> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/user-guides/configuring-the-approval-duration.md). # 承認期間の構成

ユーザーがMFA検証、正当な理由の入力、または承認者による承認を経て保護されたリソースへのアクセスを付与される場合、Keeper EPMはそのアクセスの有効期間を自動的に管理します。複数の期間設定が関与するため、本ページでは各設定が何を制御し、どのように変更するかを取り扱います。 ## 期間設定の一覧

設定	デフォルト	制御内容	変更方法
`DurationMinutes` (`GrantFileAccess` ジョブ内)	240分 (4時間)	承認が必要なファイルアクセスの有効期間	ジョブポリシーを更新
`DurationMinutes` (`LaunchFileAccess` ジョブ内)	240分 (4時間)	MFAまたは正当な理由が必要なファイルアクセスの有効期間	ジョブポリシーを更新
`approvalExpirationHours` (keeperAgentプラグイン)	72時間	保留中の承認リクエストが失効するまでの有効期間	設定ポリシーを更新
`approvedRequestExpirationHours` (keeperAgentプラグイン)	24時間	承認後に付与された承認を起動できる期間	設定ポリシーを更新

{% hint style="info" icon="comment-question" %} **MFAアクセス期間について** MFAは通過条件にすぎません。ユーザーが通過すると、結果として得られるファイルアクセス期間は他のコントロールタイプと同じ `DurationMinutes` 設定で管理されます。別途「MFA期間」設定はなく、MFA検証済みファイルアクセスの期間を変更するには `LaunchFileAccess` ジョブの `DurationMinutes` を調整します。 {% endhint %} ## 2つのファイルアクセスジョブの理解ファイルアクセスは、コントロールの充足方法に応じて2つの異なるジョブで付与できます。 * **`LaunchFileAccess`:** ユーザーがMFAまたは正当な理由コントロールを対話的に充足したときに実行されます。このジョブの `DurationMinutes` パラメータが、そのセッションの有効期間を制御します。 * **`GrantFileAccess`:** 承認者がリクエストを承認したとき (承認コントロール) に実行されます。このジョブの `DurationMinutes` パラメータが、付与されたアクセス期間を制御します。いずれもデフォルトは**240分 (4時間)** です。例えば、MFA検証済みセッションを8時間、承認付与セッションを2時間のみにしたい場合など、異なる値を設定できます。 *** ### パート1 – MFA / 正当な理由によるファイルアクセス期間の変更 `LaunchFileAccess` ジョブの `DurationMinutes` を構成します。ユーザーがMFAまたは正当な理由コントロールを充足したときに実行されるジョブです。 {% stepper %} {% step %} **ポリシーへ移動** Keeper管理コンソールで **\[エンドポイント特権マネージャー] > \[ポリシー]** に移動し、**\[ポリシーの作成]** をクリックします。 {% endstep %} {% step %} **基本情報の入力** * **ポリシー名:** `File Access Duration – MFA (8 Hours)` など、内容が分かる名前 * **ポリシータイプ:** 開始テンプレートとして利用可能なタイプを選択 (例: **特権昇格**) * **ステータス:** 最初は**監視**に設定し、確認後**適用**に切り替え * **\[コントロールを追加]** をクリックして少なくとも1つのコントロールを選択し、**ユーザーグループ**と**マシン**のターゲティングを設定 {% endstep %} {% step %} **\[Advanced Mode]** を開くポリシーフォーム左下の **\[Advanced Mode]** リンクをクリックしてJSONエディタを開きます。 {% endstep %} {% step %} **ポリシーJSONを置き換え** 以下を貼り付け、`YOUR_DURATION_IN_MINUTES` を希望の値 (例: 8時間なら `480`) に置き換えます。 ```json { "PolicyName": "File Access Duration – MFA (Custom)", "PolicyType": "JobUpdate", "Status": "enforce", "Extension": { "JobId": "LaunchFileAccess", "Action": "Update", "JobJson": "{\"id\":\"LaunchFileAccess\",\"name\":\"Launch File Access\",\"description\":\"Launches file access with a custom MFA/justification duration.\",\"enabled\":true,\"events\":[\"LaunchFileAccess\"],\"parameters\":[{\"name\":\"DurationMinutes\",\"type\":\"Number\",\"default\":YOUR_DURATION_IN_MINUTES}],\"tasks\":[{\"id\":\"grant-file-access\",\"executionType\":\"HTTP\",\"url\":\"/api/fileaccess/grant\",\"method\":\"POST\",\"body\":\"{\\\"filePath\\\":\\\"{FilePath}\\\",\\\"userIdentifier\\\":\\\"{UserIdentifier}\\\",\\\"userName\\\":\\\"{UserName}\\\",\\\"policyUid\\\":\\\"{PolicyUid}\\\",\\\"requestId\\\":\\\"{RequestId}\\\",\\\"durationMinutes\\\":{DurationMinutes}}\"}]}" } } ``` {% endstep %} {% step %} **保存と展開** **\[保存]** をクリックします。更新されたジョブは、約**30分以内**にターゲットエンドポイントへプッシュされます。Keeper Agentシステムトレイアイコンから **\[ポリシーを更新]** を実行すれば、それより早く反映される場合もあります。 {% endstep %} {% endstepper %} ### パート2 – 承認が必要なファイルアクセス期間の変更 `GrantFileAccess` ジョブの `DurationMinutes` を構成します。承認者がファイルアクセスリクエストを承認したときに実行されるジョブです。