Contents
はじめに
このガイドは、1Password Business の管理者が日常的に行う設定作業を体系的にまとめたものです。組織全体のパスワード管理基盤を安全かつ効率的に運用するために必要な手順とベストプラクティスを解説します。最新の公式ドキュメント(2024‑04 時点)に沿って記述しているため、将来的な UI 変更があった場合は公式情報をご確認ください。
管理者コンソールへのアクセスと組織のセットアップ
管理者コンソールはブラウザから直接利用でき、シングルサインオン(SSO)や通常認証でログインできます。ここでは、SSO の設定手順と新規・既存組織への参加方法を具体的に示します。
SSO(SAML)連携の手順
SSO を有効化すると、社内 ID プロバイダー(Azure AD、Okta など)と 1Password がシームレスに連携し、ユーザーは一度の認証でコンソールへ入れます。
- IdP 側の準備
- SAML メタデータ URL を取得し、IdP に登録する。
-
必要な属性マッピングとして
emailとname(フルネーム)を設定する。 -
1Password 側での設定
- 管理者コンソール左上メニュー → 「組織設定」→「SSO」へ移動。
-
「SAML 設定を追加」をクリックし、取得したメタデータ URL を貼り付けて保存する。
-
接続テスト
- 「テストログイン」ボタンで IdP のサインイン画面が表示されることを確認。問題なければ「有効化」して完了です。
※テスト時は必ず管理者権限のアカウントで実施し、エラーメッセージは公式ヘルプに照らし合わせて対処してください。
組織の新規作成と既存組織への参加
組織作成は管理者アカウントから数クリックで完了します。招待リンクを利用すれば、既存組織へもスムーズに参加できます。
- 新規組織作成
- コンソール右上の「+」アイコン → 「新しい組織を作成」。
-
組織名とプラン(Business)を入力し、利用開始日を設定して保存する。
-
既存組織への参加
- 招待メールに記載されたリンクをクリックすると、サインイン後自動的に組織ページへ遷移。
- 初回表示の「組織に参加」ボタンを押すだけで完了します。
これらの操作は通常 2〜3 分で終わりますが、SSO が有効化されている場合は認証フローに数秒余分にかかることがあります。
ユーザーとロールの管理
ユーザー追加や権限変更は、個別招待・CSV インポートのいずれでも対応可能です。ロールは「オーナー」「管理者」「メンバー」の 3 階層で管理されます。
ユーザー招待(単体・一括)
以下の手順で新規ユーザーを組織に追加できます。CSV インポート時はヘッダーとデータ形式に注意してください。
-
単体招待
「ユーザー」タブ →「新規招待」ボタンをクリックし、メールアドレスとロールを入力して送信するだけです。 -
CSV 一括インポート
CSV ファイルは次のヘッダーで作成します。
csv
email,firstName,lastName,role
alice@example.com,Alice,Smith,member
bob@example.com,Bob,Jones,admin
「インポート」ボタンからファイルをアップロードし、マッピングが正しいことを確認したら「インポート開始」を選択します。
インポート中にエラーが出た場合は、ログに記載された行番号と原因(例:メールアドレス形式不正)を確認し、修正後に再実行してください。
ロールの割り当て・変更・削除
ロールはユーザー一覧から直接操作できます。変更は即時反映され、重要な権限変更には二段階認証が求められます。
- 割り当て:対象ユーザー行のドロップダウンで「オーナー」「管理者」「メンバー」から選択。
- 変更:同様にドロップダウンを切り替えるだけで完了。画面上部に確認モーダルが表示され、二段階認証が必要です。
- 削除:対象行右端の「削除」アイコン → 確認ダイアログで「はい」を選択すると、Vault へのアクセス権が自動的に剥奪されます。
ロール変更は組織全体の権限設計に直結するため、変更前に影響範囲を必ずレビューしてください。
グループと Vault(金庫)の作成・権限設定
最小権限の原則(Least Privilege)を実装するために、部門やプロジェクト単位でグループを作り、必要な Vault にだけアクセスさせます。
グループの作成と権限レベル
グループは「閲覧」「編集」「管理」の 3 段階で権限を設定できます。以下に基本的な流れを示します。
-
グループ作成
「グループ」タブ →「新規グループ」ボタンをクリックし、名前(例:営業部)と説明を書いて「作成」する。 -
権限設定の概要
- 閲覧:Vault の内容は表示できてもパスワード取得不可。
- 編集:パスワードの追加・更新が可能。
-
管理:グループ自体と所属メンバーの管理権限を付与。
-
ベストプラクティス
部門ごとに「閲覧」レベルで共有し、機密情報は別途「編集」または「管理」グループへ限定して割り当てます。四半期ごとの権限レビューを実施すると、不要なアクセスが蓄積するリスクを防げます。
Vault の作成とメンバー割り当て
Vault はパスワードやシークレット情報の保管単位です。以下の手順で安全に設定できます。
-
Vault 作成
「Vault」タブ →「新規 Vault」ボタンをクリックし、名前(例:開発チームのシークレット)と説明を書いて作成します。 -
アクセス権の付与
Vault 詳細画面で「アクセス権」→「ユーザー/グループを追加」ボタンを選び、先ほど作成した開発チームグループや個別ユーザーを選択し、閲覧または編集レベルを指定します。 -
外部共有の取り扱い
デフォルトで「外部共有」は無効化されています。必要がない限り有効にせず、内部メンバーだけで完結させることが推奨されます。 -
監査ログの活用
Vault の詳細画面右上にある「監査」タブから閲覧・編集履歴をリアルタイムで確認でき、異常な操作は即座に検知できます。
