よくある質問

Keeper特権マネージャーに関するよくある質問

Keeperにエンドポイントへのアクセスはありますか?

いいえ、Keeperはゼロ知識プラットフォームです。Keeperエージェントが収集したすべての情報は、ユーザーのデバイス上で暗号化され、管理コンソールのKeeper管理者のみが復号化できます。

Keeperのサーバーは従業員が何のプログラムを実行しているか知り得ますか?

いいえ、Keeperはゼロ知識プラットフォームです。Keeperエージェントが収集したすべての情報は、ユーザーのデバイス上で暗号化され、管理コンソールのKeeper管理者のみが復号化できます。

承認が必要な際にはどのようにしてジャストインタイムアクセスが付与されますか?

承認が必要な場合、リクエストはKeeper管理者に送信され、管理コンソールまたはコマンダーCLIを通じて処理されます。

承認が必要ない際にはどのようにしてジャストインタイムアクセスが付与されますか?

デバイスに適用されたポリシーが特定のイベントに対して承認を必要としない場合、Keeperエージェントは追加の承認手続きなしで昇格を許可します。多要素認証が必要な場合、ユーザーは認証トークンの提示を求められます。

ユーザーがオフラインでインターネット接続がない場合にはどのようにして昇格を許可しますか?

Keeperのエージェントは、オフライン時に暗号化されたポリシー情報をキャッシュします。ユーザーがオフラインの間も、ポリシーはユーザーに対して適用されます。ユーザーがオンラインに戻ると、イベントログはKeeperクラウドに送信されます。

KeeperPAM、特権マネージャーとMicrosoft LAPSの併用に関して

KeeperPAMと特権マネージャーは、LAPSの導入を既に行っている組織とシームレスに連携できます。この補完的な構成では、LAPSはドメイン参加コンピュータのローカル管理者パスワードのローテーションを引き続き管理し、KeeperPAMはドメインアカウント、サービスアカウント、LAPSの範囲外の他の特権認証情報を管理します。この統合により、既存のLAPSを維持しながら、より多くのシステムとアカウントタイプに対して特権アクセス保護が拡張されます。

特権マネージャーは、エンドポイントで最小特権を適用することにより、このセキュリティエコシステムを強化します。LAPSは既存の管理者アカウントの認証情報を保護することに焦点を当てていますが、特権マネージャーは、特定のタスクのために一時的な特権昇格を可能にすることにより、これらのアカウントを使用する必要性を最小限に抑えます。つまり、LAPSはローカル管理者パスワードを保護し、KeeperPAMはそれらの認証情報とその他の特権アカウントへのアクセスを管理・制御し、特権マネージャーはユーザーが必要かつ承認された場合のみ昇格した特権が付与されるようにします。

どのようにしてLAPSを置き換えることができますか?

Keeperを使用すると、Microsoft LAPSよりも包括的に特権アクセス管理にアプローチできます。LAPSはドメイン参加済みコンピューターのローカル管理者パスワードのみを管理しますが、Keeperでは以下の2つの補完的なコンポーネントを通じて完全なソリューションが実現します。

  • KeeperPAMはドメインおよびローカルアカウントの認証情報の管理とローテーションを実行。

  • 特権マネージャーは最小特権ポリシーとジャストインタイム昇格を実施。

組織は、KeeperのソリューションでLAPSを完全に置き換えるか、移行期間中に両方を併用することができます。

KeeperPAMはエンドユーザーのマシンでどのように認証情報を管理しますか?

KeeperPAMはKeeperゲートウェイを通じて、以下の認証情報のローテーションを行います。

  • Active Directory内の任意のドメインユーザーアカウント

  • 個別のマシン上のローカル管理者アカウント (WindowsではWinRM、Linux/macOSではSSHによるアクセスが必要)

これにより、KeeperPAMは、環境全体で集中管理されたドメイン認証情報と分散管理されたローカル管理者認証情報の両方を管理できます。

特権マネージャーは管理者アクセスのセキュリティをどのように確保しますか?

特権マネージャーは認証情報管理ではなく、特権昇格に焦点を当てています。

  • ユーザーをローカル管理者グループから削除

  • 管理権限が必要な場合、ユーザーが昇格をリクエストする

  • デフォルトの管理者アカウントが昇格リクエストを承認または実行するポリシーを設定可能

  • 管理者認証情報を晒すことなく、ジャストインタイムでアクセスを付与

KeeperソリューションをMicrosoft LAPSと併用する方法について

オプション1: LAPSをKeeperPAMで置き換える

  • KeeperPAMはドメインおよびローカル管理者の認証情報を管理・ローテーション

  • LAPSよりも包括的な認証情報管理を実現供

  • ボルト、多要素認証、きめ細かなアクセス制御を通じてセキュリティを強化

オプション2: LAPSをKeeperソリューションで補完する

  • LAPSはローカル管理者パスワードの管理を継続

  • KeeperPAMはドメイン管理者およびサービスアカウントの認証情報を管理

  • 特権マネージャーは最小特権ポリシーとジャストインタイム昇格を実施

オプション3: Keeperソリューション (最も安全)

  • KeeperPAMはすべての管理者認証情報 (ドメインおよびローカル) を管理

  • 特権マネージャーは最小特権ポリシーを実施

  • ユーザーは管理者認証情報に直接アクセスする必要がない

  • 管理者認証情報は緊急時にのみ使用

最大のセキュリティを確保するために推奨されるアプローチは?

Keeperソリューション (オプション3) は、KeeperPAMによる認証情報管理と特権マネージャーによる特権管理の両方に対応する最も包括的なアプローチとなります。これにより、従来のLAPSは不要となり、優れたセキュリティ制御を達成し、詳細な監査証跡が取得できます。

前へリクエストの管理次へ概要

最終更新