UAC 置換

このセクションの内容

• UAC 置換について
• UAC 置換の構成
• UAC 置換の除外項目

UAC 置換について

UAC 置換は Application Control リリース2020.2で導入されました。UAC 置換は、Application Control 内での既存の自己昇格の機能を補完するものであり、構成可能な制御レベルを管理者に提供します。

Windows 環境全体で、管理者権限を必要とする実行可能ファイルには、重なるようにしてセキュリティ シールド アイコンが表示されます。このアイコンは、アプリケーション ダイアログ内で、管理者アクセス権を必要とするプロセスを識別するためにも使用されます。管理者アクセス権を必要とするアプリケーションやプロセスが標準ユーザ プロファイルによってトリガされると、Windows UAC の昇格時のプロンプトが表示されて、管理者のログイン詳細が要求されます。

UAC 置換がオンになっていると、標準 Windows UAC の昇格時のプロンプトが Application Control の同意ダイアログに置き換えられます。この機能は、アプリケーションがどこでどのように起動されようとも (たとえば [スタート] メニューからでも、エクスプローラからでも、デスクトップからでも、コマンド プロンプトからでも) 関係なく、適用されます。

UAC 置換機能は、選択されたアプリケーションが Windows UAC プロンプトを表示するかどうかを検出します。表示する場合に、次のことを行うようにこの機能を構成できます。

•昇格された権限が必要であることをユーザに通知し、先に進むか確認する

•メッセージボックスが表示され、ユーザは昇格された権限の理由を入力する必要があります。
入力された理由は監査イベントとして保存されます (ID 9063)。詳細については、監査をご参照ください。

• 管理者のアクセス トークンを自動的に提供する

Application Control 2020.3現在、UAC 置換を使用してアプリを昇格させた場合、そのアプリと、そのアプリの子にも昇格が適用されます。

UAC 置換のプロンプトが適用されない場合があります。たとえば、ユーザがアプリケーションを右クリックし、ショートカット メニューから [管理者として実行] を選択した場合や、ユーザがアプリケーションのインストーラを起動した場合です。

UAC 置換の構成

1.ナビゲーション ペインで、適用可能な目的のグループの [ユーザ権限] ノードをクリックした後、[UAC 置換] タブをクリックします。

2.[UAC 置換を有効にする] チェックボックスを選択します。

3.次の構成オプションを選択またはクリアします。

アプリケーションを昇格して実行する前にユーザに確認する

•このオプションが選択されている場合、UAC プロンプトを表示することになっているアプリケーションをユーザが開こうとすると、昇格された権限が必要である旨が通知されます。このプロンプトによりユーザは、先に進むことを確定するか、またはアクションを取り消すことができます。
メモ: UAC 置換の確認メッセージは、[メッセージ設定] で構成できます。

•ユーザに対して通知やプロンプトを表示せずに、昇格された権限がオンデマンドで適用されるようにする場合は、このチェック ボックスをオフにします。

利用できる最高の特権でアプリケーションを昇格する
このオプションは、標準プロファイルと管理者プロファイルのどちらでも開けるが、それらのユーザに対して提供される機能が異なるものであるアプリケーションに影響します。たとえば、標準ユーザは Regedit を実行できますが、提供される機能は非常に限定的です。管理者権限を持つユーザも Regedit を実行できますが、管理者権限を持つユーザは、はるかに多くの機能にアクセスできます。

•可能な場合は昇格された権限で実行されるアプリケーションに対して UAC 置換のプロンプトを適用するには、このチェックボックスを選択します。

•実行に管理者権限を必要とするアプリケーションのみを昇格させるには、このチェックボックスをオフにします。

UAC 置換の除外項目

UAC 置換機能から除外したいアプリケーションが存在する場合があります。たとえば、セキュリティ上の理由から、Regedit やその他のパワフルなアプリケーションに対しては昇格されたアクセスを防止したい場合があります。または、この機能と互換性のないアプリケーションを除外したい場合もあります。

UAC 置換から除外するアプリケーションはすべて、[除外] 表にリストします。[除外の追加] ボタンと [除外の削除] ボタンを使用して、この表に対してアプリケーションの追加と削除を行えます。

除外項目の追加

1.[UAC 置換] タブで、[状態の追加] ボタンをクリックします。
[除外] 表の先頭に、編集可能な行が挿入されます。

2.除外するアプリケーションを指定し、必要に応じて説明を入力します。

3.アプリケーションは、実行可能ファイルのパスとファイル名、またはそのサブ文字列を入力することによって指定します。

メモ: Application Control のルール エンジンは、入力された値に対してサブ文字列の突き合わせを実行します。この検索では、大文字と小文字は区別されず、ワイルドカードはサポートされていません。

例:
C:\windows\regedit.exe を除外するには、次のどれでも指定できます。

•C:\windows\regedit.exe

•windows\reg

•Regedit

短いサブ文字列だけを入力することは推奨されません。他の多くのアプリケーションが予期せずに除外されるリスクがあるためです。

除外項目の削除

1.[除外] 表で目的の行を選択します。

2.[除外の削除] をクリックします。
選択したエントリが削除されます。

関連トピック

自己昇格

ユーザ権限制御コンポーネント