ポリシーのステータス

エンドポイント特権マネージャー (KEPM) の各ポリシーにはステータスが割り当てられ、エンドポイント上でポリシーに一致したときにKeeperがどう振る舞うかが決まります。ステータスによって、一致した操作を記録するだけにとどめるか、ユーザーへ通知するか、コントロールを積極的に適用するかが切り替わります。管理者は、いきなり適用に移さず、まず監視で挙動を確認してから適用に進めるといった段階的な導入ができます。

ステータスの選択肢

オフ

ポリシーは無効化され、エンドポイントには影響しません。Keeper管理コンソールには保存されたままですが、評価も適用もされません。ポリシーを削除せずに止めたいときに使います。

監視

Keeperはポリシーを評価し、一致したイベントを監査ログに残しますが、操作には介入せず、ユーザーにも通知しません。ユーザーの操作はそのまま続行します。

新しいポリシーを入れた直後に、どのくらいの頻度で一致するかを観測するときに監視を使います。新規ポリシーでは、まずこのステータスから始めることを推奨します。

監視&通知

Keeperはポリシーを評価し、一致したイベントを監査ログに残しますが、強制は行いません。画面上の通知で、イベントが発生しポリシーが当たったことをユーザーに伝えます。

監視&通知を選ぶときは、[ポリシーを承認する] を有効にする必要があります。ユーザーが通知を閉じる前に明示的に確認する必要があり、操作は止めずに、ポリシーが関与していることだけを伝えられます。

監視&通知は、のちに適用に切り替える前に、どの操作が対象になるかユーザーに見せておくときに使います。

適用

Keeperはポリシーに設定したコントロールを積極的に適用します。正当な理由の入力、MFAの完了、承認者の判断など、求められたコントロールを満たして初めて要求された操作が許可されます。満たさない場合、操作はブロックされます。

これが実際にコントロールを効かせる状態です。[承認が必要]、[MFA必須]、[正当な理由が必要]、[許可]、[拒否] といったコントロールは、ポリシーのステータスが**[適用]**のときだけ有効になります。

段階的導入の推奨手順

ステータスを順に進めると、利用者への影響を抑えつつ、適用範囲や挙動を確認したうえで本番の適用に進みやすくなります。

ポリシーの反映タイミング

ポリシーのステータスを変更して保存すると、更新されたポリシーはおよそ30分以内に、適用範囲内のすべてのエンドポイントへ配布されます。ユーザーは、Keeperエージェントの [ポリシーを更新] から即時に同期を取ることもできます。