現象

2024 年 9 月の Windows セキュリティ更新プログラム以降、Windows インストーラー (MSI) では、アプリケーションの修復時に資格情報のユーザー アカウント制御 (UAC) プロンプトの要求が開始されました。 この要件は、セキュリティの脆弱性 CVE-2025-50173 に対処するために、2025 年 8 月の Windows セキュリティ更新プログラムでさらに適用されました。 

2025 年 8 月の更新プログラムに含まれるセキュリティ強化により、管理者以外のユーザーが一部のアプリを実行するときに問題が発生する可能性があります。 

  • MSI 修復を (ユーザー インターフェイスを表示せずに) サイレントモードで開始するアプリは、エラー メッセージで失敗します。 たとえば、2010 Office Professional Plusを管理者以外としてインストールして実行すると、構成プロセス中にエラー 1730 で失敗します。

  • 管理者以外のユーザーは、MSI インストーラーが特定の カスタム アクションを実行すると、予期しないユーザー アカウント制御 (UAC) プロンプトを受け取る可能性があります。 これらのアクションには、アプリケーションの初期インストール中など、フォアグラウンドまたはバックグラウンドでの構成操作や修復操作が含まれる場合があります。 これらのアクションには、次のものが含まれます。

    • MSI 修復コマンド (msiexec /fu など) を実行する場合。

    • ユーザーが初めてアプリにサインインした後に MSI ファイルをインストールする。

    • アクティブ セットアップ中に Windows インストーラーを実行する場合。

    • ユーザー固有の "アドバタイズ" 構成に依存するMicrosoft Configuration Manager (ConfigMgr) を使用してパッケージを展開する。

    • セキュリティで保護されたデスクトップを有効にする場合。

解決策 

これらの問題に対処するために、2025 年 9 月の Windows セキュリティ更新プログラム (以降の更新プログラム) では、MSI の修復に対して UAC プロンプトを要求する範囲が縮小され、IT 管理者は特定のアプリに対する UAC プロンプトを許可リストに追加することで無効にすることができます。 

2025 年 9 月の更新プログラムをインストールした後、ターゲット MSI ファイルに 管理者特権のカスタム アクションが含まれている場合、MSI 修復操作中にのみ UAC プロンプトが必要になります。 

カスタム アクションを実行するアプリには UAC プロンプトが引き続き必要になるため、この更新プログラムをインストールした後、IT 管理者は、MSI ファイルを許可リストに追加することで、特定のアプリの UAC プロンプトを無効にできる回避策にアクセスできます。 

UAC プロンプトを無効にするアプリを許可リストに追加する方法 

警告: このオプトアウト方法により、これらのプログラムに対するこの多層防御セキュリティ機能が効果的に削除されます。 

重要: この記事では、レジストリの変更方法について説明しています。 レジストリを変更する前に、必ずバックアップしてください。 問題が発生した場合にレジストリを復元する方法を確認しておいてください。 レジストリのバックアップ、復元、および修正の方法について、詳しくは 「Windowsのレジストリをバックアップおよび復元する方法」 を参照してください。

開始する前に、許可リストに追加する MSI ファイルの製品コードを取得する必要があります。 これを行うには、Windows SDKで使用できる ORCA ツールを使用します。 

  1. Windows インストーラー開発者向けのWindows SDK コンポーネントをダウンロードしてインストールします。

  2. C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\x86 に移動し、Orca-x86_en-us.msi実行しますこれにより、ORCA ツール (Orca.exe) がインストールされます。

  3. Orca.exeを実行します。

  4. ORCA ツールで、[ファイル] > [開く] を使用して、許可リストに追加する MSI ファイルを参照します。

  5. MSI テーブルが開いたら、左側の一覧で [プロパティ] をクリックし、ProductCode の値をメモします。 

    ORCA ツールのスクリーンショット

  6. ProductCode をコピーします。 後で必要になります。

製品コードを取得したら、次の手順に従って、その製品の UAC プロンプトを無効にします。 

  1. [検索] ボックスに「regedit」と入力し、検索結果で [レジストリ エディター] を選択します。 

  2. レジストリで次のサブキーを見つけて選択します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. [編集] メニューの [新規] をポイントし、[DWORD 値] を選びます。

  4. DWORD の名前に 「SecureRepairPolicy 」と入力し、Enter キーを押します。

  5. [SecureRepairPolicy] を右クリックし、[変更] を選択します。

  6. [ 値データ ] ボックスに「2」と入力し、[OK] を選択します。 

  7. レジストリで次のサブキーを見つけて選択します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. [編集] メニューの [新規] をポイントし、[キー] をクリックします。

  9. キーの名前に 「SecureRepairWhitelist 」と入力し、Enter キーを押します。

  10. SecureRepairWhitelist キーをダブルクリックして開きます。

  11. [編集] メニューの [新規]をポイントし、[文字列値] をクリックします。 許可リストに追加する MSI ファイルの前にメモした ProductCode (中かっこ {}を含む) を含む文字列値を作成します。 文字列値の名前は ProductCode で、VALUE は空白のままにできます。 

    レジストリに追加された製品コードのスクリーンショット

Facebook LinkedIn メール

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター