2025年9月5日公開(Asia/Tokyo)
Windows 10/11とWindows Serverで、アプリのインストールや修復が予期せず止まり、UAC(User Account Control/管理者権限を確認する機能)のダイアログが標準ユーザーに出続ける不具合が起きています。これは2025年8月の月例更新に含まれたWindows Installerのセキュリティ強化が引き金で、MSIの修復や初回構成が管理者認証を必要とする挙動へ変わったことが原因です。本記事は、一般ユーザー・情シス・教育機関の管理者が今日から安全に運用を続けるための要点と対処を、一次情報に基づいて整理した前半編です。(後半編では企業向け詳細手順と検証ポイント、議論コーナーを用意します。) Microsoft Learn+1
- 概要と発生日時(何が起き、いつ始まったのか)
- 影響範囲(対象OS・ビルド・アプリの例)
- 症状と再現シナリオ(エラーコードを含む)
- 技術的な原因(CVE-2025-50173とWindows Installerの挙動変更)
- 公式の位置づけと現在の対応状況(Mitigated/恒久対応の予告)
- まずの回避策(一般ユーザー向け)
- 企業・教育機関の一次対応(方針のみ:詳細は後半へ)
- 対象ユーザー層(誰に関係があるのか)
- 他ユーザーの報告事例(コミュニティの声)
- リスク評価と編集部の見解
- すぐ使える確認コマンド
- 実践編:KIR(Known Issue Rollback)+GPOの導入フロー
- パイロット検証:環境差異を洗い出すチェックリスト
- ログの見方:どのイベントを追えばよいか
- ConfigMgr(Configuration Manager)環境の落とし穴と回避
- MSIパッケージ設計の見直し(広告ショートカット/per-user→per-machine)
- Autodesk・Officeの現場報告と実務ヒント
- よくある質問(FAQ)
- 参考情報:公式が明記した影響バージョンとビルド
- 現場で使えるコマンドと運用チップ
- 編集部の提言:短期・中期・長期の三段構え
- みんなで検証:コメント欄テンプレ(コピペOK)
- コミュニティの声(追加)
- さいごに(後半まとめ)
概要と発生日時(何が起き、いつ始まったのか)
2025年8月12日(日本時間)配信の累積更新(例:KB5063878)適用後、標準ユーザーでMSIの修復や初回構成が走ると、UACが予期せず表示され、キャンセルするとMSIが失敗する事象が広範囲で確認されました。Microsoftは2025年9月3日(太平洋時間)にリリースヘルスを更新し、「既知の問題(Mitigated)」として正式に認めています。 Microsoft Learn
影響範囲(対象OS・ビルド・アプリの例)
すべてのサポート中ブランチが影響対象になり得る点が最重要です。 代表的な更新/ビルドは次のとおりです。
- Windows 11 24H2:KB5063878(OS Build 26100.4946)
- Windows 11 22H2/23H2:KB5063875(OS Build 22621.5768/22631.5768)
- Windows 10 22H2:KB5063709(OS Build 19045.6216)
- Windows Server 2025/2022:同系の8月更新適用端末で同様の症状
アプリの例として、Autodesk AutoCAD系、Civil 3D、Inventor CAM、Microsoft Office Professional Plus 2010の初回起動や修復で顕在化しやすいと報告されています。 Microsoft Learn+1Microsoft サポートAutodesk Forums
症状と再現シナリオ(エラーコードを含む)
現象は「標準ユーザーで動くMSI修復・初回構成・Active Setup等が、管理者資格を要求するようになった」ことです。ユーザーがUACで「いいえ」を選ぶ、または資格情報を持たないと、MSIはエラーで停止します。Office Professional Plus 2010の構成時に標準ユーザーで実行すると「Error 1730(ユーザーに必要なアクセス権がない)」でブロックされる実例がMicrosoftから明示されています。 主なトリガーは次のとおりです。
- MSIの修復(Repair)や「広告(Advertised)」ショートカット経由の自己修復
- 初回起動時のper-user構成やActive Setup
