# macOSでのデプロイ

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FJvXtpJuWPd6g2ESeD0tU%2FPEDM%20Deployment.jpg?alt=media&#x26;token=2437e755-a513-4ee7-ac06-d7bee30014e6" alt=""><figcaption></figcaption></figure>

本ページでは、macOSデバイスにKeeperエンドポイント特権マネージャー (EPM) をインストールして構成する手順を説明します。インストールされるコンポーネントとその理由、デバイスのインストールと登録、macOSバージョン間の主な違い、動作確認の方法について記載しています。

## 概要 <a href="#overview" id="overview"></a>

macOSでは、Keeper EPMは各デバイス上で動作する軽量なバックグラウンドアプリケーション (エージェント) を使用します。エージェントはKeeper管理コンソールからルールを受け取り、ユーザーアクティビティを監視し、必要に応じて承認、MFA、特権昇格などのセキュリティコントロールを適用する実行レイヤーとして機能します。

## macOSバージョンのサポート <a href="#macos-version-support" id="macos-version-support"></a>

#### システム拡張のサポート <a href="#system-extension-support" id="system-extension-support"></a>

システム拡張の扱いはmacOSのバージョンによって異なります。macOS Tahoe (新しいバージョン) ではすべての機能を利用でき、動作も最も安定しています。SonomaやSequoiaなどの旧バージョンでは一部機能に制限があります。可能であればmacOS Tahoe以降の利用を推奨します。

#### サポート対象のmacOSバージョン <a href="#supported-macos-versions" id="supported-macos-versions"></a>

* **Tahoe (新しいバージョン)** → 完全サポート (推奨)
* **Sonoma / Sequoia (旧バージョン)** → 部分的サポート

<h3 align="center">macOSのバージョン間で何が変わるか</h3>

<table data-header-hidden="false" data-header-sticky><thead><tr><th width="211">機能</th><th>Sonoma / Sequoia (旧)</th><th>Tahoe以降 (新)</th></tr></thead><tbody><tr><td><strong>アプリケーションのインストール</strong></td><td>標準ユーザーは直接インストールできずKeeperClientが必要</td><td><code>.pkg</code> のダブルクリック、<code>.dmg</code> アプリのドラッグ&#x26;ドロップ、またはKeeperClientでインストール可能</td></tr><tr><td><strong>ファイルアクセスポリシー</strong></td><td>一部のシステムフォルダは読み取り専用 (例: <code>/System/Applications</code>) のためポリシーが適用されない場合がある</td><td>より広いシステムレベルの制御とポリシーの柔軟性</td></tr><tr><td><strong>コマンドラインコントロール (非昇格)</strong></td><td>非対応</td><td>対応</td></tr><tr><td><strong>コマンドラインコントロール (昇格 / sudo)</strong></td><td>対応</td><td>対応</td></tr></tbody></table>

#### 運用上の意味 <a href="#what-this-means-for-you" id="what-this-means-for-you"></a>

最適な体験のためにはmacOS Tahoe以降を利用してください。SonomaやSequoiaでは、アプリのインストールにKeeperClientを使う、制限されたシステムフォルダをポリシーの対象にしない、ポリシー適用や機能に一部制限があることを前提にしてください。

## デプロイメントパッケージ <a href="#deployment-packages" id="deployment-packages"></a>

#### Keeperのエンドポイントマネージャーをデプロイする方法 <a href="#how-you-can-deploy-keepers-endpoint-manager" id="how-you-can-deploy-keepers-endpoint-manager"></a>

環境に応じて複数のデプロイ方法があります。手動インストールは検証や小規模展開向け、スクリプトは自動化に柔軟に使えます。大規模環境ではJamfやIntuneなどのMDMが集中管理と一貫性の観点で適しています。多くのお客様はMDMベースのデプロイでスケーラブルかつ安定した展開を行っています。

### 開始前のチェックリスト (要件) <a href="#before-you-start-prerequisite-checklist" id="before-you-start-prerequisite-checklist"></a>

* EPMが有効なKeeperテナント
* 管理コンソールから取得した **登録トークン**
* macOSインストーラパッケージ
* デバイスでの **管理者権限**
* ネットワーク接続 (デフォルトではポート6889のHTTPS)

<figure><img src="/files/vXYQH2saHBNw63aGGxBV" alt="" width="375"><figcaption></figcaption></figure>

