about_Execution_Policies
簡単な説明
PowerShell 実行ポリシーについて説明し、それらを管理する方法について説明します。
長い説明
PowerShell の実行ポリシーは、PowerShell が構成ファイルを読み込み、スクリプトを実行する条件を制御する安全機能です。 この機能は、悪意のあるスクリプトの実行を防止します。
ローカル コンピューター Windows、ローカル コンピューター、現在のユーザー、または特定のセッションの実行ポリシーを設定できます。 グループ ポリシー設定を使用して、コンピューターとユーザーの実行ポリシーを設定することもできます。
ローカル コンピューターと現在のユーザーの実行ポリシーは、レジストリに格納されます。 PowerShell プロファイルで実行ポリシーを設定する必要はない。 特定のセッションの実行ポリシーはメモリにのみ格納され、セッションが終了すると失われます。
実行ポリシーは、ユーザーの操作を制限するセキュリティ システムではない。 たとえば、ユーザーは、スクリプトを実行できないときにコマンド ラインにスクリプトの内容を入力することで、ポリシーを簡単にバイパスできます。 代わりに、実行ポリシーを使用すると、ユーザーは基本的なルールを設定し、意図せずに違反するのを防ぐのに役立ちます。
PowerShell 実行ポリシー
PowerShell 実行ポリシーは次のとおりです。
Allsigned
- スクリプトを実行できます。
- ローカル コンピューター上に記述するスクリプトを含め、すべてのスクリプトと構成ファイルが信頼された発行元によって署名されている必要があります。
- 信頼済みまたは信頼されていないとしてまだ分類していない発行元からスクリプトを実行する前に、プロンプトが表示されます。
- 署名されているが悪意のあるスクリプトを実行するリスク。
Bypass
- 何もブロックされず、警告やプロンプトは表示されません。
- この実行ポリシーは、PowerShell スクリプトを大規模なアプリケーションに組み込む構成、または PowerShell が独自のセキュリティ モデルを持つプログラムの基盤である構成用に設計されています。
Default
- 既定の実行ポリシーを設定します。
- Restricted クライアントWindows。
- リモート サーバー用の remoteSigned Windowsします。
RemoteSigned
- サーバー コンピューターの既定Windowsポリシー。
- スクリプトを実行できます。
- 電子メールやインスタント メッセージング プログラムを含むインターネットからダウンロードされるスクリプトと構成ファイルに対して、信頼できる発行元からのデジタル署名が必要です。
- ローカル コンピューター上に記述され、インターネットからダウンロードされていないスクリプトにデジタル署名は必要ない。
- コマンドレットを使用して、スクリプトがブロック解除されている場合は、インターネットからダウンロードされ、署名されていないスクリプトを実行
Unblock-Fileします。 - インターネット以外のソースから署名されていないスクリプトを実行し、悪意のある可能性のある署名済みスクリプトを実行するリスク。
Restricted
- クライアント コンピューターの既定Windowsポリシー。
- 個々のコマンドを許可しますが、スクリプトは許可できません。
- 書式設定ファイルと構成ファイル ()、モジュール スクリプト ファイル ()、PowerShell プロファイル (
.ps1xml``.psm1) など、すべてのスクリプト ファイルの実行を防止します.ps1。
Undefined
- 現在のスコープに実行ポリシーが設定されているはありません。
- すべてのスコープの実行ポリシー Undefined****Restricted が の場合、有効な実行ポリシーは Windows クライアントに対して、RemoteSigned は Windows Server です。
Unrestricted
- 署名されていないスクリプトを実行できます。 悪意のあるスクリプトを実行するリスクがあります。
- ローカル イントラネット ゾーンからではないスクリプトと構成ファイルを実行する前に、ユーザーに警告します。
注意
汎用名前付け規則 (UNC) パスとインターネット パスを区別しないシステムでは、UNC パスによって識別されるスクリプトを RemoteSigned 実行ポリシーで実行できない場合があります。
実行ポリシーのスコープ
特定のスコープでのみ有効な実行ポリシーを設定できます。
の有効な値は Scope、MachinePolicy**、UserPolicy**、Process**、CurrentUser**、LocalMachine です。 LocalMachine は 、実行ポリシーを設定する際の既定値です。
値 Scope は優先順位で一覧表示されます。 優先順位が高いポリシーは、より制限の厳しいポリシーが低い優先順位で設定されている場合でも、現在のセッションで有効です。
詳細については、「 Set-ExecutionPolicy」を参照してください。
MachinePolicy
コンピューターのすべてのユーザーグループ ポリシーを指定して設定します。
UserPolicy
コンピューターの現在グループ ポリシーのユーザーに対して、既定の値によって設定されます。
Process
スコープ Process は、現在の PowerShell セッションにのみ影響します。 実行ポリシーは、レジストリではなく環境変数 $env:PSExecutionPolicyPreferenceに保存されます。 PowerShell セッションが閉じていると、変数と値が削除されます。
CurrentUser
