安全性と安定性の維持に最適な「Windows 10 Sモード」とは?:企業ユーザーに贈るWindows 10への乗り換え案内(53)
「Windows 10 Sモード」は、個人、企業、教育機関のPC向けに用意されたWindows 10のロックダウンモードです。検証されたハードウェア上で、最新のWindows 10と検証されたアプリだけを実行できる環境は、セキュリティと安定性を重視したい個人や組織にとって検討すべき選択肢です。
「Sモード」は別エディションではなく、全エディションで利用可能
「Windows 10 Sモード」の前身は、Windows 10 バージョン1703ベースで開発された新しいエディション「Windows 10 S」です。Windows 10 Sは、Microsoft Storeから入手したアプリのみを実行できる“ロックダウンされたWindows 10”の新しいエディションとして登場し、バージョン1709まではHome/Pro/Enterpriseなどとは別のエディション(SKU)として提供されました。
SエディションはWindows 10 バージョン1803で廃止され、以後、エディションに関係なく利用可能なモード(OEMベンダーによって有効化されるモード)、「Sモード(S mode)」に変更されました。一般的には、「Windows 10 Home in S mode」または「Windows 10 Pro in S mode」がプリインストールされたPCとして販売されますが、企業向けの「Windows 10 Enterprise in S mode」、教育機関向けの「Windows 10 Pro Education in S mode」と「Windows 10 Education in S mode」も存在します。
企業の場合は、通常のWindows 10 Enterpriseを導入する場合と同じ方法で、Windows 10 Enterprise in S modeを導入できます。その方法の一つは、Windows 10 Pro in S modeがプリインストールされたPCを、ボリュームライセンス契約でWindows 10 Enterpriseにアップグレードすることです(実際に確認したわけではありませんが、アップグレード後もSモードは維持されるようです)。また、プリインストールPC購入時に、OEMベンダーにWindows 10 Enterprise in S modeのプリインストールを依頼することもできます。
Sモードの特徴――Microsoft Storeから入手したアプリのみを実行可能
Windows 10 Sモードの特徴は、前述したように「Microsoft Storeから入手したアプリのみを実行できる」ことです(画面1)。Microsoft Store以外から入手したバイナリを実行しようとしてもブロックされます(画面2)。このブロックの制御には、Windows 10のセキュリティ機能「Windows Defenderアプリケーション制御(WDAC)」と共通の技術が利用されています。
Sモードの特徴――Windowsに組み込まれたアプリやツールは実行可能(一部制限あり)
Windows 10 Sモードを、ARM向けWindows OSである「Windows RT」(Windows RT 8/8.1で開発終了、製品サポートは2023年1月まで)のように、ユニバーサルWindowsプラットフォーム(UWP)アプリのみを実行でき、Win32アプリ(.exe)は実行できないと誤解している人がいるかもしれません。
しかし、それは全くの誤りです。また、Sモードでは「ブラウザは『Microsoft Edge』しか利用できない」と誤解している人もいるようです。Sモードは動作モードであり、Windows 10のバイナリは、対応するエディションのバイナリと共通です。そして、一部を除き、Windowsに組み込まれたアプリやツールは、通常版と同じように実行できます。
例えば、「Internet Explorer 11(iexplore.exe)」や「ペイント(mspaint.exe)」、コントロールパネルのアプレット、Microsoft管理コンソール(MMC)の利用が制限されることはありません(画面3)。
「一部を除き」と断ったのは、Windows 10に含まれるツールやコマンドの中には、Sモードでは実行がブロックされるものがあるからです(画面4)。
以下に示すシェル、スクリプトエンジン、システム設定ツールは、Sモードではブロックされます(この他にも開発関連ツールのブロックの定義が含まれますが、標準ではWindowsにバイナリが存在しませんし、Microsoft Storeから入手できない限り追加することもできません)。
cmd.exe、powershell.exe、powershell_ise.exe、cscript.exe、wscript.exe、reg.exe、regedit.exe、regedt32.exe、regini.exe、wmic.exe、wbemtest.exe、mshta.exe、wsl.exe、bash.exe、lxssmanager.exe
最後の3つは、「Windows Subsystem for Linux(WSL)」のサービスとランチャーです。SモードではWSLの機能の有効化がブロックされることはありませんが、これらのコマンドがブロックされるため、WSLのシェル環境は利用できません。
Sモードの管理性は通常のWindowsと同じだが、ドメイン参加などに制限あり
