# ポリシー
本節では、**ポリシーの種類**、**ステータス**、**コントロール**、**フィルター**を整理し、セキュリティとコンプライアンスの目標に沿ったポリシーを設計するうえでの要点を説明します。
## ポリシーの種類
各ポリシーには、どの操作を制御するかを決める**種類 (タイプ)** があります。
| 種類 | 制御対象 | 典型的な用途 |
| ------------------------ | ------------------------------------- | ------------------------------------------- |
| **特権昇格** | ユーザーが管理者として実行する (または特権を昇格させる) とき。 | 昇格前にMFA、承認、または正当化を求める。特定アプリの許可またはブロック。 |
| **ファイルアクセス** | ファイルとフォルダへのアクセス。 | 機微なパスへのアクセスをブロックまたは許可。特定ファイルでは正当化または承認を求める。 |
| **コマンドライン** | コマンドの実行 (例: PowerShell、シェル、スクリプト)。 | 危険なコマンドをブロックする。機微なスクリプトでは承認を求める。 |
| **最小権限** | ユーザーがローカル管理者権限を維持するか、外すか。 | 大多数のユーザーから常時の管理者権限を外す。特定のロールやマシンだけ例外とする。 |
| **Advanced Mode:設定の更新** | エージェントへの構成のプッシュ (例: プラグインまたはグローバル設定)。 | 各エンドポイントを直接操作せず、ダッシュボードから設定を展開する。 |
| **Advanced Mode:ジョブの更新** | エージェント上のジョブ定義のデプロイまたは更新。 | 自動化やポリシー適用などのジョブを一か所から展開する。 |
ユーザー (またはプロセス) が操作を行うと、エージェント側で**イベントタイプ** (例: 特権昇格、ファイルアクセス) が判別され、その種類に該当するポリシーだけが評価されます。そのため、特権昇格のポリシーがファイルアクセスをブロックすることはなく、ファイルアクセスのポリシーが昇格をブロックすることもありません。複数のポリシー種類を組み合わせて、カバー範囲をそろえられます。
## ポリシーのステータス
各ポリシーには、実際にコントロールを適用するか、監視だけにとどめるかを決める**ステータス**があります。
| ステータス | 評価されるか | 適用されるか | 挙動 |
| --------- | ------ | ------ | ---------------------------------------------------------------- |
| **オフ** | いいえ | いいえ | ポリシーは無視されます。削除せずに無効化するときに使います。 |
| **適用** | はい | はい | ポリシーが評価され、コントロール (許可、拒否、MFA、承認など) が適用されます。 |
| **監視** | はい | いいえ | ポリシーは評価され、ログに残りますが、コントロールは適用されず、操作は許可されます。本番適用の前に影響を把握するときに使います。 |
| **監視と通知** | はい | いいえ | 監視と同じですが、ポリシーに一致した場合にユーザーまたは管理者へ通知できます。教育や段階的な展開に向いています。 |
新しいポリシーはまず**監視**または**監視と通知**にし、レポートとログで挙動を確認してから、問題なければ**適用**に切り替えます。
## コントロール
**コントロール**は、ポリシーが要求に**一致した**ときにどうするかを定義します。許可・拒否のほか、MFA、正当化、承認などの追加手順を求めることもできます。
| コントロール | 意味 |
| ---------------- | -------------------------------------------------------- |
| **MFAを要求** | 操作を進める前に多要素認証を求めます。機微な操作に強い認証を追加します。 |
| **正当化を要求** | 操作を進める前にユーザーに理由 (業務上の正当化) の入力を求めます。監査やコンプライアンス向きです。 |
| **承認を要求** | 要求が承認者に送られ、承認された場合にのみ操作を進められます。リスクの高い昇格やアクセスに使います。 |
| **Advanced: 許可** | 操作を明示的に許可します。特定のアプリやユーザーを許可リストに載せるときに便利です。 |
| **Advanced: 監査** | 操作をログに残しますが、ブロックも追加の必須ステップも課しません。挙動を変えずに可視化だけしたいときに使います。 |
| **Advanced: 拒否** | 操作をブロックします。最優先で、他のコントロールを上書きします。許可したくないアプリやコマンド向けです。 |
**高度な**オプションでは、多くの場合、**自動承認**または**自動拒否**を設定できます (例: 常に通すまたは常に止めるコマンドやアプリのリストを用意し、通常の承認フローを省略する)。設定箇所はダッシュボードの画面により異なります。
コントロールは組み合わせられます (例: MFAを要求**かつ**承認を要求)。リスクの高い操作に複数段の確認を課せます。優先順位のルール (例: 拒否は許可より優先) により、最終結果が明確になります。
## Advanced Modeとフィルター
**フィルター**は、ポリシーが**誰**と**何**に適用されるかを定義します。通常は次の条件が**すべて**一致したときにポリシーが適用されます。
* **ユーザー:** どのユーザーまたはグループか (例: コレクションやワイルドカードによる指定)
* **マシン:** どのエンドポイントまたは展開グループか
* **アプリケーション:** どの実行ファイル、パス、パターンか (多くの場合、変数とワイルドカードを利用)
* **任意:** 時刻帯、曜日、または日付の範囲
**具体的な**フィルター (例: 単一のアプリと単一のグループ) は、**広い**フィルター (例: 「すべてのユーザー」と「すべてのマシン」) より通常は優先されます。全員向けの既定ポリシーを置き、一部の対象にだけ効く限定的なポリシーで上書きする、といった構成が可能です。
**Advanced Mode**のオプションには、次のようなものがあります。
* **自動承認/自動拒否:** コマンドやアプリの許可リストまたは拒否リスト向け。
* **カスタムルール:** ご利用の展開構成で対応している場合、リスクスコアや場所などの追加条件。
* **Extension / AllowCommands:** 一部の構成では、明示的に許可するコマンドのリスト (例: 時刻同期や特定の管理ツール)。許可リスト方式では、リストにないコマンドは拒否されることがあります。
最も限定した条件からポリシーを定義し、その後に広い既定ポリシーを置くとよいでしょう。フィルターを変数とワイルドカードで扱いやすくするには、変数とワイルドカードをご参照ください。
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/setup/policies.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.