Internet Explorer サポート担当の藤代です。
本日は前回の Blogで予告した、Internet Explorer のメンテナンスポリシーと管理用テンプレート項目の違いについて「ポリシーで IEのセキュリティゾーンの登録をする」を題材に紹介していきます。
セキュリティゾーンの登録はお問い合わせの多いもののひとつです。
Web Castでは、カスタマイズカスタマイズの流れをお話しましたが、これに沿いご紹介をしていきます。
1. 設定対象項目の検討
・既存でユーザーが利用している端末環境があります。
・ある Web アプリケーションを導入/利用開始する事となり、そのアプリケーションを動作させるため “信頼済みサイト” への登録が必要となりました。
・既存ユーザーが利用しているため、既に信頼済みサイトに登録されているアドレスが複数あり、ユーザー毎にその設定が異なります。
2. 設定方法検討
・新規で登録するゾーン登録はすべてのユーザーに強制的に反映させたいと考えています。
・但し、合わせて「既存でユーザーが利用している設定」はそのまま生かし利用できるようにすることとなりました。
・また、ある特定の
URL をゾーンに追加するだけで、他の設定などは変更しない(影響を与えない)設定をしたいと考えています。
3. カスタマイズ方法検討
・上記の方法を満たすポリシーでの設定が可能か(項目として要望を満たすものがあるか)を確認します。
(結論としては、残念ながら 1, 2 で検討した内容を満たす(ゾーンの登録に関連する「既存のポリシー項目」は存在しないのですが、その理由、および、上記の要件に近い代替え案も含め以下に記載していきます)
信頼済みサイトを登録可能なポリシーの項目はInternet Explorer のメンテナンスポリシー/管理用テンプレート配下のどちらにも存在します。
各項目は以下の通りです。これらのポリシー項目は、それぞれ後述のように動作が異なります。
ユーザーの構成 – 管理用テンプレート -Windows コンポーネント – Internet Explorer – インターネット コントロールパネル – セキュリティ ページ - サイトとゾーンの割り当て一覧
ユーザーの構成 – Windows の設定 – Internet Explorer のメンテナンス – セキュリティ - セキュリティ ゾーンおよびコンテンツの規制 - 現行のセキュリティ ゾーンとプライバシーの設定をインポートする
○サイトとゾーンの割り当て一覧
----------------------------------------------------------------
「管理用テンプレート」配下のポリシー項目は「設定内容を『管理者』が管理/コントロールする」目的で利用するものです。
「サイトとゾーンの割り当て一覧」のポリシーもこの『管理者がコントロールする』事が前提となっています。
このポリシーを適用すると、クライアント端末では『ポリシーで設定したゾーン登録の内容は強制されますが、ゾーン登録の内容はポリシーで登録されたもののみ』となりユーザーが設定を変更する事ができません。
(*実際にはユーザーが設定していた内容はレジストリに保持されていますので、上書きされ失われているわけではありませんが、IEの動作上『ポリシーで設定された内容』のみが利用される動作になります)
○現行のセキュリティ ゾーンとプライバシーの設定をインポートする
----------------------------------------------------------------
この設定項目は、名前の通り「(ポリシーの構成を行う)端末/ユーザーの現在のセキュリティ ゾーンの設定を全て」インポートしポリシーとして反映するものです。
例えば、2008 R2の AD 端末にユーザー A がログインしこの設定を行う場合、ポリシーとして反映される設定は以下のような流れで作成されます。
a. 対象のユーザーのインターネットオプションを表示し、そのユーザーの「現在の IEの設定」を変更する
b. 表示されたダイアログを OK で閉じると、その時点での設定内容(a で変更/編集した設定だけではなくゾーンの設定すべて)をインポートしポリシー配布用のファイルがAD 上に作成されます。
つまり、“ある一つのURL を信頼済みサイトに登録したい” という目的で “その設定だけを反映させる” 事ができません。上記動作を理解し利用する限りは問題ありませんが、”特定の URL のみを登録したい”という目的のみで利用すると、他の設定も同時に変更してしまう事となり意図しない問題を引き起こす可能性があります。
まとめると、「ユーザーに設定を強制する事」、「既存でユーザーが設定している内容を生かす事」を満たし、かつ、「他の設定は変更しない」という目的を満たす既存のポリシー項目は残念ながらありません。
要件に近い代替え案
今回の要件の場合、取れる代替え案は “何かしらの方法である特定のURL のみをゾーン登録する” 為にレジストリを直接編集する方法です。
ゾーン登録に関連するレジストリ情報は以下の付録に記載します。(対象としては、通常、インターネットオプションから設定を行う際に設定が保持されるレジストリを利用します)レジストリを設定する為に特にその方法は問いませんが、ポリシーを利用するという観点では以下の何れかのようなものがあります。
・レジストリを登録するスクリプトやバッチを作成し『ログオンスクリプト』で登録する。
・Windows2008 以降で強化された、グループポリシー基本設定のレジストリの設定を利用する
・任意のレジストリを登録するカスタムポリシーテンプレート(ADM または、ADMX/ADML) を作成し、ポリシーのカスタム項目として読み込み設定を有効にする
*なお、「特定のURL を登録した時に設定対象となるレジストリ」を確認するには、検証端末で一度、既存のゾーン登録を全て削除し、『追加したいURL のみをゾーン登録した場合』に反映されている設定内容を確認する方法がお勧めです。
Internet Explorer のゾーン関連のレジストリについて
クライアント OS の Internet
Explorer のゾーン設定に関するレジストリはその登録方法などにより以下の
4 箇所に登録されます
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMapの配下
→ ある一定の条件下でゾーンの設定を行った場合にその設定が書き込まれるレジストリです。
ポリシーで設定を行っている場合に利用されることがあります。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap の配下
→ 通常、インターネットオプションでユーザーが設定をした場合にその設定が書き込まれるレジストリです。
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap の配下
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap の配下
→ サイトとゾーンの割り当て一覧を利用した場合に設定が反映されるレジストリです。
HKLM の設定は「コンピューターの構成」、HKCU の設定は「ユーザーの構成」配下を利用した場合にそれぞれ利用されます。
*ゾーン判定時の優先順位はHKCU > HKLM であり、重複するような登録がある場合HKCU の設定が利用されます。
*サイトとゾーンの割り当て一覧を利用した場合、(Policies以下の設定がある場合)、ゾーン判定ではこのレジストリのみが利用されるようになります。
以下の KB もご参考となりますので合わせてご参照ください。
上級ユーザー向けの
Internet Explorer セキュリティ ゾーン関連のレジストリ エントリ
http://support.microsoft.com/kb/182569/ja
コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。