# エンドポイント特権マネージャー 1.1

## **概要**

Keeperエンドポイント特権マネージャー (KEPM) は、ユーザーに恒常的に付与されている管理者アクセス権を取り除き、ポリシーに基づくジャストインタイムの権限昇格に置き換えるエージェントベースのソリューションです。これにより、ユーザーやマシンは承認されたアプリケーションを必要なときに管理者権限で実行できるようになります。

{% hint style="info" %}
Keeper EPM Agent 1.1がWindows向けにリリースされました。
{% endhint %}

## **新機能**

### **グローバル承認**

承認機能が **\[管理者]** ページ内の **\[承認]** タブに集約され、すべてのリクエストタイプに対して共通の承認管理が行えるようになりました。チームを承認者または上位承認者として指定でき、Keeper管理者はすべての承認に対する完全な権限を保持します。また、承認の有効期間を設定できるようになり、ユーザーから要望のあった最大30日までの制限に対応しています。

* **KPAM-72:** 管理者による強制適用および最小承認数の設定に対応した、ロールベースの承認者マッピングを追加。
* **KPAM-674:** 承認タイムアウトを適用し、有効期限切れ後または拒否後の無効な操作を防止。
* **KPAM-899:** 承認SLAのバックエンド検証および期限切れ、拒否されたリクエスト状態の適用を追加。
* **KPAM-1335:** 権限昇格および制限付き操作に対するKEPM承認ワークフローの設定と検証に対応。
* **KPAM-1343:** 一次承認者および上位承認者による承認ワークフローを追加。
* **KPAM-1356:** MFA、理由入力、承認プロバイダを拡張可能にするポリシー制御フレームワークを追加。

<figure><img src="https://2583537500-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FXPuw9TQdctWBBanwVW0R%2Fuploads%2FasWSC0TjKWReG3YjTfJH%2FEndpoint%20Privilege%20Manager%201.1-1.jpeg?alt=media&#x26;token=6f51bd3d-8aa6-4610-aadc-586056b4d271" alt=""><figcaption></figcaption></figure>

### **可視性と監査機能の強化**

画面表示や履歴・監査情報を改善し、管理者とユーザーの双方が状況をより把握しやすくなりました。

* **KPAM-99:** Keeperクライアントのモーダル画面に「リクエストIDをコピー」ボタンを追加。
* **KPAM-191:** エンドポイント特権マネージャーの \[未処理のリクエスト] タブおよび \[履歴] タブにアイテム数を表示。
* **KPAM-345:** Windows: ACL変更の失敗試行を監査ログに記録し、管理者が確認できるよう表示。
* **KPAM-489:** KeeperクライアントのUIの可視性および起動動作を各OSで改善。
* **KPAM-847:** 権限昇格リクエストに対するMFAレコードのユーザー情報を表示 (ダッシュボードおよびARAMイベント)。
* **KPAM-918:** アプリケーションの許可・起動・拒否に関する監査イベントの調査および検証。
* **KPAM-941:** 承認モーダルに追加コンテキストを表示し、意思決定を支援。
* **KPAM-953:** Keeperクライアントの \[履歴] タブで、期限切れと拒否されたリクエストを区別して表示。
* **KPAM-971:** Windowsエージェント: 実行ファイルでないファイルを昇格対象として選択した場合、明確なメッセージを表示。
* **KPAM-1206:** システムのショートカットメニューにKeeperClientショートカットを追加。
* **KPAM-1244:** MQTTベースの通知およびコンテキスト対応アクションのためのトレイアプリKepmMonitorを作成。
* **KPAM-1334:** 権限およびポリシーイベントに関する監査メッセージ設定と検証を追加。

<figure><img src="https://2583537500-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FXPuw9TQdctWBBanwVW0R%2Fuploads%2FAz759JfouwM8rEtBGM3x%2FEndpoint%20Privilege%20Manager%201.1-2.png?alt=media&#x26;token=99e9cf89-42a1-4ff7-a780-bd07a2d2f3f7" alt=""><figcaption></figcaption></figure>

