IE10をグループポリシーで制御する

IE10 GPO

IE10をGPO(グループポリシー)で制御できなくなったらしいが、私はできたっぽい仮想化環境ではうまくいったが、物理環境で失敗した。IE10以降は、IEAK(Internet Explorer管理ツール)で適用する必要があると、Microsoftから確認しました。IEAKについては、こちらに簡単に触れましたので、ご参考ください。(2015/7/25追記)

IE10にグループポリシーがうまく当たらない(日々のメモ)
Internet Explorer のグループポリシー(SEの雑記)
IE10にグループポリシーは、部分的にしか反映できない(ロイドの日記)

IE10をGPOで制御断念がちらほらと見える中、しぶとくぐぐっていました。なんとかできたっぽいということで、他のSEにも参考になるかと思うので、投稿することに至った。

例えば、社内の業務Webアプリのサイトはセキュリティタブの「ローカルイントラネット」や「信頼済みサイト」にURLを追加。さらに、「信頼済みサイト」に限っては、ActiveXの自動有効化等のレベルのカスタマイズを行うといった作業を一斉に行うには、GPOで制御するのが一番!

IEAKでパッケージングして配布は、PC毎にIEのバージョンがばらばらな環境だと、あんまりメリットが無いため、探していたわけだ。特にうちの会社の社内LANは閉域網につき、IEがばらばらなのだ。ver.6、7、8、9、10があるのかなぁ?最近導入したPCは、IE10だけどね。再々…リース物件は、XPだから、IE6だったりするのかな?

Administrative Templates for Windows Internet Explorer 10というのが配布されており、これをテンプレート追加することで、ユーザの構成の中の「従来の管理用テンプレート(ADM)」の中に、Windows Components配下に「Internet Explorer」が追加される。ここをいじくればいいのだ。

IE10 GPO

ちなみに、今回のセーフリスト類については、従来のIE設定では、それぞれのテーブルが用意されていたわけだが、この英語版では用意されていない。
1つのテーブルに値いよって変化させることができるのが次の図。

IE10 GPO

例えば、ファイルサーバであれば、ローカルイントラネットに登録することで、次のような「これらのファイルは、コンピューターに害を及ぼす可能性があります」というような注意メッセージを省略することができるわけだ。

win security

IE10には最後の互換表示タブがある。これも、Compatability Viewに設定欄がある。

IEからGPOによる抑制は無くなった!というわけではなく、探せばある!ということですね。ちなみにIE11もありました。ちゃんとadm形式!

参考)Administrative Templates for Internet Explorer 11

なお、設定は英語表記ですが、設定レポートを見ると日本語表記です。なので、なんとかなるでしょう!

IE10 GPO

ねっ!

参考までに、IEAK(Internet Explorer 管理者キット)についての情報をちらほらと。

Microsoft、IE11のカスタムパッケージを作成できる「IEAK 11」を公開(impress)
IE11のユーザエージェント問題 – IT管理者側でできる対策(IEAK/Active Directory/modern.IEの活用)(ふろしき.js)