デプロイメント (展開)
Keeperエージェントのエンドポイントへの展開
概要
エンドポイント特権マネージャーのデプロイは非常に簡単です。管理者は、エンドポイントのコレクションに関連付けられたカスタムデプロイパッケージを作成し、Keeperエージェントをそれらのエンドポイントに配布します。エージェントが起動すると、Keeperテナントに自動的に登録され、実行ファイルやローカルユーザーアカウントなど、エンドポイントに関する基本情報の収集を開始します。デフォルトでは、Keeperエージェントは「監視」モードで動作し、実際の操作は行われません。
要件
macOS: Sequoia、Sonoma、Tahoe
Linux: RedHat 9.4以上、Ubuntu 20.04以上、Amazon Linux 2、Rocky Linux 9以上、Debian 11・12、SUSE 15sp2以上、AlmaLinux 9.4以上
Windows: Windows 11、Windows Server 2022および2025 (Intel x64のみ)
暗号化
KeeperエージェントとKeeper管理コンソール間のすべての通信は、エンドツーエンドの暗号化とゼロ知識アーキテクチャを使用しており、Keeperのサーバーや従業員によってエンドポイントに関する情報を復号化することはできません。管理コンソールにログインしたKeeper管理者のみがエンドポイントコレクションと関連メタデータを復号化できます。
デプロイメントパッケージ
[エンドポイント特権マネージャー] > [展開] 画面から[新しい展開パッケージ]を選択します。Keeperエージェントは、Windows、macOS、Linuxエンドポイントに配信できます。実行ファイルは、エージェントをインストールするためにローカル管理者権限を必要とします。リモート管理ソリューションやグループポリシーを通じた自動導入には、コマンドライン文字列を使用してインストーラーをサイレントモードで配信します。
デプロイメントコレクション
デプロイメントパッケージを作成する際に、割り当てられたコレクション名は、特権マネージャー内でポリシーを適用する際に参照されます。コレクション名は、通常、共通のプラットフォームや用途を共有するユーザーのグループを指します。
エージェントのデプロイ
管理コンソールのUIからインストーラーのZIPファイルをコピーし、ローカルマシンにダウンロードします。ZIPファイルを解凍し、各プラットフォーム用のパッケージを展開します。インストーラーコマンドで使用するデプロイトークンをコピーします。有効なデプロイトークンがないと、Keeperエージェントをテナントに登録できません。
本番システムに直接インストールする前に、必ずサンドボックスまたは非本番テスト環境でKeeperエージェントを検証してください。
以下では、Keeperエージェントのインストールおよび構成方法について記載しています。
Windows へのインストール
ダウンロードと展開
Keeper管理コンソールのUIからインストーラーをダウンロードするか、以下のPowerShellコマンドを使用します。
Invoke-WebRequest -Uri "https://keepersecurity.com/pam/pedm/core/latest/KeeperPrivilegeManagerWindows.zip" -OutFile "KeeperPrivilegeManagerWindows.zip"
Expand-Archive -Path "KeeperPrivilegeManagerWindows.zip" -DestinationPath "."
