# リモートブラウザ分離の設定 ## 概要 本ページでは、Keeperボルトでリモートブラウザ分離 (RBI) の設定方法について取り扱います。リモートブラウザ分離は、ウェブボルトおよびデスクトップアプリの両方で動作します。 KeeperPAMを使用するには、ライセンスが必要です。ライセンスは、ビジネスおよびエンタープライズのお客様にご利用いただけます。 * [KeeperPAMホームページ](https://www.keepersecurity.com/ja_JP/privileged-access-management/) * [デモを申し込む](https://www.keepersecurity.com/ja_JP/contact.html?t=b\&r=sales) * [サポートにお問い合わせ](https://www.keepersecurity.com/ja_JP/support.html) ## 要件 RBIの設定前に以下を確認します。 ### リモートブラウザ分離関連のポリシー KeeperPAMの強制適用ポリシーは、Keeperの管理コンソール内から **\[管理者] > \[ロール]** をクリックし、**\[強制適用ポリシー]** の **\[特権アクセス管理]** 画面で管理します。

リモートブラウザ分離の強制適用ポリシー

以下のポリシーは、リモートブラウザ分離を使用する際のユーザー権限に影響するため、有効にする必要があります。 | ポリシー | コマンダーのポリシー | 定義 | | ------------- | --------------------------- | ------------------------------------------------------------- | | リモートブラウジングを構成 | `ALLOW_CONFIGURE_RBI` | PAMリモートブラウジングとPAM構成のレコードタイプで、リモートブラウザやセッション録画の設定を構成できるようにします。 | | リモートブラウジングを開始 | `ALLOW_LAUNCH_RBI` | PAMリモートブラウジングの起動を許可します。 | | RBIセッション録画を閲覧 | `ALLOW_VIEW_RBI_RECORDINGS` | RBIセッション録画の閲覧を許可します。 | [KeeperコマンダーCLI](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/commander-cli/command-reference/secrets-manager-commands/README.md#overview)上でも `enterprise-role` コマンドで上記のポリシーを有効にできます。 ``` enterprise-role "My Role" --enforcement "ALLOW_CONFIGURE_RBI":true enterprise-role "My Role" --enforcement "ALLOW_LAUNCH_RBI":true enterprise-role "My Role" --enforcement "ALLOW_VIEW_RBI_RECORDINGS":true ``` ### **強制適用ポリシーの活用事例** RBIセッションの起動のみを許可し、RBI設定の構成は許可しない場合、「リモートブラウジングを開始」ポリシーのみを有効にします。 RBIセッションの開始に加えて、ユーザーにRBI設定の構成も許可する場合、「リモートブラウジングを構成」および「リモートブラウジングを開始」ポリシーを有効にします。 RBIセッション録画の閲覧を許可する場合、「RBIセッション録画を閲覧」ポリシーを有効にします。 ### セッションレコーディング RBIセッションは記録することもできます。これらのレコーディングはPAMブラウザのレコードタイプで利用でき、ボルト内で再生できます。詳しくは、[セッションの録画と再生](/keeperpam/jp/privileged-access-manager/session-recording-and-playback.md)のページをご参照ください。 ### Keeperゲートウェイのインストール Keeperゲートウェイは、顧客のネットワークにインストールされるエージェントレスのホスト型サービスで、対象インフラへのゼロトラストアクセスを実現します。通常、アクセスが必要な各ネットワークのLinuxまたはDocker環境にインストールします。詳しくは、こちらの[ページ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)をご参照ください。 ### PAM構成 PAM構成には、対象のインフラ、設定、および関連する[Keeperゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)に関する重要な情報が含まれます。インフラ向けのPAM構成の作成は**必須**です。詳しくは、[PAM構成](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)のページをご参照ください。 ### PAMブラウザ RBIセッションを起動すると、ウェブおよびデスクトップのボルトクライアントに、PAMブラウザレコードで指定したURLへの接続が確立されたChromiumのウィンドウが表示されます。詳しくは、[PAMブラウザレコード](/keeperpam/jp/privileged-access-manager/getting-started/pam-resources/pam-remote-browser.md)のページをご参照ください。 ## PAM設定 - リモートブラウザ分離 ### **RBI設定へのアクセス** 対象URLでPAMブラウザ設定を作成した後、以下の操作でPAM設定へ移動します。 1. PAMブラウザレコードを編集します。 2. PAM設定のセクションで **\[セットアップ]** をクリックします。

