Windows 11で変更すべき23の最適なセキュリティ設定（2026年版）

• Windows 11はデフォルトで安全ですが、2026年にはランサムウェアやフィッシング対策、スマートアプリ制御、コア分離、BitLocker暗号化などの主要機能を有効にすることで、さらにセキュリティを強化できます。定期的なアップデート、ウイルススキャン、標準アカウントへの切り替えもリスク軽減に役立ちます。プライバシーをさらに強化するには、DNS over HTTPS、Windowsサンドボックス、ランダムMACアドレスを有効にしてください。

2026年1月2日更新：Windows 11はオペレーティングシステムの中で最も安全なバージョンですが、デバイスのセキュリティを向上させるために、いくつかのカスタム設定を追加したり、ベストプラクティスに従ったりすることができます。

セキュリティ対策の一環として、システムアップデートの確認やウイルススキャンを実施できます。また、ランサムウェアやフィッシング対策、ファイアウォール、生体認証、暗号化などのセキュリティ機能、さらにスマートアプリコントロールやコア分離といった高度な機能も設定できます。

信頼できないソースからアプリケーションをインストールする必要がある場合は、Windows Sandbox を使用して軽量の仮想マシンを作成し、メインのインストールを危険にさらすことなくアプリケーションをテストできます。

このガイドでは、2026年におけるWindows 11の最適なセキュリティ設定をまとめて紹介します。 

2026年にWindows 11で変更すべき最適なセキュリティ設定

これらは、Windows 11で有効化、設定、または無効化すべき最適なセキュリティ設定です。（すべてを設定する必要はありません。ご自身の状況に最適な設定のみを使用してください。）

1. システムアップデートをインストールする

Windows 11では、最新のアップデートをインストールすることが、デバイスとファイルを安全に保つための最良の方法の1つです。アップデートによって、バグが修正され、セキュリティが強化され、システムのパフォーマンスが向上するからです。

Windows 11のアップデートを手動でインストールするには、以下の手順に従ってください。

1. Windows 11で設定を開きます。

    

    

2. Windows Updateをクリックしてください。

3. 「アップデートを確認」ボタンをクリックしてください。

   

4. （オプション）「最新のアップデートが利用可能になり次第、すぐに入手する」のトグルスイッチをオンにします。

5. （該当する場合）今後のアップデートのプレビューを適用するには、「ダウンロードしてインストール」ボタンをクリックしてください。

   補足：オプションのアップデートには通常、マイクロソフトが次回のパッチチューズデーでリリース予定のセキュリティ以外の変更が含まれています。

6. 「今すぐ再起動」ボタンをクリックしてください。

手順を完了すると、アップデートが利用可能な場合は、Windows 11に自動的にダウンロードおよびインストールされます。

Windows Updateの設定を使用する以外にも、コマンドプロンプト、PowerShell、Microsoft UpdateカタログのWebサイトなど、さまざまな方法でシステムを更新できます。

1. コンピュータをウイルススキャンする

Windows 11には、ウイルス、ランサムウェア、スパイウェア、ルートキットなど、ほぼすべてのマルウェアを検出して削除するMicrosoft Defenderウイルス対策ソフトが搭載されています。コンピューターが侵害された疑いがある場合は、フルスキャンまたはオフラインスキャン（特に深刻な感染の場合）を実行して、デバイスにマルウェアが存在しないことを確認してください。サードパーティ製のウイルス対策ソフトを使用している場合でも、定期的なスキャンは優れたセキュリティ対策です。

完全なウイルススキャン 

Windows 11で完全なウイルススキャンを実行するには、以下の手順に従ってください。

1. スタートを開く。

2. 「Windowsセキュリティ」を検索し、一番上の検索結果をクリックしてアプリを開きます。

3. 「ウイルスと脅威の防止」をクリックしてください。

4. 「現在の脅威」セクションの下にある「スキャンオプション」をクリックしてください。

   

5. システム全体をウイルスやその他のマルウェアから保護するために、「フルスキャン」オプションを選択してください。

   

6. 「今すぐスキャン」ボタンをクリックしてください。

上記の手順を完了すると、Microsoft Defenderウイルス対策ソフトがコンピュータをスキャンしてマルウェアを検出します。マルウェアが検出された場合、ウイルス対策ソフトは自動的に脅威を削除（または隔離）します。

コマンドプロンプトやPowerShellでもウイルス対策ソフトを使用できます。

オフラインウイルススキャン

Windows 11でオフラインウイルススキャンを実行するには、以下の手順に従ってください。

1. Windowsセキュリティを開きます。

2. 「ウイルスと脅威の防止」をクリックしてください。

3. 「現在の脅威」セクションの下にある「スキャンオプション」をクリックしてください。

   

4. 「Microsoft Defender オフラインスキャン」オプションを確認してください。

   

