強制ポリシー

ロール強制ポリシー

ログイン設定

SSOでログインするユーザーにマスターパスワード作成を許可

このオプションは、「代替手段としてのマスターパスワード」とも呼ばれ、SSOでログインするユーザーがマスターパスワードでもログインできるようになります。SSO接続がダウンしている場合やユーザーがオフラインの場合に便利です。また、SSOでログインするユーザーがKeeperコマンダーCLIにログインする場合にも使用できます。

普段は法人SSO ログイン (SAML 2.0) を使用してKeeperボルトにログインしているユーザーでも、マスターパスワードを使用してウェブボルト、KeeperFill、Keeperコマンダーにログインできるようになります。この機能を利用するには、Keeper管理者がロールポリシーで有効にした上で、ユーザーが自分で設定します。この機能を有効にすると、SSOでログインするユーザーもマスターパスワードを使用してオフラインでアクセスできるようになります。

このポリシーが有効になると、ユーザーは以下の手順に従って代替手段としてのマスターパスワードを使えるようにします。

  1. SSOを使用してウェブボルトにログインします。

  2. 設定画面にアクセスし、[セットアップ]か[編集]をクリックしてマスターパスワードを設定します。

  3. 設定が完了すると、[法人SSOログイン] > [マスターパスワード]からログインできます。

SSOユーザーのマスターパスワードによるログイン機能は、ウェブボルト、Keeperデスクトップ、KeeperFill、コマンダーCLIでのみ使用できます。

マスターパスワードの複雑さ

マスターパスワードの複雑さに関するポリシーは、該当のロールが付与されているユーザーのパスワードの複雑さに適用されます。

以下の設定項目があります。

  • パスワードの長さ

  • 数字の数

  • 記号の数

  • 大文字の数

  • 小文字の数

マスターパスワードの複雑さとデフォルトのロールに関する注意事項

ユーザーが最初にボルトを作成する際、マスターパスワードの複雑さに関するルールの適用のため、管理コンソール内のすべてのデフォルトロールが参照されます。マスターパスワードの複雑さに関するルールは、各デフォルトロールの最大値を基に決定されます。

アカウントが作成されると、ユーザーに割り当てられたロールを使用してマスターパスワードの複雑さに関する要件が継続的に適用されるようにします。

Keeperボルトのアカウントを作成する際、ユーザーはこの複雑さに関する要件を遵守する必要があります。

マスターパスワードの有効期限

マスターパスワードの有効期限ポリシーを利用すると、ユーザーは指定の間隔 (日数) でマスターパスワードを変更しなければなりません。このポリシーを有効にした場合、マスターパスワードが期限切れになると、ユーザーは次回のログイン時に強制的に新しいマスターパスワードに更新しなければならなくなります。マスターパスワードの変更が必要になるまでの日数を設定するには、10~150日の範囲で選択します。

SSO Connect (オンプレミス) を使用してログインするユーザーにこのポリシーが適用されると、ログイン時にマスターパスワードがKeeperによってユーザーの介入なしにバックグラウンドで更新されます。SSOユーザーはIDプロバイダに対して認証を行うため、SSO IDプロバイダ (IdP) を使用して認証するロールに対してこの機能を有効にすることは推奨しません。 なお、この機能はSSO Connect (クラウド) を使用してログインするユーザーには影響しません。

ユーザーのマスターパスワードを直ちに失効させる必要がある場合は、「ユーザー」タブからマスターパスワードを失効するユーザーを選択し、[マスターパスワード失効]を選択します。これにより、ユーザーのマスターパスワードが直ちに失効し、パスワードリセットが必要になります。

生体認証

iOS Touch ID/Face ID、Mac OS Touch ID (Mac Storeアプリのみ) 、Windows Hello (Microsoft Store) 、Androidプラットフォームでは、生体認証ログインがサポートされています。デフォルトでは、すべての生体認証ログインが許可されています。

二要素認証 (2FA)

