権限昇格ポリシータイプ

概要

権限昇格ポリシーは、ユーザーが管理者ロールへ昇格できる権限を制御するためのポリシーです。まず最小権限ポリシーを適用し、標準ユーザーが組み込みの管理者権限を持たない状態にすることを推奨します。

Windowsでは、ユーザーが昇格イベントを発動すると、Keeperクライアントのユーザーインターフェースが自動的に起動します。macOSおよびLinux (Ubuntu/GNOME) では、ユーザーがKeeperクライアントのユーザーインターフェースから昇格リクエストを開始できます。

仕組み

エンドポイント上では、Keeperエージェントサービスがシステム権限で動作します。すべての権限昇格は、一時的なアカウント keeperusersession を使用して実行されます。

権限昇格の管理

管理コンソールで、[エンドポイント特権マネージャー] > [ポリシー] に移動し、新しいポリシーを作成します。ポリシータイプから [特権昇格] を選択し、[適用] を指定します。

コントロールとして [承認が必要]、[MFA必須]、または [正当な理由が必要] のいずれかを選択します。

承認者を選択し、ポリシーを適用する対象として、ユーザーグループ、マシンコレクション、アプリケーションコレクション、日時の範囲を指定します。

ポリシーを適用すると、対象エンドポイント上のユーザーは、そのデバイスで権限を昇格させる際にポリシーの内容に従う必要があります。

たとえば、ユーザーがPowerShellを管理者として実行しようとすると、Keeperがそのリクエストを検知し、承認を求めるプロンプトを表示します。

MFAまたは理由の入力が必要な場合は、ユーザーにプロンプトが表示されます。

管理者には、権限昇格の承認リクエストが届きます。

承認後、ユーザーはKeeperのユーザーインターフェースから承認済みコマンドを直接実行できます。