リモートブラウザ分離の設定

### RBI設定の構成 PAM設定画面を開くと、以下のフィールドを設定できます。 | フィールド | 定義 | | ------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | PAM構成 |

必須

利用する環境とゲートウェイを定義するPAM構成。

| | リモートブラウザ分離を有効にする |

必須

このレコードでRBIを有効にするには、このトグルをオンにします。

| | グラフィカルセッション録画 | 有効にすると、このレコードに対してグラフィカルなセッション録画が有効になります。KeeperAIを利用する場合に必要です。 | | 主要イベント | 有効にすると、キーボードイベントも監視され、グラフィカルなセッション録画とあわせて再生されます。KeeperAIを利用する場合に必要です。 | | URLを直接操作することによるナビゲーションを許可 | チェックすると、ユーザーにURLナビゲーションバーが表示されます。 | | ファイルのダウンロードを許可 | チェックすると、RBI経由でウェブサイトのファイルをローカルマシンへダウンロードすることを許可します。 | | ファイルのアップロードを許可 | チェックすると、RBI経由でウェブサイトへファイルをアップロードすることを許可します。 | | サーバー証明書を無視する | 設定すると、URLがレコードのURLフィールドに設定されたドメインと正確に一致する限り、Chromiumは無効な証明書を無視します。 | | セッションの永続性 |

セッションの永続性は、RBIセッションを一時的にするか、ユーザー固有にするか、ユーザー間で共有するかを制御し、セッションデータの保持と再利用の方法を決めます。

なし — セッションデータは保持されません。保存されたCookie、ローカルストレージ、履歴なしで、各セッションは新規に開始されます。

ユーザー別 — セッションデータは個々のユーザーに保持されます。

リソース別 — リソース (RBIレコード) に対して単一の共有セッションが維持され、ユーザー間で再利用されます。同時にアクティブにできるセッションは1つだけです。

詳細はこちらをご参照ください。

| | URLパターンを許可する |

手動ナビゲーション (URLバー) または現在のページ上での操作を通じて、ユーザーがアクセスしてよいURLのパターンをすべて指定します。複数のパターンは改行で区切ります。

指定した場合、リストのパターンに一致するページのみが許可されます。

既定では、すべてのURLが許可されます。

詳細はこちらをご参照ください。

| | リソースURLパターンを許可する |

ページがリソースとして読み込んでよいURLのパターン (画像、スクリプト、スタイルシート、フォントなど) をすべて指定します。複数のパターンは改行で区切ります。

指定した場合、リストのパターンに一致するリソースのみが読み込まれます。

既定では、ページが読み込むリソースに制限はありません。

詳細はこちらをご参照ください。

| | ブラウザの自動入力 - 認証情報 |

Keeperボルトから開始したRBIセッションでは、対象となるウェブサイトのログイン画面にユーザー名とパスワードを自動入力できます。KSMアプリケーションに共有されたボルトレコードをここでリンクできます。このリンクされたレコードの認証情報は、「自動入力の対象」セクションで定義された自動入力ルールに基づいて、対象ウェブサイトのログイン画面に自動的に入力されます。