- Configuration Manager(SCCM/ConfigMgr)経由の配布で発生するサイレント修復
- Autodesk系アプリの初回サインイン後起動
管理端末では、イベントログにMSI関連の失敗やUACの昇格要求が記録されます。 BleepingComputerMicrosoft Learn
技術的な原因(CVE-2025-50173とWindows Installerの挙動変更)
8月更新には、Windows Installerの認証を強化し、MSIの修復/関連操作では原則としてUACで管理者資格を確認する改善が入りました。これはローカル特権昇格脆弱性CVE-2025-50173(Windows Installerの弱い認証を突くEoP:Elevation of Privilege)に対処するためのものです。つまり「脆弱性を塞いだ結果、従来サイレントに通っていた一部の修復やper-user動作が“昇格要”と再分類され、標準ユーザー環境で広く詰まった」という構図です。 Microsoft LearnNVDTom's Hardware
公式の位置づけと現在の対応状況(Mitigated/恒久対応の予告)
Microsoftは当件を「Mitigated(緩和済み)」として掲示し、影響を受けた利用者向けに暫定策を提示しています。恒久対応として、IT管理者が“特定アプリのMSI修復をUAC無しで許可できる制御”を今後の更新で提供予定としています。 なお、脆弱性修正のロールバックは推奨されていません。 Microsoft LearnBleepingComputer
まずの回避策(一般ユーザー向け)
標準ユーザーでは、該当アプリを「管理者として実行(Run as administrator)」で起動するのが最も簡単な回避策です。 スタートメニューや検索結果でアプリ名を右クリックし、「管理者として実行」を選びます。管理者資格情報が必要になります。これが使えない場合は、管理者に依頼して次を試みます。
- 管理者アカウントで一度だけ初回構成や修復を完了させる
- 影響が確実な操作(大量配布の直後の初回起動など)を、業務時間外に計画的に実施する
- 一時的に対象アプリのインストール/修復を保留し、展開順序を見直す
※セキュリティ機能の無効化や更新の恒久停止は推奨されません。 Microsoft Learn
企業・教育機関の一次対応(方針のみ:詳細は後半へ)
情シス/教育機関では、Known Issue Rollback(KIR:既知の問題のロールバック)用の専用GPOをMicrosoftサポート(for Business)経由で受領し、段階的に適用する選択肢があります。KIRで挙動を緩和しつつ、対象アプリの修復フローやActive Setupを棚卸しし、昇格要件を満たすようシーケンスを再設計するのが中期策です。 後半では、KIR取得の流れ、パイロット展開、検証イベントID、ConfigMgrとの整合を具体化します。 BornCity
対象ユーザー層(誰に関係があるのか)
最も影響が大きいのは、標準ユーザー運用を徹底している企業・大学・PC教室などの共有端末環境です。 次いで、自宅PCでも子ども用アカウントや家族PCの標準ユーザーで影響が出ます。開発・設計部門でAutodesk製品を多用する組織、旧来のMSIスイート(例:Office Professional Plus 2010)を残している環境は該当リスクが高いと考えられます。 Microsoft LearnAutodesk Forums
他ユーザーの報告事例(コミュニティの声)
現場の声を抜粋します(意訳含む)。症状の実在性と再現性はコミュニティでも広く確認されています。
- Windows Forum利用者:「標準ユーザーの初回起動でUACが出て、拒否するとMSI Error 1730で失敗」(報告が多数)
- Autodeskフォーラム:「学生PCの最初の起動で謎のMSIが走り、UACで止まる。教育現場で一斉に詰まる」
- ニュース系技術メディア:「脆弱性対策が原因でUACが想定外に出る。Autodeskや旧Officeが影響例として挙げられる」
引用元:WindowsForum、Autodeskコミュニティ、Tom’s Hardware。 Windows Forum+1Autodesk ForumsTom's Hardware
リスク評価と編集部の見解
