Windowsでのデプロイ
WindowsへのKeeper EPMのデプロイ
本ページでは、WindowsデバイスにKeeperエンドポイント特権マネージャー (EPM) をデプロイする方法を説明します。エージェントのインストール、Keeper環境への接続、環境に合ったデプロイ方法 (Intune、GPO、スクリプトなど) の選び方、動作確認までを扱います。
概要
Windowsでは、Keeper EPMは各デバイスで動作するバックグラウンドサービスとしてインストールされます。ユーザー操作なしに継続稼働し、組織のセキュリティポリシーを適用します。
ポリシー適用の「エンジン」と考えることができます。以下の処理を行います。
Keeper管理コンソールからポリシーを受信する
ユーザーアクティビティとシステムの挙動を監視する
必要に応じて昇格、MFA、承認などのコントロールを適用する
これにより、ユーザー体験をできるだけ損なわずにリアルタイムでセキュリティを強制できます。
デプロイの選択肢
環境に応じて最適なデプロイ方法を選べます。
Microsoft Intune → クラウド管理デバイス向け
グループポリシー (GPO) → オンプレミスのActive Directory環境向け
スクリプト (PowerShell、SCCMなど) → カスタムまたはハイブリッド向けの最も柔軟な方法
いずれの方法でも、根底の流れは同じです。
エージェントをインストールする
サービスを開始する
デバイスを登録する
正常に動作していることを検証する
この一貫した流れにより、あらゆる環境で予測可能で信頼性の高いデプロイが可能になります。
デプロイメントパッケージ (推奨)
Keeperをデプロイする最も簡単な方法は、Keeper管理コンソールのデプロイメントパッケージを使うことです。デバイスをオンボードするために必要なものがまとまっており、展開プロセスが簡素化されます。
デプロイメントパッケージには通常以下が含まれます。
Windowsインストーラ (.MSI)
登録トークン
グループ化やターゲティングなどの構成情報
ほとんどの環境では、スケールデプロイの標準かつ推奨の方法です。
Windows固有の注意点
KeeperがWindowsでどう動くかの要点です。インストールは標準のMSIインストーラで行われ、インストール後はバックグラウンドのWindowsサービスとして動作します。ユーザー操作なしに継続して稼働できます。
Keeperはユーザーアカウントコントロール (UAC) やネイティブのプロセス監視・昇格ワークフローなど、Windowsのコアなセキュリティ機構と直接統合します。この深い統合により、通常のユーザー体験を崩さずに管理者権限を安全かつシームレスに制御できます。
サポートされるWindowsバージョン
Keeper EPMは、以下を含む現代のWindows環境で利用できます。
Windows 11
Windows Server 2025
展開前に環境との互換性を確認してください。
環境上の考慮事項
エージェントの稼働とヘルスチェックにはポート6889のローカルHTTPS通信が必要です。自動デプロイではサイレントインストールを推奨し、エンドポイント間で一貫した非対話の展開を行ってください。
ドメインコントローラーへのインストールは非対応
Keeperエンドポイント特権マネージャー (EPM) は、Windowsドメインコントローラーにはインストールできません。ドメインコントローラー上でのインストールはブロックされ、以下のエラーが表示されます。
"This software cannot be installed on a Domain Controller."
