承認者、コレクション、ポリシーの作成
承認者、コレクション、ポリシーの設定方法。誰が要求を承認できるか、ポリシーをユーザー・マシン・アプリケーションにどう適用するかを制御するための手順。
承認者の作成
概要
承認者は、ポリシーで承認が必要なときに、特権昇格などの要求を承認できる人 (またはグループ) です。
作成場所: Keeper管理コンソールで、承認者または承認設定の項目を使います (表示名はコンソールのバージョンにより異なる場合があります)。
定義内容: 誰を承認者とするか (ユーザー、グループ、ロールなど)。必要に応じて、どの要求を承認の対象とするかをコレクションや展開グループなどで絞り込むこともできます。
承認の流れ: 承認者はKeeperのワークフローで要求を受け取り、承認または拒否します。エージェントはその結果に応じて操作を許可またはブロックします。
ポリシーでの承認の扱いの詳細は、ポリシーをご参照ください。
Keeperエンドポイント特権マネージャー (EPM) のポリシーで「承認が必要」コントロールが使われると、要求はKeeper管理コンソールで定義された承認チームに送られます。
承認者ができること:
保留中の要求の表示
昇格要求の承認または拒否
要求の詳細の確認 (ユーザー、マシン、アプリケーション、正当な理由)
要求履歴の参照
承認の構成はKeeper管理コンソールで一元的に管理されます。承認者チームは要求タイプごとに割り当てられます。
手順
[管理者] → [チーム] に移動
Keeper管理コンソールにログインします。
[管理者] を開きます。
[チーム] を選択します。
チームの追加
承認や昇格の処理に使う新しいチームを作る場合、または該当するチームがまだない場合に行います。
「このチームに自分を含める」チェックボックスをオンにしたままにすると、自分のユーザーが新しいチームの承認者として自動的に登録されます。
チームへのユーザーの追加
チームの作成後、
をクリックすると、「チームにユーザーを追加」のモーダルが開き、そこからユーザーを追加できます。
承認へ移動
Keeper管理コンソールにログインします。
[管理者] を開きます。
[承認] を選択します。
要求タイプの選択
承認セクション内で次を行います。
適切な要求タイプを選択します。
例: 特権昇格 (展開に応じてその他のEPM関連の要求タイプ)。
各要求タイプには、それぞれ別の承認構成を設定できます。
承認チームの指定
選択した要求タイプについて次を行います。
適切な承認チームを割り当てます。
構成を保存します。
エスカレーション承認者チームの指定
選択した要求タイプについて次を行います。
適切なエスカレーション承認者を割り当てます。
構成を保存します。
コレクションの作成
概要
コレクションは、ポリシー適用や展開で対象とするユーザー・マシン・アプリなどをまとめたグループです。
ユーザー (ロール、部門、AD/Azure ADグループなど)。
マシン (OU、タグ、展開グループなど)。
アプリケーション (名前やパスパターンなど)。
コレクションを使うと、1本のポリシーを多数のユーザーまたはマシンに適用でき、1件ずつ列挙する必要がありません。コレクションはKeeperのダッシュボードで作成・保守し、ポリシーや展開グループを作るときに選択します。
ポリシーでの利用: ポリシーのフィルターで、どのユーザー・マシン・アプリケーションに適用するかを選びます。コレクション (またはコンソール上の同等のターゲット指定) を使うと、個別指定より運用しやすくなります。
展開での利用: 展開グループは、どのエンドポイントにどの構成を配るかを決めます。多くの場合、マシンまたはユーザー単位のコレクションと対応付けて設計します。
組織でActive DirectoryまたはAzure ADを使っている場合、コレクションをAD/Azure ADグループに合わせたり、展開プロセスが対応していればインポートしたりできます (サブコマンド: scim参照)。
コレクションを使うと次のような運用がしやすくなります。
特定のユーザーグループを対象にする
特定のマシンまたは展開グループを対象にする
特定のアプリケーションを対象にする
環境全体でポリシーを一貫して適用する
大規模な展開を整理する
