Internet Explorer 11の自動インストールをブロックするTech TIPS

Windows 7ではデフォルトで、Internet Explorer(IE) 11がWindows Updateによって自動的にインストールされる。これをブロック(無効化)することは可能だ。しかし、間もなく古いIEのサポートが終了するため、それまでにブロックを解除(有効化)してIE11にアップグレードすることを検討すべきだ。

» 2015年07月14日 05時00分 公開
[島田広道デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

対象ソフトウエア:Windows 7/Windows Server 2008 R2、IE11



解説

 現在、Windows 7のWindows Updateでは、デフォルトでInternet Explorer(IE) 11が自動的にインストールされるように設定されている。つまり、標準のIE8あるいは後からインストールしたIE9やIE10が、自動的にIE11へアップグレードされる、ということだ。

 その一方で、このIE11の自動インストールをブロック(無効化)するための手段として、「Internet Explorer 11 自動配布の無効化ツールキット(IE11ブロックツール)」がマイクロソフトから無償で提供されている。これにより、互換性などの理由からIEをアップグレードしたくない場合は、自動インストールを止めることで古いIEのまま運用し続けることが可能だ。

Windows Updateから自動でインストールされるIE11 Windows Updateから自動でインストールされるIE11
これはWindows 7の例だが、Windows Server 2008 R2でも Windows Updateからのインストールは可能だ。
  (1)リストアップされたIE11。チェックボックスがオンになっていて、自動でインストールされる対象であることが分かる。

 ところがWindows 7/Windows Server 2008 R2では、2016年1月13日をもって、IE11より前のバージョンのIEのサポートが終了することになってしまった。それ以後は、新たなセキュリティパッチを無償で適用できなくなり、今後も発覚するだろう脆弱性を修正できなくなる。つまり、この日に古いIEの寿命が実質的に終わるということだ(詳細は右上の関連記事を参照)。

 それまでにはIE8/IE9/IE10をIE11にアップグレードしなければならない。もしWindows Updateの自動更新を使ってアップグレードするなら、以前にブロックしたIE11の自動インストールを再び有効化しておく必要がある。

 そこで本TIPSでは、IE11の自動インストールを無効化する方法とともに、有効化する方法についても説明する。

 ただし、本TIPSの手法で制御できるのはWindows Updateによる自動インストールだけで、次の手段(ツール)は無効化も有効化もできない。

  • WSUS、System Centerなどの運用管理ツールによるインストール
  • IE11のオフラインインストーラーによる手動インストール
  • サードパーティ製パッチ管理ツールによるインストール

 IE11のオフラインインストーラーは、次のWebページからダウンロードできる。

操作方法

 IE11の自動インストールを無効化/有効化するには、「バッチファイルを実行する」「グループポリシーを設定する」「レジストリを設定する」という3種類の方法がある。このうちブロックツールとグループポリシーについては、マイクロソフト提供の「IE11ブロックツール」が必要だ。

■ページ内目次

●ブロックツールのダウンロードと準備

 まず以下のページからIE11ブロックツールをダウンロードする。

 このページから自己展開ファイル「IE11_BlockerToolkit.EXE」をダウンロードして実行すると、次の3つのファイルが展開される。

  • IE11_Blocker.cmd: コマンドラインでIE11の自動インストールを無効化/有効化するためのバッチファイル
  • IE11_Blocker.adm: グループポリシーでIE11の自動インストールを無効化/有効化するためのテンプレートファイル
  • IE11_BlockerHelp.htm: このツールのヘルプ

●バッチファイルでIE11の自動インストールを無効化/有効化する

 IE11_Blocker.cmdを使うと、ローカルまたはリモートのコンピューターに対して、Windows UpdateによるIE11の自動インストールを無効化/有効化できる。無効化するには以下のコマンドラインを管理者モードで実行する。管理者モードでコマンドプロンプトを開く手順については、右上の関連記事を参照していただきたい。

IE11_Blocker.cmd [<コンピューター名>] /B



 <コンピューター名>を省略すると、IE11_Blocker.cmdを実行しているローカルコンピューターの設定が変更される。リモートコンピューターの設定を変更する場合は、以下のように「\\」を含めずに<コンピューター名>を指定する。

C:¥temp¥IE11_BlockerToolkit>IE11_Blocker.cmd ClientPC01 /B  ……「ClientPC01」というリモートのPCの設定を変更する
MICROSOFT TOOL KIT TO DISABLE DELIVERY OF
INTERNET EXPLORER 11

Copyright (C) Microsoft Corporation.  All rights reserved.