Sモードであるかどうかに関係なく、Home以外のエディションであれば、企業のクライアントとして使用できます。ただし、「Microsoft Intune」のようなモバイルデバイス管理(MDM)ツールによる管理が想定されており、「Active Directoryドメイン」に参加して管理対象にすることはできません。
Sモードでは「Azure Active Directory(Azure AD)」への参加はサポートされますが、Active Directoryドメインへの参加はサポートされません。Active Directoryドメインに参加させ、「グループポリシー」による管理を行うには、Sモードを解除し、制限のないProやEnterpriseエディション(ドメイン参加をサポートするエディション)にする必要があります。
Sモードを管理する場合、Sモードの特徴を知っていないと、意図した通りに管理できない場合があることに注意が必要です。例えば、「cmd.exe」「powershell.exe」「cscript.exe」を利用できないということは、バッチ(.cmd)、PowerShellスクリプト(.ps1)、WSHスクリプト(.vbsなど)を使用して自動化できないということです(ログインスクリプトなどで)。
また、使用する管理ツールがエージェントを必要とする場合、そのエージェントをMicrosoft Storeから入手できない限り、エージェントをクライアントに展開することもできません。
Sモードの利用シナリオとSモードの解除
Sモードは、OEMベンダーによって検証されたハードウェアにプリインストールされた形で出荷されます。その後は、Microsoft Storeの検証されたアプリのみをインストールできます。そのため、Microsoft Store以外の場所(その場所には信頼できないサイトが含まれるかもしれません)から入手した品質の低いアプリや不正なバイナリ、Windows Update以外から提供される検証されていないドライバがPCに入り込む心配がなく、高いセキュリティと安定性を維持できるという利点があります。
企業での利用シナリオとしては、Webブラウジングやメッセージングといった基本機能をSモードで提供し、業務アプリケーションやサードベンダーのデスクトップアプリケーションについて利用してサーバあるいはクラウドの仮想デスクトップインフラストラクチャ(VDI)で提供するというやり方があるでしょう。機能がほとんど削られた従来のシンクライアントとは異なり、Sモードならリッチなローカル環境とシンクライアント環境、そしてWindows 10の管理性を実現できます。
Sモードはいつでも無料で解除できます。個人や企業ならMicrosoft Storeで、教育機関なら教育機関向けMicrosoft Storeで解除できます(画面5)。
しかし、Sモードの解除は“一方向”であり、工場出荷時状態に戻す以外、再びSモードに戻すことはできません。Sモードの特徴と利点を知り、その利点を生かすためにSモードを導入しているのなら、ユーザーが勝手にSモードを解除してしまうのは防止したいところです。Microsoft Intuneの管理環境があれば、Sモードを解除できないように構成することができます(画面6)。同様の構成は、Windows 10の「構成サービスプロバイダー(CSP)」に対応したMDMツールでも行えます。
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(2019-2020)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
さようならSAC-T! これまでの、これからのWindows 10の更新チャネルをざっくりと解説
2019年春にリリースされるWindows 10の新バージョンから、ブランチ準備レベル「半期チャネル(対象指定)」が廃止されることが発表されました。これにより、どのような影響があるでしょうか。Windows Update for Business(WUfB)を利用していない限り、何の影響もないでしょう。WUfBを利用しているなら、更新後に設定を確認しておきましょう。
次期Windows 10最新動向:リリース秒読みの「19H1」はこう変わる
間もなくリリースされるWindows 10の新しい機能アップデート「19H1」。それに実装される新機能をまとめてみた。また、同時に変更となるライフサイクルなどについても解説する。
複雑怪奇? Windows 10の大型更新とサポート期間を整理する
Windows 10では従来のWindows OSと異なり、年2回、大型アップデートの提供が行われるようになった。それに伴い、サポート期間もバージョンごとに設定されるなどの変更が行われており、かなり複雑なものとなっている。本稿では、アップデートの提供タイミングならびにそのサポート期間などを整理する。
Windows Update for Businessってどうなったの?
Windows 10の登場ですっかり変わってしまったWindows Update。IT管理者の多くが戸惑っているに違いありません。「Windows 10 バージョン1511 ビルド10586」に合わせ、「Windows Update for Business」が利用可能になりました。しかし、筆者を含む多くの人が想像していたのとは違い、SaaSタイプのサービスではありませんでした。
Windows 10の更新プログラム適用で地雷を踏まないためのWindows Update運用法
Windows Updateによるアップデートの適用は、場合によっては不具合を起こす可能性もある。アップデートによって不具合が発生しないことを確認してから適用するとよい。そのためのWindows Updateによる適用を延期する方法を紹介しよう。