LogoLogo
⮐ Keeper HomeAll DocumentationAdmin Console
エンタープライズガイド (企業、組織向け)
エンタープライズガイド (企業、組織向け)
  • はじめに
  • トライアルを開始
  • 資料
  • スモールビジネス (小規模組織) 向けKeeper
  • Keeperエンタープライズについて
  • 導入の概要
  • ドメインの予約
  • Keeperをエンドユーザーにデプロイ
    • Keeperデスクトップアプリケーション
      • コンピュータの起動時にKeeperを起動
    • フォースフィールド
    • KeeperFillブラウザ拡張機能
      • Mac
        • PLIST (.plist) ポリシーの展開
          • Jamf Proでのポリシーの展開 - Chrome
          • Microsoft Intuneポリシーの展開 - Chrome
      • Linux
        • JSONポリシーの展開 - Chrome
      • Windows
        • グループポリシーの展開 - Chrome
        • グループポリシーの展開 - Firefox
        • グループポリシーの展開 - Edge
        • SCCMでの展開 - Chrome
        • Intune - Chrome
        • Intune - Edge
        • Edge設定ポリシー
        • Chrome設定ポリシー
      • 仮想マシンの永続化
    • モバイルアプリケーション
      • IBM MaaS360
    • オプションの展開タスク
    • IE11信頼済みサイト
  • エンドユーザーガイド
  • Keeper管理コンソールの概要
  • ノードと組織構造
  • リスク管理ダッシュボード
  • ユーザーとチームのプロビジョニング
    • 招待メールとロゴのカスタマイズム
      • カスタムEメールでのマークダウン記法
    • 管理コンソールでの手動プロビジョニング
    • Active Directoryでのプロビジョニング
    • LDAPでのプロビジョニング
    • SSO JIT (ジャストインタイム) プロビジョニング
    • Oktaでのプロビジョニング
    • Azure / Entra IDでのプロビジョニング
    • Google Workspaceでのプロビジョニング
    • JumpCloudでのプロビジョニング
    • CloudGateでのプロビジョニング
    • OneLoginでのプロビジョニング
    • Microsoft AD FSでのプロビジョニング
    • SCIMを使用したAPIのプロビジョニング
      • SCIM APIプロビジョニングの使用
    • チームとユーザーの承認
    • メールアドレスで自動プロビジョニング
    • コマンダーSDKを使用したCLIのプロビジョニング
  • SSO/SAML認証
  • ユーザー管理とライフサイクル
  • メールアドレスの変更
  • ロール単位のアクセス権限設定
    • 強制適用ポリシー
    • セキュリティキー
  • 管理権限の委任
  • アカウント移管ポリシー
  • チーム (グループ)
  • 共有
    • レコードとファイルの共有
    • 共有フォルダ
    • PAMリソースの共有
    • ワンタイム共有
    • 共有管理機能
    • 時間制限付きアクセス
    • 自動消滅レコード
    • パスワードを隠す
  • レコードの作成
  • データのインポート
  • レコードタイプ
  • 二要素認証
  • 二要素認証コードの保存
  • セキュリティ監査
    • セキュリティ監査スコアの算出方法
  • BreachWatch (ダークウェブ)
  • ファイルストレージ
  • レポート作成、アラート、SIEM
    • イベント詳細
    • Splunk
    • Sumo Logic
    • Exabeam (LogRhythm)
    • Syslog
    • QRadar
    • Azure Sentinel
    • Azure Monitor
    • AWS S3バケット
    • Devo
    • Datadog
    • Logz.io
    • Elastic
    • ファイアウォールの設定
    • コマンダーによるオンサイトプッシュ通知
  • 推奨アラート
  • Webhooks (SlackおよびTeams)
    • Slack Webhook
    • Teams Webhook
    • Amazon Chime Webhook
    • Discord Webhook
  • コンプライアンスレポート
  • ボルトへのオフラインアクセス
  • シークレットマネージャー
  • コマンダーCLI
  • Keeperコネクションマネージャー
  • KeeperPAM特権アクセス管理
  • Keeperフォースフィールド
  • Keeper MSP
    • 無料トライアル
    • はじめに
    • 基本
    • 使用量に基づく請求
      • アドオン
      • 既存のMSP管理者
    • 導入
    • PSA 請求リコンサイル (照合)
    • Slackチャンネルに参加
    • 次のステップ
    • 削除
    • コマンダーCLI/SDK
    • アカウント管理API
    • API利用プロビジョニング家族プラン
    • MSPのベストプラクティス
  • 個人使用のための家族向け無料ライセンス
    • API経由で家族向けプランを提供
    • API経由での学生プランの提供
    • APIトラブルシューティング
      • APIパラメータ
      • APIレスポンスコード
      • APIエクスプローラ - Swagger
  • セキュリティの推奨設定
  • KeeperのIPをホワイトリスト化
  • Keeperの暗号化モデル
  • 開発者用API/SDKツール
  • KeeperChat
  • オンプレミスとクラウド
  • 認証フローV3
  • LastPassからの移行
  • トレーニングとサポート
  • LMS用Keeper SCORMファイル
  • ドキュメントホーム
Powered by GitBook
On this page
  • 概要
  • エンドユーザーの設定
  • 二要素認証の強制適用ポリシー
  • DuoとRSA SecurIDの設定
  • Duo Securityの設定
  • その他の二要素認証方式のサポート
  • SMS通知
  • TOTP方式
  • スマートウォッチ (KeeperDNA)
  • RSA SecurIDの設定
  • セキュリティキー (FIDO2 WebAuthn)
  • セキュリティキーを使用したログイン
  • バックアップ用二要素認証方式
  • 管理者による二要素認証の管理

