# エンドポイント特権マネージャー 1.2

## **概要** <a href="#overview" id="overview"></a>

Keeperエンドポイント特権マネージャー (KEPM) 1.2は、**クロスプラットフォームにおけるエンドポイント特権制御を大きく前進**させたバージョンです。特にmacOS向けの機能強化が中心となっています。macOSのシステム拡張機能は大幅に拡張され、権限昇格、ファイルアクセス、コマンドラインポリシーをカーネルレベルで検知・制御できるようになりました。macOS Tahoe以降では、昇格プロセスと非昇格プロセスの両方が対象となります。これにより、これまで同プラットフォームでは実現できなかったポリシー適用が可能になります。

このシステム拡張機能を基盤として、ネイティブの `.pkg` および `.dmg` によるインストール手順、ワイルドカードやDMGを対象としたファイルアクセス制御、Sparkle経由のアプリケーション更新のインターセプト、非昇格時のコマンドライン制御が追加されました。macユーザー向けには、Swift製のコンパニオンアプリKeeperNotifyが追加され、macOSの通知センターと連携したネイティブの承認・ステータス通知を表示できます。さらに、インストールおよびパッケージングも見直され、インストールフローの再構成、フルディスクアクセス用のアプリバンドルラッパー、アンインストールスクリプトの同梱が行われています。

Linuxでは、ファイルアクセス承認後に、権限が付与された状態で承認済みアプリケーションが正しく起動するよう改善されました。パッケージングには、ARM対応、バイナリおよびパッケージの署名、インストールスクリプトのパス修正が含まれています。Windowsでは、Azure AD参加環境においてもKEPMのポリシー評価が正しく動作するようになりました。また、CreateProcessWithTokenを用いたトークンベースの昇格により、AutoCADのようなユーザープロファイル依存のアプリケーションでも、ユーザーを恒久的な管理者に昇格させることなく必要な権限を付与できます。

全プラットフォーム共通の変更として、macOSシステム拡張機能のセキュリティ強化、sudoers管理における競合を回避する安全なファイル操作、ポリシー評価における署名証明書フィルタのサポート、KeeperClientとCLIの機能整合性、ゲートウェイのパスワードローテーションとの互換性が含まれます。ドキュメントには、Watchdogサービス、プロセスリダイレクト、カスタムポリシーの作成、Windowsのハードウェア要件、コマンドラインアプリケーションのリファレンスが追加されています。また、Windowsでお客様から報告されていた不具合も複数件解消されています。

## **新機能** <a href="#new-features" id="new-features"></a>

#### **コマンドラインポリシーの設定と適用**

* **KPAM-1333:** 管理者は許可リストと制限ルールの両方を使用して、コマンドラインポリシーを設定・検証でき、機密性の高いコマンドに対する承認ワークフローおよび権限昇格制御にも対応しています。
* **KPAM-944:** KeeperSudoと許可コマンド一覧が設計どおりに動作し、sudoと同等の操作すべてでコマンドラインポリシーが正しく評価されます。
* **KPAM-963:** KeeperSudoの承認キャッシュに対応しました。承認が必要なコマンドが一度承認されると、承認の有効期間内の同一コマンドの再実行時には、再度の承認リクエストは不要となります。
* **KPAM-966:** ヘッドレス環境から `keepersudo --file-access` によりファイルアクセス要求を送信できるようになりました。GUIがない環境でも特定のファイルへのアクセス申請が可能になります。
* **KPAM-1571:** ポリシー評価において署名証明書フィルタに対応しました。特定の証明書で署名されたアプリケーションにポリシーを適用することが可能になります。

#### **ゲートウェイのパスワードローテーションとの互換性**

* **KPAM-1664:** KEPMは `sudo -l -k` (一覧/リセット) の引数を `keepersudo` 経由でシステムのsudoに正しく渡すようになり、KEPM管理環境においてもKeeperゲートウェイのパスワードローテーション用ツールが正常に動作します。

#### **暗号鍵と状態のリカバリー**

* **KPAM-1651:** 暗号鍵のコンテナやストレージが破損した場合に、マシンをクリーンな状態へ戻すリカバリ機構が追加されました。再イメージ化を行うことなく再登録し、運用を再開できます。