Blocking deployment of Internet Explorer 11 on ClientPC01
この操作を正しく終了しました。



 自動インストールを有効にするには、以下のコマンドラインを実行する。

IE11_Blocker.cmd [<コンピューター名>] /U



●グループポリシーでIE11の自動インストールを無効化/有効化する

Windows Server Insiderの関連記事 グループ・ポリシーのしくみ「グループ・ポリシーの設定ファイル

 まずはグループポリシーテンプレートのIE11_Blocker.admをグループポリシー管理エディターに組み込む(グループポリシーテンプレートについては右の関連記事を参照)。

 それには、まず管理ツールから[グループ ポリシーの管理]ツールを開き、対象のグループポリシーオブジェクト(GPO)を右クリックして[編集]をクリックする。グループポリシー管理エディターが現れたら、左ペインから[コンピューターの構成]−[ポリシー]−[管理用テンプレート]を右クリックし、[テンプレートの追加と削除]を実行する。

IE11の自動インストール用グループポリシーテンプレートを追加する(その1) IE11の自動インストール用グループポリシーテンプレートを追加する(その1)
これはWindows Server 2008 R2ベースのActive Directoryに対して設定しているところ。
  (1)[管理用テンプレート]を右クリックする。
  (2)[テンプレートの追加と削除]をクリックする。
IE11の自動インストール用グループポリシーテンプレートを追加する(その2) IE11の自動インストール用グループポリシーテンプレートを追加する(その2)
これはグループポリシーテンプレートを追加/削除するためのダイアログ。
  (3)[追加]ボタンをクリックするとファイルオープンダイアログが現れるので、IE11_Blocker.admを指定して組み込み、[OK]ボタンをクリックする。

 これでテンプレートの組み込みは完了だ。以上の作業は1回だけ行えばよい。

 グループポリシー管理エディターのメイン画面に戻ったら、左ペインの[コンピューターの構成]−[ポリシー]−[管理用テンプレート]−[従来の管理用テンプレート (ADM)]−[Windows Components]−[Windows Update]−[Automatic Updates Blockers v3]を選択する。右ペインに[Do not allow delivery of Internet Explorer 11 through Automatic Updates]という項目が表示されるので、それをダブルクリックして設定する。

グループポリシーでIE11の自動インストールを無効化/有効化する(その1) グループポリシーでIE11の自動インストールを無効化/有効化する(その1)
これはIE11_Blocker.admによって追加されたポリシーである。
  (1)この[Automatic Updates Blockers v3]を選択する。
  (2)[Do not allow delivery of Internet Explorer 11 through Automatic Updates]をダブルクリックする。
グループポリシーでIE11の自動インストールを無効化/有効化する(その2) グループポリシーでIE11の自動インストールを無効化/有効化する(その2)
これは、前述のグループポリシーテンプレートによって追加された当該ポリシーのプロパティ画面である。
  (3)通常のグループポリシーとは異なり、いったん(4)(5)をオンにした後にこれをオンにしても、未構成にはならない。例えば(4)をオンにした後に自動インストールを受け入れるべくこれをオンにしても、無効化されたままだ。明示的に(4)(5)を選ぶこと。
  (4)IE11の自動インストールを無効化すなわちブロックするには、[有効]を選ぶ。
  (5)IE11の自動インストールを有効化すなわち許可するには、[無効]を選ぶ。

 通常のグループポリシーと異なり、この設定項目はいったん[有効]または[無効]に設定すると、[未構成]を選んでも未構成状態に戻らず、その前の設定を保持したままになってしまうので注意してほしい。いったん[有効]または[無効]にした後で設定を変える場合は、[未構成]ではなく、 必ず[有効]または[無効]のどちらかを選ぶこと。

 [OK]ボタンをクリックしてプロパティを閉じればGPOの設定は完了だ。そのGPOを対象のドメインあるいはOUにリンクして適用し、しばらく待つと自動的にドメイン所属のコンピューターに設定が反映される。手動ですぐに反映させるには、クライアントPC側でgpupdateコマンドを実行すればよい(。それぞれの操作手順の詳細は、右上の関連記事のリンク先ページを参照していただきたい)。

