オンボーディングと後継者計画の概要
チップ
Read the full paper below or download the PDF.
新しい従業員を迅速に稼働させることが生産性を向上させます。同様に、適切に別れを告げることは、ビジネスのシステムとアカウントのセキュリティに対する信頼を高めます。あなたのビジネスが統合と集中化に傾いているか、柔軟でダイナミックな環境を好むかに関わらず、Bitwardenはあなたのニーズに適しています。
このガイドでは、組織のメンバー向けのBitwardenのオンボーディングと後継者計画について説明します。まず、メンバーと組織との関係についての私たちのアプローチから始め、次にオンボーディングと後継者計画の最も簡単なユースケースをカバーし、最後にあなたのニーズに合わせてBitwardenを調整するためのレバーとオプションに移ります。
Bitwardenのビジョンは、誰もがハッキングされない世界を想像することです。私たちは、個人や企業が自分たちの機密情報を簡単かつ安全に管理するのを助けるという使命を前進させています。Bitwardenは次のように考えています:
個人の基本的なパスワード管理は無料にすることができ、またそうすべきです。私たちはまさにそれを提供しています、個人向けの基本的な無料アカウントを。
個々の人々とファミリーは、TOTP、緊急アクセス、およびその他のサポートセキュリティ機能を使用して、自分たちのセキュリティに積極的な役割を果たすべきです。
組織は、組織のパスワード管理と安全な共有を通じて、大幅にセキュリティプロファイルを改善することができます。
チップ
For Bitwarden, different plans and options are connected and complementary, all originating in our vision of a hack-free world. Empowering everyone at work and at home with password management gets us one step closer to that goal.
Bitwardenの重要な側面は、多くの��ソフトウェアアプリケーションとは異なり、すべての保管庫の中のすべてがエンドツーエンドで暗号化されていることです。このセキュリティモデルを維持するために、Bitwardenを使用するすべての人は、ユニークなマスターパスワードを持つユニークなアカウントを持つ必要があります。マスターパスワードは強力であり、記憶に残るものであるべきです。
各ユーザーは自分のマスターパスワードを管理しています。Bitwardenはゼロ知識暗号化ソリューションであり、つまり、BitwardenのチームもBitwardenのシステム自体も、マスターパスワードの知識がなく、取得する方法もリセットする方法もありません。
セキュリティはどこでもセキュリティを意味するので、最高のパスワードマネージャーはあなたのすべてのデバイスでアクセスを提供します。Bitwardenは、さまざまなクライアントアプリケーションをサポートしており、それらはいずれも私たちのクラウドホスト型サーバーまたはあなた自身の自己ホスト型サーバーに接続することができます:
Bitwardenアカウントを作成する人は誰でも、自分だけの個別の保管庫を持つことになります。どのクライントアプリケーションからでもアクセス可能な個々の保管庫は、各ユーザーに固有のもので、そのユーザーだけがメールアドレスとマスターパスワードの組み合わせを使用してアクセスするためのキーを保持しています。個人のアカウント、そしてそこに保管されている個々に所有された保管庫のアイテムは、アカウントの所有者の責任です。組織の所有者、管理者、およびマネージャーは、設計上他のユーザーの個人のボールトを表示できないため、誰かの個人のボールト データが自分のものであることが保証されます。
ファミリー、チーム、エンタープライズ組織は、メンバーに自動的にプレミアム機能を個々に提供します。これには、緊急アクセスや暗号化された添付ファイルのストレージなどが含まれ、メンバーはこれらを使用するかどうかを選択できます。個々の保管庫のデータはユーザーに属します。個々の保管庫は共有を可能にしません、組織は可能にし�ます。
チップ
Why provide individual vaults by default?
Individual vaults are an instrumental component of the Bitwarden approach. Employees use a range of credentials every day, personally and professionally, and habits formed in one area typically become habits in the other. In our view, employees that use proper security practices in their personal lives will carry over that good behavior to their professional lives, protecting your business in the process.
Using the same tool in both areas helps that habit form faster and easier. Enterprise organizations have the option to configure policies, including to disable individual vaults.
