Out-of-date ActiveX Control Blocking 機能のご紹介

August 19, 2014, 5:50 pm

≪ Previous: Internet Explorer 関連のトラブルシュート ~Fiddler 編~

こんにちは。Internet Explorer サポートの杉谷です。

8月13日(水)に公開されたMS14-051 （KB2976627）より『古いバージョンの ActiveX コントロールの実行をブロックする』機能が追加されています。

この機能は"Out-of-date ActiveX control blocking" と呼ばれ、弊社が提供するブロックリスト(xmlファイル)に基づいて、古いバージョンの ActiveX コントロールの実行時にアップデートを促す警告を表示します。

多くの ActiveX コントロールは自動更新ではないため、バージョンアップされないままになっていることが多く、脆弱性が悪用されるケースが増加しています。

本機能の追加は、より安全なインターネット利用の実現を計る目的があります。

具体的な動作としては、ブロック対象の ActiveXコントロールがIE上で実行される際に以下の通知バーが表示されます。

IE8（メッセージをクリックするとメニューが表示されます）

IE9以降

この機能追加は『セキュリティの脆弱性からご利用のPCを守る』非常に大切なものとなりますので、何卒皆様のご理解を頂ければ幸いです…。

それでは機能の詳細をご紹介していきます。

■対象となるActiveXコントロール

本機能は『広く一般的に利用されている ActiveXコントロール』で『古いバージョンのもの』が対象です。

『個別の Web アプリケーションやシステム向けに開発されている ActiveX コントロール』が対象となるという情報はありませんのでご安心ください。

現時点では以下のActiveXコントロールが対象です。

・J2SE 1.4 update 43 未満

・J2SE 5.0 update 71 未満

・Java SE 6 update 81 未満

・Java SE 7 update 65 未満

・Java SE 8 update 11 未満

※ブロックリストはhttps://iecvlist.microsoft.com/ie11blocklist/1401746408/versionlist.xmlで確認できます。

■対象となる環境

本機能が動作する環境は以下の通りです

・Windows 7 SP1 以降のクライアント OS + IE8 以降

・Windows Server2008 R2以降のサーバーOS + IE8以降

・ローカルイントラネットゾーン / 信頼済みサイト以外のセキュリティゾーン

■ブロック開始時期

MS14-051を適用することで機能自体は追加されますが、実際のブロックは日本時間9月10日(水)を予定しております。
(ブロック処理が記述されたxmlファイルに更新された上で配布されます)

■本機能を無効にする方法1.グループポリシー

IE11がインストールされている環境に MS14-051を適用することでグループポリシーテンプレートが追加されます。

AD環境にIE11がインストールされている場合は MS14-051を適用しポリシーを構成することでクライアント環境にて本機能を無効にできます（配布先クライアントのバージョンについてはIE8以降が対応しています）。

※サーバー環境にMS14-051を適用できない場合は、IE11をインストールしたクライアントOSからリモートサーバー管理ツールを使用することでサーバー環境のGPOにポリシーを構成することが可能です。

場所	[コンピューターの構成] or [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [セキュリティの機能] > [アドオン管理]
名前	[Internet Explorer で古い ActiveX コントロールのブロックを無効にする]
設定	有効
効果	本機能自体が無効化されます

場所	[コンピューターの構成] or [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [セキュリティの機能] > [アドオン管理]
名前	[特定のドメインについて Internet Explorer で古い ActiveX コントロールのブロックを無効にする]
設定	有効
効果	[ドメインの許可リスト]に追加するドメインのみ本機能が無効化されます

なお、IE11がインストールされていないAD上においても、セントラルストアを使用することでテンプレートを使用可能です。

◇Administrative Templates for Internet Explorer（グループポリシーテンプレート）

http://www.microsoft.com/en-us/download/details.aspx?id=40905

◇グループポリシー用の ADM テンプレートと ADMX テンプレートの内部（セントラルストアについて記載があります）

http://technet.microsoft.com/ja-jp/magazine/2008.01.layout.aspx

■本機能を無効にする方法2：レジストリ

以下のレジストリを登録することでブロックリストのダウンロードが無効となります。

場所	HKCU\Software\Microsoft\Internet Explorer\VersionManager
名前	DownloadVersionList
種類	REG_DWORD
値	0

ブロックリストは以下のフォルダにダウンロードされます。

%LOCALAPPDATA%\Microsoft\Internet Explorer\VersionManager\versionlist.xml

9月10日（日本時間）以降、ブロック機能が動作するよう更新されたリストをダウンロードすることでブロックが開始されます。

8/28：追記

本レジストリ登録の際、ブロックリスト（xmlファイル）のダウンロード先にファイルが存在する場合は削除してください。

これは、9月10日（日本時間）以降に MS14-051 以降の累積更新を適用した環境では、ブロック機能が動作するxmlファイルがダウンロードされる可能性があり、レジストリの登録のみではブロック機能を無効化できない場合があるためです。裏を返せば、9月9日までにレジストリを登録してあれば、xmlファイルの削除は不要ということでもあります。

■本機能を無効にする方法3：セキュリティゾーンを変更する

本機能は『ローカルイントラネットゾーン』『信頼済みサイト』では動作しないため、セキュリティゾーンを変更することでも回避できます。

※サイトのセキュリティレベルを下げることになりますのでご注意ください。

※セキュリティゾーンはインターネットオプション / グループポリシー / レジストリ配布等で変更可能です。

■事前検証について

ブロック機能の有効/無効化の制御は、弊社 Web サーバーで管理している上述のように xmlファイル内の記述で実現しています。

そのため、事前にブロック機能を有効にして実際の動作を検証頂くことができません（申し訳ありません…）。

代替案として、本機能に含まれる監査ログを利用した検証方法をご紹介します。

8/18 追記：検証方法が公開されました

◇Update to block out-of-date ActiveX controls in Internet Explorer

https://support.microsoft.com/kb/2991000/en-us

※”Testing the out-of-date ActiveX controls feature”という項目に記載がございます。

■監査ログ

MS14-051を適用により追加されるグループポリシーテンプレートにより監査ログ機能を有効にできます（有効にすることで、実際に使用しているActiveXコントロールのバージョン等が確認可能です）。

場所	[コンピューターの構成] or [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [セキュリティの機能] > [アドオン管理]
名前	[Internet Explorer で ActiveX コントロールのログを有効にする]
設定	有効
効果	ActiveXのログ監査機能が有効になります

IE11以外の環境でポリシーテンプレートを利用できない場合は、以下のレジストリを登録することでも監査ログが有効となります（登録には管理者権限が必要です）。

場所	HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
名前	AuditModeEnabled
種類	REG_DWORD
値	1

有効に設定した状態で検証対象の Web アプリケーションを操作することで以下の場所に監査ログが出力されます

%LOCALAPPDATA%\Microsoft\Internet Explorer\AuditMode\VersionAuditLog.csv

■ブロックリスト（versionlist.xml）について

本機能はブロックリストに記述されているバージョンとupdateバージョンを参照し動作します。

ここでは一例として『Java SE 8』でご説明します。

ブロックリストに記述されている"1.8.0_11" から "バージョン8"がブロック対象と判断できますが、update バージョン("11"の部分)に該当するコントロールはブロック対象にはなりませんのでご注意ください。

監査ログと比較して確認される際は、updateバージョンが記述されているもの"以外"はブロック対象とご判断ください。

また、明示的に記載のないモジュールについてはブロック対象外となります。

■その他に追加されるグループポリシーテンプレート

上記でご紹介したグループポリシーテンプレート以外では以下のものが追加されます。

場所	[コンピューターの構成] or [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [セキュリティの機能] > [アドオン管理]
名前	[Internet Explorer から古い ActiveX コントロールに対する[今回は実行]ボタンを削除する]
設定	有効
効果	ブロック時に表示される通知バーから[今回は実行]が削除されます

■公開情報

◇Out-of-date ActiveX control blocking

http://technet.microsoft.com/en-us/library/dn761713.aspx

◇IEBlog - Internet Explorer begins blocking out-of-date ActiveX controls

http://blogs.msdn.com/b/ie/archive/2014/08/06/internet-explorer-begins-blocking- out-of-date-activex-controls.aspx

…

以上です。色々とお手間をお掛けしますが宜しくお願いします！

↧

エンタープライズモードの設定方法について

August 29, 2014, 5:07 am

≫ Next: "Internet Explorer のメンテナンス"廃止に伴う代替案の紹介 - Part2.基本設定でのレジストリ（セキュリティゾーン）配布

≪ Previous: Out-of-date ActiveX Control Blocking 機能のご紹介

こんにちは。日本マイクロソフトの北澤です。

今回は、Internet Explorer 11 でご利用いただける “エンタープライズモード” の設定方法について、ご案内します。

エンタープライズモードの基本的な機能については、以下のブログ記事でご案内しました。

早わかり！エンタープライズモード

http://blogs.technet.com/b/jpieblog/archive/2014/08/08/3635654.aspx

この度発表されたIEサポートポリシー変更に伴い、2016年1月12日より最新版のIEのみがサポート対象となりました。

そのため、現行の最新版であるIE11 への移行を考える時期に差し掛かっているかと思います。

そこで今回は、IE11 において互換性のある状態のために用意されたエンタープライズモードの使い方と設定方法をご紹介します。

サポートが終了してもIE8で表示したい、IE11とIE8で見たいページがそれぞれにある、という方にまずはとにかく使い始めてほしい機能です。

使い方はそれほど難しくありませんので、是非本記事を参考にしていただけると嬉しいです！

0.前提条件

2014 年 4 月にリリースされた以下の更新プログラムを適用することで、エンタープライズモードをご利用いただくことが可能となります。

Windows 7、Windows Server 2008 R2

　技術文書番号：2929437

　タイトル：Windows 7 および Windows Server 2008 R2 の Internet Explorer 11 のセキュリティ更新プログラムについて (2014 年 4 月 8 日)

　URL：http://support.microsoft.com/kb/2929437/ja

Windows 8.1、Windows Server 2012 R2

　技術文書番号：2919355

　タイトル：Windows RT 8.1、8.1 の Windows、および Windows Server 2012 の R2 の更新プログラム:2014 年 4 月

　URL：https://support.microsoft.com/kb/2919355/ja

上記の更新プログラムを適用することでエンタープライズモードをご利用いただくことが可能となりますが、これらの更新プログラムのみだと以下の問題が発生いたします。なお、KB2956283 に記載の通り、問題はすでに修正されておりますので、ご安心ください。

文書番号 : 2956283

タイトル : Internet Explorer 11 crashes when you turn on or turn off Enterprise Mode in the Tools menu

http://support.microsoft.com/kb/2956283/en-us

そのため、上記の修正プログラム (KB2956283) を個別に適用するか、エンタープライズモードと併せて MS14-035 以降の更新プログラムも適用してください。

では、上記の更新プログラムの適用が完了しましたら、実際にエンタープライズモードを設定してみましょう。

1. エンタープライズモードを利用する方法

エンタープライズモードで表示する Web サイトを登録する方法として、以下の 2 つの方法があります。

a. ユーザーが各自で登録する

b. 管理者がまとめて登録する

上記の 2 つの方法は、併用することも可能です。それぞれを使用する方法を後述しますので、ご参考ください。

1.1 ユーザーが各自で登録する

技術文書などでは、「ローカル制御」という用語で説明されている方法です。

IE11 の [ツール] メニューから、エンタープライズモードで表示する Web ページを登録する方法です。エンタープライズモードで表示したい Web ページにアクセスし、[ツール] – [エンタープライズモード] を選択することで、その Web ページがエンタープライズモードで表示されます。

この方法を使用する場合は、以下の手順でポリシーを設定する必要があります。ポリシーを設定していない場合は、[ツール] メニューに “エンタープライズモード” の項目が表示されません。

1) グループポリシー管理コンソール (GPMC) から、[グループポリシーエディター] を開きます。

2) 以下のポリシーを設定します。

[コンピューターの構成] または [ユーザーの構成]

– [管理用テンプレート]

– [Windows コンポーネント]

– [Internet Explorer]

– [[ツール] メニューからエンタープライズモードを有効にして使用できるようにする]

3) [有効]を選択します。必要に応じて [ユーザーがエンタープライズモードを有効にして使用した場合に、その対象となった Web サイトに関するレポートを受信する場所 (URL)] を指定します。URL の指定が無くても構成することが可能です。(この設定の内容については後述いたします。)

これで設定は完了です。ポリシーが [有効] に構成されると、Internet Explorer 11 の [ツール] メニューに [エンタープライズモード] という項目が追加されます。

