# Windowsでのデプロイ

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FJvXtpJuWPd6g2ESeD0tU%2FPEDM%20Deployment.jpg?alt=media&#x26;token=2437e755-a513-4ee7-ac06-d7bee30014e6" alt=""><figcaption></figcaption></figure>

本ページでは、WindowsデバイスにKeeperエンドポイント特権マネージャー (EPM) をデプロイする方法を説明します。エージェントのインストール、Keeper環境への接続、環境に合ったデプロイ方法 (Intune、GPO、スクリプトなど) の選び方、動作確認までを扱います。

### 概要 <a href="#overview" id="overview"></a>

Windowsでは、Keeper EPMは各デバイスで動作するバックグラウンドサービスとしてインストールされます。ユーザー操作なしに継続稼働し、組織のセキュリティポリシーを適用します。

ポリシー適用の「エンジン」と考えることができます。以下の処理を行います。

* Keeper管理コンソールからポリシーを受信する
* ユーザーアクティビティとシステムの挙動を監視する
* 必要に応じて昇格、MFA、承認などのコントロールを適用する

これにより、ユーザー体験をできるだけ損なわずにリアルタイムでセキュリティを強制できます。

#### デプロイの選択肢 <a href="#how-you-can-deploy-it" id="how-you-can-deploy-it"></a>

環境に応じて最適なデプロイ方法を選べます。

* **Microsoft Intune** → クラウド管理デバイス向け
* **グループポリシー (GPO)** → オンプレミスのActive Directory環境向け
* **スクリプト (PowerShell、SCCMなど)** → カスタムまたはハイブリッド向けの最も柔軟な方法

いずれの方法でも、根底の流れは同じです。

* エージェントをインストールする
* サービスを開始する
* デバイスを登録する
* 正常に動作していることを検証する

この一貫した流れにより、あらゆる環境で予測可能で信頼性の高いデプロイが可能になります。

### デプロイメントパッケージ (推奨) <a href="#deployment-packages-recommended" id="deployment-packages-recommended"></a>

Keeperをデプロイする最も簡単な方法は、Keeper管理コンソールのデプロイメントパッケージを使うことです。デバイスをオンボードするために必要なものがまとまっており、展開プロセスが簡素化されます。

デプロイメントパッケージには通常以下が含まれます。

* Windowsインストーラ (.MSI)
* 登録トークン
* グループ化やターゲティングなどの構成情報

ほとんどの環境では、スケールデプロイの標準かつ推奨の方法です。

### Windows固有の注意点 <a href="#windows-specific-notes" id="windows-specific-notes"></a>

KeeperがWindowsでどう動くかの要点です。インストールは標準のMSIインストーラで行われ、インストール後はバックグラウンドのWindowsサービスとして動作します。ユーザー操作なしに継続して稼働できます。

Keeperはユーザーアカウントコントロール (UAC) やネイティブのプロセス監視・昇格ワークフローなど、Windowsのコアなセキュリティ機構と直接統合します。この深い統合により、通常のユーザー体験を崩さずに管理者権限を安全かつシームレスに制御できます。

#### サポートされるWindowsバージョン <a href="#supported-windows-versions" id="supported-windows-versions"></a>

Keeper EPMは、以下を含む現代のWindows環境で利用できます。

* Windows 11
* Windows Server 2025

展開前に環境との互換性を確認してください。

#### 環境上の考慮事項 <a href="#environment-considerations" id="environment-considerations"></a>

エージェントの稼働とヘルスチェックにはポート6889のローカルHTTPS通信が必要です。自動デプロイではサイレントインストールを推奨し、エンドポイント間で一貫した非対話の展開を行ってください。

### 開始前のチェックリスト (要件) <a href="#before-you-start-prerequisite-checklist" id="before-you-start-prerequisite-checklist"></a>

* **KeeperのMSIインストーラ**
* 管理コンソールから取得した **登録トークン**

**任意 (推奨)**

* 自動化用のデプロイスクリプト

## デプロイの手順 <a href="#deployment-steps" id="deployment-steps"></a>

{% stepper %}
{% step %}
**ダウンロードと展開**

Keeper管理コンソールのUIからインストーラーをダウンロードするか、以下のPowerShellコマンドを使用します。

```powershell
Invoke-WebRequest -Uri "https://keepersecurity.com/pam/pedm/core/latest/KeeperPrivilegeManagerWindows.zip" -OutFile "KeeperPrivilegeManagerWindows.zip"
Expand-Archive -Path "KeeperPrivilegeManagerWindows.zip" -DestinationPath "."
Set-Location "windows"
```

