Ctrlk
HomepageSystem Status
For the complete documentation index, see llms.txt. This page is also available as Markdown.

権限昇格ポリシータイプ

Keeper権限昇格ポリシーの設定と使用

概要

権限昇格ポリシーは、ユーザーが管理者ロールへ昇格できる権限を制御するためのポリシーです。最小権限ポリシーを適用する前に、特権昇格ポリシーを構成し、テストしておく必要があります。常時の管理者権限を取り除いたうえで昇格の経路を用意していないと、ユーザーは管理者権限を失った直後から操作の妨げを受け、正当な理由で昇格が必要な操作を統制下で実行する手段がありません。推奨される展開順序については、ポリシー: 段階的ロールアウトの計画をご参照ください。

Windowsでは、ユーザーが昇格イベントを発動すると、Keeperクライアントのユーザーインターフェースが自動的に起動します。macOSおよびLinux (Ubuntu/GNOME) では、ユーザーがKeeperクライアントのユーザーインターフェースから昇格リクエストを開始できます。

仕組み

エンドポイント上では、Keeperエージェントサービスがシステム権限で動作します。すべての権限昇格は、一時的なアカウント keeperusersession を使用して実行されます。

承認の制御

承認に基づく昇格は、グローバルに一元化された承認の枠組みに沿って動作します。昇格に関する承認要求は、統一された管理画面から扱え、要求の種類や適用のしかたが異なっていても、同じ方針で運用できます。

昇格コントロール (許可 / 却下 / MFA / 正当な理由 / 承認)

昇格ポリシーでは、コマンド単位で細かく制限を掛けられます。同一の実行ファイルでも、許可するコマンドライン引数やサブコマンドと拒否するものを分けて指定できます。昇格操作を意図どおりに絞り込めます。コントロールは積み上げ (additive) であり、同一の昇格状況に複数のポリシーがあてはまるときは、課される要件をすべて満たす必要があります。たとえば、あるポリシーが MFA必須、別のポリシーが 承認が必要 を同時に課す場合、ユーザーは昇格が許可されるまでに、その両方を満たす必要があります。

ポリシーのターゲティング

昇格ポリシーでは、ユーザー・マシン・アプリケーション・コレクションなどの属性にわたる、きめ細かな適用範囲の指定ができます。現場の運用に合わせた設定がしやすくなります。

権限昇格の管理

管理コンソールで、[エンドポイント特権マネージャー] > [ポリシー] に移動し、新しいポリシーを作成します。ポリシータイプから [特権昇格] を選択し、[適用] を指定します。

コントロールとして [承認が必要][MFA必須]、または [正当な理由が必要] のいずれかを選択します。

ポリシーを適用すると、対象エンドポイント上のユーザーは、そのデバイスで権限を昇格させる際にポリシーの内容に従う必要があります。

たとえば、ユーザーがcmd.exeを管理者として実行しようとすると、Keeperがそのリクエストを検知し、承認を求めるプロンプトを表示します。

MFAまたは理由の入力が必要な場合は、ユーザーにプロンプトが表示されます。

管理者には、権限昇格の承認リクエストが届きます。

承認後、ユーザーはKeeperのユーザーインターフェースから承認済みコマンドを直接実行できます。

一時アカウント

KEPMの一時アカウントは、システムが一時的に用意して管理するローカルアカウントです (多くの環境ではKeeperUserSessionアカウント)。エンドユーザーに管理者権限を常時与えないまま、特権のある操作だけを実行するために使います。

承認があり、ほかに求められているコントロールもすべて満たしたあと、KEPMは一時アカウントを用意し、そのアカウントとして承認されたプロセスを昇格した権限で実行します。その後付与した権限は自動的に取り消され、監査のためのイベントとして記録されます。承認された操作に限り、必要な期間だけ昇格を認めるという、ジャストインタイムの考え方に沿った動きです。

実運用では、KEPMのエージェントやジョブの流れが、昇格後のプロセスを一時アカウントとして起動します (Linux では多くの場合、ユーザーを直接昇格させるのではなく sudo -u <ephemeralAccount> <command> のように実行します)。また、こうしたアカウントの生涯管理 (作成・起動、一覧・削除、クリーンアップ) には、KEPMのAPIとバックグラウンド処理が含まれます。Windowsでは、一時アカウントの作成や再作成時にOSがプロファイルフォルダを生成することがあるため、アカウントを削除して再作成したあと、C:\Users 配下に孤立した KeeperUserSession のプロファイルフォルダが蓄積することがあります。KEPMは、これらを取り除くためのスケジュールに基づくクリーンアップを備えています。

前へ最小権限ポリシータイプ次へ高度なポリシータイプ

最終更新