エンタープライズ管理コマンド
管理コンソールおよびエンタープライズ管理機能に関連するコマンド
コマンド
Keeperコマンドリファレンス
対話型シェル、CLI、JSON設定ファイルのいずれを使用する場合でも、以下のコマンドがサポートされており、各コマンドでは追加のパラメータとオプションがご利用になれます。
特定のコマンドのヘルプを表示するには、次のコマンドを実行します。
help <command>
エンタープライズ管理コマンド
企業情報を表示します
企業ユーザーを管理します
企業のロールとポリシーを管理します
企業チームを管理します
企業ノードを管理します
ユーザーとチームのボルトに指定したレコードを格納します
企業データをダウンロードして復号化します
SCIMまたはActive Directory Bridgeによってプロビジョニングされた実行待ちのチームとユーザーを承認します
エンドユーザーから保留中のSSO Cloudデバイスを承認します
ユーザーとボルトを新規作成し、そのユーザーのクレデンシャルを使用して、現在のボルトにレコードを追加します
アカウントを別のユーザーに移管します
デバイス承認用SSO Cloud Automatorを管理します
SCIMエンドポイントを管理します
監査アラートを管理します
enterprise-infoコマンド
コマンド: enterprise-info
またはei
詳細: ツリー構造で企業に関する情報を表示します。
パラメータ:
検索するテキスト。ユーザー、チーム、ロールに適用できます。
スイッチ:
-n
、--nodes
ノードを表示します。
--node <ノード>
指定したノードのツリー構造を表示します。
-u
、--users
ユーザーリストを表示します。
-t
、--teams
チームリストを表示します。
-r
、--roles
ロールリストを表示します。
-v
、--verbose
出力なしでIDを表示します。
--format <{
table, csv, json
}>
出力の表示形式。
table - 情報を表形式で表示します。
csv - 情報をCSV形式で出力します。
json - 情報をJSON形式で出力します。
--output <出力ファイル>
出力を書き出すファイル。
--columns <列>
出力に含める列。 カンマ区切りリストで指定します。 使用可能な列は、表示するデータの種類によって異なります。
ユーザー
name
status
transfer_status
node
team_count
teams
role_count
roles
alias
2FA status
チーム
restricts
node
user_count
users
queued_user_count
queued_users
ロール
is_visible_below
is_new___user
is_admin
node
user_count
users
Nodes
parent_node
user_count
team_count
teams
role_count
roles
provisioning
例:
企業名とノード構造を表示します。
「John Doe」という名前のユーザーがいないか企業を検索します。
社内のチームのリストをCSVファイルに出力します。
ロールのリストを表示します。ただし、表示するのは、管理者ロールであるか否かとロールに属するユーザー数のみです。
「Keeper Security」という名前のノードから始まるノードのツリー構造を表示します。組織全体のノードツリーを表示するには、このルートノードを指定します。
enterprise-userコマンド
コマンド: enterprise-user
またはeu
詳細: 企業のユーザーを管理します。
パラメータ:
ユーザーのUIDまたはメールアドレス。
注意: 以下のコマンドを使用して、企業のユーザーのリストを表示できます。
ei --users
スイッチ:
--expire
ユーザーのマスターパスワードを失効させます。
--extend
ボルトの移管に対する同意を7日間延長します。次の疑似ユーザー@allをサポートします。
--lock
ユーザーアカウントをロックします。
--unlock
ユーザーアカウントのロックを解除します。次の疑似ユーザー@allをサポートします。
--disable-2fa
ユーザーの2FAを無効にします。
--add
指定したメールアドレスを招待して、社内にボルトを作成します (パラメータとしてはメールのみ使用可能)。
--invite
指定したメールアドレスに招待を送信します。以前に招待したユーザーに送信できます。
--delete
企業からユーザーを削除します。これにより、所有しているレコードと他のユーザーと共有しているレコードの両方がすべて削除されますのでご注意ください。
--name <名前>
ユーザーの表示名として使用する名前を設定します。
--node <ノード名またはUID>
指定した名前またはUIDを持つノードにユーザーを追加します。ノードのリストを表示するには、enterprise-info --nodes
を使用します。
--add-role <ロール名またはUID>
指定した名前またはUIDを持つロールにユーザーを追加します。ロールのリストを表示するには、enterprise-info --roles
を使用します。次の疑似ユーザー@allをサポートします。
--remove-role <ロール名またはUID>
指定した名前またはUIDを持つロールからユーザーを削除します。