{% endstep %}

{% step %}

#### エージェントのインストールと登録 <a href="#install-and-register-the-agent" id="install-and-register-the-agent"></a>

Windowsデバイスを登録する方法は2つあります。

#### オプション 1: インライン登録 (インストール時)

インストールと同時にデバイスを登録できます。

```powershell
msiexec /i KeeperPrivilegeManager.msi REGISTRATION_CODE="YOUR_TOKEN_HERE"
```

#### オプション 2: インストール後の登録 (推奨)

先にインストールし、登録は別途行います。

```powershell
"C:\Program Files\Keeper Security\Endpoint Privilege Manager\Jobs\bin\KeeperRegistrationHelper\KeeperRegistrationHelper.exe" --token "YOUR_TOKEN_HERE"
```

特に以下の場合はこの方法を推奨します。

* Intune
* GPO
* スクリプト

**エージェントの手動登録解除**

アンインストールせずにKeeperサーバーからエージェントの登録だけを解除する場合 (別のデプロイグループへ移す、クリーンに再登録するなど)、**昇格した** PowerShellプロンプトから以下を実行します。

```powershell
cd "C:\Program Files\Keeper Security\Endpoint Privilege Management\Jobs\bin\KeeperUnregistrationHelper"
.\KeeperUnregistrationHelper.exe 2>&1 | Out-Host
```

このコマンドを実行する前にメインサービスが動作している必要があります。登録解除が完了すると、管理コンソールではエージェントは登録済みとして表示されません。再登録するには、有効なデプロイトークンで `KeeperRegistrationHelper` を実行します。

**スクリプトの例**

シンプルで信頼性の高いデプロイスクリプトの例です。

```powershell
# サイレントインストール
Start-Process msiexec.exe -ArgumentList "/i KeeperPrivilegeManager.msi /quiet /norestart" -Wait

# サービス起動を待機
Start-Sleep -Seconds 20

# デバイスを登録
Start-Process "C:\Program Files\Keeper Security\Endpoint Privilege Manager\Jobs\bin\KeeperRegistrationHelper\KeeperRegistrationHelper.exe" `
    -ArgumentList "--token YOUR_TOKEN_HERE" -Wait
```

`YOUR_TOKEN_HERE` を実際のトークンに置き換えてください。

### デプロイ方法 <a href="#deployment-methods" id="deployment-methods"></a>

環境に合った方法を選んでください。

#### Microsoft Intuneでデプロイ (クラウド) <a href="#deploy-with-microsoft-intune-cloud" id="deploy-with-microsoft-intune-cloud"></a>

クラウド管理のモダンなデバイス向けです。

**手順**

1. インストーラを**Win32アプリ (.intunewin)** としてパッケージ化する
2. Intuneにアップロードする
3. インストールコマンドを設定する

```powershell
powershell.exe -ExecutionPolicy Bypass -File install.ps1
```

4. 検出ルールを設定する
   * ファイル

     ```
     C:\Program Files\KeeperPrivilegeManager\KeeperPrivilegeManager.exe
     ```
   * またはサービス

     ```
     KeeperPrivilegeManager
     ```
5. デバイスグループに割り当てる

本番展開の前に必ず **パイロットグループ** から始めてください。

**Intuneでの再起動の挙動**

Win32アプリとしてデプロイする場合、Intuneは以下のMSI終了コードを認識し、それに応じて処理します。

<table><thead><tr><th width="88.33331298828125">終了コード</th><th width="254">意味</th><th>必要な対応</th></tr></thead><tbody><tr><td><code>3010</code></td><td>インストール成功。再起動が必要</td><td>Intuneの割り当ての再起動ポリシーで再起動をトリガーするよう構成する</td></tr><tr><td><code>1641</code></td><td>インストール成功。インストーラが再起動を開始した</td><td>追加の再起動設定は不要。デバイスは自動的に再起動する</td></tr></tbody></table>

Win32アプリの割り当てで**再起動の挙動**を組織の再起動ポリシーに合わせて構成してください。インストールコマンドで `/norestart` を使い再起動を別管理する場合は終了コード `3010` が返る想定で、再起動ポリシーがそれを処理できるようにしてください。

どの終了コードでも、再起動が完了するまでエージェントはアクティブになりません。

#### グループポリシー (GPO) でデプロイ <a href="#deploy-with-group-policy-gpo" id="deploy-with-group-policy-gpo"></a>

従来のActive Directory環境向けです。

**オプション 1: MSIのデプロイ**

**パス**

```
Computer Configuration → Policies → Software Installation
```

**制限:** MSIのみを配布する場合、ソフトウェアはインストールされますが、**デバイスは登録されません**

**オプション 2: スタートアップスクリプト (推奨)**

スタートアップスクリプトでインストールと登録を行います。

**例**

**PowerShell**

```powershell
msiexec /i KeeperPrivilegeManager.msi /quiet /norestart

Start-Sleep -Seconds 20

"C:\Program Files\Keeper Security\Endpoint Privilege Management\Jobs\bin\KeeperRegistrationHelper\KeeperRegistrationHelper.exe" --token "YOUR_TOKEN_HERE"
```

**CMD**

```cmd
msiexec /i KeeperPrivilegeManager.msi /quiet /norestart

timeout /t 20

"C:\Program Files\Keeper Security\Endpoint Privilege Management\Jobs\bin\KeeperRegistrationHelper\KeeperRegistrationHelper.exe" --token "YOUR_TOKEN_HERE"
```

デバイスが完全に構成されます。

#### スクリプト/SCCM/MECMでデプロイ <a href="#deploy-with-scripts-sccm-mecm" id="deploy-with-scripts-sccm-mecm"></a>

柔軟またはハイブリッドな環境向けです。

**利用できるもの**

* PowerShell
* SCCM / MECM
* その他のデプロイツール

**例**

**PowerShell**

```powershell
msiexec /i KeeperPrivilegeManager.msi /quiet /norestart

Start-Sleep -Seconds 20

"C:\Program Files\Keeper Security\Endpoint Privilege Management\Jobs\bin\KeeperRegistrationHelper\KeeperRegistrationHelper.exe" --token "YOUR_TOKEN_HERE"
```

**CMD**

```cmd
msiexec /i KeeperPrivilegeManager.msi /quiet /norestart

timeout /t 20

"C:\Program Files\Keeper Security\Endpoint Privilege Management\Jobs\bin\KeeperRegistrationHelper\KeeperRegistrationHelper.exe" --token "YOUR_TOKEN_HERE"
```

{% endstep %}

{% step %}
**デプロイの検証**

デプロイ後、デバイスを確認し正常に動作していることを検証します。

**1. サービス状態の確認**

**PowerShell**

```powershell
Get-Service -Name "Keeper Endpoint Privilege Manager"
```

**CMD**

```cmd
sc query "Keeper Endpoint Privilege Manager"
```

期待値 (PowerShell): `Status: Running` / (CMD): `STATE : 4 RUNNING`

***

**2. ヘルスチェック**

**PowerShell**

```powershell
curl.exe -k https://localhost:6889/health
```

**CMD**

```cmd
curl -k https://localhost:6889/health
```

期待値は `{"status": "running"}` です。

サービスが応答していることを確認できます。

***

**3. 登録の確認**

**PowerShell**

```powershell
curl.exe -k https://localhost:6889/api/Keeper/registration
```

**CMD**

```cmd
curl -k https://localhost:6889/api/Keeper/registration
```

**期待される状態**

* エージェントが登録済みであること
* デプロイID (Deployment ID) が返っていること

***

**4. プラグインの確認 (任意)**

**PowerShell**

```powershell
curl.exe -k https://localhost:6889/api/plugins
```

**CMD**

```cmd
curl -k https://localhost:6889/api/plugins
```

**期待される状態**

* KeeperAPIが動作している
* KeeperPolicyが動作している

ポリシーを適用する中核コンポーネントです。

{% hint style="info" %}
**備考**

* `curl.exe` は Windows 10およびWindows 11に付属のPowerShellとCMDに標準で含まれています。PowerShellでは、`curl` (`.exe`なし) は `Invoke-WebRequest` のエイリアスであり挙動が異なります。PowerShellでは必ず `curl.exe` を明示してください。古いWindowsではcurlを別途インストールするか、代替として `Invoke-WebRequest -Uri https://localhost:6889/health -SkipCertificateCheck` を使用してください。
  {% endhint %}
  {% endstep %}
  {% endstepper %}

### インストール後の動作 <a href="#what-happens-after-installation" id="what-happens-after-installation"></a>

インストール後、Keeperサービスが自動的に起動し、エージェントはアプリケーションやユーザーアクティビティなど基本的なシステムデータの収集を開始します。Keeper ClientのUI (システムトレイのアイコン) がユーザーに表示される場合がありますが、通常は操作は不要です。エージェントはバックグラウンドでポリシー適用の準備をし、ポリシーがトリガーされない限りユーザーが変化に気付くことはほとんどありません。

#### デプロイ後のデフォルト動作 <a href="#default-behavior-after-deployment" id="default-behavior-after-deployment"></a>

デプロイ後、エージェントは既定で監視モードで動作します。ポリシーは評価されますが積極的な適用は行われません。適用を有効にする前にポリシーの挙動を安全に検証できます。

