デプロイメント (展開)
Keeperエージェントのエンドポイントへの展開
概要
エンドポイント特権マネージャーのデプロイは非常に簡単です。管理者は、エンドポイントのコレクションに関連付けられたカスタムデプロイパッケージを作成し、Keeperエージェントをそれらのエンドポイントに配布します。エージェントが起動すると、Keeperテナントに自動的に登録され、実行ファイルやローカルユーザーアカウントなど、エンドポイントに関する基本情報の収集を開始します。デフォルトでは、Keeperエージェントは「監視」モードで動作し、実際の操作は行われません。
要件
macOS: Sequoia、Sonoma、Tahoe
Linux: RedHat 9.4以上、Ubuntu 20.04以上、Amazon Linux 2、Rocky Linux 9以上、Debian 11・12、SUSE 15sp2以上、AlmaLinux 9.4以上
Windows: Windows 11、Windows Server 2022および2025 (Intel x64のみ)
暗号化
KeeperエージェントとKeeper管理コンソール間のすべての通信は、エンドツーエンドの暗号化とゼロ知識アーキテクチャを使用しており、Keeperのサーバーや従業員によってエンドポイントに関する情報を復号化することはできません。管理コンソールにログインしたKeeper管理者のみがエンドポイントコレクションと関連メタデータを復号化できます。
デプロイメントパッケージ
[エンドポイント特権マネージャー] > [展開] 画面から[新しい展開パッケージ]を選択します。Keeperエージェントは、Windows、macOS、Linuxエンドポイントに配信できます。実行ファイルは、エージェントをインストールするためにローカル管理者権限を必要とします。リモート管理ソリューションやグループポリシーを通じた自動導入には、コマンドライン文字列を使用してインストーラーをサイレントモードで配信します。
デプロイメントコレクション
デプロイメントパッケージを作成する際に、割り当てられたコレクション名は、特権マネージャー内でポリシーを適用する際に参照されます。コレクション名は、通常、共通のプラットフォームや用途を共有するユーザーのグループを指します。
エージェントのデプロイ
管理コンソールのUIからインストーラーのZIPファイルをコピーし、ローカルマシンにダウンロードします。ZIPファイルを解凍し、各プラットフォーム用のパッケージを展開します。インストーラーコマンドで使用するデプロイトークンをコピーします。有効なデプロイトークンがないと、Keeperエージェントをテナントに登録できません。
本番システムに直接インストールする前に、必ずサンドボックスまたは非本番テスト環境でKeeperエージェントを検証してください。
以下では、Keeperエージェントのインストールおよび構成方法について記載しています。
Windows へのインストール
Windowsでのトラブルシューティング
エンドポイント特権マネージャーのサービスを再起動するには、マシンを再起動するのが最も簡単な方法です。また、サービス管理ツールから手動で再起動することもできます。
ログファイルは以下の場所にあります。
Windowsでのアンインストール
Windowsエージェントをアンインストールするには、以下を実行します。
すでにインストール済みのエージェントを手動で登録する場合は、以下のコマンドを実行します。
すでにインストール済みのエージェントを手動で登録するには、以下のコマンドを実行します。
Linuxへのインストール
(任意) GNOMEエージェントUIのインストール
GNOMEを使用しているLinuxシステムのユーザー向けに、Keeperのユーザーインターフェースを拡張機能として利用できます。
エンドポイントにGNOME Shellがインストールされていることを確認してください。
システムメニューから GNOME拡張機能アプリ (gnome-extensions-app) または拡張機能マネージャーを開き、すべてのオプションを「オン」に切り替えます。
すると、Keeper EPMのアイコンがシステムトレイまたは上部バーに表示され、エージェントのステータスや操作にアクセスできるようになります。
Linuxでも、WindowsやmacOSデバイスと同様にフル機能のUIを利用できます。
Linuxでのsudo使用
インストール後、Keeperはデバイス上のPAMモジュールを変更し、sudo コマンドをラップするように設定します。これにより、すべての sudo コマンドの実行は keepersudo に委譲されます。
設定および使用方法の詳細については、「コマンドラインポリシー」のページをご参照ください。
アップデート
既に登録済みのエージェントを更新するには、以下を実行します。
実行中のバージョンを確認するには、以下を使用します。
Linuxでのトラブルシューティング
エラーログは、使用しているLinuxディストリビューションによって次のいずれかに保存されます。
/var/log/syslog/var/log/messages
サービスを再起動するには、以下を実行します。
Linuxでのアンインストール
Keeperエージェントのアンインストール方法は、使用しているプラットフォームおよびインストール方法によって異なります。
Ubuntu / Debian系ディストリビューション
すべての設定ファイルも削除する場合
RPM系ディストリビューション
RHEL / Rocky / Alma / CentOS / Oracle Linux
または
すでにインストール済みのエージェントを手動で登録する場合は、以下のコマンドを実行します。
macOSへのインストール
既にインストール済みのエージェントを手動で登録する場合は、以下のコマンドを実行します。
サービスの再起動
macOSでサービスの再起動が必要な場合は、以下のコマンドを使用します。
macOSでのアンインストール
KeeperエージェントをmacOSからアンインストールするには、次のスクリプトを実行します。
備考
Keeperエージェントは、新しいログインセッション時に自動的に起動します。そのため、ログアウトおよび再ログインが必要になる場合があります。
sudoポリシー制御の詳細は、「コマンドラインポリシー」ページに記載されています。パッケージ (.pkg) およびディスクイメージ (.dmg) のインストールを行う際は、KeeperエージェントのUIから明示的にリクエストを開く必要があります。
インベントリデータの検出
エージェントがエンドポイントにインストールされ展開されると、エンドポイント上で以下の3種類の検出が実行されます。
基本インベントリ: オペレーティングシステム、バージョン、種類
アカウントインベントリ: ローカルユーザーおよびグループ
ファイルインベントリ: システム上のすべての実行ファイル
Keeper管理コンソールは、検出されたインベントリを暗号化されたテレメトリデータとして受信します。これには、以下のようなエンドポイント情報が含まれます。
コンピュータ名およびタイプ
OS情報 (Windows、macOS、Linux) およびバージョン
ローカルユーザーアカウント情報
ローカルグループアカウント情報
インストールされたアプリケーション
[展開] 画面では、コレクションごとに整理されたエンドポイントの統計情報が表示されます。
コレクションはダッシュボードから有効または無効にできます。コレクションが無効化されると、ポリシーエンジンはそのデバイスに適用されなくなります。
個々のエンドポイントも無効化でき、エージェントによるポリシー適用を防ぐことができます。
コマンダーを使用した自動化処理
Keeperコマンダーは、コマンドラインインターフェイス、サービスモードREST API、Python SDKを通じてデプロイの自動化をサポートしています。エンドポイント特権マネージャーのコマンドについて、詳しくはこちらのページをご覧ください。
エージェント管理
pedm agent コマンドで、エンドポイントで実行されている個々のエージェントを管理します。
デプロイメント
pedm deployment コマンドで、エージェントのデプロイメントの管理します。
コレクション
pedm collection コマンドで、コレクションを管理します。
レポート
pedm report コマンドで、イベントログおよびイベントレポートを実行します。
次の手順
エージェントを展開すると、インベントリ検出が自動で開始され、コレクションが生成されます。
最終更新