二要素認証ポリシーを有効にすると、ユーザーはKeeperプロファイルの設定時に二要素認証の方式の設定が必要となります。この設定が適用されると、既存のユーザーは二要素認証を有効にしなければなりません。

  • 二要素認証を適用すると、アカウント作成時またはログイン時に二要素認証の設定を案内するプロンプトが表示されます。

  • 二要素認証を適用すると、ユーザー側から無効にすることはできませんが、編集により二要素認証を再設定できます。

  • 二要素認証の適用に加えて、新しいコードで再認証を促す頻度も指定できます。

  • 管理者によって管理コンソールのユーザー詳細画面からそのユーザーの二要素認証を一時的に無効にできます。

ユーザーに対して二要素認証を設定すると、コード入力を求める頻度に関係なく常にKeeperサーバー側で二要素認証が適用されます。ユーザーが二要素認証コードで認証されるとデバイスでトークンが生成され、バックエンドシステムとの後続の通信に使用されます。

また、管理者によりユーザーのデバイス側でコードの入力を促す頻度が指定できます。たとえば、ウェブボルトおよびKeeperデスクトップのユーザーにはログイン毎にコード入力を求め、モバイル端末のユーザーには、30日に1回だけ求めるような指定ができます。ただし、新しいデバイスにログインする際には、必ずコード入力が求められます。

二要素認証を求める頻度に加えて、ロール内でユーザーが使用できる二要素認証の方式も指定できます。 ロールに応じて異なる方式を適用できます。

以下の二要素認証方式に対応しています。

  • SMS通知

  • TOTP (Google Authenticator、Microsoft Authenticator、任意のTOTPジェネレータ)

  • スマートウォッチ (Apple WatchまたはAndroid Wear)

  • RSA SecurID (管理者による設定が必要)

  • Duo Security (管理者による設定が必要)

  • FIDO2 WebAuthnセキュリティキー

DUO SecurityおよびRSA SecurIDに関する詳細情報については、二要素認証のページをご参照ください。

二要素認証とデバイス承認

Keeperの認証システムにはデバイス承認機能が備わっており、未承認デバイスにログインしようとする際には2つ目の要素としてメール確認を行います。ユーザーが二要素認証を設定済みである場合は、メール確認の代わりにデバイス承認の方法として使用できます (たとえば、メールにアクセスできない場合など)。

二要素認証によるデバイス承認は、マスターパスワードでログインするアカウントでのみ可能です。 SSOでログインするユーザーは、デバイス承認のためには二要素認証を使用できず、新しいデバイスや未承認デバイスに対してはKeeper Pushを使用する必要があります。

プラットフォーム制限

ウェブボルト、KeeperFIll、モバイル、Keeperデスクトップなど、特定のプラットフォームでのKeeperボルトの使用を制限できます。KeeperChatの場合は、Keeperデスクトップとモバイルでの制限となります。

クライアント側の強制は、有効なすべてのプラットフォームに適用されます。

ボルト機能

ロールを持つユーザーに対して、ボルトの標準機能の使用を禁止できます。

「アプリ内オンボーディング」の解除

ONにすると、ユーザーが初回ログインする際にユーザーのボルトに「クイックスタート」モジュールが表示されなくなります。

ユーザーがフォルダを作成することを禁止

ONにすると、ロールを持つユーザーに対してフォルダや共有フォルダの作成を禁止します。

ユーザーが ID や支払い記録を作成することを禁止

ONにすると、ロールを持つユーザーに対して、IDや支払い記録(クレジットカードや住所など)の作成を禁止します。

カスタムフィールドをマスク

ONにすると、すべてのカスタムフィールドの名前と値が強制的にマスクされます。マスクを解除するには、目のアイコンをクリックします。

メモをマスク

記録のメモセクションがマスクされます。マスクを解除するには目のアイコンをクリックします。

パスワードをマスク

デフォルトでは、パスワードはKeeperのすべてのプラットフォームで常にマスクされます。iOSおよびAndroidデバイスでは、ユーザーがパスワードマスクのON/OFFを切り替えることができます。この設定を有効にすると、マスキングが常に有効な状態になります。パスワードを表示するには目のアイコンをクリックします。

