macOSでのデプロイ
macOSへのKeeper EPMのデプロイ
本ページでは、macOSデバイスにKeeperエンドポイント特権マネージャー (EPM) をインストールして構成する手順を説明します。インストールされるコンポーネントとその理由、デバイスのインストールと登録、macOSバージョン間の主な違い、動作確認の方法について記載しています。
概要
macOSでは、Keeper EPMは各デバイス上で動作する軽量なバックグラウンドアプリケーション (エージェント) を使用します。エージェントはKeeper管理コンソールからルールを受け取り、ユーザーアクティビティを監視し、必要に応じて承認、MFA、特権昇格などのセキュリティコントロールを適用する実行レイヤーとして機能します。
macOSバージョンのサポート
システム拡張のサポート
システム拡張の扱いはmacOSのバージョンによって異なります。macOS Tahoe (新しいバージョン) ではすべての機能を利用でき、動作も最も安定しています。SonomaやSequoiaなどの旧バージョンでは一部機能に制限があります。可能であればmacOS Tahoe以降の利用を推奨します。
サポート対象のmacOSバージョン
Tahoe (新しいバージョン) → 完全サポート (推奨)
Sonoma / Sequoia (旧バージョン) → 部分的サポート
macOSのバージョン間で何が変わるか
アプリケーションのインストール
標準ユーザーは直接インストールできずKeeperClientが必要
.pkg のダブルクリック、.dmg アプリのドラッグ&ドロップ、またはKeeperClientでインストール可能
ファイルアクセスポリシー
一部のシステムフォルダは読み取り専用 (例: /System/Applications) のためポリシーが適用されない場合がある
より広いシステムレベルの制御とポリシーの柔軟性
コマンドラインコントロール (非昇格)
非対応
対応
コマンドラインコントロール (昇格 / sudo)
対応
対応
運用上の意味
最適な体験のためにはmacOS Tahoe以降を利用してください。SonomaやSequoiaでは、アプリのインストールにKeeperClientを使う、制限されたシステムフォルダをポリシーの対象にしない、ポリシー適用や機能に一部制限があることを前提にしてください。
デプロイメントパッケージ
Keeperのエンドポイントマネージャーをデプロイする方法
環境に応じて複数のデプロイ方法があります。手動インストールは検証や小規模展開向け、スクリプトは自動化に柔軟に使えます。大規模環境ではJamfやIntuneなどのMDMが集中管理と一貫性の観点で適しています。多くのお客様はMDMベースのデプロイでスケーラブルかつ安定した展開を行っています。
開始前のチェックリスト (要件)
EPMが有効なKeeperテナント
管理コンソールから取得した 登録トークン
macOSインストーラパッケージ
デバイスでの 管理者権限
ネットワーク接続 (デフォルトではポート6889のHTTPS)
デプロイの手順
エージェントのインストール
macOSパッケージは、以下のファイルを含むZIPファイルとして配布されます。
install_endpoint_privilege_manager.sh
インストールスクリプト
keeper-privilege-manager-x.x.x.x.arm64.pkg
Apple Silicon (ARM64) 向けパッケージ
keeper-privilege-manager-x.x.x.x.x86_64.pkg
Intel (x86_64) 向けパッケージ
uninstall_endpoint_privilege_manager.sh
アンインストールスクリプト
インストール時は、システムアーキテクチャが自動検出され、適切なパッケージが選択・インストールされたうえで、指定したデプロイトークンによるエージェント登録まで行われます。
ターミナルから以下を実行してインストールします。
<YOUR_TOKEN_HERE> は、Keeper管理コンソールのデプロイトークンに置き換えてください。
フルディスクアクセス
重要: ファイルアクセスおよびコマンドラインポリシーを機能させるには、エージェントにフルディスクアクセスを付与する必要があります。
[設定] → [プライバシーとセキュリティ] → [フルディスクアクセス] でKeeperPrivilegeManagerに権限を付与します。
フルディスクアクセスを付与したあと、構成が反映されるまで最大約2分かかることがあります。
エージェントはKeeper Securityの親会社であるCallpod Inc.により署名されています。Appleのポリシーにより、macOSおよびiOS向けのKeeperソフトウェアはすべてCallpod Inc.によりデジタル署名されています。
インストール後の動作
インストール後、エージェントは /Library/Keeper/ に配置され、バックグラウンドサービスが自動的に起動します。デバイスはシステムデータの収集を開始し、Keeper管理コンソールからポリシーを同期します。
環境によっては、システム拡張やセキュリティ権限に関するプロンプトがユーザーに表示されることがあります。MDMで事前承認すると、スムーズなデプロイが可能です。
ユーザー側の体験
デプロイの多くはエンドユーザーから見えません。インストールは通常サイレントで操作は不要です。
セットアップ後は、MFA、承認、特権昇格などがポリシーによって必要になったときだけプロンプトが表示されます。業務を阻害せず、必要な操作だけを安全に行えるようにします。
デプロイ後のデフォルト動作
デプロイ後、エージェントは既定で監視モードで起動します。ポリシーは評価されますが積極的な適用は行われません。適用を有効にする前に、安全に挙動を検証できます。
macOSでのアンインストール
macOSからKeeperエージェントをアンインストールするには、デプロイメントパッケージとともにダウンロードされるインストールスクリプトに付属するアンインストールスクリプトを実行します。
備考
Keeperエージェントは、ユーザーが新しいログインセッションを開始すると起動します。ログアウトおよび再ログインが必要になる場合があります。
sudoポリシー制御の詳細は、コマンドラインポリシーページをご参照ください。
ログ (必要な場合)
最近のアクティビティは以下のコマンドで確認できます。
ログは自動的にローテーションされ、保持期間はmacOSのログシステムにより管理されます。
詳細なログファイルのパスは以下です。
注意事項とよくある調整
権限とセキュリティのプロンプト
デプロイ中、システム拡張やセキュリティとプライバシーの権限など、macOSがコンポーネントの承認を求めることがあります。MDMで事前承認すると、対話なしでスムーズに展開できます。
トークンの取り扱い
登録トークンは機密性の高い認証情報です。スクリプトに直接書かず、MDMの安全な変数など保護された手段で渡してください。漏えいリスクに応じてローテーションしてください。
タイミング
登録に失敗する場合、サービスがまだ完全に初期化されていない可能性があります。登録コマンドの前に待機時間を延ばす (例: sleep 20 を sleep 40 にする) と改善することがあります。
パスの制約 (旧macOS)
旧バージョンのmacOSでは、特定のシステムディレクトリは制限されておりポリシーで制御できません。例として /System/* 配下は通常読み取り専用のため対象にしないでください。
代わりに /Users や /Applications など、ポリシーを適用しやすい場所を利用してください。
トラブルシューティング
サービスが動作しない
サービスが動作しない場合は、launchdの構成が正しく読み込まれているか確認し、システムログで起動を妨げるエラーがないか調べてください。
デバイスが登録されない
登録トークンが正しいか、ネットワークに接続できるか、登録試行前にKeeperサービスが動いているかを確認してください。
ポリシーが効かない
macOSのバージョンで必要な機能が利用できるか、制限されたシステムパスをポリシーの対象にしていないか、デバイスが正常に登録されているかを確認してください。
まとめ
macOSでKeeper EPMをデプロイすると、以下が実現できます。
他プラットフォームと同じポリシーモデルでAppleデバイスを保護できる
特権昇格、ファイルアクセス、コマンドを制御できる
MDMツールで展開をスケールしやすい
最適な結果を得るにはmacOS Tahoe以降の利用を推奨します。
最終更新