5. 「今すぐスキャン」ボタンをクリックしてください。

6. スキャンボタンをクリックしてください。

手順を完了すると、コンピューターは自動的に回復環境で再起動し、Microsoft Defender がフルウイルススキャンを開始します。Windows 11 のウイルス対策ソフトがウイルス、ルートキット、またはその他のマルウェアを検出した場合、自動的に削除します。

定期スキャンを有効にする

別のウイルス対策ソフトを使用している場合は、 Windows 11で「定期スキャン」を有効にするのもセキュリティ対策として有効です。この機能は、他のウイルス対策ソフトが見逃した可能性のある脅威を定期的にスキャンして削除します。

Windows 11 用 Microsoft Defender ウイルス対策で「定期スキャン」を有効にするには、以下の手順に従ってください。

1. Windowsセキュリティを開きます。

2. 「ウイルスと脅威の防止」をクリックしてください。

3. 「Microsoft Defenderウイルス対策オプション」設定をクリックします。

4. 定期スキャン切り替えスイッチをオンにしてください。

   

これらの手順を完了すると、Windows 11のウイルス対策ソフトは「自動メンテナンス」機能を使用して、パフォーマンスとバッテリー寿命への影響を最小限に抑える最適なタイミングでスキャンを実行します。

3. ランサムウェア対策を有効にする

Windows 11の「フォルダーアクセス制御」は、ランサムウェア攻撃からコンピューターを保護するために設計された、優れた組み込みセキュリティ機能の一つです。この機能はアプリケーションファイルの変更を監視し、ブラックリストに登録されたアプリが保護されたフォルダー内のファイルを変更しようとすると、システムが不審なアクティビティを通知します。

Windows 11で制御されたフォルダーアクセスによるランサムウェア対策を有効にするには、以下の手順に従ってください。

1. Windowsセキュリティを開きます。

2. 「ウイルスと脅威の防止」をクリックしてください。

3. 「ランサムウェア対策」セクションの「ランサムウェア対策の管理」設定をクリックします。

   

4. 「フォルダーへのアクセス制御」の切り替えスイッチをオンにします。

   

これらの手順を完了すると、Microsoft Defenderウイルス対策は、アプリケーションがファイルを変更しようとした際に、保護されたフォルダーを監視します。不審なアクティビティが発生した場合は、脅威に関する通知が表示されます。

この機能を有効にすることは、問題の半分に過ぎません。これらの手順に従えば、信頼できるアプリケーションがこの機能によってブロックされるのを防ぎ、デフォルト以外のフォルダーの場所を保護することができます。

4. フィッシング対策を有効にする

Windows 11は、Microsoft Defender SmartScreenによる強化されたフィッシング対策を提供し、悪意のあるサイトやアプリケーションからパスワードを保護します。この機能は主に次の3つの方法で動作します。

• 信頼できないサイトやアプリに関する警告：信頼できないウェブサイトやアプリケーションにアカウントのパスワードを入力した際に警告が表示されます。
• 平文パスワード警告：アプリケーション内でパスワードを平文で保存しようとした場合に通知します。
• パスワードの使い回しに関する通知：異なるアカウント間でパスワードを使い回すことは、ハッカーがあなたの情報を侵害しやすくなるため、避けるべきだと警告します。

この保護機能は、Microsoft アカウント、ローカル アカウント、Active Directory、および Azure Active Directory に適用されます。ただし、パスワードを使用している場合にのみ機能します。そのため、フィッシング対策を有効にするには、Windows Hello を無効にする必要があります。

この機能が必要な場合にのみ、または既にWindows Helloを使用していない場合にのみお勧めします。それ以外の場合は、パスキーを使用する方がおそらく良いでしょう（以下の手順を参照してください）。

Windows 11でフィッシング対策を有効にするには、以下の手順に従ってください。 

1. 設定を開く。

2. アカウントをクリックしてください。

3. 「サインインオプション」タブをクリックしてください。

4. 「追加設定」セクションにある「セキュリティ強化のため、このデバイスではMicrosoftアカウントでのWindows Helloサインインのみを許可する」のトグルスイッチをオフにします。

   

5. 「サインイン方法」セクションで、有効なWindows Helloオプション（顔認証、指紋認証、またはPIN）を選択してください。

6. 削除ボタンをクリックしてください。

7. もう一度「削除」ボタンをクリックしてください。

8. Microsoftアカウントのパスワードを確認してください。

9. 「OK」ボタンをクリックしてください。

10. Windowsセキュリティを開きます。

11. 「アプリとブラウザのコントロール」をクリックしてください。

12. 「評判に基づく保護設定」オプションをクリックしてください。

    

13. セキュリティ機能を有効にするには、「フィッシング対策」の切り替えスイッチをオンにしてください。

    

14. 信頼できないウェブサイトやプログラムにアクセスした際に警告を表示するには、「悪意のあるアプリやサイトについて警告する」オプションをオンにしてください。

15. 「パスワードの使い回しについて警告する」オプションをオンにすると、新しいアカウントを作成する際や、ウェブサイトやプログラムの情報を更新する際に、同じパスワードを使用することを避けることができます。