クライアントデバイスでBreachWatchを一時停止

有効にすると、BreachWatchイベントがデバイスからKeeper管理コンソールに送信されなくなります。テストデータを使用したり、管理コンソールの初期設定を行う場合にのみ使用します。BreachWatchイベントを一時停止することで、管理コンソールや接続先のレポートシステムでイベントが生成されなくなります。

BreachWatchのイベントをレポート&アラートおよび接続済み外部ログシステムに送信

デフォルトでは、BreachWatchイベントデータがユーザーのデバイスから接続済みのSIEMや高度なレポートとアラートツールへ送信されることはありません。送信するには、Keeper管理者がこの機能を有効にする必要があります。有効にすると、イベントデータは高度なレポートエンジンや接続済みのSIEMシステム (Splunkなど) に送信を開始します。

この機能は過去に遡って適用できません。この機能を有効にして初めてイベントが高度なレポートとアラートに送信されるようになります。

再認証の要求 (マスターパスワードか生体認証)

この強制ポリシーを使用すると、以下の操作を実行する前にマスターパスワードか生体認証ログインを使用して再認証するようユーザーに要求します。

  • パスワードの自動入力

  • パスワードや隠されたフィールドを表示してコピー

  • 記録やフォルダの編集、共有、削除

また、「数分間認証されない場合に再認証を遅らせる」を使用すると、非アクティブになってから再認証を要求するまでの経過時間を分単位で指定することができます。

注: この機能はSSOユーザーには適用されません。

削除した記録の保持期間

デフォルトでは、削除した記録は記録所有者の「削除済みアイテム」に移動されます。削除済みアイテムの処理を制御するための2つの強制ポリシーがご利用になれます。

  • 記録が完全削除されるまでの日数

  • 削除した記録が自動消去されるまでの日数

ユーザーが誤ってボルト内の記録を完全に削除してしまうのを防止するため、記録が完全に削除されまでゴミ箱に留まる日数を指定できます。

また、ユーザーが「削除済みアイテム」に移動した記録を特定期間後に自動的に完全削除されるよう設定することもできます。

記録内パスワード

Keeperのパスワードとパスフレーズ生成ツールは、一般的なポリシーとして、または特定のウェブ サイトドメインに対して適用できます。

パスワード生成ツール

エンドユーザーボルトのパスワード生成ツールは、ここで定義されている最小文字数、小文字、大文字、数字、記号の各最小数、使用できる記号の設定に基づいて機能します。パスワード生成ツールで使用される記号は、リストからの選択したものに制限されます。デフォルトでは、すべての記号が使用できる設定となっています。

パスフレーズ生成ツール

エンドユーザーボルトのパスフレーズ生成ツールはデフォルトは有効となっていますが、管理者によって無効にすることができます。最小の単語数を設定したり、大文字と数字を含むように設定したりできます。単語間の区切り文字は、使用が許可されている記号から選択されます。デフォルトでは、すべて記号が使用できるようになっています。

ドメイン限定でのパスワード、パスフレーズ、記号のポリシー

ドメイン限定ポリシーを使用すると、管理者は特定のドメイン名や一致するドメインパターンに対してパスワードの複雑さに関するプライバシー ルールを適用できます。

以下のようにワイルドカード (*) を使用すると、複数のドメインに対して最低限のパスワードの複雑さのルールを作成できます。

  • *.amazon.com

  • *.google.com

  • *.gov

  • example.com

  • *.example.com

ワイルドカード文字 (*) を単独で使用してグローバルドメインルールを作成することもできます。ルールが重複する場合は、最も厳しい制限が生成されることにご留意ください。ワイルドカードを単独で使用した場合、ドメイン名の値を含むすべての記録に対してポリシーが適用されます。