--add-team <チーム名またはUID>
指定した名前またはUIDを持つチームにユーザーを追加します。チームのリストを表示するには、enterprise-info --teams
を使用します。
--remove-team <チーム名またはUID>
指定した名前またはUIDを持つチームからユーザーを削除します。チームのリストを表示するには、enterprise-info --teams
を使用します。
--add-alias <メールアドレス>
メールアドレス形式のエイリアスをユーザーに追加します。追加されたエイリアスは、ユーザーの「プライマリ」メールになります。既存のエイリアスにこのコマンドを適用すると、そのエイリアスがプライマリとして設定されます。このコマンドは予約されたドメインでのみ許可されることにご注意ください。
--delete-alias <メール>
ユーザーのメールエイリアスを削除します。
-f
、--force
確認メッセージを表示しません。
-v
、--verbose
IDなどのデータを含むデバッグ出力。
例:
ユーザー「John.Doe@gmail.com」の詳細を表示します。
指定されたUIDを持つユーザーをChicagoノードと「Chicago Engineering」チームに追加します。
「Jane.Doe@gmail.com」に招待を送信して、社内でボルトを開きます。
指定したUIDのアカウントをロックします。
名前を変更したユーザーのエイリアスを追加して、プライマリに設定します。
すべての企業ユーザーを「Employee」ロールに追加します。
enterprise-roleコマンド
コマンド: enterprise-role
またはer
詳細: 企業のロールまたは強制ポリシーを管理します。
以下のコマンドを使用して、企業内のロールのリストを表示できます。
ei --roles
使用法: er <ロール>
パラメータ:
<ロール> ロール名またはUID。スペースで区切って複数設定できます。
スイッチ:
--add
企業に新しいロールを追加します。
--delete
ロールを削除します。
--add-user <ユーザー名またはUID>
ロールにユーザーを追加します。--addと一緒に使用します。
--remove-user <ユーザー名またはUID>
ロールからユーザーを削除します。
--visible-below <{
on,off
}>
ロールをその下のロールに対して表示または非表示にします。
--new-user <{
on,off
}>
新しいユーザーをこのロールに割り当てます。
--node
<ノード名またはUID
> ロールを追加するノード。
--name <名前>
ロールに名前を付けます。
--add-admin <ノード>
ロールで管理するノードを追加します。
--remove-admin <ノード>
ロールで管理するノードを削除します。
--cascade <{
on,off
}>
--add-admin
と一緒に使用して、ユーザーを管理者として子ロールにも割り当てます (「on」の場合)。
--enforcement <ポリシー>: <値>
、--enforcement <ポリシー>: $FILE=<PATH TO FILE WITH VALUE>
指定したロールの強制ポリシーを設定します (文字のポリシー値 (「True」、「e」、10 など)、またはその値を含むファイルへの参照を使用します)。下の表の2番目のタブで、使用可能な強制ポリシーのリストを参照してください。
--copy
属するユーザーのないロールを複製します。
--clone
元のユーザーと同じユーザーが属するロールを複製します。
--add-team
、-at
<チーム名>
指定したロールにチームを追加します。
--add-privilege
、-ap
<権限名> ロールに管理者権限を追加します。
--remove-privilege
、-rp
<権限名> ロールから管理者権限を削除します。
-v
、--verbose
出力なしでIDを表示します。
-f
、--force
確認のプロンプトを表示せずに強制的に実行します (非対話モード)。
例:
「Keeper管理者」ロールの詳細を表示します。
指定したUIDのロールと「Engineer Team Lead」ロールの詳細を表示します。
「Onboarding」という名前の新しいロールを追加し、このロールに新しいユーザーを自動的に割り当てます。
ユーザーJohn Dowを指定したUIDのロールとすべての子ロールの管理者にします。
「PM」ロールの名前を「Product Manager」に変更します。
指定したUIDの3つのノードを「Chicago」ノードに追加します。
「Chicago」ノードにロールのコピーを作成します。
ロールの強制の変更
指定したロールの強制ポリシーを編集するには、--enforcement
スイッチを使用します。 ポリシーのキーと対応する値をスイッチに渡して、強制設定を変更します。
または、ロール強制ポリシーを外部ファイルで指定された値に設定します。
「Engineering」ロールをインポートレコードへのアクセスに制限する例。
enterprise-teamコマンド
コマンド: enterprise-team
またはet
詳細: 企業チームを管理します。
パラメータ:
チーム名またはID
注意: 以下のコマンドを使用して、企業内のチームのリストを表示できます。
ei --teams
スイッチ:
--add
企業に新しいチームを追加します。