パート1と同じ手順に従い、JSONの `JobId` に `GrantFileAccess` を使用します。 ```json { "PolicyName": "File Access Duration – Approval (Custom)", "PolicyType": "JobUpdate", "Status": "enforce", "Extension": { "JobId": "GrantFileAccess", "Action": "Update", "JobJson": "{\"id\":\"GrantFileAccess\",\"name\":\"Grant File Access\",\"description\":\"Grants approved file access with a custom duration.\",\"enabled\":true,\"events\":[\"GrantFileAccess\"],\"parameters\":[{\"name\":\"DurationMinutes\",\"type\":\"Number\",\"default\":YOUR_DURATION_IN_MINUTES}],\"tasks\":[{\"id\":\"grant-access\",\"command\":\"KeeperFileAccessPolicyEnforcer\",\"arguments\":\"--operation=grant --filePath={FilePath} --userName={UserName} --duration={DurationMinutes}\",\"executionType\":\"Service\"}]}" } } ``` ### パート3 – 保留中承認の失効期間の変更ユーザーが承認リクエストを送信すると、承認者が対応するまでリクエストは保留状態です。設定された期間内に対応がない場合、リクエストは自動的に失効し、ユーザーは新しいリクエストを送信する必要があります。これは**keeperAgent**プラグインの **`approvalExpirationHours`** 設定で制御され、**設定更新**ポリシーを使用します。 {% stepper %} {% step %} **ポリシーへ移動** **エンドポイント特権マネージャー > \[ポリシー]** に移動し、**\[ポリシーの作成]** をクリックします。 {% endstep %} {% step %} **基本情報の入力** * **ポリシー名:** 例: `Approval Request Expiration – 48 Hours` * **ポリシータイプ:** 開始テンプレートとして利用可能なタイプを選択 * **ステータス:** 最初は**監視**、確認後**適用** * コントロールを追加し、適切なターゲティングを設定 {% endstep %} {% step %} **\[Advanced Mode]** を開く左下の **\[Advanced Mode]** リンクをクリックします。 {% endstep %} {% step %} **ポリシーJSONを置き換え** `YOUR_HOURS` を保留リクエストの有効期間 (時間) (例: `48`) に置き換えます。同時に `approvedRequestExpirationHours` や `historyRetentionDays` も調整できます。以下の参照表をご参照ください。 ```json { "PolicyName": "Approval Request Expiration – Custom", "PolicyType": "SettingsUpdate", "Status": "enforce", "Extension": { "PluginName": "keeperAgent", "Action": "Update", "SettingsJson": "{\"approvalExpirationHours\":YOUR_HOURS,\"approvedRequestExpirationHours\":24,\"historyRetentionDays\":30,\"maxPayloadSizeBytes\":1048576,\"maxRequestItems\":20,\"maxHistoryItems\":20}" } } ``` {% hint style="info" icon="lightbulb-exclamation-on" %} **重要** `SettingsJson` の値は **keeperAgentプラグイン構成全体**を置き換えます。変更する項目だけでなく、必要なすべての設定を含めてください。上記の値は、変更しない設定のデフォルトです。 {% endhint %} {% endstep %} {% step %} **保存と展開** **\[保存]** をクリックします。更新された設定は、約**30分以内**に対象エンドポイントへプッシュされます。 {% endstep %} {% endstepper %} ### パート4 – 承認済みリクエストの起動可能期間の変更承認者がリクエストを承認すると、ユーザーは通知を受け取り、Keeper Agentから承認済みアクションを起動できます。**`approvedRequestExpirationHours`** 設定は、起動可能な期間を制御します。期限内に起動しない場合、承認は失効し、新しいリクエストの送信が必要になります。パート3と同じ手順に従い、`SettingsJson` の `approvedRequestExpirationHours` 値を調整します。起動可能期間を48時間に延長する例は以下のとおりです。 ```json "SettingsJson": "{\"approvalExpirationHours\":72,\"approvedRequestExpirationHours\":48,\"historyRetentionDays\":30,\"maxPayloadSizeBytes\":1048576,\"maxRequestItems\":20,\"maxHistoryItems\":20}" ``` *** ## 参照 #### 期間参照表

値	分	時間
`60`	60分	1時間
`120`	120分	2時間
`240`	240分	4時間 (ファイルアクセスのデフォルト)
`480`	480分	8時間
`1440`	1440分	24時間

### 承認失効 (時間単位)

値	期間
`24`	1日
`48`	2日
`72`	3日 (保留リクエストのデフォルト)
`168`	7日

{% hint style="info" icon="comment-question" %} **進行中の付与はどうなるか?** これらの設定を変更しても、すでに進行中の付与や起動可能期間には影響しません。新しい値は、更新された構成がエンドポイントに到達した後に作成される新しいリクエストと付与にのみ適用されます。 {% endhint %} --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/user-guides/configuring-the-approval-duration.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.