プライバシー画面を適用 (パスワード表示を禁止)

Keeperのプライバシー画面機能は、チーム単位、ロールポリシー単位 (特定の記録ドメインに基づく)、記録タイプ (テンプレート) 単位で適用できます。

ロールポリシー単位の適用ではパスワードの複雑さに関するポリシーと連動し、ドメインごとにパスワードを表示 (マスク解除) できるようにします。このポリシーが適用されると画面でパスワードがマスクされるため、万一画面上のパスワードを覗き見されても安全です。

記録の編集権限または所有者権限を持つユーザーに適用した場合、記録を編集する際にパスワード生成ツールを使用しなければならなくなります。

パスワードのマスキングは視覚的なものに過ぎず、パスワードはボルトに保管されたままであり、API通信およびウェブページの要素を検証することでアクセスできます。管理者側でユーザーがウェブページの要素を検証できないようにしたい場合は、グループポリシーを使用してユーザーがブラウザのデベロッパーツールを使用できなくすることを推奨します。

この機能はパスワードの複雑性に関する設定内でも有効にできます。[パスワードの複雑性]でドメインを追加して[プライバシー画面を適用]ボックスをチェックします。

ボルト内ではURLに一致する記録はすべてロックされるので、ユーザー側ではパスワードのマスク表示を解除できません。

同様に、KeeperFillでもプライバシー画面が発動します。

プライバシー画面機能の詳細については、以下の動画をご覧ください。

プライバシー画面

記録タイプ

アカウントの記録タイプが有効になっている場合、さらに特定の記録タイプを有効にしたり無効にしたりできます。デフォルトの記録タイプとカスタム記録タイプのどちらも、ロールの権限に基づいて有効にしたり無効にしたりできます。カスタム記録タイプはデフォルトタイプの下に表示されますが、各ユーザーのボルト設定内で表示の順序を変更できます。

特定の記録タイプを無効ににすると、ユーザーのボルト内のドロップダウンで表示されなくなります。

組織単位で記録タイプが有効になっていない場合、左側のメニューには表示されません。

管理コンソールで1つ記録タイプのみを有効にした場合、ボルト内で記録を作成する際に記録タイプ選択のポップアップは表示されず、あたかも記録タイプ自体が無効になっているかように進行します。

組織内の一部のユーザーで記録タイプが無効になっている場合でも、共有機能や編集機能が制限されることはありません。たとえば、管理者は、カスタムSSH記録を管理者以外と共有でき、記録内のすべてのデータが表示されます。

記録タイプが無効になっている別の組織と記録を共有する場合、組織で記録タイプが有効になるまで表示はされませんが、記録タイプのデータ自体は存在します。

作成と共有

管理者はユーザーが記録を作成したり共有したりする際に、広範囲にわたる制限を適用できます。

詳細な共有設定の強制

作成

作成では、ユーザーに記録、フォルダ、共有フォルダなどの作成を許可するかどうかを設定します。

作成は以下のようにカスタマイズできます。

  • 記録を作成できる (記録とフォルダの作成を共有フォルダ内のみに制限する機能が含まれます)

  • フォルダを作成できる (フォルダの作成を共有フォルダ内のみに制限する機能が含まれます)

  • 共有フォルダを作成できる

  • 記録オプションメニューの複製機能を使用して記録を複製できる

  • KeeperFillを使用して、[個人情報と支払い]タブで支払いの記録や住所の記録などを作成できる

  • ファイルをアップロードできる

共有

共有では、ユーザーがワンタイム共有リンクや添付ファイルなどを共有したり受けとったりできるかを設定します。

共有は以下のようにカスタマイズできます。

  • アイテムの共有および受け取りができる

  • 共有フォルダ内に記録を追加することでのみ他のユーザーと共有でき、他のユーザーを記録や共有フォルダに追加できない

  • 共有アイテムのみを受け取れ、他のユーザーを記録や共有フォルダに追加できない

  • アイテムを共有または受信できないため、ユーザーは記録や共有フォルダに他のユーザーを追加したり、他のユーザーからアイテムを受け取ったりできない。この強制が有効になっている場合、ワンタイム共有リンクの生成、添付ファイル付き記録の共有、および社外のユーザーとの共有の機能はデフォルトで無効になります。