Bitwarden 組織は、チームや企業のパスワード管理にコラボレーションと共有のレイヤーを追加し、オフィスの Wi-Fi パスワード、オンライン資格情報、会社の共有クレジット カードなどの共通情報を安全に共有できるようにします。組織を通じた安全な共有は安全で簡単です。
誰でもウェブアプリから直接組电を始めることができます:
作成されると、あなたは管理者コンソールに移動します。これは、共有と組織管理のすべての事柄の中心的なハブです。組織を立ち上げる人が所有者となり、保管庫の監督、アイテム、メンバー、コレクション、グループの管理、レポートの実行、ポリシーのような設定の設定など、全てを完全に制御することができます。
Bitwarden組織は、スケーラブルで安全な方法でメンバーとデータを管理します。大規模なビジネスでは、メンバーやデータを個々に管理することは非効率的で、エラーの余地を残すことがあります。これを解決するために、組織はコレクションとグループを提供します。
コレクションは、ログイン、メモ、カード、およびIDを集め、安全な共有のために組織内で使用します。
あなたの組甔が設立され、データを保存するためのコレクションが設定されたら、所有者と管理者は新しいメンバーを招待するべきです。あなたの組甹のセキュリティを確保するために、Bitwardenは新しいメンバーをオンボーディングするための3ステッププロセスを適用します、招待 → 受け入れる → 確認する。
メンバーは、ウェブ保管庫から直接、Directory Connectorアプリケーションを使用して個々のユーザーとグループを同期、またはSSOでのログインを使用したJust in Time(JIT)プロビジョニングを通じてオンボーディングできます。
メンバーを追加する
最も簡単なケースでは、ユーザーはウェブアプリから直接あなたの組織に追加することができます。ユーザーを追加するとき、どのコレクションにアクセス権を付与するか、どの役割を与えるかなどを指定できます。
あなたの組織にユーザーを追加する方法をステップバイステップで学びましょう。
ユーザーがあなたの組織に完全にオンボーディングされると、コレクションに割り当てることで、組織の保管庫データへのアクセスを割り当てることができます。チームとエンタープライズ組織は、スケーラブルな権限割り当てのためにユーザーをグル�ープに割り当て、個々のレベルでのアクセス割り当ての代わりにグループ-コレクションの関連付けを構築することができます。
チップ
For large organizations, SCIM and Directory Connector are the best ways to onboard and offboard users at scale.
グループ
グループは個々のユーザーを関連付け、コレクションへのアクセスや他のアクセス制御を含む権限を割り当てるスケーラブルな方法を提供します。新規ユーザーをオンボーディングする際には、彼らをグループに追加して、そのグループの設定された権限を自動的に継承させます。
包括的な役割ベースのアクセス制御
Bitwardenは、スケールでの共有に対してエンタープライズフレンドリーなアプローチを取ります。メンバーは、さまざまな役割の数値で組織に追加することができ、異なるグループに所属し、それらのグループをさまざまなコレクションに割り当ててアクセスを制御することができます。利用可能な役割の中には、管理権限の詳細な設定のためのカスタム役割があります。
Bitwardenでは、資格情報の共有を効率的かつ安全に仕事を進めるための重要な側面と捉えています。また、資格情報が共有されると、受け取った人がそれを保持することが技術的に可能であることも認識しています。そのため、適切な役割ベースのアクセス制御を使用した安全なオンボーディングとポリシーの実施は、安全な後継を促進する重要な役割を果たします。
Bitwardenは、ワークフローのカスタマイズや継承に対するコントロールを強化するためのさまざまなツールを提供しています。次のセクションでは、これらのツールを一切使用しない基本的な後継者ワークフローと、組織が頻繁に使用する高度な後継者戦略について説明します。
Bitwardenからユーザーを削除するということは、あなたの組織からユーザーを削除することを意味し、オンボーディングと同様に、直接ウェブ保管庫から行うことも、SCIMやディレクトリコネクタを使用して自動的に行うこともできます。
Aliceはあなたの組甔のユーザーで、Bitwardenクラウドでホストされ、会社のメールアドレス(例:first-last@company.com)を使用しています。現在、アリスがBitwardenを使う方法は次の通りです:
製品エリア | 説明 |
|---|---|
