Contents

Intune を使用して UAC (ユーザー アカウント制御) を構成する

<本文>/images/Configure-User-Account-Control-using-Intune_ftimg.png

この詳細ガイドでは、Intune を使用して UAC (ユーザー アカウント制御) を構成する方法を説明します。新しい設定カタログ ポリシーを作成し、ローカル ポリシー セキュリティ オプション カテゴリで利用可能なオプションを使用して Windows ユーザー用に UAC を構成します。

Microsoft によると、ユーザー アカウント制御は、オペレーティング システムを不正な変更から保護するために設計された Windows セキュリティ機能です。システムへの変更に管理者レベルの権限が必要な場合、UAC はユーザーに通知し、変更を承認または拒否する機会を提供します。

UAC を構成するには、Microsoft Intune、CSP、グループ ポリシー、レジストリなどのさまざまな方法を使用できます。 Intune などの MDM ソリューションによって管理されているデバイスの場合は、設定カタログを利用して UAC 設定を適用します。オンプレミスで Active Directory ドメインに参加している Windows デバイスの場合は、グループ ポリシーに依存します。

/images/PatchMyPC-AppCatalog-725x250-1.jpg Patch My PC を使用してサードパーティ アプリケーションをインストールおよび更新する

重要: 次の Windows エディションはユーザー アカウント制御 (UAC) をサポートしています: Windows Pro 、Windows Enterprise 、Windows Pro Education/SE 、Windows Education。

UAC の主な機能

組織で Intune 経由で UAC 設定を構成する場合は、それがもたらす利点を理解することが重要です。

  1. マルウェアに対する保護: UAC は、アプリケーションの権限を制限することで、明示的なユーザーの同意なしにマルウェアがシステム全体に変更を加えるのを防ぎます。

  2. デフォルトの標準ユーザー権限: 管理者であっても、ほとんどのアプリケーションとプロセスを制限された標準ユーザー権限で実行し、マルウェアの影響を軽減します。

  3. 昇格された特権のプロンプト: 管理者権限が必要なアクション (ソフトウェアのインストール、システム設定の変更、レジストリの変更など) を実行する前に、ユーザーに通知し、許可 (または管理者の資格情報) を求めます。

  4. 安全なデスクトップ: UAC が有効で動作している場合、悪意のあるソフトウェアがプロンプトを妨害するのを防ぐために、UAC プロンプトがデスクトップに表示されます。

セキュリティを強化するために、組織は UAC ポリシーとともに Intune でビジネス向けのアプリ制御を有効にし、承認されたアプリケーションのみが許可されるようにすることができます。

ユーザー アカウント制御プロンプトの仕組み

UAC ポリシーが適用されると、標準ユーザーのユーザー エクスペリエンスは管理者とは異なります。

  1. 標準ユーザー: 標準ユーザーの場合、資格情報のプロンプトがユーザーに表示されます。管理者の資格情報を提供すると、タスクを完了するための管理者権限が付与されます。

  2. 管理者: 管理者の場合、ユーザーがユーザーの管理アクセス トークンを必要とするタスクを実行しようとすると、同意プロンプトが表示されます。続行するには、ユーザーは「はい」または「いいえ」を選択する必要があります。

UAC (ユーザー アカウント制御) Intune ポリシーを構成する

Windows 10/11 デバイスの UAC (ユーザー アカウント制御) を構成するための新しい Intune ポリシーを作成しましょう。

ブラウザーを開き、Intune 管理センターにサインインします。 デバイス > Windows > 構成 > 作成 > 新しいポリシー に移動します。プラットフォームとして Windows 10 以降を選択し、プロファイル タイプとして設定カタログを選択します。 「作成」をクリックします。

基本 タブで、プロファイルの名前を「UAC 設定の構成」として指定します。プロフィールに関する簡単な説明を追加できます。 「次へ」をクリックして続行します。

/images/Configure-UAC-User-Account-Control-using-Intune-Snap1-1024x683.png UAC を構成するための Intune ポリシーを作成する

構成設定 タブで、+ 設定の追加 をクリックします。設定ピッカーで、「ローカル ポリシー セキュリティ オプション」を検索します。 ローカル ポリシー セキュリティ オプション カテゴリを選択します。

