プラグインとタスクの設定
対象: 個別のKEPMプラグインの設定を行う必要があるIT管理者、または特定のジョブタスクに影響する設定を把握したい方。本ページでは各設定の用途、型、デフォルト、適切な値を示します。
設定はプラグインJSONファイル (Plugins/{PluginName}.json) または統合ストレージに保存できます。実行時は、Revertで元に戻すまで統合ストレージの値がプラグインJSONより優先されます。
設定の適用方法
プラグインJSON: 各プラグインには
Plugins/以下にJSONファイルがあります (例:Plugins/KeeperPolicy.json)。設定はルートまたはmetadata配下に置けます。ファイルを編集しプラグインを再起動すると反映されます。統合ストレージ: エージェントはプラグイン設定を統合ストレージに保存できます。Revert (例:
POST /api/PluginSettings/{pluginName}/revertまたはrevert-all) を実行するまで、これらの値がプラグインJSONより優先されます。SettingsUpdateポリシー:
SettingsUpdate構成ポリシーでプラグインJSON全体をディスクに書き込めます。Configuration Policy Processor の実行後、実行時ストレージを新しいファイルに合わせたい場合は Revert を使い、必要ならプラグインを再起動します。API:
GET /api/PluginSettings/{pluginName}またはGET /api/PluginSettings/{pluginName}/{settingName}で設定を読み取り、PUT /api/PluginSettings/{pluginName}/{settingName}で個別キーを更新できます。値の形式はJSONです (文字列、数値、真偽値など)。
統合担当者向けのプラグイン設定の概要 (ジョブタスクのバイナリが実行時にこのAPIでブローカー構成を読み取る方法を含む) については、ジョブとプラグイン: 設定キーおよびHTTPリファレンスをご参照ください。
グローバル設定 (appsettings.json)
appsettings.json)これらの設定は、エージェントサービス実行ファイル横の appsettings.json の Settings セクションにあり、サービス全体に適用されます。変更を反映するにはサービスの再起動が必要です。
KestrelHttpPort
integer
6888
ローカル管理API用HTTPポート (ループバックのみ)
1024–65535。マシン上で空いているポート
KestrelHttpsPort
integer
6889
ローカル管理API用HTTPSポート (ループバックのみ)
1024–65535。空いているポート
system.logging.level
string
"Warning"
メインサービスおよびKeeperLoggerフォールバックの最低ログレベル
"Critical"、"Error"、"Warning"、"Information"、"Debug"、"Trace"。本番: "Warning" または "Information"。トラブルシュート: "Debug"
RepositoryPath
string
"KeeperStorage"
システム構成の保存先ディレクトリ
有効なパス。{approot}/KeeperStorage などのパス変数可
PluginPath
string
"Plugins"
プラグインJSONファイルと実行ファイルを含むディレクトリ
有効なパス。パス変数可
ServiceName
string
"KeeperPrivilegeManager"
Windowsサービスの表示名
空でない任意の文字列
MaintainKeeperAccount
boolean
false
true のとき (Windows)、一時的な KeeperUserSession アカウントをサービス再起動後も維持 (ハイブリッド Azure AD + Intune 向け)
true または false
MQTTブローカー設定は appsettings.json の MqttBrokerSettings にあります。
IpAddress
string
"127.0.0.1"
MQTTブローカーのバインドアドレス
"127.0.0.1" または "localhost"。セキュリティのためループバックのままにする
Port
integer
8675
MQTTブローカーのポート
1024–65535。空いているポート
KeeperPolicyプラグイン
構成ファイル: Plugins/KeeperPolicy.json
設定はプラグイン起動時に読み込まれ、MQTT接続、API呼び出し、ポリシー評価の挙動を制御します。
broker.host
string
"127.0.0.1"
プラグインが接続するMQTTブローカーのホスト名
ローカルMQTTブローカーのホスト名またはIP (通常 127.0.0.1)
broker.port
integer
8675
MQTTブローカーのポート
1024–65535。MqttBrokerSettings.Port と一致必須
subscription.topic
string
"KeeperPolicy"
ポリシーリクエスト用にプラグインがサブスクライブする主MQTTトピック
空でないトピック名
subscription.topics
string
可変
追加でサブスクライブするMQTTトピックのカンマ区切り一覧
カンマ区切りのトピック名
system.service.https_port
integer
6889
カスタムフィルタやジョブトリガーなど、ローカルAPI呼び出し用HTTPSポート