Set-Location "windows"Windowsでのトラブルシューティング
エンドポイント特権マネージャーのサービスを再起動するには、マシンを再起動するのが最も簡単な方法です。また、サービス管理ツールから手動で再起動することもできます。
ログファイルは以下の場所にあります。
C:\Program Files\Keeper Security\Endpoint Privilege Manager\Plugins\bin\KeeperLogger\Log>Windowsでのアンインストール
Windowsエージェントをアンインストールするには、以下を実行します。
msiexec /x KeeperPrivilegeManager-x-x-x.xxx.msi UNREGISTER_AGENT="true" /l*v out.txt /quietすでにインストール済みのエージェントを手動で登録する場合は、以下のコマンドを実行します。
C:\Program Files\Keeper Security\Endpoint Privilege Manager\Plugins\bin\KeeperRegistration\KeeperRegistration --token="<token>"すでにインストール済みのエージェントを手動で登録するには、以下のコマンドを実行します。
C:\Program Files\Keeper. KeeperRegistration --token="<token>"Linuxへのインストール
エージェントのインストール
Ubuntu / Debian系ディストリビューション
sudo KEEPERREGCODE="<token>" dpkg -i keeper-privilege-manager_*.debRPM系ディストリビューション (RHEL、Rocky Linux、AlmaLinux、CentOS、Oracle Linux、SUSE Enterprise Serverなど)
sudo KEEPERREGCODE="<token>" rpm -ivh keeper-privilege-manager-*.rpmAmazon Linux 2
sudo KEEPERREGCODE="<token>" yum install -y keeper-privilege-manager-*.rpmAmazon Linux 2023
sudo KEEPERREGCODE="<token>" dnf install -y keeper-privilege-manager-*.rpm(任意) GNOMEエージェントUIのインストール
GNOMEを使用しているLinuxシステムのユーザー向けに、Keeperのユーザーインターフェースを拡張機能として利用できます。
エンドポイントにGNOME Shellがインストールされていることを確認してください。
sudo apt install -y gnome-shell-extension-prefs
or
keepersudo apt install -y gnome-shell-extension-prefs
(if Keeper is already installed)システムメニューから GNOME拡張機能アプリ (gnome-extensions-app) または拡張機能マネージャーを開き、すべてのオプションを「オン」に切り替えます。
すると、Keeper EPMのアイコンがシステムトレイまたは上部バーに表示され、エージェントのステータスや操作にアクセスできるようになります。
Linuxでも、WindowsやmacOSデバイスと同様にフル機能のUIを利用できます。
Linuxでのsudo使用
インストール後、Keeperはデバイス上のPAMモジュールを変更し、sudo コマンドをラップするように設定します。これにより、すべての sudo コマンドの実行は keepersudo に委譲されます。
設定および使用方法の詳細については、「コマンドラインポリシー」のページをご参照ください。
アップデート
既に登録済みのエージェントを更新するには、以下を実行します。
curl -o KeeperPrivilegeManagerLinux.zip "https://keepersecurity.com/pam/pedm/core/latest/KeeperPrivilegeManagerLinux.zip"
unzip KeeperPrivilegeManagerLinux.zip
cd linux
keepersudo dpkg -i keeper-privilege-manager_*.deb実行中のバージョンを確認するには、以下を使用します。
dpkg -l keeper-privilege-managerLinuxでのトラブルシューティング
エラーログは、使用しているLinuxディストリビューションによって次のいずれかに保存されます。
/var/log/syslog/var/log/messages
サービスを再起動するには、以下を実行します。
systemctl restart keeper-privilege-managerLinuxでのアンインストール
Keeperエージェントのアンインストール方法は、使用しているプラットフォームおよびインストール方法によって異なります。
Ubuntu / Debian系ディストリビューション
sudo apt remove keeper-privilege-managerすべての設定ファイルも削除する場合
sudo apt purge keeper-privilege-managerRPM系ディストリビューション
sudo rpm -e keeper-privilege-managerRHEL / Rocky / Alma / CentOS / Oracle Linux
sudo yum remove keeper-privilege-managerまたは
sudo dnf remove keeper-privilege-managerすでにインストール済みのエージェントを手動で登録する場合は、以下のコマンドを実行します。
/opt/keeper/sbin/Plugins/bin/KeeperRegistration/KeeperRegistration --token="<token>"macOSへのインストール
ダウンロードと展開
curl -o KeeperPrivilegeManagerMacOS.zip "https://keepersecurity.com/pam/pedm/core/latest/KeeperPrivilegeManagerMacOS.zip"
unzip KeeperPrivilegeManagerMacOS.zip
cd macos/
chmod +x install_endpoint_privilege_manager.shスクリプトは、keeper-privilege-manager のバージョン番号およびOSのアーキテクチャタイプに基づいて、適切なパッケージを自動的に判別してインストールします。複数のパッケージバージョンやアーキテクチャが存在しても安全に実行できます。
