チームを追加]ボタンをクリックします。ロールと同様に、チームも特定のノードに追加されます。チーム名を入力し、[チームを追加]をクリックして保存します。

チームを編集

[チーム]タブから、編集したいチームを選択します。ここから、名前の変更、記録の再共有の禁止、記録の編集の禁止、プライバシー画面の適用などを設定できます。チームが属するノードを変更したり、チームにユーザーやロールを追加することもできます。チームを削除するには[オプション]から[削除]をクリックします。

チーム単位の制限

チームに様々な制限を設定して、フォルダ単位の権限設定を上書きできます。

記録の再共有を禁止

この制限を適用すると、このチームに共有されているパスワードを再共有できなくなります。共有フォルダの権限が優先されます。

記録の編集を禁止

この制限を適用すると、パスワードの使用と表示は可能ですが編集はできなくなります。共有フォルダの権限が優先されます。

プライバシー画面を適用

Keeperのプライバシー画面機能を使用すると、すべてのパスワードの表示 (伏せ字解除) をチーム単位で制御できます。この機能は一般的にテクノロジーに詳しくないユーザー向けにパスワードの表示を制限するために使用します。このポリシーを適用することでパスワードがユーザーインターフェースから見えなくなり、不意の覗き見から護るのに役立ちます。なお、パスワードの伏せ字表示は、単に表示上の処理で、パスワードはユーザーのボルトに保管されたままであり、API通信およびブラウザ検証を使用すれことでアクセスは可能です。プライバシー画面は、Keeperのロール強制適用ポリシーでロール単位およびウェブサイトのドメイン単位で設定することもできます。

プライバシー画面機能の詳細については、以下の動画をご覧ください。

プライバシー画面

ユーザーをチームへ追加

以下の方法でユーザーをチームへ追加できます。

  • 管理コンソールから手動操作

  • Keeperブリッジ (AD/LDAP用) から自動処理

  • SCIMプロビジョニング (Azure、Oktaなど) から自動処理

  • KeeperコマンダーCLI から自動処理

管理コンソールからユーザーをチームへ追加

[+ ユーザーを追加]ボタンをクリックしてユーザーをチームへ追加します。

チームへ招待済みのユーザーをコマンダーで待機状態にする

Keeperチームへ招待済みのユーザーを待機状態にしたい場合は、Keeperコマンダーのenterprise-teamコマンドを使用します。以下の例は、チームへ招待済みのユーザーを追加しています。「待機状態のユーザー」が出力されているのが確認できます。

My Vault> enterprise-team --add-user some_invited_user@lurey.com "Social Ops"
My Vault> enterprise-team "Social Ops"

                Team UID:BJa131htHCepTxuBCFQ_uA
               Team Name:Social Ops
                    Node: root  288797895950338
          Restrict Edit?:Yes
         Restrict Share?:Yes
          Restrict View?:Yes
          Active User(s): craig@lurey.com
                        : craig@keeperdemo.io
          Queued User(s): some_invited_user@lurey.com

待機状態のチームとユーザーは、「チームとユーザーの承認」のページに記載の方法のいずれかを使用して処理します。

チームのプロビジョニングを自動化

チームは、以下のページで記載されている方法でもプロビジョニングできます。

チームとユーザーの承認

チームとチームとユーザーの割り当ては、暗号化された公開鍵と秘密鍵を使用して実行されます。 チームは公開鍵と秘密鍵を持っています。ユーザーをチームに追加するには、ユーザーの公開鍵を使用してチームの鍵を暗号化します。管理コンソールでチームを作成してユーザーをチームに割り当てる場合、管理者は暗号化処理に必要な権限と鍵へのアクセス権を持っているため、すべての暗号化がローカルで行われます。

KeeperブリッジやSCIM APIなどの自動化された方法で作成されたチームとチーム割り当てには、割り当てを完全に作成するために必要な暗号化鍵がありません。そのため、これらのチームと割り当ては「待機」システムに入ります。

待機状態に入ったチームとチームとユーザーの割り当ては、以下の操作のいずれかで処理します。

  • 管理者が管理コンソールにログインする (任意で「完全同期」をクリック)

  • それぞれのチームのユーザーがウェブボルトまたはデスクトップアプリにログインする

  • 管理者がKeeperコマンダーでteam-approveコマンドを実行する

  • 管理者がKeeperオートメーターサービス (バージョン3.0以降) をセットアップする

SCIMとコマンダーAPIについては、「チームとユーザーの承認」のページに記載の方法で承認できます。

ADブリッジまたはSCIM管理ノードに関して

ユーザーがエンタープライズ内の特定のノードのSCIMまたはActive Directoryブリッジを通じて管理されている場合は、チーム管理を自動化処理とIDプロバイダを通じて行うことをお勧めします。管理コンソールからチームを手動で作成したり編集したりすると、IDプロバイダーに干渉し、同期の問題が発生する可能性があります。

Previousアカウント移管ポリシーNext共有

Last updated