この状態で、エンタープライズモードで表示したい Web サイトにアクセスし、[エンタープライズモード] の設定をクリックすることで、その Web ページをエンタープライズモードで閲覧することができるようになります。エンタープライズモードで閲覧している間は、アドレスバーの左にエンタープライズモードのマークが現れます。

どの Web ページをエンタープライズモードで表示するかは、クライアント内に記憶されており、次にそのページへアクセスした際は、最初からエンタープライズモードで設定されています。エンタープライズモードの設定を解除したい場合は、再度その Web ページにアクセスし、[エンタープライズモード] の設定をクリックします。

※ 補足

ユーザーがエンタープライズモードの設定を行った際、[ユーザーがエンタープライズモードを有効にして使用した場合に、その対象となった Web サイトに関するレポートを受信する場所 (URL)] が設定されていれば、Internet Explorer は指定された URL に対して、ユーザーが指定した操作とそのページのアドレスを POST メソッドを使って送信します。その POST データをサーバーで処理/蓄積することで、管理者はユーザーがどのようなサイトで互換性の問題に直面したのか、またどのようなサイトを一元管理リストに追加すべきかを確認できます。この機能については以下の MSDN の記事に記載されておりますので、ご参考ください。

エンタープライズモードのローカル制御とログを有効にする

http://msdn.microsoft.com/ja-jp/library/dn640690.aspx

1-2. 管理者がまとめて登録する

技術文書等では、「サイト一覧を使用する」という用語で説明されている方法です。

エンタープライズモードで表示したいサイトを、管理者がまとめて設定する方法です。ユーザーが自ら設定する方法とは異なり、ドメインごとの登録も可能であるため、例えば社内サイトをすべてエンタープライズモードで表示したいときに便利です。

この方法をする場合は、以下の手順でポリシーを設定するとともに、エンタープライズモードで表示したい Web サイト/ドメインの一覧を記載した xml ファイルを用意し、Web サーバー上に配置する必要があります。

1) グループポリシー管理コンソール (GPMC) から、[グループポリシーエディター] を開きます。

2) 以下のポリシーを設定します。

[コンピューターの構成] または [ユーザーの構成]

– [管理用テンプレート]

– [Windows コンポーネント]

– [Internet Explorer]

– [エンタープライズモード IE の Web サイト一覧を使用する]

3) [有効]を選択します。このとき、併せて xml ファイルへの URL を設定します。(xml ファイルの作成方法は後述します。)

※ xml ファイルの作成方法

xml ファイルの作成手順は以下の通りです。

1) 以下の URL から、Enterprise Mode Site List Manager をダウンロード/インストールします。

Enterprise Mode Site List Manager

http://www.microsoft.com/ja-jp/download/details.aspx?id=42501

2) インストールが完了しましたら、Enterprise Mode Site List Manager を起動します。以下の画面が表示されますので、[Add] から Web サイトの URL やドメインを登録します。

3) 登録が完了しましたら、[File] – [Save to XML] を選択し、xml ファイルを保存します。

上記の方法は以下の MSDN の記事にも記載されておりますので、ご参考ください。

ファイルと Enterprise Mode Site List Manager を使ってエンタープライズモードのサイト一覧に複数のサイトを追加する

http://msdn.microsoft.com/ja-jp/library/dn640696.aspx

2. サーバー OS 以外からの設定 (リモートサーバー管理ツール)

エンタープライズモードのポリシー項目は、IE11 がインストールされた環境でのみ表示されます。そのため、エンタープライズモードに関するポリシーを配布する場合は、Windows Server 2008 R2、もしくは Windows Server 2012 R2 のドメインコントローラーが必要です。なお、ドメインコントローラーが上記のいずれでもない場合も、リモートサーバー管理ツール (RSAT) を利用することで、クライアント OS を使用して、ポリシーを配布することが可能です。エンタープライズモードのポリシーを配布可能な OS は以下の通りです。

・Windows 7 (IE11 がインストールされている必要があります)

・Windows 8.1

それぞれの OS 用の RSAT は、以下の URL からダウンロード/インストールできます。

Windows 7 Service Pack 1 (SP1) 用のリモートサーバー管理ツール

http://www.microsoft.com/ja-jp/download/details.aspx?id=7887

Windows 8.1 用のリモートサーバー管理ツール

http://www.microsoft.com/ja-jp/download/details.aspx?id=39296

3. 参考情報

今回のブログでは、ポリシーを使用してエンタープライズモードを利用する方法についてご紹介しました。また、エンタープライズモードは、レジストリを直接編集することでも、利用することができます。以下の MSDN の記事に詳細が記載されておりますので、併せてご参考ください。

エンタープライズモードとは

http://msdn.microsoft.com/ja-jp/library/dn640687.aspx

エンタープライズモードのローカル制御とログを有効にする

http://technet.microsoft.com/ja-jp/library/dn640690.aspx

エンタープライズモードを有効にしてサイト一覧を使う

http://msdn.microsoft.com/ja-jp/library/dn640699.aspx

以上です。

ぜひみなさんもエンタープライズモードをご利用してみてください！

↧

"Internet Explorer のメンテナンス"廃止に伴う代替案の紹介 - Part2.基本設定でのレジストリ（セキュリティゾーン）配布

September 18, 2014, 5:58 pm

≫ Next: LAN のプロキシサーバーの設定について

≪ Previous: エンタープライズモードの設定方法について

Internet Explorer サポートの杉谷です。

前回はメンテナンスポリシーの廃止に伴う代替案として『基本設定のインターネット設定』について紹介しました。

『インターネット設定』はインターネットオプションと類似のGUIを用いて配布項目を構成 / 配布できる非常に便利な項目ですが、セキュリティゾーンのURLの配布に対応していません（以下の画像のように[サイト]ボタンがグレーアウトしています）。

クライアント環境に対して『変更可能な状態』でセキュリティゾーンのURLを配布（追加も可能）する場合、基本設定の『レジストリ項目』を構成します。

■前提1：基本設定のレジストリ対応環境

前回ご紹介した『インターネット設定』はWindows 7 / Windows Server2008 R2以前の環境からではIE10以降への配布に非対応でしたが、『レジストリ項目』はIEのバージョンを問わず配布可能です。

※バージョン対応表はコチラ

■前提2：セキュリティゾーンのURLが登録されるレジストリ

各セキュリティゾーンのレジストリは以下のように登録されます。

場所	HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ トップレベルドメイン\サブドメイン
名前	プロトコル（http / https）
種類	REG_DWORD
値	1（ローカルイントラネット）/ 2（信頼済みサイト）/ 3（インターネット）/ 4（制限付きサイト

例えば、"http://www.microsoft.com"を"信頼済みサイト"として配布した場合は以下のようになります。

場所	HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ microsoft.com\www
名前	http
種類	REG_DWORD
値	2

■前提3：Internet Explorer セキュリティ強化の構成（IE ESC）

サーバーOSには『Internet Explorer セキュリティ強化の構成（IE ESC）』と呼ばれる機能がございます。

この機能の状態により、登録 / 参照するセキュリティゾーンのレジストリが異なります（既定は"有効"です）。

有効：HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains

無効：HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

配布元 / 配布先の『IE ESC』の状態が異なる状態でセキュリティゾーンの URL を配布すると、登録 / 参照先が異なるため値が反映されません（後述の"レジストリ項目"の設定手順4で直接値を入力すると回避できます）。

このため、セキュリティゾーンの URL をグループポリシーで管理する場合、配布元 / 配布先 IE ESC の状態にご注意ください（クライアントOSにはIE ESC が存在しないため"無効"と同等です）

IE ESC機能についての詳細は以下でもご覧頂けます。

◇Internet Explorer セキュリティ強化の構成による Internet Explorer のユーザー操作の変更

http://support.microsoft.com/kb/815141/ja

上記3つの前提を踏まえて実際の設定方法を紹介します。

■基本設定のレジストリ項目の設定手順

実際に"http://www.microsoft.com"を信頼済みサイトに登録してみます。

1.配布元端末のIE上にて配布URL（http://www.microsoft.com）を信頼済みサイトとして設定します
（誤入力防止のために設定後に登録されるレジストリキーを直接指定して基本設定を構成します）

※設定ができない場合は、手順5 でレジストリ（[キーのパス] / [値の名前] / [値の種類] / [値のデータ]）を直接入力します（手順6/7は不要です）。

2.[グループポリシー管理エディター]を開きます。

3.[ユーザーの構成] > [基本設定] > [Windowsの設定] > [レジストリ] を選択します

4.[レジストリ]を右クリックし、[新規作成] > [レジストリ項目] を選択します。

5.最初に[全般タブ]が開かれます。[アクション]では既定の"更新"を、[レジストリハイブ] は"HKEY_CURRENT_USER"を選択します

6.[キーのパス]項目の[…]ボタンをクリックし、[レジストリ項目ブラウザー]から予め登録したドメインを選択します

7.画面下部に表示される [名前] / [種類] / [データ]欄の [名前]をクリック(反転します)し、[選択]ボタンを押下することで自動的に値が入力されます

※配布元端末に対して配布URLを設定しない場合は、それぞれ直接入力することも可能です。

8.クライアント環境に"一度だけ"適用したい場合は、[共通]タブにおいて [1度だけ適用し、再適用しない] にチェックを入れます

9.[OK]で設定画面を閉じると、作成した設定が登録されます(ログオン等のGPO適用のタイミングでクライアント環境に値が反映されるようになります)

9.実際に配布される項目は、グループポリシーオブジェクト(GPO)を選択した際に右側に表示される画面の[設定]タブにて確認可能です

基本設定については以下のような参考情報もございますのでぜひご覧ください。

◇[レジストリ] 項目を構成する

http://technet.microsoft.com/ja-jp/library/cc753092.aspx

◇共通オプションを構成する

http://technet.microsoft.com/ja-jp/library/cc772371.aspx

■サーバーOS以外からの設定(リモートサーバー管理ツール)

ドメインに参加しているクライアントOS からでもリモートサーバー管理ツール（RSAT）を使うことでサーバーOS上のGPOを編集することができます。

例えば、IE10以降へのインターネット設定配布に対応していない環境(Windows Server2008 R2等)にドメイン参加しているRSATインストール済みのWindows 8以降の環境から、

IE10以降の環境に配布可能なインターネット設定を構成するといった管理が可能です。

◇Windows Vista 用 Microsoft リモートサーバー管理ツール

http://www.microsoft.com/ja-jp/download/details.aspx?id=21090

◇Windows 7 Service Pack 1 (SP1) 用のリモートサーバー管理ツール

http://www.microsoft.com/ja-jp/download/details.aspx?id=7887

◇Windows 8 用のリモートサーバー管理ツール

http://www.microsoft.com/ja-jp/download/details.aspx?id=28972

◇Windows 8.1 用のリモートサーバー管理ツール

http://www.microsoft.com/ja-jp/download/details.aspx?id=39296

インストール後、[コントロールパネル] > [システムとセキュリティ] > [管理ツール] より [グループポリシー管理] を選択し、対象となるGPOを開きます。

※項目がない場合は、[コントロールパネル] > [プログラム] > [Windows の機能の有効化と無効化] より

[リモートサーバー管理ツール] > [機能管理ツール] > [グループポリシー管理用のツール]を有効にします。

※GPOの編集にはドメインに対する編集権限(Domain Admins等)が必要です

…

今回は基本設定の『レジストリ項目』についてご紹介しました。

part3では基本設定で"お気に入り"を配布するために使用する『ショートカット項目』について紹介したいと思います。

↧

LAN のプロキシサーバーの設定について

October 8, 2014, 12:33 am

≫ Next: マイクロソフトセキュリティアドバイザリ 3009008 について

≪ Previous: "Internet Explorer のメンテナンス"廃止に伴う代替案の紹介 - Part2.基本設定でのレジストリ（セキュリティゾーン）配布

こんにちは。IE サポートチームの薄 (うすき) です。

本日は LAN 環境で利用する "プロキシサーバー" の設定についてご紹介します。

プロキシサーバーとは、簡単にいうと LAN 環境のネットワークの出入り口にあって、LAN 環境内からインターネットへ接続するときに、実際のアクセスを "代行" するサーバーのことです。

プロキシサーバーとは

http://windows.microsoft.com/ja-jp/windows-vista/what-is-a-proxy-server

設定は、Internet Explorer のインターネットオプション - [接続] タブの、LAN の設定ボタンを表示したときに表示される [ローカルエリアネットワーク (LAN) の設定] ダイアログで行います。