本件はセキュリティ強化の副作用であり、修復/構成フローの“境界条件”がより厳密になった結果です。セキュリティを弱めずに運用を継続する鍵は、(1)標準ユーザーに昇格が不要な導入・修復設計へ見直す、(2)KIRや将来提供予定の制御で“特定アプリのみ例外許可”を行う、の二段構えです。 組織では、該当アプリのMSI動作とActive Setupを棚卸し、初回起動のタイミング管理、事前昇格(管理者による一回実行)などの暫定策を並走させると良いでしょう。後半では、GPO/KIR適用の具体手順、PowerShellでのビルド確認、ConfigMgr配布の落とし穴、検証チェックリスト、そして読者の皆さまが議論・共有できるコメント欄を用意します。 Microsoft LearnBleepingComputer
すぐ使える確認コマンド
端末のビルドとKBを即時確認し、影響端末を洗い出しましょう。
- 端末ビルドの確認:winver を実行し、例えば Windows 11 24H2 なら「OS ビルド 26100.4946」を確認
- 適用KBの確認(PowerShell):wmic qfe | findstr 5063878(Windows 11 24H2)、findstr 5063709(Windows 10 22H2)
- 失敗MSIの直近ログ確認:Get-WinEvent -LogName Application | ? {$_.Message -like "*MsiInstaller*"} | select -First 50
(コードは一例。環境に合わせて管理者が実行してください)
実践編:KIR(Known Issue Rollback)+GPOの導入フロー
KIRは“セキュリティ修正の無効化”ではなく、既知の不具合を一時的に緩和する公式の仕組みで、Microsoftが案内する専用GPOを配布・適用して使います。 概要はMicrosoft公式のKIR解説と、今回のリリースヘルスの“Mitigated(緩和済み)”項目に明記されています。手順は次のとおり。 Microsoft Learn+2Microsoft Learn+2
(1) 影響OSとKBを特定します(例:Windows 11 24H2 KB5063878/OS Build 26100.4946、Windows 11 23H2/22H2 KB5063875/OS Build 22621.5768、Windows 10 22H2 KB5063709/OS Build 19045.6216)。
(2) Microsoft Support for businessに連絡し、当該事象向けKIR用GPOの提供を受けます(リリースヘルスに“Support for businessに連絡”と明記)。
(3) テスト用OUにリンクし、パイロット端末へ適用。gpupdate /force → 再起動。
(4) UACプロンプトの再現シナリオ(msiexec /fu、Active Setup、初回起動のper-user構成など)で事象が緩和されるか確認。
(5) 展開リング(IT部門→代表部門→全社)で段階的にOUリンクを拡大。
(6) 適用後は“他の回避策(セキュリティ関連の無効化)を避ける”という公式方針を遵守します。 Microsoft Learn+1
パイロット検証:環境差異を洗い出すチェックリスト
最初のパイロットで“OSビルド×アプリ種別×配布方法”の組み合わせを網羅することが成功の近道です。
- OSとKB:winver と wmic qfe | findstr 5063878/5063875/5063709
- 配布手段:ConfigMgr(マシン/ユーザーコンテキスト、インストール動作)、Intune、手動
- シナリオ:msiexec /fu {ProductCode}、Active Setup、初回起動構成、広告(Advertised)ショートカット起動
- UAC設定:セキュアデスクトップ(Secure Desktop)有効時の挙動も要確認
- 旧アプリ:Office Professional Plus 2010、Autodesk製品(AutoCAD/Civil 3D/Inventor CAM)の初回起動と修復挙動
- 成否基準:標準ユーザーでUACが出ずに完了するか、出た場合は業務継続に支障が出ない設計か(管理者ワンタイム実行での回避含む)
※ 公式の想定シナリオとエラー1730(標準ユーザーでのOffice 2010構成失敗)はリリースヘルスに例示があります。 Microsoft Learn+1
ログの見方:どのイベントを追えばよいか
“どこでUACが必要になったのか”を掴むには、MSIのイベントとアプリ側の自己修復トリガーの両方を追います。