### **リアルタイムのリクエスト更新**

リクエストページがwebhookにより動的に更新されるようになり、変更内容をリアルタイムで確認できるようになりました。また、イベントフロー全体を整理し、リクエストの進行状況をより分かりやすく追跡できるよう改善しました。

* **KPAM-192:** KeeperControlsにキャンセルボタンを追加。
* **KPAM-216:** KeeperMessageを拡張し、リクエスト作成アクションに対応。
* **KPAM-686:** KeeperClientの「ポリシーを更新」を実行後の確認ポップアップを表示。
* **KPAM-1166:** リクエストのアクティビティに関するエンドユーザー向けトースト通知を実装。
* **KPAM-1290:** 承認ステータス変更時にユーザー通知を表示 (同期ベースの更新トリガー)。
* **KPAM-1300:** 重複した承認アラートを防ぐための通知キャッシュを実装。
* **KPAM-1344:** 承認リクエスト送信時にトースト通知を表示。

<figure><img src="https://2583537500-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FXPuw9TQdctWBBanwVW0R%2Fuploads%2FpajhkqZlUIFknFt1XZmO%2FEndpoint%20Privilege%20Manager%201.1-3.png?alt=media&#x26;token=62abee49-9630-4148-b48d-bfc9f6d1c75c" alt=""><figcaption></figcaption></figure>

<figure><img src="https://2583537500-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FXPuw9TQdctWBBanwVW0R%2Fuploads%2Fi91HrT5ZWtsH3XCrqo8m%2FEndpoint%20Privilege%20Manager%201.1-4.png?alt=media&#x26;token=e33e75d4-8334-40fc-bb3e-8852b6c1e420" alt=""><figcaption></figcaption></figure>

### **コレクションとワイルドカード**

ポリシー作成時にワイルドカードをすぐに利用できるようになりました。また、新しいテナントにはワイルドカードベースのアプリケーションエントリが自動的に追加されるため、オンボーディングの迅速化と基本設定の簡素化が可能になります。

* **KPAM-383:** 「アイテムをコレクションに追加」のフィルターオプションにワイルドカード検索を追加。
* **KPAM-1327:** 登録済みデバイス全体で基本的なエンドポイントインベントリの収集および検証を追加。
* **KPAM-1328:** 登録済みエンドポイント全体でファイルインベントリの収集および検証を追加。
* **KPAM-1329:** 登録済みエンドポイント全体でローカルユーザーアカウントのインベントリ収集および検証を追加。
* **KPAM-1359:** KeeperPolicyフォルダーフィルターにワイルドカードおよびファイルパターンのサポートを追加。
* **KPAM-1431:** AllowCommandsの照合において、パス変数およびワイルドカードを使用した柔軟なポリシー定義に対応。

<figure><img src="https://2583537500-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FXPuw9TQdctWBBanwVW0R%2Fuploads%2Fj2rO2OKZH0kRRDouTdFa%2FEndpoint%20Privilege%20Manager%201.1-5.png?alt=media&#x26;token=c33d4f6f-0bf3-4d5e-8da4-dd250b62a024" alt=""><figcaption></figcaption></figure>

### **ポリシー**適用対象**の強化**

ポリシータイプ、ステータス、コントロール、コレクション、マシン、アプリケーション、ユーザーなどのフィルターにより、ポリシーの適用対象をより正確に指定できるようになりました。また、コマンド単位での権限昇格に対応し、昇格操作をより細かく制御できるようになりました。さらに、拒否に関するポリシーに保護パスのロジックを追加し、デフォルト拒否の適用を強化しました。