管理者は、ユーザーの以下の機能を個別に制限することもできます。

  • ワンタイム共有リンクを生成する

  • 添付ファイル付きでレコードを共有する

  • 社外のユーザーと共有する

  • 社外のユーザーからアイテムを受け取る

インポートとエクスポート

インポートとエクスポートでは、ボルトからのインポートおよびエクスポートの設定をコントロールできます。

インポートとエクスポートは以下のようにカスタマイズできます。

  • ボルトへインポートできる (LastPassからの共有フォルダのインポートの制限を含む)

  • ボルトからエクスポートできる

KeeperFill

KeeperFillは、ウェブサイトやアプリケーションでのログイン時に自動入力を支援するブラウザ拡張機能です。

KeeperFillブラウザ拡張機能

KeeperFillのさまざまな機能を個別にコントロールできます。

ご利用になれる許可設定:

  • カギをホバー表示

  • 自動入力候補の表示

  • 自動入力

  • 自動送信

  • サブドメインが一致する記録のみ表示

  • パスワード入力ポップアップを開く

  • パスワード保存ポップアップを開く

  • パスワード変更ポップアップを開く

  • KeeperFill動作不能時のポップアップを開く

  • HTTPウェブサイトでパスワードを入力しようとする際の警告

特定のウェブサイトでKeeperFillを無効にする

管理者によって特定のウェブサイトでKeeperFillを使用できないように設定できます。その際、ワイルドカード文字を使用してドメイン名やURLを指定できます。多くのフォームフィールドを持つ内部アプリケーションに対してKeeperFillを無効にするという使用例が考えられます。

アカウント設定

オフラインアクセスを禁止

有効にすると、インターネットアクセスがない場合にKeeperボルトにアクセスできなくなります。

オフラインアクセスの詳細については、こちらをご参照ください。

メールアドレスの変更を禁止

有効にすると、ユーザーはメールアドレスの変更ができなくなります。なお、SSOでログインするユーザーは自身のメールアドレスを変更できません。

自己破壊 (自動消滅)

このポリシーを有効にすると、該当ロールを持つユーザーは、パスワードによるログインを5回まで試行でき、その後ローカルに保存されているすべてのKeeperデータが消去されます。

Keeperファミリーライセンスの使用を禁止

このポリシーを有効にすると、個人使用のために自身の個人用メール使用してKeeperファミリーライセンスを利用できなくなります。個人使用のための無料のファミリーライセンスについては、こちらのページをご参照ください。

「ログイン状態を維持」を禁止

この強制ポリシーを有効化すると、該当ロールを持つユーザーのログイン状態維持機能が使えなくなります。 「ログイン状態維持」機能を利用すると、非アクティブタイマーが切れるまではブラウザやコンピュータを再起動しても、ウェブボルト、Keeperデスクトップ、KeeperFillへのログイン状態を維持できます。

「ログイン状態維持」のデフォルトのユーザー設定

該当ロールの新規ユーザーのデフォルトの「ログイン状態を維持」設定をオンかオフに設定します。この設定は新規ユーザーにのみ適用され、遡及的には適用されません。

ログアウトタイマー

管理者によって非アクティブログアウトタイマーを設定できます。ウェブ、モバイル、デスクトップの各Keeperアプリで異なる時間を分単位で指定します。非アクティブ状態で指定した時間が経過すると、ユーザーはログアウトします。