--delete
チームを削除します。
--add-user <ユーザー名またはUID>
チームにユーザーを追加します。
--remove-user <ユーザー名またはUID>
チームからユーザーを削除します。
--node <ノード名またはUID>
チームを追加するノード。
--name <名前>
チームに名前を付けます。
--approve
実行待ちのチームを承認します。実行待ちのチームは通常、暗号化鍵の作成を必要とするSCIM要求によって生じます。そのため、管理者が管理コンソールにログインするか、またはこのコマンドを実行するまで、実行待ち状態のままになります。
--restrict-edit <{
on,off
}>
このチームのユーザーのレコードの編集可否を設定します。
--restrict-share <{
on,off
}>
このチームのユーザーのレコードの共有可否を設定します。
--restrict-view <{
on,off
}>
このチームのユーザーのレコードのパスワードの表示可否を設定します。
--hide-shared-folder
、-hsf <{
on,off
}>
このチームのユーザーの共有フォルダの表示可否を判別するフラグ。
--add-role
、-ar <ロール名>
指定したチームにロールを追加します。
-v
、--verbose
出力なしでIDを表示します。
例:
「Chicago Engineering」チームの詳細を表示します
「Chicago Engineering」チームと「Legal」チームの詳細を表示します
「Chicago」ノードに「Chicago Product」という名前の新しいチームを追加し、そのチームに属するユーザーがレコードを編集できないように制限します
指定したUIDのチームの名前を「El Dorado Hills Engineering」に変更します
enterprise-nodeコマンド
コマンド: enterprise-node
またはen
詳細: 企業ノードを管理します
パラメータ:
ノード名またはUID
注意: 以下のコマンドを使用して、企業内のノードのリストを表示できます。
ei --nodes
スイッチ:
--add
企業に新しいノードを追加します
--delete
ノードを削除します。このスイッチは、ノードのすべてのオブジェクトが削除されるまで実行されないことにご注意ください。
--parent <ノード名またはUID>
指定したノードをこのノードの親にします
--name <名前>
ノードの表示名を設定します
--wipe-out
ノードの下のすべてのノード、ロール、ユーザー、チームを削除します。ノード自体は削除されません。このコマンドの使用にはご注意ください。
--toggle-isolated
他のノードのユーザーに対してノードを表示または非表示にします
--invite-email <ファイル名>
ファイルから招待メールのテンプレートを設定します。ファイルが存在しない場合は、現在のテンプレートを保存します。dash (-) は標準出力に書き出します。以下のカスタムメールセクションをご参照ください。
--logo-file <ファイル名>
ローカル画像ファイルを使用して会社およびノードのロゴを設定します (最大サイズ: 500 KB、最小: 10x10、最大: 320x320)
例:
「Chicago」ノードの詳細を表示します。
3つのノード:「Chicago」、「El Dorado Hills」、指定したUIDを持つノードの親ノードをノード「NA」に変更します。
「EMEA」ノードの下に「Cork」という名前の新しいノードを追加します。
「APAC」ノードの下からすべてのノード、ロール、ユーザー、チームを削除します。
他のノードのユーザーに対し、「Chicago」ノードを非表示 (現在表示されている場合) または表示 (現在表示されていない場合) に変更します。
現在のユーザーの$HOMEディレクトリにある「chicago_logo.jpg」ファイルを「Chicago」ノードのロゴ画像として使用して、招待メールとボルトUIの見た目をカスタマイズします。
カスタムメール
--invite-email
スイッチを使用すると、ノードごとにカスタムメールテンプレートを設定できます。
管理コンソールでメールテンプレートをカスタマイズする方法と同様に、CLIを使用したカスタムメールテンプレートでも、以下の4つの属性のカスタマイズがサポートされます。
件名
メッセージの見出し
メッセージ本文
ダウンロードボタンのテキスト
カスタムメールテンプレートは、以下の形式の.txt
ファイルで定義できます。
カスタムメールはMarkdown構文を使用して書式設定することもできます。詳細については、こちらのページをご参照ください。
カスタムメールの使用事例
シカゴと東京に会社の支店があり、それぞれのノードがChicago
とTokyo
であると想定します。理想的には、招待メールは以下のようにそれぞれの言語で作成したいところです。
シカゴ支店に送信される招待メールは、英語で作成します。。
東京支店に送信される招待メールは、日本語で作成します
--invite-email
スイッチを使用すると、ノードごとに適切なメールテンプレートを設定できます。
まず、Chicago
とTokyo
の各支店のカスタムメールテンプレートを定義します。
次に、各ノードに適切なメールテンプレートを設定します。
Windowsでは、ファイルのパスは引用符または2つのバックスラッシュで指定できます。以下のどちらのファイルパスも有効です。
