# ポリシータイプ

<figure><img src="https://762006384-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MJXOXEifAmpyvNVL1to%2Fuploads%2Fv9lXqLocCQX6T9jeJdQN%2Fimage.png?alt=media&#x26;token=0489b11e-e0c7-48eb-809b-90bffe5290be" alt=""><figcaption></figcaption></figure>

Keeper特権マネージャーでは、エンドポイント上のどの操作をKeeperがどこまで統制するかが、ポリシーで定められます。各ポリシーは、制御対象のアクションの種類を決める**タイプ**を中心に構成されます。あわせて、状態、1つ以上のコントロール、ならびにユーザー・マシン・アプリケーション・時間帯などで適用範囲を絞るフィルターが、すべてのポリシーに割り当てられます。

複数のポリシータイプを同一エンドポイントで同時に有効にできます。ポリシーが競合する場合、最も制限の厳しい結果が適用されます。

***

### 特権昇格

特権昇格ポリシーでは、管理者レベルの権限でアプリケーションやアクションを実行しようとする要求が横取りされ、実際に昇格する前に構成済みのコントロールが適用されます。**ジャストインタイム特権昇格**の中心となる仕組みです。常時の管理者権限で操作するのではなく、検証済みの特定アクションに限って、昇格したアクセスだけが与えられます。

Windowsでは、UACの昇格イベントがKeeperによって自動的に横取りされます。macOSおよびLinuxでは、ユーザーがKeeper ClientのシステムトレイUIから昇格要求を出します。昇格はすべて一時的なサービスアカウント経由で実行され、特権操作は切り離され、監査しやすい形で行われます。

利用できるコントロール: **Allow, Deny, Require Approval, Require MFA, Require Justification**

[権限昇格ポリシータイプ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/endpoint-privilege-manager/policies/policy-types/policy-types/privilege-elevation-policy-type/README.md)

***

### 最小権限

最小権限ポリシーでは、対象エンドポイントの標準ユーザーからローカル管理者権限が取り除かれます。Keeper特権マネージャーを導入する際の推奨**出発点**です。最小権限ポリシーがないと、ユーザーがすでに管理者権限を持っているため、特権昇格のコントロールが実効しにくくなります。

適用されると、対象ユーザーはローカルのAdministratorsグループから外され、画面に通知が表示されます。組み込みのシステムアカウントとドメイン管理者アカウントは自動的に保護され、影響を受けません。除外リストを構成すると、特定のアカウントを適用対象外にできます。

[最小権限ポリシータイプ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/endpoint-privilege-manager/policies/policy-types/policy-types/least-privilege-policy-type/README.md)

***

### ファイルアクセス

ファイルアクセスポリシーでは、エンドポイント上の特定ファイルへのアクセスが制御されます。対象には実行可能ファイル (アプリケーション、スクリプト、バイナリ) と非実行可能ファイル (構成ファイル、機微なデータ、文書) の両方が含まれます。特権昇格とは異なり、ファイルアクセスポリシーは**システム上のすべてのユーザー**に適用され、すでに管理者権限を持つユーザーも対象に含まれます。

実行ファイルについては、実行する瞬間にアクセスが横取りされます。非実行ファイルについては、必要なコントロールが満たされるまで、ACLレベルで読み取り・書き込み・削除が制限されます。Keeperにより保護されたシステムパスは、ファイルアクセスポリシーの対象外です。同一の実行ファイルにファイルアクセスと特権昇格の両方のポリシーがある場合は、特権昇格ポリシーが優先されます。

利用できるコントロール: **Allow, Deny, Require Approval, Require MFA, Require Justification**

[ファイルアクセスポリシータイプ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/endpoint-privilege-manager/policies/policy-types/policy-types/file-access-policy-type/README.md)

