デプロイパッケージ、エージェント、要求
本節では、展開グループ、エージェントのインストール、要求の管理について説明します。Keeperエンドポイント特権マネージャー (EPM) を計画的に展開し、特権昇格や承認の一連の流れを扱えるようにします。
デプロイパッケージ
デプロイパッケージ (別名 デプロイコレクション と説明されることもあります) は、KEPMがエンドポイントに何をインストールするかとどのエンドポイントに配布するかを定義する仕組みです。同じ手順で繰り返しKEPMを展開し、展開の範囲を制御できます。
デプロイパッケージに含まれるもの
デプロイパッケージには、通常次のものが含まれます。
対象プラットフォーム (Windows、macOS、Linux) 向けの KEPMエージェントインストーラ
インストール後にエンドポイントをご利用のKeeper環境へ登録できる 登録トークン (または同等の導入用の値)
デプロイパッケージの定義: 展開の対象を絞った単位です。KEPMのエージェントインストーラと導入に必要な情報 (登録トークンなど) を束ね、指定したエンドポイント群に適用します。端末が登録されたあと、適切なポリシーと構成を同期できる状態にします。
インストールと登録が完了すると、エージェントは Keeper管理コンソールから構成とポリシーの更新を受け取れるようになります。
スコープとして決まること (デプロイコレクション)
ここでいう「コレクション」は、どのエンドポイントにデプロイを届けるかを指定する層です。次のような使い方があります。
特定のマシンやユーザーに展開の範囲を絞る
段階的に展開する (まず試行用のグループに適用し、その後に広げる)
グループ分けと配布先の指定に合わせて、登録後のエンドポイントが想定したポリシー/構成の一式を受け取れるようにする
エージェント
デプロイとは、各エンドポイントにKeeperエンドポイント特権マネージャーのエージェントを導入し、登録して、ご利用のKeeper環境からポリシーを受け取れるようにすることです。
手順の概要
エージェントインストーラの取得
ご利用のプラットフォーム (Windows、Linux、macOS) 向けのエージェントインストーラ (またはパッケージ) を、ご利用のKeeper環境または担当のアカウントチームから入手します。
エージェントのインストール
通常お使いの展開手段 (例: GPO、MDM、スクリプト、手動インストール) で、各エンドポイントにエージェントをインストールします。サービスをインストールして起動できるよう、ローカルの管理者 (または root) 権限を持つアカウントでインストールしてください。
ワークステーションの再起動
要求の管理
要求の管理とは、承認・正当化、またはMFAが必要な操作をユーザーが求めたときの流れを整え、承認者が承認または拒否しやすくすることです。
どれが「要求」にあたるか
ポリシーで承認が必要なときの特権昇格の要求 (例: [管理者として実行])
承認・正当化、またはMFAを要するよう構成したその他の操作 (例: 特定のファイルアクセスやコマンド)
要求の流れ
操作の発生
ユーザーが操作を行います (例: 右クリックで [管理者として実行] を選ぶ、または制御対象のアプリを開く)。
ポリシー評価
エージェントがポリシーを評価し、承認 (または正当化、またはMFA) が必要かどうかが分かります。
要求の作成
新しい要求が作成され、Keeperバックエンド (または連携している承認システム) に送られます。
承認依頼
承認者に通知が届き、コンソールまたは承認用UI (KeeperApprovalなど) で承認または拒否できます。
結果の反映
エージェントが結果を受け取り、操作を許可またはブロックします。
どこで管理するか
承認者: ダッシュボードで誰が承認できるかを定義します。詳しくは承認者の作成をご参照ください。
ポリシー: どの操作に承認、MFA、正当化が必要かを設定します。詳しくはポリシーの詳細をご参照ください。
要求と履歴: Keeper管理コンソールで要求を表示し、監査できます。誰が何を求め、誰が承認または拒否したかを確認できます。
コレクション (誰とどのマシンか)、ポリシー (何が承認を要するか)、承認者 (誰が承認できるか) を組み合わせると、業務を止めずにきめ細かな制御を実現できます。
最終更新