新しいMicrosoft Edgeの「URL許可リスト／URLブロックリスト」機能はどれだけ“使える”のか？：企業ユーザーに贈るWindows 10への乗り換え案内（89）

Chromiumベースの新しい「Microsoft Edge」は、URL許可リストおよびURLブロックリストを定義することで、許可リストやブロックリストによるWebアクセスの許可／禁止を簡単に実現することができます。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

Windows 10 バージョン20H2でMicrosoft EdgeはChromiumベースに

　「Windows 10」の最新バージョン、Windows 10 October 2020 Update（バージョン20H2）の注目の新機能は、従来の「Microsoft Edge」が、Chromiumベースの新しいMicrosoft Edgeに置き換わることでしょう。

　Microsoftは2020年1月にChromiumベースのMicrosoft Edge安定版を正式にリリースし、Windows Updateを通じて（または手動ダウンロード提供で）段階的に移行を進め、Windows 10標準のEdgeHTMLエンジンベースのMicrosoft EdgeをChromiumベースのものに置き換えてきました。

　そして、Windows 10 バージョン20H2では、ChromiumベースのMicrosoft Edgeが標準搭載されます。Windows 10 バージョン2004以前でまだ新しいMicrosoft Edgeに移行していない場合は、次の機能更新プログラムによるアップグレード時に新しいMicrosoft Edgeに置き換わります。

　ChromiumベースのMicrosoft Edgeについては、本連載でも主に企業向けの機能や移行方法を紹介してきました。Windows 10 バージョン2004以前の場合、多くの企業環境では新しいMicrosoft EdgeがWindows Updateで提供されることはなく、管理者が配布について検討し、展開しない限り、移行されることはありませんでした。しかし、Windows 10 バージョン20H2に移行すると、自動的に新しいMicrosoft Edgeに置き換わることになります。

• Chromium版「Microsoft Edge」への移行に備えよう（本連載 第66回）
• Chromium版「Microsoft Edge」への移行に備えよう（その2）――企業利用でのポイント（本連載 第67回）
• Chromium版「Microsoft Edge」への移行に備えよう（その3）――グループポリシーによる自動配布（本連載 第75回）
• Chromium版「Microsoft Edge」の配布対象が拡大――Windows 7／8.1も自動配布対象に（本連載 第81回）

　今回は、新しいMicrosoft Edgeが備える、企業向けのURLに基づいたアクセス制御機能について紹介します。

URL許可リスト／URLブロックリストによるアクセス制御とは

　現在の企業では、情報収集やWeb会議、電子取引などのためにクライアントPCからのインターネットアクセスは欠かせないものになりました。しかし一方で、従業員がクライアントPCから企業ネットワークを介してSNSやゲームなど、業務とは無関係のインターネットにアクセスすることは防止したいでしょう。悪意のあるサイトへのアクセスが情報漏えいやセキュリティ侵害、マルウェア感染につながるリスクもあります。

　Chromiumベースの新しいMicrosoft Edgeには、標準機能として「URL許可リスト（URLAllowList）」と「URLブロックリスト（URLBlocklist）によるアクセス制御機能が搭載されています。これらの機能は、「ローカルコンピューターポリシー」または「グループポリシー」を利用して構成することができます。

　ただし、新しいMicrosoft Edge用のポリシー設定（管理用テンプレート\Microsoft Edge）は標準では利用できません。以下のサイトからポリシーテンプレートをダウンロードして、「msedge.admx」「medgeupdate.admx」「ja-jp\msedge.adml」「ja-jp\msedgeupdate.adml」を「C:\Windows\PolicyDefinitions」フォルダまたはActive Directoryのセントラルサイトの場所（セントラルサイトを利用している場合）にコピーすることで利用可能になります。

• ビジネス向けMicrosoft Edgeのダウンロード（日本マイクロソフト）

　例えば、「コンピューターの構成\管理用テンプレート\Microsoft Edge」にある「URLのリストへのアクセスをブロックする」を有効にして、URLのリストを定義すると、定義済みのURLに対するアクセスをブロックすることができます（画面1、画面2）。これは、ブロックリストでアクセスを禁止する方法です。

画面1　「URLのリストへのアクセスをブロックする」にブロックリストのURLを定義する

画面2　ブロックリストにあるURLへのアクセスがブロックされる。なお、ブロックされた理由については「edge://policy/」を参照することで確認できる

　「URLのリストへのアクセスをブロックする」のURLのリストに「*」を定義すると、全てのURLをブロックすることができます。その上で、「許可されているURLのリストを定義する」にアクセスを許可する例外のリストを定義すれば、許可リストで指定されたURLへのアクセスのみを許可できます。

