.msi自動インストーラープロセスのサイレント昇格を許可する
.msi自動インストーラープロセス向けのポリシー例
背景
多くのエンタープライズアプリケーションは、.msi ファイルを直接実行するのではなく、自動管理または更新ツールが別の昇格済みヘルパー .exe を起動してインストールまたは更新を完了します。Keeperエンドポイント特権マネージャー (EPM) でマシンに最小権限が適用されていると、これらの昇格要求がブロックされ、更新が失敗します。
このパターンは、広く展開されているエンタープライズソフトウェアでよく見られます。たとえばAutodeskではAutodesk Accessというアプリケーションが、ProcessManager.exeという昇格済みヘルパープロセスを起動し、さらに追加の昇格プロセスを生成してインストールを完了します。EPMが対象とすべきなのは .msi 自体ではなく、ヘルパー .exe です。
以下の表は、同じパターンに従う代表的なエンタープライズアプリケーションと、各アプリケーションが使用する昇格ヘルパープロセスを示しています (お客様の環境では異なる場合があります)。ポリシーを構成する前に、Process MonitorやWindowsタスクマネージャーなどのツールで、実際のプロセス名を必ず確認してください。
Autodesk (Autodesk Access 経由)
Autodesk ODIS MSI
ProcessManager.exe
C:\Program Files\Autodesk\AdODIS\V1\Setup\ProcessManager.exe
Adobe Acrobat / Reader
AcroPro.msi / AdbeRdr*.msi
AdobeARM.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
Citrix Workspace App
CitrixWorkspaceApp.msi
TrolleyExpress.exe ¹
C:\ProgramData\Citrix\Citrix Workspace <version>\TrolleyExpress.exe
Google Chrome Enterprise
googlechromestandaloneenterprise64.msi
GoogleUpdate.exe
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Zoom Workplace
ZoomInstallerFull.msi
ZoomInstaller.exe
%LocalAppData%\Zoom\ZoomInstaller.exe
注: 昇格ヘルパー .exe はベンダーのツールごとに異なり、製品バージョンによって変わる場合があります。以下の構成手順は、対象アプリケーションにかかわらず同じです。異なるのはアプリケーションコレクションの内容だけです。
解決策: 特権昇格ポリシーの作成
ベンダーの昇格ヘルパープロセスを、ユーザー操作なしでサイレントに実行できる特権昇格ポリシーが必要です。以下の手順ではAutodeskの ProcessManager.exe を具体例として示します。該当箇所はお客様のアプリケーションのヘルパー .exe に置き換えてください。
構成手順
昇格ヘルパー .exe 用のアプリケーションコレクションを作成する (例: Autodesk向け ProcessManager.exe)
MSIベースのアプリケーションごとに、昇格インストールおよび更新用のヘルパープロセスは異なります。このコレクションを作成する前に、対象アプリケーションの正確な .exe 名とパスを確認してください。上記の表、ベンダーのドキュメント、または更新時のProcess Monitorでの観察をご参照ください。
Keeper管理コンソールで以下を行います。
新しいアプリケーションコレクションを作成し、アプリケーションとヘルパープロセスの両方が分かる説明的な名前を付けます (例: 「Autodesk – ProcessManager」または「Adobe Acrobat – AdobeARM」)。
ヘルパー
.exeを対象とするアプリケーションエントリを1件追加します。ファイル名またはフルパスで一致させられます。フルパスでの一致を推奨します。より狭く、より安全なターゲティングになります。
Autodeskの例:
一般的なパターン (ベンダーの値に置き換え):
このコレクションは可能な限り狭く保ち、アプリケーションのすべての実行ファイルではなく、特定のヘルパー .exe のみを含めてください。
特権昇格ポリシーを作成する
Keeper管理コンソールで、以下の設定の新しいポリシーを作成します。
ポリシータイプ
特権昇格
名前
例: 「Autodesk Access – Allow ProcessManager Elevation」(対象アプリケーションに合わせて調整)
ステータス
検証のため最初は監視から開始し、その後適用に切り替え
コントロール
許可
アプリケーションコレクション
手順1で作成したコレクションを選択
ユーザーコレクション
対象ユーザーを選択するか、「All Users」を使用
マシンコレクション
アプリケーションがデプロイされているマシンを選択
デプロイして検証する
まずポリシーを監視に設定し、ログで正しい昇格イベントに一致することを確認します。
検証後、ステータスを適用に切り替えます。
アプリケーションの更新またはインストールをトリガーし、ユーザー操作なしで正常に完了することを確認します。
Autodeskの場合は、影響を受けるエンドポイントでAutodesk Accessから更新をトリガーし、UACプロンプトやEPMによるブロックなしで更新が完了することを確認します。
重要: 「許可」コントロールを使う理由
自動インストーラーおよび更新プロセスは非対話型のため、許可コントロールが必要です。ヘルパー .exe が昇格を要求したとき、昇格は即座かつサイレントに許可される必要があります。
許可コントロールは、この特定のアプリケーションコレクションにだけ適用されます。マシン上の他の昇格要求は、引き続き既存の最小権限および特権昇格ポリシーで管理されます。
このポリシーでは正当な理由、承認、MFA コントロールを使用しないでください。 これらのコントロールはユーザーにプロンプトを表示し、応答を待ちます。自動インストーラーはこの対話を待たないため、ユーザーが後から応答してもタイムアウトして失敗します。プロセスは昇格が即座に付与されることを前提としています。
Autodeskの ProcessManager.exe はこの動作の典型例です。Autodesk Accessの更新中にプロンプトが表示されると、応答が得られる前に更新プロセスがタイムアウトします。上記の表に挙げた他のアプリケーションでも同様です。
許可
昇格がサイレントに付与され、インストールまたは更新が成功
正当な理由
ユーザーにプロンプト表示。自動プロセスがタイムアウトし、インストール失敗
承認
承認者へ要求送信。自動プロセスがタイムアウトし、インストール失敗
MFA
ユーザーにMFAプロンプト表示。自動プロセスがタイムアウトし、インストール失敗
セキュリティ上の考慮事項
ポリシーのスコープを狭く保つ: アプリケーションコレクションには特定のヘルパー
.exeのみを含め、アプリケーションのすべての実行ファイルやディレクトリ内のすべてのファイルを広く許可しないでください。フルパスを使う: ファイル名のみでの一致 (例:
ProcessManager.exe) は、フルパスでの一致よりも許容範囲が広くなります。ベンダーのインストールパスが予測可能で安定している場合は、フルパスを優先してください。マシンのターゲティング: アプリケーションがマシンの一部にだけデプロイされている場合は、マシンコレクションでポリシーをそのマシンに限定してください。アプリケーションが全社展開されていないのに、全フリートへ適用しないでください。
デプロイ前にヘルパー
.exeを確認する: ベンダーのツールは製品バージョンごとに変わります。コレクションを作成する前に、実際の更新時にProcess Monitorまたはタスクマネージャーで正しいプロセス名とパスを確認してください。
最終更新