## デプロイの手順 <a href="#deployment-steps" id="deployment-steps"></a>

{% stepper %}
{% step %}
**ダウンロードと展開**

管理コンソールでエンドポイント特権マネージャーを開き、**\[展開]** をクリックしてデプロイメントパッケージを表示します。

<figure><img src="/files/zaKmM7D9xDZ8J3WBOReT" alt=""><figcaption></figcaption></figure>

macOSワークステーションへ展開するパッケージを選択します。**Select Package Files**で**Mac**を選択します。

<figure><img src="/files/nIaoBADmBOqEH0uJuiko" alt="" width="375"><figcaption></figcaption></figure>
{% endstep %}

{% step %}
**エージェントのインストール**

MacにKeeperパッケージをインストールします。
{% endstep %}

{% step %}
**フルディスクアクセス**

**重要:** ファイルアクセスおよびコマンドラインポリシーを機能させるには、エージェントにフルディスクアクセスを付与する必要があります。

* **\[設定]** → **\[プライバシーとセキュリティ]** → **\[フルディスクアクセス]** で**KeeperPrivilegeManager**に権限を付与します。
* フルディスクアクセスを付与したあと、構成が反映されるまで最大約2分かかることがあります。

{% hint style="info" %}
エージェントはKeeper Securityの親会社であるCallpod Inc.により署名されています。Appleのポリシーにより、macOSおよびiOS向けのKeeperソフトウェアはすべてCallpod Inc.によりデジタル署名されています。
{% endhint %}
{% endstep %}

{% step %}
**サービスの開始と再起動**

**サービスの開始**

KeeperはmacOSのサービス管理機能によりバックグラウンドで動作します。

**開始**

```bash
keepersudo launchctl load /Library/LaunchDaemons/com.keeper.keeper-privilege-manager.plist
```

**稼働確認**

```bash
keepersudo launchctl list | grep keeper
```

**サービスの再起動**

サービスの再起動が必要な場合は、以下のコマンドを使用します。

<pre class="language-bash"><code class="lang-bash"><strong>keepersudo launchctl unload /Library/LaunchDaemons/com.keeper.keeper-privilege-manager.plist
</strong></code></pre>

```bash
keepersudo launchctl load /Library/LaunchDaemons/com.keeper.keeper-privilege-manager.plist
```

{% endstep %}

{% step %}
**稼働状態の確認**

エージェントが動作していることを確認します。

```bash
curl -k https://localhost:6889/health
```

正常な応答が返ることを確認してください。ローカルのヘルスエンドポイントが応答しており、監視に利用できる状態です。
{% endstep %}

{% step %}
**デバイスの登録**

デバイスをKeeper環境に接続します。

```bash
keepersudo /Library/Keeper/sbin/Jobs/bin/KeeperRegistrationHelper/KeeperRegistrationHelper --token="YOUR_TOKEN_HERE"
```

この手順によりMacが組織に紐づき、ポリシーを受け取れるようになります。

**登録の確認**

```bash
curl -k https://localhost:6889/api/Keeper/registration
```

以下の状態になることを確認します。

* 登録済み (Registeredがtrue)
* デプロイID (Deployment ID) が返っていること
  {% endstep %}

{% step %}
**(任意) MDMでのデプロイ**

大規模環境ではJamf、Intune、その他のMDMを利用します。

**典型的なワークフロー**

1. PKGインストーラをアップロードする 2.デバイスへ配布する 3.サービスの開始とデバイス登録を行うスクリプトを用意する

**例**

```bash
#!/bin/bash

launchctl load /Library/LaunchDaemons/com.keeper.keeper-privilege-manager.plist

sleep 20
/Library/Keeper/sbin/Jobs/bin/KeeperRegistrationHelper/KeeperRegistrationHelper --token="YOUR_TOKEN_HERE"
```

{% endstep %}

{% step %}
**検証**

デプロイ後に以下を確認します。

**1.サービスが動作している**

```bash
keepersudo launchctl list | grep keeper
```

**2.ヘルスチェック**

```bash
curl -k https://localhost:6889/health
```

**3.デバイスが登録されている**

```bash
curl -k https://localhost:6889/api/Keeper/registration
```

**4.プラグイン (任意)**

```bash
curl -k https://localhost:6889/api/plugins
```

以下の主要コンポーネントが表示されます。

* KeeperAPI
* KeeperPolicy

ポリシーの評価と適用の中核です。
{% endstep %}
{% endstepper %}

### インストール後の動作 <a href="#what-happens-after-installation" id="what-happens-after-installation"></a>

インストール後、エージェントは `/Library/Keeper/` に配置され、バックグラウンドサービスが自動的に起動します。デバイスはシステムデータの収集を開始し、Keeper管理コンソールからポリシーを同期します。