16. 「安全でないパスワード保存について警告する」オプションをオンにすると、テキストエディタにパスワードを平文で保存しないように警告が表示されます。

これらの手順を完了すると、「強化されたフィッシング対策」機能が、信頼できないアプリやウェブサイトでパスワードを入力しようとした際に警告を発し、パスワードを変更してアカウントへの不正アクセスを防ぐオプションを提供します。

テキストエディタやOfficeアプリは認証情報を保護するように設計されていないため、これらのアプリケーションで同じパスワードを再利用したり、パスワードを保存しようとしたりすると、警告が表示されます。

5. ウェブサイトやアプリのパスキーを作成する

パスキーは、この認証方法をサポートするウェブサイトやアプリケーションにサインインする際に、従来のパスワードに代わる安全で便利な方法です。パスキーはパスワードに頼るのではなく、公開鍵暗号方式を利用して、アカウントに関連付けられた固有の暗号鍵ペアを作成します。この鍵ペアは、Windows 11 デバイスに安全に保存されます。次回サービスにアクセスする際は、Windows Hello（顔認証、指紋認証、PIN などの生体認証を使用）で認証を行うため、パスワードは不要です。

この方式は、サインインプロセスからパスワードを排除することでセキュリティを向上させ、ハッカーによるアカウント侵害を大幅に困難にします。パスキーは、Microsoft、Google、Apple、Amazon、PayPalなどの大手企業が採用している、より広範なセキュリティ標準の一部であり、プラットフォームを横断した統一された安全な認証体験の提供を目指しています。

パスキーを作成するには、サポートされているサービスまたはアプリケーションのアカウントセキュリティ設定に移動し、画面の指示に従ってパスキー認証を設定します。設定が完了すると、パスキーはMicrosoftアカウントを使用するデバイス間で同期され、Windows 11デバイスであればどのデバイスでもシームレスにアクセスできます。一部のオンラインサービスでは、サインイン時にパスキーを設定するオプションが提供される場合もあります。

以下の例は、Googleアカウントのパスキーを作成するものです。

1. Microsoft Edge（またはGoogle Chrome ）を開きます。

2. Googleアカウントを開いてください。

3. ログインして、ウェブサービスのアカウント設定を開きます。

4. 「Passkeyサインイン」オプションを有効にしてください。

5. 「パスキーを作成」オプションをクリックしてください。

   

6. 「続行」ボタンをクリックしてください。

   

7. Windows Helloでアカウントの認証情報を確認してください。

   

8. 「OK」ボタンをクリックしてください。

9. 「完了」ボタンをクリックしてください。

手順を完了すると、パスキーがトークンとしてコンピュータにダウンロードされます。次回サービス（またはアプリ）にアクセスする際は、サービスパスワードの代わりにWindows Hello認証を使用してサインインできます。

トークンはデバイスごとにのみ有効です。つまり、サービスにアクセスしたいデバイスごとにパスキーを作成する必要があります。パスキーの表示と削除は、「設定」 > 「アカウント」 > 「パスキー」から行えます。

6. ファイアウォールの設定を確認する

Microsoft Defender ファイアウォールは、送受信されるネットワークトラフィックを監視し、定義済みのルールに基づいて接続を許可またはブロックすることで、コンピュータと情報を不正アクセスから保護します。この機能はデフォルトで有効になっているはずですが、有効になっていない場合は確認して有効にすることをお勧めします。

Windowsセキュリティでファイアウォールを有効にするには、以下の手順に従ってください。 

1. Windowsセキュリティを開きます。

2. 「ファイアウォールとネットワーク保護」をクリックしてください。

3. アクティブなネットワークオプションをクリックしてください。

   

4. ファイアウォールを無効にするには、「Microsoft Defender ファイアウォール」の切り替えスイッチをオンにしてください。

   

これらの手順を完了すると、アクティブなネットワークプロファイルに対してファイアウォールが有効になります。

7. DNS over HTTPS (DoH) を有効にする

インターネット閲覧時のセキュリティとプライバシーをさらに強化したい場合は、DNS over HTTPS（DoH）を有効にする必要があります。

DNS over HTTPSは、ドメインネームシステム（DNS）クエリをハイパーテキスト転送プロトコルセキュア（HTTPS）プロトコルを使用して暗号化するように設計されたネットワークプロトコルであり、プライバシーを強化し、DNSトラフィックを閲覧および操作できるハッカーによる攻撃を最小限に抑えます。

Google ChromeやMozilla Firefoxなどの一部のアプリケーションは既にこの機能をサポートしていますが、Windows 11でも設定できます。設定方法は以下のとおりです。

