> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/policies/policy-examples/allowing-silent-elevation-for-.msi-automated-installer-processes.md).

# .msi自動インストーラープロセスのサイレント昇格を許可する

<figure><img src="/files/an49ZgMUCEwyWz0kKXCc" alt=""><figcaption></figcaption></figure>

## 背景 <a href="#background" id="background"></a>

多くのエンタープライズアプリケーションは、`.msi` ファイルを直接実行するのではなく、自動管理または更新ツールが別の昇格済みヘルパー `.exe` を起動してインストールまたは更新を完了します。Keeperエンドポイント特権マネージャー (EPM) でマシンに**最小権限**が適用されていると、これらの昇格要求がブロックされ、更新が失敗します。

このパターンは、広く展開されているエンタープライズソフトウェアでよく見られます。たとえばAutodeskでは**Autodesk Access**というアプリケーションが、**ProcessManager.exe**という昇格済みヘルパープロセスを起動し、さらに追加の昇格プロセスを生成してインストールを完了します。EPMが対象とすべきなのは `.msi` 自体ではなく、ヘルパー `.exe` です。

以下の表は、同じパターンに従う代表的なエンタープライズアプリケーションと、各アプリケーションが使用する昇格ヘルパープロセスを示しています (お客様の環境では異なる場合があります)。ポリシーを構成する前に、Process MonitorやWindowsタスクマネージャーなどのツールで、実際のプロセス名を必ず確認してください。

<table><thead><tr><th width="158.33331298828125">アプリケーション</th><th>MSIインストーラー</th><th>昇格ヘルパー .exe</th><th>典型的なパス</th></tr></thead><tbody><tr><td><strong>Autodesk</strong> (Autodesk Access 経由)</td><td>Autodesk ODIS MSI</td><td><code>ProcessManager.exe</code></td><td><code>C:\Program Files\Autodesk\AdODIS\V1\Setup\ProcessManager.exe</code></td></tr><tr><td><strong>Adobe Acrobat / Reader</strong></td><td><code>AcroPro.msi</code> / <code>AdbeRdr*.msi</code></td><td><code>AdobeARM.exe</code></td><td><code>C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe</code></td></tr><tr><td><strong>Citrix Workspace App</strong></td><td><code>CitrixWorkspaceApp.msi</code></td><td><code>TrolleyExpress.exe</code> ¹</td><td><code>C:\ProgramData\Citrix\Citrix Workspace &#x3C;version>\TrolleyExpress.exe</code></td></tr><tr><td><strong>Google Chrome Enterprise</strong></td><td><code>googlechromestandaloneenterprise64.msi</code></td><td><code>GoogleUpdate.exe</code></td><td><code>C:\Program Files (x86)\Google\Update\GoogleUpdate.exe</code></td></tr><tr><td><strong>Zoom Workplace</strong></td><td><code>ZoomInstallerFull.msi</code></td><td><code>ZoomInstaller.exe</code></td><td><code>%LocalAppData%\Zoom\ZoomInstaller.exe</code></td></tr></tbody></table>

{% hint style="info" %}
**注:** 昇格ヘルパー `.exe` はベンダーのツールごとに異なり、製品バージョンによって変わる場合があります。以下の構成手順は、対象アプリケーションにかかわらず同じです。異なるのはアプリケーションコレクションの内容だけです。
{% endhint %}

## 解決策: 特権昇格ポリシーの作成 <a href="#solution-create-a-privilege-elevation-policy" id="solution-create-a-privilege-elevation-policy"></a>

ベンダーの昇格ヘルパープロセスを、ユーザー操作なしでサイレントに実行できる**特権昇格**ポリシーが必要です。以下の手順では**Autodeskの `ProcessManager.exe`** を具体例として示します。該当箇所はお客様のアプリケーションのヘルパー `.exe` に置き換えてください。

### 構成手順 <a href="#step-by-step-configuration" id="step-by-step-configuration"></a>

{% stepper %}
{% step %}
**昇格ヘルパー .exe 用のアプリケーションコレクションを作成する (例: Autodesk向け `ProcessManager.exe`)**

MSIベースのアプリケーションごとに、昇格インストールおよび更新用のヘルパープロセスは異なります。このコレクションを作成する前に、対象アプリケーションの正確な `.exe` 名とパスを確認してください。上記の表、ベンダーのドキュメント、または更新時のProcess Monitorでの観察をご参照ください。

**Keeper管理コンソール**で以下を行います。

* 新しい**アプリケーションコレクション**を作成し、アプリケーションとヘルパープロセスの両方が分かる説明的な名前を付けます (例: 「Autodesk – ProcessManager」または「Adobe Acrobat – AdobeARM」)。
* ヘルパー `.exe` を対象とするアプリケーションエントリを1件追加します。ファイル名またはフルパスで一致させられます。**フルパスでの一致を推奨**します。より狭く、より安全なターゲティングになります。

