Internet Explorer 9の自動インストールをブロックするTech TIPS

Internet Explorer 9(IE9)は、事前の確認を経ずにWindows Update/自動更新で自動的にインストールされるようになった。検証が済むまでWindows Update/自動更新によるIE9のインストールを停止したい場合は、マイクロソフト提供のブロック・ツールを利用すればよい。

» 2012年01月06日 00時00分 公開
[島田広道デジタルアドバンテージ]
Tech TIPS
Windows Server Insider


「Tech TIPS」のインデックス

連載目次

対象OS:Windows Vista/Windows Server 2008/Windows 7/Windows Server 2008 R2


解説をスキップして操作手順を今すぐ読む→


解説

本TIPSの対象はInternet Explorer 9(IE9)です。IE7/IE8/IE10/IE11の自動インストールのブロック手順については、次のTIPSを参照してください。


Windows Server Insiderの関連記事 製品レビュー「進化したInternet Explorer 9

 執筆時点で最新版(最上位バージョン)のInternet Explorer(IE)であるInternet Explorer 9(IE9)は、Windows Vista以降のWindows OSに対して、Windows Update/自動更新で簡単にインストールできる。Windows UpdateではIE9は重要な更新プログラムに分類され、デフォルト設定のまま更新を行うとセキュリティ・パッチなどと一緒にインストールされるようになっている。

Windows 7のWindows UpdateにリストアップされたIE9 Windows 7のWindows UpdateにリストアップされたIE9
  (1)IE9は重要な更新プログラムとして検出される。

 ただし、セキュリティ・パッチと異なり、Windows UpdateでIE9をインストールする際には、次のような確認のダイアログが必ず表示される。手動で[インストール]ボタンをクリックするという操作をして初めてインストールが始まる。つまりユーザーの確認なしにWindows Update/自動更新がIE9を自動的にインストールすることはない。

Windows UpdateでIE9をインストールする際に表示されるダイアログ Windows UpdateでIE9をインストールする際に表示されるダイアログ
執筆時点ではWindows Update/自動更新によるIE9のインストール時には必ずこの確認のダイアログが表示される。
  (1)ユーザーがこれをクリックするまで、IE9のインストールは始まらずに止まったままだ。

 ところが、マイクロソフトはこの確認のダイアログを表示せずに、自動的にWindows Update/自動更新でIE9がインストールされるようにする予定があることを発表した。日本での開始時期は未公表だが、各国・各地域にて2012年から順次始めるとのことだ(詳細は関連記事を参照)。これにより、いつものように毎月のセキュリティ・パッチを適用したら、いつの間にかIE9がインストールされていたという事態が予想される。IE9での検証が終わっていないWebアプリケーションなどを使っている環境では、避けなくてはならない事態だろう。

 そこでマイクロソフトは、Windows Update/自動更新によるIE9の自動インストールを回避したい場合は、以前から提供されていた次のソフトウェア・ツールを使って、あらかじめ自動インストールをブロック(無効化)しておくことを推奨している。このツールでいったん無効化の設定をすると、Windows Update/自動更新でIE9がインストール対象から外れるようになり、明示的に有効化するまで無効のままだ。本稿では、この無効化の手順を説明する。

 なお、IE9は以下の方法でもインストール可能だが、これらは上記ツールでは無効化できない。

  • WSUS、SCCM(System Center Configuration Manager)やSMS(System Management Server)などの管理ツール
  • ダウンロード・センターから入手できるIE9のインストール・パッケージによる手動インストール
  • サードパーティ製パッチ管理ツール

 WSUSをパッチ自動適用の設定で運用している場合の対処方法などは、以下のリンク先ページが詳しい。

操作方法

●ブロック・ツールのダウンロードと準備

 まず以下のページからIE9の自動インストール設定を制御するツール(ブロック・ツール)をダウンロードする。

 このページからファイル「IE9_BlockerToolkit.EXE」をダウンロードして実行すると、次の4つのファイルが展開される。

  • IE9_Blocker.cmd: コマンドラインでIE9の自動インストールを無効化/有効化するためのバッチ・ファイル
  • IE9_Blocker.adm: グループ・ポリシーでIE9の自動インストールを無効化/有効化するためのテンプレート・ファイル
  • IE9_BlockerHelp.htm、IE9_BlockerHelp-GPFilteringDialog.jpg: このツールのヘルプ