#### ユーザー側の体験 <a href="#what-the-user-experiences" id="what-the-user-experiences"></a>

ユーザーから見ると、インストールは通常サイレントで操作は不要です。デプロイ後は、昇格、MFA、承認などが必要な場合にのみプロンプトが表示され、セキュリティを確保しつつ負担の少ない操作感を保てます。

#### **インストーラが行うこと** <a href="#what-the-installer-does" id="what-the-installer-does"></a>

インストーラは以下の手順を順に実行します。システムが再起動するまでサービスは開始されず、プロセスも起動しません。

<table><thead><tr><th width="207.33331298828125">手順</th><th>説明</th></tr></thead><tbody><tr><td>Copy files</td><td>すべてのアプリケーションファイルがインストールディレクトリにコピーされます (デフォルト: <code>C:\Program Files\Keeper Security\Endpoint Privilege Management</code>)</td></tr><tr><td>Register services</td><td><strong>Keeper Endpoint Privilege Manager</strong>と <strong>KeeperWatchdog</strong>が自動起動のWindowsサービスとして登録されます</td></tr><tr><td>Write deployment token</td><td><code>REGISTRATION_CODE</code> の値がレジストリ <code>HKLM\SOFTWARE\Keeper Security\Endpoint Privilege Manager\RegCode</code> に書き込まれます</td></tr><tr><td>Restart</td><td>システムが再起動します。<code>/quiet</code> モードでは自動、それ以外ではプロンプトが表示されます</td></tr></tbody></table>

**再起動後、** Windowsは起動時に両方のサービスを自動的に開始します。その後、以下の順で処理されます。

<table><thead><tr><th width="140">手順</th><th>説明</th></tr></thead><tbody><tr><td>Services start</td><td>WindowsがKeeper Endpoint Privilege ManagerとKeeperWatchdogを自動的に開始します</td></tr><tr><td>Plugins load</td><td>メインサービスがプラグインを読み込みます: KeeperApi、KeeperLogger、KeeperPolicy、KeeperUSession</td></tr><tr><td>Registration</td><td>エージェントがレジストリからデプロイトークンを読み取り、Keeperサーバーに登録します</td></tr><tr><td>Token cleanup</td><td>登録が成功するとトークンがレジストリから削除されます</td></tr><tr><td>Inventory</td><td>基本インベントリの収集が実行されサーバーへ報告されます</td></tr></tbody></table>

### **以前のバージョンからのアップグレード** <a href="#upgrading-from-a-previous-version" id="upgrading-from-a-previous-version"></a>

エージェントのアップグレードには、**昇格した** (管理者) コマンドプロンプトまたはPowerShellから新しいインストーラを実行する必要があります。インストーラは旧バージョンを削除し、新バージョンを一度にインストールします。アップグレード中も登録状態とエージェントデータは保持されます。

#### **アップグレードコマンド** <a href="#upgrade-command" id="upgrade-command"></a>

```powershell
msiexec /i KeeperPrivilegeManager-x.x.x.xxx.msi /l*v upgrade.txt /quiet
```

再起動を遅らせ、デプロイツールで別管理する場合は、以下を実行します。

```powershell
msiexec /i KeeperPrivilegeManager-x.x.x.xxx.msi /l*v upgrade.txt /quiet /norestart
```

`x.x.x.xxx` を新しいMSIの実際のバージョン番号に置き換えてください。

**管理者権限 (昇格) が必要**

アップグレードは**昇格した**コマンドプロンプトから実行する必要があります。以下の方法ではアップグレードは**できません**。

* MSIを直接ダブルクリックする
* 昇格していないコマンドプロンプトまたはターミナルから `msiexec` を実行する
* 管理者アカウントでも昇格していないターミナルから実行する

アップグレードコマンドを実行する前に、コマンドプロンプトまたはPowerShellを**管理者として実行**で開いてください。

#### **アップグレード時の処理** <a href="#what-happens-during-upgrade" id="what-happens-during-upgrade"></a>

1. インストーラが現在稼働中のエージェントサービスとプロセスを停止します。
2. 旧バージョンが削除されます。エージェントデータと登録状態は保持されます。
3. 新しいファイルがインストールされ、サービスが再登録されます。
4. システムが再起動します。サイレントモードでは自動、それ以外ではプロンプトが表示されます。
5. 再起動後、更新されたエージェントサービスが起動し、通常どおり動作を再開します。