クライアントアプリケーション | 個人的にも専門的にもモバイルとブラウザの拡張機能でBitwardenを使用し、組織関連の仕事にはたまにウェブ保管庫を使用します。 |
メールアドレス & マスターパスワード |
|
個人的なアイテム | 彼女の個人的な保管庫には、ログインやクレジットカードなど、さまざまな個人的なアイテムを保管しています。 |
2段階認証 | 組織全体でDuo 二要素認証を使用します。 |
コレクション | アリスは「マーケティング資格」コレクションの管理権限を持っており、そのコレクションの多くの側面を管理する能力を授与されています。 |
共有アイテム | 彼女のチームのコレクションに所在し、組甹に所有されているいくつかの保管庫アイテムを作成し、共有しました。 |
アリスがあなたの組織から削除されると:
製品エリア | 説明 |
|---|---|
クライアントアプリケーション | 彼女は個々の保管庫にアクセスするために任意のBitwardenアプリケーションを引き続き使用できますが、すぐにすべての組織の保管庫、すべてのコレクション、および共有されたすべてのアイテムへのアクセスを失います。 |
メールアドレス & マスターパスワード |
|
個々のアイテム | 彼女はまだ個人の保管庫を使用し、そこに保管されているアイテムにアクセスすることができます。 |
組織内の権限 | 直ちに組織に関連する全てのものに対する全ての権限とアクセスを失います。 |
2段階認証 | 彼女は組織のDuo二要素認証を使用して保管庫にアクセスすることはできませんが、私たちの無料の二段階�ログインオプションの1つを設定するか、より多くのためにプレミアムにアップグレードすることができます。 |
作成したコレクション | アリスの「マーケティングチーム」コレクションは、組織の所有者と管理者が保持し、新しいユーザーに管理権限を割り当てることができます。 |
共有アイテム | コレクションと共有アイテムの所有権は組甹に属しています、したがって、それらを作成したにもかかわらず、アリスはこれらすべてのアイテムへのアクセスを失います。 |
チップ
Offline devices cache a read-only copy of vault data, including organizational vault data. If you anticipate malicious exploitation of this, credentials the member had access to should be updated when you remove them from the organization.
注意
For those accounts that do not have master passwords as a result of SSO with trusted devices, removing them from your organization or revoking their access will cut off all access to their Bitwarden account unless:
You assign them a master password using account recovery beforehand.
The user logs in at least once post-account recovery in order to fully complete the account recovery workflow.
管理権の移譲
マスターパスワードリセットポリシーを使用して、組織の所有者と管理者は、後継時にユーザーのマスターパスワードをリセットすることができます。
ユーザーのマスターパスワードをリセットすると、ユーザーはすべてのアクティブなBitwardenセッションからログアウトされ、ログイン認証情報が管理者によって指定されたものにリセットされます。つまり、その管理者(そしてその管理者だけ)がユーザーの保管庫データ、個々の保管庫内のアイテムを含む、鍵を持つことになります。この保管庫の乗っ取り戦術は、従業員が職場関連の個々の保管庫アイテムへのアクセスを保持しないように、組織が一般的に使用します。これは、従業員が使用していた可能性のあるすべての資格情報の監査を容易にするために使用することができます。
備考
Admin password reset does not bypass two-step login. In many cases, we recommend using SSO as some IdPs will allow you to configure 2FA and 2FA bypass policies for your users.