私のケースでは次のユーザー アカウント制御設定を選択しました。その説明は次のセクションで説明します。

  • ユーザー アカウント制御 管理者承認モードを使用する

  • 昇格を求めるプロンプトが表示されたときにユーザー アカウント制御を安全なデスクトップに切り替える

  • ユーザー アカウント制御 すべての管理者を管理者承認モードで実行

  • ユーザー アカウント制御は、安全な場所にインストールされているアプリケーションの UI アクセスを昇格するだけです

  • ユーザー アカウント制御はアプリケーションのインストールを検出し、昇格を要求します

  • 標準ユーザーの昇格プロンプトのユーザー アカウント制御動作

  • 管理者用の昇格プロンプトのユーザー アカウント制御動作

/images/Configure-UAC-User-Account-Control-using-Intune-Snap2-1024x1002.png Intune でのユーザー アカウント制御設定の選択

Microsoft が提供する UAC 設定と構成が多数あることに気づくでしょう。これらをすべて読んで、組織に必要なものを構成することをお勧めします。有効にする設定が多すぎると、UAC の実装が複雑になり、トラブルシューティングがより困難になる可能性があります。企業にとって本当に必要な設定のみを選択してください。

以下の表は、ユーザー アカウント制御設定、その説明、およびポリシーの各設定に構成された特定の値の概要を示しています。

UAC 設定名 |

説明 |

構成 —|—|—ユーザー アカウント制御 管理者承認モードを使用する |

このポリシー設定は、組み込みの管理者アカウントの管理者承認モードの動作を制御します。

  1. 有効にすると、ビルトイン管理者アカウントは管理者承認モードを使用します。

  2. 無効にすると、組み込みの管理者アカウントはすべてのアプリケーションを完全な管理者権限で実行します。

|

有効

ユーザー アカウント制御の昇格を求めるプロンプトが表示されたときに安全なデスクトップに切り替える |

このポリシー設定は、昇格要求プロンプトを対話型ユーザーのデスクトップに表示するか、セキュリティで保護されたデスクトップに表示するかを制御します。

  1. 有効: 管理者と標準ユーザーのプロンプト動作ポリシー設定に関係なく、すべての昇格要求は安全なデスクトップに送信されます。

  2. 無効: すべての昇格リクエストは対話型ユーザーのデスクトップに送信されます。

|

有効

ユーザー アカウント制御 すべての管理者を管理者承認モードで実行する |

このポリシー設定は、コンピューターのすべてのユーザー アカウント制御 (UAC) ポリシー設定の動作を制御します。

  1. 有効: 管理者承認モードが有効になります。

  2. 無効: 管理者承認モードと関連するすべての UAC ポリシー設定が無効になります。

|

有効

ユーザー アカウント制御は、安全な場所にインストールされているアプリケーションの UI アクセスのみを昇格します。

このポリシー設定は、ユーザー インターフェイス アクセシビリティ (UIAccess) 整合性レベルでの実行を要求するアプリケーションがファイル システム内の安全な場所に存在する必要があるかどうかを制御します。

  1. 有効 : アプリケーションがファイル システム内の安全な場所に存在する場合、UIAccess の整合性が保たれた状態でのみ実行されます。

  2. 無効 にすると、アプリケーションは、ファイル システム内の安全な場所に存在しない場合でも、UIAccess の整合性を保って実行されます。

|

有効: アプリケーションは安全な場所にある場合にのみ、UIAccess の整合性を保って実行されます。

ユーザー アカウント制御がアプリケーションのインストールを検出し、昇格を要求する |

このポリシー設定は、コンピューターのアプリケーションのインストール検出の動作を制御します。

  1. 有効: 特権の昇格が必要なアプリケーション インストール パッケージが検出されると、ユーザーは管理ユーザー名とパスワードの入力を求められます。ユーザーが有効な資格情報を入力すると、該当する権限で操作が続行されます。

  2. 無効: アプリケーションのインストール パッケージは検出されず、昇格のプロンプトが表示されません。標準ユーザー デスクトップを実行し、グループ ポリシー ソフトウェア インストールや Systems Management Server (SMS) などの委任されたインストール テクノロジを使用している企業は、このポリシー設定を無効にする必要があります。この場合、インストーラの検出は不要です。

|

有効

標準ユーザーの昇格プロンプトのユーザー アカウント制御の動作 |

このポリシー設定は、標準ユーザーの昇格プロンプトの動作を制御します。

オプションには以下が含まれます

  1. 資格情報の入力を求めるプロンプト: (デフォルト)