権限設定ミスは情報漏洩リスクにつながります。変更後は必ず 1 回以上ログインしてアクセス権が期待通りかテストしてください。
パスワードポリシー・MFA・SCIM 連携
組織全体で統一したセキュリティ基準を適用することで、コンプライアンスとユーザーエクスペリエンスの両立が可能になります。以下に主要設定項目をまとめます。
パスワードポリシーの推奨設定
公式ドキュメントで推奨されている最低基準は次の通りです。
| 項目 | 推奨値(2024 年版) |
|---|---|
| 最小文字数 | 12 文字以上 |
| 複雑度 | 大文字・小文字・数字・記号を必ず含む |
| 再利用防止 | 過去 10 個のパスワードは使用不可 |
| 有効期限 | 180 日で自動変更要求 |
設定手順は「ポリシー」→「パスワード」タブから各項目を入力し、「保存」するだけです。ポリシーは即時に全ユーザーへ適用され、違反が検出された場合は次回ログイン時に変更が求められます。
MFA(多要素認証)の強制と推奨方式
組織全体で MFA を必須化することは、アカウント乗っ取りリスクを大幅に低減します。
-
MFA の有効化
「セキュリティ」タブ →「多要素認証 (MFA)」 → 「全員必須」にチェックし、保存します。 -
対応方式
- OTP アプリ(Google Authenticator、Microsoft Authenticator など) – 標準的で広くサポート。
-
生体認証(Touch ID / Face ID) – モバイルデバイスでの利便性が高い。
-
ユーザー通知
設定変更後、全員に自動メールが送信されます。次回サインイン時に MFA の設定画面が表示されるため、事前に手順を案内しておくとスムーズです。
SCIM プロビジョニングの導入手順
SCIM を利用すると、IdP 側でユーザー情報を管理するだけで 1Password に自動的に同期できます。主要 IdP(Azure AD、Okta、Google Workspace)への設定例を示します。
-
エンドポイント取得
コンソールの「SCIM」セクションで表示されるエンドポイント URL と Bearer Token をコピーする。 -
IdP 側設定
- Azure AD:Enterprise applications → Provisioning → 「SCIM endpoint URL」に貼り付け、トークンを入力。
-
Okta / Google Workspace でも同様に「プロビジョニング」項目でエンドポイントと認証情報を登録。
-
属性マッピング
必須属性はuserName (email)、name.givenName、name.familyName。
任意でdepartmentやtitleを追加すると、グループ自動割り当てが可能です。 -
同期テストと有効化
「Provisioning test」ボタンで 1 件のユーザーをプッシュし、正しく作成・所属が反映されることを確認。問題なければ「有効化」して自動同期(デフォルトは 15 分間隔)を開始します。
SCIM の同期エラーは IdP 側ログや 1Password コンソールの「プロビジョニング」タブで確認できます。エラーメッセージに応じて属性名の修正やトークン更新を行いましょう。
監査ログ・レポート・トラブルシューティング
運用上の問題は早期に検知し、適切に対処することが重要です。ここでは監査ログの確認方法とよくあるエラーへの対応策をまとめます。
監査ログの取得手順
- 左メニューから「監査」タブを開く。
- フィルターで期間、対象ユーザー、アクション種別(例:
User Invite,Vault Access)を設定する。 - 画面右上の「エクスポート」ボタンから CSV または JSON を選択しダウンロードできる。
取得したログは SIEM ツールや Excel に取り込み、異常検知ルール(例:短時間に多数の招待送信)を設定すると便利です。
代表的なエラーと対処フロー
| エラーメッセージ | 主な原因 | 推奨対策 |
|---|---|---|
| 招待メールが届かない | メールフィルタ、ドメインブロック | 迷惑メールフォルダ確認、@1password.com をホワイトリストに追加。コンソールから「再送信」実行 |
| 権限が反映されない | SCIM 同期遅延、ブラウザキャッシュ | IdP の同期ステータスを確認し手動で「同期実行」。キャッシュクリア後に再ログイン |
| Vault アクセスエラー | メンバー未割当、Vault が非公開設定 | Vault 詳細の「アクセス権」タブで対象ユーザー/グループが正しく追加されているか確認 |
上記以外にも、ログイン失敗や二段階認証エラーは公式サポートページのトラブルシューティングガイドを参照してください。
まとめ
- コンソールへのアクセスは SSO(SAML)で統一し、組織作成・参加は数クリックで完了できるようにします。
- ユーザー管理は単体招待と CSV インポートの両方を活用し、ロール変更は即時反映させつつ二段階認証で安全性を確保します。
- グループ・Vault の権限設計は最小権限原則に基づき「閲覧/編集/管理」の 3 階層で細かく設定し、定期的なレビューで過剰権限を排除します。
- パスワードポリシー・MFA・SCIMは組織全体のセキュリティ基準として一括管理し、変更時には必ずユーザーへ通知して設定完了を確認します。
- 監査ログとトラブルシューティングはエクスポート機能と明確な対処フローで運用負荷を低減し、インシデント発生時に迅速に対応できる体制を整えます。
本稿の手順どおりに設定すれば、1Password Business を活用した安全かつスケーラブルなパスワード管理基盤が構築できます。今後 UI が変更された場合は公式ドキュメントで最新情報をご確認ください。