二要素認証

Keeperのロールレベルで強制できる二要素認証オプション

PreviousレコードタイプNext二要素認証コードの保存

Last updated 7 months ago

概要

二要素認証 (2FA) は、Keeperのロール単位の強制適用ポリシーで適用できます。また、ユーザーがボルトで直接設定することもできます。Keeperでは以下の二要素認証方式がサポートされています。

  • SMS通知/ショートメッセージ

  • Google AuthenticatorやMicrosoft AuthenticatorなどのTOTP生成アプリ

  • Duo Security

  • RSA SecurID

  • Keeper DNA (Apple WatchとAndroid Wearデバイスを使用)

  • YubiKeyなどのFIDO2 WebAuthn対応物理キー

エンドユーザーの設定

各ユーザーは自分のボルト内で、[設定]画面から個別に二要素認証の設定を行うことができます。また、新しいKeeperアカウントを作成すると、ユーザーは二要素認証を有効にするよう促されます。

各プラットフォームでの二要素認証の設定手順の詳細については、エンドユーザーガイドをご参照ください。

二要素認証の強制適用ポリシー

二要素認証は強制適用ポリシーを通しても設定でき、ロール別に制御されます。

Keeper管理者は、二要素認証方式、トークンの有効期間などを設定できます。ポリシーはロール別に強制適用できるため、ロールごとに異なるポリシーを適用できます。

強制適用ポリシーの詳細については、こちらのページをご参照ください。

DuoとRSA SecurIDの設定

Duo SecurityやRSA SecurIDなどの一部の二要素認証方式では、Keeper管理者が管理コンソールから事前設定を行う必要があります。 二要素認証の設定にアクセスするには、[管理者]画面からノードを選択し、[二要素認証]タブに移動します。二要素認証方式とトークンの保持機能は、ロール強制適用ポリシー画面から適用することもできます。ロール強制適用ポリシーにより、特定のノードで二要素認証方式を適用できます。したがって、ノードごとに異なる二要素認証方式でプロビジョニングできます。

Duo Securityの設定

KeeperはすべてのKeeperプラットフォームでDUO Security APIに統合されており、プッシュ方式とSMS方式の両方がサポートされています。Duo Securityを有効にするには、以下の手順を実行します。

  1. Duo.comにアクセスしてアカウントを作成するか、すでにアカウントをお持ちの場合はログインします。

  2. 左側のメニューから[Applications] (アプリケーション) を選択します。

  3. [Protect An Application] (アプリケーションの保護) を選択してアプリケーションの一覧を表示し、[Keeper Security]を選択します。

  4. Duoのサイトから秘密鍵を含む認証情報をコピーします (秘密鍵を表示するには選択する必要があります)。

  5. Keeper管理コンソールに戻り、[管理者]画面で[二要素認証]タブを選択します。DUOの欄の右端の歯車アイコンを選択し、DUOのサイトからコピーした認証情報を貼り付けます。[有効にする]をオンにし、[保存]をクリックして完了します。

ユーザー名の正規化に関する重要な注意事項

Duoでログインしようとした際にエラーが表示された場合は、「Username normalization」 (ユーザー名の正規化) の設定を確認します。KeeperのバックエンドがDuoのAPIと通信する際にはKeeperのメールアドレスが使用されます。Duo環境にメールアドレスではなくユーザー名が設定されている場合は、Duoコンソールの設定ページで「Username normalization」 (ユーザー名の正規化) の設定を確認し、[Simple] (シンプル) を選択してください。

DUOのナレッジベースにユーザー名の正規化についての記事がありますので、ご参照ください。

DUOが有効化されると、各ユーザーはKeeperアプリにログインして、[設定] > [セキュリティ]画面に移動してDUOを有効してDUOに登録します。その後、デバイスを有効にする手順が表示されます。