このダイアログ上の各項目について解説していきます。また、各設定についてよくいただくお問い合わせについても合わせてご紹介しますので、ご参考にしていただければと思います。

1) 自動構成

1-1) 設定を自動的に検出する

2-2) 自動構成スクリプトを使用する

2) プロキシサーバー

2-1) LAN にプロキシサーバーを使用する

2-1-1) ローカルアドレスにはプロキシサーバーを使用しない

2-2) 詳細設定 - プロキシの設定

2-2-1) 使用するプロキシのアドレス/ポート

2-2-2) 例外

1) 自動構成

1-1) 設定を自動的に検出する

"プロキシの自動検出 "WPAD (Web Proxy Auto-Discovery) " を利用するか、しないかを切り替える項目です。

"プロキシの自動検出 "WPAD (Web Proxy Auto-Discovery) " とは

管理者から、各クライアントにプロキシの設定を自動配布するための方法として開発された技術です。設定は管理者が、DHCP サーバーや DNS サーバーで行いますので、クライアント (IE) では本項目をオンにするのみで使用できます。ユーザーに、プロキシサーバー設定の手間をかけることなく、管理者がプロキシサーバー経由の通信を管理できます。

つまり、ネットワーク、環境の管理者が DHCP や DNS に登録した宛先に配置された自動構成スクリプトを検出し、自動構成スクリプトに記載された条件に従い利用するプロキシを利用します。ユーザーから見ると「自動」で利用するプロキシが検出され利用されますが、この設定を行ったのみで環境内にあるプロキシサーバーを IE が自動的に検出して利用するようなものではありません。

自動構成スクリプトについては 1-2) に記載します。

WPAD の詳細につきましては以下のドキュメントをご参照ください。

ブラウザー設定の自動検出と自動構成を有効にする
http://technet.microsoft.com/ja-jp/library/cc817419.aspx

1-2) 自動構成スクリプトを使用する

"自動構成スクリプト" を利用してプロキシサーバーの設定を行うかどうかを切り変える項目です。

本項目は 1-1) 設定を自動的に検出すると同様、プロキシサーバーの設定を自動的にクライアントに配布するために利用します。有効にすると、IE はアドレスで指定された自動構成スクリプトを取得し、記述されている条件に従って、Web サイトにアクセスする際のプロキシサーバーを決定します。

1-1) 設定を自動的に検出すると違うのは、自動構成スクリプトのアドレスをクライアント (IE) で指定する点です。通常は、Web サーバー上に proxy.pac などのファイル名で自動構成スクリプトを保存しておき、そのアドレスを指定します。

自動構成スクリプトとは

条件を判定し、利用するプロキシサーバーを返すスクリプトです。JavaScript で記述します。条件には、アクセス先の URL、IPアドレスや、日時なども指定できます。

例えば以下のように記述された自動構成スクリプトのアドレスを本項目に指定すると、"Web サーバーにホスト名でアクセスした場合はプロキシサーバー経由しないが、それ以外は proxy という名前のプロキシサーバー (ポート:80) を経由する" という仕組みが構成できます。

function FindProxyForURL(url, host)
{
if (isPlainHostName(host))
return "DIRECT";
else
return "PROXY proxy:80";
}

※ よくいただくお問い合わせ : 自動構成スクリプトを取得するタイミング

IE9 以前では、IE のプロセスを起動後、最初に通信を行うタイミングで IE 自身が取得していました。

Windows 8 以降、IE10 以降では、取得を OS の機能 (サービス) によって取得するよう変更されました。この機能では取得した自動構成スクリプトのキャッシュを保持しているため、キャッシュが利用できる間は自動構成スクリプトの取得を行いません。そのため、サーバー上で自動構成スクリプトを更新しても、IE にすぐ反映されない場合があります。

※ よくいただくお問い合わせ : 自動プロキシキャッシュについて

1-1) または 1-2) を有効として、自動プロキシ構成スクリプトがプロキシサーバーを返し、これを経由して IE が Web サイトにアクセスした場合、経由したプロキシサーバーと、アクセス先のホストをキャッシュします。このキャッシュは同一セッション内、つまり IE のプロセスが終了するまで有効です。この機能を "自動プロキシキャッシュ" と呼びます。

"自動プロキシキャッシュ" は、IE における自動構成スクリプトの処理を軽減する、パフォーマンス改善のために実装された機能なのですが、以下のように構成された自動構成スクリプトでは、想定したプロキシサーバーを経由しない場合があります。

function FindProxyForURL (url, host)
{
if shExpMatch (url, "http://webserver/login") return "DIRECT";
else return "PROXY myproxy:80";
}

この自動構成スクリプトでは、http://webserver/loginへのアクセス時は直接接続、その他はプロキシサーバー "myproxy:80" を経由してアクセスさせることを想定しています。しかしながら、実際には http://webserver/loginへのアクセス後、同じサーバー上の他のページ、例えば http://webserver/testにアクセスすると、myproxy:80 を経由せず直接接続してしまいます。

これは、自動プロキシキャッシュが、"URL" ではなく"ホスト (http://webserver) " を基準としているためで、想定された動作になります。

自動プロキシキャッシュについての詳細や、上記動作の回避方法等は、以下の技術文書に詳細をご案内しております。

Internet Explorer の自動プロキシキャッシュを無効にする方法

http://support.microsoft.com/kb/271361/ja

※ よくいただくお問い合わせ : IE11 以降における、file プロトコルでの自動構成スクリプトのアドレス指定について

IE11 では、自動構成スクリプトのアドレスに file プロトコルでアドレスを指定することはサポートされていません。

例えば以下のような指定は無効で、この指定では自動構成スクリプトを利用することができません。

C:\temp\proxy.pac
file://example/proxy.pac

* 動作変更の背景

もともと IE10 以前でも、上記のようなfile プロトコルによる指定は推奨されていませんでした。理由は、IE だけではなく、他のアプリケーションも自動構成スクリプトの設定を利用するものがあるためです。

さらに詳しくいうと、IE が通信に利用するモジュール “WinInet” では上の指定は有効なのですが、Windows Update などが利用する通信モジュール “WinHTTP” では、file プロトコルによる自動構成スクリプトのアドレス指定はサポートされていません。そのため、IE は問題なく自動構成スクリプトを利用でき、通信が行えても、Windows Update 等の他のアプリケーションが自動構成スクリプトを利用できず、問題が発生することがあるのです。これは以下の技術文書でご紹介しています。

自動構成スクリプトの指定方法によって Windows Update が失敗する

http://support.microsoft.com/kb/890444/ja

以上のような背景を踏まえ、file プロトコルでのアドレス指定は、Windows Update 等 WinHTTP を利用しているアプリケーションとの相互運用性を向上させるため、IE11からサポートされなくなりました。

なお、アドレス指定を変更していただくあいだの暫定的な対応策として、以下のレジストリを設定していただくと、IE11 でも file プロトコルでのアドレス指定が有効となります。

キー : HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\
値 : EnableLegacyAutoProxyFeatures
種類 : REG_DWORD
データ: 1

ただしあくまで暫定的な対応のために用意された方法です。

自動構成スクリプトは http またはhttpsプロトコルでアクセス可能な Web サーバーに配置していただき、アドレス指定に切り替えていただけますよう、お手数をおかけしますがよろしくお願いいたします。

以上の内容は、以下のブログ記事でもご紹介しております。

Understanding Web Proxy Configuration

http://blogs.msdn.com/b/ieinternals/archive/2013/10/11/10456140.aspx

2) プロキシサーバー

2-1）LAN にプロキシサーバーを使用する

利用するプロキシサーバーのアドレス、ポートを直接指定したい場合にはこちらを有効にします。

ホスト名、FQDN名、IPアドレスが使用できます。

2-1-1) ローカルアドレスにはプロキシサーバーを使用しない

"ローカルアドレス" で Web サイトにアクセスした場合に、指定されたプロキシサーバーを経由するかどうかを決定します。チェックボックスをオンにすると、プロキシサーバーを経由せず直接 Web サイトにアクセスします。

※ よくいただくお問い合わせ : 対象となる "ローカルアドレス" とは？

ホスト名のみを指定した URL です。例えば "http://contoso" という URL はローカルアドレスなので、本項目を有効にしているとプロキシサーバーを経由しません。一方、http://contosoの "IP アドレス" をアドレスバーに打ち込んでアクセスした場合は、"ローカルアドレス" ではないためプロキシサーバーを経由してしまいますのでご注意ください。

この動作は以下の技術文書でもご紹介しています。

文書番号: 262981
Internet Explorer Uses Proxy Server for Local IP Address Even if the "Bypass Proxy Server for Local Addresses" Option Is Turned On

http://support.microsoft.com/kb/262981/en-us
(
機械翻訳版:
"ローカルアドレスにはプロキシサーバーを使用しない" を有効にしてもローカルの IP アドレスに対して Internet Explorer でプロキシサーバーが使用される
http://support.microsoft.com/kb/262981/ja
)

2-2) 詳細設定 - プロキシの設定

2-2-1) 使用するプロキシのアドレス/ポート

プロキシサーバーのアドレスとポート番号を入力します。プロトコル (http://、ftp://など) で始まらない場合、HTTP プロキシであると見なされます。たとえば、「proxy」と入力すると、「http://proxy」として扱われます。

また、すべての種類で同じプロキシサーバー設定を使用するときは、"すべてのプロトコルに同じプロキシサーバーを使用する" をオンにします。この場合は上のスクリーンショットでお分かりいただけるかと思いますが、HTTP に指定したプロキシサーバー情報が適用されます。

なお、Internet Explorer 8 以降では、プロトコルの種類 gopher://は指定できません。

2-2-2) 次で始まるアドレスにはプロキシを利用しない

プロキシサーバーを経由せずにアクセスしたいアドレスを指定します。複数のアドレスを、セミコロンで区切って複数指定できます。

例外リストに指定可能な文字列の表記形式は以下となります。下記表記形式中の [] で括られる部分は省略可能を意味し、"" で括られる部分は固定の文字列を意味します。

[<プロトコルスキーム>"://"]<ホスト名、FQDN または IP アドレス>[":"<ポート番号>][";"*]

<プロトコルスキーム> は http や ftp 等のプロトコル名を指します。

尚、プロキシサーバーの例外リストに指定可能なプロトコル名に特に制限はございませんが、IE がサポートする通信プロトコルは http、https、ftp、gopher のみ (IE8 以降は gopher プロトコルについてはサポート外) となります。

※よくいただくお問い合わせ : 指定できる最大文字数は？

[プロキシの設定] ダイアログ上で指定できる文字数は最大 2064 バイトです。

※よくいただくお問い合わせ : ワイルドカードは利用できる？

ワイルドカード (*) も使用可能で、以下のようなアドレスも指定できます。

*.example.com ("some.example.com"、"www.example.com" などにマッチ)

"www.*.com" ("www.example.com," "www.department.example.com," 等にマッチ)

"www.example.*" ("www.example.com," "www.example.org," and "www.example.microsoft.com" などにマッチ)

"123.1*.66.*" ("123.144.66.12"、"123.133.66.15"、 "123.187.66.13." 等にマッチ)

"*contoso*" 等も利用できます。

ワイルドカードは強力なので、ご使用にはご注意ください。例えば "www.*.com" をプロキシ例外として指定した場合、非常に多くのサイトが該当してしまうので、意図しないアドレスがプロキシサーバー経由せずにアクセスしてしまった、ということになりかねません。

例外の指定に関しては以下のドキュメントもご参照ください。

Using Proxy Selection and Proxy Bypass Lists

http://technet.microsoft.com/en-us/library/dd361953.aspx

ご参考 1 :複数の項目が有効だった場合、優先順位は？

[インターネットオプション] - [接続]タブの設定は、複数にチェックが入っていた場合上から順に試行されます。つまり、優先順位は以下となります。

1. 設定を自動的に検出する
2. 自動構成スクリプトを使用する
3. LAN にプロキシサーバーを使用する

「自動構成スクリプトを使用する」だけが設定されている場合、指定されたアドレスで自動構成スクリプトが取得できたかどうかによって、次にダイレクト接続を試行するかどうかが決定されます。
自動構成スクリプトの取得に失敗した場合は、プロキシを使用せずに対象の Web サイトへの接続を試みます。
自動構成スクリプトの取得に成功した場合は、自動構成スクリプトから返されたプロキシに接続を試みます。この場合、当該プロキシに接続できる/できないにかかわらず、以降のダイレクト接続の試行は行いません。

