ポリシー

ポリシーの概要

エンドポイント特権マネージャーは、Keeperエージェントが実行されているエンドポイント全体に対して、アプリケーション、ユーザー、マシンごとに最小権限ポリシーを適用できます。ポリシーはテナント内の任意のコレクションに対して適用可能であり、組織の要件に応じて管理者がカスタマイズします。

ポリシーは以下に基づいて適用されます。

• リソースのコレクション

• ポリシーの種類

• 制御項目 (コントロール)

• 属性

「ポリシー」画面には、テナント内でアクティブなすべてのポリシー適用状況が表示されます。

ポリシーの作成

新しいポリシーを作成するには、[ポリシーを作成] をクリックし、ポリシーの詳細フォームを完成させます。

重要: 複数のポリシーを同じデバイスやユーザーに同時に適用することができます。この場合、適用できるすべてのポリシーを厳密に順守して適用します。ポリシーに設定の競合がある場合、自動的に最も制限的なオプションを適用し、エンドポイントの最大のセキュリティを確保します。

ポリシーの種類

Keeperは以下のポリシータイプをサポートしています。

• 最小特権: ローカルユーザーを管理者ロールから削除します。

• 特権昇格: 管理者昇格のリクエストを管理します。

• ファイルアクセス: 実行可能ファイルや機密ファイルへのアクセスを制御します。

• コマンドライン: Unix系システムにおけるsudoの制御用。

ポリシーステータス

ポリシーは以下のいずれかの方法で適用できます。

• モニター: Keeperは何もアクションを起こさず、ユーザーに通知は行われません。

• モニター＆通知: Keeperは何もアクションを起こしませんが、ユーザーにはイベントが発生したことを通知します。

• 強制: Keeperはポリシーに基づきアクションを起こし、ユーザーには通知が届きます。

ポリシーコントロール

ポリシーが強制されると、ユーザーは定義された特定のコントロールを通過する必要があります。オプションは以下の通りです。

• 多要素認証 (MFA) 必須: 割り当てられたMFAデバイスを使用して、身元を証明する必要があります。MFAが必須の場合、ユーザーはKeeperボルトにサインアップし、TOTP方式の2FA (2要素認証) を設定する必要があります。MFAセッションの有効期間は5分です。テナント内であれば、有効なKeeperのメールアドレスと2FAの組み合わせで認証が行えます。

• 承認が必要: 指定された承認者がリクエストを処理するまで待機する必要があります。承認には常に理由の入力が必要です。最初の承認リクエストは30分でタイムアウトし、30分経過すると自動的にエスカレーションされます。エスカレーション後の承認は4時間以内に完了する必要があります。リクエストが承認されると、ユーザーは24時間以内にその権限を使用できます。

• 正当な理由が必要: リクエストの理由を説明する必要があります。承認時に理由の入力に加えてMFAが必要な場合、ユーザーはまずMFA認証を完了し、その後に理由の入力を求められます。

ポリシーフィルタ

ポリシーは、ポリシーフィルタセクションで指定されたユーザーおよびデバイスにのみ適用されます。これには以下のオプションが含まれます：

• ユーザーグループ: 自動生成されたまたはカスタムユーザーグループコレクションから選択します。

• マシン: 自動生成されたまたはカスタムマシンコレクションから選択します。

• アプリケーション: 自動生成されたまたはカスタムアプリケーションコレクションから選択します。

• 日付と時間の指定: ポリシーを適用する日時を、日付・曜日・時間帯で細かく指定できます。たとえば、勤務時間外にだけ制限を強化するポリシーを設定することができます。

ワイルドカードポリシー

ポリシーフィルタを選択する際にすべて選択するよう指定すると、「ワイルドカードポリシー」となります。ワイルドカードポリシーを設定すると、将来コレクションに追加されるオブジェクトも自動的に対象に含まれます。

たとえば、以下のポリシーでは、すべてのユーザーグループ、マシンコレクション、およびアプリケーションに対してワイルドカードポリシーが適用されています。

ポリシーエディタ

ポリシーは、ユーザーインターフェースで基本モードまたは詳細モードで編集できます。詳細モードでは、JSON形式のポリシー定義を編集できます。

詳細なポリシーエディタ

ポリシーエディタの詳細モードでは、管理者がポリシーを直接JSON構文で管理できます。

イベントのポリシー変換

メインダッシュボードから、昇格やアクセスイベントを簡単に新しいポリシーに変換したり、既存のポリシーに追加したりできます。イベントを選択し、[+ ポリシーに追加] をクリックします。その後、適用するポリシーを選択するか、新しいポリシーを作成します。

承認設定

Keeperでは、特定の昇格リクエストに対して任意の数の承認者をポリシーに設定できます。指定した時間が経過すると、リクエストは指定された管理者へエスカレーションされます。承認は、設定された時間が経過すると自動的に失効します。

ポリシーの適用タイミング

ポリシーはエンドポイント全体に対してプッシュされ、30分以内に適用されます。Keeperエージェントのユーザーインターフェースには、ポリシー更新のオプションも用意されています。

オフラインアクセス

Keeper管理者が作成したポリシーは、エンドユーザーのデバイスにプッシュされ、ローカルにキャッシュされます。そのため、デバイスがオフラインの状態でもポリシーが適用されます。

• 理由の入力が必要な場合、ユーザーが入力したメッセージは、エージェントがオンラインになるまで端末上に一時保存され、その後サーバーに送信されます。ポリシーが「正当な理由のみ」を求めている場合は、実行が許可されます。

• 多要素認証 (MFA) が必要な場合、ユーザーはオンライン時のみ操作を実行できます。

• 承認が必要な場合、ユーザーはオンライン時にのみ承認リクエストを開始できます。

コマンダーを使用した自動化処理

Keeperコマンダーは、コマンドラインインターフェイス、サービスモードREST API、Python SDKを通じてポリシーの自動化をサポートしています。エンドポイント特権マネージャーのコマンドについて、詳しくはこちらのページをご覧ください。

ポリシー管理

pedm policy コマンドで、ポリシーを作成および管理します。

My Vault> pedm policy -h
pedm command [--options]

Command    Description
---------  ----------------------------
list       List PEDM policies
add        Add PEDM policy
edit       Edit PEDM policy
view       View PEDM policy
assign     Assign collections to policy
delete     Delete PEDM policy

次の手順

ポリシーについて、詳しくは以下のページをご覧ください。

• 最小権限ポリシー

• 特権昇格ポリシー

• コマンドラインポリシー

• ファイルアクセスポリシー