  2. 昇格リクエストを自動的に拒否する

  3. 安全なデスクトップで資格情報の入力を求める |

資格情報の入力を求めるプロンプト

管理者向けの昇格プロンプトのユーザー アカウント制御動作 |

このポリシー設定は、管理者に対する昇格プロンプトの動作を制御します。

オプションには以下が含まれます

  1. プロンプトを表示せずに昇格する

  2. 安全なデスクトップで資格情報の入力を求めるプロンプト

  3. 安全なデスクトップで同意を求めるプロンプト

  4. 資格情報の入力を求めるプロンプト

  5. 同意を求めるプロンプト

  6. Windows 以外のバイナリに対する同意を求めるプロンプト (デフォルト)

|

安全なデスクトップで資格情報の入力を求めるプロンプト

以下の画像は、ポリシーで構成した UAC 設定を示しています。 「次へ」をクリックします。

/images/Configure-UAC-User-Account-Control-using-Intune-Snap3-1024x967.png Intune を使用して UAC ユーザー アカウント制御を構成する

スコープ タグ セクションでは、スコープ タグを指定します。スコープ タグの指定はオプションであり、この手順をスキップして、代わりにデフォルトのタグを使用することもできます。 「次へ」をクリックします。

割り当て タブで、ポリシーを割り当てる Entra ID セキュリティ ユーザー グループを選択します。このポリシーを初めて展開する場合は、最初にいくつかのテスト グループに展開し、テストが成功したら、より多くのユーザーまたはデバイスに拡張することをお勧めします。 「次へ」を選択します。

/images/Configure-UAC-User-Account-Control-using-Intune-Snap4-1024x647.png ユーザー アカウント制御ポリシーの割り当て

確認と作成 ページで、これまでに構成したすべてのポリシー設定を確認し、 作成 を選択します。新しく作成したポリシーが構成プロファイル リストに表示される必要があります。これで、ポリシーが選択したデバイス/ユーザー グループに展開され、構成された UAC 設定が適用されます。

/images/Configure-UAC-User-Account-Control-using-Intune-Snap5-1024x696.png Intune で UAC ポリシーを確認して作成する

Intune ポリシーを同期する

ポリシーの割り当てを高速化するために、Windows コンピューターでさまざまな方法を使用して Intune ポリシーを手動で同期できます。同期アクションにより、デバイスはすぐに Intune に接続し、最新のポリシーを適用するように求められます。これは通常、アプリまたはポリシーの展開をテストし、その機能を検証するために実行されます。

Intune での UAC ポリシーの監視

Intune で UAC プロファイルの割り当てを監視するには、デバイス > Windows > 構成 に移動します。 UAC 構成プロファイルを選択します。 ポリシーの概要 ページで、デバイスとユーザーのチェックイン ステータスを確認します。ポリシーが正常に適用されたデバイスまたはユーザーの数を確認できます。

/images/Monitoring-UAC-Policy-in-Intune-1024x774.png Intune での UAC ポリシーの監視

エンドユーザーエクスペリエンス

UAC ポリシー設定が対象のデバイスに正常に適用されたら、それらの設定が実際に機能するかどうかを確認します。 Intune ポリシー経由でデバイスに適用した UAC 設定は合計 7 つあります。これらの中から、テスト用に「標準ユーザーの昇格プロンプトのユーザー アカウント制御動作」設定を選択します。この設定により、標準ユーザーの昇格プロンプトの動作をテストできます。これはまさに必要なことです。

シナリオ 1: 昇格プロンプトの UAC 動作が 資格情報のプロンプト に設定されている

最初のシナリオでは、標準ユーザーの UAC 動作が Intune ポリシーで資格情報の入力を求めるように設定されている場合に、エンド ユーザーに何が表示されるかを示します。ユーザーが特権の昇格が必要な操作を実行しようとすると、管理者のユーザー名とパスワードの入力を求められます。ユーザーが有効な資格情報を入力すると、該当する権限で操作が続行されます。

Windows 上の安全な場所にあるファイルを変更しようとすると、ユーザー アカウント制御 (UAC) ポップアップが表示され、「このアプリによるデバイスの変更を許可しますか?」というメッセージが表示されます。続行するには、ユーザーは管理者のユーザー名とパスワードを入力する必要があります。

/images/User-Account-Control-in-Intune-End-User-Experience-for-Users-1024x861.png Intune によるユーザー アカウント制御 – ユーザーのエンド ユーザー エクスペリエンス

シナリオ 2: 昇格プロンプトの UAC 動作が昇格要求を拒否するように設定されている

2 番目のシナリオでは、標準ユーザーの UAC 動作が昇格要求を自動的に拒否するように設定されている場合に、エンド ユーザーに何が表示されるかを見てみましょう。ユーザーが特権の昇格が必要な操作を実行しようとすると、構成可能なアクセス拒否エラー メッセージが表示されます。