#### **承認履歴の管理**

* **KPAM-1626:** バージョン間でのデータ形式の不整合を防ぐため、インストールおよびアップグレード時にローカルの承認履歴キャッシュをクリアするようになりました。

#### **更新ボタンのアニメーション — KeeperAgent UI**

* **KPAM-1621:** KeeperAgentの **\[更新]** ボタンに、ポリシー更新中であることを示すスピナーアニメーションが追加されました。処理中であることが視覚的に分かりやすくなります。

#### **KeeperClientとCLIの機能パリティ**

* **KPAM-1123:** KEPMのGUIクライアントで利用可能なすべての重要機能が、CLIからも同様に利用可能になりました。これにはファイルアクセス要求の送信も含まれます。
* **KPAM-1338:** 権限昇格、ファイルアクセス、コマンドライン操作の各ワークフローにおいて、KeeperClientのGUIとCLI間の機能パリティが確保されていることを検証しました。

#### **プロファイル対応アプリケーション向けのトークンベース昇格**

* **KPAM-1593:** CreateProcessWithTokenを使用した新しい昇格方式が導入されました。この方式では、現在のユーザーのトークンを使用してプロセスを昇格起動し、ユーザーに恒久的な管理者権限を与えることなく必要な権限を付与できます。これにより、AutoCADのようにユーザーのプロファイル情報を必要とするアプリケーションも、完全な管理者権限なしで実行可能になります。

## **macOS固有の新機能** <a href="#macos-specific-new-features" id="macos-specific-new-features"></a>

#### **システム拡張機能 — 権限昇格とファイルアクセスの制御**

macOSのシステム拡張機能は、権限昇格、ファイルアクセス、コマンドラインの各ポリシー要求をカーネルレベルでで検知・制御できるようになりました。macOS Tahoe以降でポリシーを幅広く適用できます。主な内容は以下のとおりです。

* **KPAM-1107:** macOSシステム拡張機能を展開し、昇格要求をシステム全体でインターセプト。昇格が必要なアプリケーションやパッケージに対してKEPMのポリシー制御を適用できます。
* **KPAM-1340:** システム拡張機能の完全な展開と昇格のインターセプトを実装。権限昇格の試みを既存のワークフローを壊さず、ポリシーに従って安全に制御し、記録し、適用します。
* **KPAM-1299:** システム拡張機能がコマンド実行前に処理を行い、詳細なコマンドラインポリシーに基づいて許可・制御するよう更新。コマンド実行前の段階で適切な制御が可能です。
* **KPAM-1835:** システム拡張機能がパッケージ (`.pkg`) のインストールを権限昇格ポリシーに沿って処理するようになり、macOS TahoeではFinderでパッケージをダブルクリックし、MFAや理由入力などの条件を満たすことでインストールを完了できます。
* **KPAM-1861:** システム拡張機能の内部リクエストキュー処理をPIDベースのキャッシュ方式に変更。ファイルアクセスおよびコマンドラインイベントの応答性と正確性を改善しました。
* **KPAM-1852:** システム拡張機能の対応範囲を明確化。macOS Tahoe以降では、権限昇格および非昇格コマンドラインの両方に対する完全な制御が可能です。一方、SonomaおよびSequoiaでは、昇格されたコマンドラインおよび `/Users` や `/Applications` に対するファイルアクセス制御が引き続き適用されます。

#### **ファイルアクセスポリシーの強化**

* **KPAM-1422:** ワイルドカードを含むファイルアクセスポリシーがシステム拡張機能により完全に適用されるよう更新。`{home}/Applications/*` などユーザー固有のパス配下にあるアプリケーションも対象に指定できます。
* **KPAM-1821:** ワイルドカードを用いたファイルアクセス制御において、`{rootdir}/*/*.dmg` や `{home}/*/*.dmg` のようなパターンを含め、すべてのロケーションに対してファイルタイプ単位で正しくアクセス拒否が行われるよう更新。
* **KPAM-1857:** DMGファイルをファイルアクセスポリシーの対象として直接指定できるよう更新。場所にかかわらずディスクイメージへのアクセスをブロックまたは制御できます。
* **KPAM-1858:** ファイルアクセスポリシーがFinderから開いたカスタム実行ファイルおよびシェルスクリプトにも適用されるよう更新。ターミナル経由で起動され、ポリシーに基づいた制御が行われます。
* **KPAM-1894:** 権限昇格が必要なファイルでも、該当する権限昇格ポリシーが適用されている場合は、システムの昇格ダイアログを表示することなくゴミ箱へ移動できるよう更新。