個々の保管庫を取り除く
あなたの組甹が保管庫の全てのアイテムをリアルタイムで制御することを必要とする場合、個々の保管庫ポリシーを削除するを使用して、ユーザーに組織にすべての保管庫アイテムを保存することを要求することができます。これは、後継時にユーザーのアカウントを引き継ぎ、監査する必要を回避します。なぜなら、組織から削除された後、アカウントはデータが完全に空になるからです。
ログインなしでアカウントを削除
前述の通り、ユーザーをあなたの組織から削除しても、そのユーザーのBitwardenアカウントは自動的に削除されません。基本的な後継ワークフローでは、ユーザーが削除されると、組織や共有されたアイテムとコレクションにはアクセスできなくなりますが、既存のマスターパスワードを使用してBitwardenにログインし、個々の保管庫アイテムには引き続きアクセスできます。
組織がアカウントを完全に削除し、すべての個々の保管庫アイテムを含む場合、後継時に以下の方法のいずれかを使用して可能かもしれません:
自己ホスト型のBitwardenを使用している場合、認証済みの管理者はシステム管理者ポータルからアカウントを削除できます。
あなたの会社が管理する@yourcompany.comのメールアドレスを持つアカウントの場合、ログインせずに削除のワークフローを使用して、@yourcompany.com�の受信トレイ内で削除を確認できます。
Bitwardenでは、パスワード管理は人々の管理であるとよく言います、そして私たちはあなたの組織に適したワークフローを適応させることができます。私たちのオープンソースのアプローチを通じて提供する幅広い選択肢により、お客様は自身の個々のニーズを満たすことができると確信していただけます。
Enterprise または Teams の無料トライアルを今すぐ始めましょう。
大規模なユーザーベースを持つエンタープライズ組織で、サポートされているID(現在はAzure AD、Okta、OneLogin、JumpCloud)を使用して運用している場合、SCIMインテグレーションを使用して、Bitwarden組織内のメンバーやグループを自動的にプロビジョニングすることができます。もっと学ぶ
大規模なユーザーベースを持つ会社がディレクトリサービス(LDAP、AD、Oktaなど)を使用して運営している場合、Directory ConnectorはディレクトリからユーザーとグループをBitwarden組織に同期することができます。ディレクトリコネクタは、あなたのディレクトリとBitwardenにアクセスできるどこでも実行できるスタンドアロンのアプリケーションです。
多くのBitwardenチームとエンタープライズ組織は、オンボーディングの努力をディレクトリコネクタに集中し、組織の保管庫管理エリアを使用してグループ-コレクションの関係を管理します。
ディレクトリコネクタは次のことを行います:
LDAPベースのディレクトリグループをBitwardenグループと同期します
各グループ内のユーザーを同期させる
新しいユーザーを組織に招待します。
組織から削除されたユーザーを削除します
Bitwardenエンタープライズ組織は、SAML 2.0またはOIDCを使用して既存のIDプロバイダー(IdP)と統合することができ、組織のメンバーがSSOを使用してBitwardenにログインすることを許可します。SSOでログインすると、ユーザーの認証と保管庫の復号化が分離されます。
選択したIdPを通じて認証が完了し、そのIdPに接続された二要素認証プロセスが保持されます。ボールト データの復号化には、ユーザーの個別のキーが必要です。このキーの一部はマスター パスワードから派生します。2つの復号化オプションがあり、どちらもユーザーが通常のSSO資格情報を使用して認証します。
マスター パスワード: 認証されると、組織メンバーはマスター パスワードを使用してボールト データを復号化します。
顧客管理の暗号化:SSOを使用してログインし、自己ホスト型の復号化キーサーバーに接続します。このオプションを使用すると、組織のメンバーは保管庫のデータを復号化するためにマスターパスワードを使用する必要がありません。代わりに、キーコネクターは、あなたが所有し管理しているデータベースに安全に保存された復号化キーを取得します。
既存のIDプロバイダーを活用してください。
あなたのデータのエンドツーエンド暗号化を保護して��ください。
ユーザーを自動的に提供します。
SSOを使用するかしないかでアクセスを設定します。
あなたの会社のセキュリティニーズに従って、保管庫のデータを復号化してください。
エンタープライズ組織は、あらゆるビジネスのための安全な基盤を築くために、さまざまなポリシーを実装することができます。ポリシーには以下のものが含まれます:
二段階ログインを必要とします:ユーザーに個人アカウントで二段階ログインを設定するように要求します。
マスターパスワードの要件: マスターパスワードの強度の最小要件を設定します。
パスワード ジェネレーター:パスワード ジェネレーター構成の最小要件を設定します。
単一組織: ユーザーが他の組織に参加することを制限します。
個別の Vault を削除する:個人所有権オプションを削除して、ユーザーに Vault アイテムを組織に保存するよう要求します。
チップ
The Remove individual vault policy, for example, fits into earlier discussion regarding the interplay between individual vaults and organization vaults. Some companies may desire the assurance of have all credentials retained in the organization vault. A possible implementation could involve allowing each individual user to have their own collection, which unlike individual vaults could be overseen by organization owners and admins.
