IEプロキシ設定はグループポリシーで管理できる? できない?その知識、ホントに正しい? Windowsにまつわる都市伝説(22)

「Internet Explorer」のホームページやプロキシ設定をグループポリシーで管理している企業や組織は多いと思います。IE 10のリリースでグループポリシーによるIEの設定管理に大きな変更があったため、IE 10/11の設定配布に悩んでいる管理者は多いかもしれません。ちょっと整理しておきましょう。もしかしたら、実際はできるのに、できないものと誤解しているかもしれません。

» 2015年01月05日 18時00分 公開
[山市良テクニカルライター]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

「Windowsにまつわる都市伝説」のインデックス

連載目次

実は、筆者も勘違いしていました……

 Windows 7向けに「Internet Explorer(IE)10」がリリースされたときに、次のような話を聞いたことはないでしょうか。

  • IE 10のPCにホームページやプロキシ設定のポリシーが意図したように適用されなくなった
  • IE 10はグループポリシーで管理できなくなった
  • IE 10はグループポリシーの基本設定をサポートしなくなった

 どの話も正しくはないのですが、全く間違っているというわけではありません。

 実は、筆者自身もつい先日までWindows 7のプロキシ設定に関しては「グループポリシーの基本設定」(詳細は後述)で、レジストリ設定(HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Internet SettingsのProxyEnable値、ProxyServer値、ProxyOverride値など)を配布するか、グループポリシーではなく「Internet Explorer管理者キット(IEAK)」を使用してプロキシ設定を配布するかの二つの方法しかないと勘違いしていました。

 先に結論をいうと、IE 10/11のホームページやプロキシ設定をグループポリシーの仕組みで管理することは可能です。具体的には、Windows 7のIE 10またはIE 11、Windows 8のIE 10、Windows 8.1のIE 11について、グループポリシーで以下のことができます。Windows ServerのIE 10またはIE 11についても同様にできます。

  • IE 10やIE 11のホームページやセキュリティゾーン、詳細設定は「IE用の管理用テンプレート」を使用して管理することが可能です。ただし、プロキシ設定はこの方法で管理できません
  • IE 10やIE 11の設定を、グループポリシーの基本設定で管理することは可能です。こちらは、プロキシ設定の管理もできます

IEのメンテナンス(IEM)ポリシーはIE 10で廃止

 IEの設定のグループポリシーによる管理に関して混乱が生じたのは、IE 10が登場してからです。

 IE 9まではグループポリシーやローカルコンピューターポリシーの「ユーザーの構成¥(ポリシー¥)Windowsの設定」に、「Internet Explorerのメンテナンス」(Internet Explorer Maintenance:IEM)というポリシー設定が存在しました。

 「Internet Explorerのメンテナンス」は、グループポリシーエディターの拡張(ieaksie.dll)と、ポリシー適用対象のクライアント側の拡張(iedkcs32.dll)で実現される、IEの設定をクライアントに配布するための仕組みです。

 「Internet Explorerのメンテナンス」を使用すると、IEのホームページやプロキシ設定、セキュリティ設定、詳細設定(優先モードのみ)の主要な設定をGUIで簡単に設定できるため、IEの設定の集中管理に利用していた企業は多かったのではないでしょうか(画面1)。

画面1 画面1 「Internet Explorerのメンテナンス」を使用したホームページとプロキシ設定の構成

 管理用テンプレートにある通常のポリシー設定とは異なり、「Internet Explorerのメンテナンス」で配布された設定は、ユーザーによる上書きが可能です。既定の標準モードでは定期的に設定がリフレッシュされ、ユーザーによる変更は破棄されますが、優先モードを使用してユーザーによる変更を完全に許可することもできます。

 日本語環境ではモードと動作の対応が分かりにくいのですが、標準モードは「Normal Mode」、優先モードは「Preference mode」です。優先モードは、IEの初期設定を配布する目的に適していました。一方、標準モードは「疑似ポリシー」とも呼ばれ、ユーザーによる設定変更を完全に禁止できないため、強制力に欠ける部分がありました。

 「Internet Explorerのメンテナンス」はIE 10ではサポートされなくなり、IE 10以降がインストールされたWindowsのグループポリシーエディターからは、このポリシー項目が削除されました。IE 9以前は引き続き「Internet Explorerのメンテナンス」をサポートしますが、グループポリシーを編集する管理端末がIE 10以降を実行している場合、「Internet Explorerのメンテナンス」を表示したり、編集したりすることはできなくなります。

IEの管理用テンプレート(inetres.admx)があるじゃないか!

