IEプロキシ設定はグループポリシーで管理できる? できない?:その知識、ホントに正しい? Windowsにまつわる都市伝説(22)(1/2 ページ)
「Internet Explorer」のホームページやプロキシ設定をグループポリシーで管理している企業や組織は多いと思います。IE 10のリリースでグループポリシーによるIEの設定管理に大きな変更があったため、IE 10/11の設定配布に悩んでいる管理者は多いかもしれません。ちょっと整理しておきましょう。もしかしたら、実際はできるのに、できないものと誤解しているかもしれません。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
実は、筆者も勘違いしていました……
Windows 7向けに「Internet Explorer(IE)10」がリリースされたときに、次のような話を聞いたことはないでしょうか。
- IE 10のPCにホームページやプロキシ設定のポリシーが意図したように適用されなくなった
- IE 10はグループポリシーで管理できなくなった
- IE 10はグループポリシーの基本設定をサポートしなくなった
どの話も正しくはないのですが、全く間違っているというわけではありません。
実は、筆者自身もつい先日までWindows 7のプロキシ設定に関しては「グループポリシーの基本設定」(詳細は後述)で、レジストリ設定(HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Internet SettingsのProxyEnable値、ProxyServer値、ProxyOverride値など)を配布するか、グループポリシーではなく「Internet Explorer管理者キット(IEAK)」を使用してプロキシ設定を配布するかの二つの方法しかないと勘違いしていました。
先に結論をいうと、IE 10/11のホームページやプロキシ設定をグループポリシーの仕組みで管理することは可能です。具体的には、Windows 7のIE 10またはIE 11、Windows 8のIE 10、Windows 8.1のIE 11について、グループポリシーで以下のことができます。Windows ServerのIE 10またはIE 11についても同様にできます。
- IE 10やIE 11のホームページやセキュリティゾーン、詳細設定は「IE用の管理用テンプレート」を使用して管理することが可能です。ただし、プロキシ設定はこの方法で管理できません
- IE 10やIE 11の設定を、グループポリシーの基本設定で管理することは可能です。こちらは、プロキシ設定の管理もできます
IEのメンテナンス(IEM)ポリシーはIE 10で廃止
IEの設定のグループポリシーによる管理に関して混乱が生じたのは、IE 10が登場してからです。
IE 9まではグループポリシーやローカルコンピューターポリシーの「ユーザーの構成¥(ポリシー¥)Windowsの設定」に、「Internet Explorerのメンテナンス」(Internet Explorer Maintenance:IEM)というポリシー設定が存在しました。
「Internet Explorerのメンテナンス」は、グループポリシーエディターの拡張(ieaksie.dll)と、ポリシー適用対象のクライアント側の拡張(iedkcs32.dll)で実現される、IEの設定をクライアントに配布するための仕組みです。
「Internet Explorerのメンテナンス」を使用すると、IEのホームページやプロキシ設定、セキュリティ設定、詳細設定(優先モードのみ)の主要な設定をGUIで簡単に設定できるため、IEの設定の集中管理に利用していた企業は多かったのではないでしょうか(画面1)。
管理用テンプレートにある通常のポリシー設定とは異なり、「Internet Explorerのメンテナンス」で配布された設定は、ユーザーによる上書きが可能です。既定の標準モードでは定期的に設定がリフレッシュされ、ユーザーによる変更は破棄されますが、優先モードを使用してユーザーによる変更を完全に許可することもできます。
日本語環境ではモードと動作の対応が分かりにくいのですが、標準モードは「Normal Mode」、優先モードは「Preference mode」です。優先モードは、IEの初期設定を配布する目的に適していました。一方、標準モードは「疑似ポリシー」とも呼ばれ、ユーザーによる設定変更を完全に禁止できないため、強制力に欠ける部分がありました。
「Internet Explorerのメンテナンス」はIE 10ではサポートされなくなり、IE 10以降がインストールされたWindowsのグループポリシーエディターからは、このポリシー項目が削除されました。IE 9以前は引き続き「Internet Explorerのメンテナンス」をサポートしますが、グループポリシーを編集する管理端末がIE 10以降を実行している場合、「Internet Explorerのメンテナンス」を表示したり、編集したりすることはできなくなります。
IEの管理用テンプレート(inetres.admx)があるじゃないか!
