# アカウント移管ポリシー

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FKONJ4W8AEknrofadALCo%2FAccount%20Transfer%20Policy.jpeg?alt=media&#x26;token=55e5c243-9a1c-4b94-8506-50208835fcdf" alt=""><figcaption></figcaption></figure>

## アカウント移管 (メンバーの組織からの離脱)

アカウント移管ポリシーにより、ユーザーが組織を去る場合にそのユーザーのボルトを別のユーザーへ移管できます。この機能はオプション機能で、移管を実行する権限を持つユーザー間で暗号鍵が共有されている必要があるため、Keeper導入の初期段階でKeeper管理者が設定しておく必要があります。Keeperのゼロ知識インフラストラクチャを維持するため、鍵の交換はユーザーがボルトにログインする際に発生します。このように、アカウント移管の設定は、実際にアカウント移管が発生する前に設定しておく必要があり、移管が機能するには移管操作の前にユーザーが1回以上ログインしている必要があります。

アカウント移管機能は、該当の管理権限を持つ管理者によって行われ、安全なロールに基づいた階層を維持しながらユーザーのボルト内コンテンツの所有権を得る上で有効な機能です。

### **アカウント移管を有効化するタイミング**

デフォルトでは「すべてのユーザー」のロールでアカウント移管が有効となっており、「Keeper管理者」のロールでアカウント移管の管理権限が付与されています。この設定により、Keeper管理者はユーザーのボルトの内容を別のユーザーに移管することが可能です。なお、管理者にアカウント移管の管理権限が付与されていない場合は、アカウント移管が必要となる前に権限を有効化しておく必要があります。たとえば、ユーザーA が、組織内の他の誰もアクセスできないボルト内に、業務に不可欠なアプリケーションまたはアカウントへのパスワードを保管していて、何らかの理由でユーザーA がボルトへアクセスできなった場合、組織ではアクセスを復元するのが困難な状況に陥る可能性があります。そのような際に、アカウント移管権限がデフォルトの**Keeper管理者**ロールで有効にされており、**ユーザーA**が属するロールに適用されている場合、Keeper管理者は**ユーザーAの**ボルトの全コンテンツを別のユーザーに移管することが可能となります。

### **初期設定が必要な理由**

特定のロールでアカウント移管機能を有効にすると、Keeper管理者の意思でそのロールに属するユーザー全員のボルトが移管されたり、アカウントを削除されたりする可能性があります。この強制適用ポリシーが施行にされると、ユーザーがボルトにログインする際にポップアップ通知が表示されボルト移管機能が有効になったことを通知されます。ユーザーは通知を承諾する必要があります。承諾時に、Keeperはユーザーとロールの間で必要な暗号鍵の交換を実行し、データ移管が必要となった場合に備えます。この暗号鍵の交換がなければ、管理コンソール内のユーザーはデータを復号化して移管できません。このプロセスにより、ゼロ知識が確保され、特定のユーザーのみが移管の対象となります。ボルトが別のユーザーに移管されると、移管元ユーザーのボルトは削除されます。

### **管理者からユーザーのボルトへアクセスはできません**

アカウント移管機能により、管理者にはユーザーのボルトのコンテンツを別のユーザーに移管する権限が付与されますが、管理者がアクセスしたいときにいつでもユーザーのボルトにアクセスできる権限が付与されるわけではありません。移管元のボルトはまずロックされる必要があり、そのアカウントは移管後に削除されます。管理者によってアカウントがロックされた場合や移管されて削除された場合にはユーザーへ通知が送信されます。

## **アカウント移管機能を有効化する方法** <a href="#acount-transfer-on" id="acount-transfer-on"></a>

まず**アカウント移管**機能を有効にしておき、ユーザーは管理者が移管を実行する前にボルトにログインしてアカウント移管を承諾しておく必要があります。

1.　アカウントの移管権限を付与するロールの「管理権限」から**アカウント移管**設定を有効にします。

![管理権限](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FeGsV7OieNIQZel0bN7PE%2FJP_Account%20Transfer01.png?alt=media\&token=709b036f-ef3f-4333-b7b4-a43565521fef)