 実は、IEの設定は「Internet Explorerのメンテナンス」以外にも、「IE用の管理用テンプレート」(inetres.admx)を使用した方法が以前からありました。例えば、ホームページの設定は、以下のポリシーで強制できます(画面2)。

ユーザーの構成¥ポリシー¥管理用テンプレート¥Windowsコンポーネント¥Internet Explorer¥ホームページの設定の変更を許可しない

画面2 画面2 「IE用の管理テンプレート」(inetres.admx)を使用すると、ポリシーでIEのホームページの設定を配布できる

 最新の管理用テンプレートは、IE 5からIE 11までの設定に対応したポリシーを提供します。管理用テンプレートによるポリシー管理は、コンピューターやユーザーに強制でき、ポリシーの適用対象外になれば元のローカルコンピューターやユーザーの設定に戻ります。IEの設定を強制したい場合は、「Internet Explorerのメンテナンス」や、この後説明する「グループポリシーの基本設定」よりも管理用テンプレートによる管理の方が適しています。

 最新の更新プログラムが適用済みのIE 11がインストールされているWindowsでグループポリシーを編集すれば、IE 11の新機能に対応した最新の管理用テンプレート(inetres.admxおよびinetres.adml)を利用できます。古いバージョンのIEがインストールされている環境の場合は、以下のIE 11用の管理用テンプレートを導入することで最新のポリシーに対応できます。

 IE用の管理用テンプレートを使用すれば、クライアントのホームページ、セキュリティゾーンの設定、インターネットオプションの詳細設定など、IEのほとんどの設定を一元的に管理できます。しかし、プロキシ設定に関しては、以下のポリシーでプロキシ設定の変更を禁止できるだけで、プロキシ設定そのもの(プロキシサーバーのアドレスとポート番号)を設定するためのポリシーは用意されていません。

ユーザーの構成(またはコンピューターの構成)¥ポリシー¥管理用テンプレート¥Windowsコンポーネント¥Internet Explorer¥プロキシの設定を変更できないようにする

IEのプロキシ設定には基本設定を使用できる

 グループポリシーによるIE設定の配布方法としては、もう一つ「グループポリシーの基本設定」(Group Policy Preferences)を使用する方法があります。

 「グループポリシーの基本設定」は、Windows Server 2008のグループポリシーで初めて導入された、比較的新しいグループポリシー機能です。この機能は「Internet Explorerのメンテナンス」と同様、ユーザーによる設定の上書きが可能であるため、主にコンピューターやユーザーの初期設定を配布するために利用します。

 「Internet Explorerのメンテナンス」との違いは、IEだけでなく、環境編集やレジストリ設定、フォルダーやショートカットの作成、フォルダーオプションの設定、ローカルユーザーやグループの作成、プリンターの設定、タスクの作成、サービスのスタートアップの設定など、広範囲のシステムまたはユーザー設定の配布に対応している点です。

 IE 9までは、「Internet Explorerのメンテナンス」と「グループポリシーの基本設定」の両方でIE設定の配布が可能でした(画面3)。IE 10で「Internet Explorerのメンテナンス」が廃止されたのは、「グループポリシーの基本設定」への一本化を考慮したものと想像します。問題は「グループポリシーの基本設定」のIE 10への対応が、Windows Server 2012のグループポリシーで行われたことにあります。

画面3 画面3 IE 9までは「Internet Explorerのメンテナンス」と「グループポリシーの基本設定」のいずれかで、IE設定を配布できた。なお、基本設定の「Internet Explorer 8」はIE 8とIE 9の設定の配布に対応

