> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/policies/policy-types.md).
# ポリシータイプ
エンドポイント特権マネージャーでは、エンドポイント上のどの操作をKeeperがどこまで統制するかが、ポリシーで定められます。各ポリシーは、制御対象のアクションの種類を決める**タイプ**を中心に構成されます。あわせて、状態、1つ以上のコントロール、ならびにユーザー・マシン・アプリケーション・AIエージェント・時間帯などで適用範囲を絞るフィルターが、すべてのポリシーに割り当てられます。
複数のポリシータイプを同一エンドポイントで同時に有効にできます。ポリシーが競合する場合、最も制限の厳しい結果が適用されます。
***
### 特権昇格
特権昇格ポリシーでは、管理者レベルの権限でアプリケーションやアクションを実行しようとする要求が横取りされ、実際に昇格する前に構成済みのコントロールが適用されます。**ジャストインタイム特権昇格**の中心となる仕組みです。常時の管理者権限で操作するのではなく、検証済みの特定アクションに限って、昇格したアクセスだけが与えられます。
Windowsでは、UACの昇格イベントがKeeperによって自動的に横取りされます。macOSおよびLinuxでは、ユーザーがKeeper ClientのシステムトレイUIから昇格要求を出します。昇格はすべて一時的なサービスアカウント経由で実行され、特権操作は切り離され、監査しやすい形で行われます。
利用できるコントロール: **許可、拒否、承認が必要、MFA必須、正当な理由が必要**
[権限昇格](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/privilege-elevation-policy-type.md)
***
### 最小権限
最小権限ポリシーでは、対象エンドポイントの標準ユーザーからローカル管理者権限が取り除かれます。エンドポイント特権マネージャーを導入する際の推奨**出発点**です。最小権限ポリシーがないと、ユーザーがすでに管理者権限を持っているため、特権昇格のコントロールが実効しにくくなります。
適用されると、対象ユーザーはローカルのAdministratorsグループから外され、画面に通知が表示されます。組み込みのシステムアカウントとドメイン管理者アカウントは自動的に保護され、影響を受けません。除外リストを構成すると、特定のアカウントを適用対象外にできます。
[最小権限ポリシー](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/least-privilege-policy-type.md)
***
### ファイルアクセス
ファイルアクセスポリシーでは、エンドポイント上の特定ファイルへのアクセスが制御されます。対象には実行可能ファイル (アプリケーション、スクリプト、バイナリ) と非実行可能ファイル (構成ファイル、機微なデータ、文書) の両方が含まれます。特権昇格とは異なり、ファイルアクセスポリシーは**システム上のすべてのユーザー**に適用され、すでに管理者権限を持つユーザーも対象に含まれます。
実行ファイルについては、実行する瞬間にアクセスが横取りされます。非実行ファイルについては、必要なコントロールが満たされるまで、ACLレベルで読み取り・書き込み・削除が制限されます。Keeperにより保護されたシステムパスは、ファイルアクセスポリシーの対象外です。同一の実行ファイルにファイルアクセスと特権昇格の両方のポリシーがある場合は、特権昇格ポリシーが優先されます。
利用できるコントロール: **許可、拒否、承認が必要、MFA必須、正当な理由が必要**
[ファイルアクセスポリシー](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/file-access-policy-type.md)
***
### コマンドライン
コマンドラインポリシーでは、**macOSおよびLinux**で `sudo` の利用が統制されます。Unix環境では特権昇格ポリシーに相当する役割を担い、Windowsなど他の環境の特権昇格ポリシーとあわせて、製品全体として特権アクセスを一貫して統制するためのしくみです。
適用すると、PAMモジュール経由で標準の `sudo` コマンドが `keepersudo` に置き換わります。ユーザーは `keepersudo` を通じて昇格要求を出し、設定したコントロールを満たしたうえでコマンドが実行されます。各エンドポイントでは、昇格の対象として許可されたコマンドが明示的な許可リストとして保持されます。
利用できるコントロール: **許可、拒否、承認が必要、MFA必須、正当な理由が必要**
[コマンドラインポリシー](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/command-line-policy-type.md)
***
### エージェンティックAIポリシータイプ
エージェンティックポリシータイプでは、エンドポイント特権マネージャーの適用モデルが自律型AIエージェントにも及びます。各エージェントは人間ユーザーと同等の主体として扱われ、同じ許可、拒否、承認コントロールの対象になります。適用範囲は**エージェンティックAIコレクション** (既知およびフラグ付きのAIエージェントアプリケーションのグループ) で絞り込め、AIエージェントである可能性の検出スコアによるターゲティングにも対応しているため、エージェントとして確信を持って識別できるプロセスにだけコントロールが適用されます。
エージェンティックポリシーはコントロールを実際に適用できる設計ですが、最初は**監視**モードで導入することを想定しています。適用前にエージェントの振る舞いを観察し、適用範囲とリスクしきい値を調整できます。推奨する展開順序については、[ポリシー: 段階的ロールアウトの計画](/keeperpam/jp/endpoint-privilege-manager/policies/policy-phased-rollout-planning.md)をご参照ください。
#### エージェンティックAI
エージェンティックAIポリシーでは、**AIを実行できる主体**が統制され、どのユーザーとマシンがAIエージェントアプリケーションを起動できるかが決定されます。フリート全体のエージェンティックツールに対する実行可否の入口として機能し、識別されたAIエージェントの起動が許可されるかどうかを判断します。
利用できるコントロール: **許可、拒否、承認が必要、エンドユーザー承認、MFA必須、正当な理由が必要**
[エージェンティックAIポリシー](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/agentic-ai.md)
