# エンタープライズ管理コマンド ## コマンド #### Keeperコマンドリファレンス 対話型シェル、CLI、JSON設定ファイルのいずれを使用する場合でも、以下のコマンドがサポートされており、各コマンドでは追加のパラメータとオプションがご利用になれます。 特定のコマンドのヘルプを表示するには、次のコマンドを実行します。 `help ` **エンタープライズ管理コマンド** | コマンド | 説明 | | ---------------------------------------------------- | ------------------------------------------------------------- | | [`enterprise-info`または`ei`](#enterprise-info-command) | 企業情報を表示します | | [`enterprise-user`または`eu`](#enterprise-user-command) | 企業ユーザーを管理します | | [`enterprise-role`または`er`](#enterprise-role-command) | 企業のロールとポリシーを管理します | | [`enterprise-team`または`et`](#enterprise-team-command) | 企業チームを管理します | | [`enterprise-node`または`en`](#enterprise-node-command) | 企業ノードを管理します | | [`enterprise-push`](#enterprise-push-command) | ユーザーとチームのボルトに指定したレコードを格納します | | [`enterprise-down`または`ed`](#enterprise-down-command) | 企業データをダウンロードして復号化します | | [`team-approve`](#team-approve-command) | SCIMまたはActive Directoryブリッジによってプロビジョニングされた実行待ちのチームとユーザーを承認します | | [`device-approve`](#device-approve-command) | エンドユーザーから保留中のSSOクラウドデバイスを承認します | | [`create-user`](#create-user-command) | ユーザーとボルトを新規作成し、そのユーザーのクレデンシャルを使用して、現在のボルトにレコードを追加します | | [`transfer-user`](#transfer-user-command) | アカウントを別のユーザーに移管します | | [`automator`](#automator-command) | デバイス承認用SSOクラウドオートメーターを管理します | | [`scim`](#scim-command) | SCIMエンドポイントを管理します | | [`audit-alert`](#audit-alert-command) | 監査アラートを管理します | | [`mc-transfer`](#mc-transfer-command) | MSP間で管理対象企業を移管します | ### enterprise-infoコマンド **コマンド:** `enterprise-info` または `ei` **詳細:** ツリー構造で企業に関する情報を表示します。 **パラメータ:** 検索するテキスト。ユーザー、チーム、ロールに適用できます。 **スイッチ:** `-n`、`--nodes` ノードを表示します。 `--node <ノード>` 指定したノードのツリー構造を表示します。 `-u`、`--users` ユーザーリストを表示します。 `-t`、`--teams` チームリストを表示します。 `-r`、`--roles` ロールリストを表示します。 `-v`、`--verbose` IDを含めた出力を表示します。 `--format <{`*`table, csv, json`*`}>` 出力の表示形式。 * table - 情報を表形式で表示します。 * csv - 情報をCSV形式で出力します。 * json - 情報をJSON形式で出力します。 `--output <出力ファイル>` 出力を書き出すファイル。 `--columns <列>` 出力に含める列。 カンマ区切りリストで指定します。 使用可能な列は、表示するデータの種類によって異なります。 * ユーザー * name * status * transfer\_status * node * team\_count * teams * role\_count * roles * alias * 2fa\_enabled * job\_title * チーム * restricts * node * user\_count * users * queued\_user\_count * queued\_users * role\_count * roles * ロール * visible\_below * default\_role * admin * node * user\_count * users * team\_count * teams * enforcement\_count * enforcements * managed\_node\_count * managed\_nodes * managed\_nodes\_permissions * Nodes * parent\_node * parent\_id * user\_count * team\_count * teams * users * role\_count * roles * provisioning * isolated **例:** {% code lineNumbers="true" %} ``` enterprise-info ei "John Doe" --users ei --teams --format csv --output teams.csv ei --roles --columns is_admin,user_count ei --node "Keeper Security" ``` {% endcode %} 1. 企業名とノード構造を表示します。 2. 「John Doe」という名前のユーザーがいないか企業を検索します。 3. 社内のチームのリストをCSVファイルに出力します。 4. ロールのリストを表示します。ただし、表示するのは、管理者ロールであるか否かとロールに属するユーザー数のみです。 5. 「Keeper Security」という名前のノードから始まるノードのツリー構造を表示します。組織全体のノードツリーを表示するには、このルートノードを指定します。 ### enterprise-userコマンド **コマンド:** `enterprise-user` または `eu` **詳細:** 企業のユーザーを管理します。 **パラメータ:** ユーザーのUIDまたはメールアドレス。 注意: 以下のコマンドを使用して、企業のユーザーのリストを表示できます。 `ei --users` **スイッチ:** `--expire` ユーザーのマスターパスワードを失効させます。 `--extend` ボルトの移管に対する同意を7日間延長します。疑似ユーザー `@all` をサポートします。 `--lock` ユーザーアカウントをロックします。 `--unlock` ユーザーアカウントのロックを解除します。疑似ユーザー `@all` をサポートします。 `--disable-2fa` ユーザーの2FAを無効にします。 `--add` 指定したメールアドレスを招待して、社内にボルトを作成します (パラメータとしてはメールのみ使用可能)。 `--invite` 指定したメールアドレスに招待を送信します。以前に招待したユーザーに送信できます。 `--delete` 企業からユーザーを削除します。そのユーザーの保有レコードは削除されますが、**共有レコード**は共有先ユーザーのボルト上で引き続き参照できます。 `--name <名前>` ユーザーの表示名として使用する名前を設定します。 `--node <ノード名またはUID>` 指定した名前またはUIDを持つノードにユーザーを移動します。ノードのリストを表示するには、`enterprise-info --nodes` を使用します。 `--add-role <ロール名またはUID>` 指定した名前またはUIDを持つロールにユーザーを追加します。ロールのリストを表示するには、`enterprise-info --roles` を使用します。疑似ユーザー `@all` をサポートします。 `--remove-role <ロール名またはUID>` 指定した名前またはUIDを持つロールからユーザーを削除します。 `--add-team <チーム名またはUID>` 指定した名前またはUIDを持つチームにユーザーを追加します。チームのリストを表示するには、`enterprise-info --teams` を使用します。 `--remove-team <チーム名またはUID>` 指定した名前またはUIDを持つチームからユーザーを削除します。チームのリストを表示するには、`enterprise-info --teams` を使用します。 `--add-alias <メールアドレス>` メールアドレス形式のエイリアスをユーザーに追加します。追加されたエイリアスは、ユーザーの「プライマリ」メールになります。既存のエイリアスにこのコマンドを適用すると、そのエイリアスがプライマリとして設定されます。このコマンドは[予約されたドメイン](https://app.gitbook.com/s/eJwa6ByNJ2qindnPknCW/domain-reservation)でのみ許可されることにご注意ください。 `--delete-alias <メール>` ユーザーのメールエイリアスを削除します。 `-f`、`--force` 確認メッセージを表示しません。 `-v`、`--verbose` IDなどのデータを含むデバッグ出力。 **例:** {% code lineNumbers="true" %} ``` enterprise-user John.Doe@gmail.com eu 20379619819523 --node Chicago --add-team "Chicago Engineering" eu add Jane.Doe@gmail.com eu 19819523203796 --lock eu --add-alias new.name@company.com old.name@company.com eu --add-role Employee @all ``` {% endcode %} 1. ユーザー「」の詳細を表示します。 