> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devin.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# FedRAMP セキュリティ管理者ガイド

> 最上位の管理者アカウントを安全にセットアップ、設定、運用、廃止するための Devin Desktop FedRAMP セキュリティ管理者ガイドです。ロールの定義、アカウントのライフサイクル手順、管理者が制御するすべてのセキュリティ設定の参照表が含まれます。

<div id="fedramp-security-admin-guide">
  # FedRAMP セキュリティ管理者ガイド
</div>

このガイドでは、Devin Desktop における最上位の管理者アカウントを安全にセットアップ、構成、運用し、廃止する方法を説明します。管理者ロールの定義、アカウントのライフサイクル手順、さらに管理者が制御するすべてのセキュリティ設定について、それぞれの機能、セキュリティ上の影響、推奨値とあわせて取り上げます。

<Note>このガイドは、AWS GovCloud 上で稼働する Devin Desktop の FedRAMP デプロイメントを対象としています。FedRAMP デプロイメントでは、専用の Enterprise ポータルと SSO (シングルサインオン) ベースの認証 (OIDC または SAML 2.0) を使用します。SaaS 版の他の Devin Desktop ドキュメントで説明されている一部の機能は、FedRAMP 環境では利用できません。</Note>

***

<div id="administrative-role-definitions">
  ## 管理者ロールの定義
</div>

Devin Desktop では、管理権限を制御するために、ロールベースのアクセス制御 (RBAC) システムを利用しています。ロールは Admin Portal の Role Management 設定セクションで管理され、個々のユーザーに割り当てることができます。

<div id="built-in-roles">
  ### 組み込みロール
</div>

Devin Desktop には、削除できない組み込みロールが 2 つあります。

| ロール       | 説明                                                                                       | デフォルトの権限  |
| --------- | ---------------------------------------------------------------------------------------- | --------- |
| **Admin** | 組織の設定、ユーザー管理、分析、セキュリティ制御に対する完全な管理者アクセス権。このロールは、チーム内でユーザーに付与できる最も高い権限レベルです。               | すべての権限が有効 |
| **User**  | 管理者権限を持たない標準的なエンドユーザーアクセス。ユーザーは Devin Desktop のコーディング機能を利用できますが、組織の設定を閲覧または変更することはできません。 | 管理者権限なし   |

<div id="custom-roles">
  ### カスタムロール
</div>

管理者は、最小権限の原則を実現するためにカスタムロールを作成できます。カスタムロールは、以下のカテゴリから選択した細かな権限で構成されます。カスタムロールを作成するには、Admin Portal に移動し、Settings 配下の Role Management セクションを開きます。

<div id="permission-reference">
  ### 権限リファレンス
</div>

以下の表は、FedRAMPデプロイメントでロールに割り当て可能なすべての権限を一覧にしたものです。各権限は、特定の管理機能へのアクセスを制御します。

| Category            | Permission               | Description                       |
| ------------------- | ------------------------ | --------------------------------- |
| **Teams**           | Teams Read-Only          | Teams管理ページへの読み取り専用アクセス            |
| **Teams**           | Teams Update             | Teamsページでユーザーのロールを更新する権限          |
| **Teams**           | Teams Delete             | Teamsページからユーザーを削除する権限             |
| **Analytics**       | Analytics Read           | Analyticsページおよびダッシュボードへの読み取りアクセス  |
| **Attribution**     | Attribution Read         | Attributionページへの読み取りアクセス          |
| **License**         | License Read             | Licenseページへの読み取りアクセス              |
| **SSO**             | SSO Read                 | SSO設定ページへの読み取りアクセス                |
| **SSO**             | SSO Write                | SSOプロバイダーの設定を構成および変更する権限          |
| **Service Key**     | Service Key Read         | サービスキーページへの読み取りアクセス               |
| **Service Key**     | Service Key Create       | APIアクセス用の新しいサービスキーを作成する権限         |
| **Service Key**     | Service Key Update       | 既存のサービスキーを変更する権限                  |
| **Service Key**     | Service Key Delete       | サービスキーを失効して削除する権限                 |
| **Role Management** | Role Read                | 設定内のロールタブへの読み取りアクセス               |
| **Role Management** | Role Create              | 新しいロールを作成する権限                     |
| **Role Management** | Role Update              | 既存のロール定義を変更する権限                   |
| **Role Management** | Role Delete              | ロールを削除する権限                        |
| **External Chat**   | External Chat Management | 外部チャットモデルの設定を変更する権限               |
| **Indexing**        | Indexing Read            | Indexing設定ページへの読み取りアクセス           |
| **Indexing**        | Indexing Create          | 新しいインデックスを作成する権限                  |
| **Indexing**        | Indexing Update          | 既存のインデックス対象リポジトリを更新する権限           |
| **Indexing**        | Indexing Delete          | インデックスを削除する権限                     |
| **Indexing**        | Indexing Management      | インデックスデータベースの管理および不要データの削除を実行する権限 |
| **Fine-Tuning**     | Fine-Tuning Read         | Fine-Tuningページへの読み取りアクセス          |
| **Fine-Tuning**     | Fine-Tuning Create       | Fine-Tuningジョブを作成する権限             |
| **Fine-Tuning**     | Fine-Tuning Update       | Fine-Tuningジョブを更新する権限             |
| **Fine-Tuning**     | Fine-Tuning Delete       | Fine-Tuningジョブを削除する権限             |

