連載
» 2014年01月06日 20時58分 UPDATE

Windows TIPS:Internet Explorer 11の自動インストールをブロックする

Windows 7向けのInternet Explorer(IE) 11がリリースされた。2014年1月第2週からWindows Updateによる自動アップグレード(自動更新)が始まる。Webアプリケーションなどの動作検証が済むまでは、IE11用のブロック・ツールを利用して自動アップグレードを無効化した方がよい。

[島田広道,デジタルアドバンテージ]
Windows TIPS
Windows Server Insider


「Windows TIPS」のインデックス

連載目次

対象OS:Windows 7/Windows Server 2008 R2


解説

 2013年11月7日、Windows 7/Windows Server 2008 R2向けのInternet Explorer 11(IE11)正式版がリリースされた(これでWinodws 8.1とIEのバージョンを揃えられるようになった)。すでにWindows Updateから手動でIE11をインストールできる状態になっている。マイクロソフト公式ブログによれば、日本では2014年1月第2週からWindows UpdateによるIE11への自動アップグレード(自動更新)が開始されるとのことだ。

Windows Updateからインストール可能なIE11(2013年11月中旬時点) Windows Updateからインストール可能なIE11(2013年11月中旬時点)
これはWindows Server 2008 R2の例だが、Windows 7でも同様に手動でインストール可能だ。自動アップグレード(自動更新)は2014年1月第2週から開始される。
  (1)リストアップされたIE11。2013年11月中旬時点ではまだ自動アップグレードは始まっていないため、チェックボックスはデフォルトでオフになっている。インストールするには、これをオンにする必要がある。

 以前からIEの新版がリリースされると、Windows Updateによって自動的にアップグレードされるようになっている。これは通常の更新プログラムやセキュリティ・パッチと同様、特にユーザーに確認することなく実行される。そのため、Windows Updateでパッチ適用をしている環境では、ある日気が付くとIEがアップグレードされていたということになりがちだ。IE11での検証が終わっていないWebアプリケーションなどを使っている環境では、避けなくてはならない事態だろう(実際、IE11ではIE10以前との互換性に関して変更があるとのことだ。詳細は右上の関連記事を参照)。

 これを防ぐには、マイクロソフトが無償で提供している「Internet Explorer 11 自動配布の無効化ツールキット(IE11ブロック・ツール)」が利用できる。IE11の自動アップグレードが始まる前に、このツールを実行して自動アップグレードを無効化しておけばよいのだ(いったん無効化すると、明示的に有効化するまで自動アップグレードは禁止される)。本稿ではその方法を説明する。ただし、無効化できるのはWindows Updateだけで、次の方法によるアップグレードは禁止できない。

  • WSUS、System Center、SMS(System Management Server)などの運用管理ツールによるインストール
  • IE11のオフライン・インストーラによる手動インストール
  • サードパーティ製パッチ管理ツールによるインストール

 IE11のオフライン・インストーラは、次のWebページからダウンロードできる。

操作方法

●ブロック・ツールのダウンロードと準備

 まず以下のページからIE11ブロック・ツールをダウンロードする。

 このページからファイル「IE11_BlockerToolkit.EXE」をダウンロードして実行すると、次の3つのファイルが展開される。

  • IE11_Blocker.cmd: コマンドラインでIE11の自動インストールを無効化/有効化するためのバッチ・ファイル
  • IE11_Blocker.adm: グループ・ポリシーでIE11の自動インストールを無効化/有効化するためのテンプレート・ファイル
  • IE11_BlockerHelp.htm: このツールのヘルプ

 このように、バッチ・ファイルとグループ・ポリシーのいずれでもIE11の自動インストールを無効化できるようになっている。さらに、このツールを使わずにレジストリを直接編集することでも無効化は可能だ。以下では、それぞれの方法を説明する。

●バッチ・ファイルでIE11の自動インストールを無効化する

 IE11_Blocker.cmdを使うと、ローカル・コンピュータまたはリモート・コンピュータに対して、Windows UpdateによるIE11の自動インストールを無効化/有効化できる。無効化するには以下のコマンドラインを管理者モードで実行する。管理者モードでコマンド・プロンプトを開く手順については、右上の関連記事を参照していただきたい。

IE11_Blocker.cmd [<コンピュータ名>] /B



 <コンピュータ名>を省略すると、IE11_Blocker.cmdを実行しているローカル・コンピュータの設定が変更される。リモート・コンピュータに対しては、「\\」を含めずに<コンピュータ名>を指定する。以下にリモート・コンピュータClientPC01に対してIE11_Blocker.cmdを実行した例を記す。

C:¥temp¥IE11_BlockerToolkit>IE11_Blocker.cmd ClientPC01 /B
MICROSOFT TOOL KIT TO DISABLE DELIVERY OF
INTERNET EXPLORER 11

Copyright (C) Microsoft Corporation.  All rights reserved.