 Windows Server 2008 R2以前のActive Directoryドメインで、グループポリシーの編集に利用するWindows 7またはWindows Server 2008 R2のIEをIE 10/11にアップグレードした場合、IE 10/11の設定の配布に「Internet Explorerのメンテナンス」と「グループポリシーの基本設定」のどちらも使用できない状態になるのです。

 つまり、プロキシ設定をグループポリシーで管理する標準的な方法が失われてしまうのです。グループポリシーでプロキシ設定を管理するのに残された方法は、「基本設定¥Windowsの設定¥レジストリ」でプロキシ設定のレジストリ値を配布する方法だけになります。

 現在は、Windows Server 2012以降のActive Directoryドメインにアップグレード済みであれば、「グループポリシーの基本設定」を使用してプロキシ設定を含むIE 10/11の設定を配布できます。また、Windows Server 2008 R2以前のActive Directoryの場合も、ドメインメンバーにWindows 8以降またはWindows Server 2012以降があれば、そのコンピューターの「グループポリシーの管理」スナップインを使用して、IE 10/11の基本設定を作成し、配布することが可能です(画面4画面5)。

画面4 画面4 Windows Server 2012 R2の「グループポリシーの基本設定」。基本設定の「Internet Explorer 10」はIE 10およびIE 11の設定の配布に対応
画面5 画面5 「グループポリシーの基本設定」でIE 10およびIE 11用のプロキシ設定を構成しているところ

 基本設定で配布したプロキシ設定を強制したい場合は、前出の「プロキシの設定を変更できないようにする」ポリシーを組み合わせる方法があります(画面6)。

画面6 画面6 基本設定でプロキシ設定を配布し、「プロキシの設定を変更できないようにする」ポリシーで上書き禁止にしたクライアント。ポリシー設定を開けないので、レジストリを参照して、プロキシ設定が配布されていることを確認した

「グループポリシーの基本設定」で思うように設定できない?

 「グループポリシーの基本設定」でIE 10およびIE 11のプロキシ設定ができるということは、前出の画面6が示す通りです。しかし、過去に試してみたけど思うようにできなかったという経験があるかもしれません。

 実は、以下のサポート技術情報で説明されている不具合が修正される2014年4月まで、Windows 8、Windows 8.1、Windows Server 2012、およびWindows Server 2012 R2の基本設定によるプロキシ設定には不具合がありました。

 Windows 8.1およびWindows Server 2012 R2は、「Windows 8.1 Update」として知られる2014年4月の大型更新「KB2919355」でこの不具合が修正されました。Windows 8およびWindows Server 2012の場合は不具合を修正するために、上記のサポート技術情報からリクエストできる修正プログラム(Hotfix)が必要です。

 この不具合とは関係なく、「グループポリシーの基本設定」の操作方法が適切でないことが原因で、思うように設定を配布できないということもあります。「グループポリシーの基本設定」は、操作方法が通常のポリシー設定とは全く違っていて、適切に設定するには慣れが必要です。

 基本設定の設定画面で、緑色の下線(実線)や緑色の丸の付いた設定が配布対象であり、赤色の下線(破線)や赤色の丸の付いた設定は無視されます。この緑色と赤色の状態は、[F5]キー(表示中のタブの全ての設定を緑色に)、[F6]キー(選択中の設定を緑色に)、[F7]キー(選択中の設定を赤色に)、[F8]キー(表示中のタブの全ての設定を赤色に)のファンクションキーで切り替えることができます。

 例えば、「詳細設定」タブの一部の項目だけを配布する場合は、「詳細設定」タブを開いたら[F8]キーを押して全ての項目を赤色に切り替えてから、配布したい項目を選択して[F6]キーを押して緑色に切り替え、チェックボックスを設定します(画面7)。

画面7 画面7 IEの基本設定で「詳細設定」タブの一部の設定を配布するには、「詳細設定」タブを開き(画面右)、[F8]キーを押して(画面中央)、配布対象を選択して[F6]キーを押す(画面左)

 基本設定の設定画面で不用意にタブを切り替えてしまうと、意図しない設定が配布されてしまうので注意が必要です。例えば、IEの基本設定で「詳細設定」タブの設定を配布するつもりがないのに、「詳細設定」タブに切り替えてしまうと、既定で有効になる緑色の項目の全てが配布対象になってしまいます。