　ただし注意点が1つあります。「URLのリストへのアクセスをブロックする」で全てをブロックするように定義した場合は、「edge://*」のURLを許可リストに追加することを強くお勧めします。これがブロックされると、Microsoft Edgeの各種設定（edge://settings/、edge://version/、edge://components、edge://extensions/、edge://policy/など）へアクセスできなくなります（画面3、画面4）。

画面3　「URLのリストへのアクセスをブロックする」に「*」（全てブロック）を設定した上で、「許可されているURLのリストを定義する」に許可トリストを定義する

画面4　許可リストにあるURLにのみアクセスが許可される

　URL許可リスト、URLブロックリスト、およびURLの記述方法については、以下のドキュメントで詳細を確認できます。

• Microsoft Edge - ポリシー｜URLAllowList（Microsoft Docs）
• Microsoft Edge - ポリシー｜URLBlockList（Microsoft Docs）
• URL 一覧ベースのポリシーのフィルター形式（Microsoft Docs）

IEによるアクセスは許可／ブロックの対象にならない

　新しいMicrosoft EdgeのURL許可リストやURLブロックリストでせっかくアクセスを制御しても、Windows 10に標準搭載されている「Internet Explorer（IE）」には影響しません。ブロックリストへのアクセスがIEでブロックされることはありません（画面5）。

画面5　新しいMicrosoft EdgeのURL許可リスト、URLブロックリストはIEによるアクセスには影響しない

　IEを使わなければならないようなレガシーなサイト（ActiveXコントロールやSilverlightに依存するサイトなど）へのアクセスが必要でないなら、Windows 10からIEをアンインストールすることができます。それには、「設定」アプリの「アプリ」の「オプション機能」から「Internet Explorer 11」を選択してアンインストールします（画面6）。

画面6　IEを使用しなければならないようなレガシーなサイトがないなら、IEをアンインストールしてしまうのが1つの解決策

Internet Explorer統合／IEモードとの組み合わせ

　IEを残し、IEによる抜け道を排除しつつ、新しいMicrosoft EdgeのURL許可リスト、URLブロックリストのアクセス制御を実現する手段としては、「IEモード」と併用する方法があります。IEモードについては本連載第67回で紹介しましたが、IEモードのための「Internet Explorer統合を構成する」ポリシーを有効にすると、IEからの全てのアクセス要求をMicrosoft Edgeにリダイレクトできます。IEがスタンドアロンで起動することはなくなり、URL許可リスト、URLブロックリストのアクセス制御の対象になります。

　IEのエンジンを使用してMicrosoft Edge内で、IEモードで開くURLは、「すべてのイントラネットサイトをInternet Explorerに送る」または「エンタープライズモードサイト一覧を構成する」ポリシーで構成できます。IEモードで開くURLは、URL許可リストにも追加するか、URLブロックリストでブロックされないようにしておく必要があります。

　「エンタープライズモードサイト一覧を構成する」に定義する一覧は、XML形式のものを作成する必要がありますが、「Enterprise Mode Site List Manager」を使用するとGUIで定義し、XMLを生成することができて便利です（画面7、画面8）。

画面7　「Internet Explorer統合を構成する」ポリシーを有効化し、「すべてのイントラネットサイトをInternet Explorerに送る」または「エンタープライズモードサイト一覧を構成する」ポリシーで、IEモードで開くURLを定義する

画面8　IEモードを構成すると、IEがスタンドアロンで起動しなくなる。ちなみに、リモートデスクトップサービスの「RD Webアクセス」は、一部の機能（「リモートPCに接続」タブなど）がActiveXコントロールに依存する

　また、Microsoft Edge バージョン86からは、「Internet Explorer モードのテストを許可」ポリシーが利用可能になり、エンタープライズサイト一覧に追加する前に［･･･］→［そのほかのツール］→［サイトを Internet Explorer モードで開く］メニューからIEモードでの参照をテストできるようになっていたり、「Internet Explorer統合を構成する」ポリシーに相当する設定をMicrosoft Edgeの［設定］から行えるようになっていたりします。

• Enterprise Mode Site List Manager の使用（Microsoft Docs）
• Enterprise Mode Site List Manager（schema v.2）［英語］（Microsoft Download Center）
• Microsoft Edge 86 の新機能−「Internet Explorer モードのテストを許可」ポリシー（筆者の個人 ブログ：山市良のえぬなんとかわーるど）

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2020-2021）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。