### **エージェントのアンインストール** <a href="#uninstalling-the-agent" id="uninstalling-the-agent"></a>

**\[設定]** → **\[アプリ]** → **\[インストール済みのアプリ]** から、またはコマンドラインでアンインストールできます。

#### **コマンドラインでのアンインストール** <a href="#command-line-uninstall" id="command-line-uninstall"></a>

**昇格した**コマンドプロンプトから実行します。

```powershell
msiexec /x KeeperPrivilegeManager-x.x.x.xxx.msi /l*v uninstall.txt /quiet
```

`x.x.x.xxx` を現在インストールされているMSIのバージョン番号に置き換えてください。

#### **自動登録解除** <a href="#automatic-unregistration" id="automatic-unregistration"></a>

既定では、エージェントをアンインストールするとKeeperサーバーからも自動的に登録解除されます。管理コンソールのエージェントレコードが整理され、デプロイスロットが解放されます。

マシンの再イメージ後に再登録する予定など、登録解除せずにアンインストールする場合は、`UNREGISTER_AGENT` プロパティを `false` に設定します。

```powershell
msiexec /x KeeperPrivilegeManager-x.x.x.xxx.msi UNREGISTER_AGENT="false" /l*v uninstall.txt /quiet
```

<table><thead><tr><th width="179">プロパティ</th><th width="101.33331298828125">デフォルト</th><th>説明</th></tr></thead><tbody><tr><td><code>UNREGISTER_AGENT</code></td><td><code>true</code></td><td><code>true</code> のとき、アンインストール時にKeeperサーバーから登録解除します。<code>false</code> にすると登録解除をスキップします。</td></tr></tbody></table>

### ログ (トラブルシューティング用) <a href="#logs-for-troubleshooting" id="logs-for-troubleshooting"></a>

**ログの保存場所**

```
C:\Program Files\Keeper Security\Endpoint Privilege Manager\Plugins\bin\KeeperLogger\Log
```

ログファイルは日単位の命名規則に従います (例: `KeeperLoggerYYYYMMDD.log`)。既定では**15日間**保持されたのち自動削除されます。保持期間はLoggerプラグインの設定 (`log.retention.days`) で変更できます。

インストールパスをカスタマイズしている場合は、インストールルートからの相対パスで `KeeperLogger\Log` を探すか、Loggerプラグインの設定で `log.file.path` を確認してください。

### 注意事項とよくある調整 <a href="#important-notes-common-adjustments" id="important-notes-common-adjustments"></a>

#### トークンの取り扱い <a href="#protect-your-token" id="protect-your-token"></a>

登録トークンは機密性の高い認証情報です。常に安全に扱い、平文で保存しないでください。安全なデプロイツールやシークレット管理システムで管理し、漏えいリスクがある場合や定期的にローテーションしてください。

#### サービスの待機時間 <a href="#service-timing" id="service-timing"></a>

登録に失敗する場合、サービスがまだ完全に初期化されていない可能性があります。インストールと登録手順の間の待機時間を延ばす (通常20秒から40〜60秒) と、登録試行前にサービスが準備できることがあります。

#### Intuneの検出ルール <a href="#intune-detection-rules" id="intune-detection-rules"></a>

Intuneの検出ルールが誤っていると、エージェントが正しくインストールされていない、または機能していなくてもデプロイが成功したように報告されることがあります。インストール成功を正確に確認できるよう、検出ルールを慎重に検証してください。

#### まずパイロット <a href="#pilot-first" id="pilot-first"></a>

まず小規模なテストグループへのパイロット展開から始めてください。挙動を検証し、ポリシーが想定どおりであること、ユーザー体験がスムーズであることを確認してから広げてください。

### トラブルシューティング <a href="#troubleshooting" id="troubleshooting"></a>

#### サービスが起動しない <a href="#service-not-starting" id="service-not-starting"></a>

* **Windowsイベントビューアー**を確認する
* インストールが完了していることを確認する

#### デバイスが登録されない <a href="#device-not-registering" id="device-not-registering"></a>

* トークンが正しいことを確認する
* ネットワーク接続を確認する
* サービスが動作していることを確認する

#### デプロイは成功と表示されるが動作しない <a href="#deployment-shows-success-but-isnt-working" id="deployment-shows-success-but-isnt-working"></a>

* 検出ルールを見直す
* サービスと登録を手動で検証する

### まとめ <a href="#summary" id="summary"></a>

WindowsでKeeper EPMをデプロイすると、以下が実現できます。

* 組織全体へエージェントをスケールで展開できる
* Intune、GPO、SCCMなどのツールと統合できる
* ユーザーを妨げずに最小権限を強制できる

いずれの方法でも、コアの流れは同じです。\
**インストール → 開始 → 登録 → 検証**


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/deployment/deploy-with-windows.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.