1. 設定を開く。

2. 「ネットワークとインターネット」をクリックしてください。

3. （アクティブな接続に応じて）イーサネットまたはWi-Fiタブをクリックしてください。

   補足： Wi-Fi接続をご利用の場合は、接続プロパティをクリックして設定にアクセスしてください。

4. 「DNSサーバー割り当て」設定から「編集」ボタンをクリックします。

   

5. ドロップダウンメニューから「手動」オプションを選択してください。

6. IPv4の切り替えスイッチをオンにしてください。

7. 「優先DNS」と「代替DNS」のセクションで、サポートされているサービスからプライマリおよびセカンダリのDoH IPアドレスを指定します。たとえば、Cloudflare（1.1.1.1と1.0.0.1）またはGoogle（8.8.8.8と8.8.4.4）を使用できます。

   

8. 「DNS over HTTPS」ドロップダウンメニューを使用して、「オン（自動テンプレート）」 オプションを選択してください。これにより、すべてのDNSトラフィックが暗号化されて送信されますが、他の暗号化設定を選択することもできます。

9. 「プレーンテキストへのフォールバック」の切り替えスイッチをオフにしてください。

   ちょっとしたヒント：この機能を有効にすると、システムはDNSトラフィックを暗号化しますが、クエリは暗号化せずに送信できます。

10. 「保存」ボタンをクリックしてください。

これらの手順を完了すると、コンピュータはDNSトラフィックをHTTPSプロトコルで暗号化し、より安全でプライベートな環境を実現します。

DoHの設定が正しく機能しているかどうかを確認する方法や詳細については、こちらの説明書をご覧ください。

8. Windows Helloの顔認証または指紋認証を有効にする

Windows 11の最適なセキュリティ設定の一つとして、Windows Helloも利用できます。Windows Helloを使うと、顔認証や指紋認証などの生体認証要素を追加して、コンピューターのセキュリティを強化できます。生体認証機能を搭載したデバイスをお持ちでない場合は、互換性のある顔認証カメラまたは指紋認証リーダーを購入して設定する必要があります。

顔認証を有効にする

Windows 11でWindows Helloの顔認証機能を使ってコンピューターのロックを解除するには、以下の手順に従ってください。

1. 設定を開く。

2. アカウントをクリックしてください。

3. 右側の「サインインオプション」ページをクリックしてください。

4. 「サインイン方法」セクションで、「顔認証（Windows Hello）」の設定を選択してください。

5. 「設定」ボタンをクリックしてください。

   

6. 「開始する」ボタンをクリックしてください。

   

7. 現在のパスワード（またはPIN）を確認してください。

8. Windows 11では、カメラをまっすぐ見て顔認識プロファイルを作成します。

   

9. 閉じるボタンをクリックしてください。

手順を完了したら、コンピューターをロックし（Windowsキー + L）、カメラに向かってサインインしてください。

指紋認証を有効にする

指紋認証リーダーを使用してWindows Helloを設定するには、以下の手順に従ってください。 

1. 設定を開く。

2. アカウントをクリックしてください。

3. 「サインインオプション」をクリックしてください。

4. 「サインイン方法」セクションの「指紋認証」設定を選択してください。

5. 「設定」ボタンをクリックして、Windows Helloの指紋認証オプションを有効にしてください。

   

6. 「開始する」ボタンをクリックしてください。

   

7. アカウントのパスワードを確認してください。

8. ウィザードの指示に従って、指紋センサーに触れてください。

   

9. 画面の指示に従って、さまざまな角度から指紋を採取してください。

上記の手順を完了したら、デバイスをロックし、指紋認証リーダーを使って指紋でサインインできます。

9. ダイナミックロックを有効にする

ダイナミックロックは、Windows 11に組み込まれたセキュリティ機能で、Bluetoothでペアリングされたデバイス（スマートフォンやウェアラブル端末など）との距離に基づいて、ユーザーが席を離れるとコンピューターをロックし、セキュリティをさらに強化します。

Windows 11でダイナミックロックを有効にするには、以下の手順に従ってください。

1. 周辺機器の電源を入れてください。

2. デバイスのBluetoothペアリングオプションをオンにして、検出可能にしてください。

3. Windows 11で設定を開きます。

4. 「Bluetoothとデバイス」をクリックしてください。

5. Bluetoothのトグルスイッチをオンにして、ワイヤレス機能を有効にします（該当する場合）。

6. 「デバイスを追加」ボタンをクリックしてください。

   

7. Bluetoothオプションを選択してください。

   

8. リストからBluetoothデバイスを選択してください。

   

9. 画面の指示に従って操作を続けてください（該当する場合）。

10. アカウントをクリックしてください。

11. 「サインインオプション」タブをクリックしてください。

12. ダイナミックロック設定を選択してください。

13. 「席を離れているときに、Windows が自動的にデバイスをロックすることを許可する」オプションにチェックを入れてください。

    

上記の手順を完了すると、Bluetooth デバイスがコンピューターの近くにない場合、Windows 11 は 30 秒間操作がないと画面をオフにし、アカウントをロックします。