* **KPAM-740:** Ubuntuにおいて、ファイルアクセス用ポリシーと権限昇格用ポリシーでのファイル選択動作を区別。
* **KPAM-753:** 最小権限ポリシーによってドメイン管理者がローカル管理者グループから削除されないよう防止。
* **KPAM-1167:** OSの既定ディレクトリを対象としたフォルダ単位のアプリケーション実行の許可、拒否を設定できるよう対応。
* **KPAM-1330:** 制御された昇格ワークフロー向けの権限昇格ポリシーの設定および検証に対応。
* **KPAM-1331:** 制御された昇格ワークフローにおける最小権限ポリシーの設定および適用に対応。
* **KPAM-1332:** 各種適用モードにおけるファイルアクセスポリシーの設定および検証に対応。
* **KPAM-1342:** 制御された実行を実現するアプリケーションの許可、拒否ポリシーの設定および検証に対応。
* **KPAM-1376:** 統合ストレージ連携およびMQTT同期を備えたポリシー管理APIを実装。

<figure><img src="https://2583537500-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FXPuw9TQdctWBBanwVW0R%2Fuploads%2FkzYBGRvL7O9Iv1LP0ZEC%2FEndpoint%20Privilege%20Manager%201.1-6.jpeg?alt=media&#x26;token=902e5f45-b76c-405d-87f6-4e0b2d235044" alt=""><figcaption></figcaption></figure>

### ジョブ実行管理

エージェントの更新を行うことなく、ジョブの作成、更新、削除が可能になりました。また、ログレベルの変更などのリモート設定変更にも対応し、運用の柔軟性が向上しました。

* **KPAM-1302:** PamConfigを常駐型プラグインからオンデマンドのジョブ実行方式へ変更。
* **KPAM-1348:** 安全性と検証機能を備えたクロスプラットフォームのスクリプト実行に対応するようジョブシステムを強化。

<figure><img src="https://2583537500-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FXPuw9TQdctWBBanwVW0R%2Fuploads%2Fjsxje9pWNvvvH2gki3TB%2FEndpoint%20Privilege%20Manager%201.1-7.png?alt=media&#x26;token=985e4ab4-6269-456d-a53e-55c47bd7aab1" alt=""><figcaption></figcaption></figure>

### **デプロイメントとエージェント管理**

デプロイメントUIを簡素化し、導入作業をより容易にしました。また、管理者はコンソールから無効化されたエージェントを直接削除できるようになりました。

* **KPAM-1321:** 保留中のエージェント更新に対するKEPM監査イベント「policy\_evaluation\_requested」を追加。
* **KPAM-1325:** Windows、macOS、Linuxにおけるエージェントのインストール、登録、および初期ポリシー検証に対応。
* **KPAM-1326:** エンドポイント登録やコレクション、ポリシー関連付けの検証を実装。
* **KPAM-1341:** エージェントのユーザー向けメッセージの明確性、一貫性、および操作性を改善。
* **KPAM-1421:** エージェント登録をメインサービスの可用性に依存するよう変更。
* **KPAM-1435:** Linuxパッケージングの検証 (インストール、サービス起動、ポリシー適用、クリーンアンインストールの確認)。
* **KPAM-1463:** KeeperPrivilegeManagerにフルディスクアクセスを付与するためのmacOSのアプリバンドルラッパーに対応。

### **ログ機能の強化**

相関IDによるセッション全体の追跡、トラブルシューティングを容易にするリアルタイムログ監視、MFA監査失敗の検出などに対応し、ログおよび監視機能を強化しました。また、今後の行動分析に対応するための基盤を整備しました。

* **KPAM-440:** サービス起動時にKeeperClientのバージョンをKeeperLogsに記録。
* **KPAM-471:** Windows: サポート診断用にデバッグログをZIPにまとめるログ収集ユーティリティを作成。
* **KPAM-1230:** KeeperLogger設定ファイルにより、各プラットフォームでエージェントのログレベルを設定可能に。
* **KPAM-1405:** 安全な初期設定と再起動不要の設定反映に対応したログ保持期間の設定機能を追加。

### **Keeper Watchdogサービス**

Keeper特権マネージャーが停止した場合に自動的に再起動するWatchdog機能を追加しました。これにより、アップデートや設定変更時におけるプラットフォームの安定性が向上します。

