アカウント移管ポリシー

ボルトの内容を他のKeeperユーザーに移管します

アカウント移管: 従業員のオフボーディング

アカウント移管ポリシーにより、あるユーザーが解雇されたり、突然退職したりした場合に、そのユーザーのボルトを移管する機能をBusinessユーザーやEnterpriseユーザーに提供します。これはオプションの機能であり、Keeper導入の初期実装フェーズでKeeper管理者が設定する必要があります。その理由は、アカウント移管は移管を実行する権限を持つユーザー間で暗号鍵を共有することに依存しているためです。鍵のやり取りはユーザーがボルトにログインしたときに発生し、Keeperのゼロ知識インフラストラクチャを保持します。そのため、アカウント移管の設定は、ユーザーのアカウントが移管される前に設定される必要があり、移管が成功するには、移管操作の前にユーザーが1回以上ログインしている必要があります。

従業員が退社すると、適切な管理上の許可を持つ管理者はユーザーのボルトを他のユーザーに移管できます。このアカウント移管機能は、安全なロールベースの階層を維持しながら、ユーザーのボルト内に存在する内容の所有権を得るための重要かつ強力な方法です。

アカウント移管を有効化するタイミング

デフォルトでは、アカウント移管の権限はOFFにされています。Keeper管理者は、ユーザーのボルトの内容を取得して、他のユーザーに移管する機能を許可する権限を任意でONにできます。この権限は、使用する必要が生じる前に有効化しておく必要があることに留意する必要があります。例えば、ユーザーAが業務に必要不可欠なアプリケーションにアクセスするパスワード、または、組織内で他のユーザーが使用できないボルトのアカウントを所有していて、さまざまな理由により、ユーザーAがボルトを認証できなくなっている場合はアクセスを回復するのが難しい状況になっている可能性があります。ただし、アカウント移管権限はデフォルトのKeeper管理者ロール(および機能を移管する権限を持つことが望ましいその他のロール)で有効にされており、ユーザーAがそのメンバーになっているロールに適用されている場合、Keeper管理者はユーザーAのボルトのすべての内容を他のユーザーに移管する機能を持つことになります。

初期設定が必要な理由

特定のロールでアカウント移管機能を有効にすることを決めた場合、そのロールのメンバーになっているすべてのユーザーは、Keeper管理者の意思で、ボルトの内容が移管されたり、アカウントを削除されたりする可能性があります。強制ポリシーが有効にされると、管理対象のロール内のユーザーには、ボルトにログインした際に、企業が必要に応じてボルトを移管する機能を有効にしたことを知らせるポップアップ通知を表示されます。各ユーザーは通知に同意することを承諾する必要があります。承諾時に、Keeperは必要に応じてユーザーとロール間で必要な暗号鍵の交換を実行して、今後のデータ移管を円滑化します。このような暗号鍵の交換を行わないと、管理コンソール内のユーザーはデータの復号や移管を行うことができません。このプロセスフローの目的は、ゼロ知識を維持し、特定のユーザーのみが移管されたり、移管を実行できるようにするようにするためです。ボルトが他のユーザーに移管されると、移管されたユーザーのボルトは削除されます。

管理者にはユーザーのボルトに対する完全なアクセス権がありますか?

いいえ。アカウント移管機能は他のユーザーに内容全体を移管する機能を管理者に付与しますが、管理者がアクセスしたいときにいつでもボルトにアクセスできる機能を提供するわけではありません。移管されるボルトは最初にロックされる必要があり、そのアカウントは内容の移管後に削除されます。エンドユーザーは、管理者によってアカウントがロックされた場合や移管されて削除された場合に通知を受け取ります。

アカウント移管機能を有効化する方法

アカウント移管機能を有効化する必要があります。また、ユーザーは管理者が移管を実行する前にボルトにログインする(そしてアカウント共有の承諾に同意する)必要があります。次の手順に従い、この操作を実行します。

(1) アカウントの移管を開始する機能を付与するロールの管理上の許可でアカウント移管設定を有効にします。

アカウント移管チェックボックスをONにできない場合、その原因は、アカウント移管の権限が有効化されているロールのメンバー(デフォルトのKeeper管理者など)になっているアカウントにユーザーがログインする必要があるためです。

ロール(例: Keeper管理者ロール)は、他のロールがアカウント移管の許可を付与される前に、この許可を有効にしておく必要があります。

(2) 目的のロールの強制ポリシーのアカウント移管セクションで、アカウント移管を有効にするオプションをONにします。

(3) 移管を開始する機能が付与される管理ロールを選択します(複数のロールがこの機能を持つことができますが、1回の強制に対して選択できるのは1つのロールのみです)。

新規ユーザーおよび既存ユーザーはアカウント移管が有効化されると通知を受け取り、ボルトから記録を移管する組織の機能を承諾するように求められます。この承諾は、ユーザーがボルトにログインする際に一度だけ行う必要があります。

アカウント移管を承諾する

ユーザーが自身のボルトにログインした際に下記の表示が出力されます。

アカウント移管の実行

(1) ユーザータブからユーザー名を選びユーザーアクション、アカウントをロックするを選択して、ユーザーのアカウントをロックします(設定された管理者に付与されるのは、ロックされたユーザーから記録を移管する機能のみです)。

(2) 同じ設定パネルから、アカウント移管を選択します。ユーザーのリストが表示されたウィンドウが開きます。記録の移管を受けるユーザー(「受信者」)を選択し、次に移行を選択します。

(3) ユーザーのアカウント内の記録、フォルダ、およびサブフォルダは受信者のボルトに1つのフォルダで移管され(フォルダ名に元の所有者のメールアドレスが含まれます)、元の所有者のアカウントは完全に削除されます。

ユーザーの「削除済みアイテム」にある記録は受信者の「削除済みアイテム」に移管されます。

アカウント移管に関する詳細は、以下のビデオをご覧ください。

アカウント移管

Commander CLI

アカウント移管のアクションと自動化は Keeper Commander CLI で実行できます。下記の関連コマンドを参照してください。

Last updated