10. 不要なアプリをブロックする

Windows セキュリティには、悪意のあるアプリからインストールを保護する機能があります。この機能は「評判ベースの保護」と呼ばれ、設計が不十分なアプリや有害なアプリなど、Windows 11 上で予期しない動作を引き起こす可能性のある評判の低いアプリを検出してブロックすることができます。

Windows 11を不要なアプリから保護するために、評判ベースの保護を有効にするには、次の手順に従います。

1. Windowsセキュリティを開きます。

2. アプリとブラウズコントロールをクリックします。

3. 「評判に基づく保護」セクションの「評判に基づく保護設定」 オプションをクリックします。

   

4. 「潜在的に不要なアプリのブロック」のトグルスイッチをオンにしてください。

   

5. 「アプリをブロックする」オプションを確認してください。

6. 「ダウンロードをブロックする」オプションを確認してください。

これらの手順を完了すると、Windows 11は問題を引き起こす可能性のある、評判の低いアプリを検出してブロックできるようになります。

11. 暗号化を有効にする

BitLockerもまた、セキュリティ面で最も優れた機能の一つと言えるでしょう。ドライブを暗号化することで、文書、写真、その他コンピュータに保存されているあらゆるデータへの不正アクセスからデータを保護できます。

この機能は、Windows 11のPro、Enterprise、およびEducationエディションでのみ利用可能です。ただし、Windows 11 Homeでは、一部のデバイスで「デバイス暗号化」を使用できます。

It’s important to note that starting with the release of Windows 11 24H2 and subsequent releases, the system will automatically enable device encryption on new installations.

Enable device encryption on Windows 11 Pro

To configure BitLocker on a Windows 11 drive, use these steps:

1. Open Settings.

2. Click on Storage.

3. Click on Advanced storage settings under the “Storage management” section.

4. Click on Disks & volumes.

   

5. Select the drive with the volume to encrypt.

6. Choose the volume to enable BitLocker encryption and click the Properties button.

   

7. Click the “Turn on BitLocker” option.

   

8. Click the “Turn on BitLocker” option under the “Operating system drive” section.

   

9. Select the “Save to your Microsoft account” option (recommended).

   

10. Click the Next button.

11. Select the “Encrypt used disk space only” option.

    

12. Click the Next button.

13. Select the “New encryption mode” option.

    

14. Click the Next button.

15. Check the “Run BitLocker system check” option.

    

16. Click the Restart now button.

After you complete the steps, the computer will restart to apply the encryption settings and enable BitLocker.

You can also enable encryption for secondary and external drives. And using BitLocker To Go, you can protect your data on USB flash drives.

Enable device encryption on Windows 11 Home

To configure BitLocker encryption on Windows 11 Home, use these steps:

1. Open Settings.

2. Click on Privacy & Security.

3. Click the Device encryption page under the “Security” section.

   

4. Turn on Device encryption to enable BitLocker on Windows 11 Home.

   

Once you complete the steps, the feature will encrypt the entire system drive.

If you no longer need encryption, it’s possible to decrypt the drive using the same instructions.

12. Enable Smart App Control

On Windows 11, Smart App Control (SAC) is a security feature that locks the system down, allowing it to run only trusted apps or apps with valid certificates to prevent unwanted behaviors from untrusted applications.

To enable Smart App Control on Windows 11, use these steps:

1. Open Windows Security.

2. Click on App & browse control.

3. Click on Smart App Control settings.

   

4. Select the Evaluation option. 

   

After you complete the steps, the feature will run quietly in the background but not block anything. However, in this stage, the system will learn from your applications to determine whether the feature can run without affecting the experience. 

If Smart App Control can run as expected, the system will turn it on automatically. If the feature gets in the way, the system will automatically turn it off.

Once the evaluation is complete, the feature will enable automatically, but you won’t be able to turn it off. Additionally, if the system blocks an app, you won’t be able to unblock it unless you disable the feature, which will require a complete reinstallation of the operating system.

13. Enable Core Isolation

Core Isolation is a collection of security features that protect your computer from malicious code and hackers. One of the features available is memory integrity, which blocks different types of malware from compromising high-security processes in memory. 

The feature should be enabled by default on Windows 11, but if it’s not, you can use these steps:

1. Open Start.

2. Search for Windows Security and click the top result to open the app.

3. Click on Device Security.

4. Click the “Core isolation details” option under the “Core isolation” section.

   

5. Turn on the “Memory integrity” toggle switch to enable the Core isolation.

   

6. Restart the computer.

Once you complete the steps, the security feature will be enabled on Windows 11.

14. Windows Sandbox

The Windows Sandbox feature provides a full desktop virtualization experience for installing and testing untrusted applications, isolated from the main installation.

To enable Windows Sandbox on Windows 11, use these steps:

1. Open Settings.

2. Click on System.

3. Click the Optional features page.

   

4. Click the “More Windows features” setting under the “Related settings” section.

   

5. Check the Windows Sandbox option.

   

6. Click the OK button.

7. Click the Restart now button.

Once you complete the steps, you can run Windows Sandbox from the Start menu.