* **KPAM-57:** コアエージェントにWatchdogサービスを追加。

### **ローカライゼーション**

エージェントおよびクライアントの完全なローカライズに対応しました。また、JSONを通じて翻訳を直接更新できるようになり、柔軟性とグローバル対応が向上しました。

* **KPAM-459:** エージェントのローカライズ機能を実装。
* **KPAM-1109:** ローカライズ対応のための文字列を準備。
* **KPAM-1337:** 対応言語全体でのクライアントのローカライズ検証および英語監査ログの一貫性を確保。

## **バグ修正**

* **KPAM-185:** KeeperClientが二重に起動される不具合を修正。
* **KPAM-225:** macOS: Keeperディレクトリ内の欠落していたフォルダおよびファイルを復元。
* **KPAM-229:** macOS: エージェントによる過剰なCPU使用率を改善。
* **KPAM-256:** Windows: ポリシーによりドメイン管理者のPowerShell実行がブロックされる不具合を修正。
* **KPAM-268:** クロスプラットフォームでのエージェント自動登録に関する不具合を修正。
* **KPAM-280:** Windows 11およびmacOSでエージェントが不明と表示され、インベントリデータが欠落する不具合を修正。
* **KPAM-288:** macOS: 大規模なAppTranslocationディレクトリにおけるフルインベントリスキャンが失敗する不具合を修正。
* **KPAM-290:** macOS: 初回実行後にKeeperInventoryFullが正しく再起動しない不具合を修正。
* **KPAM-331:** macOS Sequoia: コマンドライン承認プロンプトが表示されない不具合を修正。
* **KPAM-444:** Windows: SentinelOneによってエージェントのインストールがブロックされる不具合を解消。
* **KPAM-447:** macOS: エージェントの自動登録に関する不具合を修正。
* **KPAM-448:** macOS Sequoia: インストール後にKeeperClientが自動起動しない不具合を修正。
* **KPAM-457:** macOS Sequoia: KeeperInventoryUserの実行に関する不具合を修正。
* **KPAM-480:** macOS Sequoia / Sonoma: エンドポイントのホスト名が不明として登録される不具合を修正。
* **KPAM-499:** macOS Sequoia: KeeperInventoryFullの実行に関する不具合を修正。
* **KPAM-534:** 無効化されたARAMにおける、エージェントの認証に失敗するイベントが繰り返し発生する不具合を修正。
* **KPAM-548:** AD参加済みWindowsサーバーにおけるACLルール警告の表示を抑制。
* **KPAM-600:** Windowsサーバー2022: 送信ボタンの表示に関する不具合を修正。
* **KPAM-612:** エージェントのリクエストなりすましを防止。
* **KPAM-614:** クライアントおよびコントロールコンポーネントにおけるファイルパスの検証およびサニタイズ処理を強化。
* **KPAM-669:** macOS Sequoia: 最小権限の強制適用時にユーザー除外が適用されない不具合を修正。
* **KPAM-730:** 権限昇格ポリシーにおいて、ユーザーに承認者およびエスカレーション承認者のタグを追加。
* **KPAM-779:** Windowsサーバー2022: 承認後にアプリケーションの却下に関するエラーが表示される不具合を修正。
* **KPAM-801:** Windows: 権限昇格リクエスト送信時にユーザー確認用のトースト通知を追加。
* **KPAM-834:** すべてのプラットフォームで、エージェントのアンインストール時に一時ユーザーが削除されるよう修正。
* **KPAM-844:** 権限昇格ポリシーの変更がエージェントに正しく反映されるよう修正。
* **KPAM-894:** Windowsサーバー2022/2025: ファイルアクセスポリシーと権限昇格ポリシーが重複した場合のイベントタイプを修正。
* **KPAM-898:** 権限昇格アクセスの有効期間に関する不整合を修正。
* **KPAM-914:** Ubuntu: SudoWrapper有効時でも管理者がエージェントをアンインストールできるよう修正。
* **KPAM-920:** Windows: 許可されたアプリに対してKeeperClientによる管理者プロンプトが表示されないよう修正。
