Windows 11で管理者保護を有効にする方法
2025年11月12日更新: Windows 11では、 「管理者保護」という新しいセキュリティ機能が利用可能になりました。これにより、管理者権限の管理が少しスマートになります。これは、アプリやユーザーに管理者権限を無意識に付与してしまうリスクを軽減します。管理者権限ですべてを任せることにうんざりしている方や、機密性の高いタスクのセキュリティを強化したい方は、この機能を試してみる価値があるかもしれません。このガイドでは、グループポリシーまたはレジストリを使ってこの機能を有効にする方法を詳しく説明します。Windowsでは、この機能を必要以上に難しく設定する必要があるためです。
管理者保護とは何ですか?
この機能は、管理者権限を持つアカウントのセキュリティを強化するために導入されました。通常、「管理者」グループのメンバーはほぼすべての設定を変更できますが、これは便利な機能ですが、マルウェアが侵入したり、誤って何かをクリックしたりすると危険です。管理者保護機能では、これらの操作を行うたびに明示的な同意が必要になります。つまり、管理者が特定の操作を承認するまで、管理者アカウントは制限付きユーザーのように扱われることになります。
まるで、誰でも自由に入室できる代わりに、毎回IDの提示を求める用心棒がいるようなものです。目標は? 意図しないシステム変更を防ぎ、ユーザーの許可なく権限を昇格しようとするマルウェアを阻止することです。
管理者保護はどのように機能しますか?
この機能は最小権限の原則(PoLP)に基づいています。管理者アカウントを一般ユーザーに近い動作に強制し、より高い権限を必要とするコマンドにはプロンプトが表示されます。確認した場合にのみ、権限が一時的に昇格されます。UACプロンプトと同様のものを使用しますが、少し工夫が凝らされています。より厳格で、各リクエストは1回限りのものとして扱われます。さらに、プロンプトには視覚的なヒント(色の違いなど)が表示されるため、何かリスクがあるかどうかをある程度把握できます。
そして奇妙なのは、各昇格アクションごとに「分離された管理者トークン」と呼ばれるものを作成するという点です。これは、タスク終了後に消滅する、独立した一時的な管理者アカウントのようなものです。これにより、管理者権限がただ放置され、悪用されるのを待つような事態にはなりません。
プロのヒント:設定によっては、有効化または使用を初めて試みた際に失敗したり、2回プロンプトが表示されたりすることがあります。これはWindows特有の現象です。変更後は、新しいポリシーを適用するために再起動することをお勧めします。
管理者保護はユーザー アカウント制御と同じですか?
いいえ、正確にはそうではありません。UACはご存知の通り、アプリが管理者権限を要求するとポップアップ表示されます。しかし、管理者保護はそれに加えて専用の強化機能で、本当に権限の昇格を意図しているかを確認します。まるでUACの強化版のようで、追加のチェック機能が追加されているため、ユーザーの明確な許可なしに自動昇格やバックグラウンドでの権限の不正なブーストが行われません。
Microsoft 自身の説明では、これは単に変更を通知するのではなく、権限の悪用を阻止するように設計された別のレイヤーであると明確に述べられています。
さて、ここで問題なのは、少なくともほとんどのインストールでは、デフォルトで有効になっていないことです。おそらく、以下のオプションから手動で有効にする必要があります。ちなみに、2025年11月のアップデートから展開が開始されているので、お使いのシステムにインストールされているかどうかご確認ください。
Windows 11で管理者保護を有効にする方法
方法 1: グループ ポリシーから (主に Windows 11 Pro または Enterprise)
ProまたはEnterpriseをご利用の場合、これが最もクリーンな方法です。基本的に設定を切り替えるGUIで、クリーンに適用されます。簡単に説明します。
- スタートを押して「gpedit」と入力します。「グループポリシーの編集」をクリックして開きます。
- [コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [セキュリティ オプション]に移動します。