- アプリケーションログ:Get-WinEvent -LogName Application | ? {$_.Message -like "*MsiInstaller*"} | select -First 50
- 典型的症状:標準ユーザー実行でのMSI修復が無UIで走り、UACを得られず失敗(Office 2010はError 1730で完全停止の例示あり)
- 検証ポイント:修復が“何により”起きたのか(Advertisedショートカット、Active Setup、per-user設定ファイルの欠落など)
- UAC関連:セキュアデスクトップ有効時の追加プロンプト発生有無
この“修復に昇格必須”という設計への変更は、CVE-2025-50173に対する認証強化が背景にあります。 Microsoft LearnNVD
ConfigMgr(Configuration Manager)環境の落とし穴と回避
“ユーザーごと構成(per-user)+広告構成に依存”する配布は、今回のUAC強化で詰まりやすく、システム(マシン)コンテキスト中心への見直しが有効です。 リリースヘルスは、ConfigMgrの“ユーザー固有の広告構成”がトリガーの一例と明記しています。対策の例:
- 配布のインストール動作を“デバイス(システム)コンテキスト”で統一
- 初回起動が必要なアプリは“管理者アカウントでのワンタイム初期化”を実行計画に組み込む
- 修復や自己修復(Self-Repair)を誘発するトリガーを削減(後述のショートカット設計)
- “ユーザーコンテキストでの修復前提”の既存パッケージは、例外扱いとしてKIR適用範囲に入れて運用を安定化
- 展開リングとバックアウト(OUリンク解除)を即実施できるChange設計にする
これらは“セキュリティを弱めずに業務を継続”するための運用上の工夫です。 Microsoft Learn
MSIパッケージ設計の見直し(広告ショートカット/per-user→per-machine)
広告ショートカットの自己修復依存を断ち、可能な限りper-machineで完結させる設計が、今回のUAC強化以降の“定石”です。
- 広告(Advertised)ショートカット無効化:DISABLEADVTSHORTCUTS=1 を用いるとインストールオンデマンド型の広告ショートカットを通常ショートカットに置換できます。
- インストール対象の見直し:ALLUSERS=1(per-machine)や、デュアルパッケージでは ALLUSERS=2 と MSIINSTALLPERUSER の組み合わせで意図するコンテキストを明示。
- 既存ベンダーMSI:Transform(MST)でのプロパティ上書き検討。
- 注意点:アプリ仕様によってはper-userにしか対応しない場合があります。検証のうえ採否を判断してください。
プロパティ仕様はMicrosoftのMSIドキュメントに整理されています。 Microsoft Learn+2Microsoft Learn+2
Autodesk・Officeの現場報告と実務ヒント
教育機関やラボPCでは、Autodesk製品の初回起動後に“標準ユーザーでの謎のMSI実行→UACで停止”が多く報告されています。 Autodeskフォーラムでも、2025年8月のWindows 11更新(KB5063878/OS Build 26100.4946)以降の影響が共有されています。旧Office(Professional Plus 2010)は公式が“標準ユーザー構成でError 1730”の例を挙げています。実務ヒント:初回だけ管理者で構成を済ませる、広告ショートカットを避ける、Active SetupでのMSI呼び出しを抑制する、などの組合せが有効です。 Autodesk ForumsMicrosoft Learn
よくある質問(FAQ)
“更新をアンインストールして元に戻す”のは原則非推奨で、KIRや将来の恒久対応を待つのが筋です。
Q1. 更新ロールバックはだめですか?
A. リリースヘルスは“セキュリティ関連機能の無効化など他の回避策は避ける”と注意喚起しています。KIR適用や“管理者として実行”などの正攻法を選びましょう。 Microsoft Learn
Q2. いつ恒久対応されますか?
A. “特定アプリのMSI修復をUACなしで許可できる制御”を今後の更新で提供予定と明記されています(期日は未提示)。 Microsoft Learn+1
Q3. 学内PCで学生に管理者権限がないと詰みませんか?
