承認期間の構成

ユーザーがMFA検証、正当な理由の入力、または承認者による承認を経て保護されたリソースへのアクセスを付与される場合、Keeper EPMはそのアクセスの有効期間を自動的に管理します。複数の期間設定が関与するため、本ページでは各設定が何を制御し、どのように変更するかを取り扱います。

期間設定の一覧

設定

デフォルト

制御内容

変更方法

DurationMinutes (GrantFileAccess ジョブ内)

240分 (4時間)

承認が必要なファイルアクセスの有効期間

ジョブポリシーを更新

DurationMinutes (LaunchFileAccess ジョブ内)

240分 (4時間)

MFAまたは正当な理由が必要なファイルアクセスの有効期間

ジョブポリシーを更新

approvalExpirationHours (keeperAgentプラグイン)

72時間

保留中の承認リクエストが失効するまでの有効期間

設定ポリシーを更新

approvedRequestExpirationHours (keeperAgentプラグイン)

24時間

承認後に付与された承認を起動できる期間

設定ポリシーを更新

MFAアクセス期間について MFAは通過条件にすぎません。ユーザーが通過すると、結果として得られるファイルアクセス期間は他のコントロールタイプと同じ DurationMinutes 設定で管理されます。別途「MFA期間」設定はなく、MFA検証済みファイルアクセスの期間を変更するには LaunchFileAccess ジョブの DurationMinutes を調整します。

2つのファイルアクセスジョブの理解

ファイルアクセスは、コントロールの充足方法に応じて2つの異なるジョブで付与できます。

LaunchFileAccess: ユーザーがMFAまたは正当な理由コントロールを対話的に充足したときに実行されます。このジョブの DurationMinutes パラメータが、そのセッションの有効期間を制御します。
GrantFileAccess: 承認者がリクエストを承認したとき (承認コントロール) に実行されます。このジョブの DurationMinutes パラメータが、付与されたアクセス期間を制御します。

いずれもデフォルトは240分 (4時間) です。例えば、MFA検証済みセッションを8時間、承認付与セッションを2時間のみにしたい場合など、異なる値を設定できます。

パート1 – MFA / 正当な理由によるファイルアクセス期間の変更

LaunchFileAccess ジョブの DurationMinutes を構成します。ユーザーがMFAまたは正当な理由コントロールを充足したときに実行されるジョブです。

ポリシーへ移動

Keeper管理コンソールで [エンドポイント特権マネージャー] > [ポリシー] に移動し、[ポリシーの作成] をクリックします。

基本情報の入力

ポリシー名: File Access Duration – MFA (8 Hours) など、内容が分かる名前
ポリシータイプ: 開始テンプレートとして利用可能なタイプを選択 (例: 特権昇格)
ステータス: 最初は監視に設定し、確認後適用に切り替え
[コントロールを追加] をクリックして少なくとも1つのコントロールを選択し、ユーザーグループとマシンのターゲティングを設定

[Advanced Mode] を開く

ポリシーフォーム左下の [Advanced Mode] リンクをクリックしてJSONエディタを開きます。

ポリシーJSONを置き換え

以下を貼り付け、YOUR_DURATION_IN_MINUTES を希望の値 (例: 8時間なら 480) に置き換えます。

{
  "PolicyName": "File Access Duration – MFA (Custom)",
  "PolicyType": "JobUpdate",
  "Status": "enforce",
  "Extension": {
    "JobId": "LaunchFileAccess",
    "Action": "Update",
    "JobJson": "{\"id\":\"LaunchFileAccess\",\"name\":\"Launch File Access\",\"description\":\"Launches file access with a custom MFA/justification duration.\",\"enabled\":true,\"events\":[\"LaunchFileAccess\"],\"parameters\":[{\"name\":\"DurationMinutes\",\"type\":\"Number\",\"default\":YOUR_DURATION_IN_MINUTES}],\"tasks\":[{\"id\":\"grant-file-access\",\"executionType\":\"HTTP\",\"url\":\"/api/fileaccess/grant\",\"method\":\"POST\",\"body\":\"{\\\"filePath\\\":\\\"{FilePath}\\\",\\\"userIdentifier\\\":\\\"{UserIdentifier}\\\",\\\"userName\\\":\\\"{UserName}\\\",\\\"policyUid\\\":\\\"{PolicyUid}\\\",\\\"requestId\\\":\\\"{RequestId}\\\",\\\"durationMinutes\\\":{DurationMinutes}}\"}]}"
  }
}

保存と展開

[保存] をクリックします。更新されたジョブは、約30分以内にターゲットエンドポイントへプッシュされます。Keeper Agentシステムトレイアイコンから [ポリシーを更新] を実行すれば、それより早く反映される場合もあります。