Bitwardenの組織には、ウェブ保管庫から直接イベントログを表示したり、Splunkのようなセキュリティ情報およびイベント管理(SIEM)システム内で分析するためにエクスポートすることができます。イベントログには以下の情報が含まれます:
ユーザー-アイテムの相互作用
保管庫のアイテムに対する変更
オンボーディングイベント
組織の設定変更
はるかに、はるかに多く
チップ
In addition to these benefits, customers appreciate the ability to tightly integrate Bitwarden into their existing systems. Bitwarden offers a robust public API and a fully-featured command line interface (CLI) for further integration into existing organization workflows.
Bitwardenがどこでもパスワード管理を提供するというアプローチに従い、Bitwardenは自己ホスト型のオプションを提供して、エンタープライズのさらに広範な使用事例に対応します。企業が自己ホスト型を選択する理由は多々あります。具体的には、オンボーディング、後継、および強化された機能に関して、企業がそれを選択するいくつかの理由は次のとおりです:
ユーザーアカウントの即時削除: サーバーを制御しているため、ユーザーは完全に削除することができます(彼らの個々の保管庫を含む)。
ネットワークアクセス制御:組織の所有者は、従業員がBitwardenサーバーにアクセスするために使用しなければならないネットワークアクセスを決定することができます。
高度なプロキシ設定: 管理者は、特定のタイプのデバイスがBitwardenサーバーにアクセスするのを有効にするか無効にするかを選択できます。
既存のデータベースクラスタを使用する:既存のMicrosoft SQL Serverデータベースに接続します。将来、追加のデータベースがサポートされる予定です。
添付ファイルとBitwarden Sendのストレージを増やす: BitwardenのアイテムやBitwarden Sendのための添付ファイルは、ユーザーが提供するストレージに保管されます。
ディレクトリコネクタ、SSOでのログイン、エンタープライズポリシー、そしてあなたの保管庫は、個々にまたは調和して、あなたのオンボーディング、後継、および組織管理の経験を最適化するためにうまく機能します。次の表は、これらのピースを一つのスムーズなプロセスにまとめる方法を詳しく説明しています:
ステップ | 説明 |
|---|---|
同期する | 既存のディレクトリサービスからBitwardenへグループとユーザーを同期するために、Directory Connectorを使用してください。 |
招待 | ディレクトリコネクタは、同期されたユーザーに自動的に招待を発行します。 |
認証する | あなたのログインをSSO実装とペアリングし、ユーザーが招待を受け入れるときにSSOでサインアップすることを要求するSSOポリシーと一緒に使用してください。 |
管理する | ウェブ保管庫を使用して、一部のユーザーを異なる役割に昇格させ、グループ-コレクションの関係が正しく設定されていることを確認し、適切なアクセスを適切なユーザーに付与します。 |
再同期する | 定期的にDirectory Connectorを再実行して、ディレクトリサービスでアクティブでなくなったユーザーをBitwardenから削除し、新規採用者のオンボーディングを開始します。 |
Q: 従業員がすでにBitwardenアカウントを持っている場合、それを組織に紐付けて、別のBitwardenアカウントを必要としないようにすることは可能ですか?
A: はい!あなたはできます。一部のお客様は、ユーザーを組織に追加する前に、そのユーザーが会社のメールアドレスにBitwarden保管庫を関連付けておくことを推奨しています。この選択は会社特有のもので、どちらのアプローチも機能します。
Q: 従業員が退職した場合、彼らが会社の資格情報にアクセスできなくなるように、また彼らが個々に所有する資格情報を失わないように、彼らのアカウントを組織から切り離すことはできますか?
A: はい!それがまさにデプロビジョニングが含むものです。
Q: 私たちは、社員が会社の組織から自分の個人の保管庫に資格情報を複製するのを防ぐことができますか?
A:はい!私たちの役割ベースのアクセス制御の包括的なスイートを使用すると、資格情報を読み取り専用にして複製を防ぐことができます。