KestrelHttpsPort と同じ
customfilter.timeout_seconds
integer
30
カスタムフィルタジョブへのHTTP呼び出しタイムアウト (秒)
正の整数。通常 15–60
ratelimit.max_requests_per_minute
integer
100
ソースあたり1分間のポリシー評価リクエスト上限
正の整数。正当なトラフィックが抑制される場合は増やす
metadata.admin.enforce_policies_for_administrators
boolean
false
ポリシー非一致の特権昇格リクエストで、要求ユーザーが管理者の場合: false は許可 (OSデフォルト)、true は拒否
false: 管理者はポリシー非一致時も拒否対象外。true: 管理者も標準ユーザーと同様に拒否
KeeperAPIプラグイン
構成ファイル: Plugins/KeeperApi.json
Keeperバックエンドとの通信 (登録、ポリシー同期、監査) に使います。
broker.host
string
"127.0.0.1"
MQTTブローカーのホスト名
127.0.0.1 または localhost
broker.port
integer
8675
MQTTブローカーのポート
MqttBrokerSettings.Port と一致
api.base_url
string
環境から取得
KeeperバックエンドAPIのベースURL
完全なHTTPS URL (例: https://api.keepersecurity.com)
sync.interval_minutes
integer
可変
バックエンドからのポリシー/設定同期の間隔 (分)
正の整数。通常 15–60
KeeperLoggerプラグイン
構成ファイル: Plugins/KeeperLogger.json
ログメッセージの出力先と方法 (ファイル、HTTPエンドポイント、保持期間、ローテーション) を制御します。
logToFile
boolean
true
true のとき、ログをファイルに書き込む
true または false
logFileName
string
"Log/KeeperLogger.log"
ログファイルのパス (プラグイン作業ディレクトリからの相対または絶対)。パス変数可
有効なパス (例: {approot}/Log/KeeperLogger.log)
maxFileSizeMB
number
100
ローテーション前のログファイル最大サイズ (MB)
正の数。通常 50–500
logRetentionDays
integer
15
削除前にローテーション済みログを保持する日数
正の整数。通常 7–90
logToHttpEndpoint
boolean
false
true のとき、ログをHTTPエンドポイントにも送る
true または false
loggingHttpEndpoint
string
""
logToHttpEndpoint が true のときログをPOSTするURL
完全なHTTP/HTTPS URL、または空
log.level
string
可変
ファイルまたはHTTPへ書き込むメッセージの最低レベル
"Critical"、"Error"、"Warning"、"Information"、"Debug"、"Trace"。本番: "Warning" または "Information"。トラブルシュート: "Debug"
RedirectEvaluatorプラグイン
構成ファイル: Plugins/RedirectEvaluator.json
リダイレクト設定は、ルール一致時に LaunchPrivilegeElevation ジョブが別の実行ファイルに差し替えるかどうかを制御します (例: ncpa.cpl → Keeper管理のネットワーク接続UI)。全体の流れについては、リダイレクト機能をご参照ください。
metadata.redirect.enabled
boolean
構成により可変
true のとき、LaunchPrivilegeElevation ジョブは check-redirect タスクを実行しルールを評価する。ルール一致時は元の要求を拒否し targetExe を昇格付きで起動。false のとき check-redirect をスキップ
リダイレクト有効: true。通常の昇格起動のみ: false
metadata.redirect.rules
array
[]
リダイレクトルールのリスト。最初に一致したルールが適用
ルールオブジェクトの配列 (下記参照)。不要なら []
metadata.redirect.rulesPath
string
任意
インライン rules の代わりにリダイレクトルールを格納したファイルへのパス
有効なファイルパス、または空
リダイレクトルールのフィールド (metadata.redirect.rules 内の各オブジェクト):
sourceExePattern
string (regex)
昇格リクエストの実行ファイル名にマッチ。大文字小文字を区別しない
正規表現。リテラルのドットは \\. (例: "rundll32\\.exe")
commandLinePattern
string (regex)
完全なコマンドラインにマッチ。大文字小文字を区別しない
正規表現 (例: "ncpa\\.cpl")
elevationOnly
boolean
true のとき、特権昇格イベントにのみルールを適用
一般的なリダイレクトでは true
nonAdminOnly
boolean
true のとき、要求ユーザーが管理者でない場合のみルールを適用
標準ユーザーのみ: true。管理者にも適用: false