A. “管理者ワンタイム初期化”の運用や、KIRの限定適用で授業開始前に初回構成を済ませる設計が現実解です。教育現場では同様の報告が複数上がっています。 Windows LatestAutodesk Forums
参考情報:公式が明記した影響バージョンとビルド
以下はいずれも“Mitigated(緩和済み)”の既知の問題として掲載され、KIR適用の案内が記載されています。
- Windows 11 24H2:KB5063878/OS Build 26100.4946
- Windows 11 23H2/22H2:KB5063875/OS Build 22621.5768
- Windows 10 22H2:KB5063709/OS Build 19045.6216
- Windows Server 2025/2022:同趣旨の記載あり(Server 2025のリリースヘルス参照)
いずれも“標準ユーザーでMSI修復関連操作がUAC要求され、Office 2010はError 1730の例示、Autodeskが影響例”と明記されています。 Microsoft Learn+3Microsoft Learn+3Microsoft Learn+3
現場で使えるコマンドと運用チップ
“影響端末の迅速な棚卸しと、ポリシー適用の確実化”がポイントです。
- KB確認(例):wmic qfe | findstr 5063878(Win11 24H2)、findstr 5063875(Win11 22H2/23H2)、findstr 5063709(Win10 22H2)
- GPO適用確認:gpresult /r /scope computer(適用ポリシーの一覧を確認)、rsop.msc
- MSI修復の発火確認:Get-WinEvent -LogName Application | ? {$_.Message -like "*MsiInstaller*"} | select -First 50
- 配布の原則:できるだけ“デバイス(システム)コンテキスト”で、初回だけ管理者が実行、広告ショートカット禁止(DISABLEADVTSHORTCUTS=1)。 Microsoft Learn
編集部の提言:短期・中期・長期の三段構え
短期はKIR+運用回避、中期はパッケージ設計の刷新、長期は“アプリ別のMSI修復許可”が届く前提での標準化です。
- 短期:KIRを必要範囲に限定適用、管理者ワンタイム初期化、授業や業務の開始前に初回構成を済ませる運用整理
- 中期:MSIの広告ショートカット禁止、per-machine化、Active SetupでのMSI呼びを避ける再設計
- 長期:Microsoftが予告する“特定アプリの修復をUACなしで許可”制御の到来を見越し、対象アプリのホワイトリスト設計と監査ログの標準化を準備する
“ロールバックしないこと”が大原則です。将来の恒久対応に備え、今からアプリ一覧と修復トリガーの可視化を進めておきましょう。 Microsoft Learn
みんなで検証:コメント欄テンプレ(コピペOK)
読者どうしで情報を持ち寄ると、再現条件の特定と安全な回避策の共有が速くなります。 以下をコピペしてご利用ください。
- 端末台数/用途(例:大学PC教室 60台)
- OSバージョン/ビルド(例:Windows 11 24H2 26100.4946)
- 適用KB(例:KB5063878)
- UAC設定(セキュアデスクトップの有無)
- 配布手段(ConfigMgr/Intune/手動)
- アプリ名とバージョン(例:AutoCAD 2024、Office 2010)
- 事象の発生手順(例:初回起動→サインイン→UAC→拒否→Error 1730)
- 取った対処(例:管理者で一度起動、KIR適用、広告ショートカット禁止)
- ログ抜粋(MsiInstallerのイベント、タイムスタンプ)
コミュニティの声(追加)
“KIRで緩和できた” “学内PCでError 1730が連鎖”など、現場の声が集まっています。 技術ニュースやフォーラム、Redditでも、Autodeskや旧Officeでの影響、KIRの有効性が言及されています。参考:BleepingComputer、WindowsLatest、Autodeskフォーラム、Redditのスレッド。 BleepingComputerWindows LatestAutodesk ForumsReddit
さいごに(後半まとめ)
今回の要諦は“セキュリティ強化が正である”ことを前提に、既存の“修復に頼る設計”を運用+設計で乗り越えることです。 公式は“Support for businessに連絡してKIR用GPOを使う”“他の回避策を避ける”“将来は特定アプリの修復をUACなしで許可する制御を提供予定”と明示しました。組織は、KIRによる緩和と並行してMSI設計を是正し、広告ショートカットやper-user依存を減らしていくことが、中長期の安定運用につながります。 Microsoft Learn+2Microsoft Learn+2