実は、IEの設定は「Internet Explorerのメンテナンス」以外にも、「IE用の管理用テンプレート」(inetres.admx)を使用した方法が以前からありました。例えば、ホームページの設定は、以下のポリシーで強制できます(画面2)。
ユーザーの構成¥ポリシー¥管理用テンプレート¥Windowsコンポーネント¥Internet Explorer¥ホームページの設定の変更を許可しない
最新の管理用テンプレートは、IE 5からIE 11までの設定に対応したポリシーを提供します。管理用テンプレートによるポリシー管理は、コンピューターやユーザーに強制でき、ポリシーの適用対象外になれば元のローカルコンピューターやユーザーの設定に戻ります。IEの設定を強制したい場合は、「Internet Explorerのメンテナンス」や、この後説明する「グループポリシーの基本設定」よりも管理用テンプレートによる管理の方が適しています。
最新の更新プログラムが適用済みのIE 11がインストールされているWindowsでグループポリシーを編集すれば、IE 11の新機能に対応した最新の管理用テンプレート(inetres.admxおよびinetres.adml)を利用できます。古いバージョンのIEがインストールされている環境の場合は、以下のIE 11用の管理用テンプレートを導入することで最新のポリシーに対応できます。
- Administrative Templates for Internet Explorer(inetres.admx)[英語](Microsoft Download Center)
IE用の管理用テンプレートを使用すれば、クライアントのホームページ、セキュリティゾーンの設定、インターネットオプションの詳細設定など、IEのほとんどの設定を一元的に管理できます。しかし、プロキシ設定に関しては、以下のポリシーでプロキシ設定の変更を禁止できるだけで、プロキシ設定そのもの(プロキシサーバーのアドレスとポート番号)を設定するためのポリシーは用意されていません。
ユーザーの構成(またはコンピューターの構成)¥ポリシー¥管理用テンプレート¥Windowsコンポーネント¥Internet Explorer¥プロキシの設定を変更できないようにする
IEのプロキシ設定には基本設定を使用できる
グループポリシーによるIE設定の配布方法としては、もう一つ「グループポリシーの基本設定」(Group Policy Preferences)を使用する方法があります。
「グループポリシーの基本設定」は、Windows Server 2008のグループポリシーで初めて導入された、比較的新しいグループポリシー機能です。この機能は「Internet Explorerのメンテナンス」と同様、ユーザーによる設定の上書きが可能であるため、主にコンピューターやユーザーの初期設定を配布するために利用します。
「Internet Explorerのメンテナンス」との違いは、IEだけでなく、環境編集やレジストリ設定、フォルダーやショートカットの作成、フォルダーオプションの設定、ローカルユーザーやグループの作成、プリンターの設定、タスクの作成、サービスのスタートアップの設定など、広範囲のシステムまたはユーザー設定の配布に対応している点です。
IE 9までは、「Internet Explorerのメンテナンス」と「グループポリシーの基本設定」の両方でIE設定の配布が可能でした(画面3)。IE 10で「Internet Explorerのメンテナンス」が廃止されたのは、「グループポリシーの基本設定」への一本化を考慮したものと想像します。問題は「グループポリシーの基本設定」のIE 10への対応が、Windows Server 2012のグループポリシーで行われたことにあります。
画面3 IE 9までは「Internet Explorerのメンテナンス」と「グループポリシーの基本設定」のいずれかで、IE設定を配布できた。なお、基本設定の「Internet Explorer 8」はIE 8とIE 9の設定の配布に対応Windows Server 2008 R2以前のActive Directoryドメインで、グループポリシーの編集に利用するWindows 7またはWindows Server 2008 R2のIEをIE 10/11にアップグレードした場合、IE 10/11の設定の配布に「Internet Explorerのメンテナンス」と「グループポリシーの基本設定」のどちらも使用できない状態になるのです。
つまり、プロキシ設定をグループポリシーで管理する標準的な方法が失われてしまうのです。グループポリシーでプロキシ設定を管理するのに残された方法は、「基本設定¥Windowsの設定¥レジストリ」でプロキシ設定のレジストリ値を配布する方法だけになります。
現在は、Windows Server 2012以降のActive Directoryドメインにアップグレード済みであれば、「グループポリシーの基本設定」を使用してプロキシ設定を含むIE 10/11の設定を配布できます。また、Windows Server 2008 R2以前のActive Directoryの場合も、ドメインメンバーにWindows 8以降またはWindows Server 2012以降があれば、そのコンピューターの「グループポリシーの管理」スナップインを使用して、IE 10/11の基本設定を作成し、配布することが可能です(画面4、画面5)。
基本設定で配布したプロキシ設定を強制したい場合は、前出の「プロキシの設定を変更できないようにする」ポリシーを組み合わせる方法があります(画面6)。
画面6 基本設定でプロキシ設定を配布し、「プロキシの設定を変更できないようにする」ポリシーで上書き禁止にしたクライアント。ポリシー設定を開けないので、レジストリを参照して、プロキシ設定が配布されていることを確認したCopyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。