<Note>これらの権限の一部 (Attribution、License、SSO、Indexing、Fine-Tuning など) はRBACシステム内には存在しますが、対応するポータルページはFedRAMPマルチテナントデプロイメントでは利用できません。これらの権限は網羅性を保つためにロール管理UIに含まれていますが、この環境でアクティブな機能へのアクセスは付与しません。</Note>

***

<div id="admin-account-lifecycle-procedures">
  ## 管理者アカウントのライフサイクル手順
</div>

このセクションでは、最上位の管理者アカウントについて、初期作成から廃止までのライフサイクル全体を説明します。

<div id="account-setup">
  ### アカウント設定
</div>

**SSO (シングルサインオン) ベースのオンボーディング**は、FedRAMP デプロイメントにおける主要なプロビジョニング方法です。プラットフォームは、シングルサインオン統合向けに OIDC と SAML 2.0 の両方をサポートしています。ユーザーは設定されたアイデンティティプロバイダーを通じて認証され、初回ログイン時にアカウントが作成された後、管理者が Admin Portal で適切なロールを割り当てます。FedRAMP 環境での SSO 統合には Devin Desktop FedRAMP チームとの調整が必要であり、セルフサービスで設定することはできない点に注意してください。

新しい管理者アカウントはすべて、最小権限の原則に従って設定する必要があります。ユーザーにシステム全体への完全なアクセスが必要な場合を除き、完全な Admin ロールを割り当てるのではなく、管理者の責務に必要な権限のみを含むカスタムロールを優先してください。

<div id="authentication-and-mfa-requirements">
  ### 認証と MFA の要件
</div>

FedRAMP デプロイメントでは、シングルサインオンのみを利用し、OIDC と SAML 2.0 の両方のプロトコルをサポートしています。メールアドレスとパスワードによる認証は利用できません。すべてのユーザーは、設定済みのアイデンティティプロバイダーを通じて認証する必要があります。

多要素認証 (MFA) は、組織のアイデンティティプロバイダーを通じて強制されます。Devin Desktop は、接続された IdP で設定された MFA ポリシーを継承します。つまり、第 2 要素の要求、フィッシング耐性のある認証器、条件付きアクセスポリシーなど、認証強度に関するすべての要件は IdP レベルで管理されます。組織は、Devin Desktop アプリケーションにアクセスするすべてのユーザー、特に管理ロールを持つアカウントに対して MFA を必須にするよう、IdP を設定する必要があります。

<Warning>Devin Desktop では、すべての管理アカウントに MFA を必須にすることを強く推奨しています。Devin Desktop アプリケーションへのアクセス条件として MFA を強制するよう、アイデンティティプロバイダーを設定してください。</Warning>

<div id="account-setup">
  ### アカウント設定
</div>

管理者アカウントを作成したら、以下の設定を完了してください。

**ロールの割り当て**では、アカウントに付与される管理権限の範囲を決定します。ロールを割り当てるには、Admin Portal で Manage Team タブを開き、対象のユーザーを見つけて Edit をクリックし、ドロップダウンから適切なロールを選択します。変更はすぐに反映されます。

**サービスキーの管理**は、管理者が自動化や分析のために API アクセスを必要とする場合に必要です。サービスキーは Settings で作成し、キーの用途に応じたスコープ付きの権限を設定します。各サービスキーには用途が分かる名前 (たとえば "Analytics Dashboard") を付け、必要最小限の権限を持つロールを割り当ててください。

<div id="account-operation">
  ### アカウント運用
</div>

管理者アカウントの継続的な運用プラクティスには、次のものがあります。

**定期的なアクセスレビュー**を実施し、管理者アカウントに現在のアクセスレベルが引き続き必要かどうかを確認してください。Admin ロールを持つユーザーの一覧を Manage Team タブから定期的に確認し、担当範囲の変更に応じてロールを調整します。

