ポリシー

ユーザーとマシンに最小特権ポリシーを適用

ポリシーの概要

エンドポイント特権マネージャーは、Keeperエージェントが実行されているエンドポイント全体に対して、アプリケーション、ユーザー、マシンごとに最小権限ポリシーを適用できます。ポリシーはテナント内の任意のコレクションに対して適用可能であり、組織の要件に応じて管理者がカスタマイズします。

ポリシーは以下に基づいて適用されます。

  • リソースのコレクション

  • ポリシーの種類

  • 制御項目 (コントロール)

  • 属性

「ポリシー」画面には、テナント内でアクティブなすべてのポリシー適用状況が表示されます。

ポリシー

ポリシーの作成

新しいポリシーを作成するには、[ポリシーを作成] をクリックし、ポリシーの詳細フォームを完成させます。

重要: 複数のポリシーを同じデバイスやユーザーに同時に適用することができます。この場合、適用できるすべてのポリシーを厳密に順守して適用します。ポリシーに設定の競合がある場合、自動的に最も制限的なオプションを適用し、エンドポイントの最大のセキュリティを確保します。

ポリシーの種類

Keeperは以下のポリシータイプをサポートしています。

  • 特権昇格: 管理者昇格のリクエストを管理します。

  • 最小特権: ローカルユーザーを管理者ロールから削除します。

  • ファイルアクセス: 実行可能ファイルや機密ファイルへのアクセスを制御します。

  • コマンドライン: Unix系システムにおけるsudoの制御用。

ポリシーステータス

ポリシーは以下のいずれかの方法で適用できます。

  • モニター: Keeperは何もアクションを起こさず、ユーザーに通知は行われません。

  • モニター&通知: Keeperは何もアクションを起こしませんが、ユーザーにはイベントが発生したことを通知します。

  • 強制: Keeperはポリシーに基づきアクションを起こし、ユーザーには通知が届きます。

ポリシーコントロール

ポリシーが強制されると、ユーザーは定義された特定のコントロールを通過する必要があります。オプションは以下の通りです。

  • 多要素認証 (MFA) 必須: 割り当てられたMFAデバイスを使用して、身元を証明する必要があります。

  • 承認が必要: 指定された承認者がリクエストを処理するまで待機する必要があります。

  • 正当な理由が必要: リクエストの理由を説明する必要があります。

MFAが必要な場合、ユーザーはKeeperボルトに登録した上で二要素認証方式を設定するよう指示されます。

ポリシーフィルタ

ポリシーは、ポリシーフィルタセクションで指定されたユーザーおよびデバイスにのみ適用されます。これには以下のオプションが含まれます:

  • ユーザーグループ: 自動生成されたまたはカスタムユーザーグループコレクションから選択します。

  • マシン: 自動生成されたまたはカスタムマシンコレクションから選択します。

  • アプリケーション: 自動生成されたまたはカスタムアプリケーションコレクションから選択します。

  • 日付と時間の指定: ポリシーを適用する日時を、日付・曜日・時間帯で細かく指定できます。たとえば、勤務時間外にだけ制限を強化するポリシーを設定することができます。

ポリシーエディタ

ポリシーは、ユーザーインターフェースで基本モードまたは詳細モードで編集できます。詳細モードでは、JSON形式のポリシー定義を編集できます。

ポリシーエディタ

詳細なポリシーエディタ

ポリシーエディタの詳細モードでは、管理者がポリシーを直接JSON構文で管理できます。

高度なポリシーエディタ

イベントのポリシー変換

メインダッシュボードから、昇格やアクセスイベントを簡単に新しいポリシーに変換したり、既存のポリシーに追加したりできます。イベントを選択し、[+ ポリシーに追加] をクリックします。その後、適用するポリシーを選択するか、新しいポリシーを作成します。

イベントをポリシーに追加

承認設定

Keeperでは、特定の昇格リクエストに対して任意の数の承認者をポリシーに設定できます。指定した時間が経過すると、リクエストは指定された管理者へエスカレーションされます。承認は、設定された時間が経過すると自動的に失効します。

ポリシーの適用タイミング

ポリシーはエンドポイント全体に対してプッシュされ、30分以内に適用されます。

オフラインアクセス

Keeper管理者が作成したポリシーは、エンドユーザーのデバイスにプッシュされ、ローカルにキャッシュされます。そのため、デバイスがオフラインの状態でもポリシーが適用されます。

  • 理由の入力が必要な場合、ユーザーが入力したメッセージは、エージェントがオンラインになるまで端末上に一時保存され、その後サーバーに送信されます。ポリシーが「正当な理由のみ」を求めている場合は、実行が許可されます。

  • 多要素認証 (MFA) が必要な場合、ユーザーはオンライン時のみ操作を実行できます。

  • 承認が必要な場合、ユーザーはオンライン時にのみ承認リクエストを開始できます。

コマンダーCLI

Keeperコマンダーでは、コマンドラインインターフェースおよびPython SDKを通じて、展開およびコレクションの管理に対応しています。

ポリシー管理

pedm policy コマンドで、ポリシーを作成および管理します。

My Vault> pedm policy -h
pedm command [--options]

Command    Description
---------  ----------------------------
list       List PEDM policies
add        Add PEDM policy
edit       Edit PEDM policy
view       View PEDM policy
assign     Assign collections to policy
delete     Delete PEDM policy

次のステップ

ポリシーをいくつか例に沿って設定してみましょう。または、リクエストの管理方法について学びましょう。

最終更新