フルディスクアクセスの付与
エージェントが /etc/pam.d を変更し、sudo コマンドをKeeperエージェント経由で実行できるようにするには、フルディスクアクセスを付与する必要があります。
以下の手順で設定します。
macOSの [システム設定] > [プライバシーとセキュリティ] > [フルディスクアクセス] を開きます。
Keeper特権マネージャーアプリケーションにフルディスクアクセスを許可します。
フルディスクアクセスを付与した後、以下のコマンドを実行してエージェントプロセスを再読み込みします。
sudo /Library/Keeper/sbin/Plugins/bin/KeeperPamConfig/KeeperPamConfig既にインストール済みのエージェントを手動で登録する場合は、以下のコマンドを実行します。
/Library/Keeper/sbin/Plugins/bin/KeeperRegistration/KeeperRegistration --token="<token>"サービスの再起動
macOSでサービスの再起動が必要な場合は、以下のコマンドを使用します。
launchctl unload /Library/LaunchDaemons/com.keeper.keeper-privilege-manager.plist
launchctl load /Library/LaunchDaemons/com.keeper.keeper-privilege-manager.plistmacOSでのアンインストール
KeeperエージェントをmacOSからアンインストールするには、次のスクリプトを実行します。
curl -o uninstall_macos.sh "https://raw.githubusercontent.com/Keeper-Security/KeeperPAM/refs/heads/main/pedm/uninstall_macos.sh"
chmod +x uninstall_macos.sh
keepersudo ./uninstall_macos.sh備考
Keeperエージェントは、新しいログインセッション時に自動的に起動します。そのため、ログアウトおよび再ログインが必要になる場合があります。
sudoポリシー制御の詳細は、「コマンドラインポリシー」ページに記載されています。パッケージ (.pkg) およびディスクイメージ (.dmg) のインストールを行う際は、KeeperエージェントのUIから明示的にリクエストを開く必要があります。
インベントリデータの検出
エージェントがエンドポイントにインストールされ展開されると、エンドポイント上で以下の3種類の検出が実行されます。
基本インベントリ: オペレーティングシステム、バージョン、種類
アカウントインベントリ: ローカルユーザーおよびグループ
ファイルインベントリ: システム上のすべての実行ファイル
Keeper管理コンソールは、検出されたインベントリを暗号化されたテレメトリデータとして受信します。これには、以下のようなエンドポイント情報が含まれます。
コンピュータ名およびタイプ
OS情報 (Windows、macOS、Linux) およびバージョン
ローカルユーザーアカウント情報
ローカルグループアカウント情報
インストールされたアプリケーション
[展開] 画面では、コレクションごとに整理されたエンドポイントの統計情報が表示されます。
コレクションはダッシュボードから有効または無効にできます。コレクションが無効化されると、ポリシーエンジンはそのデバイスに適用されなくなります。
個々のエンドポイントも無効化でき、エージェントによるポリシー適用を防ぐことができます。
コマンダーを使用した自動化処理
Keeperコマンダーは、コマンドラインインターフェイス、サービスモードREST API、Python SDKを通じてデプロイの自動化をサポートしています。エンドポイント特権マネージャーのコマンドについて、詳しくはこちらのページをご覧ください。
エージェント管理
pedm agent コマンドで、エンドポイントで実行されている個々のエージェントを管理します。
My Vault> pedm agent -h
pedm command [--options]
Command Description
---------- -------------------------
list List PEDM agents
edit Update PEDM agents
delete Delete PEDM agents
collection List PEDM agent resourcesデプロイメント
pedm deployment コマンドで、エージェントのデプロイメントの管理します。
My Vault> pedm deployment -h
pedm command [--options]
Command Description
--------- --------------------------------
list List PEDM deployments
add Add PEDM deployments
update Update PEDM deployment
delete Delete PEDM deployment
download Download PEDM deployment packageコレクション
pedm collection コマンドで、コレクションを管理します。
My Vault> pedm collection -h
pedm command [--options]
Command Description
---------- ----------------------------------
list List PEDM collections
view Show PEDM collection details
add Creates PEDM collection
update Update PEDM collections
delete Delete PEDM collections
connect Link agent, policy, resource to PEDM collections
disconnect Unlink agent, policy, resource from PEDM collectionsレポート
pedm report コマンドで、イベントログおよびイベントレポートを実行します。
My Vault> pedm report -h
pedm command [--options]
Command Description
--------- -----------------------------
column Run column reports
event Run audit event reports
summary Run audit summary reports次の手順
エージェントを展開すると、インベントリ検出が自動で開始され、コレクションが生成されます。
最終更新