アカウント移管ポリシー
ボルトのコンテンツを別のKeeperユーザーに移管
Last updated
エンタープライズガイド (企業、組織向け)
ボルトのコンテンツを別のKeeperユーザーに移管
Last updated
アカウント移管ポリシーにより、ユーザーが組織を去る場合にそのユーザーのボルトを別のユーザーへ移管できます。この機能はオプション機能で、移管を実行する権限を持つユーザー間で暗号鍵が共有されている必要があるため、Keeper導入の初期段階でKeeper管理者が設定しておく必要があります。Keeperのゼロ知識インフラストラクチャを維持するため、鍵の交換はユーザーがボルトにログインする際に発生します。このように、アカウント移管の設定は、実際にアカウント移管が発生する前に設定しておく必要があり、移管が機能するには移管操作の前にユーザーが1回以上ログインしている必要があります。
アカウント移管機能は、該当の管理権限を持つ管理者によって行われ、安全なロールに基づいた階層を維持しながらユーザーのボルト内コンテンツの所有権を得る上で有効な機能です。
デフォルトでは「すべてのユーザー」のロールでアカウント移管が有効となっており、「Keeper管理者」のロールでアカウント移管の管理権限が付与されています。この設定により、Keeper管理者はユーザーのボルトの内容を別のユーザーに移管することが可能です。なお、管理者にアカウント移管の管理権限が付与されていない場合は、アカウント移管が必要となる前に権限を有効化しておく必要があります。たとえば、ユーザーA が、組織内の他の誰もアクセスできないボルト内に、業務に不可欠なアプリケーションまたはアカウントへのパスワードを保管していて、何らかの理由でユーザーA がボルトへアクセスできなった場合、組織ではアクセスを復元するのが困難な状況に陥る可能性があります。そのような際に、アカウント移管権限がデフォルトのKeeper管理者ロールで有効にされており、ユーザーAが属するロールに適用されている場合、Keeper管理者はユーザーAのボルトの全コンテンツを別のユーザーに移管することが可能となります。
特定のロールでアカウント移管機能を有効にすると、Keeper管理者の意思でそのロールに属するユーザー全員のボルトが移管されたり、アカウントを削除されたりする可能性があります。この強制適用ポリシーが施行にされると、ユーザーがボルトにログインする際にポップアップ通知が表示されボルト移管機能が有効になったことを通知されます。ユーザーは通知を承諾する必要があります。承諾時に、Keeperはユーザーとロールの間で必要な暗号鍵の交換を実行し、データ移管が必要となった場合に備えます。この暗号鍵の交換がなければ、管理コンソール内のユーザーはデータを復号化して移管できません。このプロセスにより、ゼロ知識が確保され、特定のユーザーのみが移管の対象となります。ボルトが別のユーザーに移管されると、移管元ユーザーのボルトは削除されます。
アカウント移管機能により、管理者にはユーザーのボルトのコンテンツを別のユーザーに移管する権限が付与されますが、管理者がアクセスしたいときにいつでもユーザーのボルトにアクセスできる権限が付与されるわけではありません。移管元のボルトはまずロックされる必要があり、そのアカウントは移管後に削除されます。管理者によってアカウントがロックされた場合や移管されて削除された場合にはユーザーへ通知が送信されます。
まずアカウント移管機能を有効にしておき、ユーザーは管理者が移管を実行する前にボルトにログインしてアカウント移管を承諾しておく必要があります。
1. アカウントの移管権限を付与するロールの「管理権限」からアカウント移管設定を有効にします。
アカウント移管のボックスをチェックできない場合、そのユーザーはアカウント移管権限が有効になっているロールに属するアカウント (デフォルトのKeeper管理者など) にログインしている必要があります。
他のロールにアカウント移管権限を付与する前に、ロール (Keeper管理者ロールなど) でこの権限が有効になっている必要があります。
対象のロールの強制適用ポリシーの「アカウント移管」タブで、「アカウント移管を有効にする」をONにします。
3. 管理者ロールを選択します。このロールが移管を開始する権限を持つことになります (複数のロールが権限を持つことはできますが、実施時には1つのロールしか選択できません)。
ユーザーが自身のボルトにログインすると。以下のメッセージが表示されます。
ユーザータブからユーザーを選び、ポップアップの上部の [オプション] をクリックしてから [アカウントをロックする] を選択し、ユーザーのアカウントをロックします (管理者に付与されるのは、ロックしたユーザーからボルト内のレコードを移管する権利のみです)。
次に、[アカウント移管] を選択します。ユーザーのリストが表示されたウィンドウが開きます。移管先ユーザーを選択し、次に [移管] をクリックします。
移管元ユーザーのアカウント (ボルト) 内のレコード、フォルダ、サブフォルダは移管先ユーザーのボルトに1つのフォルダにまとめられて転送され (フォルダ名は移管元ユーザーのメールアドレス)、移管元ユーザーのアカウントは完全に削除されます。
アカウント移管機能に関して、詳しくは以下の動画をご覧ください。
アカウント移管に関する操作と自動化は KeeperコマンダーCLIでご利用になれます。下記の関連コマンドをご参照ください。