#### **インストールとパッケージング**

* **KPAM-1774:** macOSで `.pkg` に対して正しいインストールコマンドを生成し、`/usr/bin/installer` を用いるよう更新。パッケージ本体を直接実行しようとして失敗していた不具合が解消されます。
* **KPAM-1783:** `.dmg` ファイルからのアプリケーションインストールが正しく行われるよう更新。ディスクイメージをマウントし、内容をコピーした後にアンマウントする処理に変更され、従来のように`.dmg`をバイナリとして実行しようとする不具合が解消されています。
* **KPAM-1929:** SparkleによるmacOSアプリのアップグレード (自動更新ワークフローなど) がシステム拡張機能により検知され、更新を適用する前にKEPMのポリシーを経由するよう更新。
* **KPAM-1463:** エンドポイント特権マネージャー用のmacOSアプリバンドルラッパーを作成。サードパーティ製アプリに組み込むことなく、システム設定からエージェントにフルディスクアクセスを付与できます。
* **KPAM-1153:** フルディスクアクセスが付与されていない場合を検知し、ユーザーに明確なメッセージを表示するよう更新。ファイルアクセスポリシーの適用がエラー表示なしに失敗することを防ぎます。
* **KPAM-1440:** macOSのパッケージングパイプラインに関する不具合を修正。新規インストール、アップグレード、PAMモジュールのインストール、`keepersudo` によるアンインストールが正しく動作します。
* **KPAM-1551:** macOSの手動インストール手順を見直し、システム拡張機能の有効化とフルディスクアクセスの許可が、Keeperの統一されたダイアログで自然な順序で表示されるよう更新。重複したプロンプトが解消されます。
* **KPAM-951:** 既存のインストールスクリプトに加え、各配布パッケージにmacOS専用のアンインストールスクリプトを同梱。

#### **ネイティブ通知**

* **KPAM-1287:** Swift製のコンパニオンアプリ「KeeperNotify」を追加。KeeperClientはmacOSの通知センターAPIに直接アクセスできないため、本アプリを介して通知センターと連携し、承認リクエストやステータス通知をネイティブに表示できるようになりました。

#### **非昇格時のコマンドラインポリシー (macOS Tahoe以降)**

* **KPAM-1823:** 非昇格コマンドラインポリシーにおいて、AllowCommandsリストが空の場合の挙動が正しくなるよう更新 (この場合、どのコマンドにもポリシーは適用されません)。また、nullとワイルドカード (\*) が同等として扱われるようになりました。
* **KPAM-1828:** ポリシー評価時のCommandLineフィールドに完全なコマンドパスを渡すよう更新。ワイルドカードだけに頼らないきめ細かなコマンドラインルールでも正しく照合されます。

## **Linux固有の新機能** <a href="#linux-specific-new-features" id="linux-specific-new-features"></a>

#### **ファイルアクセスとパッケージング**

* **KPAM-1820:** Linuxでファイルアクセスを承認したあと、承認されたアプリケーションが自動的に起動するよう更新。従来は権限のみ更新され、アプリケーションは起動されませんでした。
* **KPAM-1410:** Linuxのパッケージングを更新。ARM対応パッケージ、バージョン1.0.4以降のバイナリおよびパッケージ署名、KeeperPamConfigの正しいスクリプトパス、登録および登録解除の各スクリプトが含まれるようになりました。

***

## **機能改善** <a href="#feature-improvements" id="feature-improvements"></a>

#### **KeeperClientのウィンドウ動作**

* **KPAM-509:** KeeperClientのUIから起動したアプリケーションは最前面に表示され、フォーカスが移るよう更新。新しく開いたウィンドウの背後にKeeperAgentが回るようになり、デフォルトのウィンドウ位置は右下に変更されています。トレイ/メニュー操作は対応OS間で一貫したものになりました。

