# 権限昇格ポリシータイプ

<figure><img src="/files/AZBZsu3G02D2ujH3LNSd" alt=""><figcaption></figcaption></figure>

## 概要

権限昇格ポリシーは、ユーザーが管理者ロールへ昇格できる権限を制御するためのポリシーです。まず[最小権限ポリシー](/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/least-privilege-policy-type.md)を適用し、標準ユーザーが組み込みの管理者権限を持たない状態にすることを推奨します。

Windowsでは、ユーザーが昇格イベントを発動すると、Keeperクライアントのユーザーインターフェースが自動的に起動します。macOSおよびLinux (Ubuntu/GNOME) では、ユーザーがKeeperクライアントのユーザーインターフェースから昇格リクエストを開始できます。

## 仕組み

エンドポイント上では、Keeperエージェントサービスがシステム権限で動作します。すべての権限昇格は、一時的なアカウント `keeperusersession` を使用して実行されます。

### 承認の制御

承認に基づく昇格は、グローバルに一元化された承認の枠組みに沿って動作します。昇格に関する承認要求は、統一された管理画面から扱え、要求の種類や適用のしかたが異なっていても、同じ方針で運用できます。

### 昇格コントロール (許可 / 却下 / MFA / 正当な理由 / 承認)

昇格ポリシーでは、コマンド単位で細かく制限を掛けられます。同一の実行ファイルでも、許可するコマンドライン引数やサブコマンドと拒否するものを分けて指定できます。昇格操作を意図どおりに絞り込めます。**コントロールは積み上げ (additive)** であり、同一の昇格状況に複数のポリシーがあてはまるときは、**課される要件をすべて満たす必要があります**。たとえば、あるポリシーが **MFA必須**、別のポリシーが **承認が必要** を同時に課す場合、ユーザーは昇格が許可されるまでに、その両方を満たす必要があります。

### ポリシーのターゲティング

昇格ポリシーでは、ユーザー・マシン・アプリケーション・コレクションなどの属性にわたる、きめ細かな適用範囲の指定ができます。現場の運用に合わせた設定がしやすくなります。

## 権限昇格の管理

管理コンソールで、**\[エンドポイント特権マネージャー]** > **\[ポリシー]** に移動し、新しいポリシーを作成します。ポリシータイプから **\[特権昇格]** を選択し、**\[適用]** を指定します。

<figure><img src="/files/Lg1rSk6MoG1wU82RiJ6B" alt="" width="375"><figcaption></figcaption></figure>

コントロールとして **\[承認が必要]**、**\[MFA必須]**、または **\[正当な理由が必要]** のいずれかを選択します。

<figure><img src="/files/rcHhPIOknYSYkRGVNgaH" alt="" width="375"><figcaption></figcaption></figure>

ポリシーを適用すると、対象エンドポイント上のユーザーは、そのデバイスで権限を昇格させる際にポリシーの内容に従う必要があります。

たとえば、ユーザーがcmd.exeを管理者として実行しようとすると、Keeperがそのリクエストを検知し、承認を求めるプロンプトを表示します。

<figure><img src="/files/v5i74KulbZC16SAt2Bry" alt=""><figcaption></figcaption></figure>

MFAまたは理由の入力が必要な場合は、ユーザーにプロンプトが表示されます。

<figure><img src="/files/O9HAoGAMaGtyvZyz5zDE" alt=""><figcaption></figcaption></figure>

管理者には、権限昇格の承認リクエストが届きます。

<figure><img src="/files/LsjpnIhVCxogM6PWgllM" alt="" width="375"><figcaption></figcaption></figure>

承認後、ユーザーはKeeperのユーザーインターフェースから承認済みコマンドを直接実行できます。

<figure><img src="/files/9macPfoXtUv7FMVmhMx7" alt=""><figcaption></figcaption></figure>

### 一時アカウント

KEPMの**一時アカウント**は、システムが一時的に用意して管理するローカルアカウントです (多くの環境では**KeeperUserSession**アカウント)。エンドユーザーに管理者権限を常時与えないまま、特権のある操作だけを実行するために使います。

承認があり、ほかに求められているコントロールもすべて満たしたあと、KEPMは一時アカウントを用意し、そのアカウントとして承認されたプロセスを昇格した権限で実行します。その後**付与した権限は自動的に取り消され**、監査のためのイベントとして記録されます。承認された操作に限り、必要な期間だけ昇格を認めるという、ジャストインタイムの考え方に沿った動きです。

実運用では、KEPMのエージェントやジョブの流れが、昇格後のプロセスを**一時アカウントとして**起動します (Linux では多くの場合、ユーザーを直接昇格させるのではなく `sudo -u <ephemeralAccount> <command>` のように実行します)。また、こうしたアカウントの生涯管理 (作成・起動、一覧・削除、クリーンアップ) には、KEPMのAPIとバックグラウンド処理が含まれます。Windowsでは、一時アカウントの作成や再作成時にOSがプロファイルフォルダを生成することがあるため、アカウントを削除して再作成したあと、`C:\Users` 配下に**孤立した KeeperUserSession のプロファイルフォルダ**が蓄積することがあります。KEPMは、これらを取り除くためのスケジュールに基づくクリーンアップを備えています。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/policies/policy-types/privilege-elevation-policy-type.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.