**Autodeskの例:**

```
C:\Program Files\Autodesk\AdODIS\V1\Setup\ProcessManager.exe
```

**一般的なパターン** (ベンダーの値に置き換え):

```
C:\Program Files\<Vendor>\<UpdateTool>\<HelperProcess>.exe
```

このコレクションは可能な限り狭く保ち、アプリケーションのすべての実行ファイルではなく、特定のヘルパー `.exe` のみを含めてください。
{% endstep %}

{% step %}
**特権昇格ポリシーを作成する**

**Keeper管理コンソール**で、以下の設定の新しいポリシーを作成します。

<table><thead><tr><th width="197">設定</th><th>値</th></tr></thead><tbody><tr><td><strong>ポリシータイプ</strong></td><td>特権昇格</td></tr><tr><td><strong>名前</strong></td><td>例: 「Autodesk Access – Allow ProcessManager Elevation」(対象アプリケーションに合わせて調整)</td></tr><tr><td><strong>ステータス</strong></td><td>検証のため最初は<strong>監視</strong>から開始し、その後<strong>適用</strong>に切り替え</td></tr><tr><td><strong>コントロール</strong></td><td><strong>許可</strong></td></tr><tr><td><strong>アプリケーションコレクション</strong></td><td>手順1で作成したコレクションを選択</td></tr><tr><td><strong>ユーザーコレクション</strong></td><td>対象ユーザーを選択するか、「All Users」を使用</td></tr><tr><td><strong>マシンコレクション</strong></td><td>アプリケーションがデプロイされているマシンを選択</td></tr></tbody></table>
{% endstep %}

{% step %}
**デプロイして検証する**

* まずポリシーを**監視**に設定し、ログで正しい昇格イベントに一致することを確認します。
* 検証後、ステータスを**適用**に切り替えます。
* アプリケーションの更新またはインストールをトリガーし、ユーザー操作なしで正常に完了することを確認します。

Autodeskの場合は、影響を受けるエンドポイントでAutodesk Accessから更新をトリガーし、UACプロンプトやEPMによるブロックなしで更新が完了することを確認します。
{% endstep %}
{% endstepper %}

## 重要: 「許可」コントロールを使う理由 <a href="#important-why-you-must-use-the-allow-control" id="important-why-you-must-use-the-allow-control"></a>

自動インストーラーおよび更新プロセスは非対話型のため、**許可**コントロールが必要です。ヘルパー `.exe` が昇格を要求したとき、昇格は即座かつサイレントに許可される必要があります。

**許可**コントロールは、この特定のアプリケーションコレクションにだけ適用されます。マシン上の他の昇格要求は、引き続き既存の最小権限および特権昇格ポリシーで管理されます。

**このポリシーでは正当な理由、承認、MFA コントロールを使用しないでください。** これらのコントロールはユーザーにプロンプトを表示し、応答を待ちます。自動インストーラーはこの対話を待たないため、ユーザーが後から応答しても**タイムアウトして失敗**します。プロセスは昇格が即座に付与されることを前提としています。

Autodeskの `ProcessManager.exe` はこの動作の典型例です。Autodesk Accessの更新中にプロンプトが表示されると、応答が得られる前に更新プロセスがタイムアウトします。上記の表に挙げた他のアプリケーションでも同様です。

<table><thead><tr><th width="120.6666259765625">コントロール</th><th>結果</th></tr></thead><tbody><tr><td><strong>許可</strong></td><td>昇格がサイレントに付与され、インストールまたは更新が成功</td></tr><tr><td>正当な理由</td><td>ユーザーにプロンプト表示。自動プロセスがタイムアウトし、<strong>インストール失敗</strong></td></tr><tr><td>承認</td><td>承認者へ要求送信。自動プロセスがタイムアウトし、<strong>インストール失敗</strong></td></tr><tr><td>MFA</td><td>ユーザーにMFAプロンプト表示。自動プロセスがタイムアウトし、<strong>インストール失敗</strong></td></tr></tbody></table>

## セキュリティ上の考慮事項 <a href="#security-considerations" id="security-considerations"></a>

* **ポリシーのスコープを狭く保つ:** アプリケーションコレクションには特定のヘルパー `.exe` のみを含め、アプリケーションのすべての実行ファイルやディレクトリ内のすべてのファイルを広く許可しないでください。
* **フルパスを使う:** ファイル名のみでの一致 (例: `ProcessManager.exe`) は、フルパスでの一致よりも許容範囲が広くなります。ベンダーのインストールパスが予測可能で安定している場合は、フルパスを優先してください。
* **マシンのターゲティング:** アプリケーションがマシンの一部にだけデプロイされている場合は、マシンコレクションでポリシーをそのマシンに限定してください。アプリケーションが全社展開されていないのに、全フリートへ適用しないでください。
* **デプロイ前にヘルパー `.exe` を確認する:** ベンダーのツールは製品バージョンごとに変わります。コレクションを作成する前に、実際の更新時にProcess Monitorまたはタスクマネージャーで正しいプロセス名とパスを確認してください。


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/policies/policy-examples/allowing-silent-elevation-for-.msi-automated-installer-processes.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.