Windows 10のユーザーアカウント制御（UAC）無効化でUWPアプリが使えなくなる理由は、セキュリティではなかった？：その知識、ホントに正しい？ Windowsにまつわる都市伝説（106）（1/2 ページ）

Windows 10バージョン1709、ビルトインAdministratorでもEdgeやUWPアプリが……

　2018年2月、あるユーザーフォーラムに投稿された、以前のバージョンとは異なるWindows 10 バージョン1709（Fall Creators Update）の挙動に関する1つの報告に目が行きました。それは、ビルドインAdministratorを有効にすると、他に設定を変えなくても、「Microsoft Edge」やUniversal Windows Platform（UWP）アプリが起動できるというものでした。

　UWPアプリは、ストアアプリ、モダンアプリとも呼ばれ、古くはメトロアプリと呼ばれたこともあります。Windows 10のMicrosoft Edge、プリインストールされているメールやカレンダーアプリなどがUWPアプリです。「電卓」は、Windows 8.1以前はデスクトップ（Win32）アプリでしたが、Windows 10からUWPアプリになりました。

　ご存じのように、Windows Vista以降、ビルトインAdministratorアカウントは既定で「無効化」されています。通常、セキュリティ上の理由から、有効化すべきではありません。

　それは置いておいて、管理者ユーザー（ローカルAdministratorsグループのメンバー）でUWPアプリを利用するには「ユーザーアカウント制御（User Account Control：UAC）」が有効になっている必要があるというのは、UACを無効化したことがある人、無効化している人はよく知っているでしょう。逆に言えば、“UACを無効化すると、UWPアプリが利用できなくなる”ということです。そして、ビルトインAdministratorでは、アカウントの無効化だけでなく、UACも既定で無効になっています。

　Windows 10 バージョン1703（Creators Update）とWindows 10 バージョン1709で実際に試してみました。ビルトインのAdministratorを有効化してからサインインし、UAC設定は既定のまま、Microsoft Edgeや電卓（Calc）を起動してみます。Windows 10 バージョン1703では期待通りにUWPアプリを起動できませんが、バージョン1709では問題なく起動します（画面1）。

画面1　ビルドインAdministratorを有効化してサインインし、Microsoft Edgeや電卓（Calc）を起動したところ。UAC設定は既定のまま。左がWindows 10 バージョン1703、右がバージョン1709

変化の兆しはWindows 10バージョン1703からだった

　UACとUWPアプリの関係の変化は、Windows 10 バージョン1703とバージョン1709の間が初めてではなく、実はWindows 10 バージョン1607（Anniversary Update）とバージョン1703でもありました。それは、「UACを無効化」したときの挙動の違いです。

　なお、ここでの「UACの無効化」とは、コントロールパネルの「ユーザーアカウント制御設定の変更」のスライダーによる調整ではなく、「ローカルセキュリティポリシー（Secpol.msc）」「ローカルコンピューターポリシー（Gpedit.msc）」、またはグループポリシーで、以下のポリシーを無効にして、システム全体でUACを完全に無効化することを指します。あるいは、同等のレジストリ設定（EnableLUAが0）を行うことです。

　Windows 10 バージョン1607までは、システム全体でUACを無効化すると、全ての管理者ユーザー（ビルトインAdministratorではないものを含む、Administratorsグループのメンバー）でUWPアプリを起動できなくなります。これがWindows 10 バージョン1703では、システム全体でUACを無効化しても、管理者ユーザーは引き続きMicrosoft EdgeやUWPアプリを起動して、使用することができるようになったのです（画面2）。この挙動の変更に関する公式のアナウンスが見つからないため、仕様変更なのか、バグなのかは判断できませんが、後述する理由から、おそらく仕様変更と筆者は考えています。

画面2　システム全体でUACを無効化し、管理者ユーザーでログオンしたときの挙動の違い。左がWindows 10 バージョン1607、右がバージョン1703

　システム全体でUACを無効化した場合は、有効化したビルトインAdministratorでログオンしたとしても同様の挙動になります。システム全体でUACを無効にしていない場合、Windows 10 バージョン1703のビルトインAdministratorは、Microsoft EdgeやUWPアプリを起動できません（前出の画面1の左）。起動できるようにするには以下のポリシーを有効にして、ビルトインAdministratorでUACを有効にするのが通常の方法です。

　この変化を経て、Windows 10 バージョン1709では、システム全体でUACを無効化していない場合でも、ビルトインAdministratorはMicrosoft EdgeやUWPアプリを起動し、使用できるようになりました。この挙動の変更に関する公式のアナウンスが見つからないため、仕様変更なのか、バグなのかは判断できません。

　Active Directoryドメインでは、クライアントにドメインのAdministratorアカウントでログオンして管理作業を行うことがあるでしょう。本来、ドメインのAdministratorアカウントは管理作業に使用すべきではありませんが、テストや評価環境ではよくあることです。

　ドメインのAdministratorアカウントでログオンすると、ローカルのビルトインAdministratorアカウントと同様、これまではMicrosoft Edgeやその他のUWPアプリを起動できないという制約がありました。

　Windows 10 バージョン1709からは追加のポリシーを設定しなくても、Microsoft Edgeやその他のUWPアプリを起動できるようになりました。電卓でちょっと計算したいときに、UWPアプリ版電卓を使えるのです。たかが電卓のためだけに、ポリシー設定を変更するのは面倒でした。それが不要になるのですから、ちょっとした改善といえるでしょう（画面3）。

画面3　ドメインのAdministratorでクライアントにログオンし、「電卓」を起動したところ。左がWindows 10 バージョン1607（バージョン1703以前の全て）、右がWindows 10 バージョン1709