 このように、バッチ・ファイルとグループ・ポリシーのいずれでもIE9の自動インストールを無効化できるようになっている。

●バッチ・ファイルでIE9の自動更新を無効化する

  IE9_Blocker.cmdを使うと、ローカル・コンピュータまたはリモート・コンピュータに対して、Windows Update/自動更新によるIE9の自動インストールを無効化/有効化できる。無効化の際には、以下のコマンドラインを実行する。なお、以下のコマンドラインはいずれも管理者モードで実行する必要がある。管理者モードでコマンド・プロンプトを開く手順については、関連記事を参照していただきたい。

IE9_Blocker.cmd [<コンピュータ名>] /B



 <コンピュータ名>を省略すると、IE9_Blocker.cmdを実行しているローカル・コンピュータの設定が変更される。リモート・コンピュータに対して設定するには<コンピュータ名>を指定する。その際、<コンピュータ名>に「\\」を含めてはいけない。

 自動インストールを有効にするには、以下のコマンドラインを実行する。

IE9_Blocker.cmd [<コンピュータ名>] /U



 以下は、IE9_Blocker.cmdによってローカル・コンピュータにおけるIE9の自動インストールを無効化したときの表示例である。(1)の「the local machine」の部分が設定対象のコンピュータを表しており、リモート・コンピュータを指定した場合はここにそのコンピュータ名が表示される。

C:\temp\IE9_BlockerToolkit>IE9_Blocker.cmd /B
MICROSOFT TOOL KIT TO DISABLE DELIVERY OF
MICROSOFT INTERNET EXPLORER 9

Copyright (C) Microsoft Corporation.  All rights reserved.

LOCAL!
Blocking deployment of Internet Explorer 9 on the local machine(1) 
この操作を正しく終了しました。

IE9_Blocker.cmdの実行例
これはローカル・コンピュータに対してIE9の自動インストールを無効化したときの例。
  (1)リモート・コンピュータを指定した場合、「the local machine」の部分に対象コンピュータ名が表示される(同時に、その上の「LOCAL!」も消える)。

 このあとに、コントロール・パネルからWindows Updateを起動し、左側メニューにある[更新プログラムの確認]をクリックして適用対象リストを更新すると、重要な更新プログラムの一覧からIE9が外れたことが確認できるはずだ。この適用対象リストを更新するまでは、IE9がリストに残っていることがあるので注意が必要だ。

●グループ・ポリシーでIE9の自動更新を無効化する

 グループ・ポリシーでWindows Update/自動更新によるIE9の自動インストールの無効化/有効化を設定するには、まずグループ・ポリシー・テンプレートのIE9_Blocker.admをグループ・ポリシー管理エディタに組み込む必要がある(グループ・ポリシー・テンプレートについては基礎解説「グループ・ポリシーのしくみ第3回 グループ・ポリシーの設定ファイル」が詳しい)。

 それには、グループ・ポリシー管理エディタを起動して左ペインから[コンピュータの構成]−[ポリシー]−[管理用テンプレート]を右クリックし、[テンプレートの追加と削除]を実行する。以下では、Windows Server 2008 R2ベースのActive Directoryを例に、操作方法を説明する(Windows Server 2003ベースのActive Directory固有の注意点については、後で触れる)。

グループ・ポリシー管理エディタでテンプレート追加用ダイアログを表示させる グループ・ポリシー管理エディタでテンプレート追加用ダイアログを表示させる
ここではWindows Server 2008 R2ベースのActive Directoryでの例を挙げている。
  (1)これを右クリックする。
  (2)これをクリックすると、「テンプレートの追加と削除」ダイアログが表示される。

 「テンプレートの追加と削除」ダイアログが表示されたら、[追加]ボタンをクリックしてIE9_Blocker.admを指定して組み込む。すると以下の(1)のように「IE9_Blocker」というテンプレートがリストに加わる。

IE9_Blocker.adm組み込み後の「テンプレートの追加と削除」ダイアログ IE9_Blocker.adm組み込み後の「テンプレートの追加と削除」ダイアログ
  (1)IE9_Blocker.admによる、IE9の自動インストールを無効化/有効化するためのテンプレート。

 次に、[コンピュータの構成]−[ポリシー]−[管理用テンプレート]−[従来の管理用テンプレート (ADM)]−[Windows Components]−[Windows Update]−[Automatic Updates Blockers v3]を選択し、右ペインに表示された[Do not allow delivery of Internet Explorer 9 through Automatic Updates]をダブルクリックする。

IE9_Blocker.admによって追加されたIE9の自動インストールを無効化/有効化するポリシー IE9_Blocker.admによって追加されたIE9の自動インストールを無効化/有効化するポリシー
  (1)これを選択すると、(2)が表示される。
  (2)これをダブルクリックする。→[A]