Windows 11 Sandbox with clipboard redirection / Image: Microsoft

If you need to install an application, you can download the installer from the internet using the browser available on the virtual machine or from the main installation. Then, copy and paste the file onto the Windows Sandbox desktop and install it in the isolated environment.

15. Full backup

On Windows 11, a full backup is one of the best security practices to create a copy of the entire system. This allows you to recover in case of critical system problems, malware attacks like ransomware, hardware failure, or upgrading the primary drive. In addition, a backup can help you roll back to a previous installation after upgrading to a new feature update or hard drive.

You can always choose a third-party solution, but you can still use the (deprecated) legacy “System Image Backup” tool to save a full backup to a USB hard drive. 

To create a full backup on Windows 11, use these steps:

1. Open Start.

2. Search for Control Panel and click the top result to open the app.

3. Click on System and Security.

4. Click on File History.

5. Click the “System Image Backup” option from the left pane.

   

6. Click the “Create a system image” option from the left pane.

   

7. Select the external drive to save the Windows 11 backup.

   

8. Click the Next button.

9. Click the Start backup button.

   

10. Click the No button.

11. Click the Close button.

Once you complete the steps, Windows 11 will create a full computer backup.

You will also receive the option to create a repair disk, but you can ignore it since you can use the Windows 11 bootable media to access the recovery settings to restore the backup.

In addition to periodically backing up your device, it’s recommended that you store your files in the cloud using third-party services like OneDrive. This approach will protect the files from hardware failure, ransomware, or theft.

Alternatively, copying your files to an external drive with a simple copy and paste (as long as you don’t have a lot of data) is another way to protect your documents, pictures, videos, and other files.

16. Switch from Administrator to Standard User account

Windows 11 offers two account types, including Administrator and Standard User, each with different permission levels. The Administrator type has full system access, enabling them to change settings, run elevated tasks, and perform any action. The Standard User type operates in a more restricted environment, able to use existing applications but unable to install new ones or modify system-wide settings.

Since using an account without restrictions can be a security risk, switching to a standard account is one of the best practices to improve security. You can create a new “Administrator” account only for management and change your account type to “Standard User.”

Create local administrator account

To create an administrator local account through the Settings app, use these steps:

1. Open Start.

2. Search for Settings and click the top result to open the app.

3. Click on Accounts.

4. Click the Other users page.

5. Click the Add account button under the “Other users” section.

   

6. Click the “I don’t have this person’s sign-in information” option.

   

7. Click the “Add a user without a Microsoft account” option.

   

8. Create an administrator account by confirming a name and password.

   

9. Create security questions and answers to recover your account if you lose your password.

10. Click the Next button.

11. Select the newly created account and click the “Change account type” button.

    

12. Select the Administrator option from the “Account type” setting.

    

13. Click the OK button.

Once you complete the steps, the new account will appear on your Windows 11 device.

Switch to standard account

To change an “Administrator” account to a “Standard Users” account on Windows 11, use these steps:

1. Sign out of your current account.

2. Sign in to the newly created administrator account.

3. Open Settings.

4. Click on Accounts.

5. Click the Other users page.

6. Select the primary account.

7. Click the “Change account type” button.

   

8. Select the Standard User option from the “Account type” setting.

   

9. Click the OK button.

After completing the steps, the original account will switch from “Administrator” to “Standard User” account type. You will be prompted to confirm the administrator credentials to make system changes or install new apps. You can still sign in to the administrator account to perform system changes.

17. Disable Remote Desktop 

Although the Remote Desktop feature allows you to access files and apps from another location or offer assistance without being present at the site, it also presents a security risk. It may help a malicious individual gain unauthorized access to the computer. As a best security practice, turn off the feature if you don’t use it.

To disable Remote Desktop on Windows 11, use these steps:

1. Open Settings.

2. Click on System.

3. Click on Remote Desktop.

4. Turn off the Remote Desktop toggle switch.

   

5. Click the Confirm button.

Once you complete the steps, malicious individuals should no longer be able to exploit the RDP protocol to gain unauthorized access to your computer.

18. Sync time and date

On Windows 11, it’s also important to keep the system time and date correct. Otherwise, it could cause security problems, such as trying to sign in to a service or application on the network or the internet.