ドメインコントローラーはActive Directory環境で特化した役割を担うため、EPMエージェントの対象エンドポイントにはなりません。ドメイン全体の特権ポリシーを管理する場合は、ドメインコントローラー自体ではなく、メンバーワークステーションおよびサーバーにEPMエージェントをインストールしてください。
ディレクトリ連携が必要
ユーザーおよびグループのコレクションを対象とするEPMポリシーは、ADまたはEntra IDの同期が正しく機能していることが前提です。epm scim コマンドを使用する前に、Keeper管理コンソールでActive Directory連携を構成する必要があります。連携が未構成の場合、コレクションが不完全になり、ポリシー適用も想定どおりに機能しません。
詳細はこちらのページをご参照ください。
開始前のチェックリスト (要件)
KeeperのMSIインストーラ
管理コンソールから取得した 登録トークン
任意 (推奨)
自動化用のデプロイスクリプト
デプロイの手順
エージェントのインストールと登録
Windowsデバイスを登録する方法は2つあります。
オプション 1: インライン登録 (インストール時)
インストールと同時にデバイスを登録できます。
サイレントモードでは、インストール後にシステムが自動的に再起動します。再起動を延期し、IntuneやSCCMなどで別途管理する場合は、以下を使用します。
powershell
/norestart を使用した場合、マシンが再起動するまでエージェントはアクティブになりません。デプロイトークンはレジストリに保存され、次回の再起動時に自動的に使用されます。
x.x.x.xxx は .msi ファイルのバージョン番号、 YOUR_TOKEN_HERE はデプロイメントパッケージのトークン値にそれぞれ置き換えてください。
オプション 2: インストール後の登録 (推奨)
先にインストールし、登録は別途行います。
特に以下の場合はこの方法を推奨します。
Intune
GPO
スクリプト
エージェントの手動登録解除
アンインストールせずにKeeperサーバーからエージェントの登録だけを解除する場合 (別のデプロイグループへ移す、クリーンに再登録するなど)、昇格したPowerShellプロンプトから以下を実行します。
powershell
このコマンドを実行する前にメインサービスが動作している必要があります。登録解除が完了すると、管理コンソールではエージェントは登録済みとして表示されません。再登録するには、有効なデプロイトークンで KeeperRegistrationHelper を実行します。
スクリプトの例
シンプルで信頼性の高いデプロイスクリプトの例です。
YOUR_TOKEN_HERE を実際のトークンに置き換えてください。
デプロイ方法
環境に合った方法を選んでください。
Microsoft Intuneでデプロイ (クラウド)
クラウド管理のモダンなデバイス向けです。
手順
インストーラをWin32アプリ (.intunewin) としてパッケージ化する
Intuneにアップロードする
インストールコマンドを設定する
検出ルールを設定する
ファイル
またはサービス
デバイスグループに割り当てる
本番展開の前に必ず パイロットグループ から始めてください。
Intuneでの再起動の挙動
Win32アプリとしてデプロイする場合、Intuneは以下のMSI終了コードを認識し、それに応じて処理します。
3010
インストール成功。再起動が必要
Intuneの割り当ての再起動ポリシーで再起動をトリガーするよう構成する
1641
インストール成功。インストーラが再起動を開始した
追加の再起動設定は不要。デバイスは自動的に再起動する
Win32アプリの割り当てで再起動の挙動を組織の再起動ポリシーに合わせて構成してください。インストールコマンドで /norestart を使い再起動を別管理する場合は終了コード 3010 が返る想定で、再起動ポリシーがそれを処理できるようにしてください。
どの終了コードでも、再起動が完了するまでエージェントはアクティブになりません。
グループポリシー (GPO) でデプロイ
従来のActive Directory環境向けです。
オプション 1: MSIのデプロイ
パス
制限: MSIのみを配布する場合、ソフトウェアはインストールされますが、デバイスは登録されません
オプション 2: スタートアップスクリプト (推奨)
スタートアップスクリプトでインストールと登録を行います。
例
PowerShell
CMD
デバイスが完全に構成されます。
スクリプト/SCCM/MECMでデプロイ
柔軟またはハイブリッドな環境向けです。
利用できるもの
PowerShell
SCCM / MECM
その他のデプロイツール
例
PowerShell
CMD
デプロイの検証
デプロイ後、デバイスを確認し正常に動作していることを検証します。
1. サービス状態の確認