 すると次のプロパティ画面が表示されるので、IE9の自動インストールを止めるなら[有効]を、自動インストールを受け入れるなら[無効]をそれぞれ選択する。

[A]

IE9_Blocker.admによるIE9の自動インストールを無効化/有効化する設定項目 IE9_Blocker.admによるIE9の自動インストールを無効化/有効化する設定項目
これは、前述のグループ・ポリシー・テンプレートによって追加された[Do not allow delivery of Internet Explorer 9 through Automatic Updates]ポリシーのプロパティ画面である。
  (1)通常のグループ・ポリシーとは異なり、いったん(2)(3)をオンにした後にこれをオンにしても、未構成にはならない。例えば(2)をオンにした後に自動インストールを受け入れるべくこれをオンにしても、無効化されたままだ。明示的に(2)(3)を選ぶこと。
  (2)IE9の自動インストールを無効化するには、これをオンにする。
  (3)IE9の自動インストールを有効化するには、これをオンにする。

 通常のグループ・ポリシーと異なり、この設定項目はいったん[有効]または[無効]に設定すると、[未構成]を選んでも未構成状態に戻らず、その前の設定を保持したままになってしまうので注意してほしい。いったん[有効]または[無効]にした後に設定を変える場合は、必ず[有効]または[無効]のどちらかを選ぶこと。

 上記のグループ・ポリシーで無効化の設定が済んだら、対象のコンピュータを再起動してからコントロール・パネルよりWindows Updateを起動し、左側メニューにある[更新プログラムの確認]をクリックして適用対象リストを更新すると、重要な更新プログラムの一覧からIE9が外れたことが確認できるはずだ。

■Windows Server 2003ベースのActive Directoryでの注意点
 基本的な手順は前述のWindows Server 2008 R2ベースの場合とほぼ同じだが、次のような相違点があるので注意していただきたい。

 まずグループ・ポリシー・テンプレートを組み込む際、グループ・ポリシー・エディタにて[コンピュータの構成]−[管理用テンプレート]を右クリックしてから、[テンプレートの追加と削除]を実行する必要がある。

 次に[管理用テンプレート]を選択したまま、メニュー・バーの[表示]−[フィルタ]を実行し、[完全に管理されているポリシー設定のみ表示します]のチェックを外す。これで当該ポリシーがグループ・ポリシー・エディタに表示されるようになる。

グループ・ポリシー・エディタのフィルタ設定を変更する グループ・ポリシー・エディタのフィルタ設定を変更する
[管理用テンプレート]を選択したまま[表示]−[フィルタ]を実行すると、この画面が表示される。Windows Server 2003ベースのActive Directoryの場合、当該ポリシーを表示させるには、この設定を変更する必要がある。
  (1)このチェックを外す。

 当該ポリシーは、[コンピュータの構成]−[管理用テンプレート]−[Windows Components]−[Windows Update]−[Automatic Updates Blockers v3]に表示されるはずだ。

●レジストリ設定でIE9の自動更新を無効化する

[注意]

レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリ・エディタの操作は慎重に行うとともに、あくまで御自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。


 Windows Update/自動更新は、以下のレジストリの値を参照してIE9を更新対象としてリストアップするかどうかを決定する。前述のブロック・ツールは、このレジストリ設定を簡単に変更できるようにしたものだ。つまり、ブロック・ツールを用いなくても、以下のレジストリ・エントリを操作できればIE9の自動インストールを無効化/有効化できる。クライアントのレジストリ操作が可能な管理ソフトウェアなどを用いている場合は、直接このレジストリを設定してもよいだろう。

項目 内容
キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Setup\9.0
値の名前 DoNotAllowIE90
REG_DWORD
値の内容 1 → IE9の自動更新を無効化する
0 → IE9の自動更新を有効化する(0にするか、この値そのものを削除する)
Windows Update/自動更新によるIE9の自動インストールを無効化するためのレジストリ設定

●Windows VistaではIE8の自動インストールにも注意

 Windows VistaでIEをアップグレードしておらず、IE7を利用している場合、前述の手順でIE9の自動インストールを無効化すると、IE8がWindows Updateでリストアップされる。この場合、IE9と同様にIE8も自動的にインストールされるか否か、執筆時点では明確ではない。だが、もしIE8にもアップグレードしたくない場合は、関連記事を参考にしてIE8の自動インストールも無効化しておくべきだろう。

■この記事と関連性の高い別の記事


「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。