#### エージェンティックアクセス
エージェンティックアクセスポリシーでは、**AIエージェントがユーザーに代わって実行できる操作**が統制され、実行中のエージェントが行うアクション (生成するサブプロセスを含む) が管理されます。エージェンティックAIポリシーがエージェントの実行可否を決めるのに対し、エージェンティックアクセスでは起動後に何が許可されるかが統制されます。
利用できるコントロール: **許可、拒否、承認が必要、エンドユーザー承認、MFA必須、正当な理由が必要**
[エージェンティックアクセスポリシー](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/agentic-access.md)
#### エージェンティック特権昇格
エージェンティック特権昇格ポリシーでは、**AIエージェントによる昇格要求**が扱われます。標準の特権昇格ポリシーが人間ユーザーによる昇格を扱うのに対し、このタイプではエージェントによる昇格要求に同じ適用モデルが適用されます。エージェントが管理者権限を要求した時点で判断が挟まれ、ユーザーの特権を暗黙的に引き継いで行使させるのではなく、明示的な決定点が設けられます。
利用できるコントロール: **許可、拒否、承認が必要、エンドユーザー承認、MFA必須、正当な理由が必要**
[エージェンティック特権昇格ポリシー](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/agentic-privilege-elevation.md)
***
### Keeperアップデート
Keeperアップデートポリシーでは、フリート全体へのKeeper EPMアップデートの段階的な展開とロールアウトの方法が制御されます。目的のバージョンへの固定や、重要度の低いアップデートについてユーザーが延期できる期間も設定できます。フリート全体への展開前にアップデートを承認または延期でき、適用前にユーザー確認を要求することもできます。
[Keeperアップデートポリシー](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/advanced-policy-types/keeper-updates.md)
***
### 高度なポリシータイプ
高度なポリシータイプの設定には**Advanced Mode**のJSONエディターを使います。エンドポイントへのアクセス許可や拒否だけでなく、構成やジョブの一括配布など、運用上の用途にも使うタイプです。標準のポリシータイプのドロップダウンでは選べないため、管理者はJSONで `PolicyType` フィールドを直接指定し、必要な内容を `Extension` オブジェクトに記入します。
#### 設定の更新
各エンドポイントでファイルを手作業で編集しなくても、プラグインまたはエージェントの構成を一元的に配布できます。エージェントの構成処理により、適用範囲内の各エンドポイントの対象プラグインファイルに、指定したJSONペイロードが適用されます。
[設定更新](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/advanced-policy-types/update-settings-policy-type.md)
#### ジョブの更新
管理側からエンドポイント上のジョブ定義を一括で展開、変更、または削除できます。エージェントによるポリシー処理の結果、適用範囲内の各エンドポイントの `Jobs/` フォルダ配下の指定ジョブファイルが追加、更新、または削除されます。
[ジョブ更新](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/advanced-policy-types/update-jobs-policy-type.md)
#### カスタム
エンドポイント特権マネージャーの標準ポリシータイプに当てはまらず、特殊なワークフロー、内部連携、カスタム評価器などに使うポリシーです。スキーマに厳密に縛られない分類です。カスタムポリシーでは、他のポリシータイプと同じ構造が用いられ、エンドポイント特権マネージャーのコントロール一式を他タイプと同じように設定できます。管理者は、連携するコンポーネントの要件に合わせて `Extension` オブジェクトを自由に記入します。
[カスタム](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/advanced-policy-types/custom-policy-type.md)
***
### ポリシータイプ一覧
| ポリシータイプ | 主な用途 | プラットフォーム | 設定方法 |
| ----------------- | ------------------------------------- | --------------------------------------------- | -------------------- |
| **権限昇格** | ジャストインタイム昇格の統制 | Windows、macOS、Linux | 標準UI |
| **最小権限** | 標準ユーザーからローカル管理者権限を除去 | Windows、macOS、Linux | 標準UI |
| **ファイルアクセス** | 実行ファイルおよび機微なファイルへのアクセス統制 | Windows (フル)、macOS/Linux (Keeper ClientのUI経由) | 標準UI |
| **コマンドライン** | Unix系で `sudo` の利用を統制 | macOS、Linux | 標準UI |
| **エージェンティックAI** | AIエージェントの実行可否をユーザーとマシン単位で統制 | Windows、macOS、Linux | 標準UI |
| **エージェンティックアクセス** | AIエージェントがユーザーに代わって実行できる操作を統制 | Windows、macOS、Linux | 標準UI |
| **エージェンティック特権昇格** | AIエージェントによる昇格要求の管理 | Windows、macOS、Linux | 標準UI |
| **Keeperアップデート** | Keeper EPMアップデートの段階的展開、バージョン固定、ロールアウト | Windows、macOS、Linux | 標準UI |
| **設定の更新** | プラグイン/エージェント構成をエンドポイントへ反映 | すべて | Advanced Mode (JSON) |
| **ジョブの更新** | エンドポイント上のジョブ定義の展開または削除 | すべて | Advanced Mode (JSON) |
| **カスタム** | 特殊なワークフローと連携 | すべて | Advanced Mode (JSON) |
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/policies/policy-types.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