PowerShell
CMD
期待値 (PowerShell): Status: Running / (CMD): STATE : 4 RUNNING
2. ヘルスチェック
PowerShell
CMD
期待値は {"status": "running"} です。
サービスが応答していることを確認できます。
3. 登録の確認
PowerShell
CMD
期待される状態
エージェントが登録済みであること
デプロイID (Deployment ID) が返っていること
4. プラグインの確認 (任意)
PowerShell
CMD
期待される状態
KeeperAPIが動作している
KeeperPolicyが動作している
ポリシーを適用する中核コンポーネントです。
備考
curl.exeは Windows 10およびWindows 11に付属のPowerShellとCMDに標準で含まれています。PowerShellでは、curl(.exeなし) はInvoke-WebRequestのエイリアスであり挙動が異なります。PowerShellでは必ずcurl.exeを明示してください。古いWindowsではcurlを別途インストールするか、代替としてInvoke-WebRequest -Uri https://localhost:6889/health -SkipCertificateCheckを使用してください。
インストール後の動作
インストール後、Keeperサービスが自動的に起動し、エージェントはアプリケーションやユーザーアクティビティなど基本的なシステムデータの収集を開始します。Keeper ClientのUI (システムトレイのアイコン) がユーザーに表示される場合がありますが、通常は操作は不要です。エージェントはバックグラウンドでポリシー適用の準備をし、ポリシーがトリガーされない限りユーザーが変化に気付くことはほとんどありません。
デプロイ後のデフォルト動作
デプロイ後、エージェントは既定で監視モードで動作します。ポリシーは評価されますが積極的な適用は行われません。適用を有効にする前にポリシーの挙動を安全に検証できます。
ユーザー側の体験
ユーザーから見ると、インストールは通常サイレントで操作は不要です。デプロイ後は、昇格、MFA、承認などが必要な場合にのみプロンプトが表示され、セキュリティを確保しつつ負担の少ない操作感を保てます。
インストーラが行うこと
インストーラは以下の手順を順に実行します。システムが再起動するまでサービスは開始されず、プロセスも起動しません。
Copy files
すべてのアプリケーションファイルがインストールディレクトリにコピーされます (デフォルト: C:\Program Files\Keeper Security\Endpoint Privilege Management)
Register services
Keeper Endpoint Privilege Managerと KeeperWatchdogが自動起動のWindowsサービスとして登録されます
Write deployment token
REGISTRATION_CODE の値がレジストリ HKLM\SOFTWARE\Keeper Security\Endpoint Privilege Manager\RegCode に書き込まれます
Restart
システムが再起動します。/quiet モードでは自動、それ以外ではプロンプトが表示されます
再起動の挙動
インストール、アップグレード、アンインストールのいずれの後も再起動が必要です。再起動の挙動は、サイレントモードか対話モードかによって異なります。
サイレントインストール (/quiet)
自動的に再起動
/norestart 追加
対話型インストール (ウィザード)
ユーザーに再起動を促す
拒否して後で再起動
サイレントアップグレード (/quiet)
自動的に再起動
/norestart 追加
サイレントアンインストール (/quiet)
自動的に再起動
/norestart 追加
再起動の扱い方にかかわらず、再起動が完了するまでエージェントはアクティブになりません。
再起動後、 Windowsは起動時に両方のサービスを自動的に開始します。その後、以下の順で処理されます。
Services start
WindowsがKeeper Endpoint Privilege ManagerとKeeperWatchdogを自動的に開始します
Plugins load
メインサービスがプラグインを読み込みます: KeeperApi、KeeperLogger、KeeperPolicy、KeeperUSession
Registration
エージェントがレジストリからデプロイトークンを読み取り、Keeperサーバーに登録します
Token cleanup
登録が成功するとトークンがレジストリから削除されます
Inventory
基本インベントリの収集が実行されサーバーへ報告されます