また「LAN にプロキシサーバーを使用す1る」も同時に設定されている場合、IE自動構成スクリプトの取得に失敗すると、次に「LAN にプロキシサーバーを使用する」のプロキシを使用した接続を試みます。
このプロキシに接続できなかった場合は、それ以上の試行は行わず「ページを表示できません」のエラーページを表示する動作となります。

ご参考 2 : プロキシサーバーの設定を、外部のアプリケーション、スクリプト等で変更したい

プロキシーサーバーの設定は、レジストリに保存されます。しかしながら、該当のレジストリをレジストリエディタなどで直接編集したり、スクリプトで書き換えたり…といった方法はサポートされていません。なぜなら、対象となるレジストリは 2 つあって整合性を保たなければならないのですが、一方がバイナリ値でその仕様が公開されていないためです。整合性を保つことが難しいですし、片方だけを変更して不整合が発生すると、想定と違うプロキシサーバーを経由してしまう可能性もあります。

外部アプリケーションからプロキシサーバーの変更を行いたいのであれば、wininet の API ”InternetSetOption” を使ったアプリケーションを利用する方法があります。2 つのレジストリの整合性を保ちつつ、プロキシサーバーの設定が行えます。
InternetSetOption のリファレンスと、これを利用したサンプルのご紹介 (少々古いですが) は、以下でご紹介しています。

InternetSetOption Function
http://msdn.microsoft.com/en-us/library/aa385114(VS.85).aspx

文書番号: 226473
How to programmatically query and set proxy settings under Internet Explorer
http://support.microsoft.com/kb/226473/en-us
(
    機械翻訳版 :
    Internet Explorer のプロキシ設定をプログラム的にクエリーし設定する方法
    http://support.microsoft.com/kb/226473
)

以上です。ご参考になりましたでしょうか。

“自動構成スクリプト”については、今後本ブログにてより詳しくご紹介する予定です。

↧

マイクロソフトセキュリティアドバイザリ 3009008 について

October 16, 2014, 10:29 pm

≫ Next: "WPAD" について

≪ Previous: LAN のプロキシサーバーの設定について

こんにちは。日本マイクロソフト Internet Explorer サポートチームの片岡です。
本日は、2014 年 10 月 14 日 (米国時間) に公開いたしました以下のマイクロソフトセキュリティアドバイザリ 3009008 に対する対応策として、IE の設定で SSL3.0 を無効化する方法について説明いたします。

　マイクロソフトセキュリティアドバイザリ 3009008
　SSL 3.0 の脆弱性により、情報漏えいが起こる
　https://technet.microsoft.com/ja-jp/library/security/3009008

この問題は、SSL 3.0 による暗号化通信を行った際に、SSL プロトコルの脆弱性が悪用され、暗号化された通信内容が漏えいする可能性があるというものです。SSL プロトコルに存在する脆弱性が原因であるため、Internet Explorer などの弊社製品に限らず、HTTPS 通信を行うすべてのアプリケーションに影響がございます。ただし、現在まだ本脆弱性を悪用した攻撃は確認されておりません。

SSL 3.0 は、OS/IE それぞれで無効化することができます。OS の設定を無効化しない場合でも、以下のいずれかの対処策によって IE は SSL 3.0 を利用しなくなります。一方、すべての SChannel を使用するアプリケーションにおいて SSL 3.0 を無効化したい場合は、IE ではなく OS の設定を変更する必要があります。

1. [インターネットオプション] で SSL 3.0 を無効化する
2. レジストリを登録して SSL 3.0 を無効化する
3. グループポリシーで SSL 3.0 を無効化する

以下に、IE で SSL 3.0 を無効化する方法について、詳細をご説明します。

1. [インターネットオプション] で SSL 3.0 を無効化する
[インターネットオプション] の [詳細設定] タブで、SSL 3.0 を無効化することができます。具体的には、以下の設定項目です。この設定は既定で有効ですが、無効とすることで SSL 3.0 が無効化され、脆弱性を回避することができます。

2. レジストリを登録して SSL 3.0 を無効化する
上記の設定は、以下のレジストリを登録することでも設定が可能です。

--------------------------
キー：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
または
キー：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
名前：SecureProtocols
種類：REG_DWORD
値：※1 (詳細は後述いたします)
--------------------------

※1 レジストリの値について
SSL 3.0 の他に、IE は複数の暗号化プロトコルに対応しています。各設定項目に割り振られた値 (16 進数) を足し合わせ、ご要望の設定を実現します。それぞれの設定に割り振られた値は以下の通りです。

SSL 2.0 を使用する：0x0008
SSL 3.0 を使用する：0x0020
TLS 1.0 を使用する：0x0080
TLS 1.1 を使用する：0x0200
TLS 1.2 を使用する：0x0800

例えば、以下のように設定したい場合は、レジストリ値を 0x0a80 (= 0x0080 + 0x0200 + 0x0800) とします。

有効：[TLS 1.0 を使用する]、[TLS 1.1 を使用する]、[TLS 1.2 を使用する]

無効：[SSL 2.0 を使用する]、[SSL 3.0 を使用する]

3. グループポリシーで SSL 3.0 を無効化する
グループポリシーでも、上記の設定項目を変更することができます。具体的には、以下のポリシー項目です。

　[コンピューターの構成] - [管理用テンプレート] – [Windows コンポーネント] – [Internet Explorer] – [インターネットコントロールパネル] – [[詳細設定] ページ] – [暗号化サポートを無効にする]

上記のポリシー項目を有効として、[安全なプロトコルの組み合わせ] で [TLS 1.0、TLS 1.1、および TLS 1.2 を使用] を選択することで、SSL 3.0 が無効となり、脆弱性を回避することができます。
なお、ポリシーで設定を変更した場合は [インターネットオプション] 上で設定項目がグレーアウトされるため、ユーザーが設定を変更できなくなります。

以上です。
アップデートなどがあれば随時本ブログに追記をしてきます。
どうぞよろしくお願いいたします。

↧

"WPAD" について

October 22, 2014, 4:46 am

≫ Next: "Internet Explorer のメンテナンス"廃止に伴う代替案の紹介 - Part3.基本設定でのショートカット（お気に入り）配布

≪ Previous: マイクロソフトセキュリティアドバイザリ 3009008 について

こんにちは Internet Explorer サポートの張替です。

今回は、お問い合わせいただくことが多い「プロキシの自動検出」について紹介します。

"プロキシの自動検出 - WPAD (Web Proxy Auto-Discovery)" とは

WPAD は、クライアントにプロキシの設定を自動配布するための方法として開発された技術です。

プロキシの設定はネットワーク管理者が DHCP サーバーや DNS サーバーに対して行います。クライアント (IE) 側では [設定を自動的に検出する] のチェックをオンにするだけで OK です。

これによりユーザーにプロキシサーバー設定の手間をかけることなく、管理者がプロキシサーバー経由の通信を管理できます。

[設定を自動的に検出する] のチェックがオンであると、IE はネットワーク管理者が DHCP サーバーや DNS サーバーに登録した自動構成スクリプトの宛先を「自動的に検出」して取得します。

そして、取得した自動構成スクリプトに記載された条件に従ってプロキシを利用します。

以下の順でスクリプトファイルの格納場所を検出します。

a. DHCP サーバーへ問い合わせ

b. DNS サーバーへ問い合わせ

c. NetBIOS名を用いた問い合わせ

まず DHCP の “DHCPINFORM” プロトコルを使って自動構成スクリプトの URL を取得しようとします。

この取得に失敗した場合は、”wpad” というホスト名に対して HTTP 通信で “/wpad.dat” というファイルの取得を試みます。

wpad.dat というファイル名は固定ですが、ファイルの中身自体は一般的に .pac という拡張子が使われる自動構成スクリプトです。

ホスト名の解決は、DNS → NetBIOS の順に問合わせを行います。

DNS サーバーへの問い合わせは、具体的には以下の手順で行います。ここでは例として、クライアントのコンピュータ名が PC01.example.contoso.com とします。

i. http://wpad.example.contoso.com/wpad.dat へ問い合わせを行う

ii. http://wpad.contoso.com/wpad.dat へ問い合わせを行う

iii. http://wpad.com/wpad.dat へ問い合わせを行う

※ DHCP サーバーにて DHCPINFORM オプションが定義されていない場合のみ、DNS サーバーへの問い合わせを行います。DHCPINFORM オプションが定義されていた場合は、DNS サーバーへの問い合わせは行いません。

DHCP および DNS でスクリプトファイルの場所が特定できない場合、NetBIOS 名を使用し「wpad.dat」ファイルの問い合わせを行います。

以下の弊社ブログにも情報がありますので、併せてご覧ください。

Insight WPAD proxy setting on IE

http://blogs.msdn.com/b/asiatech/archive/2012/08/15/insight-wpad-proxy-settings-on-ie.aspx

DHCP サーバーを使う方法

DHCP サーバーに対してプロキシ設定の自動配布の設定を行うには、コード番号 252 の新しい種類のオプションを作成し、自動構成スクリプトファイルの URL を設定します。

具体的な手順は以下をご覧ください。(ここでは Windows Server 2012 R2 の画面を例としていますが、これ以前のバージョンでも同様です)

上図のように、[IPv4] を右クリックし [既定のオプションの設定] をクリックします。

[既定のオプションと値] ダイアログで、[追加] ボタンをクリックします。

[名前] は、任意の文字列を入力します。

[データ型] は、"文字列" を選択します。

[コード] は、 252 と入力します。

[説明] は、任意の文字列を入力します。

入力後 [OK] ボタンをクリックします。

[既定のオプションと値] ダイアログに戻りますので、[オプション名] に今追加したコード 252 が選択されていることを確認し、[文字列] の部分に自動構成スクリプトファイルの URL を入力します。

[OK] ボタンをクリックします。

[スコープオプション] を右クリックし、[オプションの構成] をクリックします。

[スコープオプション] ダイアログで、[全般] タブの [利用可能なオプション] から先ほど追加したコード 252 を選択します。

[文字列の値] に先ほど設定したものが表示されていることを確認し、[OK] ボタンをクリックします。

オプションに、コード 252 の設定ができたことを確認します。

DNS サーバーを使う方法

DNS サーバーに対してプロキシ設定の自動配布の設定を行うには、まず、”wpad.dat” というファイル名で Web サーバーのルートディレクトリに自動構成スクリプトファイルを格納します。
次に、「wpad」という名前の DNS レコード (A レコードまたは CNAME レコード) を登録します。
以下に Windows Server 2012 R2 の画面での手順をまとめましたのでご参照ください。

[前方参照ゾーン] に A レコードを追加します。

[名前] には、”wpad” を入力します。
[IP アドレス] は、wpad.dat を配置した Web サーバーの IP アドレスを入力します。(この例では 192.168.1.1 としています)

Smart WPAD について

Windows 7 環境の IE8 以降では、Smart WPAD と呼ばれる機能があります。
Windows 7 より前の環境の IE では、WPAD による pac ファイルが『利用できない』ネットワーク環境においても [設定を自動的に検出する] が有効な場合に検出処理を行うため、IE 起動直後の初回のページ表示が遅いという報告が寄せられていました。
Smart WPAD の機能は処理の高速化のための機能であり、OS のネットワーク識別機能を利用し「WPAD により pac ファイルが取得できなかった環境」では同ネットワーク環境下において 30 日間検出を試みないようにするというものです。

こちらのブログ記事も併せてご覧ください！

Internet Explorer Big Changes! (2) - Smart WPAD 機能 (IE8 ～)

http://blogs.technet.com/b/jpieblog/archive/2013/11/15/3611196.aspx

↧

"Internet Explorer のメンテナンス"廃止に伴う代替案の紹介 - Part3.基本設定でのショートカット（お気に入り）配布

November 12, 2014, 9:18 pm

≫ Next: グループポリシーエディタ起動時に発生する inetres.admx のエラーについて

≪ Previous: "WPAD" について

Internet Explorer サポートの杉谷です。

『基本設定のインターネット設定』 / 『基本設定のレジストリ項目』と続き、今回は『基本設定のショートカット』をあっさり気味に紹介します。

『ショートカット』はIEの観点からでは『お気に入り』を配布する際に使用します。

■前提：基本設定のショートカット対応環境

『レジストリ項目』同様、Windows Server 2008 以降の環境であれば、配布先のIEのバージョンを問わず配布可能です。

※バージョン対応表はコチラ

■基本設定のショートカットの設定手順

実際に"http://www.microsoft.com"をお気に入りに登録してみます。

なお、ご存知の方も多いと思いますが、IE で『お気に入り』の追加を行ったときに作成されるショートカットは『インターネットショートカット』で拡張子" .url" のファイルです。

