# チーム (グループ)

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FWpDhauSwHYIvFgHnxHUu%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_git-blob-f71106f44cc618bb42d132862b91e0ff074f23d2_teams-groups-header.jpeg?alt=media&#x26;token=710d1616-3673-4ee5-b346-26676e02be4b" alt=""><figcaption></figcaption></figure>

チームは、個人をグループ分けしてボルト内のレコードやフォルダを共有できるようにする目的で作成します。管理者はチームを作成し、チームの制限 (編集、表示、パスワードの共有) を設定して、個々のユーザーをチームに追加します。ユーザーは手動あるいは各種の自動化手法を使用してチームに追加できます。

また、チームを使用するとグループ全体にロールを簡単に割り当てられるため、グループ全体で強制適用ポリシーの一貫性を確保できます。

## チームを追加

**\[チーム]**&#x30BF;ブに移動し、**\[+ チームを追加]**&#x30DC;タンをクリックします。ロールと同様に、チームも特定のノードに追加されます。チーム名を入力し、**\[チームを追加]**&#x3092;クリックして保存します。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2F5Clr0dy1sgUQXbjHzPQg%2FJP_team01.png?alt=media&#x26;token=ac874880-6bb3-478f-bbb8-94c84a375ed5" alt=""><figcaption><p>チームを追加</p></figcaption></figure>

## チームを編集

**\[チーム]**&#x30BF;ブから、編集したいチームを選択します。ここから、名前の変更、レコードの再共有の禁止、レコードの編集の禁止、プライバシー画面の適用などを設定できます。チームが属するノードを変更したり、チームにユーザーやロールを追加することもできます。チームを削除するに&#x306F;**\[オプション]**&#x304B;&#x3089;**\[削除]**&#x3092;クリックします。

## チーム-ロールマッピング <a href="#team-role-mapping" id="team-role-mapping"></a>

チームをロールに割り当てることで、IDプロバイダーからチームへのユーザーのプロビジョニングを簡単に行い、チームの割り当てに基づいた特定のロール強制適用ポリシーを自動的に適用できます。

* チーム-ロールマッピングの詳細についてはこちらのページをご参照ください。

## チームで共有

チームはボルト内の共有フォルダに追加できます。これにより、SCIMやKeeper AD Bridgeを通じて、IDプロバイダから直接ボルトの認証情報の割り当てを効率的に管理できます。

* 共有フォルダの詳細についてはこちらのページをご参照ください。

## チーム単位の制限

チームに様々な制限を設定して、フォルダ単位の権限設定を上書きできます。

#### レコードの再共有を禁止

この制限を適用すると、このチームに共有されているパスワードを再共有できなくなります。共有フォルダの権限が優先されます。

#### レコードの編集を禁止

この制限を適用すると、パスワードの使用と表示は可能ですが編集はできなくなります。共有フォルダの権限が優先されます。

#### プライバシー画面を適用

Keeperのプライバシー画面機能を使用すると、チーム単位ですべてのパスワードの表示 (伏せ字解除) を制御できます。このポリシーを適用することでユーザーインターフェースからパスワードが表示されなくなり、不意の覗き見から護るのに役立ちます。

なお、パスワードの伏せ字表示は、単に表示上の処理で、パスワードはユーザーのボルトに保管されたままであり、API通信およびブラウザ検証を使用することでアクセスは可能です。

プライバシー画面は、Keeperのロール強制適用ポリシーでロール単位およびウェブサイトのドメイン単位で設定することもできます。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FZTsI9sFvzXBlqOKJFo78%2FJP_Privacy%20Apply.png?alt=media&#x26;token=3eae6afe-9f57-49ab-b9dc-a77b70517014" alt=""><figcaption><p>プライバシー画面を適用</p></figcaption></figure>

プライバシー画面機能の詳細については、以下の動画をご覧ください。

{% embed url="<https://vimeo.com/585572035>" %}
プライバシー画面
{% endembed %}

## **ユーザーをチームへ追加**

以下の方法でユーザーをチームへ追加できます。

* 管理コンソールから手動操作
* Keeperブリッジ (AD/LDAP用) から自動処理
* SCIMプロビジョニング (Azure、Oktaなど) から自動処理
* KeeperコマンダーCLI から自動処理