ポリシーをユーザーまたはマシンに1件ずつ割り当てる代わりに、コレクションに割り当てます。
カスタムコレクション
カスタムコレクションでは、組織の構造に沿った論理グループを定義できます。
例:
財務部門のワークステーション
エンジニアリングユーザー
ドメインコントローラー
承認済みの管理ツール
コレクションに含められるもの:
ユーザー
マシン
アプリケーション
複数のポリシーや展開グループで繰り返し使えます。
手順
コレクションへ移動
Keeper管理コンソールにログインします。
[エンドポイント特権マネージャー] を開きます。
[コレクション] を選択します。
[新しいコレクション] ボタンをクリックします。
コレクション詳細の定義
コレクションのタイプ (アプリケーション、マシン、ユーザー) を選び、新しいコレクションに名前を付け、[次へ] ボタンをクリックします。
コレクションへの項目の追加
既存オブジェクトから追加する
検索ボックスで対象を検索して表示し、コレクションに含めるオブジェクトを選びます。選択して [追加] ボタンをクリックします。
オブジェクトを手入力で定義する
「リソースを手動で定義する」チェックボックスをオンにすると、検索ボックスの代わりにテキストボックスが表示され、コレクション用のオブジェクトを手入力できます。オブジェクトを指定して [追加] ボタンをクリックします。
ポリシーの作成
概要
ポリシーは、セキュリティとコンプライアンスの方針をエンドポイント上で実現するルールです。何を許可するか、多要素認証が必要か、承認が必要か、拒否するかを定めます。
ポリシーの要素
名前とタイプ: ポリシーを識別し、分類しやすくするための情報 (例: 「財務 – 特権昇格」)
タイプ: 特権昇格、ファイルアクセス、コマンドライン、最小権限、設定の更新、ジョブの更新など。種類ごとに制御する操作が異なります。詳しくはポリシーの詳細をご参照ください。
ステータス: オフ、適用、監視、監視&通知。ポリシーを実際にブロックするか、ログのみとするかを制御します。ポリシーの詳細をご参照ください。
コントロール: ポリシーに一致したときの動作 (例: 許可、拒否、多要素認証が必要、正当な理由の入力が必要、承認が必要)。高度なオプションでは自動承認または自動拒否も使えます。ポリシーの詳細をご参照ください。
フィルター: 適用対象となるユーザー、マシン、アプリケーション、および必要に応じて時刻・日付・その他の条件。詳しくはポリシーの詳細および変数とワイルドカードをご参照ください。
ポリシーの作成場所
ポリシーはKeeper管理コンソールで作成・編集され、適切な展開グループに属するエージェントへ同期されます。各エンドポイントのファイルを直接編集する必要はなく、ポリシー管理はダッシュボードで一元して行います。
推奨事項
新しいポリシーは最初監視または監視&通知にし、適用前に影響を確認する。
多数のユーザーまたはマシンを1本のポリシーでカバーできるようコレクションを使う。
フィルターでは変数とワイルドカードを使い、ポリシーを単純かつ拡張しやすく保ちます。詳しくは変数とワイルドカードをご参照ください。
手順
ポリシーへ移動
Keeper管理コンソールにログインします。
エンドポイント特権マネージャーを開きます。
ポリシーを選択します。
[ポリシーの作成] ボタンをクリックします。
[ポリシーの作成] ボタンをクリックする
ポリシー作成のモーダルが開きます。
ポリシー詳細の定義
ポリシーを作成するとき、ポリシー詳細のステップで、ポリシーの識別情報、何を制御の対象とするか、現在有効かどうかを決めます。
新しいポリシーに名前を付ける 管理者が意図と範囲をすぐ把握できるよう、分かりやすい名前にします。多くの場合、対象と目的と環境が分かる名前にします (例: 部門 + 操作 + 環境)。
ポリシータイプを選ぶ 制御したい内容に合うポリシータイプを選びます。タイプにより、後のステップで設定できる操作とコントロールが決まります。
ステータスを選ぶ ポリシーを有効にするか、どう振る舞うかを設定します。代表的なステータスは以下のとおりです。
監視 (ブロックはせず、挙動の記録のみ)
監視&通知 (ブロックはせず、記録に加え通知)
適用 (ポリシーを実際に適用)
オフ (無効)
ヒント: 適用に移る前に、影響を確認するため 監視 (または監視&通知) から始めます。