Blocking deployment of Internet Explorer 11 on ClientPC01
この操作を正しく終了しました。



 自動インストールを有効にするには、以下のコマンドラインを実行する。

IE11_Blocker.cmd [<コンピュータ名>] /U



●グループ・ポリシーでIE11の自動インストールを無効化する

Windows Server Insiderの関連記事 グループ・ポリシーのしくみ「グループ・ポリシーの設定ファイル

 まずはグループ・ポリシー・テンプレートのIE11_Blocker.admをグループ・ポリシー管理エディタに組み込む(グループ・ポリシー・テンプレートについては右の関連記事を参照)。それには、まず管理ツールから[グループ ポリシーの管理]ツールを開き、対象のグループ・ポリシー・オブジェクト(GPO)を右クリックして[編集]をクリックする。グループ・ポリシー管理エディタが現れたら、左ペインから[コンピュータの構成]−[ポリシー]−[管理用テンプレート]を右クリックし、[テンプレートの追加と削除]を実行する。

 以下ではWindows Server 2008 R2ベースのActive Directory(AD)での操作方法を説明する(Windows Server 2003ベースのADでは、後で説明するように注意が必要だ)。

グループ・ポリシー管理エディタからIE11_Blocker.admを追加する グループ・ポリシー管理エディタからIE11_Blocker.admを追加する
これはWindows Server 2008 R2ベースのActive Directoryに対して設定しているところ。
  (1)これを右クリックする。
  (2)これをクリックすると、「テンプレートの追加と削除」ダイアログが表示される。そこで[追加]ボタンをクリックしてIE11_Blocker.admを指定して組み込む。

 「テンプレートの追加と削除」ダイアログが表示されたら、[追加]ボタンをクリックしてIE11_Blocker.admを指定して組み込む。すると「現在のポリシー テンプレート」欄に[IE11_Blocker]というテンプレートが加わる。これでテンプレートの組み込みは完了だ。

 グループ・ポリシー管理エディタのメイン画面に戻ったら、左ペインの[コンピュータの構成]−[ポリシー]−[管理用テンプレート]−[従来の管理用テンプレート (ADM)]−[Windows Components]−[Windows Update]−[Automatic Updates Blockers v3]を選択する。右ペインに[Do not allow delivery of Internet Explorer 11 through Automatic Updates]という項目が表示されたら、それをダブルクリックする。

IE11の自動インストールを無効化/有効化するためのポリシー IE11の自動インストールを無効化/有効化するためのポリシー
これはIE11_Blocker.admによって追加されたポリシーである。
  (1)これを選択する。
  (2)これをダブルクリックすると、このポリシーのプロパティが表示される。

 すると次のプロパティ画面が表示されるので、IE11の自動インストールを止めるなら[有効]を、自動インストールを受け入れるなら[無効]をそれぞれ選択する。

IE11の自動インストールを無効化/有効化する設定項目 IE11の自動インストールを無効化/有効化する設定項目
これは、前述のグループ・ポリシー・テンプレートによって追加された[Do not allow delivery of Internet Explorer 11 through Automatic Updates]ポリシーのプロパティ画面である。
  (1)通常のグループ・ポリシーとは異なり、いったん(2)(3)をオンにした後にこれをオンにしても、未構成にはならない。例えば(2)をオンにした後に自動インストールを受け入れるべくこれをオンにしても、無効化されたままだ。明示的に(2)(3)を選ぶこと。
  (2)IE11の自動インストールを無効化するには、これをオンにする。
  (3)IE11の自動インストールを有効化するには、これをオンにする。

 通常のグループ・ポリシーと異なり、この設定項目はいったん[有効]または[無効]に設定すると、[未構成]を選んでも未構成状態に戻らず、その前の設定を保持したままになってしまうので注意してほしい。いったん[有効]または[無効]にした後で設定を変える場合は、必ず[有効]または[無効]のどちらかを選ぶこと。

 [OK]ボタンをクリックしてプロパティを閉じればGPOの設定は完了だ。そのGPOを対象のドメインあるいはOUにリンクして適用し、しばらく待つと自動的にドメイン所属PCに設定が反映される。手動ですぐに反映するには、クライアントPC側でgpupdateコマンドを実行すればよい。それぞれの操作手順の詳細は、関連記事のリンク先ページを参照していただきたい。