"C:\users\file.txt"
またはc:\\users\\file.txt
招待メールを送信する際、ユーザーは支店の場所に応じて以下のメールを受信します。
enterprise-pushコマンド
コマンド: enterprise-push
詳細: ボルトにデフォルトのレコードセットを格納します。
パラメータ:
テンプレートのレコードを含むファイルのファイル名。 ファイルはJSON形式である必要があります。
スイッチ:
--syntax-help
ファイル形式の例とテンプレートのパラメータを表示します。
--team
<チーム名またはUID> レコードを割り当てるチーム。
--email
<ユーザーのメールまたはUID> レコードを割り当てるユーザー。
例:
「office-codes.json」ファイルでテンプレート化されたレコードを「Chicago Office」チームのすべてのユーザーに送信します。
「default.json」ファイルでテンプレート化されたレコードをユーザー「Jane.Doe@gmail.com」に送信します。
構文のヘルプを表示します。
ファイル形式
「enterprise-push」コマンドは、Keeper JSONレコードインポート形式を使用します。
JSONファイルの例:
サポートされているテンプレートパラメータ
適切なJSON構造を確認する簡単な方法は、KeeperボルトからデータをJSON形式でエクスポートすることです。次に、インポートファイルの作成に必要なファイルを変更します。
JSONデータをエクスポートして、テンプレートを作成する手順は以下のとおりです。
「Templates」など、テンプレートを格納する空のフォルダを作成します。
そのフォルダにレコードを作成します。
以下のコマンドを使用してそのフォルダをJSONとしてエクスポートします。
オプション: JSONファイルを編集して、
enterprise-push
コマンドで使用しない「uid」、「schema」、「folders」の各プロパティを削除します。
テンプレートJSONファイルは、レコードの配列、またはレコードの配列で構成されるプロパティ「records」を含むオブジェクトのいずれかである必要があります。
enterprise-downコマンド
コマンド: enterprise-down
またはed
詳細: 企業データをローカルにダウンロードして復号化します。
コマンダーのアクティブなインスタンスが実行中で、管理コンソールまたはコマンダーの別のインスタンスに変更が加えられた場合、enterprise-down
コマンドを使用して、最新の企業データをローカルにダウンロードして復号化できます。
例:
アクティブなコマンダーセッションの実行中に管理コンソールに新しいユーザーが追加された場合、実行中のコマンダーセッションで以下のコマンドを実行すると、最新の変更がローカルにダウンロードされて復号化されます。
team-approveコマンド
コマンド: team-approve
詳細: チームの自動承認またはチームに対するユーザーの自動承認を有効または無効にします。
KeeperブリッジやSCIMなどのプロビジョニングメソッドを使用する場合、ボルトをまだ有効化していない新しいチームとユーザーは、承認待ちになります。 このコマンドを使用して、プロビジョニングされたチームまたはユーザーの自動承認を有効または無効にします。
スイッチ:
--team
チームを承認します。
--email
チームのユーザーを承認します。
--restrict-edit <{
on
,
off
}>
承認されたチームのレコードの編集を制限または許可します。
--restrict-share <{
on
,
off
}>
承認されたチームのレコードの共有を制限または許可します。
--restrict-view <{
on
,
off
}>
承認されたチームのレコードのパスワードの表示を制限または許可します。
例:
エンタープライズチームの保留中の承認をすべて同期します。
プロビジョニングが完了して承認待ちのチームを自動的に承認します。
プロビジョニングが完了して承認待ちのユーザーを自動的に承認します。
プロビジョニングが完了して承認待ちのチームを自動的に承認しますが、それらのチームに属するユーザーにレコードの編集は許可しません。
device-approveコマンド
コマンド: device-approve
詳細: クラウドSSOデバイスを承認します。
パラメータ:
承認するユーザーのメールもしくはデバイスID、または保留中のデバイスのリストを表示する場合は空白。
スイッチ:
-r
、--reload
現在の保留中の承認リストを再読み込みします。
-a
、--approve
指定したユーザーメールのデバイスまたはデバイスIDを承認します。
-d
、--deny
指定したユーザーメールのデバイスまたはデバイスIDを拒否します。
--trusted-ip
信頼できるIPアドレスのデバイスを承認します。
--format <{
table
,
csv
,
json
}>
出力の表示形式。
--output <ファイル名>
出力の送信先ファイル (jsonまたはcsv形式を使用する必要があります)
例:
保留中の要デバイス承認リストを表示します。
ユーザー「John.Doe@gmail.com」を承認します。
保留中の要デバイス承認リストを更新します。
保留中の要デバイス承認リストをcsv形式でファイルに書き込みます。
create-userコマンド
