# 概要

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FLe3QiCaPotj8xMql4zhU%2Fimage.png?alt=media&#x26;token=343933ca-f996-469f-b87f-63c228c85261" alt=""><figcaption></figcaption></figure>

## エンドポイント特権マネージャー

### はじめに

Keeperエンドポイント特権マネージャーは、IT環境全体で安全なジャストインタイム特権アクセスを提供する高度な特権昇格および委任管理 (PEDM) ソリューションです。

このセクションでは、エンドポイント特権マネージャーのセットアップ、導入、管理方法について取り扱います。

エンドポイント特権マネージャーを導入することで、最小特権ポリシーを強化し、恒常的な管理者権限を排除し、プロセスおよびマシンレベルでジャストインタイムアクセスを提供できます。これにより、データ侵害やサイバー攻撃から守ります。

{% hint style="info" %}
エンドポイント特権マネージャーについて詳しくはカスタマーサクセスチームまでお問い合わせください。
{% endhint %}

***

### ソリューション概要

以下のような特権管理を通じてエンドポイントを保護するための強力な機能を備えています。

* Windows、Linux、macOSのエンドポイントに対応した**エージェントベースの展開**
* すべてのデスクトップおよびサーバーに対する**最小特権管理**
* すべての展開環境での**恒常的なローカル管理者権限の排除**
* 詳細なアクセス制御のための**プロセスレベルの特権管理**
* プロセスおよびマシンレベルでの**ジャストインタイム (JIT) アクセス**
* 承認およびエスカレーションワークフロー付きの**昇格リクエスト**
* 組織のリスク許容度に基づく**柔軟なポリシー管理**
* SPIFFEおよびMQTTプロトコルを活用した**標準ベースのアーキテクチャ**

### ゼロスタンディング特権 (ZSP)

エンドポイント特権マネージャーの「最小特権」ポリシーにより、すべての管理対象デバイス（Windows、macOS、Linux）でユーザーはローカル管理者権限を削除されます。Windowsデバイスでは、ユーザーはローカル管理者グループから削除され、macOSおよびLinuxではsudoから削除されます。特権コマンドは、エンドポイント特権マネージャーで管理される一時的なアカウントを使って実行され、一時的なロールが割り当てられます。

### ダッシュボード

デフォルトのダッシュボードには、監視モードのイベントを含むすべての最新イベントが表示されます。ダッシュボードから、特権マネージャーの主要な機能にアクセスします。

* **リクエスト**: 管理者の対応が必要なすべての昇格イベントを処理
* **デプロイメント**: Keeperエージェントをすべてのエンドポイントに配信
* **コレクション**: ポリシー適用のためのマシンおよびユーザーグループの管理
* **ポリシー**: デバイス全体で最小特権アクセスを適用

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fy60WjJlZa9Q15YY8PPGS%2Fimage.png?alt=media&#x26;token=f2d37328-c545-4f25-bf89-86f0d4ffaf5c" alt=""><figcaption><p>Keeper特権マネージャー</p></figcaption></figure>

### KeeperPAMプラットフォーム内の特権マネージャー

特権マネージャーは、包括的なKeeperPAMプラットフォーム内に統合された新しいサービスです。KeeperPAMは、特権アクセス管理のためのプラットフォームで、複数のサービスがご利用になれます。

* **パスワード管理**: 認証情報の安全な保存とローテーション
* **シークレット管理**: アプリケーションのシークレットやAPIキーの管理
* **ゼロトラストネットワークアクセス**: 安全で検証済みのリモート接続
* **接続管理**: リモートシステムへの効率的なアクセス
* **セキュアトンネリング**: 機密リソースへの経路を保護

特権マネージャーでKeeperPAMの機能が拡張され、エンドポイントでのローカル特権昇格に対処します。他のKeeperPAMサービスがユーザーがシステムやリソースに接続する方法を保護するのに対し、特権マネージャーは、ユーザーがシステム上で作業している際に持つ特権を管理します。

例えば、管理者がKeeperPAMの接続機能を使ってサーバーに安全にアクセスした後、特権マネージャーがそのサーバーでのローカル管理者権限を制御します。同様に、特権マネージャーがエンドユーザーのワークステーションでの日常的な特権昇格リクエストを管理することで、恒常的なローカル管理者権限を排除し、ジャストインタイム昇格を通じて必要な操作が可能になります。

### エンドユーザー体験

Keeperエージェントを実行しているユーザーは、自身のデバイスに適用されているポリシーを確認し、承認状況や特権昇格リクエストを監視できるインターフェースを利用できます。KeeperエージェントのUIは、Windows、macOS、Linuxの各デバイスで使用可能です。

#### Windows

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FxNKoz1tOXeq4o7TaVYNj%2Fimage.png?alt=media&#x26;token=3f830f88-5de9-4a1e-8831-c96b80d7077d" alt=""><figcaption></figcaption></figure>

#### macOS

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FZBkgVORrGb8ODfOzvxUt%2Fimage.png?alt=media&#x26;token=70a23770-c2f6-4bef-9b17-7bfa43b29c64" alt=""><figcaption></figcaption></figure>

#### Linux (GNOME)

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FSh6eTdZp0eGUrvDcDFJo%2Fimage.png?alt=media&#x26;token=679aa604-2815-475b-bc2f-38f719f7ea72" alt=""><figcaption><p>GNOMEを実行しているLinuxデバイス</p></figcaption></figure>

***

### コマンドライン

macOSおよびLinuxのエンドポイントでは、Keeperは「コマンドラインポリシー」タイプを通じてsudoによる権限昇格を保護します。以下のスクリーンショットに示すように、リクエストを昇格させるために `keepersudo` という新しい昇格コマンドが使用されます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FYdKynhKrUr2trNld4cSN%2Fimage.png?alt=media&#x26;token=097192c3-91ef-4a50-8465-def0512e6d21" alt=""><figcaption><p>GNOMEを実行しているLinuxデスクトップ</p></figcaption></figure>

以下の例では、ユーザーがrootへの権限昇格をリクエストし、管理者によってアクセスが承認されます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F10sRkLfDbllfSVCAZ8mf%2Fimage.png?alt=media&#x26;token=7007d6b7-dafb-43a3-86bd-aa872a1da4b7" alt=""><figcaption><p>権限昇格リクエスト中のLinuxのSSHセッション</p></figcaption></figure>

### 権限昇格の承認

管理者による権限昇格の承認は、Keeper管理コンソール、コマンダーCLI、またはその他の連携アプリケーション上で実行されます。

#### 特権昇格

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FA9Mg9m4saLSr0FA4MIvX%2Fimage.png?alt=media&#x26;token=3d788736-c89e-4ccb-b1ac-e2ece66554d7" alt=""><figcaption><p>Windowsでの特権昇格リクエストの承認</p></figcaption></figure>

#### コマンドライン (sudo) 承認

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F4vHad20tyJcsgCMi7dG2%2Fimage.png?alt=media&#x26;token=104e7985-ac3c-47af-b266-7c5203c2c355" alt=""><figcaption><p>コマンドラインでの権限昇格リクエストの承認</p></figcaption></figure>

### 本ガイドについて

以下のセクションをご参照ください。

* [セットアップ](https://docs.keeper.io/jp/keeperpam/endpoint-privilege-manager/setup)
* [導入](https://docs.keeper.io/jp/keeperpam/endpoint-privilege-manager/deployment)
* [ポリシー](https://docs.keeper.io/keeperpam/endpoint-privilege-manager/policies)
* [リクエストの管理](https://docs.keeper.io/jp/keeperpam/endpoint-privilege-manager/managing-requests)