本手順にて作成されるショートカットはこの『インターネットショートカット』です

1.[グループポリシー管理エディター]を開きます。

2.[ユーザーの構成] > [基本設定] > [Windowsの設定] > [ショートカット] を選択します

3.[ショートカット]を右クリックし、[新規作成] > [ショートカット] を選択します。

4.最初に[全般タブ]が開かれます。[アクション]は既定の"更新"のままとします

5.[名前]は %userprofile%\Favorites\<ショートカット名> と入力します。

※例：%userprofile%\Favorites\マイクロソフトのトップページ
（ユーザーのお気に入りフォルダに"マイクロソフトのトップページ"というお気に入りアイコンが作成されます）

6.[ターゲットの種類]は"URL"を、[場所]は"<完全なパス指定>"を選択します

7.[ターゲット URL]にリンク先（"http://www.microsoft.com"）を指定します

8.[共通タブ]の[ログインしているユーザーのセキュリティコンテキストで実行する(ユーザーポリシーオプション）]はそのままにしておきます。

9.クライアント環境に"一度だけ"適用したい場合は、[共通]タブにおいて [1度だけ適用し、再適用しない] にチェックを入れます。

10.[OK]で設定画面を閉じると、作成した設定が登録されます(ログオン等のGPO適用のタイミングでクライアント環境に値が反映されるようになります)

11.実際に配布される項目は、グループポリシーオブジェクト(GPO)を選択した際に右側に表示される画面の[設定]タブにて確認可能です

以下の参考情報もございますのでぜひご覧ください。

◇[ショートカット] 項目を構成する

http://technet.microsoft.com/ja- jp/library/cc753580.aspx

◇共通オプションを構成する

http://technet.microsoft.com/ja- jp/library/cc772371.aspx

■サーバーOS以外からの設定(リモートサーバー管理ツール)

ドメインに参加しているWindows クライアントOS からでもリモートサーバー管理ツール(RSAT)を使うことでサーバーOS上のGPOを編集することができます。

IE10以降の環境に配布可能なインターネット設定を構成するといった管理が可能です。

◇Windows Vista 用 Microsoft リモートサーバー管理ツール

http://www.microsoft.com/ja-jp/download/details.aspx?id=21090

◇Windows 7 Service Pack 1 (SP1) 用のリモートサーバー管理ツール

http://www.microsoft.com/ja-jp/download/details.aspx?id=7887

◇Windows 8 用のリモートサーバー管理ツール

http://www.microsoft.com/ja-jp/download/details.aspx?id=28972

◇Windows 8.1 用のリモートサーバー管理ツール

http://www.microsoft.com/ja-jp/download/details.aspx?id=39296

※項目がない場合は、[コントロールパネル] > [プログラム] > [Windows の機能の有効化と無効化] より

[リモートサーバー管理ツール] > [機能管理ツール] > [グループポリシー管理用のツール]を有効にします。

※GPOの編集にはドメインに対する編集権限(Domain Admins等)が必要です

…

メンテナンスポリシーの代替案として基本設定を3回に渡り紹介しました。

紹介した内容が少しでも皆様のお役に立てましたら幸いです。

↧

グループポリシーエディタ起動時に発生する inetres.admx のエラーについて

November 19, 2014, 9:13 pm

≫ Next: MS14-080 (3008923) の更新プログラムインストール後、IE11でダイアログから表示したダイアログで引数や戻り値を使用できない

≪ Previous: "Internet Explorer のメンテナンス"廃止に伴う代替案の紹介 - Part3.基本設定でのショートカット（お気に入り）配布

IE11 がインストールされている環境でグループポリシーエディタを起動すると、以下のエラーが発生する場合があります。

Windows 8.1 IE11

Windows 7 SP1 IE11

解析中にエラーが発生しました。

ソース'$(string.verMgmtAuditModeEnable)'(属性 displayName で参照) が見つかりませんでした。

ファイル C:Windows\PolicyDefinisions\intres.admx,行1495, 列 249

エラーメッセージ内の"inetres.admx" ファイルは、Internet Explorer 関連の管理用テンプレート ( グループポリシーエディタの中で"管理用テンプレート" - "Windows コンポーネント" - "Internet Explorer" にある項目を定義しているファイル) です。

今回はこのエラーについて、これまでに確認されている原因と解決方法をご紹介します。

なお、記載している情報は 11 月 19 日時点の情報です。今後公開される修正プログラムによって、発生状況は回避策が変わる可能性もあります。その時はまた本ブログにも掲載する予定です。

原因と解決方法

Windows 7 SP1 (Windows Server 2008 R2) + IE11

2929437、及び MS14-051(2976627) を適用せずに、それ以降に公開された修正プログラム (MS14-052 以降)を適用した場合に発生することがあります。

※ MS14-051(2976627) は、2929437 を適用した環境向けの修正プログラムです。

解決方法

2929437、MS14-051(2976627)を適用してください。(MS14-052 以降が適用されている環境に、2929437、MS14-051 を後から適用しても問題ありません。)

修正プログラムの適用状況によっては、MS14-051(2976627) は Windows Update のリストに表示されない場合があります。この場合後述のサイトから個別にダウンロード、適用をお願いします。

* 2929437

Windows 7 および Windows Server 2008 R2 の Internet Explorer 11 のセキュリティ更新プログラムについて (2014 年 4 月 8 日)

http://support.microsoft.com/kb/2929437/ja

以下のサイトよりダウンロード可能です。

64bit OS 向け

Windows 7 x64-based Systems 用 Internet Explorer 11 の累積的なセキュリティ更新プログラム (KB2929437)

http://www.microsoft.com/ja-JP/download/details.aspx?id=42482

32bit OS 向け

Windows 7 用 Internet Explorer 11 の累積的なセキュリティ更新プログラム (KB2929437)

http://www.microsoft.com/ja-jp/download/details.aspx?id=42463

* MS14-051(2976627)

マイクロソフトセキュリティ情報 MS14-051 - 緊急

Internet Explorer 用の累積的なセキュリティ更新プログラム (2976627)

https://technet.microsoft.com/ja-jp/library/security/ms14-051.aspx

Windows 8.1 (Windows Server 2012 R2) + IE11

MS14-051(2976627) を適用せずに、それ以降に公開された修正プログラム (MS14-052 以降)を適用した場合に発生することがあります。

解決方法

MS14-051(2976627) を適用してください。(MS14-052 以降が適用されている環境に、MS14-051 を後から適用しても問題ありません。)

* MS14-051(2976627)

マイクロソフトセキュリティ情報 MS14-051 - 緊急

Internet Explorer 用の累積的なセキュリティ更新プログラム (2976627)

https://technet.microsoft.com/ja-jp/library/security/ms14-051.aspx

参考情報：IE11のインストール時の動作

-----------------------------------------------------

IE11 は、インストール時にインターネットに接続可能な環境である場合、自動的に最新の累積更新を取得しインストールします。

MS14-052 (KB2977629) 以降を Windows Update 等でインストールしていないにも関わらず本エラーが発生している場合は、この動作により、IE11 のインストール時に最新の累積更新が適用されている可能性があります。

※本動作でインストールされた更新プログラムはIEの[ヘルプ] > [バージョン情報] > [更新バージョン]でご確認頂けます

IE11 のインストール時に、自動的に最新の累積更新を取得させたくない場合は、"/update-no" を引数として IE11 のインストーラーを実行してください。

なお通常の累積更新プログラムですと、それ以前に公開された更新プログラムの修正は全て含まれています。そのため最新の累積更新プログラムを適用すれば以前の更新プログラムを適用する必要はないのですが、MS14-051 (2976627) の修正は通常と異なり、それ以降の累積更新プログラムに含まれていません。

例えば最新の MS14-065 (2014/11 公開) が適用されていても、現象改善のためには MS14-051 を別途適用していただくことが必要です。

* MS14-065 (3003057) ※ 2004/11 時点で最新の累積更新プログラム

マイクロソフトセキュリティ情報 MS14-065 - 緊急

Internet Explorer 用の累積的なセキュリティ更新プログラム (3003057)

https://technet.microsoft.com/ja-jp/library/security/ms14-065.aspx

詳細

このエラーは、グループポリシーエディタを起動した環境の管理用テンプレートファイル (“admx” ファイルと “adml” ファイル) のバージョンに不整合が起こっているために発生します。

Admx、adml ファイルは、共に管理用テンプレートを構成するファイルですが、それぞれ以下の役割を持っています。

Admx ファイルには、グループポリシー管理コンソール (GPMC) またはローカルグループポリシーエディタに表示されるカテゴリの構造および管理テンプレートのポリシー設定が定義されています。
Adml ファイルは言語リソースファイルです。言語に依存する、GPMC またはローカルグループポリシーエディタに表示されるローカライズされた部分を提供します。各 .adml ファイルは、サポート対象の 1 つの言語を表します。

管理用テンプレートは、既定では C:\Windows\PolicyDefinitions フォルダに格納されています。

.admx および .adml ファイルの構造

http://technet.microsoft.com/ja-jp/library/cc772507(v=ws.10).aspx

このエラーは、adml のバージョンが admx よりも古く、admx ファイル内の定義が、adml ファイル内で見つけられなかったことを示しています。回避方法に記載の通り、修正プログラムの適用状況によって、このようなファイルの不整合が発生する場合があります。

ご迷惑をおかけしており申し訳ございません。こちらのエラーが発生しましたら、上記の修正プログラムの適用についてご確認くださいますようお願いいたします。

↧

MS14-080 (3008923) の更新プログラムインストール後、IE11でダイアログから表示したダイアログで引数や戻り値を使用できない

December 14, 2014, 4:56 pm

≫ Next: KB3008923 適用後に Internet Explorer 9 がクラッシュする

≪ Previous: グループポリシーエディタ起動時に発生する inetres.admx のエラーについて

Internet Explorer サポート担当の張替です。

2014/12/10 (水) (日本時間) に公開した Internet Explorer の累積更新プログラム MS14-080 (3008923)　をインストールすると、『IE11でダイアログから表示したダイアログで引数や戻り値を使用できない』という現象が発生します。

マイクロソフトセキュリティ情報 MS14-080 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (3008923)
https://technet.microsoft.com/ja-jp/library/security/ms14-080.aspx

3008923
MS14-080: Cumulative security update for Internet Explorer: December 9, 2014
http://support.microsoft.com/kb/3008923

----- 引用 -----
We are aware of some reports of functional issues on sites that use nested modal dialog boxes on Internet Explorer 11 that occur after you install this security update.
Microsoft is researching this problem and will post more information in this article when the information becomes available.
----- 引用 -----

[2014 年 12 月 18 日 09:15 追記]

本現象に対する修正する更新プログラム KB3025390 を公開しました。
Windows Update および、下記の技術情報内のリンクから更新プログラムを入手できます。

IE11 で、MS14-080 が適用されている環境にのみ適用可能です。

更新プログラムのインストール後に PC を再起動する必要はありませんが、修正を反映させるためには Internet Explorer を再起動する必要があります。

3025390
Some web application modal dialog boxes don't work correctly in Internet Explorer 11 after you install update 3008923
http://support.microsoft.com/kb/3025390

【現象】

Internet Explorer の累積更新プログラム (3008923) インストール後に、Dialog から showModalDialog で表示したダイアログで以下の現象が発生します。

1. returnValue で戻り値を受け取れない
2. dialogArguments で引数を渡せない

【発生環境】

(2014/12/15 訂正 : OS によらず Internet Explorer 11 で発生します)
- Windows 7
Internet Explorer 11

- Windows 8.1 (Internet Explorer 11)

Internet Explorer 11 で発生します。

Internet Explorer 10 以前では発生しません。

【対処策】

[2014 年 12 月 18 日 09:30 訂正]

本現象に対する修正する更新プログラム KB3025390を公開しました。

現時点での対処策は、『更新プログラム (3008923) をアンインストール』していただくことのみとなります。
大変お手数おかけしますが、ご検討くださいますと幸いです。

なお、MS14-080 に含まれる IE の脆弱性については、MS14-080 に記載のように 12/10 時点で脆弱性の悪用は確認されておりません。

更新プログラム KB3008923 のアンインストール方法

1. [コントロールパネル] を開き、[プログラム] をクリックします。
2. [プログラムと機能] の [インストールされた更新プログラムを表示] をクリックします。
3. 削除する更新プログラム "Microsoft Windows (KB3008923) のセキュリティ更新プログラム" をクリックし、[アンインストール] をクリックします。