2. 指定されたUIDを持つユーザーをChicagoノードと「Chicago Engineering」チームに追加します。 3. 「」に招待を送信して、社内でボルトを開きます。 4. 指定したUIDのアカウントをロックします。 5. 名前を変更したユーザーのエイリアスを追加して、プライマリに設定します。 6. すべての企業ユーザーを「Employee」ロールに追加します。 ### enterprise-roleコマンド **コマンド:** `enterprise-role` または `er` **詳細:** 企業のロールまたは強制ポリシーを管理します。 {% hint style="info" %} 以下のコマンドを使用して、企業内のロールのリストを表示できます。 `ei --roles` {% endhint %} **使用法:** `er <ロール>` **パラメータ:** <ロール> ロール名またはUID。スペースで区切って複数設定できます。 **スイッチ:** `--add` 企業に新しいロールを追加します。 `--delete` ロールを削除します。 `--add-user <ユーザー名またはUID>` ロールにユーザーを追加します。--addと一緒に使用します。 `--remove-user <ユーザー名またはUID>` ロールからユーザーを削除します。 `--visible-below <{`*`on,off`*`}>` ロールをその下のロールに対して表示または非表示にします。 `--new-user <{`*`on,off`*`}>` 新しいユーザーをこのロールに割り当てます。 `--node` `<ノード名またはUID`> ロールを追加するノード。 `--name <名前>` ロールに名前を付けます。 `--add-admin <ノード>` ロールで管理するノードを追加します。 `--remove-admin <ノード>` ロールで管理するノードを削除します。 `--cascade <{`*`on,off`*`}>` `--add-admin`と一緒に使用して、ユーザーを管理者として子ロールにも割り当てます (「on」の場合)。 `--enforcement <ポリシー>: <値>`、`--enforcement <ポリシー>: $FILE=` 指定したロールの強制ポリシーを設定します (文字のポリシー値 (「True」、「e」、10 など)、またはその値を含むファイルへの参照を使用します)。下の表の2番目のタブに、利用できる強制ポリシーの一覧があります。 `--copy` 属するユーザーのないロールを複製します。 `--clone` 元のユーザーと同じユーザーが属するロールを複製します。 `--add-team`、`-at <チーム名>` 指定したロールにチームを追加します。 `--add-privilege`、`-ap` <権限名> ロールに管理者権限を追加します。 `--remove-privilege`、`-rp` <権限名> ロールから管理者権限を削除します。 `-v`、`--verbose` IDと利用できる強制ポリシー一覧を含む詳細出力を表示します。 `-f`、`--force` 確認のプロンプトを表示せずに強制的に実行します (非対話モード)。 **例:** {% code lineNumbers="true" %} ``` enterprise-role -v "Keeper Administrator" er 20379621916672 "Engineer Team Lead" er --add Onboarding --new-users er 20379621916672 --add-admin "John.Doe@gmail.com" --cascade yes er PM --name "Product Manager" er 20379619819524 20379619819525 20379621916672 --Node Chicago er 20379619819524 --copy --Node Chicago ``` {% endcode %} 1. 「Keeper管理者」ロールの詳細と強制ポリシー一覧を表示します。 2. 指定したUIDのロールと「Engineer Team Lead」ロールの詳細を表示します。 3. 「Onboarding」という名前の新しいロールを追加し、このロールに新しいユーザーを自動的に割り当てます。 4. ユーザーJohn Dowを指定したUIDのロールとすべての子ロールの管理者にします。 5. 「PM」ロールの名前を「Product Manager」に変更します。 6. 指定したUIDの3つのノードを「Chicago」ノードに追加します。 7. 「Chicago」ノードにロールのコピーを作成します。 #### ロールポリシーと特権の変更 {% tabs %} {% tab title="コマンド" %} 指定したロールの強制ポリシーを編集するには、`--enforcement` スイッチにポリシーキーと値を渡して強制設定を変更します。 ```bash enterprise-role ROLE --enforcement ":" ``` または、ロール強制ポリシーを外部ファイルで指定された値に設定します。 ```bash enterprise-role ROLE --enforcement ":$FILE=" ``` 「Engineering」ロールのインポートレコードへのアクセスを制限する例です (詳細は[シークレットマネージャーの概要](https://docs.keeper.io/jp/keeperpam/secrets-manager/overview)をご参照ください)。 ```bash enterprise-role Engineering --enforcement "RESTRICT_IMPORT:True" ``` {% endtab %} {% tab title="強制ポリシー" %} 利用できる強制ポリシーは次の表のとおりです。 | 強制ポリシーキー | タイプ | | --------------------------------------------------- | --------------------- | | MASTER\_PASSWORD\_MINIMUM\_LENGTH | `LONG` | | MASTER\_PASSWORD\_MINIMUM\_SPECIAL | `LONG` | | MASTER\_PASSWORD\_MINIMUM\_UPPER | `LONG` | | MASTER\_PASSWORD\_MINIMUM\_LOWER | `LONG` | | MASTER\_PASSWORD\_MINIMUM\_DIGITS | `LONG` | | MASTER\_PASSWORD\_RESTRICT\_DAYS\_BEFORE\_REUSE | `LONG` | | REQUIRE\_TWO\_FACTOR | `BOOLEAN` | | MASTER\_PASSWORD\_MAXIMUM\_DAYS\_BEFORE\_CHANGE | `LONG` | | MASTER\_PASSWORD\_EXPIRED\_AS\_OF | `LONG` | | MINIMUM\_PBKDF2\_ITERATIONS | `LONG` | | MAX\_SESSION\_LOGIN\_TIME | `LONG` | | RESTRICT\_PERSISTENT\_LOGIN | `BOOLEAN` | | STAY\_LOGGED\_IN\_DEFAULT | `BOOLEAN` | | RESTRICT\_SHARING\_ALL | `BOOLEAN` | | RESTRICT\_SHARING\_ENTERPRISE | `BOOLEAN` | | RESTRICT\_SHARING\_ALL\_OUTGOING | `BOOLEAN` | | RESTRICT\_SHARING\_ENTERPRISE\_OUTGOING | `BOOLEAN` | | RESTRICT\_EXPORT | `BOOLEAN` | | RESTRICT\_FILE\_UPLOAD | `BOOLEAN` | | REQUIRE\_ACCOUNT\_SHARE | `ACCOUNT_SHARE` | | RESTRICT\_SHARING\_ALL\_INCOMING | `BOOLEAN` | | RESTRICT\_SHARING\_ENTERPRISE\_INCOMING | `BOOLEAN` | | RESTRICT\_SHARING\_RECORD\_WITH\_ATTACHMENTS | `BOOLEAN` | | RESTRICT\_IP\_ADDRESSES | `IP_WHITELIST` | | REQUIRE\_DEVICE\_APPROVAL | `BOOLEAN` | | REQUIRE\_ACCOUNT\_RECOVERY\_APPROVAL | `BOOLEAN` | | RESTRICT\_VAULT\_IP\_ADDRESSES | `IP_WHITELIST` | | TIP\_ZONE\_RESTRICT\_ALLOWED\_IP\_RANGES | `IP_WHITELIST` | | AUTOMATIC\_BACKUP\_EVERY\_X\_DAYS | `LONG` | | RESTRICT\_OFFLINE\_ACCESS | `BOOLEAN` | | SEND\_INVITE\_AT\_REGISTRATION | `BOOLEAN` | | RESTRICT\_EMAIL\_CHANGE | `BOOLEAN` | | RESTRICT\_IOS\_FINGERPRINT | `BOOLEAN` | | RESTRICT\_MAC\_FINGERPRINT | `BOOLEAN` | | RESTRICT\_ANDROID\_FINGERPRINT | `BOOLEAN` | | RESTRICT\_WINDOWS\_FINGERPRINT | `BOOLEAN` | | LOGOUT\_TIMER\_WEB | `LONG` | | LOGOUT\_TIMER\_MOBILE | `LONG` | | LOGOUT\_TIMER\_DESKTOP | `LONG` | | RESTRICT\_WEB\_VAULT\_ACCESS | `BOOLEAN` | | RESTRICT\_EXTENSIONS\_ACCESS | `BOOLEAN` | | RESTRICT\_MOBILE\_ACCESS | `BOOLEAN` | | RESTRICT\_DESKTOP\_ACCESS | `BOOLEAN` | | RESTRICT\_MOBILE\_IOS\_ACCESS | `BOOLEAN` | | RESTRICT\_MOBILE\_ANDROID\_ACCESS | `BOOLEAN` | | RESTRICT\_MOBILE\_WINDOWS\_PHONE\_ACCESS | `BOOLEAN` | | RESTRICT\_DESKTOP\_WIN\_ACCESS | `BOOLEAN` | | RESTRICT\_DESKTOP\_MAC\_ACCESS | `BOOLEAN` | | RESTRICT\_CHAT\_DESKTOP\_ACCESS | `BOOLEAN` | | RESTRICT\_CHAT\_MOBILE\_ACCESS | `BOOLEAN` | | RESTRICT\_COMMANDER\_ACCESS | `BOOLEAN` | | RESTRICT\_TWO\_FACTOR\_CHANNEL\_TEXT | `BOOLEAN` | | RESTRICT\_TWO\_FACTOR\_CHANNEL\_GOOGLE | `BOOLEAN` | | RESTRICT\_TWO\_FACTOR\_CHANNEL\_DNA | `BOOLEAN` | | RESTRICT\_TWO\_FACTOR\_CHANNEL\_DUO | `BOOLEAN` | | RESTRICT\_TWO\_FACTOR\_CHANNEL\_RSA | `BOOLEAN` | | TWO\_FACTOR\_DURATION\_WEB | `TWO_FACTOR_DURATION` | | TWO\_FACTOR\_DURATION\_MOBILE | `TWO_FACTOR_DURATION` | | TWO\_FACTOR\_DURATION\_DESKTOP | `TWO_FACTOR_DURATION` | | RESTRICT\_TWO\_FACTOR\_CHANNEL\_SECURITY\_KEYS | `BOOLEAN` | | TWO\_FACTOR\_BY\_IP | `JSONARRAY` | | RESTRICT\_DOMAIN\_ACCESS | `STRING` | | RESTRICT\_DOMAIN\_CREATE | `STRING` | | RESTRICT\_HOVER\_LOCKS | `BOOLEAN` | | RESTRICT\_PROMPT\_TO\_LOGIN | `BOOLEAN` | | RESTRICT\_PROMPT\_TO\_FILL | `BOOLEAN` | | RESTRICT\_AUTO\_SUBMIT | `BOOLEAN` | | RESTRICT\_PROMPT\_TO\_SAVE | `BOOLEAN` | | RESTRICT\_PROMPT\_TO\_CHANGE | `BOOLEAN` | | RESTRICT\_AUTO\_FILL | `BOOLEAN` | | RESTRICT\_CREATE\_FOLDER | `BOOLEAN` | | RESTRICT\_CREATE\_FOLDER\_TO\_ONLY\_SHARED\_FOLDERS | `BOOLEAN` | | RESTRICT\_CREATE\_IDENTITY\_PAYMENT\_RECORDS | `BOOLEAN` | | MASK\_CUSTOM\_FIELDS | `BOOLEAN` | | MASK\_NOTES | `BOOLEAN` | | MASK\_PASSWORDS\_WHILE\_EDITING | `BOOLEAN` | | GENERATED\_PASSWORD\_COMPLEXITY | `STRING` | | GENERATED\_SECURITY\_QUESTION\_COMPLEXITY | `STRING` | | RESTRICT\_IMPORT | `BOOLEAN` | | DAYS\_BEFORE\_DELETED\_RECORDS\_CLEARED\_PERM | `LONG` | | DAYS\_BEFORE\_DELETED\_RECORDS\_AUTO\_CLEARED | `LONG` | | ALLOW\_ALTERNATE\_PASSWORDS | `BOOLEAN` | | RESTRICT\_CREATE\_RECORD | `BOOLEAN` | | RESTRICT\_CREATE\_RECORD\_TO\_SHARED\_FOLDERS | `BOOLEAN` | | RESTRICT\_CREATE\_SHARED\_FOLDER | `BOOLEAN` | | RESTRICT\_LINK\_SHARING | `BOOLEAN` | | RESTRICT\_SHARING\_OUTSIDE\_OF\_ISOLATED\_NODES | `BOOLEAN` | | RESTRICT\_SHARING\_RECORD\_TO\_SHARED\_FOLDERS | `BOOLEAN` | | DISABLE\_SETUP\_TOUR | `BOOLEAN` | | RESTRICT\_PERSONAL\_LICENSE | `BOOLEAN` | | DISABLE\_ONBOARDING | `BOOLEAN` | | DISALLOW\_V2\_CLIENTS | `BOOLEAN` | | RESTRICT\_IP\_AUTOAPPROVAL | `BOOLEAN` | | SEND\_BREACH\_WATCH\_EVENTS | `BOOLEAN` | | RESTRICT\_BREACH\_WATCH | `BOOLEAN` | | RESEND\_ENTERPRISE\_INVITE\_IN\_X\_DAYS | `LONG` | | MASTER\_PASSWORD\_REENTRY | `JSON` | | RESTRICT\_ACCOUNT\_RECOVERY | `BOOLEAN` | | KEEPER\_FILL\_HOVER\_LOCKS | `TERNARY_DEN` | | KEEPER\_FILL\_AUTO\_FILL | `TERNARY_DEN` | | KEEPER\_FILL\_AUTO\_SUBMIT | `TERNARY_DEN` | | KEEPER\_FILL\_MATCH\_ON\_SUBDOMAIN | `TERNARY_DEN` | | KEEPER\_FILL\_AUTO\_SUGGEST | `TERNARY_DEN` | | RESTRICT\_PROMPT\_TO\_DISABLE | `BOOLEAN` | | RESTRICT\_HTTP\_FILL\_WARNING | `BOOLEAN` | | RESTRICT\_RECORD\_TYPES | `RECORD_TYPES` | | ALLOW\_SECRETS\_MANAGER | `BOOLEAN` | | REQUIRE\_SELF\_DESTRUCT | `BOOLEAN` | | MAXIMUM\_RECORD\_SIZE | `LONG` | | ALLOW\_PAM\_ROTATION | `BOOLEAN` | | ALLOW\_PAM\_DISCOVERY | `BOOLEAN` | | RESTRICT\_IMPORT\_SHARED\_FOLDERS | `BOOLEAN` | | REQUIRE\_SECURITY\_KEY\_PIN | `BOOLEAN` | | DISABLE\_CREATE\_DUPLICATE | `BOOLEAN` | | ALLOW\_PAM\_GATEWAY | `BOOLEAN` | | ALLOW\_CONFIGURE\_ROTATION\_SETTINGS | `BOOLEAN` | | ALLOW\_ROTATE\_CREDENTIALS | `BOOLEAN` | | ALLOW\_CONFIGURE\_PAM\_CLOUD\_CONNECTION\_SETTINGS | `BOOLEAN` | | ALLOW\_LAUNCH\_PAM\_ON\_CLOUD\_CONNECTION | `BOOLEAN` | | ALLOW\_CONFIGURE\_PAM\_TUNNELING\_SETTINGS | `BOOLEAN` | | ALLOW\_LAUNCH\_PAM\_TUNNELS | `BOOLEAN` | | ALLOW\_LAUNCH\_RBI | `BOOLEAN` | | ALLOW\_CONFIGURE\_RBI | `BOOLEAN` | | ALLOW\_VIEW\_KCM\_RECORDINGS | `BOOLEAN` | | ALLOW\_VIEW\_RBI\_RECORDINGS | `BOOLEAN` | | RESTRICT\_MANAGE\_TLA | `BOOLEAN` | | RESTRICT\_SELF\_DESTRUCT\_RECORDS | `BOOLEAN` | | RESTRICT\_ACCOUNT\_SWITCHING | `BOOLEAN` | | RESTRICT\_PASSKEY\_LOGIN | `BOOLEAN` | | ALLOW\_CAN\_EDIT\_EXTERNAL\_SHARES | `BOOLEAN` | | RESTRICT\_SNAPSHOT\_TOOL | `BOOLEAN` | | RESTRICT\_FORCEFIELD | `BOOLEAN` | | RESTRICT\_CLIPBOARD\_EXPIRE\_IN\_X\_SECS | `LONG` | | RESTRICT\_SF\_RECORD\_REMOVAL | `BOOLEAN` | | RESTRICT\_SF\_FOLDER\_DELETION | `BOOLEAN` | | {% endtab %} | | {% tab title="管理権限" %} 次のコマンドで、ユーザーに管理ノードを割り当てることができます。 ``` er 'Node Admin' -aa 'Node Name' --cascade on ``` その後、-ap フラグを使用して管理権限を付与し、-rp フラグで削除できます。 ``` er 'Admin' --node 'Node Name' -ap manage_nodes -ap manage_roles ``` 以下は、サポートされているすべての管理権限コードです。 | 管理権限名 | 管理権限コード | | --------------- | ------------------------ | | ノードの管理 | `manage_nodes` | | ユーザーの管理 | `manage_user` | | ロールの管理 | `manage_roles` | | チームの管理 | `manage_teams` | | セキュリティレポートの実行 | `run_reports` | | Bridge/SSOの管理 | `manage_bridge` | | デバイス承認の実行 | `approve_device` | | ボルト内のレコードタイプの管理 | `manage_record_types` | | コンプライアンスレポートの実行 | `run_compliance_reports` | | アカウントの譲渡 | `transfer_account` | | 共有管理者 | `sharing_administrator` | | {% endtab %} | | {% tab title="例" %} 値の型ごとの例 ```css # コマンド形式 enterprise-role ROLE --enforcement "POLICY:VALUE" # ブール値 (Secrets Managerを許可) enterprise-role Engineering --enforcement "ALLOW_SECRETS_MANAGER:True" # 文字列 (ドメインへのアクセスを制限) er "Support Admin" --enforcement "RESTRICT_DOMAIN_ACCESS:https://www.baddomain.com" # long (パスワードの最小長を設定) er users --enforcement "MASTER_PASSWORD_MINIMUM_LENGTH:10" # 3値 (DEN) (自動入力をOFFに設定) er DB_Admin --enforcement "KEEPER_FILL_AUTO_FILL:d" # 3値: d: 無効 e: 有効 n: null # 注意 - n:nullは強制を削除します # RESTRICT_RECORD_TYPESは、カンマで区切られた記録タイプのリストを受け取り # 利用可能なすべての記録タイプのリストを取得します My Vault> rti Record Type ID Record Type Name ---------------- ----------------------- 1 login 11 bankAccount 14 address ... 34 sshKeys # sshKeys記録タイプとaddress記録タイプを制限します My Vault> er Finance --enforcement "RESTRICT_RECORD_TYPES:sshKeys, address" # すべての記録タイプを制限します (従来の一般タイプを除く) My Vault> er Finance --enforcement "RESTRICT_RECORD_TYPES:all" # ip-whitelist (allow logins only from specified IPs) My Vault> er --enforcement "RESTRICT_IP_ADDRESSES:1.0.0.1-1.0.0.10,172.15.0.1,192.0.0.2" IP-Restricted_Role ``` {% endtab %} {% endtabs %} ### enterprise-teamコマンド **コマンド:** `enterprise-team` または `et` **詳細:** 企業チームを管理します。 **パラメータ:** チーム名またはID 注意: 以下のコマンドを使用して、企業内のチームのリストを表示できます。 `ei --teams` **スイッチ:** `--add` 企業に新しいチームを追加します。 `--delete` チームを削除します。 `--add-user <ユーザー名またはUID>` チームにユーザーを追加します。 `--remove-user <ユーザー名またはUID>` チームからユーザーを削除します。 `--node <ノード名またはUID>` チームを追加するノード。 `--name <名前>` チームに名前を付けます。 `--approve` 実行待ちのチームを承認します。実行待ちのチームは通常、暗号化鍵の作成を必要とするSCIM要求によって生じます。そのため、管理者が管理コンソールにログインするか、またはこのコマンドを実行するまで、実行待ち状態のままになります。 `--restrict-edit <{`*`on,off`*`}>` このチームのユーザーのレコードの編集可否を設定します。 `--restrict-share <{`*`on,off`*`}>` このチームのユーザーのレコードの共有可否を設定します。 `--restrict-view <{`*`on,off`*`}>` このチームのユーザーのレコードのパスワードの表示可否を設定します。 `--hide-shared-folder`、`-hsf <{`*`on,off`*`}>` このチームのユーザーの共有フォルダの表示可否を判別するフラグ。 `--add-role`、`-ar <ロール名>` 指定したチームにロールを追加します。 `-v`、`--verbose` 出力なしでIDを表示します。 **例:** ``` enterprise-team "Chicago Engineering" et "Chicago Engineering" Legal et --add "Chicago Product" --node Chicago --restrict-edit on et 20379619819524 --name "El Dorado Hills Engineering" ``` 1. 「Chicago Engineering」チームの詳細を表示します 2. 「Chicago Engineering」チームと「Legal」チームの詳細を表示します 3. 「Chicago」ノードに「Chicago Product」という名前の新しいチームを追加し、そのチームに属するユーザーがレコードを編集できないように制限します 4. 指定したUIDのチームの名前を「El Dorado Hills Engineering」に変更します ### enterprise-nodeコマンド **コマンド:** `enterprise-node` または `en` **詳細:** 企業ノードを管理します **パラメータ:** ノード名またはUID 注意: 以下のコマンドを使用して、企業内のノードのリストを表示できます。 `ei --nodes` **スイッチ:** `--add` 企業に新しいノードを追加します `-f`、`--force` 確認なしで削除を強制します `--delete` ノードを削除します。ノード内のオブジェクトがすべて削除されるまで実行されないことにご注意ください。 `--parent <ノード名またはUID>` 指定したノードをこのノードの親にします `--name <名前>` ノードの表示名を設定します `--wipe-out` ノードの下のすべてのノード、ロール、ユーザー、チームを削除します。ノード自体は削除されません。このコマンドの使用にはご注意ください。 `--toggle-isolated` 他のノードのユーザーに対してノードを表示または非表示にします `--invite-email <ファイル名>` ファイルから招待メールのテンプレートを設定します。ファイルが存在しない場合は、現在のテンプレートを保存します。dash (-) は標準出力に書き出します。以下の[カスタムメール](#custom-emails)セクションをご参照ください。 `--logo-file <ファイル名>` ローカル画像ファイルを使用して会社およびノードのロゴを設定します (最大サイズ: 500 kB、最小寸法: 10x10、最大寸法: 320x320)\
**例:** {% code lineNumbers="true" %} ``` enterprise-node Chicago en Chicago "El Dorado Hills" 20379619819524 --parent NA en --add Cork --parent EMEA en APAC --wipe-out en Chicago --toggle-isolated en --logo-file ~/chicago_logo.jpg Chicago ``` {% endcode %} 1. 「Chicago」ノードの詳細を表示します。 2. 3つのノード:「Chicago」、「El Dorado Hills」、指定したUIDを持つノードの親ノードをノード「NA」に変更します。 3. 「EMEA」ノードの下に「Cork」という名前の新しいノードを追加します。 4. 「APAC」ノードの下からすべてのノード、ロール、ユーザー、チームを削除します。 5. 他のノードのユーザーに対し、「Chicago」ノードを非表示 (現在表示されている場合) または表示 (現在表示されていない場合) に変更します。 6. 現在のユーザーの$HOMEディレクトリにある「chicago\_logo.jpg」ファイルを「Chicago」ノードのロゴ画像として使用して、招待メールとボルトUIの見た目をカスタマイズします。 #### **カスタムメール** `--invite-email` スイッチを使用すると、ノードごとにカスタムメールテンプレートを設定できます。 管理コンソールでメールテンプレートをカスタマイズする方法と同様に、CLIを使用したカスタムメールテンプレートでも、以下の4つの属性のカスタマイズがサポートされます。 * 件名 * メッセージの見出し * メッセージ本文 * ダウンロードボタンのテキスト カスタムメールテンプレートは、以下の形式の`.txt`ファイルで定義できます。 ``` [Subject] //メールの件名行テキストを挿入します [Heading] //ここにメールメッセージの見出しテキストを挿入します [Message] //ここにメールメッセージの本文テキストを挿入します [Button Text] //ここにダウンロードボタンのテキストを挿入します ``` {% hint style="info" %} カスタムメールはマークダウン構文を使用して書式設定することもできます。詳細については、[このページ](https://app.gitbook.com/s/-LO5CAzpxoaEquZJBpYz/user-and-team-provisioning/custom-invite-and-logo)をご参照ください。 {% endhint %} #### **カスタムメールの使用事例** シカゴと東京に会社の支店があり、それぞれのノードが `Chicago` と `Tokyo` であると想定します。理想的には、招待メールは以下のようにそれぞれの言語で作成したいところです。 * シカゴ支店に送信される招待メールは、英語で作成します。 * 東京支店に送信される招待メールは、日本語で作成します `--invite-email` スイッチを使用すると、ノードごとに適切なメールテンプレートを設定できます。 まず、`Chicago` と `Tokyo` の各支店のカスタムメールテンプレートを定義します。 {% file src="" %} シカゴ支店向けメールテンプレート {% endfile %} {% file src="" %} 東京支店向けメールテンプレート {% endfile %} 次に、各ノードに適切なメールテンプレートを設定します。 ``` en Chicago --invite-email="C:\user\emailTemplates\emailChicago.txt" en Tokyo --invite-email="C:\user\emailTemplates\emailTokyo.txt" ``` {% hint style="info" %} Windowsでは、ファイルのパスは引用符または2つのバックスラッシュで指定できます。次のいずれのパス指定も有効です。 `"C:\users\file.txt"` または `c:\\users\\file.txt` {% endhint %} 招待メールを送信する際、ユーザーは支店の場所に応じて以下のメールを受信します。
東京支店のユーザーが受け取る招待メール