以下の画像では、コントロール パネルでユーザー アカウントのプロパティを変更しようとすると、「このプログラムはグループ ポリシーによってブロックされています。詳細については、システム管理者にお問い合わせください。」というメッセージが表示されることがわかります。

/images/User-Account-Control-End-User-Experience-for-Intune-Users-1024x687.png Intune ユーザーのユーザー アカウント制御のエンド ユーザー エクスペリエンス

Windows の一部のコンポーネントでは、UAC ポリシーによりユーザーは設定にアクセスできますが、設定の変更は許可されません。たとえば、ユーザーがコントロール パネルからデバイス マネージャーにアクセスしようとすると、次のメッセージがユーザーに表示されます。標準ユーザーとしてログオンしています。デバイス マネージャーでデバイス設定を表示できますが、変更するには管理者としてログオンする必要があります。

/images/End-User-Experience-User-Account-Control-via-Intune-Snap5-1024x550.png Intune 経由で構成された UAC のエンド ユーザー エクスペリエンス

ユーザー アカウント設定のレジストリ キー

Windows のユーザー アカウント制御のレジストリ キーは、以下のパスにあります。 UAC 設定が Intune ポリシー経由で構成されている場合は、レジストリ内の何も変更または修正する必要はありません。これは単なる情報です。


Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

コピー


Computer\HKEY\_LOCAL\_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System


/images/Registry-Keys-for-User-Account-Settings-1024x761.png ユーザー アカウント設定のレジストリ キー

上でテストした UAC 設定について説明します。これは、標準ユーザーに対する昇格プロンプトの動作です。 「 ConsentPromptBehaviorUser 」レジストリ キーの値により、標準ユーザー用に構成したユーザー アカウント制御 (UAC) 昇格プロンプト設定が明らかになります。以下の表に、ConsentPromptBehaviorUser の値と各値が示す内容を示します。

ConsentPromptBehaviorUser 値 |

説明—|—0 |

昇格リクエストを自動的に拒否します。

1 |

安全なデスクトップで資格情報の入力を求めます。

3 (デフォルト) |

資格情報の入力を求めるプロンプトが表示されます。

同様に、別のレジストリ キーである「 ConsentPromptBehaviorAdmin 」には、管理者承認モードで管理者向けに構成した昇格プロンプト設定の動作に応じた値が含まれています。以下の表に、ConsentPromptBehaviorAdmin の値と各値の説明を示します。

ConsentPromptBehaviorAdmin 値 |

説明—|—0 |

プロンプトを表示せずに昇格します。

1 |

安全なデスクトップで資格情報の入力を求めます。

2 |

安全なデスクトップで同意を求めるプロンプトを表示します。

3 |

資格情報の入力を求めるプロンプトが表示されます。

4 |

同意を求めるプロンプトが表示されます。

5 (デフォルト) |

Windows 以外のバイナリの場合は同意を求めるプロンプトが表示されます。

トラブルシューティング

  1. 場合によっては、UAC ポリシー設定が Intune 経由でデバイスまたはユーザーに適用されないことがあります。これらの問題をトラブルシューティングするには、重要な Intune IME ログを確認してください。

  2. イベント ビューアを開き、次のパスでイベント ログを探します: アプリケーションとサービス ログ > Microsoft > Windows > AppxDeployment-Server > Microsoft-Windows-AppxDeploymentSever/Operational。

  3. リモート デバイスでポリシー割り当ての失敗が発生した場合は、IT サポートのために MDM 診断レポートを生成します。これは、設定 > アカウント > 職場または学校にアクセス > 情報 から実行できます。 「レポートの作成」ボタンをクリックします。

まだサポートが必要ですか?

上記の記事についてさらにサポートが必要な場合、または他の技術的な問題について議論したい場合は、これらのオプションのいくつかを確認してください。

フォーラム

電報

連絡してください

*️⃣ 出典リンク:

ユーザー アカウント制御/images/PatchMyPC-AppCatalog-725x250-1.jpg 、Intune でビジネス向けアプリ制御を有効にする、 Microsoft が提供する UAC 設定と構成 、スコープ タグ、Intune ポリシーの同期、 ユーザー アカウント制御のレジストリ キー、重要な Intune IME ログ、MDM 診断レポート、

フォーラム

電報

連絡してください