以前のバージョンからのアップグレード
エージェントのアップグレードには、昇格した (管理者) コマンドプロンプトまたはPowerShellから新しいインストーラを実行する必要があります。インストーラは旧バージョンを削除し、新バージョンを一度にインストールします。アップグレード中も登録状態とエージェントデータは保持されます。
アップグレードコマンド
再起動を遅らせ、デプロイツールで別管理する場合は、以下を実行します。
x.x.x.xxx を新しいMSIの実際のバージョン番号に置き換えてください。
管理者権限 (昇格) が必要
アップグレードは昇格したコマンドプロンプトから実行する必要があります。以下の方法ではアップグレードはできません。
MSIを直接ダブルクリックする
昇格していないコマンドプロンプトまたはターミナルから
msiexecを実行する管理者アカウントでも昇格していないターミナルから実行する
アップグレードコマンドを実行する前に、コマンドプロンプトまたはPowerShellを管理者として実行で開いてください。
アップグレード時の処理
インストーラが現在稼働中のエージェントサービスとプロセスを停止します。
旧バージョンが削除されます。エージェントデータと登録状態は保持されます。
新しいファイルがインストールされ、サービスが再登録されます。
システムが再起動します。サイレントモードでは自動、それ以外ではプロンプトが表示されます。
再起動後、更新されたエージェントサービスが起動し、通常どおり動作を再開します。
エージェントのアンインストール
[設定] → [アプリ] → [インストール済みのアプリ] から、またはコマンドラインでアンインストールできます。
コマンドラインでのアンインストール
昇格したコマンドプロンプトから実行します。
x.x.x.xxx を現在インストールされているMSIのバージョン番号に置き換えてください。
自動登録解除
既定では、エージェントをアンインストールするとKeeperサーバーからも自動的に登録解除されます。管理コンソールのエージェントレコードが整理され、デプロイスロットが解放されます。
マシンの再イメージ後に再登録する予定など、登録解除せずにアンインストールする場合は、UNREGISTER_AGENT プロパティを false に設定します。
UNREGISTER_AGENT
true
true のとき、アンインストール時にKeeperサーバーから登録解除します。false にすると登録解除をスキップします。
ログ (トラブルシューティング用)
ログの保存場所
ログファイルは日単位の命名規則に従います (例: KeeperLoggerYYYYMMDD.log)。既定では15日間保持されたのち自動削除されます。保持期間はLoggerプラグインの設定 (log.retention.days) で変更できます。
インストールパスをカスタマイズしている場合は、インストールルートからの相対パスで KeeperLogger\Log を探すか、Loggerプラグインの設定で log.file.path を確認してください。
注意事項とよくある調整
トークンの取り扱い
登録トークンは機密性の高い認証情報です。常に安全に扱い、平文で保存しないでください。安全なデプロイツールやシークレット管理システムで管理し、漏えいリスクがある場合や定期的にローテーションしてください。
サービスの待機時間
登録に失敗する場合、サービスがまだ完全に初期化されていない可能性があります。インストールと登録手順の間の待機時間を延ばす (通常20秒から40〜60秒) と、登録試行前にサービスが準備できることがあります。
Intuneの検出ルール
Intuneの検出ルールが誤っていると、エージェントが正しくインストールされていない、または機能していなくてもデプロイが成功したように報告されることがあります。インストール成功を正確に確認できるよう、検出ルールを慎重に検証してください。
まずパイロット
まず小規模なテストグループへのパイロット展開から始めてください。挙動を検証し、ポリシーが想定どおりであること、ユーザー体験がスムーズであることを確認してから広げてください。
トラブルシューティング
サービスが起動しない
Windowsイベントビューアーを確認する
インストールが完了していることを確認する
デバイスが登録されない
トークンが正しいことを確認する
ネットワーク接続を確認する
サービスが動作していることを確認する
デプロイは成功と表示されるが動作しない
検出ルールを見直す
サービスと登録を手動で検証する
まとめ
WindowsでKeeper EPMをデプロイすると、以下が実現できます。
組織全体へエージェントをスケールで展開できる
Intune、GPO、SCCMなどのツールと統合できる
ユーザーを妨げずに最小権限を強制できる
いずれの方法でも、コアの流れは同じです。 インストール → 開始 → 登録 → 検証
最終更新