東京支店の招待メール

### enterprise-pushコマンド **コマンド:** `enterprise-push` **詳細:** ボルトにデフォルトのレコードセットを格納します。 **パラメータ:** テンプレートのレコードを含むファイルのファイル名。 ファイルはJSON形式である必要があります。 **スイッチ:** `--syntax-help` ファイル形式の例とテンプレートのパラメータを表示します。 `--team` <チーム名またはUID> レコードを割り当てるチーム。 `--email` <ユーザーのメールまたはUID> レコードを割り当てるユーザー。 **例:** {% code lineNumbers="true" %} ``` enterprise-push office-codes.json --team "Chicago Office" enterprise-push default.json --email Jane.Doe@gmail.com enterprise-push --syntax-help ``` {% endcode %} 1. 「office-codes.json」ファイルでテンプレート化されたレコードを「Chicago Office」チームのすべてのユーザーに送信します。 2. 「default.json」ファイルでテンプレート化されたレコードをユーザー「」に送信します。 3. 構文のヘルプを表示します。 **ファイル形式** 「enterprise-push」コマンドは、Keeper JSONレコードインポート形式を使用します。 JSONファイルの例: ``` [ { "title": "Google", "login": "${user_email}", "password": "${generate_password}", "login_url": "https://google.com", "notes": "", "custom_fields": { "Name 1": "Value 1", "Name 2": "Value 2" } }, { "title": "Admin Tool", "login": "${user_email}", "password": "", "login_url": "https://192.168.1.1", "notes": "", "custom_fields": { } } ] ``` サポートされているテンプレートパラメータ ``` ${user_email} ユーザーのメールアドレス ${generate_password} ランダムパスワードを生成 ${user_name} ユーザーのフルネーム ``` {% hint style="info" %} 適切なJSON構造を確認する簡単な方法は、KeeperボルトからデータをJSON形式でエクスポートすることです。次に、インポートファイルの作成に必要なファイルを変更します。 {% endhint %} JSONデータをエクスポートして、テンプレートを作成する手順は以下のとおりです。 * 「Templates」など、テンプレートを格納する空のフォルダを作成します。 * そのフォルダにレコードを作成します。 * 以下のコマンドを使用してそのフォルダをJSONとしてエクスポートします。 ``` export --format=json --folder=Templates templates.json ``` * オプション: JSONファイルを編集して、`enterprise-push` コマンドで使用しない「uid」、「schema」、「folders」の各プロパティを削除します。 テンプレートJSONファイルは、レコードの配列、またはレコードの配列で構成されるプロパティ「records」を含むオブジェクトのいずれかである必要があります。 ### enterprise-downコマンド **コマンド:** `enterprise-down` または `ed` **詳細:** 企業データをローカルにダウンロードして復号化します。 コマンダーのアクティブなインスタンスが実行中で、管理コンソールまたはコマンダーの別のインスタンスに変更が加えられた場合、`enterprise-down` コマンドを使用して、最新の企業データをローカルにダウンロードして復号化できます。 **例:** アクティブなコマンダーセッションの実行中に管理コンソールに新しいユーザーが追加された場合、実行中のコマンダーセッションで以下のコマンドを実行すると、最新の変更がローカルにダウンロードされて復号化されます。 ``` enterprise-down ``` ### team-approveコマンド **コマンド:** `team-approve` **詳細:** チームの自動承認またはチームに対するユーザーの自動承認を有効または無効にします。 KeeperブリッジやSCIMなどのプロビジョニングメソッドを使用する場合、ボルトをまだ有効化していない新しいチームとユーザーは、承認待ちになります。このコマンドで、プロビジョニング済みのチームまたはユーザーの自動承認を有効または無効にします。 **スイッチ:** `--team` チームを承認します。 `--email` チームに所属するユーザーを承認します。 `--restrict-edit <{`*`on`*` ,`` `` `*`off`*`}>` 承認済みチームのレコード編集を制限または許可します。 `--restrict-share <{`*`on`*` ,`` `` `*`off`*`}>` 承認済みチームのレコード共有を制限または許可します。 `--restrict-view <{`*`on`*` ,`` `` `*`off`*`}>` 承認済みチームのレコードのパスワード閲覧を制限または許可します。 **例:** {% code lineNumbers="true" %} ``` enterprise-down team-approve --team team-approve --email team-approve --team --restrict-edit on ``` {% endcode %} 1. エンタープライズチームの保留中の承認をすべて同期します。 2. プロビジョニングが完了して承認待ちのチームを自動的に承認します。 3. プロビジョニングが完了して承認待ちのユーザーを自動的に承認します。 4. プロビジョニングが完了して承認待ちのチームを自動的に承認しますが、それらのチームに属するユーザーにレコードの編集は許可しません。 ### device-approveコマンド **コマンド:** `device-approve` **詳細:** クラウドSSOデバイスを承認します。 **パラメータ:** 承認するユーザーのメールもしくはデバイスID、または保留中のデバイスのリストを表示する場合は空白。 **スイッチ:** `-r`、`--reload` 現在の保留中の承認リストを再読み込みします。 `-a`、`--approve` 指定したユーザーメールのデバイスまたはデバイスIDを承認します。 `-d`、`--deny` 指定したユーザーメールのデバイスまたはデバイスIDを拒否します。 `--trusted-ip` 信頼できるIPアドレスのデバイスを承認します。 `--format <{`*`table`*` ,`` `` `*`csv`*` ,`` `` `*`json`*`}>` 出力の表示形式。 `--output <ファイル名>` 出力の送信先ファイル (jsonまたはcsv形式を使用する必要があります) **例:** {% code lineNumbers="true" %} ``` device-approve device-approve John.Doe@gmail.com --approve device-approve --reload device-approve --output device_approvals.csv --format csv ``` {% endcode %} 1. 保留中の要デバイス承認リストを表示します。 2. ユーザー「」を承認します。 3. 保留中の要デバイス承認リストを更新します。 4. 保留中の要デバイス承認リストをcsv形式でファイルに書き込みます。 ### **create-user コマンド:** **コマンド:** `create-user` **詳細** 現在のKeeperボルトに指定したメールアドレスの新しいアカウントとボルトを作成し、新しいユーザーのクレデンシャルのレコードを作成します。 {% hint style="info" %} 新しいユーザーを企業に招待するには、[enterprise-userコマンドの項](#enterprise-user-command)をご参照ください。 {% endhint %} **パラメータ:** ユーザーのメールアドレス **スイッチ:** `--name <名前>` ユーザー名。 `--node <ノード>` ユーザーを追加するノードの名前またはID。 `--folder <フォルダ名かUID>` 作成したユーザークレデンシャルを格納するフォルダ。 **例:** ``` create-user John.Doe@gmail.com create-user John.Doe@workplace.com --name "John Doe" --node Chicago ``` 1. の新しいユーザーアカウントとボルトを作成します。 