Ctrlk
HomepageSystem Status

ジョブとアプリケーション

Keeper EPMでは、ポリシー適用の自動化、インベントリ、リスク評価、メンテナンスにジョブを使い、ユーザーおよび承認者とのやり取りにはアプリケーション (UIコンポーネント) を使います。本節では、お客様向けの視点で概要をまとめます。

ジョブ

ジョブは、エージェントが実行する定義済みのタスクです。ポリシーに応じたイベント (ユーザーが昇格を求めたときなど)、スケジュール、またはダッシュボードから起動できます。各エンドポイントで個別にスクリプトを用意しなくても自動化と一貫性を得られます。

ジョブのタスクは、次の4つの実行モードのいずれかで動作します。

  • Service: サービスアカウントで実行 (デフォルト)。信頼できるコンテキスト。MergeStdoutJsonIntoContext および SkipWhenPluginSettingFalse に対応。

  • User: ログオン済みユーザーのセッションで、管理者権限に昇格しないまま実行。

  • UserDesktop: ユーザーのデスクトップセッションで、管理者権限に昇格しないまま実行。MFA/承認など、中断から再開できるUIフロー向け。

  • UserElevated: ユーザーコンテキストで昇格して実行 (例: ユーザーのデスクトップ上で昇格)。

ジョブのJSONでは、各タスクに executionType を設定します (例: "executionType": "Service")。省略時の既定は Service です。

ジョブの主な役割 (例)

  • ポリシー制御: ポリシーを評価し、コントロールを実施 (例: 特権昇格の実行、承認の要求)、リダイレクトを処理 (例: リスクの高いアプリの代わりに代替アプリへ誘導)。

  • インベントリ: 基本または完全なインベントリ (マシン、ユーザー、またはファイル) を収集し、バックエンドへ報告。

  • リスク評価: ユーザー、マシン、ファイル、場所、またはURLのリスクスコアを算出し、ポリシーがリスクに応じて許可または制限できるようにする。

  • ファイルアクセス: 一時的なファイルアクセスの付与または取り消し、ファイルアクセスポリシーの適用、必要なファイルアクセス権を付与したうえでのアプリ起動。

  • 特権昇格: アプリを昇格付きで起動する、承認済みの要求に沿って起動する、ポリシー評価の結果から承認済み要求を作成する。

  • 構成: 構成ポリシーの処理 (例: プラグインまたはジョブ設定のプッシュ)、エージェントの登録または登録解除、Linux/macOSでのPAM構成の実行。

  • メンテナンス: バージョン情報の記録、キャッシュのクリーンアップ、監査イベントの送信、ポリシー評価エラーの処理、一時アカウント (エフェメラルアカウント) の管理。

ジョブはダッシュボードまたは構成ポリシーで設定され、定義はエージェントへ渡されます。ポリシー、スケジュール、API呼び出しなど、起動条件が満たされたときに実行されます。

ジョブリファレンス (概要)

カテゴリ

リスクとインベントリ

Composite Risk Evaluator、User/Machine/File/Location/URL Risk Assessment、Inventory Basic/Full/User

ポリシー適用

Configuration Policy Processor、File Access Policy Enforcer、Redirect Evaluator、Least Privilege Enforcer

ファイルアクセス

Grant/Revert File Access、Apply File Access Policies、Launch File Access

特権昇格

Launch Privilege Elevation、Launch Approved Request、Create Approved Request from Policy Result

エージェントのライフサイクル

Registration Helper、Unregistration Helper

構成とPAM

Process Configuration Policies、PAM Configuration (Linux/macOS)

UIと通知

Send toast、Show Agent、Start KeeperClient

ジョブの網羅的な一覧は、デフォルトジョブをご参照ください。

高度なカスタマイズを行わない限り、ジョブ定義を直接編集する必要はありません。運用ではダッシュボードと構成ポリシーでの管理を推奨します。

タスク

タスクは、ジョブ内の手順です (例: 「このAPIを呼ぶ」「このスクリプトを実行する」「承認を待つ」)。一部のジョブでは分散バイナリ、つまりタスク実行のためにエンドポイント上で動く小さなプログラムを用います。これらは制御された方法で実行され、ポリシー適用と自動化の一貫性と安全性が保たれます。管理者はジョブ単位で管理すればよく、どのタスクやバイナリをいつ実行するかは製品が担当します。

UIアプリケーション

以下はユーザーおよび承認者向けのUIで、日々の業務でエンドポイント特権マネージャーが使いやすくなります。

アプリケーション
目的

KeeperAgent

エージェントUI。状態、基本的な操作、ユーザー向け操作の入り口

KeeperApproval

承認UI。承認者が保留中の要求を確認し、承認または拒否できる

KeeperJustification

正当な理由入力UI。ポリシーで正当な理由の入力を求めるとき、ユーザーに理由の入力を促す

KeeperMessage

メッセージ/通知。ユーザーへメッセージや通知を表示する

KeeperMFA

MFA用UI。ポリシーでMFAを求めるとき、ユーザーを多要素認証へ案内する

KeeperClient

システムトレイ/クライアント。トレイアイコン、通知、昇格などへのクイックアクセス

Keeper.NetworkConnections

ネットワーク設定の代替UI。**[ネットワーク設定を開く]** の操作をこのアプリへリダイレクトすると、OS標準の画面の代わりに、制御された操作体験に差し替えられる

別ユーザー実行と昇格コンポーネント

UIアプリケーションではなく、ポリシーに従い、適切なアイデンティティまたは特権昇格のもとでプロセスを実行するコンポーネントです。

コンポーネント
目的

Keeper.RunAs

ポリシーに従い、適切なアイデンティティでプロセスを実行する

Keeper.RunElevated

ポリシーに従い、特権昇格した状態でプロセスを実行する

ジョブ、UIアプリケーション、これらの別ユーザー実行および昇格コンポーネントを組み合わせることで、内部実装を意識させることなく自動適用と、ユーザーおよび承認者双方にとって分かりやすい操作体験を実現できます。

前へポリシー次へプラグインと設定

最終更新