ポリシーコントロールの定義
ポリシーコントロールでは、特権操作が許可される前にユーザーに求めることを決めます。リスクを抑えつつ必要な作業を進められるよう、承認・MFA・正当な理由の入力などを組み合わせて指定します。
承認が必要 操作に進む前に、権限のある承認者が要求を確認して承認する必要があります。担当者の確認を挟みたい、リスクの高い操作向けです。
多要素認証が必要 続行前にユーザーが多要素認証 (MFA) を完了し、本人であることを確認する必要があります。パスワードが漏れた場合の悪用を抑えます。
正当な理由の入力が必要 ユーザーに、操作が必要な理由の記述を求めます。説明責任の明確化と監査対応がしやすくなります。
コントロールの併用 これらのコントロールは単独でも組み合わせでも指定できます。例: MFA + 正当な理由の入力、承認 + MFA、インパクトの大きい操作には承認 + MFA + 正当な理由の入力など。
自動承認または自動拒否 自動承認と自動拒否は、ポリシーフォームのAdvanced Modeセクションでのみ有効化・設定できます。ポリシー編集時はAdvanced Modeに切り替え、これらの設定が正しく保存・反映されるようにしてください。
ターゲットの定義
適用範囲 (ターゲット) では、ポリシーをどこに当てるかを正確に決めます。すべてのエンドポイントとすべてのユーザーに当てるのではなく、適切な人・デバイス・アプリ・プラットフォームに絞り込み、適用範囲を明確にします。カテゴリは1つに限定しても、複数を組み合わせて絞り込んでもかまいません。
ユーザー 特定のユーザーまたはユーザーグループにだけ適用し、対象のユーザーが操作しようとしたときにだけポリシーが評価されます。IT、財務、開発などチームごとに特権コントロールを変えたい場合に使います。
マシン 特定のエンドポイント (またはエンドポイントのグループ) にだけ適用し、選んだデバイス上でのみポリシーが評価されます。サーバー、共有ワークステーション、キオスクなどリスクの高い環境を厳しくしたり、限定展開で試したりするのに役立ちます。
アプリケーション 1つまたは複数のアプリケーションにだけ適用し、それらのアプリの起動や特権操作のときにだけポリシーが評価されます。特定のインストーラ、管理ツール、スクリプト、業務アプリの昇格だけを抑え、それ以外のアプリには影響させない場合に向いています。
オペレーティングシステム プラットフォーム (Windows、macOS、Linux) ごとに適用範囲を指定し、同じ方針を環境に応じて適用したり、関係するOSにだけ限定したりできます。
ターゲットの組み合わせ 適用範囲を重ねて狭められます。例:
開発者 (ユーザー)、エンジニアリング用ノートPC (マシン)、macOS (オペレーティングシステム) 上のターミナル系ツール (アプリケーション) への適用
すべてのユーザーを対象とし、共有マシン上の特定のアプリケーションへの適用
ヒント: 可能ならコレクションを使う 利用できる場合は、ユーザー・マシン・アプリケーションをコレクションにまとめ、個別に長い一覧を列挙する代わりにコレクションを対象として選びます。環境が変わってもポリシーを保守しやすくなります。
日付と時間帯の範囲の定義
日付と時間帯の範囲では、ポリシーがいつ有効かを制御します。特権操作を許可する時間帯を絞り込んだり、業務時間外のリスクを下げたり、メンテナンス中だけ一時的に条件を緩めたりするのに使います。
常時 (デフォルト) デフォルトの常時のままにすると、ターゲット条件を満たす限り、ポリシーはいつでも適用されます。
日付と時間帯の範囲を指定する 範囲を定義すると、次のような期間にだけポリシーを限定できます。
業務時間 (例: 平日の日中)
メンテナンスウィンドウ (例: 計画された変更枠)
期限付きの短期例外 (例: 一定期間だけ有効で、のちに自動的に失効)
時間指定が役立つ理由 時間による制限は次のような効果があります。
夜間や週末のリスクを抑える
通常時間外はより厳しくする (またはメンテナンス中だけ緩める)
期限付きの一時アクセスを、あとからポリシー本体を無効化しなくても設定しやすくなる
ポリシーの保存
ポリシー構成を確認し、[保存] ボタンをクリックすると、新しいポリシーがポリシー一覧に表示されます。
最終更新