2. John DoeにKeeperへの参加依頼を送信し、新しいユーザーに「John Doe」という名前を付けて、「Chicago」ノードに追加します。 #### create-userコマンドによるオンボーディング create-userコマンドを使用してKeeperアカウントに新しいユーザーを作成すると、新しいユーザーのユーザー名と一時パスワードを使用して、現在ログインしているアカウントにレコードが作成されます。 新しいレコードが作成されると、ワンタイム共有URLを使用して新しいユーザーと共有できます。 ``` My Vault> create-user John.Doe@gmail.com User "John.Doe@gmail.com" credentials are stored to record "Keeper Account:John.Doe@gmail.com" My Vault> share create "Keeper Account:John.Doe@gmail.com" --expire 7d https://keepersecurity.com/vault/share#-Rkzr6w[...]wMw3fQ3kM ``` 新しいユーザーは、このURLにアクセスして一時的なクレデンシャルを入手し、最初のログインを実行します。
### transfer-userコマンド **コマンド:** `transfer-user` **詳細:** アカウントをロックしてから、あるユーザーから別のユーザーにボルトを移管します。 **パラメータ:** 移管するボルトのメールまたはユーザーID。 スペースで区切って複数指定できます。 **スイッチ:** `--target-user <ユーザーメールアドレス>` ボルトの移管先のユーザーアカウントのメールアドレス。 `--force、-f` 確認メッセージを表示しません。 アカウント移管は、アカウントまたはアカウントが属するロールに対して有効にする必要があります。 移管されたボルトの内容は、受信者のボルトのフォルダに配置されます。 **例:** ``` transfer-user keeperuser1@keepersecurity.com --target-user recipient@keepersecurity.com ``` 1. のボルトをに移管します。 ユーザーアカウントの一括移管を実行するには、`transfer-user @filename` のコマンドを使用します。これにより、以下のようにFROMとTOのマッピングを含むfilenameという名前のファイルが検索されます。 ``` user1@company.com -> user2@company.com user3@company.com -> user4@company.com ``` ### automatorコマンド **コマンド:** `automator` **詳細:** SSOクラウドデバイスオートメーターを設定します。 オートメーターは、顧客サイトで動作するプログラムで、デバイス承認やチーム承認などのKeeper管理操作を担います。詳細は [SSOデバイス承認のAutomator](https://docs.keeper.io/sso-connect-cloud/device-approvals/automator) をご参照ください。 {% hint style="info" %} オートメーターを管理できるのは、ルートレベルのKeeper管理者ロールのみとなります。 {% endhint %} パラメータを指定せずに `automator` コマンドを実行すると、利用可能なオートメーターのリストとコマンドヘルプが表示されます。 ```bash automator command [target] [--options] Command Description ================================================================= list Displays the list of the available automators create Creates automator init Initializes automator view Prints automator details edit Changes automator configuration delete Deletes automator reset Resets automator configuration to the default enable Enables automator disable Disables automator log Retrieves automator logs clear Clears automator logs list, create: 'target' parameter is ignored init, view, edit, delete, reset, start, stop, log, clear: these commands require 'target' parameter:Automator Name or ID Option Commands ================================================================== --node create --name create, edit --url edit :Webhook URL --skill edit : "device" and/or "team" --set edit :KEY=VALUE ``` **例:** 「Cloud SSO Device Approval」という名前のオートメーターを作成します。 ```shell My Vault> automator create --name="Cloud SSO Device Approval" Automator ID:888888888888 Name:Cloud SSO Device Approval URL: Enabled:No Initialized:No Skills:Device Approval ``` オートメーターを編集してWebhook URLを設定します。Webhook URLはAutomatorアプリケーションで設定します。 ```bash My Vault> automator edit --url="https://automator.company.com:8089" 888888888888 Automator ID: 888888888888 Name: Cloud SSO Device Approval URL: https://automator.company.com:8089 Enabled: No Initialized: No Skills: Device Approval ``` スキル (チーム承認、チームユーザー承認、デバイス承認) は、以下のように「skill」引数で設定できます。 {% code overflow="wrap" %} ``` My Vault> automator edit --url https:// --skill=team --skill=team_for_user --skill=device "My Automator" ``` {% endcode %} 「setup」、「init」、「enable」コマンドを使用して、オートメーターインスタンスを初期化します。バックエンドでオートメーターが設定され、リクエストを処理する準備ができていることが確認されます。 ```bash My Vault> automator setup 888888888888 My Vault> automator init 888888888888 My Vault> automator enable 888888888888 ``` ### scimコマンド **コマンド:** `scim` **詳細:** SCIMエンドポイントを設定します。 パラメータを指定せずに `scim` コマンドを実行すると、利用できるSCIMエンドポイントの一覧とヘルプが表示されます。 ```bash scim command [target] [--options] Command Description ================================================================= list Displays the list of SCIM endpoints create Creates SCIM endpoint view Prints SCIM endpoint details edit Changes SCIM endpoint configuration delete Deletes SCIM endpoint push Pushes data to SCIM endpoint list, create 'target' parameter is ignored view, edit, delete these commands require 'target' parameter: SCIM endpoint ID Option Commands ================================================================= --reload all : Reloads SCIM configuration --node create : Node ID or Name --prefix create, edit : Role prefix --unique-groups create, edit : Unique groups --force delete : Do not ask for delete confirmation ``` **例:** ノード `SCIM Node` のSCIMエンドポイントを作成します。 ```bash My Vault> scim create --node="SCIM Node" SCIM ID: 888888888888 SCIM URL: https://keepersecurity.com/api/rest/scim/v2/7777777777777 Provisioning Token: yIiq6Y4FnWtOPtqatUzZH7BI4FaUNhIbwEtDT5esL-g ``` SCIMエンドポイントの設定を編集します。SCIMエンドポイントを編集すると、新しいプロビジョニングトークンが生成されます。 ```bash My Vault> scim edit 888888888888 --prefix="Group_" SCIM ID: 888888888888 SCIM URL: https://keepersecurity.com/api/rest/scim/v2/7777777777777 Provisioning Token: 6oykLqC2-d20Sy3N2d-HKZtGzOt63U60rJz8CLagszY ``` SCIMエンドポイントを削除します。 ```bash My Vault> scim delete 820338837203 ALERT! You are about to delete SCIM endpoint 888888888888 Do you want to proceed with deletion? [y/n]: y SCIM endpoint "888888888888" at node "7777777777777" deleted ``` グループおよびユーザーデータをSCIMエンドポイントにプッシュ配信します。 ``` My Vault> scim push 820338837203 --source=google --record=AW6XZoJr8VM3rlFoxW_6rg ``` **スイッチ** `--source` SCIMデータのソース。設定可能な値: `google,ad` `--record` SCIMが設定されたレコードUID。 #### プッシュ配信用SCIMソースの設定 * [一般的な設定手順](https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/scim-push-configuration#common-for-all-sources) * [Google Workspace](https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/scim-push-configuration#google-workspace) * [Active Directory](https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/scim-push-configuration#active-directory-configuration) ### audit-alertコマンド **コマンド:** `audit-alert` **詳細:** 監査アラートを管理します。 パラメータを指定せずに `audit-alert` を実行すると、利用可能なアラートのリストとコマンドヘルプが表示されます。 ``` audit-alert command [--options] Command Description ------------ --------------------------------------------- list Display alert list view View alert configuration history View alert history delete Delete audit alert(s) - single, range, or all add Add audit alert edit Edit audit alert reset-counts Reset alert counts enable Enable audit alert disable Disable audit alert recipient Modify alert recipients ``` コマンドごとのヘルプを表示するには、次のように実行します。 ``` My Vault> audit-alert -h ``` `list` オプション ``` --format {table,csv,json} format of output --output OUTPUT path to resulting output file (ignored for "table" format) --reload reload alert information ``` 
My Vault> audit-alert list --reload
My Vault> aa l
`view` オプション ```bash positional arguments: ALERT Alert ID or Name options: --all View all alerts --format {table,csv,json,pdf} format of output --output OUTPUT path to resulting output file (ignored for "table" format) ``` ```bash My Vault> audit-alert view "Failed Login" My Vault> aa v 1 Alert ID 1 Alert name Failed Login Status Enabled Frequency Every Occurrence Recipients: Send To Originator (*) False Recipient ID 1 Name Administrator Status Enabled Email To admin@company.com ``` すべてのアラート設定を表示 ``` My Vault> audit-alert view --all ``` すべてのアラート設定をエクスポート ``` My Vault> audit-alert view --all --format --output ``` 例 ``` My Vault> audit-alert view --all --format csv --output /Users/Commander/output.csv Report path: /Users/Commander/output.csv ``` 特定のアラート設定をエクスポート ``` My Vault> audit-alert view --format --output ``` `` には `table` 、 `json` 、 `csv` 、 `pdf` のいずれかを指定し、`` には出力先のフルパスとファイル名を指定します。 `history` オプション ``` ALERT Alert ID or Name. ``` ``` My Vault> aa h 1 Alert Sent At Occurrences --------------- ------------- 2023-02-10 18:55:00 1 ``` `delete` オプション ``` positional arguments: ALERT Alert ID or Name. options: -h, --help show this help message and exit --all Delete all alerts --from ALERT ID Starting alert ID for range deletion --to ALERT ID Ending alert ID for range deletion --force Force deletion without confirmation prompt ``` 名前で監査アラートを削除 ``` My Vault> audit-alert delete "Failed Login" ``` アラートIDで監査アラートを削除 ``` My Vault> audit-alert delete [ALERT ID] ``` 例 ``` My Vault> audit-alert delete 1 The following 1 alert(s) will be deleted: ------------------------------------------------------------ ID: 1 | Name: alert_test_1 ------------------------------------------------------------ Are you sure you want to delete 1 alert(s)? (y/n): y ID Name Events Frequency Occurrences Alerts Sent Last Sent Active ---- ---------------------- ---------------------- ------------------------------- ------------- ------------- ------------------------- -------- 2 Failed Login login_failure Every Occurrence 0 True 3 alert_test_2 Every Occurrence 8 3 True 4 alert_test_3 Every Occurrence 8 3 True 5 alert_test_4 Every Occurrence 6 2 True ``` 範囲を指定して監査アラートを削除 ``` My Vault> audit-alert delete --from [ALERT ID] --to [ALERT ID] ``` すべての監査アラートを削除 ``` My Vault> audit-alert delete --all ``` 確認プロンプトなしで監査アラートを削除 ``` My Vault> audit-alert delete [ALERT ID] --force My Vault> audit-alert delete --all --force My Vault> audit-alert delete --from [ALERT ID] --to [ALERT ID] --force ``` `add` オプション ``` --name NAME Alert Name. --frequency FREQUENCY Alert Frequency. "[N:]event|minute|hour|day" --audit-event EVENT Audit Event. Can be repeated. --user USER Username. Can be repeated. --record-uid RECORD_UID Record UID. Can be repeated. --shared-folder-uid SHARED_FOLDER_UID Shared Folder UID. Can be repeated. ``` ``` My Vault> audit-alert add --name="Failed Login" --frequency=event --audit-event=login_failure ``` `edit` オプション ``` ALERT Alert ID or Name. --name NAME Alert Name. --frequency FREQUENCY Alert Frequency. "[N:]event|minute|hour|day" --audit-event EVENT Audit Event. Can be repeated. --user USER Username. Can be repeated. --record-uid RECORD_UID Record UID. Can be repeated. --shared-folder-uid SHARED_FOLDER_UID Shared Folder UID. Can be repeated. ``` ``` My Vault> audit-alert edit --frequency=2:hour ``` `reset-counts` オプション ``` ALERT Alert ID or Name. ``` ``` My Vault> audit-alert reset-counts 1 ``` `recipient` オプション ``` ALERT Alert ID or Name. recipient actions: {enable,disable,delete,add,edit} enable enables recipient disable disables recipient delete deletes recipient add adds recipient edit edit recipient ``` `recipient enable`、`disable、delete` オプション ``` RECIPIENT Recipient ID or Name. Use "*" for "User who generated event" ``` ``` My Vault> audit-alert recipient 1 enable * # 「イベントを生成したユーザー」を有効にします My Vault> audit-alert recipient 1 disable Administrator # 名前で受信者を無効にします My Vault> audit-alert recipient 1 delete 1 ``` `recipient add` または `edit` のオプション ``` RECIPIENT Recipient ID or Name. # 編集のみ --name NAME recipient name --email EMAIL email address --phone PHONE phone number. +1 (555) 555-1234 --webhook URL Webhook URL. See https://docs.keeper.io/enterprise-guide/webhooks --http-body BODY Webhook HTTP Body. @filename to load body from a file --cert-errors {ignore,enforce} Webhook SSL Certificate errors --generate-token Generate new access token ``` ``` My Vault> audit-alert recipient "Failed Login" add --name="Administrator" --email=admin@company.com # メールの受信者を追加し、「Administrator」という名前を割り当てます My Vault> aa r 1 edit 1 --name="Admin" # アラート#1の受信者#1の名前を変更します My Vault> aa r 1 edit 1 --email= --phone="+1(555)555-1234" # アラート#1の受信者#1をメールからSMS通知に変更します ``` `enable` オプション ``` ALERT Alert ID or Name options: -h, --help show this help message and exit --all Apply action to all alerts ``` `disable` オプション ``` ALERT Alert ID or Name options: -h, --help show this help message and exit --all Apply action to all alerts ``` #### mc-transfer コマンド **コマンド:** `mc-transfer` **詳細:** MSP間で管理対象企業を移管します パラメータを指定せずに `mc-transfer` を実行すると、サブコマンド一覧とヘルプが表示されます。 ``` My Vault> help mc-transfer Command Description --------- ------------------------------------------ join-msp Initializes Regular/MC/MSP transfer to MSP leave-msp Initializes MC leaving MSP accept-mc MSP accepts Regular/MC/MSP transfer cancel Cancels MC transfer status Checks MC transfer status perform Completes MC transfer ``` `join-msp` Regular/MC/MSPからMSPへの譲渡を初期化します ``` My Vault> mc-transfer join-msp -h usage: mc-transfer join-msp [-h] [--target-name TARGET_NAME] [--target-email TARGET_EMAIL] Initializes Regular/MC/MSP transfer to MSP options: -h, --help show this help message and exit --target-name TARGET_NAME Target enterprise name --target-email TARGET_EMAIL Target administrator email ``` `leave-msp` 管理対象企業のMSP離脱を初期化します ``` My Vault> mc-transfer leave-msp -h usage: mc-transfer leave-msp [-h] [--target-name TARGET_NAME] [--target-email TARGET_EMAIL] Initializes MC leaving MSP options: -h, --help show this help message and exit --target-name TARGET_NAME Target enterprise name --target-email TARGET_EMAIL Target administrator email ``` `accept-mc` MSPがRegular/MC/MSPの譲渡を受け入れます ``` My Vault> mc-transfer accept-mc -h usage: mc-transfer accept-mc [-h] [--target-name TARGET_NAME] [--target-email TARGET_EMAIL] MSP accepts Regular/MC/MSP transfer options: -h, --help show this help message and exit --target-name TARGET_NAME Target enterprise name --target-email TARGET_EMAIL Target administrator email ``` `cancel` 譲渡をキャンセルします ``` My Vault> mc-transfer cancel -h usage: mc-transfer cancel [-h] [--target-name TARGET_NAME] [--target-email TARGET_EMAIL] Cancels MC transfer options: -h, --help show this help message and exit --target-name TARGET_NAME Target enterprise name --target-email TARGET_EMAIL Target administrator email ``` `status` 譲渡ステータスを確認します ``` My Vault> mc-transfer status -h usage: mc-transfer status [-h] [--target-name TARGET_NAME] [--target-email TARGET_EMAIL] Checks MC transfer status options: -h, --help show this help message and exit --target-name TARGET_NAME Target enterprise name --target-email TARGET_EMAIL Target administrator email ``` `perform` 譲渡を完了します ``` My Vault> mc-transfer perform -h usage: mc-transfer perform [-h] [--target-name TARGET_NAME] [--target-email TARGET_EMAIL] Completes MC transfer options: -h, --help show this help message and exit --target-name TARGET_NAME Target enterprise name --target-email TARGET_EMAIL Target administrator email ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/enterprise-management-commands.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.