targetExe
string
差し替え先のプラグインIDまたは実行ファイル名 (Jobs/bin または Plugins/bin から解決)
例: "Keeper.NetworkConnections"。エンドポイントにデプロイ済みであること
targetArguments
string
差し替え先実行ファイルのコマンドライン引数
任意の文字列。多くは ""
KeeperClientプラグイン
構成ファイル: Plugins/KeeperClient.json
システムトレイクライアント (通知、メニュー、ヘルスチェック)。多くのオプションは metadata にあります。
broker.host
string
"127.0.0.1"
MQTTブローカーのホスト名
127.0.0.1
broker.port
integer
8675
MQTTブローカーのポート
ブローカーと同じ
metadata.menu.refreshIntervalMinutes
integer
5
トレイメニューをAPIから再取得する間隔 (分)
正の整数。通常 1–30
metadata.menu.autoRefresh
boolean
true
タイマーによるメニューの自動更新の有無
true または false
metadata.LanguageOverride
string
"DEFAULT"
UI表示言語の上書き
"DEFAULT" または有効なカルチャコード (例: "en-US")
metadata.showInTray
boolean
true
システムトレイにアイコンを表示するか
true または false
keeperAgentプラグイン
構成ファイル: Plugins/keeperAgent.json
特権昇格およびファイルアクセス要求 (承認、履歴、失効) を管理するスタンドアロンUI。
approvalExpirationHours
integer
72
保留中の承認要求が期限切れになるまでの時間 (時間)
正の整数。通常 24–168
approvedRequestExpirationHours
integer
24
承認済み要求が期限切れとなり起動できなくなるまでの時間 (時間)
正の整数。通常 1–72
historyRetentionDays
integer
30
UIに履歴項目を保持する日数
正の整数。通常 7–90
maxPayloadSizeBytes
integer
1048576
メッセージの最大ペイロードサイズ (1 MB)
正の整数
maxRequestItems
integer
20
表示する保留要求の最大件数
正の整数
maxHistoryItems
integer
20
表示する履歴の最大件数
正の整数
maxExceptionMessageLength
integer
500
表示する例外メッセージの最大長
正の整数
プラグイン設定を参照するタスク
一部のジョブタスクは、動作判断のためにプラグイン設定を読みます。タスクの挙動が想定と異なる場合に、どの設定を確認すべきかを示します。
LaunchPrivilegeElevation
check-redirect
RedirectEvaluator: metadata.redirect.enabled
true のとき、RedirectEvaluatorを実行してリダイレクトルールを評価。false のときタスクをスキップし、通常の昇格起動でジョブを続行
privilege-elevation-policy-controls や default-policy-controls など、その他のポリシー制御ジョブは KeeperMfa、KeeperJustification、KeeperApproval をタスク実行ファイルとして使います。挙動はジョブパラメータとポリシーで決まり、プラグイン設定表には含まれません。
設定場所
グローバル設定 (ポート、パス、ログレベル)
appsettings.json → Settings および MqttBrokerSettings
ポート/パス変更後はサービス再起動が必要
KeeperPolicy (ブローカー、管理者フォールバック、レート制限)
Plugins/KeeperPolicy.json または PUT /api/PluginSettings/KeeperPolicy/{key}
変更後はKeeperPolicyを再起動
KeeperAPI (ブローカー、API URL、同期間隔)
Plugins/KeeperApi.json またはPlugin Settings API
変更後はKeeperAPIを再起動
KeeperLogger (ファイルパス、保持、ログレベル)
Plugins/KeeperLogger.json またはPlugin Settings API
変更後はKeeperLoggerを再起動
リダイレクト (有効フラグ、ルール)
Plugins/RedirectEvaluator.json またはPlugin Settings API
ルール変更は次回評価から反映。再起動は不要
KeeperClient (メニュー、トレイ)
Plugins/KeeperClient.json
反映にはKeeperClientの再起動
keeperAgent (期限、上限)
Plugins/keeperAgent.json
反映にはkeeperAgentの再起動
ディスク上のプラグインJSONを編集したあとは、POST /api/PluginSettings/{pluginName}/revert (または revert-all) でファイルから統合ストレージへ再読み込みし、その後プラグインを再起動して新しい値を読み込ませます。autoRestart: true が設定されている場合、プラグインを停止すると自動的に再起動します。
最終更新