- 「ユーザーアカウント制御:管理者承認モードの種類を構成する」というポリシーを見つけます。見つからない場合は、Windowsが少なくとも2025年11月までに更新されていることを確認してください。
- それをダブルクリックして、「管理者保護付きの管理者承認モード」に設定します。
- 「適用」と「OK」をクリックします。変更を適用するには再起動してください。
再起動後、管理者権限を必要とするプログラムを次に実行すると、明示的な確認または Windows Hello による認証を求める、もう少し厳しいプロンプトが表示されます。
方法 2: レジストリから (ほぼすべての Windows 11 セットアップで機能します)
グループポリシーエディター(Windows 11 Homeなど)をお持ちでなくてもご心配なく。レジストリを直接調整できます。手順は以下のとおりです。
- [スタート]を開き、regeditを検索して、管理者権限で実行します。
- に移動します
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System。 - TypeOfAdminApprovalModeを探します。見つからない場合は、「システム」を右クリックし、「新規」>「DWORD(32ビット)値」を選択し、「TypeOfAdminApprovalMode 」という名前を付けます。
- ダブルクリックして、機能を有効にするには値を2に設定し、デフォルトに戻す場合は1 に設定します。
- [OK] をクリックして、レジストリ エディターを閉じます。
- 再起動。これで完了です。
これにより、Windowsは管理者権限を「ジャストインタイム」のように扱うようになります。そのため、管理者権限に昇格するたびにプロンプトが表示され、権限が永続的に保持されることはありません。マルウェアへの感染を懸念している場合や、より高度な制御が必要な場合に便利です。
追加のヒント:
システム設定を変更する前に、必ずレジストリをバックアップするか、復元ポイントを設定してください。Windowsは設定を必要以上に複雑にしているため、ミスをすると面倒な事態になる可能性があるからです。
管理者保護に関するよくある質問
Windows 11 の管理者保護とは何ですか?
これは、管理者のアクションを毎回明示的に確認することを強制するレイヤーと考えてください。これにより、偶発的または悪意のある権限昇格のリスクが軽減されます。通常のUACプロンプトに加えて、より多くの制御機能が追加されます。
デフォルトで有効になっていますか?
いいえ、ほとんどのインストールでは、特にEnterprise版以外のバージョンでは、手動で有効化しない限り無効になっています。グループポリシーまたはレジストリを使って手動で有効化する必要があります。
UAC とどう違うのでしょうか?
UACは、プログラムが管理者権限を要求したときに警告するだけです。管理者保護は実際にはより厳格なルールを適用します。自動昇格をブロックし、リクエストごとに許可を求め、承認されるまで管理者アカウントを標準ユーザーのように扱います。
オンとオフを簡単に切り替えられますか?
はい。必要に応じて、レジストリまたはグループポリシーで同じ手順を実行して無効にしてください。変更後は再起動を忘れないようにしてください。
2025 年 11 月 12 日更新:このガイドは、Windows セキュリティ機能の最新の変更を反映するように更新されたため、最新の情報となり、役立つものになるはずです。
まとめ
管理者保護を有効にすることは、ハッカーが仕掛ける荒っぽいトリックではありません。特にシステム上で実行されるものに注意を払っている人にとっては、セキュリティ強化への明確な一歩です。理由は定かではありませんが、一部のマシンでは、すべてがスムーズに機能するまでに数回試行錯誤が必要になったり、変更後に再起動が必要になる場合があります。しかし、一度設定してしまえば、権限の昇格はより慎重に行う必要があり、これは昨今の良い点と言えるでしょう。
まとめ
- グループ ポリシーまたはレジストリを介して管理者保護を有効にすることができます。
- 管理者のアクションには毎回明示的な承認が必要になります。
- 変更後、システムを再起動してください。
- システム設定を編集する前に必ずバックアップしてください。Windows では編集が困難になるかもしれませんが、不可能になるわけではありません。
関連記事
この記事は役に立ちましたか?