【サンプル】

以下のようなサンプルで、現象を確認することができます。

main.html を開き、[dialog1] ボタンをクリックします。モーダルダイアログが表示されるので、[dialog2] ボタンをクリックします。
KB3008923 インストール前では、dialog2 画面内に dialog1 から渡した引数が表示されます。(abcdefg)
しかし、KB3008923 インストール後は、undefined となります。

dialog2 画面を閉じると、KB3008923 インストール前は dialog1 画面に "returnval is aaaaaaaaaaaabbbbbbbbbbbb" と表示されますが、KB3008923 インストール後は、undefined となります。

dialog2 を表示した直後の画面 (IE11)

dialog2 を閉じたあとの画面 (IE11)

main.html

<!DOCTYPE html>
<html>
<head>
<title>main</title>
</head>
<body style='background-color: #00cc00'>
<button id="sampleModalDialog" onclick="showModalDialog('dialog1.html');">dialog1</button>
</body>
</html>

dialog1.html

<!DOCTYPE html>
<html>
<head>
<title>dialog1</title>
<script type="text/javascript">
function sampleModalDialog() {
var returnValueA = showModalDialog("dialog2.html", "abcdefg");
document.getElementById( "sampleOutputA" ).innerHTML = "returnval is " + returnValueA;
}

</script>
</head>

<body style='background-color: #99cc00'>
<button id="sampleModalDialog" onclick="sampleModalDialog()">dialog2</button>
<span id="sampleOutputA"></span>
</body>
</html>

dialog2.html

<!DOCTYPE html>
<html>
<head>
<title>dialog2</title>
<script type="text/javascript">

</script>
</head>

<body style='background-color: #00cc99' onload='init()'>
window.returnValue = "aaaaaaaaaaaabbbbbbbbbbbb";

</body>
</html>

Web アプリケーションでダイアログを使用しているかどうか

サンプルのスクリーンショットのように、showModalDialog を使用している場合はタイトルバーに「Web ページダイアログ」が含まれます。一つの判断材料にご利用ください。
showModalDialog の引数を使用しているか戻り値を使用しているかは、引数については第二引数を指定しているか、戻り値については showModalDialog の戻り値を受け取っているか、スクリプトの内容をご確認ください。
サンプルコンテンツは非常にシンプルな一例ですので、ぜひ参考ください。

進展があり次第、情報公開させていただきます。
お客様には多大なご迷惑をおかけしておりますこと、深くお詫び申し上げます。

↧

KB3008923 適用後に Internet Explorer 9 がクラッシュする

December 24, 2014, 1:57 am

≫ Next: IE11 インストール後、初回のユーザーログイン時にエラーメッセージが表示されることがある

≪ Previous: MS14-080 (3008923) の更新プログラムインストール後、IE11でダイアログから表示したダイアログで引数や戻り値を使用できない

Internet Explorer サポート担当の太田です
本件ご迷惑をおかけしており、誠に申し訳ございません。

表題の KB3008923 ですが、適用後に IE9 がクラッシュするという問題が確認され、
下記 KB3008923 の文書に記載させていただいております。

[MS14-080] Internet Explorer 用の累積的なセキュリティ更新プログラム (2014 年 12 月 9 日)
http://support.microsoft.com/kb/3008923

セクション「このセキュリティ更新プログラムに関する既知の問題」より
--------------------------------------
問題 2

マイクロソフトでは、このセキュリティ更新プログラムを適用した後で Internet Explorer 9 がクラッシュすることに関するいくつかの限定的な報告を認識しています。
マイクロソフトでは、この問題について現在調査中です。詳細については、わかりしだいこの資料に掲載する予定です。

--------------------------------------

本件ではご迷惑をおかけし、誠に申し訳ございません。
進捗があり次第、上記 KB にて掲載させていただきます。

出来る限り早い対応が出来ますよう努めて参りますので、どうぞよろしくお願いします。

↧

IE11 インストール後、初回のユーザーログイン時にエラーメッセージが表示されることがある

January 9, 2015, 12:53 am

≫ Next: IE11 のインストール

≪ Previous: KB3008923 適用後に Internet Explorer 9 がクラッシュする

Internet Explorer サポート担当の藤代です。

Windows 7 SP1 環境や Windows Server 2008 R2 SP1 環境に IE11 をインストールした環境で、インストール後の初回ログイン時に以下のようなエラーメッセージが表示されることがあります。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

IEユーザーごとの初期化ユーティリティは動作を停止しました

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

この現象は弊社にて調査・対応検討中となりますが、以下のような条件で発生する事象であり、回避／対処方法が確認されています。

◆発生条件

　・IE11 をインストール前に [おすすめサイト] の機能が有効になっている

　・IE11 をインストール後、ユーザーログイン前に累積的なセキュリティ更新プログラム MS14-035 (KB2969262) 以降が適用されている。

　　　※現在の最新の累積的なセキュリティ更新プログラムは MS14-080 (KB3008923) になります。

　　　　インストーラーを用いた一般的なオンラインでのインストールの場合、その時点での最新の累積的なセキュリティ更新プログラムが合わせて適用されます。

◆対処方法・回避策

事前に上記のエラーを回避する場合

以下のディレクトリーに保持されているおすすめサイトの機能に関するファイルを削除しておきます。

C:\Users\<User名>\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SuggestedSites.dat

事象発生後の対処

上記ディレクトリーに保持されている SuggestedSites.dat を削除の上、コマンドプロンプトを開き、以下のコマンドを実行します。

ie4uinit.exe -UserConfig

　※本コマンドを実行しても、画面上には特に何も表示されません。

◆補足

IE には端末に初めてログオンする場合や新しいバージョンをインストール直後に、設定等を初期化する為のユーティリティーが動作します。

上述のエラーは、条件に該当する場合にこの初期化処理のユーティリティーの処理が異常終了してしまうというものです。

事象に関連するファイルを削除することで、現象は発生しなくなります。

また、事象が発生してしまった場合にも、関連のファイルを削除の上で手動で停止してしまった処理と同等の処理を実施し対処可能です。

ご不便をおかけし恐縮ですが、別途、公開情報や今後の対応についての情報がありましたらご紹介をさせて頂きます。

↧

IE11 のインストール

January 9, 2015, 4:47 am

≫ Next: PAC ファイルについて

≪ Previous: IE11 インストール後、初回のユーザーログイン時にエラーメッセージが表示されることがある

こんにちは Internet Explorer サポートの張替です。

すでにご存知の方も多いとは思いますが、以下の公開情報に記載のとおり、IE のサポートライフサイクルポリシーの変更に伴い、2016 年 1 月 12 日以降、サポート対象となる OS 上の最新バージョンの IE のみが、サポート対象の IE となります。

Microsoft Internet Explorer サポートライフサイクルポリシーに関する FAQ
http://support.microsoft.com/gp/microsoft-internet-explorer

弊社は、Windows 7 (SP1) 上の IE8 などの古いバージョンの IE をご利用されているお客様に対し、2016 年 1 月 12 日までに、サポート対象の OS と IE の組み合わせに移行することをお勧めしています。

また、IE11 では 2014 年 4 月にリリースした更新プログラムに含まれる “エンタープライズモード” 機能によって、高速でセキュアな最新バージョンのブラウザー上で、IE8 相当でコンテンツを閲覧することができるようになりました。

このように、エンタープライズモードの登場と、サポートライフサイクルポリシーの変更により、現在多くのお客様が IE11 への移行を進めています。

そこで今回は、Windows 7 の IE を IE11 にアップグレードすることを計画されているお客様から多くいただくお問い合わせについての情報を紹介します。

なお、エンタープライズモードについて以下のブログ記事がありますので、こちらもぜひご覧ください！

早わかり！エンタープライズモード
http://blogs.technet.com/b/jpieblog/archive/2014/08/08/3635654.aspx

エンタープライズモードの設定方法について
http://blogs.technet.com/b/jpieblog/archive/2014/08/29/3636801.aspx

IE11 について

本題に入る前に、IE11 に関する公開情報をご案内します。IE11 の機能や移行に関する情報をまとめていますので、ぜひご覧ください。

(IT 担当者向け)
Internet Explorer 11
http://technet.microsoft.com/ja-jp/ie/dn262703

Internet Explorer 11 (IE11) - IT 担当者向け展開ガイド
http://technet.microsoft.com/library/dn338135.aspx

(開発者向け)
Internet Explorer 11 開発者向けガイド
http://msdn.microsoft.com/ja-jp/library/ie/bg182636(v=vs.85).aspx

IE11 へのアップグレード方法

Windows Updateによるインストール、もしくはオフラインインストーラーをダウンロードしてインストールする方法があります。

以下の公開情報も併せてご覧ください。

Internet Explorer のインストールまたはアンインストール
http://windows.microsoft.com/ja-jp/internet-explorer/install-ie#ie=ie-11-win-7

Windows Update

Windows Update を利用することで、簡単に IE11 へアップグレードできます。

以下のように更新プログラムの一覧から、「Internet Explorer 11」を選択してインストールしてください。

※ Windows Update で IE11 をインストールすると、その時点での最新の IE 累積更新プログラムが自動で適用されます。

オフラインインストーラー

インターネットに接続できない環境や、回線速度が遅く複数 PC で IE11 をインストールするときにネットワーク負荷を軽減したい場合などには、予めインターネットに接続できる PC で「オフラインインストーラー」をダウンロードしておき、インストール対象の PC で実行することで IE11 をインストールできます。

オフラインインストーラーは以下からダウンロードできます。

Internet Explorer11（オフラインインストーラー）をダウンロードする
http://windows.microsoft.com/ja-jp/internet-explorer/ie-11-worldwide-languages

※ このサイトには Windows 7 からアクセスしてください。Windows 7 以外の OS からアクセスするとダウンロードページが表示されません。この場合のダウンロード方法は後述します。

“バージョンの選択” リストで、どの OS / ビット数向けのインストーラーをダウンロードするのかを選択し、”ダウンロード” ボタンをクリックしてファイルをダウンロードします。

- Windows 7 以外の OS をお使いの場合は、以下のサイトから IE11 オフラインインストーラーをダウンロードできます。

http://www.microsoft.com/ja-jp/download/internet-explorer-11-for-windows-7-details.aspx

何もカスタマイズされていない IE11 のインストーラーをダウンロードするには、「IT プロフェッショナルおよび開発者向け Windows 7 用 Internet Explorer 11」または「IT プロフェッショナルおよび開発者向け Windows 7 64 ビット版および Windows Server 2008 R2 64 ビット版用 Internet Explorer 11」を選択してください。「Internet Explorer 11 (32-Bit)」および「Internet Explorer 11 (64-Bit)」は、Bing と MSN を既定とするカスタマイズをしたインストールパッケージとなります。

【注意】

IE11 をインストールする際に必須となる更新プログラムが存在します。

オフラインインストーラー実行時に、インターネットに接続できる環境であればこれらの更新プログラムは自動でダウンロード・インストールされます。インターネットに接続できない環境では、予めダウンロードサイトから更新プログラムのインストーラーを取得してインストールしておく必要があります。詳細およびダウンロード先は以下の公開情報をご覧ください。

Internet Explorer 11 用の必須コンポーネントの更新プログラム
http://support.microsoft.com/kb/2847882/ja

※ 大変恐れ入りますが、「Internet Explorer 11 用のオプションの更新プログラム」のうち 2639308 のダウンロードリンクに誤りがあるため、インストールする場合は http://support.microsoft.com/kb/2639308からダウンロードをお願いします。

なお、IE11 オフラインインストーラーは、インストール方法により動作が異なりますのでご注意ください。

No.	インターネット接続	/update-no オプション(※)	動作	備考
1	あり	なし	IE11 インストール時に、以下が自動的にダウンロード・インストールされます。・必須コンポーネントの更新プログラム・オプションの更新プログラム・最新の IE 累積更新プログラム	-
2	あり	あり	IE11 のみインストールされます。インストール直後は、IE の累積更新プログラムがいっさい適用されていない状態 (RTM) となります。	IE11 インストーラー実行前に、「必須コンポーネントの更新プログラム」に加えて「オプションの更新プログラム」もインストールされていなければ、IE11 のインストールはできません。
3	なし	なし	同上	IE11 インストーラー実行前に、「必須コンポーネントの更新プログラム」がインストールされていなければ、IE11 のインストールはできません。「オプションの更新プログラム」の事前インストールは不要です。
4	なし	あり	同上	IE11 インストーラー実行前に、「必須コンポーネントの更新プログラム」に加えて「オプションの更新プログラム」もインストールされていなければ、IE11 のインストールはできません。