**アクティビティの監視**は、組み込みの analytics ダッシュボードで行えます。Analytics Read permission を持つ管理者は、ユーザーアクティビティ、エンゲージメントメトリクス、機能の使用量を追跡できます。Analytics API では、このデータにプログラムからアクセスでき、外部の監視システムとの統合が可能です。

**サービスキーのローテーション**は、定期的なスケジュールで実施してください。キーをローテーションするには、同じ権限 を持つ新しいサービスキーを作成し、その新しいキーを使用するよう利用先のシステムを更新してから、古いキーを削除します。

<div id="account-decommissioning">
  ### アカウントの廃止
</div>

管理者が不要になった場合は、以下の手順に従って速やかにアカウントを廃止してください。

<Steps>
  <Step title="管理者ロールを取り消す">
    Admin Portal に移動し、Manage Team タブを開いて対象のユーザーを見つけ、Edit をクリックして、ロールを Admin から User (または管理権限のないカスタムロール) に変更します。
  </Step>

  <Step title="サービスキーを取り消す">
    退任する管理者が作成した、またはその管理者だけが使用していたサービスキーを削除します。Settings に移動し、次に Service Key を開いて、該当するキーを削除します。
  </Step>

  <Step title="アカウントを削除または無効化する">
    Manage Team タブでユーザー名の横にある Delete をクリックして、ユーザーを削除します。これにより、そのユーザーの Devin Desktop アカウントは無効化され、ライセンスのシートが解放されます。
  </Step>

  <Step title="残存アクセスを確認する">
    Manage Team のユーザー一覧を Admin ロールで絞り込み、廃止したアカウントが管理者ロールに表示されなくなっていることを確認します。あわせて、そのアカウントに関連付けられたすべてのサービスキーが削除されていることを確認します。
  </Step>
</Steps>

<Warning>管理者がロールを変更した場合や組織を離れた場合は、管理者アカウントを直ちに廃止してください。廃止が遅れると、不必要なセキュリティリスクが生じます。</Warning>

***

<div id="security-settings-reference">
  ## セキュリティ設定リファレンス
</div>

以下の表は、FedRAMP デプロイメントの Admin Portal で管理者が制御できるすべてのセキュリティ設定をまとめたものです。各項目では、設定の機能、セキュリティ上の影響、およびセキュリティを重視するデプロイメントで推奨される構成を説明しています。

| Setting                   | Function                                                                                                                                                               | Security impact                                                                                          | Recommended value                                                                               |
| ------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------- |
| **ロールベースのアクセス制御 (RBAC) ** | 割り当てられたロールと権限に基づいて、各ユーザーが実行できる管理操作を制御します。Settings の Role Management セクションで管理します。                                                                                       | 各ユーザーに必要な権限のみに絞ることで、アカウント侵害時の被害範囲を限定します。ロールの割り当てが広すぎると、単一アカウントの侵害による影響が大きくなる可能性があります。                    | **最小権限の原則に基づいて構成してください。** 各管理者に必要な権限だけを持つカスタムロールを作成します。組み込みの Admin ロールは、少数の管理者に限定してください。        |
| **サービスキーの権限**             | API アクセストークンのスコープを特定の権限セットに限定し、自動化システムが実行できる操作を制御します。Settings の Service Key セクションで管理します。                                                                               | 過剰な権限を持つサービスキーは、漏えいした場合に悪用され、ユーザー管理、アナリティクス、その他の機能への不正アクセスを許す可能性があります。                                   | **必要最小限の権限にスコープを限定してください。** 各統合ごとに、その統合に必要な権限のみを持つ専用のサービスキーを作成します。キーは定期的にローテーションしてください。         |
| **SSO プロバイダーの構成**         | すべてのユーザー認証に使用する アイデンティティプロバイダー を構成し、OIDC と SAML 2.0 の両方のプロトコルをサポートします。メール/パスワード認証は利用できません。SSO のセットアップには、Devin Desktop FedRAMP チームとの連携が必要です。Settings の SSO セクションで管理します。 | 組織の IdP を通じて認証を一元化し、MFA、条件付きアクセス、セッションポリシーの適用を可能にします。構成を誤ると、すべてのユーザーがログインできなくなったり、不正アクセスを許したりするおそれがあります。 | **組織で承認された IdP (OIDC または SAML 2.0) を使用して構成してください。** 広く展開する前に、管理者以外のアカウントでログインをテストし、構成を検証してください。 |

*最終更新日: 2026年1月28日*