To update the time and date on Windows 11, use these steps:

1. Open Settings.

2. Click on Time & language.

3. Click the Date & time page.

4. 「時刻を自動設定する」の切り替えスイッチをオンにする。

5. 「追加設定」セクションの下にある「今すぐ同期」ボタンをクリックしてください。

   

これらの手順を完了すると、Windows 11が更新され、コンピューターに正しい時刻が表示されます。

19. システム復元ポイントを作成する

システムの復元機能を使用すると、システムの状態の「復元ポイント」を作成して、アップデート後、アプリケーションのインストール時、またはシステム変更時に問題が発生した場合に、ハードドライブのデータを保護できます。この機能は、システムの変更（新しいアップデートやドライバのインストールなど）を検出すると自動的に復元ポイントを作成しますが、手動で復元ポイントを作成することも可能です。

Windows 11で復元ポイントを作成するには、以下の手順に従ってください。

1. Windows 11でスタートメニューを開きます。

2. 「復元ポイントの作成」を検索し、一番上の検索結果をクリックしてアプリを開きます。

3. システムドライブ（Cドライブ）を選択し、「保護設定」セクションの下にある「構成」ボタンをクリックします。

   

4. 「システム保護を有効にする」オプションを選択してください。

   

5. 「適用」ボタンをクリックしてください。

6. 「OK」ボタンをクリックしてください。

7. Windows 11で復元ポイントを作成するには、 「作成」ボタンをクリックしてください。

   

8. 復元ポイントの名前を確認してください。

9. 「作成」ボタンをクリックしてください。

10. 閉じるボタンをクリックしてください。

これらの手順を完了すると、システムはシステムファイル、インストール済みのアプリケーション、システム設定、およびレジストリのバックアップを含む復元ポイントを作成します。 

また、復元ポイントを使用してデバイス を復元するには、以下の手順に従ってください。復元がうまくいかない場合は、システムをリセットする必要があるかもしれません。

20. Windowsのリコール機能を無効にする

Windows Recallは、数秒ごとに画面のスナップショットを撮影し、AIを使ってそのデータを検索可能にすることで、コンピューターに「写真のような記憶力」を与えるように設計された新しいAI機能です。

この機能を使えば、過去に見たことや行ったことを簡単に辿って見つけることができるという利便性がある一方で、コンピュータ上で行うすべての操作を記録するため、重大なプライバシー上の懸念も生じます。

こうしたデータをすべて保存すると、コンピュータがハッカーにとってより魅力的な標的になる可能性があり、スナップショットの取得と分析はシステムパフォーマンスに影響を与える可能性があります。 

Copilot+ PCをお持ちの場合は、簡単な手順に従うことで、Windows 11でリコール機能をリセットして無効にすることができます。

Windows 11でリコール機能を完全に無効にするには、以下の手順に従ってください。

1. 設定を開く。

2. 「プライバシーとセキュリティ」をクリックしてください。

3. 「リコールとスナップショット」ページをクリックしてください。

4. 「詳細設定」をクリックしてください。

   

5. 「リコールをリセット」ボタンをクリックしてください。

   

6. リセットボタンをクリックしてください。

これらの手順を完了すると、Windows 11 は収集されたすべてのスナップショット、アプリと Web サイトのフィルターを削除し、リコールに関するすべての設定を元の既定値に復元し、この機能を無効にします。

デバイスとデータのセキュリティおよびプライバシーについて懸念がある場合は、オペレーティングシステムからリコール機能をアンインストールすることもできます。

21. ランダムMACアドレスを有効にする

Wi-Fiアダプターを搭載したノートパソコンなどのコンピューターは、常にネットワークをスキャンし、MACアドレスを送信しています。このMACアドレスは、位置情報の追跡に悪用される可能性があります。MACアドレスのランダム化（ハードウェアアドレスをランダム化すること）は、このアドレスを定期的に変更することでプライバシーを強化し、追跡をより困難にします。

すべての無線ネットワークでランダムなハードウェアアドレスを有効にするには、以下の手順を実行してください。

1. 設定を開く。

2. 「ネットワークとインターネット」をクリックしてください。

3. Wi-Fiページをクリックしてください。

4. この機能を有効にするには、 「ランダムハードウェアアドレス」のトグルスイッチをオンにしてください。

   

5. （オプション）「ランダムなハードウェアアドレス」のトグルスイッチをオフにすると、この機能が無効になります。

これらの手順を完了すると、コンピュータはランダムなハードウェアアドレスを使用してネットワークをスキャンし、任意のアクセスポイントに接続します。

特定のネットワーク上でランダムなハードウェアアドレスを有効にすることも可能です。

22. Microsoft Edgeでスケアウェアブロッカーを有効にする

Microsoft Edgeに搭載されている「スケアウェアブロッカー」は、AIを活用してオンライン詐欺、特に「スケアウェア」と呼ばれるものからユーザーを保護するセキュリティ機能です。

この機能は、以下のようなスケアウェア詐欺の典型的な兆候を識別するように訓練されています。

• 閉じにくい全画面ポップアップ。
• お使いのコンピューターがウイルスに感染しているというメッセージが表示される。
• 偽の「テクニカルサポート」に連絡するよう、緊急の行動要請が出されています。
• 公式システム警告を模倣したウェブページのデザイン。

