連載
» 2018年03月27日 05時00分 公開

その知識、ホントに正しい? Windowsにまつわる都市伝説(106):Windows 10のユーザーアカウント制御(UAC)無効化でUWPアプリが使えなくなる理由は、セキュリティではなかった? (1/2)

今回のネタは、Windows 10のバージョン1703およびバージョン1709で確認された挙動から筆者が導き出した1つの推論です。これが正しいのなら、Windows 10の新バージョンにおける段階的な改善といえるでしょう。もしかしたら、単に筆者の勘違いで、Windows 10の不具合(バグ)なのかもしれません。筆者としては、バグではなく、改善であると信じています。

[山市良,テクニカルライター]
「Windowsにまつわる都市伝説」のインデックス

Windows 10バージョン1709、ビルトインAdministratorでもEdgeやUWPアプリが……

 2018年2月、あるユーザーフォーラムに投稿された、以前のバージョンとは異なるWindows 10 バージョン1709(Fall Creators Update)の挙動に関する1つの報告に目が行きました。それは、ビルドインAdministratorを有効にすると、他に設定を変えなくても、「Microsoft Edge」やUniversal Windows Platform(UWP)アプリが起動できるというものでした。

 UWPアプリは、ストアアプリ、モダンアプリとも呼ばれ、古くはメトロアプリと呼ばれたこともあります。Windows 10のMicrosoft Edge、プリインストールされているメールやカレンダーアプリなどがUWPアプリです。「電卓」は、Windows 8.1以前はデスクトップ(Win32)アプリでしたが、Windows 10からUWPアプリになりました。

 ご存じのように、Windows Vista以降、ビルトインAdministratorアカウントは既定で「無効化」されています。通常、セキュリティ上の理由から、有効化すべきではありません。

 それは置いておいて、管理者ユーザー(ローカルAdministratorsグループのメンバー)でUWPアプリを利用するには「ユーザーアカウント制御(User Account Control:UAC)」が有効になっている必要があるというのは、UACを無効化したことがある人、無効化している人はよく知っているでしょう。逆に言えば、“UACを無効化すると、UWPアプリが利用できなくなる”ということです。そして、ビルトインAdministratorでは、アカウントの無効化だけでなく、UACも既定で無効になっています。

 Windows 10 バージョン1703(Creators Update)とWindows 10 バージョン1709で実際に試してみました。ビルトインのAdministratorを有効化してからサインインし、UAC設定は既定のまま、Microsoft Edgeや電卓(Calc)を起動してみます。Windows 10 バージョン1703では期待通りにUWPアプリを起動できませんが、バージョン1709では問題なく起動します(画面1)。

画面1 画面1 ビルドインAdministratorを有効化してサインインし、Microsoft Edgeや電卓(Calc)を起動したところ。UAC設定は既定のまま。左がWindows 10 バージョン1703、右がバージョン1709

変化の兆しはWindows 10バージョン1703からだった

 UACとUWPアプリの関係の変化は、Windows 10 バージョン1703とバージョン1709の間が初めてではなく、実はWindows 10 バージョン1607(Anniversary Update)とバージョン1703でもありました。それは、「UACを無効化」したときの挙動の違いです。

 なお、ここでの「UACの無効化」とは、コントロールパネルの「ユーザーアカウント制御設定の変更」のスライダーによる調整ではなく、「ローカルセキュリティポリシー(Secpol.msc)」「ローカルコンピューターポリシー(Gpedit.msc)」、またはグループポリシーで、以下のポリシーを無効にして、システム全体でUACを完全に無効化することを指します。あるいは、同等のレジストリ設定(EnableLUAが0)を行うことです。

  • セキュリティの設定\ローカルポリシー\セキュリティ オプション\ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する

 Windows 10 バージョン1607までは、システム全体でUACを無効化すると、全ての管理者ユーザー(ビルトインAdministratorではないものを含む、Administratorsグループのメンバー)でUWPアプリを起動できなくなります。これがWindows 10 バージョン1703では、システム全体でUACを無効化しても、管理者ユーザーは引き続きMicrosoft EdgeやUWPアプリを起動して、使用することができるようになったのです(画面2)。この挙動の変更に関する公式のアナウンスが見つからないため、仕様変更なのか、バグなのかは判断できませんが、後述する理由から、おそらく仕様変更と筆者は考えています。

画面2 画面2 システム全体でUACを無効化し、管理者ユーザーでログオンしたときの挙動の違い。左がWindows 10 バージョン1607、右がバージョン1703

 システム全体でUACを無効化した場合は、有効化したビルトインAdministratorでログオンしたとしても同様の挙動になります。システム全体でUACを無効にしていない場合、Windows 10 バージョン1703のビルトインAdministratorは、Microsoft EdgeやUWPアプリを起動できません(前出の画面1の左)。起動できるようにするには以下のポリシーを有効にして、ビルトインAdministratorでUACを有効にするのが通常の方法です。

  • セキュリティの設定\ローカルポリシー\セキュリティ オプション\ユーザー アカウント制御: ビルトイン Administrator のための管理者承認モード

 この変化を経て、Windows 10 バージョン1709では、システム全体でUACを無効化していない場合でも、ビルトインAdministratorはMicrosoft EdgeやUWPアプリを起動し、使用できるようになりました。この挙動の変更に関する公式のアナウンスが見つからないため、仕様変更なのか、バグなのかは判断できません。

 Active Directoryドメインでは、クライアントにドメインのAdministratorアカウントでログオンして管理作業を行うことがあるでしょう。本来、ドメインのAdministratorアカウントは管理作業に使用すべきではありませんが、テストや評価環境ではよくあることです。

 ドメインのAdministratorアカウントでログオンすると、ローカルのビルトインAdministratorアカウントと同様、これまではMicrosoft Edgeやその他のUWPアプリを起動できないという制約がありました。

 Windows 10 バージョン1709からは追加のポリシーを設定しなくても、Microsoft Edgeやその他のUWPアプリを起動できるようになりました。電卓でちょっと計算したいときに、UWPアプリ版電卓を使えるのです。たかが電卓のためだけに、ポリシー設定を変更するのは面倒でした。それが不要になるのですから、ちょっとした改善といえるでしょう(画面3)。

画面3 画面3 ドメインのAdministratorでクライアントにログオンし、「電卓」を起動したところ。左がWindows 10 バージョン1607(バージョン1703以前の全て)、右がWindows 10 バージョン1709
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。