連載
» 2013年11月22日 05時00分 UPDATE

Tech TIPS:Internet Explorer 10の自動インストールをブロックする

Windows 7では、Windows UpdateによってInternet Explorerが自動的にIE10へアップグレードされることがある。検証が済むまでは、IE10用のブロック・ツールを利用して自動アップグレードを無効化した方がよい。

[島田広道,デジタルアドバンテージ]
Tech TIPS
Windows Server Insider


「Tech TIPS」のインデックス

連載目次

対象OS:Windows 7 / Windows Server 2008 R2  (IE11はこちら→



解説

 以前からInternet Explorer(IE)の新版がリリースされると、Windows Updateによって自動的にアップグレード(自動更新)されるようになっている。これは通常の更新プログラムやセキュリティ・パッチと同様、特にユーザーに確認することなく実行される。そのため、Windows Updateでパッチ適用をしている環境では、ある日気が付くとIEがアップグレードされていたということになりがちだ。IE10での検証が終わっていないWebアプリケーションなどを使っている環境では、避けなくてはならない事態だろう。

 これを防ぐには、マイクロソフトが無償で提供している「Internet Explorer 10 自動配布の無効化ツールキット(IE10ブロック・ツール)」が利用できる。IE10の自動アップグレードが始まる前に、このツールを実行して自動アップグレードを無効化しておけばよいのだ(いったん無効化すると、明示的に有効化するまで自動アップグレードは禁止される)。本稿ではその方法を説明する。ただし、無効化できるのはWindows Updateだけで、次の方法によるアップグレードは禁止できない。

  • WSUS、System Center、SMS(System Management Server)などの管理ツールによるインストール
  • IE10のオフライン・インストーラによる手動インストール
  • サードパーティ製パッチ管理ツールによるインストール

 IE10のオフライン・インストーラは、次のWebページからダウンロードできる。

 Windows 7/Windows Server 2008 R2では、すでに上位バージョンのIE11が利用できる。そのため旧バージョンとなったIE10は通常、Windows Updateでリストアップされず、代わりにIE11が表示される。IE11のブロック手順については、次のTIPSを参照していただきたい。

操作方法

●ブロック・ツールのダウンロードと準備

 まず以下のページからIE10ブロック・ツールをダウンロードする。

 このページからファイル「IE10_BlockerToolkit.EXE」をダウンロードして実行すると、次の3つのファイルが展開される。

  • IE10_Blocker.cmd: コマンドラインでIE10の自動インストールを無効化/有効化するためのバッチ・ファイル
  • IE10_Blocker.adm: グループ・ポリシーでIE10の自動インストールを無効化/有効化するためのテンプレート・ファイル
  • IE10_BlockerHelp.htm: このツールのヘルプ

 このように、バッチ・ファイルとグループ・ポリシーのいずれでもIE10の自動インストールを無効化できるようになっている。

●バッチ・ファイルでIE10の自動インストールを無効化する

 IE10_Blocker.cmdを使うと、ローカル・コンピュータまたはリモート・コンピュータに対して、Windows UpdateによるIE10の自動インストールを無効化/有効化できる。無効化するには以下のコマンドラインを管理者モードで実行する。管理者モードでコマンド・プロンプトを開く手順については、関連記事を参照していただきたい。

IE10_Blocker.cmd [<コンピュータ名>] /B



 <コンピュータ名>を省略すると、IE10_Blocker.cmdを実行しているローカル・コンピュータの設定が変更される。リモート・コンピュータに対しては、「\\」を含めずに<コンピュータ名>を指定する。以下にリモート・コンピュータClientPC01に対してIE10_Blocker.cmdを実行した例を記す。

C:\temp\IE10_BlockerToolkit>IE10_Blocker.cmd ClientPC01 /B
MICROSOFT TOOL KIT TO DISABLE DELIVERY OF
MICROSOFT INTERNET EXPLORER 10

Copyright (C) Microsoft Corporation.  All rights reserved.

Blocking deployment of Internet Explorer 10 on ClientPC01
この操作を正しく終了しました。



 自動インストールを有効にするには、以下のコマンドラインを実行する。

IE10_Blocker.cmd [<コンピュータ名>] /U



●グループ・ポリシーでIE10の自動インストールを無効化する

Windows Server Insiderの関連記事 グループ・ポリシーのしくみ「グループ・ポリシーの設定ファイル

 まずはグループ・ポリシー・テンプレートのIE10_Blocker.admをグループ・ポリシー管理エディタに組み込む(グループ・ポリシー・テンプレートについては関連記事を参照)。それにはグループ・ポリシー管理エディタを起動して、左ペインから[コンピュータの構成]−[ポリシー]−[管理用テンプレート]を右クリックし、[テンプレートの追加と削除]を実行する。以下ではWindows Server 2008 R2ベースのActive Directory(AD)での操作方法を説明する(Windows Server 2003ベースのADでは、後で説明するように注意が必要だ)。

グループ・ポリシー管理エディタからIE10_Blocker.admを追加する グループ・ポリシー管理エディタからIE10_Blocker.admを追加する
これはWindows Server 2008 R2ベースのActive Directoryに対して設定しているところ。
  (1)これを右クリックする。
  (2)これをクリックすると、「テンプレートの追加と削除」ダイアログが表示される。そこで[追加]ボタンをクリックしてIE10_Blocker.admを指定して組み込む。

