ポリシーのコントロール (設定を構成するポリシーの作成)

KEPMエージェント設定の高度な構成

対象: IT管理者向けです。ポリシーでエージェントまたはプラグインの設定を適用・変更し、多数のエンドポイントに同じ構成を一元から配布する例を示します。

概要

SettingsUpdateポリシーでエンドポイントへ構成をプッシュできます。ポリシーは更新するプラグイン (またはファイル) と書き込むJSONを定義します。エージェント上のジョブProcess Configuration Policiesがこれらのポリシーを読み、対象プラグインのJSONファイル (例: Plugins/KeeperPolicy.json、Plugins/RedirectEvaluator.json) に構成を書き込みます。その後、プラグイン設定のリバート (メモリ上の設定を新しいファイルに合わせる) および変更反映のためのプラグインの再起動が必要になることがあります。

利用場面:

多数のマシンに同一のプラグイン設定を展開する (例: 管理者向けポリシーの強制、リダイレクトルール、KeeperClientの言語上書き)。
各エンドポイントのファイルを編集せず、ダッシュボードまたはポリシーストアから設定を変更する。

SettingsUpdateポリシーの作成

SettingsUpdateポリシーには以下が含まれます。

PolicyType: "SettingsUpdate"
Extension: 少なくともPluginName (または TargetFile) とSettingsJson (完全なプラグインJSONを1本の文字列として)

オプション A — プラグイン名で対象を指定

Extension.PluginNameでプロセッサが Plugins/{PluginName}.json に書き込みます。

{
  "PolicyId": "my-settings-update-policy",
  "PolicyName": "Push KeeperPolicy enforce-for-admins setting",
  "PolicyType": "SettingsUpdate",
  "Status": "enabled",
  "Extension": {
    "PluginName": "KeeperPolicy",
    "Action": "Update",
    "SettingsJson": "{ ... full KeeperPolicy.json content as a single string ... }"
  }
}

オプション B — パスでファイルを指定

Extension.TargetFile (アプリケーションルートからの相対パス) をPluginNameの代わりに使います。

"Extension": {
  "TargetFile": "Plugins/KeeperPolicy.json",
  "Action": "Update",
  "SettingsJson": "{ ... }"
}

重要: SettingsJsonはプラグインJSONの全体です。プロセッサはファイルを丸ごと置換します。必須フィールド (id、name、executablePath、Subscription、metadata など) をすべて含めないとプラグインが起動に失敗する場合があります。最も簡単なのは、あるエンドポイントから現在のプラグインJSONをコピーし、必要な設定だけ変更した完全なJSONをSettingsJsonに入れることです (文字列として。内側の二重引用符は \" でエスケープ)。

例 — KeeperPolicy の「管理者に対するポリシーの強制」

「管理者に対するポリシーの強制」をオンにし (管理者でもポリシーに一致しない操作は拒否):

エンドポイント (またはテンプレート) から Plugins/KeeperPolicy.json の全文を取得する。
metadata.admin.enforce_policies_for_administrators を true に設定する (製品が使うキーに合わせる)。
PluginName: "KeeperPolicy"、SettingsJsonにその完全なJSONを文字列として設定したSettingsUpdateポリシーを作成する。ポリシーストアまたはダッシュボードでポリシーを追加し、適切なコレクション/マシンに割り当てる。
エージェントでProcess Configuration Policiesジョブを実行する (スケジュールまたはオンデマンド)。Plugins/KeeperPolicy.json に新しいJSONが書き込まれる。
実行時をファイルに合わせるためプラグイン設定をリバートする。 POST /api/PluginSettings/KeeperPolicy/revert (またはrevert-all)。続けてKeeperPolicyプラグインを再起動する。 POST /api/plugins/KeeperPolicy/restart。

例 — RedirectEvaluator (例: ncpa.cpl のリダイレクト)

リダイレクト構成 (例: ncpa.cpl を Keeper.NetworkConnections へ) をプッシュする場合。

希望どおりのRedirectEvaluatorプラグインJSONの全文を用意する (id、name、executablePath、Subscription、metadata.redirectに enabled: true と rules を含む)。参考資料: リダイレクトおよび参考資料: プラグインとタスクの設定をご参照ください。
PluginName: "RedirectEvaluator"、SettingsJsonにその完全なJSONを文字列として設定したSettingsUpdateポリシーを作成する (引用符のエスケープ: \"、正規表現内のバックスラッシュは \\\\ で 1 文字の \)。
ポリシーを展開し、エージェントでProcess Configuration Policiesを実行する。
必要に応じてリバートと再起動: POST /api/PluginSettings/RedirectEvaluator/revert、続けて POST /api/plugins/RedirectEvaluator/restart。

構成プロセッサの実行

エージェントはSettingsUpdateポリシーを処理するジョブを実行する必要があります。ジョブ名はProcess Configuration Policiesやconfiguration-policy-processorなどであることが多いです。ジョブは以下の処理を行います。

ポリシーテンプレートを読み込む (ポリシーストアまたは同期済みポリシーから)。
PolicyTypeが "SettingsUpdate" のポリシーを検出する。
それぞれについてExtension.SettingsJsonをPluginNameまたはTargetFileで決まるファイルに書き込む。

以下の方法があります。

スケジュールでジョブをトリガーする (既に設定されている場合)。
APIで1回実行する: POST /api/Jobs/{jobId}/run (Process Configuration Policies ジョブの id を使用)。

実行後、ディスク上のプラグインJSONが更新されます。上記のとおりrevertとrestartを行い、実行中のプラグインが新しい設定を使うようにします。

まとめ

手順

操作

PolicyTypeを "SettingsUpdate" とし、ExtensionにPluginName (またはTargetFile) とSettingsJson (完全なプラグインJSONを文字列) を含むポリシーを作成する。

適切なコレクション/マシンへポリシーを展開する。

エージェントでProcess Configuration Policiesジョブを実行する (スケジュールまたはAPI)。

実行時をファイルに合わせてプラグイン設定をリバートする: POST /api/PluginSettings/{pluginName}/revert。

必要に応じてプラグインを再起動する: POST /api/plugins/{name}/restart。

前へポリシーのコントロール (ジョブの作成、変更、削除)次へポリシーのコントロール (PowerShellでジョブを実行するポリシーの作成)

最終更新 11 日前