有効化すると、すべてのデバイスでDuo Securityが表示されるようになります。

その他の二要素認証方式のサポート

任意の二要素認証方式をボルトから直接設定します。右上隅のアカウントのメールアドレスをクリックし、[設定] > [セキュリティ]の順にクリックして、二要素認証をオンに切り替えます。以下の二要素認証方式のいずれかを選択します。

SMS通知

Keeperは二要素認証コードのSMS通知 (ショートメッセージ) による配信をサポートしています。二要素認証方式の一覧から、SMS通知をオンに切り替えて、電話番号を入力します。

TOTP方式

二要素認証方式の一覧から[認証アプリ]をオンに切り替えます。その後Google Authenticator、Microsoft AuthenticatorなどのTOTP対応アプリケーションをモバイル端末にダウンロードし、Keeperに表示されるQRコードをスキャンして新しいエントリーを追加します。

スマートウォッチ (KeeperDNA)

Keeper DNAでは、ユーザーが所有するネットワーク接続デバイスを使用して独自のプロフィールが作成され、本人確認のための第2要素として機能します。Apple WatchとAndroid Wearデバイスに対応しています。スマートウォッチ (KeeperDNA) 方式を有効にするには、モバイル端末で[設定] > [セキュリティ] > [二要素認証]の順にタップし、[スマートウォッチ (KeeperDNA)]を選択します。

RSA SecurIDの設定

KeeperのバックエンドとRSA SecurIDとの統合は、Keeperのエンジニアリングチームが設定します。RSA SecurIDを有効にためには、ユーザー側で追加設定が必要となります。詳しくは、Keeperアカウントマネージャー (business.support@keepersecurity.com) までお問い合わせください。

セキュリティキー (FIDO2 WebAuthn)

YubiKeyやGoogle TitanキーなどのFIDO WebAuthnに対応したハードウェアセキュリティキーを使用して、二要素認証 (2FA) を安全かつ簡単に実現できます。

セキュリティキーは、ウェブボルトまたはデスクトップアプリで設定します。以下はセキュリティキーを使用した二要素認証を有効にするための手順となります。

  1. ボルトの右上隅にあるアカウントのメールアドレスをクリックし、[設定] > [セキュリティ]の順にクリックします。

  2. 二要素認証を有効にし、二要素認証の箇所で[編集]をクリックして、標準の二要素認証方式を有効にします。これは、セキュリティキーがサポートされていない場合や使用できない場合のバックアップとして使用されます。SMSではなく認証アプリ (TOTP) をバックアップ方式として使用するようにしてください。そうでない場合、セキュリティキーでログインするたびにSMSコードが送信されてしまいます。SIM乗っ取り攻撃を防ぐため、二要素認証にはGoogle AuthenticatorなどのTOTP生成ツールを使用することを推奨しています。

  3. [二要素認証]メニューで、[セキュリティキー]の右側にある[セットアップ]をクリックします。

  4. 画面上の指示に従ってセキュリティキーの名前を入力し、[登録]をクリックします。

  5. セキュリティキーにボタンまたはYubicoなどのゴールドディスクがある場合は、そのボタンを押して登録します。

セキュリティキーを使用したログイン

Keeper暗号化モデルで説明されているKeeperの認証システムでは、マスターパスワードによる認証の前にデバイスの検証と二要素認証の検証が必要となります。

セキュリティキーを使用してブラウザ拡張機能にログインする場合の流れは、ユーザーの観点からは少し異なりますが、セキュリティレベルに関しては同じです。 ブラウザ拡張機能へのログインフローでは、ユーザーはマスターパスワードの入力を求められますが、この情報はデバイスの検証と二要素認証が完了するまでは処理されません。これはブラウザ拡張機能では現在ネイティブセキュリティキーがサポートされていないためです。

バックアップ用二要素認証方式

Keeperでは、現在TOTP、SMS、Duo、RSA、Keeper DNAのいずれかを使用して、バックアップ用二要素認証方式を設定する必要があります。 バックアップ用二要素認証方式は、デバイスでハードウェアセキュリティキーがサポートされていないか、ユーザーがキーを利用できない場合に使用します。

バックアップ用二要素認証方式を設定しない場合には、TOTP方式を使用して、設定後にシードを破棄することをお勧めします。一部のデバイスでは、バックアップ二要素認証方式を使用しないと認証に障害が生じる可能性がありますのでご留意ください。また、登録済みのセキュリティキーをすべて紛失した場合は、Keeper管理者またはKeeperサポートチームにお問い合わせの上、二要素認証方式の変更が必要となることにもご留意ください。

管理者による二要素認証の管理

管理者は、すべてのユーザーに対して二要素認証を無効にできます。

2FAエンドユーザー設定
2FAの強制適用
DUOの2FAセットアップ
Duoの構成ページ
ボルト内でDUOを有効にする
SMS通知の二要素認証方式
WebAuthnセキュリティキーのセットアップ
管理コンソールでの2FA停止の設定