サイバー脅威が進化を続ける中、Windows 11は管理者保護機能という強力なソリューションを導入しました。この革新的な機能は、マルウェアや認証情報の盗難の標的となりやすい管理者アカウントを保護するために設計されています。Windows Helloトークンによる「ジャストインタイム」の昇格アクセスを活用することで、Windows 11ユーザーは強化されたセキュリティ設定を効果的に構成できます。Windows 11デバイスにアクセス可能になったらすぐに管理者保護を設定するための手順ガイドをご紹介します。
Windows 11 の管理者保護について
Windows 11 の管理者保護は、従来のユーザー アクセス制御 (UAC) を凌駕する画期的なセキュリティ対策です。管理者ユーザーに無制限の権限を常時付与するのではなく、この機能は一時的な独立したセキュリティ トークンを動的に生成します。これらのトークンは管理者タスクの実行後すぐに破棄されるため、不正アクセスのリスクが軽減されます。現在、この機能は Insider Canary リリース段階にあり、2025 年 5 月からすべての Windows 11 ユーザーに展開される予定です。
認証はWindows Helloを通じて管理され、ユーザーはPINまたは生体認証データを使用できます。これらのトークンは表示されず、管理者からの要求があった場合にのみアクティブ化されるため、マルウェアがシステムに侵入した場合でも、基盤となるWindowsセキュリティフレームワークと干渉することはできません。
管理者によるすべての操作にはWindows Helloによる2段階認証が必須となり、最も権限のあるユーザーであっても実質的に「最小限の権限」のアクセスレベルが割り当てられます。これにより、資格情報の盗難に対する保護が強化され、Windows NTLM認証における脆弱性の可能性が最小限に抑えられます。
ステップバイステップ: Windows 11 で管理者保護を有効にする
管理者保護機能は、ビルド27774以降のユーザーから段階的に展開されます。OSビルドを確認するには、「設定」 → 「システム」 → 「バージョン情報」 → 「Windowsの仕様」 → 「OSビルド」と進んでください。この重要な機能にアクセスするには、アップデートにご注目ください。
管理者保護を有効にするには、次の手順に従います。
- 管理者アカウントに切り替える:まず、Win+で「ファイル名を指定して実行」ダイアログを開き、 と入力してEnter キーを押します。ログインしているユーザーアカウント(例:「Administrator」)を見つけてダブルクリックします。R
netplwiz - グループメンバーシップの変更:アカウントのプロパティで、アカウントが管理者に設定されているかどうかを確認します。標準ユーザーとしてリストされている場合は、この設定を更新し、「適用」 → 「OK」をクリックしてサインアウトし、デバイスを再起動します。
- Windows Hello を設定するには、「設定」 → 「アカウント」 → 「サインインオプション」に移動します。 「PIN(Windows Hello)」で、お好みの PIN を入力します。確認して「OK」をクリックします。顔認証または指紋認証が利用可能な場合は、セキュリティ強化のために顔認証または指紋認証オプションも使用できます。
- Windows セキュリティを起動します。設定にアクセスするには、検索バーまたはタスクバーから Windows セキュリティを開きます。
- 管理者保護を有効にするには:ページ下部の「アカウント保護」 → 「管理者保護設定」に移動し、 「管理者保護」スイッチをオンにします。
または、Windows 11 Insider ビルド 27774 以降のローカルグループポリシーエディターからこの機能を有効にすることもできます。「コンピューターの構成」 → 「Windows の設定」 → 「セキュリティの設定」 → 「ローカルポリシー」 → 「セキュリティオプション」にアクセスします。ここで、 「ユーザーアカウント制御:管理者承認モードの種類を構成する」をダブルクリックし、「管理者保護付きの管理者承認モード」を選択します。 「セキュリティで保護されたデスクトップで資格情報を要求する」でWindows Hello 認証を選択します。
いずれかの方法で有効化すると、管理者タスクを開始すると、権限を確認するためにWindows HelloのPINプロンプトが表示されます。この秘密のプロセスは、バックエンドで認証が目立たないように行われるため、従来のパスワードよりもはるかに安全です。管理者権限を必要とするソフトウェアのインストールなど、タスクを完了すると、一時的なアクセスは直ちに取り消されます。
この機能を利用するための前提条件として、ユーザープロファイルが正常に機能していることを確認してください。ユーザープロファイルサービスで問題が発生した場合は、トラブルシューティングガイドを参照して機能を復元してください。
よくある質問
1.管理者保護はすべての Windows 11 ユーザーが利用できますか?
いいえ、管理者保護は 2025 年 5 月からすべての Windows 11 ユーザーに段階的に展開されます。現在は、ビルド 27774 以降の Insider Canary リリースでのみアクセスできます。
2. Windows Hello での認証には任意の方法を使用できますか?
はい、Windows Hello では PIN、顔認証、指紋認証など、複数の認証方法をご利用いただけます。お好みに合わせてお選びいただけます。
3. Windows Hello の資格情報にアクセスできなくなった場合はどうなりますか?
Windows Hello の認証情報にアクセスできなくなった場合でも、パスワードなど、別のサインイン方法(設定済みの場合)を使用してログインできます。回復オプションを常に最新の状態にしておくことが重要です。
コメントを残す ▼