詳細はこちらをご参照ください。

| | ブラウザの自動入力 - 自動入力の対象 |

このセクションには、自動入力ルール (JSONまたはYAMLのオブジェクト配列) が含まれ、各オブジェクトが1件の自動入力ルールを表します。

詳細はこちらをご参照ください。

| | クリップボードへコピー | 有効にすると、RBIセッション内でコピーしたテキストをユーザーが利用できます。 | | クリップボードから貼り付け | 有効にすると、ユーザーは接続中のRBIセッション内でクリップボードからテキストを貼り付けられます。 | ### ファイルのアップロードとダウンロード Keeperリモートブラウザ分離 (RBI) では、ローカル端末と隔離されたブラウザセッションの間でファイルを安全にやり取りできます。 * **ファイルのアップロードを許可**\ 有効にすると、ユーザーはローカルマシンからリモートのブラウザセッションへファイルをアップロードできます。ブラウザ内の標準的なファイル選択やドラッグアンドドロップに対応します。アップロードされたファイルは、ローカルシステムをウェブ由来の脅威に晒さずに隔離環境へ安全に転送されます。 * **ファイルのダウンロードを許可**\ 有効にすると、ユーザーはリモートのブラウザセッションからローカルマシンへファイルをダウンロードできます。隔離セッションから取得したファイルは、ユーザーの端末へ安全に届けられます。 これらの制御は、組織のセキュリティポリシーに合わせて、ファイルの出入りを制限または許可するよう構成できます。 **注:** ファイル転送機能はリスク許容度に応じて有効にしてください。アップロードやダウンロードを許可すると、ユースケースによってはデータ持ち出しやマルウェア移動の検討が必要になります。 ### セッションの永続性 既定では、新しいリモートブラウザ分離セッションは**シークレット (プライベート) モード**で実行され、セッション終了後にCookie、ローカルストレージ、閲覧履歴などのセッションデータは保持されません。これにより、データの永続化なしに複数ユーザーが同時にセッションを実行できます。 **セッションの永続性**の設定は、セッションデータの保持方法を制御します。 * **なし (シークレットモード)**\ セッション間でデータは保存されません。各セッションは新規に開始され、完全に隔離されます。最も安全な選択肢であり、一般的な利用や信頼できないサイトの閲覧に推奨されます。 * **ユーザー別 (現在のユーザー向けにセッションを保持)**\ セッションデータはそのユーザーに保持されます。ユーザーが再接続すると、ログイン済みセッションや開いているタブなど、前回のセッション状態を再開できます。他のユーザーはこのセッションにアクセスできません。 * **リソース別 (ユーザー間で共有セッション)**\ すべてのユーザーが同じRBIリソースにアクセスするとき、単一の永続セッションが共有されます。同時にアクティブにできるセッションは1つだけです。共有アカウントやユーザー間での継続性が必要な環境では有用ですが、共有アクセスになるため慎重に利用してください。 ## セッションレコーディング - RBI
このプロトコルでは、タイミング情報を含むグラフィックデータが記録されます。詳しくは、[セッションの録画と再生](/keeperpam/jp/privileged-access-manager/session-recording-and-playback.md)のページをご参照ください。 ## ワークフローとRBI PAMブラウザレコードでは、ワークフロー (チェックイン/チェックアウト) を有効にして、ウェブベースのアクセスに承認とガバナンスを追加できます。 RBIセッションにワークフローを適用すると、以下のとおりになります。 * セッションを開始する前にユーザーがアクセスを申請する必要がある * 指定した承認者による承認が必要になる場合がある * セッションに期限を設け、一定期間後にアクセスが自動的に失効する * 説明責任と監査のためにすべてのアクセスが記録される これにより、RBI経由の機密性の高いウェブアプリケーションへのアクセスが制御され、監視され、組織のセキュリティポリシーに沿った運用がしやすくなります。 詳細は以下のページをご参照ください。 {% content-ref url="/pages/TBuxSAByIhG85l71TKQ7" %} [ワークフロー](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/workflow.md) {% endcontent-ref %} ## KeeperAIとRBI リモートブラウザ分離 (RBI) およびPAMブラウザレコードではKeeperAIを有効にでき、AIによる脅威検出とセッション分析が利用できます。 有効にすると、KeeperAIはブラウザセッションをリアルタイムで監視し、ユーザー操作を分析して潜在的なセキュリティリスクを特定します。異常な挙動、不審な操作、侵害の兆候など、ウェブセッション上のさまざまな兆候も検出します。 詳細は以下のページをご参照ください。 {% content-ref url="/pages/Qv0XDZNUQBO5imramMnF" %} [KeeperAI](/keeperpam/jp/privileged-access-manager/keeperai.md) {% endcontent-ref %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/remote-browser-isolation/setting-up-rbi.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.