環境によっては、システム拡張やセキュリティ権限に関するプロンプトがユーザーに表示されることがあります。MDMで事前承認すると、スムーズなデプロイが可能です。

#### ユーザー側の体験 <a href="#what-the-user-experiences" id="what-the-user-experiences"></a>

デプロイの多くはエンドユーザーから見えません。インストールは通常サイレントで操作は不要です。

セットアップ後は、MFA、承認、特権昇格などがポリシーによって必要になったときだけプロンプトが表示されます。業務を阻害せず、必要な操作だけを安全に行えるようにします。

#### デプロイ後のデフォルト動作 <a href="#default-behavior-after-deployment" id="default-behavior-after-deployment"></a>

デプロイ後、エージェントは既定で監視モードで起動します。ポリシーは評価されますが積極的な適用は行われません。適用を有効にする前に、安全に挙動を検証できます。

### **macOSでのアンインストール** <a href="#uninstall-on-macos" id="uninstall-on-macos"></a>

macOSからKeeperエージェントをアンインストールするには、デプロイメントパッケージとともにダウンロードされるインストールスクリプトに付属するアンインストールスクリプトを実行します。

{% hint style="info" %}
**備考**

* Keeperエージェントは、ユーザーが新しいログインセッションを開始すると起動します。ログアウトおよび再ログインが必要になる場合があります。
* `sudo` ポリシー制御の詳細は、[コマンドラインポリシー](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/command-line-policy-type.md)ページをご参照ください。
  {% endhint %}

### ログ (必要な場合) <a href="#logs-if-you-need-them" id="logs-if-you-need-them"></a>

最近のアクティビティは以下のコマンドで確認できます。

```bash
keepersudo log show --predicate 'process contains "keeper"'
```

ログは自動的にローテーションされ、保持期間はmacOSのログシステムにより管理されます。

詳細なログファイルのパスは以下です。

```
/Library/Keeper/sbin/Plugins/bin/KeeperLogger/Log/KeeperLoggerYYYYMMDD.log
```

### 注意事項とよくある調整 <a href="#important-notes-common-adjustments" id="important-notes-common-adjustments"></a>

#### 権限とセキュリティのプロンプト <a href="#permissions-security-prompts" id="permissions-security-prompts"></a>

デプロイ中、システム拡張やセキュリティとプライバシーの権限など、macOSがコンポーネントの承認を求めることがあります。MDMで事前承認すると、対話なしでスムーズに展開できます。

#### トークンの取り扱い <a href="#protect-your-token" id="protect-your-token"></a>

登録トークンは機密性の高い認証情報です。スクリプトに直接書かず、MDMの安全な変数など保護された手段で渡してください。漏えいリスクに応じてローテーションしてください。

#### タイミング <a href="#timing-issues" id="timing-issues"></a>

登録に失敗する場合、サービスがまだ完全に初期化されていない可能性があります。登録コマンドの前に待機時間を延ばす (例: `sleep 20` を `sleep 40` にする) と改善することがあります。

#### パスの制約 (旧macOS) <a href="#path-limitations-older-macos" id="path-limitations-older-macos"></a>

旧バージョンのmacOSでは、特定のシステムディレクトリは制限されておりポリシーで制御できません。例として `/System/*` 配下は通常読み取り専用のため対象にしないでください。

代わりに `/Users` や `/Applications` など、ポリシーを適用しやすい場所を利用してください。

### トラブルシューティング <a href="#troubleshooting" id="troubleshooting"></a>

#### サービスが動作しない <a href="#service-not-running" id="service-not-running"></a>

サービスが動作しない場合は、launchdの構成が正しく読み込まれているか確認し、システムログで起動を妨げるエラーがないか調べてください。

#### デバイスが登録されない <a href="#device-not-registering" id="device-not-registering"></a>

登録トークンが正しいか、ネットワークに接続できるか、登録試行前にKeeperサービスが動いているかを確認してください。

#### ポリシーが効かない <a href="#policies-not-working" id="policies-not-working"></a>

macOSのバージョンで必要な機能が利用できるか、制限されたシステムパスをポリシーの対象にしていないか、デバイスが正常に登録されているかを確認してください。

### まとめ <a href="#summary" id="summary"></a>

macOSでKeeper EPMをデプロイすると、以下が実現できます。

* 他プラットフォームと同じポリシーモデルでAppleデバイスを保護できる
* 特権昇格、ファイルアクセス、コマンドを制御できる
* MDMツールで展開をスケールしやすい

**最適な結果**を得るにはmacOS Tahoe以降の利用を推奨します。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/deployment/deploy-with-macos.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.