●レジストリ設定でIE11の自動インストールを無効化/有効化する

[注意]

レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリエディターの操作は慎重に行うとともに、あくまで御自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。


 Windows Updateは、以下のレジストリの値を参照して、IE11を更新対象としてリストアップするかどうかを決定する。前述のIE11_Blocker.cmdやIE11_Blocker.admは、このレジストリ設定を簡単に変更できるようにしたものだ。

 つまり、これらのツールを用いなくても、以下のレジストリエントリを操作できればIE11の自動インストールを無効化/有効化できる。クライアントのレジストリ操作が可能な管理ソフトウェアを運用しているなら、直接このレジストリを設定してもよいだろう。

項目 内容
キー HKEY_LOCAL_MACHINEの
SOFTWARE\Microsoft\Internet Explorer\Setup\11.0
値の名前 DoNotAllowIE11
REG_DWORD
値の内容 1 → IE11の自動インストールを無効化する
0 → IE11の自動インストールを有効化する(0にするか、この値そのものを削除する)
Windows UpdateによるIE11の自動インストールを無効化/無効化するためのレジストリ設定
設定後のシステムの再起動は不要だ。単にWindows Updateで[更新プログラムの確認]を実行しなおせばよい。

●自動インストールされない場合は「非表示の更新プログラム」に注意

 以上の方法でIE11の自動インストールを有効化してもWindows Updateで自動更新されない場合は、まずIE11が「非表示の更新プログラム」として隔離されていないか確認する。

 それにはWindows Updateアプレットの左端メニューにある[非表示の更新プログラムの再表示]をクリックし、表示された更新プログラム一覧にIE11が含まれているか調べる。もし存在していたら、そのチェックを入れてオンにしてから[再表示]ボタンをクリックする。

「非表示の更新プログラム」に隔離されているIE11を自動インストールできるようにする 「非表示の更新プログラム」に隔離されているIE11を自動インストールできるようにする
これはWindows Updateアプレットの左端メニューの[非表示の更新プログラムの再表示]をクリックすると現れる画面。ここに表示される更新プログラムは、以前に「非表示の更新プログラム」に設定された結果、自動ではインストールされなくなったものだ。
  (1)IE11が見つかったら、そのチェックボックスにチェックを入れてオンにする。
  (2)[再表示]ボタンをクリックすると、IE11がWindows Updateでインストール可能になる。

 これでIE11も、インストール可能な更新プログラムの1つとしてリストアップされるようになるはずだ。

●自動インストールされない場合はIE10の設定にも注意

 以上の手順でもIE11が自動インストールされず、かつIE10がインストール済みの場合は、IE10でIEの自動アップグレードを有効化/無効化する設定項目を確認してみよう。

 それにはまず、IE10のツールバー右端の歯車アイコンをクリックして[バージョン情報]を選ぶ。ダイアログが表示されたら、[新しいバージョンを自動的にインストールする]にチェックが入ってオンになっていることを確認する。

IE10の自動アップグレードの設定項目 IE10の自動アップグレードの設定項目
これは、IE10のツールバー右端の歯車アイコンをクリックして[バージョン情報]を選ぶと表示されるダイアログ。
  (1)[新しいバージョンを自動的にインストールする]はデフォルトではオン、すなわち自動アップグレードが有効である。このチェックが外れていてオフの場合、IE11は自動インストールされないので、チェックを入れてオンにする。

 これはIE10から実装された機能で、見落としやすいかもしれないので気を付けたい。

●IE9/IE10の自動インストールについては別途設定

 IE11ブロックツールによってインストールが無効化されるのはIE11だけであり、IE9やIE10はブロックされない。IE9/IE10をブロックするには右側の関連記事にあるIE9/IE10それぞれのブロックツールを利用する必要がある。

■更新履歴

【2015/07/14】IE10以前が2016年1月でサポート終了するため、IE11へアップグレードできるように、ブロックを解除して自動インストールを有効化するための手順を重視して、記事を更新しました。

【2014/01/06】マイクロソフトから日本におけるIE11の自動アップグレード開始予定が発表されたことを受けて、その旨を追記しました。

【2013/11/22】初版公開。


「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。