実行ポリシーは、現在のユーザーのみに影響します。 これは、レジストリ サブ キー HKEY_CURRENT_USER 格納されます。
LocalMachine
実行ポリシーは、現在のコンピューター上のすべてのユーザーに影響します。 これは、レジストリ サブ キー HKEY_LOCAL_MACHINE 格納されます。
PowerShell を使用した実行ポリシーの管理
現在の PowerShell セッションの有効な実行ポリシーを取得するには、 コマンドレットを使用 Get-ExecutionPolicy します。
次のコマンドは、有効な実行ポリシーを取得します。
Get-ExecutionPolicy
現在のセッションに影響を与えるすべての実行ポリシーを取得し、優先順位で表示するには:
Get-ExecutionPolicy -List
結果は次のサンプル出力のようになります。
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser RemoteSigned
LocalMachine AllSigned
この場合、現在のユーザーの実行ポリシーがローカル コンピューターの実行ポリシー セットよりも優先されるので、有効な実行ポリシーは RemoteSigned です。
特定のスコープの実行ポリシー セットを取得するには、 の パラメーターを Scope 使用します Get-ExecutionPolicy。
たとえば、次のコマンドは CurrentUser スコープの実行 ポリシーを取得 します。
Get-ExecutionPolicy -Scope CurrentUser
実行ポリシーを変更する
お使いのコンピューターで PowerShell 実行ポリシーを変更Windowsコマンドレットを使用Set-ExecutionPolicyします。 変更はすぐに有効になります。 PowerShell を再起動する必要はない。
スコープ LocalMachine または CurrentUser の実行ポリシーを設定した場合、変更はレジストリに保存され、再度変更するまで有効なままです。
スコープの実行ポリシーを設定した Process 場合、レジストリに保存されません。 実行ポリシーは、現在のプロセスと子プロセスが閉じるまで保持されます。
注意
Windows Vista 以降のバージョンの Windows で、ローカル コンピューターの実行ポリシーを変更するコマンドを実行するには、LocalMachine スコープで[管理者として実行] オプションを使用して PowerShell を 起動 します。
実行ポリシーを変更するには:
Set-ExecutionPolicy -ExecutionPolicy <PolicyName>
次に例を示します。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
特定のスコープで実行ポリシーを設定するには:
Set-ExecutionPolicy -ExecutionPolicy <PolicyName> -Scope <scope>
次に例を示します。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
実行ポリシーを変更するコマンドは成功できますが、有効な実行ポリシーは変更されません。
たとえば、ローカル コンピューターの実行ポリシーを設定するコマンドは成功できますが、現在のユーザーの実行ポリシーによってオーバーライドできます。
実行ポリシーを削除する
特定のスコープの実行ポリシーを削除するには、実行ポリシーを に設定します Undefined。
たとえば、ローカル コンピューターのすべてのユーザーの実行ポリシーを削除するには、次のコマンドを実行します。
Set-ExecutionPolicy -ExecutionPolicy Undefined -Scope LocalMachine
の実行ポリシーを削除するには Scope:
Set-ExecutionPolicy -ExecutionPolicy Undefined -Scope CurrentUser
どのスコープでも実行ポリシーが設定 Restricted されている場合、有効な実行ポリシーは です。これは、クライアントの既定Windowsです。
1 つのセッションに別のポリシーを設定する
の ExecutionPolicy パラメーターを使用 して powershell.exe 、新しい PowerShell セッションの実行ポリシーを設定できます。 ポリシーは、現在のセッションと子セッションにのみ影響します。
新しいセッションの実行ポリシーを設定するには、PowerShell cmd.exe などのコマンド ラインで PowerShell を起動し、 の ExecutionPolicy パラメーターを使用して実行ポリシーを設定 powershell.exe します。
次に例を示します。
powershell.exe -ExecutionPolicy AllSigned
設定した実行ポリシーはレジストリに格納されません。 代わりに、環境変数に格納 $env:PSExecutionPolicyPreference されます。 この変数は、ポリシーが設定されているセッションを閉じると削除されます。 変数値を編集してポリシーを変更することはできません。
セッション中、セッションに設定された実行ポリシーは、ローカル コンピューターまたは現在のユーザーのレジストリに設定されている実行ポリシーよりも優先されます。 ただし、グループポリシーを使用して設定された実行ポリシーより優先されることはありません。
グループポリシーを使用して実行ポリシーを管理する
[スクリプトのグループポリシー実行を有効 にする] 設定を使用すると、企業内のコンピューターの実行ポリシーを管理できます。 グループポリシー設定は、すべてのスコープの PowerShell で設定されている実行ポリシーよりも優先されます。