 「テンプレートの追加と削除」ダイアログが表示されたら、[追加]ボタンをクリックしてIE10_Blocker.admを指定して組み込む。すると「現在のポリシー テンプレート」欄に[IE10_Blocker]というテンプレートが加わる。これでテンプレートの組み込みは完了だ。

 グループ・ポリシー管理エディタのメイン画面に戻り、左ペインの[コンピュータの構成]−[ポリシー]−[管理用テンプレート]−[従来の管理用テンプレート (ADM)]−[Windows Components]−[Windows Update]−[Automatic Updates Blockers v3]を選択する。右ペインに[Do not allow delivery of Internet Explorer 10 through Automatic Updates]という項目が表示されたら、それをダブルクリックする。

IE10の自動インストールを無効化/有効化するためのポリシー IE10の自動インストールを無効化/有効化するためのポリシー
これはIE10_Blocker.admによって追加されたポリシーである。
  (1)これを選択する。
  (2)これをダブルクリックすると、このポリシーのプロパティが表示される。

 すると次のプロパティ画面が表示されるので、IE10の自動インストールを止めるなら[有効]を、自動インストールを受け入れるなら[無効]をそれぞれ選択する。

IE10の自動インストールを無効化/有効化する設定項目 IE10の自動インストールを無効化/有効化する設定項目
これは、前述のグループ・ポリシー・テンプレートによって追加された[Do not allow delivery of Internet Explorer 10 through Automatic Updates]ポリシーのプロパティ画面である。
  (1)通常のグループ・ポリシーとは異なり、いったん(2)(3)をオンにした後にこれをオンにしても、未構成にはならない。例えば(2)をオンにした後に自動インストールを受け入れるべくこれをオンにしても、無効化されたままだ。明示的に(2)(3)を選ぶこと。
  (2)IE10の自動インストールを無効化するには、これをオンにする。
  (3)IE10の自動インストールを有効化するには、これをオンにする。

 通常のグループ・ポリシーと異なり、この設定項目はいったん[有効]または[無効]に設定すると、[未構成]を選んでも未構成状態に戻らず、その前の設定を保持したままになってしまうので注意してほしい。いったん[有効]または[無効]にした後に設定を変える場合は、必ず[有効]または[無効]のどちらかを選ぶこと。

●Windows Server 2003ベースのActive Directoryでの注意点

 Windows Server 2003ベースのActive DirectoryでIE10_Blocker.admを利用する場合、以下に注意して設定する必要がある。

 まずグループ・ポリシー・テンプレートを組み込む際は、グループ・ポリシー・エディタにて[コンピュータの構成]−[管理用テンプレート]を右クリックしてから、[テンプレートの追加と削除]を実行する必要がある。

 また、[管理用テンプレート]を選択したまま、メニュー・バーの[表示]−[フィルタ]を実行し、[完全に管理されているポリシー設定のみ表示します]のチェックを外してオフにすること。これで当該ポリシーがグループ・ポリシー・エディタに表示されるようになる。

 これで左ペインから[コンピュータの構成]−[管理用テンプレート]−[Windows Components]−[Windows Update]−[Automatic Updates Blockers v3]と辿っていくと、当該ポリシーが右ペインに表示されるはずだ。

●レジストリ設定でIE10の自動インストールを無効化する

[注意]

レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリの操作は慎重に行うとともに、あくまでご自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。


 Windows Updateは、以下のレジストリの値を参照してIE10を更新対象としてリストアップするかどうかを決定する。前述のIE10_Blocker.cmdやIE10_Blocker.admは、このレジストリ設定をコマンドラインから簡単に変更できるようにしたものだ。つまり、これらのツールを用いなくても、以下のレジストリ・エントリを操作できればIE10の自動インストールを無効化/有効化できる。クライアントのレジストリ操作が可能な管理ソフトウェアを運用しているなら、直接このレジストリを設定してもよいだろう。

項目 内容
キー HKEY_LOCAL_MACHINEの
SOFTWARE\Microsoft\Internet Explorer\Setup\10.0
値の名前 DoNotAllowIE10
REG_DWORD
値の内容 1 → IE10の自動インストールを無効化する
0 → IE10の自動インストールを有効化する(0にするか、この値そのものを削除する)
Windows UpdateによるIE10の自動インストールを無効化するためのレジストリ設定

●IE9/IE11の自動インストールにも注意

 IE10ブロック・ツールによってインストールが無効化されるのはIE10だけであり、IE9やIE11はブロックされない。IE9/IE11をブロックするには右側の関連記事にあるIE9/IE11それぞれのブロック・ツールを利用する必要がある。例えば、Windows 7/Windows Server 2008 R2でプレインストールのIE8を使い続けたいなら、IE9/IE10/IE11に対応する各ブロック・ツールをすべて実行して、それぞれ自動インストールを無効化しなければならない。

■更新履歴

【2013/11/22】新たにリリースされたInternet Explorer 11(IE11)の情報を反映しました。

【2013/03/01】初版公開。


「Tech TIPS」のインデックス

Tech TIPS

Copyright© 1999-2016 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

編集部からのお知らせ

@IT編集部では、編集記者を募集しています。ご興味のある方は奮ってご応募ください。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。