コマンド: create-user
詳細
現在のKeeperボルトに指定したメールアドレスの新しいアカウントとボルトを作成し、新しいユーザーのクレデンシャルのレコードを作成します。
新しいユーザーを企業に招待するには、enterprise-userコマンドの項をご参照ください。
パラメータ:
ユーザーのメールアドレス
スイッチ:
--name <名前>
ユーザー名。
--node <ノード>
ユーザーを追加するノードの名前またはID。
--record <レコードUID>
新しいアカウントのパスワードを格納するレコードのUID。
--folder <フォルダ名かUID>
作成したユーザークレデンシャルを格納するフォルダ。
例:
John.Doe@gmail.comの新しいユーザーアカウントとボルトを作成します。
John DoeにKeeperへの参加依頼を送信し、新しいユーザーに「John Doe」という名前を付けて、「Chicago」ノードに追加します。
create-userコマンドによるオンボーディング
create-userコマンドを使用してKeeperアカウントに新しいユーザーを作成すると、新しいユーザーのユーザー名と一時パスワードを使用して、現在ログインしているアカウントにレコードが作成されます。 新しいレコードが作成されると、ワンタイム共有URLを使用して新しいユーザーと共有できます。
新しいユーザーは、このURLにアクセスして一時的なクレデンシャルを入手し、最初のログインを実行します。
transfer-userコマンド
コマンド: transfer-user
詳細: アカウントをロックしてから、あるユーザーから別のユーザーにボルトを移管します。
パラメータ:
移管するボルトのメールまたはユーザーID。 スペースで区切って複数指定できます。
スイッチ:
--target-user <ユーザーメールアドレス>
ボルトの移管先のユーザーアカウントのメールアドレス。
--force、-f
確認メッセージを表示しません。
アカウント移管は、アカウントまたはアカウントが属するロールに対して有効にする必要があります。
移管されたボルトの内容は、受信者のボルトのフォルダに配置されます。
例:
keeperuser1@keepersecurity.comのボルトをrecipient@keepersecurity.comに移管します。
ユーザーアカウントの一括移管を実行するには、transfer-user @filename
のコマンドを使用します。これにより、以下のようにFROMとTOのマッピングを含むfilenameという名前のファイルが検索されます。
automatorコマンド
コマンド: automator
詳細: SSOクラウドデバイスオートメーターを設定します。
オートメーターは、顧客サイトで実行されるプログラムで、デバイスの承認やチームの承認の実行など、Keeperの管理作業を実行できます。Keeperオートメーターの詳細については、こちらのページをご参照ください。
オートメーターを管理できるのは、ルートレベルのKeeper管理者ロールのみとなります。
パラメータを指定せずにautomator
コマンドを実行すると、利用可能なオートメーターのリストとコマンドヘルプが表示されます。
例:
「Cloud SSO Device Approval」という名前のオートメーターを作成します。
オートメーターを編集してWebhook URLを設定します。Webhook URLはAutomatorアプリケーションで設定します。
スキル (チーム承認、チームユーザー承認、デバイス承認) は、以下のように「skill」引数で設定できます。
「setup」、「init」、「enable」コマンドを使用して、オートメーターインスタンスを初期化します。バックエンドでオートメーターが設定され、リクエストを処理する準備ができていることが確認されます。
SSOデバイス承認用のKeeperオートメーターの詳細については、オートメーターサービスのページをご参照ください。
scimコマンド
コマンド: scim
詳細: SCIMエンドポイントを設定します。
パラメータを指定せずにscim
コマンドを実行すると、利用可能なSCIMエンドポイントのリストとコマンドヘルプが表示されます。
例:
ノードSCIM Node
のSCIMエンドポイントを作成します。
SCIMエンドポイントの設定を編集します。SCIMエンドポイントを編集すると、新しいプロビジョニングトークンが生成されます。
SCIMエンドポイントを削除します。
グループおよびユーザーデータをSCIMエンドポイントにプッシュ配信します。
スイッチ
--source
SCIMデータのソース。設定可能な値: google,ad
--record
SCIMが設定されたレコードUID。
プッシュ配信用SCIMソースの設定
audit-alertコマンド
コマンド: audit-alert
詳細: 監査アラートを管理します。
パラメータを指定せずにaudit-alert
を実行すると、利用可能なアラートのリストとコマンドヘルプが表示されます。
コマンド実行に関するヘルプを表示します。
list
オプション
view
オプション
history
オプション
delete
オプション
add
オプション
edit
オプション
reset-counts
オプション
recipient
オプション
recipient enable
、disable、delete
オプション
recipient add
またはedit
オプション
最終更新