[スクリプト実行の有効化] ポリシー設定は次のとおりです。
[スクリプトの実行を有効 にする] を無効にした場合、スクリプトは実行されません。 これは、 Restricted 実行ポリシーと同じです。
[スクリプトの実行 を有効にする] を有効にした場合は、実行ポリシーを選択できます。 グループポリシー設定は、次の実行ポリシー設定と同じです。
グループ ポリシー 実行ポリシー すべてのスクリプトを許可する Unrestricted ローカル スクリプトおよびリモートの署名済みスクリプトを許可する RemoteSigned 署名済みスクリプトのみ許可する AllSigned [スクリプトの実行を有効にする] が構成されていない場合、効果はありません。 PowerShell で設定された実行ポリシーが有効になります。
PowerShellExecutionPolicy ファイルと PowerShellExecutionPolicy ファイルは、次のパスのグループポリシーエディターの [コンピューターの構成] ノードと [ユーザーの構成] ノードに [スクリプト実行を有効に する] ポリシーを追加します。
Windows XP および Windows Server 2003 の場合:
Administrative Templates\Windows Components\Windows PowerShell
Windows Vista 以降のバージョンの Windows:
Administrative Templates\Classic Administrative Templates\Windows Components\Windows PowerShell
[コンピュータの構成」ノードで設定されたポリシーは、[ユーザーの構成」ノードで設定されたポリシーよりも優先されます。
詳細については、「about_Group_Policy_Settings」を参照してください。
実行ポリシーの優先順位
PowerShell は、セッションの有効な実行ポリシーを決定するときに、次の優先順位で実行ポリシーを評価します。
Group Policy: MachinePolicy
Group Policy: UserPolicy
Execution Policy: Process (or pwsh.exe -ExecutionPolicy)
Execution Policy: CurrentUser
Execution Policy: LocalMachine
署名されたスクリプトと署名されていないスクリプトの管理
Windows では、Internet Explorer や Microsoft Edge などのプログラムは、ダウンロードされたファイルに代替データストリームを追加します。 これにより、ファイルが "インターネットからの受信" としてマークされます。 PowerShell の実行ポリシーが RemoteSigned の場合、powershell では、電子メールやインスタントメッセージングプログラムを含む、インターネットからダウンロードされた未署名のスクリプトは実行されません。
スクリプトに署名するか、実行ポリシーを変更せずに、署名されていないスクリプトを実行することができます。
PowerShell 3.0 以降では、コマンドレットの Get-Item Stream パラメーターを使用して、インターネットからダウンロードされたためにブロックされているファイルを検出することができます。 Unblock-Fileコマンドレットを使用してスクリプトのブロックを解除し、PowerShell で実行できるようにします。
詳細については、「 about_Signing、 取得項目、および ブロック解除-ファイル」を参照してください。
注意
他の方法でファイルをダウンロードすると、ファイルはインターネットゾーンからのものとしてマークされない場合があります。 次に例をいくつか示します。
curl.exeInvoke-RestMethodInvoke-WebRequest
Windows server Core および windows Nano server での実行ポリシー
特定の条件下で Windows server Core または Windows Nano Server で PowerShell 5.1 を実行すると、実行ポリシーが次のエラーで失敗することがあります。
AuthorizationManager check failed.
At line:1 char:1
+ C:\scriptpath\scriptname.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : SecurityError: (:) [], PSSecurityException
+ FullyQualifiedErrorId : UnauthorizedAccess
PowerShell では、Windows デスクトップシェル ( explorer.exe ) の api を使用して、スクリプトファイルのゾーンを検証します。 Windows シェルは Windows Server Core および Windows Nano server では使用できません。
また、Windows Desktop シェルが使用できないか応答していない場合は、どの Windows システムでもこのエラーが発生する可能性があります。 たとえば、サインオン中に、PowerShell ログオンスクリプトの実行が開始され、Windows デスクトップの準備が整うと失敗します。
バイパス または AllSigned の実行ポリシーを使用しても、問題を回避するゾーンチェックは必要ありません。
関連項目
フィードバック
フィードバックの送信と表示