※
/update-no オプション付きで IE11 インストーラーを実行するには、コマンドプロンプトを使用して以下のようにコマンドを実行します。

IE11-Windows6.1-x86-ja-jp.exe /update-no

いかがでしたでしょうか。
ぜひ最新の IE をインストールして使ってみてください！

↧

PAC ファイルについて

February 8, 2015, 10:19 pm

≫ Next: MS15-009 - IE 用のセキュリティ更新プログラムを公開しました

≪ Previous: IE11 のインストール

こんにちは。Internet Explorer サポートチームの片岡です。

先日以下のブログでご紹介した WPAD に関連し、今回は自動構成スクリプト(PAC) ファイルによるプロキシ設定についてご紹介いたします。

　"WPAD" について

　http://blogs.technet.com/b/jpieblog/archive/2014/10/22/3637879.aspx

PAC ファイルを利用する場合、[インターネットオプション] – [接続] タブ – [LAN の設定] から以下のダイアログを開き、赤枠で囲った設定を有効とします。

なお、[アドレス] の項目には、PAC ファイルへの URL を記載する必要があります。ここが、WPAD とは異なる点です。WPAD を利用する場合は、URL の指定などは必要ありません。一方、PAC ファイルを利用する場合は、端末を利用するユーザーごとに PAC ファイルへの URL を明示的に設定する必要があります。

1. 自動構成スクリプト (PAC) ファイルの書き方について

PAC ファイルでは、「アクセス先の URL などの情報を元に、利用するプロキシサーバーを指定する」ための処理条件をスクリプトで記載します。スクリプトの処理内では、URL のホスト名や IP アドレスなどの条件に合ったプロキシサーバーの宛先 (URL、もしくは IP アドレス) とポート番号を返します。

PAC ファイルを記載する場合は、必ず FindProxyForURL 関数を記載する必要があります。PAC ファイルの処理時には、この FindProxyForURL の関数が実行されます。

FindProxyForURL 関数の第一引数である url はアクセス先の URL、第二引数である host はアクセス先の URL から取得したホスト名を表します。例えば、http://www.bing.com/という URL にアクセスする際には、url が http://www.bing.com/、host が www.bing.comとなります。これらの値を様々な関数を用い条件分けし、最終的に経由するサーバーを返す (return) するような処理を作成します。以下に PAC ファイルの具体例を挙げて、ご説明します。

PAC ファイルの具体例：

-----------------------------

function FindProxyForURL (url, host) {

if (isPlainHostName (host)) {

return “DIRECT”;

} else {

if (shExpMatch(host, “http://www.bing.com/”)) {

return “PROXY www.bing-proxy.com:6060”;

} else if (shExpMatch(host, “http://www.microsoft.com/”)) {

return “PROXY www.microsoft-proxy.com:7070”;

} else {

return “PROXY www.other-proxy.com:8080”;

}

-----------------------------

上記の PAC ファイルには、isPlainHostName 関数と shExpMatch 関数が記載されています。isPlainHostName 関数は host に “.” (ピリオド) が含まれていなければ true、含まれていれば false を返す関数です。shExpMatch 関数は、文字列の部分比較を行う関数であり、第一引数に与えた文字列が第二引数に含まれている場合は true、含まれていない場合は false を返します。

上記の PAC ファイルを使用して http://www.bing.com/にアクセスした場合の戻り値は www.bing-proxy.coomというプロキシサーバーに 6060 番ポート、http://www.google.com/にアクセスした場合の戻り値は www.other-proxy.comというプロキシサーバーに 8080 番ポートでアクセスします。IE では、この戻り値の結果に応じ、対象となるプロキシサーバーへの接続を試み、接続が確立できる場合にはプロキシサーバー経由で HTTP の通信が行われます。

なお、host にピリオドが含まれていない場合は、isPlainHostName が true になり、”return DIRECT” が戻り値となります。IE では ”return DIRECT” が戻り値として返された場合は、プロキシサーバーを経由せずに直接接続する動作となります。

PAC ファイルで使用できる関数は以下の弊社公開情報に記載されていますので、ご参考いただけますと幸いです。

　付録 B : 自動プロキシ構成スクリプトの例

　http://technet.microsoft.com/ja-jp/library/cc985335.aspx

2. PAC ファイルの配置方法について

上記の方法で作成した PAC ファイルは、Web サーバーへ配置することで利用することができます。PAC ファイルへの URL を、[インターネットオプション] の [自動構成スクリプトを使用する] の項目に記載します。

なお、PAC ファイルを配置した Web サーバーには、.pac の拡張子に対する MIME タイプを併せて設定する必要があります。

　拡張子：.pac

　MIME の種類：application/x-ns-proxy-autoconfig

　※ 適切な指定を行っていない場合には、適切に PAC ファイルを解析し、条件判断をすることができなくなりますので、ご注意ください。

PAC ファイルは、通常の Web サイトと同様に HTTP 通信の GET リクエストで取得します。そのため、HTML コンテンツと同様にクライアントにキャッシュされますので、通信時に毎回取得する動作にはなりません。なお、Web のキャッシュと同じフォルダに保存されますので、IE のキャッシュを消去することで、PAC ファイルのキャッシュも消去されます。

3. PAC ファイルに関するよくあるお問い合わせ

ここでは、PAC ファイルに関連してよくお問い合わせいただく事例を紹介します。

3-1. PAC ファイルを使用した場合に Web サイトへのアクセスに時間がかかる場合がある

PAC ファイルを利用する場合に、Web ページへのアクセスに時間がかかるというお問い合わせをいただきます。この事象は、PAC ファイル内で URL を解析する処理を行っている際に発生する DNS の名前解決に失敗し、発生している可能性があります。

PAC ファイル内で以下の関数を利用する際には、DNS への名前解決が発生します。

・isResolvable

・isInNet

・dnsResolve

DNS サーバーへ問題なくアクセスができ、かつ名前解決にも成功する場合は、基本的に Web ページへのアクセスに時間がかかることはありません。しかし、DNS サーバーへのアクセスに失敗した場合や、アクセスは成功しても名前解決に失敗する場合は、その過程で時間がかかってしまうため、Web ページへのアクセスに時間がかかってしまいます。

そのため、PAC ファイル内で上記の関数を利用している環境で Web ページへのアクセスに時間がかかる場合は、DNS サーバーへの通信が正常に行えているかをご確認いただくのが有効です。

3-2. "ローカルイントラネット" ゾーンの Web サイトが "インターネット" ゾーンと判断される場合がある

PAC ファイルの解析結果は、セキュリティゾーンの自動判定にも使用されます。具体的には、PAC ファイルで “return DIRECT” が戻り値となる URL、つまり直接接続を行う Web サイトは “ローカルイントラネット” ゾーンとして表示されます。しかし、直接接続を行っているにもかかわらず、Web サイトが “インターネット” ゾーンとして表示されてしまうというお問い合わせをいただきます。この事象は、セキュリティゾーンの判定処理と PAC ファイルを取得/解析する処理が完了するタイミングによって発生します。

この事象は、[インターネットオプション] の [セキュリティ] タブから、Web サイトを明示的に “ローカルイントラネット” ゾーンに登録することで回避されます。明示的なゾーン登録を行うことで、PAC ファイルを使用したセキュリティゾーンの自動判定処理が行われず、Web サイトは必ず “ローカルイントラネット” ゾーンとして判定されます。

上記の事象については以下のサポート技術文書にも記載されておりますので、ご参考ください。

文書番号 : 303650

　タイトル : FQDN または IP アドレスを使用すると、イントラネットサイトがインターネットサイトとして識別される

　http://support.microsoft.com/kb/303650/

　文書番号 : 946240

　タイトル : プロキシ自動構成スクリプトの例外リストに登録した Web サイトが Internet Explorer 6 でインターネットゾーンとして扱われることがある

　http://support.microsoft.com/kb/946240/

以上です。前回に引き続き、今回も IE のプロキシ関連の処理について記載しましたが、ご参考になりましたでしょうか。

PAC ファイルをうまく活用することでネットワーク管理も容易になりますので、ぜひご利用ください！

↧

MS15-009 - IE 用のセキュリティ更新プログラムを公開しました

February 12, 2015, 5:17 pm

≫ Next: MS15-018 (3032359) - 3 月の IE 用セキュリティ更新プログラムを公開しました

≪ Previous: PAC ファイルについて

こんにちは。Internet Explorer サポートの太田です。

この度 MS15-009「Internet Explorer 用のセキュリティ更新プログラム (3034682)」を公開しました。

今回は IE のバージョンにより更新プログラムの数も異なります。

ややこしい状況で申し訳ございませんが、以下を参考にしていただければ幸いです。

Internet Explorer の各バージョンと、インストールされる更新プログラムの一覧

セキュリティ更新プログラム　 IEバージョン	セキュリティ情報 MS15-009		セキュリティアドバイザリ 3009008
セキュリティ更新プログラム　 IEバージョン	3021952*	3034196	3023607	3036197
Internet Explorer 6	○	-	-	-
Internet Explorer 7	○	-	-	-
Internet Explorer 8	○	-	-	-
Internet Explorer 9	○	○	-	-
Internet Explorer 10	○	○	-	-
Internet Explorer 11 (Windows 7 および Windows Server 2008 R2 のお客様)	○	○	○	既に適用済み
Internet Explorer 11 (Windows 8.1、Windows 2012 R2、および Windows RT 8.1 のお客様)	○	○	○	○

＊手動インストールの場合、他の更新より先のインストールが必要

自動更新をご利用のお客様

今回の注意点としまして、本更新により セキュリティアドバイザリ 3009008も自動的にインストールされることになります。このため、SSL 3.0 のフォールバック試行が既定で無効となります。

手動インストールをご利用のお客様

注意点としまして、まず初めに 3021952の適用をお願いします。その後その他必要な更新プログラムを IE バージョンに合わせ適用いただければ幸いです。

その他の情報について (2/13 追記)

また今回の更新プログラム MS15-009では、以下の問題の修正も含まれております。

3025390	新プログラム 3008923 をインストールした後で、Internet Explorer 11 で一部の Web アプリケーションのモーダルダイアログボックスが正常に機能しない
3025945	Internet Explorer 9 stops working after you install update 3008923 in Windows

この他、詳細な情報については以下もご参照いただければ幸いです。

サポート技術情報 3034682	TechNet の MS15-009 に関する技術文書です。
日本のセキュリティチーム	日本 MS のセキュリティチーム (JPSRT) の公式ブログです。
セキュリティアドバイザリ 3009008	TechNet の SSL 3.0 の脆弱性に関しての対処に関する記事です。
マイクロソフトセキュリティアドバイザリ 3009008 について	本 Blog の記事で SSL 3.0 の脆弱性に関して投稿させていただいたものです。
MS14-080 (3008923) の更新プログラムインストール後、IE11でダイアログから表示したダイアログで引数や戻り値を使用できない	本 Blog の記事で今回修正された 3025390 について投稿させていただいたものです。
KB3008923 適用後に Internet Explorer 9 がクラッシュする	本 Blog の記事で今回修正された 3025945について投稿させていただいたものです

　
以上お手数おかけしますが、よろしくお願いします。

↧

MS15-018 (3032359) - 3 月の IE 用セキュリティ更新プログラムを公開しました

March 16, 2015, 7:37 pm

≫ Next: Project Spartan Technical Preview リリース！

≪ Previous: MS15-009 - IE 用のセキュリティ更新プログラムを公開しました

こんにちは。Internet Explorer サポートの太田です。
本日、MS15-018「Internet Explorer 用のセキュリティ更新プログラム (3032359)」を公開しました。

様々な脆弱性に対応をしておりますので、適用をご検討いただければ幸いです。
脆弱性の詳細については、下記文章の「脆弱性の情報」セクションをご参照ください。

Internet Explorer 用の累積的なセキュリティ更新プログラム (3032359)
https://technet.microsoft.com/ja-jp/library/security/ms15-018.aspx

また、いくつかの問題も修正されております。
こちらに関しましては以下の文章に詳細がございます。

MS15-018: Cumulative security update for Internet Explorer: March 10, 2015
http://support.microsoft.com/kb/3032359

お手数ではございますが、よろしくお願いします。

↧

Project Spartan Technical Preview リリース！

March 31, 2015, 1:03 am

≫ Next: .NET Framework で TLS1.1 および 1.2 を有効化する方法

≪ Previous: MS15-018 (3032359) - 3 月の IE 用セキュリティ更新プログラムを公開しました

こんにちは。日本マイクロソフト Internet Explorer サポートチームの片岡です。

本日は、Technical Preview のリリースが待ち望まれていた新ブラウザ “Project Spartan” についてご紹介いたします。

以下の IE 開発チームのブログでもご紹介していますように、Windows 10 Technical Preview の Build 10049 をリリースし、この Build に Project Spartan が含まれています。