パート2 – 承認が必要なファイルアクセス期間の変更

GrantFileAccess ジョブの DurationMinutes を構成します。承認者がファイルアクセスリクエストを承認したときに実行されるジョブです。

パート1と同じ手順に従い、JSONの JobId に GrantFileAccess を使用します。

{
  "PolicyName": "File Access Duration – Approval (Custom)",
  "PolicyType": "JobUpdate",
  "Status": "enforce",
  "Extension": {
    "JobId": "GrantFileAccess",
    "Action": "Update",
    "JobJson": "{\"id\":\"GrantFileAccess\",\"name\":\"Grant File Access\",\"description\":\"Grants approved file access with a custom duration.\",\"enabled\":true,\"events\":[\"GrantFileAccess\"],\"parameters\":[{\"name\":\"DurationMinutes\",\"type\":\"Number\",\"default\":YOUR_DURATION_IN_MINUTES}],\"tasks\":[{\"id\":\"grant-access\",\"command\":\"KeeperFileAccessPolicyEnforcer\",\"arguments\":\"--operation=grant --filePath={FilePath} --userName={UserName} --duration={DurationMinutes}\",\"executionType\":\"Service\"}]}"
  }
}

パート3 – 保留中承認の失効期間の変更

ユーザーが承認リクエストを送信すると、承認者が対応するまでリクエストは保留状態です。設定された期間内に対応がない場合、リクエストは自動的に失効し、ユーザーは新しいリクエストを送信する必要があります。

これはkeeperAgentプラグインの approvalExpirationHours 設定で制御され、設定更新ポリシーを使用します。

ポリシーへ移動

エンドポイント特権マネージャー > [ポリシー] に移動し、[ポリシーの作成] をクリックします。

基本情報の入力

ポリシー名: 例: Approval Request Expiration – 48 Hours
ポリシータイプ: 開始テンプレートとして利用可能なタイプを選択
ステータス: 最初は監視、確認後適用
コントロールを追加し、適切なターゲティングを設定

[Advanced Mode] を開く

左下の [Advanced Mode] リンクをクリックします。

ポリシーJSONを置き換え

YOUR_HOURS を保留リクエストの有効期間 (時間) (例: 48) に置き換えます。同時に approvedRequestExpirationHours や historyRetentionDays も調整できます。以下の参照表をご参照ください。

{
  "PolicyName": "Approval Request Expiration – Custom",
  "PolicyType": "SettingsUpdate",
  "Status": "enforce",
  "Extension": {
    "PluginName": "keeperAgent",
    "Action": "Update",
    "SettingsJson": "{\"approvalExpirationHours\":YOUR_HOURS,\"approvedRequestExpirationHours\":24,\"historyRetentionDays\":30,\"maxPayloadSizeBytes\":1048576,\"maxRequestItems\":20,\"maxHistoryItems\":20}"
  }
}

重要

SettingsJson の値は keeperAgentプラグイン構成全体を置き換えます。変更する項目だけでなく、必要なすべての設定を含めてください。上記の値は、変更しない設定のデフォルトです。

保存と展開

[保存] をクリックします。更新された設定は、約30分以内に対象エンドポイントへプッシュされます。

パート4 – 承認済みリクエストの起動可能期間の変更

承認者がリクエストを承認すると、ユーザーは通知を受け取り、Keeper Agentから承認済みアクションを起動できます。approvedRequestExpirationHours 設定は、起動可能な期間を制御します。期限内に起動しない場合、承認は失効し、新しいリクエストの送信が必要になります。

パート3と同じ手順に従い、SettingsJson の approvedRequestExpirationHours 値を調整します。起動可能期間を48時間に延長する例は以下のとおりです。

"SettingsJson": "{\"approvalExpirationHours\":72,\"approvedRequestExpirationHours\":48,\"historyRetentionDays\":30,\"maxPayloadSizeBytes\":1048576,\"maxRequestItems\":20,\"maxHistoryItems\":20}"

参照

期間参照表

値

分

時間

60

60分

1時間

120

120分

2時間

240

240分

4時間 (ファイルアクセスのデフォルト)

480

480分

8時間

1440

1440分

24時間

承認失効 (時間単位)

値

期間

24

1日

48

2日

72

3日 (保留リクエストのデフォルト)

168

7日

進行中の付与はどうなるか?

これらの設定を変更しても、すでに進行中の付与や起動可能期間には影響しません。新しい値は、更新された構成がエンドポイントに到達した後に作成される新しいリクエストと付与にのみ適用されます。

前へバックアップと復元次へCrowdStrike実行ジョブ

最終更新 5 日前