* **KPAM-922:** Ubuntu 22.04: 期限切れのコマンドラインリクエストで昇格が行われない不具合を修正。
* **KPAM-939:** Windows: 管理者と標準ユーザー混在セッションで誤ったアクセス拒否プロンプトが表示される不具合を修正。
* **KPAM-949:** Windows: 複数ユーザーがログインしている環境でのアプリ起動コンテキストに関する不具合を修正。
* **KPAM-956:** KeeperAgentにヘルプメニューおよびバージョン表示を追加。
* **KPAM-990:** 権限昇格のキャンセル操作時におけるメッセージを統一。
* **KPAM-995:** KeeperClientのUIにおける拒否メッセージを統一。
* **KPAM-1111:** アプリケーションが誤ったユーザーコンテキストで起動される不具合を修正。
* **KPAM-1117:** マウスオーバー時のUI表示を改善。
* **KPAM-1118:** Windows: ncpa.cplの昇格実行時にネットワーク設定の編集ができない不具合を修正。
* **KPAM-1125:** 監査ログで承認済みと表示される一方、リクエストが保留のままとなる不具合を修正。
* **KPAM-1126:** 保護ファイル管理のサポートを追加。
* **KPAM-1132:** ボタンのホバーおよびフォーカス時のUI表示に関する不具合を修正。
* **KPAM-1145:** ファイルアクセス監視モードにおいて、コレクション外アプリの監査ログを正しく記録するよう修正。
* **KPAM-1149:** Windows 25: コレクション外アプリに対して「関連付けられたポリシーがありません」と誤表示される不具合を修正。
* **KPAM-1162:** Windows: ファイルアクセスによる起動時の監査イベントタイプを修正。
* **KPAM-1163:** Windows: 最小権限適用時の監査および拒否メッセージの不整合を修正。
* **KPAM-1195:** Windows Server 2022: 対象外アプリに対して誤ってポリシー拒否が発生する不具合を修正。
* **KPAM-1196:** Windows: 同一アプリケーションに対する重複した承認リクエストを防止。
* **KPAM-1210:** Windows: エージェントのアンインストール時にKeeperUserSessionフォルダを削除するよう修正。
* **KPAM-1214:** フィルタ済みアプリを繰り返しクリックした際に重複リクエストが発生する不具合を修正。
* **KPAM-1229:** CreateProcessのフェイルセーフ処理を追加。
* **KPAM-1231:** スレッド説明に関するコードの不具合を修正。
* **KPAM-1234:** CreateProcess実行時に処理が停止する不具合を解消。
* **KPAM-1236:** エージェント登録失敗時のユーザーフィードバックを追加。
* **KPAM-1240:** コンソール: 承認リクエストにおけるUnicode表示の不具合を修正。
* **KPAM-1250:** エージェント登録に関する不具合を修正。
* **KPAM-1255:** GovCloud: Keeper管理者以外のユーザーをポリシーの承認者として追加できない不具合を修正。
* **KPAM-1296:** Windows: UWPアプリ終了時にKeeperUSessionがクラッシュする不具合を修正。
* **KPAM-1297:** KeeperWatchインジェクターコンポーネントを再実装。
* **KPAM-1298:** インジェクターのプロセス監視処理を改善。
* **KPAM-1305:** KeeperInventoryUserジョブの実行に関する不具合を修正。
* **KPAM-1306:** InventoryUserのグループ処理に関する不具合を修正。
* **KPAM-1308:** InventoryBasicと他コンポーネント間で共有ストレージパスが一致しない不具合を修正。
* **KPAM-1311:** 承認ウィンドウのドラッグ時のちらつきを修正。
* **KPAM-1312:** 画面起動時にUI要素がずれる不具合を修正。
* **KPAM-1313:** インジェクターにおけるCreateProcessハンドル管理を修正。
* **KPAM-1314:** トースト通知にアプリケーションアイコンを追加。
* **KPAM-1315:** Windows: 透過トーストアイコンの背景が青く表示される不具合を修正。
* **KPAM-1316:** KeeperUSessionのパフォーマンス低下を調査、修正。