〇Windows Server 2003ベースのActive Directoryでの注意点

 Windows Server 2003ベースのActive DirectoryでIE11_Blocker.admを利用する場合、以下に注意して設定する必要がある。

 まずグループ・ポリシー・テンプレートを組み込む際は、グループ・ポリシー・エディタで[コンピュータの構成]−[管理用テンプレート]を右クリックしてから、[テンプレートの追加と削除]を実行する必要がある。

 また、[管理用テンプレート]を選択したまま、メニュー・バーの[表示]−[フィルタ]を実行し、[完全に管理されているポリシー設定のみ表示します]のチェックを外してオフにすること。これで当該ポリシーがグループ・ポリシー・エディタに表示されるようになる。

 これで左ペインから[コンピュータの構成]−[管理用テンプレート]−[Windows Components]−[Windows Update]−[Automatic Updates Blockers v3]とたどっていくと、当該ポリシーが右ペインに表示されるはずだ。

●レジストリ設定でIE11の自動インストールを無効化する

[注意]

レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリ・エディタの操作は慎重に行うとともに、あくまで御自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。


 Windows Updateは、以下のレジストリの値を参照して、IE11を更新対象としてリストアップするかどうかを決定する。前述のIE11_Blocker.cmdやIE11_Blocker.admは、このレジストリ設定を簡単に変更できるようにしたものだ。つまり、これらのツールを用いなくても、以下のレジストリ・エントリを操作できればIE11の自動インストールを無効化/有効化できる。クライアントのレジストリ操作が可能な管理ソフトウェアを運用しているなら、直接このレジストリを設定してもよいだろう。

項目 内容
キー HKEY_LOCAL_MACHINEの
SOFTWARE\Microsoft\Internet Explorer\Setup\11.0
値の名前 DoNotAllowIE11
REG_DWORD
値の内容 1 → IE11の自動インストールを無効化する
0 → IE11の自動インストールを有効化する(0にするか、この値そのものを削除する)
Windows UpdateによるIE11の自動インストールを無効化するためのレジストリ設定

●自動インストールを有効化する際はIE10の設定に注意

 ここまで説明してきた設定方法とは別に、IE10から自動アップグレードを有効化/無効化する設定項目が追加されている。ツール・バー右端の歯車アイコンをクリックして[バージョン情報]を選ぶと表示されるダイアログに、[新しいバージョンを自動的にインストールする]というチェックボックスが表示されるはずだ。デフォルトではオンになっているこのチェックボックスから、チェックを外してオフにすることでも、自動インストールを無効化できる。

IE10の自動アップグレードの設定項目 IE10の自動アップグレードの設定項目
これは、IE10のツール・バー右端の歯車アイコンをクリックして[バージョン情報]を選ぶと表示されるダイアログ。
  (1)このチェックを外してオフにすると、新バージョンのIEがWindows Updateから自動的にインストール(アップグレード)されることを防止できる(デフォルトではオン、すなわち自動アップグレードが有効である)。

 注意すべきは、IE11の自動インストールを有効にする場合、前述のブロック・ツールでブロックを解除しつつ、この自動アップグレード設定も有効化しなければならない、という点だ。片方で有効にしても、他方が無効になっていると、引き続きIE11は自動インストールされない。IE10からの新機能ということで、この自動アップグレード設定は見落としやすいかもしれないので気を付けたい。

●IE9/IE10の自動インストールにも注意

 IE11ブロック・ツールによってインストールが無効化されるのはIE11だけであり、IE9やIE10はブロックされない。IE9/IE10をブロックするには右側の関連記事にあるIE9/IE10それぞれのブロック・ツールを利用する必要がある。例えば、Windows 7/Windows Server 2008 R2でプレインストールのIE8を使い続けたいなら、IE9/IE10/IE11に対応する各ブロック・ツールをすべて実行して、それぞれ自動インストールを無効化しなければならない。

■更新履歴

【2014/01/06】マイクロソフトから日本におけるIE11の自動アップグレード開始予定が発表されたことを受けて、その旨を追記しました。

【2013/11/22】初版公開。


「Windows TIPS」のインデックス

Windows TIPS

Copyright© 1999-2014 Digital Advantage Corp. All Rights Reserved.

TechTargetジャパン

@IT eBookシリーズ、創刊

ホワイトペーパー(TechTargetジャパン)

注目のテーマ

Focus

- PR -

転職/派遣情報を探す

【転職サーチ】SIer/Web企業/新規事業 スマホ開発で、あなたのキャリアを生かす

「派遣・フリーで働くメリット」とは? 活躍する派遣エンジニアの本音

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。