***

### コマンドライン

コマンドラインポリシーでは、**macOSおよびLinux**で `sudo` の利用が統制されます。Unix環境では特権昇格ポリシーに相当する役割を担い、Windowsなど他の環境の特権昇格ポリシーとあわせて、製品全体として特権アクセスを一貫して統制するためのしくみです。

適用すると、PAMモジュール経由で標準の `sudo` コマンドが `keepersudo` に置き換わります。ユーザーは `keepersudo` を通じて昇格要求を出し、設定したコントロールを満たしたうえでコマンドが実行されます。各エンドポイントでは、昇格の対象として許可されたコマンドが明示的な許可リストとして保持されます。

利用できるコントロール: **Allow, Deny, Require Approval, Require MFA, Require Justification**

[コマンドラインポリシータイプ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/endpoint-privilege-manager/policies/policy-types/policy-types/command-line-policy-type/README.md)

***

### 高度なポリシータイプ

高度なポリシータイプの設定には**Advanced Mode**のJSONエディターを使います。エンドポイントへのアクセス許可や拒否だけでなく、構成やジョブの一括配布など、運用上の用途にも使うタイプです。標準のポリシータイプのドロップダウンでは選べないため、管理者はJSONで `PolicyType` フィールドを直接指定し、必要な内容を `Extension` オブジェクトに記入します。

#### 設定の更新

各エンドポイントでファイルを手作業で編集しなくても、プラグインまたはエージェントの構成を一元的に配布できます。エージェントの構成処理により、適用範囲内の各エンドポイントの対象プラグインファイルに、指定したJSONペイロードが適用されます。

[設定更新ポリシータイプ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/endpoint-privilege-manager/policies/policy-types/policy-types/advanced-policy-types/update-settings-policy-type/README.md)

#### ジョブの更新

管理側からエンドポイント上のジョブ定義を一括で展開、変更、または削除できます。エージェントによるポリシー処理の結果、適用範囲内の各エンドポイントの `Jobs/` フォルダ配下の指定ジョブファイルが追加、更新、または削除されます。

[ジョブ更新ポリシータイプ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/endpoint-privilege-manager/policies/policy-types/policy-types/advanced-policy-types/update-jobs-policy-type/README.md)

#### カスタム

Keeper特権マネージャーの標準ポリシータイプに当てはまらず、特殊なワークフロー、内部連携、カスタム評価器などに使うポリシーです。スキーマに厳密に縛られない分類です。カスタムポリシーでは、他のポリシータイプと同じ構造が用いられ、Keeper特権マネージャーのコントロール一式を他タイプと同じように設定できます。管理者は、連携するコンポーネントの要件に合わせて `Extension` オブジェクトを自由に記入します。

[カスタムポリシータイプ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/endpoint-privilege-manager/policies/policy-types/policy-types/advanced-policy-types/custom-policy-type/README.md)

***

### ポリシータイプ一覧

| ポリシータイプ      | 主な用途                      | プラットフォーム                                      | 設定方法                 |
| ------------ | ------------------------- | --------------------------------------------- | -------------------- |
| **特権昇格**     | ジャストインタイム昇格の統制            | Windows、macOS、Linux                           | 標準UI                 |
| **最小権限**     | 標準ユーザーからローカル管理者権限を除去      | Windows、macOS、Linux                           | 標準UI                 |
| **ファイルアクセス** | 実行ファイルおよび機微なファイルへのアクセス統制  | Windows (フル)、macOS/Linux (Keeper ClientのUI経由) | 標準UI                 |
| **コマンドライン**  | Unix系で `sudo` の利用を統制      | macOS、Linux                                   | 標準UI                 |
| **設定の更新**    | プラグイン/エージェント構成をエンドポイントへ反映 | すべて                                           | Advanced Mode (JSON) |
| **ジョブの更新**   | エンドポイント上のジョブ定義の展開または削除    | すべて                                           | Advanced Mode (JSON) |
| **カスタム**     | 特殊なワークフローと連携              | すべて                                           | Advanced Mode (JSON) |