アカウントの復元

マスターパスワードを忘れた場合にボルトを回復する非常手段として、自動生成される24語から成るリカバリーフレーズの使用があります。SSO IDプロバイダが使用できない場合は、アカウント回復を使用してアカウントにログインすることもできます。

リカバリーフレーズは、暗号ウォレットの保護に使用されるものと同じBIP39単語リストを使用して実装されています。BIP39単語リストは2048単語のセットで、256ビットのエントロピーを持つ暗号化キーを生成するために使用ます。BIP39リストの各単語は、可視性を向上させ、回復プロセスでエラーが発生しにくくなるように慎重に選択されています。アカウントの回復に関する詳細については、こちらのKeeperのブログ投稿をご参照ください。

このポリシーにより、管理者はユーザーのアカウント回復を無効にできます。ユーザーがSAML 2.0 IDプロバイダを使用してKeeper SSO Connect Cloudでログインする場合に推奨されます。

アカウントの回復を無効にする場合、マスターパスワードを紛失してボルトにアクセスできないユーザーを管理者がサポートできるよう、ボルト移管ポリシーを有効にすることを推奨します。

アカウント回復の手順については、「アカウント移管によるパスワード回復」のページをご参照ください。

Keeperへの招待

招待メールを送信しない

このポリシーを有効にすると、ロールのユーザーへアカウントがプロビジョニングされる際に招待メールが送信されません。使用例としては、管理者がシステムの招待メールではなく独自に作成した招待メールを送信したい場合が考えられます。また、管理者が招待プロセスをテストする際にもご利用になれます。

招待メールを自動的に再送信する

新規ユーザーに送信されるKeeperの招待メールは、ユーザーが特定の時間内にアカウントを作成しない場合、自動的に再送信されます。 デフォルトの設定は、招待メールの送信は1回限りとなっていますが、必要に応じて頻度を増やせます。

デフォルトではKeeperの招待メールは7日間のみ有効ですので、自動的に再送することを推奨します。

IPのホワイトリスト化

特定のロールを持つユーザーに対して、指定のIPアドレス範囲以外でKeeperを使用することを禁止できます。IPアドレスは、ログイン時にKeeperインフラストラクチャによって認識される外部 (パブリック) アドレスでなければなりません。IP範囲を追加するには、[範囲を追加]をクリックします。

ご利用のアカウントに関連付けられていないロールでIPのホワイトリスト化をテストするようにしてください。無効なIP範囲を追加すると、ご自身または関連するすべてのユーザーがロックアウトされる可能性があります。このような状況になった場合には、Enterpriseサポートへお問い合わせください。

Keeperシークレットマネージャー

ロールに対してKeeperシークレットマネージャーを有効にすると、ウェブボルト、Keeperデスクトップアプリ、コマンダーCLIに、シークレットマネージャー機能が表示されるようになります。

Keeper Secrets Managerの詳細については、以下をご覧ください。

pageシークレットマネージャー

Keeperパスワードローテーションの管理

Keeperパスワードローテーションにより、クラウドベースでもオンプレミス環境でも安全に認証情報をローテーションすることができます。パスワードローテーションがロール上で有効になっている場合、パスワードローテーション機能がウェブボルト、Keeperデスクトップ、コマンダーCLIに表示されます。

アカウント移管

アカウント移管を有効にするには、スイッチをONにしてアカウント移管を実行できるロールをドロップダウンメニューから選択します。

ボルトへのログイン時に、ユーザーがアカウント移管に同意した場合のみアカウントを移転できます。アカウント移管ポリシーは、必要になる前に設定して備えておくことが重要となります。

アカウント移管の詳細については、こちらをご参照ください。

KeeperコマンダーCLIでのポリシーの管理

以下は、「Engineering」のロールがインポート記録にアクセスできないように制限する例となります。

enterprise-role Engineering --enforcement "RESTRICT_IMPORT:True"

概要動画

強制ポリシーの詳細については、以下の動画をご覧ください。

強制ポリシー

Last updated