#### **ファイルハッシュIDの最適化**

* **KPAM-552:** コマンドライン引数内のファイルハッシュはインラインではなく辞書キーで参照されるよう更新。引数文字列の長さ制限が原因で、ハッシュ数の多いアプリケーションにおいてKeeperRunAsやKeeperRunElevatedの起動が失敗する不具合を防ぎます。

#### **競合に強いファイル操作**

* **KPAM-1367:** sudoersやUnixアカウントファイルを変更するKEPMコンポーネントにおいて、ファイルロックおよびアトミック操作が使用されるよう更新。複数プロセスによる同時変更時の競合やファイル破損のリスクが解消されます。

#### **インジェクター — MQTTライブラリの差し替え**

* **KPAM-1596:** ライセンス上の理由により、インジェクター内のpaho.mqtt.cライブラリを別の実装に置き換えました。

#### **KeeperClient — 無効状態の表示**

* **KPAM-1851:** KeeperClientのバージョン情報画面に、エージェントが無効な状態であることが表示されるよう更新。ユーザーおよび管理者はエージェントの状態をすぐに把握できます。

#### **パッケージビルドスクリプト — エイリアス修正**

* **KPAM-1417:** バージョン1.1のパッケージビルドスクリプトで欠けていた `keeperagent` および `keepersudo` のエイリアスを復元。バージョン1.0.4ビルドにあったエイリアス構成と一致させました。

#### **サンプルプロジェクト — 詳細なコマンドライン処理**

* **KPAM-1237:** 詳細なコマンドライン評価ロジックを示すスタンドアロンのサンプルプロジェクトを追加。カスタムポリシー開発のリファレンス実装として利用できます。

#### **プレビューリリースのワークフロー**

* **KPAM-1875:** プレビュー向けのデプロイメントワークフローを新たに整備。KEPMパッケージを専用のマニフェストとS3パスに公開することで、本番のアップデートチャネルに影響を与えずに、リリース前ビルドのベータ検証が可能になります。

## **macOS固有の機能改善** <a href="#macos-specific-feature-improvements" id="macos-specific-feature-improvements"></a>

#### **システム拡張機能のセキュリティ強化**

* **KPAM-1372:** macOSシステム拡張機能のセキュリティ上の不足を複数点解消。すべてのポリシー通信でSSL証明書の検証を必須とし、rootにのみポリシーを適用するよう制限し、タイムアウトまたは通信失敗時はフェイルセーフで動作するようにしました。接続タイムアウトの短縮およびポリシーキー解析に関する不具合も修正されました。

#### **KeeperClientの起動**

* **KPAM-186:** macOSおよびRocky Linuxにおいて、インストール後にKeeperClientがシステムトレイアイコンが二重に登録される原因となっていた競合状態を解消。単一のインスタンスのみが起動します。

#### **再登録不要のエージェントアップグレード**

* **KPAM-1212:** macOSエージェントは、登録トークンの再入力なしでアップグレードできるよう更新。他のプラットフォームと同様のアップグレード動作になります。

#### **パッケージング — ビルドスクリプトの互換性**

* **KPAM-1864:** BuildScriptUniversalのOS判定ロジックを更新し、macOS 26.4で導入された新しいバージョン表記形式に対応。更新されたGitHubランナー環境で発生していたビルドパイプラインの失敗を防止します。

## **バグ修正 (**&#x304A;客様報告) <a href="#customer-reported-bug-fixes" id="customer-reported-bug-fixes"></a>

* **KPAM-1725:** Azure AD/Microsoft Entra IDに参加しているWindowsマシンにおいて、KEPMのポリシー評価が失敗する不具合を修正。Azure参加環境でもポリシー適用が正しく機能します。
* **KPAM-1884:** Windowsにおいて、NCPA.cplに対する権限昇格リクエストが承認されたときにプロセスリダイレクトが登録されず、承認が効かない不具合を修正。

***

### **リソース** <a href="#resources" id="resources"></a>

* [エンドポイント特権マネージャーのドキュメント](/keeperpam/jp/endpoint-privilege-manager/overview.md)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/release-notes/jp/enterprise/endpoint-privilege-manager/endpoint-privilege-manager-1.2.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.