自己昇格
このセクションの内容
自己昇格
自己昇格は、通常、実行および機能に管理者権限が必要な署名、ファイル、フォルダに適用できます。自己昇格は、Windows エクスプローラ ショートカットメニューから、昇格された権限で項目を実行するためにオプションを提供します。ユーザが指定された項目を昇格するときには、適用される前に、昇格の理由を入力するためのプロンプトが表示されます。
従来は、ポリシー内の一致したルール項目に自己昇格オプションが適用されます。Application Control 2020.3現在では、より詳細な制御を可能にする代替方式を利用できるようになりました。
•[ルール項目の適用] により、ユーザ権限ポリシーの適用など、特定の項目用のオプションを制御できます。昇格を適用するかどうかの選択をユーザに求めるプロンプトを表示し、昇格が選択された場合はその理由の入力を求めるように構成できます。詳細については、「ルール項目」をご参照ください。
•自己昇格用に、カスタム トークンを構成し、適用できます。下の「自己昇格オプション」をご参照ください。
自己昇格は監査されるため、通常ユーザが自己昇格するアプリケーションのタイプを監視できます。監査が行われることで、項目の特定や、構成内の適切な [ユーザ権限] ノードへの項目の追加が可能になるため、ユーザは要求しなくてもそれらの項目にアクセスできます。
ユーザ アクセス制御 (UAC) が無効な環境では、カスタム設定 SelfElevatePropertiesEnabled を使用して、Windows エクスプローラ ファイルとフォルダ プロパティの自己昇格を有効にできます。この場合、カスタム設定 SelfElevatePropertiesMenuText を使用して、Windows エクスプローラ ショートカット メニュー オプションをカスタマイズできます。
自己昇格の構成
- 適用されるグループの下の [ユーザ権限] ノードを選択します。たとえば、[すべてのユーザ] グループを選択します。
- [自己昇格] タブを選択します。
- [自己昇格を有効にする] を選択し、必要な設定を適用します。
- 自己昇格を以下のリストの項目にのみ適用する
自己昇格を以下のリストの項目を除くすべての項目に適用する
- [管理] リボンで、[項目の追加] > [自己昇格] を選択し、ファイル、フォルダ、署名、グループを入力または選択します。
[自己昇格ファイル関連付け] リストに含まれる場合には、ファイルを自己昇格できます。
-
さらに検証を追加するには、[メタデータ] タブをクリックし、ファイルと製品の説明、ベンダ、バージョン番号の詳細を入力します。
自己昇格できるファイルを制限しない場合は、フィールドを空欄にします。メタデータが適用されている場合は、項目が自己昇格されるメタデータと一致する必要があります。
- 構成を保存します。
自己昇格オプション
昇格された後、アプリケーションが実行される方法を指定して、ルール項目の自己昇格オプションを構成します。昇格が子プロセスまたは共通ダイアログに影響する方法を定義できます。
[権限管理] リボンで、[自己昇格オプション] を選択し、必要な設定を構成します。
- 項目を許可する: ルール項目を許可し、関連付けられた許可された項目を上書きします。
- 信頼できる所有者が所有していない場合でも項目の実行を許可する: このオプションは、項目を許可するが選択されているときに使用できます。選択すると、所有者に関係なく、リストのすべてのルール項目が実行されます。
- 子プロセスに適用: 既定では、ルール項目に適用された自己昇格が子プロセスに継承されません。このオプションを選択すると、親プロセスの直接の子にポリシーが適用されます。
- 共通ダイアログに適用する - ファイルまたはフォルダが昇格されたときに、[ファイルを開く] および [ファイルを保存] Windows メニューオプションにアクセスを昇格します。
- 信頼できる所有者としてインストールする: ローカル管理者を定義済みアプリケーションによって作成されたすべてのファイルの所有者にします。このオプションは、標準アプリケーションには適用されず、インストーラ パッケージにのみ適用されます。
- 自己昇格された項目の管理者として実行 Windows オプションを非表示にする: Windows ショートカット メニューから、[管理者として実行] オプションを非表示にします。
- ポリシー - 矢印アイコンをクリックして、必要なポリシーを選択します。
カスタムのユーザ権限ポリシーを定義することで、自己昇格ルール項目にカスタム トークンを割り当てることができるようになります。
詳細については、「ユーザ権限」をご参照ください。 - ユーザに自己昇格の理由を入力させるメッセージボックスを表示する: 自己昇格するときにユーザに理由を入力させます。[自己昇格メッセージ設定] でメッセージの内容とサイズを設定します。
OneDrive ファイルを探索する場合、ファイルが同期化されてローカルで使用できるようになるまで、ショートカット メニューの [管理者として実行] オプションは使用できません。
自己昇格ファイル関連付け
ユーザが昇格された権限または管理者権限で開くことができるファイル タイプと関連付けられたアプリケーションのリストを構成します。ユーザがファイルを右クリックすると、Application Control は次のチェックを実行し、ユーザがファイルに関連付けられたアプリケーションを昇格できるかどうかを判定します。
- ファイル タイプはファイル関連付けリストにありますか?
- いいえ - ファイルを自己昇格できません。
- はい - 関連付けられたアプリケーションを確認します。
- 関連付けられたアプリケーションがありますか?
- いいえ - ユーザのエンドポイントで関連付けられたアプリケーションを使用して、ファイルが自己昇格されます。
- はい - ファイル関連付けリストで指定されたアプリケーションで開かれた場合にのみ、ファイルを自己昇格できます。
アプリケーションを自己昇格できる場合は、ショートカットメニューに対応するオプションが表示され、ユーザは昇格された権限でアプリケーションにアクセスします。ユーザが既定のプログラムを構成で設定された関連付けられたアプリケーションとは異なるアプリケーションに変更した場合、ショートカットメニューから自己昇格オプションを使用できません。
ファイル関連付けの更新
- [管理] リボンで、[詳細設定] をクリックし、[自己昇格ファイル関連付け] タブを選択します。
- [追加] および [削除] ボタンを使用して、拡張子と関連付けられたアプリケーションのリストを更新します。任意のファイル拡張子を追加できます。
既定では、次の拡張子が含まれます。
| ファイル拡張子 | 関連付けられたアプリケーション |
|---|---|
| EXE | |
| BAT | |
| CMD | |
| VBS | wscript.exe |
| WSF | wscript.exe |
| VBE | wscript.exe |
| MSI | msiexec.exe |
| MSP | msiexec.exe |
| PS1 | powershell.exe |
| MSC | mmc.exe |
| REG | regedit.exe |