管理者保護 (プレビュー)

適用対象: ✅ Windows 11

管理者保護は、Windows 11のプラットフォームセキュリティ機能であり、ユーザーが必要最小限の権限で実行されるように設計されており、必要な場合にのみ管理者権限に昇格し、ユーザーの明示的な承認を得るだけです。この機能は、最小限の特権の原則に基づいて動作し、ユーザーを奪われた状態に保ち、必要な場合にのみ Just-In-Time 昇格権限を付与します。

今日のデジタル環境では、Windows の管理者権限を持つユーザーは、構成を変更し、Windows 11 デバイスの全体的なセキュリティ体制に影響を与える可能性のあるシステム全体の変更を行う強力な機能を備えています。管理者特権は、重要な攻撃ベクトルを作成します。悪意のあるアクターは、多くの場合、これらの特権を悪用して、ユーザーデータへの未承認のアクセスを取得し、プライバシーを侵害し、ユーザーの知らないうちに OS セキュリティ機能を無効にします。

管理者保護は、統合認証を使用して ID をユーザーに確認Windows Hello要求することで、この課題に対処します。ソフトウェアのインストール、時刻やレジストリなどのシステム設定の変更、機密データへのアクセスなど、管理者権限を必要とするアクションを許可する前に、この検証が適用されます。

メリット

管理者保護には、いくつかの重要な利点があります。

セキュリティの強化: 管理者保護は、すべての管理タスクに対してユーザーに明示的な承認を要求することで、ユーザーによる偶発的な変更やマルウェアによる変更から Windows を保護します。これは、ユーザーが発生する前に潜在的に有害なアクションを認識し、脅威に対する追加の防御層を提供するのに役立ちます。
ユーザー制御: 管理者保護では、特定のアプリケーションを管理者特権で実行するかどうかを明示的に決定する必要があります。これにより、承認されたアプリのみがシステムの変更を行うことができるので、偶発的または悪意のある変更のリスクが軽減されます。
マルウェアの削減: 悪意のあるソフトウェアは、多くの場合、管理者特権に依存してデバイスの設定を変更し、有害なアクションを実行します。マルウェアが管理者特権をサイレントモードで取得できなくなったため、管理者保護によって攻撃のキルチェーンが破損します。

システム要件

管理者保護は近日中にWindows 11デバイスで利用できるようになります。 2025 年 10 月のセキュリティ以外の更新プログラム (KB5067036) に記載されていた機能は元に戻され、後日ロールアウトされます。

管理者保護のしくみ

その中核となる管理者保護は、最小限の特権の原則に基づいて動作します。ユーザーが Windows にサインインすると、奪われたユーザートークンを受け取ります。ただし、管理者特権が必要な場合、Windows はユーザーに操作を承認するように要求します。承認されると、Windows は、非表示のシステム生成のプロファイルで分離されたユーザーアカウントを使用して、分離された管理トークンを作成します。このトークンは要求プロセスに発行され、プロセスが終了すると破棄され、管理者特権が保持されないようにします。

管理者保護では、報告されたセキュリティバグを修正するためのサポートを備えた新しいセキュリティ境界が導入されています。アーキテクチャの変更により、管理者特権のセッションのコードやデータに適切な承認なしでアクセスしたり改ざんしたりすることはできません。

一部のアプリケーションでは、常に管理者権限が存在し、昇格されたプロファイルにアクセスして、未選択で実行している場合に依存している場合があります。この新しいアプローチでは、これらのアプリの一部のシナリオでは、強化されたセキュリティモデルでスムーズに動作するために更新プログラムが必要になる場合があります。 Microsoft では、アプリ開発者と積極的に共同作業を行い、適応を支援し、お気に入りのエクスペリエンスをシームレスに維持しながら、システムを保護しています。アプリケーションの開発に関するガイダンスについては、「管理者保護を使用してアプリケーションのセキュリティを強化する」を参照してください。

最終的には、これらの変更はすべて Windows のセキュリティを強化することで、より安心して強力な機能を楽しむことができます。

主要なアーキテクチャのハイライト

管理者保護アーキテクチャの図。

Just-In-Time 昇格: ユーザーは奪われ続け、管理者操作中にのみ Just-In-Time 昇格権限が付与されます。管理者トークンは、使用後に破棄され、管理者権限を必要とする別のタスクが実行されたときに再作成されます。
プロファイルの分離: 管理者保護では、非表示のシステム生成のプロファイルで分離されたユーザーアカウントを使用して、分離された管理トークンを作成します。これにより、ユーザーレベルのマルウェアが昇格されたセッションを侵害できないようにし、昇格をセキュリティ境界にすることができます。
自動昇格なし: ユーザーは、すべての管理者操作を対話形式で承認する必要があります。これにより、管理者ユーザーが完全な制御を維持し、管理者特権が悪用されないようにします。
Windows Hello統合: 管理者保護は、シンプルで安全な承認のためにWindows Helloと統合されています。

構成

管理者保護は、次のいくつかの方法で有効にすることができます。

Microsoft Intune設定カタログ (プレビュー)
CSP
グループポリシー
Windows セキュリティ設定 (プレビュー)

注

このオプションは現在プレビュー段階で使用できます。徐々に全員にロールアウトされます。
管理者保護は、Intuneを使用して構成サービスプロバイダー (CSP) ポリシーで構成できます。カスタムポリシーを使用して、次の構成を行います。
- UserAccountControl_TypeOfAdminApprovalMode [有効]
- UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection [プロンプトの構成]

Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、カテゴリ Local Policies Security Optionsに一覧表示されている設定を使用します。

管理者保護の昇格プロンプトのユーザーアカウント制御の動作
- 承認モードのユーザーアカウント制御の種類管理

構成するデバイスまたはユーザーをメンバーとして含むセキュリティグループにポリシーを割り当てます。

セキュリティポリシーを使用して、organizationでの管理者保護の動作を構成できます。ポリシーは、ローカルセキュリティポリシースナップイン (secpol.msc) を使用してローカルに構成することも、グループポリシーによってドメイン、OU、または特定のグループに対して構成することもできます。

グループポリシーを使用して管理者保護を構成するには:

[コンピューターの構成>Windows 設定>セキュリティ設定>ローカルポリシー>セキュリティオプション] に移動します。
[ユーザーアカウント制御: 管理承認モードの種類を構成する] のポリシーを見つけて、設定を "管理者保護を使用して承認モードを管理" に変更します。
[ユーザーアカウント制御: 管理者保護を使用して実行されている管理者に対する昇格プロンプトの動作] ポリシーで目的の動作を選択して、プロンプトの動作を構成します。
変更を適用するには、デバイスを 再起動します 。

管理者保護は、 LocalPoliciesSecurityOptions CSP でも構成できます。

管理者保護を有効にするには、 UserAccountControl_TypeOfAdminApprovalModeを構成します。
同意プロンプトと資格情報プロンプトを選択するには、 UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtectionを使用します。

Microsoft Intuneでは、カスタムポリシーを使用して LocalPoliciesSecurityOptions CSP をデプロイできます。

重要

管理者保護を有効にするには、再起動が必要です。

イベントの監視とレポート

昇格を追跡するために、管理者保護には、GUID {93c05d69-51a3-485e-877f-1806a8731346}を使用した既存の Microsoft-Windows-LUA プロバイダーの下に、2 つの新しい Windows イベントトレーシング (ETW) イベントがあります。

イベント ID	イベント名	説明
15031	昇格が承認されました	ユーザーが正常に認証され、昇格が許可されたときにログに記録されます
15032	昇格拒否/失敗	昇格が拒否、失敗、またはタイムアウトしたときにログに記録されます

ログに記録される内容

昇格をトリガーしたユーザーのセキュリティ識別子 (SID)
アプリケーション名とパス
昇格の結果 (承認、拒否、タイムアウト)
タスクの実行に使用されるシステムマネージド管理者アカウント
認証方法 (パスワード、PIN、Windows Helloなど)

これらのイベントをキャプチャする方法

Microsoft-Windows-LUA プロバイダーを有効にする (GUID: {93c05d69-51a3-485e-877f-1806a8731346})
Logman または WPR (Windows パフォーマンスレコーダー) を使用してトレースセッションを開始する
イベント ID 15031 とをフィルター処理する 15032
Windows パフォーマンスアナライザーまたは任意のツールを使用して、結果として得られる .etl ファイルを分析する

コマンドの例を次に示します。

logman start AdminProtectionTrace -p {93c05d69-51a3-485e-877f-1806a8731346} -ets

トラブルシューティング

スケジュールされたタスクまたはスクリプトに対してローカル SYSTEM または専用サービスアカウントを使用して、"最高の特権で" を実行するように設定します。基本的に、スクリプトを再設計して、常にオンの管理トークンが必要にならないようにします。管理者セッションが使用可能であると仮定したワークフローは、調整する必要があります。
管理者保護を使用してアプリを管理者特権で実行する場合、標準セッションからのシングル Sign-On (SSO) 資格情報は、管理者特権のセッションでは使用できません。ドメインまたはクラウド認証は、その管理者特権セッション内で再確立する必要があります。
管理者特権のアプリからアクセスできないネットワークドライブ/リソース。これをユーザーコンテキストにインストールして、ネットワーク資格情報プロンプトを有効にします。アプリケーションを管理者特権としてインストールすることが重要な場合は、昇格する前にインストールファイルをローカルドライブにコピーします。
アプリケーションの設定データは、regular(unelevated) と昇格されたプロファイル全体で引き継がれない。本当に必要なアプリのみを昇格させます。両方のプロファイルからアクセスできる共通データディレクトリ (可能な場合) を使用するように、これらのアプリケーションを構成することを検討してください。
管理者保護のスコープ: デバイス上の管理者アカウント。リモートログオン、ローミングプロファイル、またはバックアップ管理者はスコープ内にありません。
いくつかのアプリケーションでは、インストール後にスタートメニューに起動アイコンが表示されません。管理者特権でインストールした場合は、手動でインストール場所に移動する必要があります。 AppData\Roaming\Microsoft\Windows\Start Menu\Programs\<App name>
いずれかのアプリケーションの更新がブロックされている場合は、機能を一時的に無効にします。 (再起動が必要です)。
この機能を有効にしない場合:
- Hyper-V またはLinux 用 Windows サブシステム (WSL) が必要なデバイスの場合。
- プロファイル間で Edge 拡張機能や共有ファイルにアクセスできないアプリを使用している場合。たとえば、一部のインストーラー (WebView2 を内部的に使用) では、通常は "Microsoft Edge はデータディレクトリの読み取りと書き込みができません" と表示されている場合でも、昇格されたアクセス許可が要求される場合があります。

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-11-21