![アカウント移管権限を有効にする](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FcQz8pYNuO7CYP7uujWMa%2FJP_Account%20Transfer02.png?alt=media\&token=a510f534-b6aa-4ca3-b16d-cab45ddfad60)

{% hint style="warning" %}
アカウント移管のボックスをチェックできない場合、そのユーザーはアカウント移管権限が有効になっているロールに属するアカウント (デフォルトのKeeper管理者など) にログインしている必要があります。
{% endhint %}

他のロールにアカウント移管権限を付与する前に、ロール (Keeper管理者ロールなど) でこの権限が有効になっている必要があります。

2. 対象のロールの強制適用ポリシーの「アカウント移管」タブで、**「アカウント移管を有効にする」**&#x3092;**ON**にします。

![アカウント移管ポリシー](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FzW3exAcj0FU57XTqqZ9K%2FJP_Account%20Transfer03.png?alt=media\&token=ce2fd1c7-e6b2-4f91-bb0d-de825eab8cf4)

3.　管理者ロールを選択します。このロールが移管を開始する権限を持つことになります (複数のロールが権限を持つことはできますが、実施時には1つのロールしか選択できません)。

{% hint style="info" %}
アカウント移管機能が有効になるとユーザーはその旨通知を受け取り、所属の組織がユーザーのボルトを移管することを承諾するように求められます。承諾はユーザーはボルトにログインする際に1度だけ行います。

ドロップダウンメニューから別の管理者ロールを選択すると、新規ユーザーおよび既存ユーザーの双方に対して、新しい承認通知が送信されます。この通知は、以前にユーザーが通知を承認済みである場合でも送信されますのでご注意ください。
{% endhint %}

#### **アカウント移管を承諾する**

ユーザーが自身のボルトにログインすると。以下のメッセージが表示されます。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2Fn7chmp6sGtM6VsAKaMKU%2F2023-08-21_10-19-33.png?alt=media&#x26;token=7cf76b57-6aa2-44fc-a63a-0dd56fba9bb0" alt=""><figcaption><p>ユーザーは7日以内に移管ポリシーを承諾する必要があります。7日以内に承諾しない場合はボルトへのログイン時に承諾する必要があります。</p></figcaption></figure>

#### **アカウント移管の実行**

1. ユーザータブからユーザーを選び、ポップアップの上部の **\[オプション]** をクリックしてから **\[アカウントをロックする]** を選択し、ユーザーのアカウントをロックします (管理者に付与されるのは、ロックしたユーザーからボルト内のレコードを移管する権利のみです）。
2. 次に、**\[アカウント移管]** を選択します。ユーザーのリストが表示されたウィンドウが開きます。移管先ユーザーを選択し、次に **\[移管]** をクリックします。

![ロックと移管](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FF8NDI4uvh6kO8J8nxJdq%2FJP_User%20Action_Account%20Transfer%20andlock.png?alt=media\&token=8350dc76-1aef-4ac0-9d1e-e7a0ec2704cf)

![ボルトの移管](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FkHoQJRYLTe7XLxrYVkKS%2FJP_Select%20Transfer%20User.png?alt=media\&token=67f50ead-c448-48c6-8bd2-f3e8c74d9f62)

3. 移管元ユーザーのアカウント (ボルト) 内のレコード、フォルダ、サブフォルダは**移管先ユーザーのボルトに1つのフォルダにまとめられて転送され** (フォルダ名は移管元ユーザーのメールアドレス)、移管元ユーザーのアカウントは**完全に削除されます。**

{% hint style="info" %}
移管元ユーザーの「削除済みアイテム」にあるレコードは移管先ユーザーの「削除済みアイテム」に転送されます。
{% endhint %}

アカウント移管機能に関して、詳しくは以下の動画をご覧ください。

{% embed url="<https://vimeo.com/708844240?share=copy>" %}

## コマンダーCLI

アカウント移管に関する操作と自動化は[KeeperコマンダーCLI](https://docs.keeper.io/keeperpam/commander-cli)でご利用になれます。下記の関連コマンドをご参照ください。

* [`transfer-user`](https://docs.keeper.io/keeperpam/commander-cli/command-reference/enterprise-management-commands#transfer-user-command)
* [`action-report`](https://docs.keeper.io/keeperpam/commander-cli/command-reference/reporting-commands#action-report-command)