既知の脅威に依存する従来の方法とは異なり、Scareware BlockerはAIを使用して、新しく進化する詐欺をリアルタイムで検出します。

Windows 11とMicrosoft Edgeにも、フィッシング、オンラインの脅威、さまざまな種類のマルウェアからユーザーを保護する同様の技術であるDefender SmartScreen機能が実装されていることに注意が必要です。ただし、この機能は脅威を検出するためにクラウドベースのデータベースに依存しており、更新に時間がかかる場合があります。Scareware Blockerは、データベースを必要とせずにAIを使用して画面を分析し、ページが正規のものか脅威であるかを判断します。 

つまり、Scareware Blockerは、Defender SmartScreen機能を補完する追加の保護層です。

Microsoft Edgeでスケアウェアブロッカーを有効にするには、以下の手順に従ってください。

1. Microsoft Edgeを開きます 。

2. 右上の「設定など」ボタンをクリックしてください 。

3. 「設定」 オプションをクリックしてください 。

4. 左側のペインから 「プライバシー、検索、サービス」 をクリックしてください。

5. セキュリティページをクリックしてください。

6. 「セキュリティ」セクションにあるスケアウェアブロッカーの トグルスイッチをオンにする 

   

7.  （該当する場合）「Microsoft Defender SmartScreen」の切り替えスイッチをオンにしてください。

これらの手順を完了すると、スケアウェアブロッカーのセキュリティ機能が有効になり、システムが画面上でスケアウェアを検出した場合に警告が表示されます。誤検出の場合は、ブロックするか続行するかを選択できます。

Microsoft Edgeのスケアウェアブロッカーの動作中 / 画像：Microsoft

23. 存在検知を有効にする

Windows 11のプレゼンスセンシングは、デバイスのセキュリティとコンピューターのエネルギー効率を向上させることができる一連の機能です。 

この機能を実現するには、赤外線カメラやレーダーセンサーなどの専用ハードウェアが必要で、人がデバイスの近くにいるか遠くにいるかを検知する。

この機能は通常、高性能PCやCopilot+対応PCに搭載されています。お使いのデバイスに互換性のあるプレゼンスセンサーが搭載されていない場合、設定アプリにオプションは表示されません。

対応ハードウェアでは、ユーザーが席を離れると自動的にディスプレイをオフにし、戻ると再びオンにすることができます。また、視線をそらすと画面を暗くし、再び視線を向けると明るくすることもできます。この機能は、セキュリティを強化し、バッテリー消費を抑え、作業効率を向上させます。

Windows 11でプレゼンスセンシングの設定を構成するには、以下の手順に従ってください。

1. 設定を開く。

2. 「システム」をクリックしてください。

3. 「電源とバッテリー」タブをクリックします。

4. 「画面、スリープ、休止状態のタイムアウト」設定をクリックします。

5. 「席を離れると画面をオフにする」の切り替えスイッチをオンにする と、席を離れると自動的に画面がオフになります。

   

6. 「近づくとデバイスを起動する」のトグルをオンにすると、システムがあなたの存在を検知するとすぐにディスプレイが点灯します。

7. 「画面から目を離したときに画面を暗くする」の切り替えスイッチをオンにすると、画面を見ていないときにオペレーティングシステムが画面の明るさを自動的に下げるようになります。

8. （手順5、6、または7のいずれかの）設定をクリックして、プレゼンスセンシング設定ページを開きます。

9. 「席を離れると画面をオフにする」設定をクリックしてください 。

   

10. 「この距離まで離れたら、私は不在とみなす」設定で、コンピューターを離れた際に距離を判断するために使用するフィート数を選択してください。

11. 「この時間後に画面をオフにする」設定で、コンピューターから離れた後、画面がオフになるまでの待機時間を選択してください。

    ご注意：画面がオフになると、システムはデバイスをロックします。そのため、セッションを再開するには再度ログインする必要があります。

12. 「外部ディスプレイが接続されている状態で席を離れると画面をオフにする」オプションにチェックを入れてください（該当する場合）。

13. 「近づくとデバイスを起動する」設定をクリックします 。

14. 「この距離まで近づいたらデバイスを起動する」設定で、コンピューターに近づいたときに起動させるために必要な距離をフィート単位で選択します。

15. （該当する場合） 「外部ディスプレイが接続されている状態で、近づくとデバイスを起動する」オプションにチェックを入れてください。

16. 「画面から目を離したときに画面を暗くする」設定をクリックしてください。

    

17. 「外部ディスプレイが接続されているときに、画面から目を離すと画面を暗くする」オプションにチェックを入れてください（該当する場合）。

これらの手順を完了すると、設定に応じて、システムがデスクトップへのアクセス、画面、スリープタイマーを制御します。

「プライバシーとセキュリティ」設定から、プレゼンスセンシングのプライバシー設定を制御することもできます。

Windows 11でどのようなセキュリティ設定を変更していますか？コメント欄で教えてください。

2026年1月2日更新：このガイドは、正確性を確保し、プロセスの変更を反映するために更新されました。