　"Project Spartan" in the Windows Technical Preview build 10049

　http://blogs.msdn.com/b/ie/archive/2015/03/30/quot-project-spartan-quot-in-the-windows-technical-preview-build-10049.aspx

リリース前でありますので、簡単ではありますが、本ブログ記事でマイクロソフトの新しいブラウザについてご紹介いたします。

なお、Project Spartan の名称などは今後変更になる可能性があります。

1. 入手先

Windows 10 Technical Preview は以下の URL からダウンロードできますので、インストール後に Windows Update を実行し、Build 10049 をインストールして実際に Project Spartan をご利用ください！

　Download Windows 10 Technical Preview ISO

　http://windows.microsoft.com/en-us/windows/preview-iso

2. ユーザーインターフェース

Project Spartan では、Internet Explorer とは異なり、画面上部のフレームがなくなりました。全画面で利用しやすくなり、タッチデバイスをご利用いただいている場合にストレスなく Web ブラウジングが可能です。

3. 特徴

Web ページ中にメモやハイライトもできます！そしてこのメモをそのまま保存、共有することができますので、スムーズに情報共有ができます。

プロセス名は “Spartan.exe” です。(こちらも今後変更になる可能性があります)

今回のブログは以上となります。

今後リリース日が近づくにつれて随時 Project Spartan についてご紹介していきますので、ぜひご期待ください！

↧

.NET Framework で TLS1.1 および 1.2 を有効化する方法

April 7, 2015, 2:39 am

≫ Next: マイクロソフトリモートアシスタンスサポートについて

≪ Previous: Project Spartan Technical Preview リリース！

こんにちは。Internet Explorer サポートチームの鶴巻です。

昨年 SSL3.0 のプロトコル自体に脆弱性 (POODLE) が発見され、IT 業界全体の問題となりました。
.NET Framework で開発している既存プログラムを TLS1.1 および 1.2 に対応したいとのお問い合わせをよくいただきます。

今回は、特にお問い合わせの多い HttpWebRequestご利用時に、TLS1.1 および 1.2 を有効にする方法をご紹介します。

TLS1.1 および 1.2 を有効にする方法

HttpWebRequestクラスは、既定の状態では SSL3.0 および TLS1.0 が有効です。
System.Net.ServicePointManagerクラスの SecurityProtocolプロパティで TLS1.1 および 1.2 を有効にできます。
※ Internet Explorer の TLS1.1 もしくは 1.2 の設定では有効にできません。

ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12;

TLS1.1 および 1.2 を利用するには以下の環境が必要です。

.NET Framework 4.5 以上 (.NET Framework 4.0 以前では TLS1.0 までしか利用できません)
Windows 7 および Windows Server 2008 R2 以降

以下のクラスを利用している場合も同様の方法で対応可能です。

WebRequestクラス
WebServiceクラス
SoapHttpClientProtocolクラス

優先順位について

.NET Framework における暗号化通信では、バージョンによらず暗号強度の高い TLS を優先的に利用します。
中間機器や Web サーバー側の実装によりますが、TLS1.2/1.1/1.0/SSL3.0 のいずれも利用できる場合には、最も暗号強度の高い暗号方式として TLS1.2 を選択します。

(2015/4/8 追記)
TLS/SSL のバージョンを確認にする方法

[ファイル] - [プロパティ] メニューから確認できます。以下の例では TLS 1.0 で通信していることがわかります。

参考情報

ServicePointManager Class
https://msdn.microsoft.com/ja-jp/library/system.net.servicepointmanager(v=vs.110).aspx

ServicePointManager.SecurityProtocol Property
https://msdn.microsoft.com/ja-jp/library/system.net.servicepointmanager.securityprotocol(v=vs.110).aspx

SecurityProtocolType Enumeration
https://msdn.microsoft.com/ja-jp/library/system.net.securityprotocoltype(v=vs.110).aspx

今回のブログは以上です。
サポートチーム違いではないかと疑問を持たれた方もいらっしゃるかもしれませんが、Internet Explorer サポートチームでは、.NET Framework の HTTP クライアントや WinHTTP の開発案件も担当しています。

また次回もよろしくお願いいたします。

↧

マイクロソフトリモートアシスタンスサポートについて

April 16, 2015, 10:03 pm

≫ Next: Site List Manager を使用したドキュメントモードの指定方法

≪ Previous: .NET Framework で TLS1.1 および 1.2 を有効化する方法

こんにちは。マイクロソフト Internet Explorer サポートチームの遠藤です。

今回は、私たちサポートチームで利用するマイクロソフトリモートアシスタンスサポートツールについてご案内します。

本記事は直接 IE の技術との関連性はありませんが、もし今後サポートをご利用いただく際の参考としていただけたらと考えています。

普段の私たちのサポートでは、お客様の問題を把握するために、お電話でのヒアリングやスクリーンショットの採取、その他情報採取へのご協力をお願いしています。

複雑な環境や現象に対しては、問題を把握することに多くのお時間をいただくことがあり、お客様にも負担をかけてしまうことがあります。

そのような中で、サポート手段の一つにリモートサポートツールの LogMeIn というものがあります。

LogMeIn を使用することにより、PC の画面共有を行いながら、一緒に問題を目の前にした状態で私たちサポートエンジニアとコミュニケーションをとることが可能となります。

まさしく「百聞は一見に如かず」という言葉通り、LogMeIn を使用することにより大幅な時間短縮や迅速な問題解決につながることが多くあります。

また、LogMeIn はインターネット接続で使用する既定のポートである 80番と 443 番のみを使用します。

このためインターネット接続ができる環境であれば、通常何も設定していただく必要がなく、かつ安全に使用することが可能です。

お客様の環境における要件やセキュリティ上の制限などがあると思いますが、是非手段の一つとしてご検討ください。

[お客様のシステム要件]

o Windows 8.1、Windows 8、Windows 7、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008 、Mac OS X v10.7、Mac OS X v10.6、Mac OS X v10.5

o インターネット接続

o 20MB のメモリ

[ご使用方法]

1. 以下の URL にアクセスします。

http://support.microsoft.com/help/

2. マイクロソフトリモートアシスタンスサポートというページが開きます。サービスアグリーメントなどをご確認いただき [同意する] ボタンを押します。

3. [同意する] ボタンを押すと、[同意する] ボタン下部に"6 桁のコードを入力してください" という欄が表示されます。サポートエンジニアからお伝えするコードを入力して、[Connect to technician] のボタンを押します。

4. 上記作業を実行すると、アプレットのダウンロード画面に遷移し、チャット画面を開くためにInternet Explorer のダウンロードダイアログ / ダウンロードバーが表示されます。表示されたダイアログ / バーで [実行] をクリックします。

5. チャット画面が起動します。

以上でお客様の作業は完了です。

上記作業を実施いただくとサポートエンジニア側では以下のようなコンソール画面が見えるようになります。

サポートエンジニアの指示に沿って、事象を再現していただくことで動きを拝見させていただきます。

ご覧いただけるように、サポートエンジニアが見ているのはお客様と同じチャット画面とお客様のデスクトップ画面のみです。

サポートエンジニアがお客様の同意なく画面を操作することはありません。また、行う操作はすべてお客様にも見えるようになっています。

チャットの × ボタンを押すことでお客様自身で共有を終了することもできますので、ご安心ください。

以上です。

私たちサポートでは、常日頃お客様のお役に立てるよう、またお客様により良いサポートを体験していただけるよう取り組んでいます。

まずはお試しだけでも結構ですので、ご興味がありましたらお気兼ねなくお声がけいただければ幸いです。

↧

Site List Manager を使用したドキュメントモードの指定方法

April 21, 2015, 8:52 pm

≫ Next: MS15-043 (3049563) - 5 月の IE 用セキュリティ更新プログラムを公開しました

≪ Previous: マイクロソフトリモートアシスタンスサポートについて

こんにちは Internet Explorer サポートの張替です。

今回は、Site List Manager を使用したドキュメントモードの指定方法を紹介します。

2014 年 11 月リリースの MS14-065 の IE の更新プログラム適用後から、Enterprise Mode Site List Manager を利用し、ドキュメントモードを制御できるようになりました。なお、この設定はエンタープライズモードとは独立した設定です。つまり、「エンタープライズモードで IE9 や IE10 のドキュメントモードが使用できるようになる」というわけではなく、あくまでもドキュメントモードを指定するための設定項目です。
なお、上記の方法で設定したドキュメントモードは、優先度が最も高くなります。Meta タグや HTTP 応答ヘッダーで X-UA-Compatible を指定している場合でも、Enterprise Mode Site List Manager で設定したドキュメントモードが優先されますのでご注意ください。
この新しい機能については、以下の公開情報がありますので、併せてご覧ください。

Update adds the Document Mode section of Enterprise Mode website lists in Internet Explorer 11
https://support.microsoft.com/kb/3012775

Fix web compatibility issues using document modes and the Enterprise Mode site list
http://msdn.microsoft.com/en-us/library/dn872481.aspx

また、最新の Enterprise Mode Site List Manager は以下からダウンロードできます。すでに古いバージョンがインストールされている場合でも、最新のインストーラーを実行すれば上書き更新されます。

Enterprise Mode Site List Manager
http://www.microsoft.com/ja-jp/download/details.aspx?id=42501

ドキュメントモードについては以下のブログ記事でご案内していますので、ぜひこちらもご覧ください。

IE8互換モードについて
http://blogs.technet.com/b/jpieblog/archive/2009/09/09/3280034.aspx

このほか、以下の情報もぜひご覧ください。

Document modes are deprecated
https://msdn.microsoft.com/en-us/library/ie/dn384051.aspx
※ ドキュメントモード確定までのフローがあります。

Enterprise Mode schema guidance
https://technet.microsoft.com/en-us/library/dn894101.aspx
※ サイトリストの XML スキーマーに関する情報です。

それでは、実際にスクリーンショットを交えつつ、この新たな機能について説明します。

Enterprise Mode Site List Manager を起動し、[Add] をクリックすると、[Add new website] 画面が表示されます。
今までは、”Enterprise Mode” もしくは “Default Mode” のみが選択可能でしたが、現在は IE5 モードから Edge モード (最新の IE のバージョン。現在は IE11 モードです) が選択可能となりました。

ここでは、URL に www.microsoft.com と入力し、モードの指定で “Enterprise Mode” を選択してみます。

続いて同様に、msdn.microsoft.com を “IE10 Document Mode” で表示するように設定してみます。

Web サイトの一覧を xml ファイルに保存して IE で読み込む前に、この設定が反映される前の状態を確認しておきます。

http://www.microsoft.comと http://msdn.microsoft.comをそれぞれ開き、F12 キーを押して “開発者ツール” を起動してドキュメントモードを確認します。
以下のとおり、どちらも “Edge” となっているので、最新のドキュメントモード (=IE11) で表示されていることがわかります。

それでは、Enterprise Mode Site List Manager で先ほど設定した Web サイトの一覧を保存して、最新のサイト一覧の情報を読み込ませるために IE を再起動してしばらく待ちます。

サイト一覧が反映されないというお問い合わせをいただくことがあります。
IE は起動してから約 65 秒後に一度だけサイト一覧 (XML ファイル) の更新確認を実施します。以降は IE11 を起動し直すまで更新の確認をしません。このため、サイト一覧を更新した場合は、IE11 を再起動し、約 65 秒待つ必要があることにご注意ください。この動作については、以下の公開情報にも記載があります。

エンタープライズモードを有効にしてサイト一覧を使う
http://technet.microsoft.com/ja-jp/library/dn640699.aspx

IE を起動して約 65 秒待って、http://www.microsoft.comを開くと、以下のように、アドレスバーの左にエンタープライズモードのマークが現れ、また、ドキュメントモードは IE8 となっています。

続いて、http://msdn.microsoft.comです。サイト一覧で設定したとおり、ドキュメントモードが IE10 となっています。

いかがでしたでしょうか。
これまでドキュメントモードを指定するためには、META タグや HTTP レスポンスヘッダーで、X-UA-Compatible を使用する必要がありましたが、このためには、コンテンツを編集したり、Web サーバーの設定を変更する必要がありました。今回ご紹介した、サイト一覧でドキュメントモードを指定できる機能によって以前のような変更をせずに、指定したドキュメントモードでコンテンツを表示できるようになりました。ぜひ、この新機能をご活用ください。