### **管理コンソールからユーザーをチームへ追加**

**\[+ ユーザーを追加]**&#x30DC;タンをクリックしてユーザーをチームへ追加します。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FnSbe6REuFPUTHgEHdPlm%2Fimage.png?alt=media&#x26;token=ffcec253-8343-4e5b-bc62-b1f56ba80bf4" alt=""><figcaption></figcaption></figure>

### チームへ招待済みのユーザーをコマンダーで待機状態にする

Keeperチームへ招待済みのユーザーを待機状態にしたい場合は、Keeperコマンダーの [`enterprise-team`](https://docs.keeper.io/keeperpam/commander-cli/command-reference/enterprise-management-commands#enterprise-team-command) コマンドを使用します。以下の例は、チームへ招待済みのユーザーを追加しています。「待機状態のユーザー」が出力されているのが確認できます。

```
My Vault> enterprise-team --add-user some_invited_user@lurey.com "Social Ops"
My Vault> enterprise-team "Social Ops"

                Team UID:BJa131htHCepTxuBCFQ_uA
               Team Name:Social Ops
                    Node: root  288797895950338
          Restrict Edit?:Yes
         Restrict Share?:Yes
          Restrict View?:Yes
          Active User(s): craig@lurey.com
                        : craig@keeperdemo.io
          Queued User(s): some_invited_user@lurey.com

```

待機状態のチームとユーザーは、[「チームとユーザーの承認」のページ](https://docs.keeper.io/enterprise-guide/user-and-team-provisioning/approval-queue)に記載の方法のいずれかを使用して処理します。

## チームのプロビジョニングを自動化 <a href="#automated-team-provisioning" id="automated-team-provisioning"></a>

チームは、以下のページで記載されている方法でもプロビジョニングできます。

* [SSOとSCIMを使用した自動プロビジョニング](https://docs.keeper.io/enterprise-guide/user-and-team-provisioning)
* [Keeperブリッジ](https://app.gitbook.com/o/-LO5CAzoigGmCWBUbw9z/s/5iG49m9DpAvlTGuiIxdZ/)
* [KeeperコマンダーCLI](https://docs.keeper.io/keeperpam/commander-cli/overview)とSDK

## チームとユーザーの承認

チームとチームとユーザーの割り当ては、暗号化された公開鍵と秘密鍵を使用して実行されます。 チームは公開鍵と秘密鍵を持っています。ユーザーをチームに追加するには、ユーザーの公開鍵を使用してチームの鍵を暗号化します。管理コンソールでチームを作成してユーザーをチームに割り当てる場合、管理者は暗号化処理に必要な権限と鍵へのアクセス権を持っているため、すべての暗号化がローカルで行われます。

KeeperブリッジやSCIM APIなどの自動化された方法で作成されたチームとチーム割り当てには、割り当てを完全に作成するために必要な暗号化鍵がありません。そのため、これらのチームと割り当ては「待機」システムに入ります。

待機状態に入ったチームとチームとユーザーの割り当ては、以下の操作のいずれかで処理します。

* 管理者が管理コンソールにログインする (任意で「完全同期」をクリック)
* それぞれのチームのユーザーがウェブボルトまたはデスクトップアプリにログインする
* 管理者がKeeperコマンダーでteam-approveコマンドを実行する
* 管理者が[Keeperオートメーターサービス](https://docs.keeper.io/sso-connect-cloud/device-approvals/automator)をセットアップする

SCIMとコマンダーAPIについては、「[チームとユーザーの承認](https://docs.keeper.io/enterprise-guide/user-and-team-provisioning/approval-queue)」のページに記載の方法で承認できます。

### ADブリッジまたはSCIM管理ノードに関して

ユーザーがエンタープライズ内の特定のノードのSCIMまたはActive Directoryブリッジを通じて管理されている場合は、チーム管理を自動化処理とIDプロバイダを通じて行うことをお勧めします。管理コンソールからチームを手動で作成したり編集したりすると、IDプロバイダーに干渉し、同期の問題が発生する可能性があります。