IEの管理用テンプレートにプロキシ設定が存在しない理由を調査してみた

 「Internet Explorerのメンテナンス」や「グループポリシーの基本設定」にはあるIEのプロキシ設定が、なぜIEの管理用テンプレートにないのか疑問に思わないでしょうか。プロキシ設定用のポリシーを一つ追加することくらい難しくなさそうに思えます。その理由を筆者なりに探ってみました。

 筆者の結論は、IEやWindows(プロキシ設定はIE以外からも参照されます)が、管理用テンプレートが扱うポリシーの場所を参照するように作られていないということです。筆者の結論が正しければ、管理用テンプレートを改造してプロキシ設定のポリシーを加えたとしても、IEやWindowsはそのポリシー設定を無視するはずです。

 グループポリシーの仕組みに詳しい人なら、Windowsコンポーネントに関するポリシー設定はレジストリの「HKEY_LOCAL_MACHINE¥Software¥Policies¥Microsoft」(コンピューターの構成の場合)または「HKEY_CURRENT_USER¥Software¥Polices¥Microsoft」(ユーザーの構成の場合)に書き込まれることをご存じでしょう。

 一方、もともとのローカル設定は「HKEY_LOCAL_MACHINE¥Software¥Microsoft」や「HKEY_CURRENT_USER¥Software¥Microsoft」に保存されています。グループポリシーはこのような仕組みで、ローカル設定を上書きすることなくポリシーを適用し、ポリシーの対象外になれば元の設定に戻すことができるようになっています。

 IEを開始した際のレジストリに対する操作を、Windows Sysinternalsの「Process Monitor」(Procmon.exe)で監視してみました。

 すると、ホームページ設定についてはレジストリのローカル設定の場所である「HKEY_CURRENT_USER¥Software¥Microsoft¥Internet Explorer¥Main¥Start Page」を参照した後に、ポリシーの場所である「HKEY_CURRENT_USER¥Software¥Policies¥Microsoft¥Internet Explorer¥Main¥Start Page」を参照していることが分かりました。この動作により、ローカル設定よりもポリシー設定が優先され、最終的なユーザーのホームページ設定が構成されます。

 一方、プロキシ設定についてはローカル設定の場所である「HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Internet Settings¥ProxyServer」しか参照していません(画面8)。従って、ポリシーの場所にプロキシ設定があったとしても、それがIEに反映されることはないのです。

画面8 画面8 IEはプロキシ設定をレジストリから読み取る際に、ポリシーの場所を参照しない
「その知識、ホントに正しい? Windowsにまつわる都市伝説」バックナンバー

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2014)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

Server & Storage 鬯ッ�ッ�ス�ョ�ス�ス�ス�ォ�ス�ス�ス�ス�ス�ス�ス�ェ鬯ョ�ッ陋ケ�コ�ス�サ郢ァ謇假スス�ス�ス�ソ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�コ鬯ョ�」陋ケ�ス�ス�ス�ス�オ鬮ォ�エ遶擾スオ�ス�コ�ス�キ�ス�ス�ス�ク�ス�ス�ス�キ�ス�ス�ス�ス�ス�ス�ス�ケ鬮ォ�エ髮懶ス」�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ウ鬯ッ�ゥ陝キ�「�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ュ鬯ッ�ゥ陝キ�「�ス�ス�ス�「鬮ォ�エ髮懶ス」�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ウ鬯ッ�ゥ陝キ�「�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ー

鬯ッ�ョ�ス�ォ�ス�ス�ス�エ鬮ッ譎「�ス�キ�ス�ス�ス�「�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ャ鬯ッ�ョ�ス�ォ�ス�ス�ス�エ鬯ッ�イ�ス�ス�ス�シ陞滂スイ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�・鬯ッ�ョ�ス�ォ�ス�ス�ス�エ鬮ッ譎「�ス�カ�ス�ス�ス�キ�ス�ス�ス�ス�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�ッ鬯ョ�」陷エ�ス�ス�ス�ス�ォ�ス�ス�ス�ス�ス�ス�ス�」

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。