IEモードで開くサイトを集中管理する(ActiveDirectory+EMSL)
長らくWindows標準ブラウザとして親しまれてきたIEですが、ついに2022年6月でサポート終了&使えなくなることが決まりました。
しかしながらIEでしか動かないWEBサイト(いわゆるレガシーサイト)もまだ多く、Microsoftもそれは認識しているようでEdgeにはIEモードと呼ばれる機能が備わっています。
このIEモードを使うとEdgeの画面の中でIEが起動して、IE依存なレガシーサイトもEdgeで動いてくれるという寸法です。
あるウェブサイトをIEモードで開くかどうかはEdgeに設定項目がありますが、個人レベルならまだしも何台ものPCを管理する情シスにとっては集中管理したいところです。
そこで今回はIEモードで開くウェブサイトを集中管理する方法について説明します。
集中管理することで、IEモードで開くウェブサイトを強制することができ、またウェブサイトを追加するときもユーザーは何も操作せずに管理者が設定するだけで完了します。
ActiveDirectory+Enterprise Mode Site Listを使う
ActiveDirectory導入済みの場合はActiveDirectoryのグループポリシー機能とEnterprise Mode Site List(EMSL)と呼ばれる仕組みを活用します。
EMSLは”特定のウェブサイトを特定のブラウザ環境でアクセスする”機能があります。
以前はウェブ開発者が作成したウェブサイトが最新ブラウザだけでなく旧IEやIE11などでどのように動作するのかを検証する目的で使われていました。
現在は特定のサイトをIEモードで開く機能を活用してIEモードで開くウェブサイトを集中管理することができます。
導入手順は下記のとおりです。
- EMSL ManagerでSiteList.xmlを作成する
- SiteList.xmlを共有可能な場所に保存する
- Edgeポリシーファイル(ADMX)のインポート
- グループポリシーで設定を配信する
- ドメイン参加済みPCで動作確認
EMSL ManagerでSiteList.xmlを作成する
SiteList.xmlとは、どのウェブサイトをどんな環境でアクセスするかを記述したXMLファイルです。
最終的にグループポリシーを配信すると、クライアントPCのEdgeはXMLファイルを取得し、ウェブサイトにアクセスするとXMLファイルの内容を確認して表示する環境を選択します。
そしてEMSL ManagerはSiteList.xmlを作るための簡易的なツールでMicrosoftから提供されています。
なお、EMSL ManagerはXMLファイルを作るだけなので、XMLの知識がある方はテキストエディタなどで作成しても構いません。
また、EMSL Managerを実行するPCはサーバーでなくとも問題ありません。
まずは下記URLからMicrosoftからEMSL Managerをダウンロードします。
Download Enterprise Mode Site List Manager (schema v.2) from Official Microsoft Download Center
なお、言語は英語のみですがそんなに難しくありませんので、英語苦手でもご安心ください。
EXEファイルがダウンロードされますので、ダウンロードしたら実行しましょう。
インストールは特に指定するオプションはありません。使用許諾に同意してデフォルト設定のまま進めてください。
インストールが終わるとデスクトップまたはスタートメニューにEnterprise Mode Site List Managerというショートカットがあるので起動しましょう。
今回はテストということで本ブログ(syanaise-soudan.com)をIEモードで開く設定をしてみます。
EMSLMが起動したらAddボタンをクリックします。
ウェブサイト追加の画面が表示されます。ここでURLにウェブサイトのドメイン名のみ入力します。
URLにはプロトコルの指定(https://やhttp://)やポート番号の指定(:443や:80)は記載しないでください。
Opne in:はIE11、Compat ModeはDefault ModeでOKです。
設定したらSaveをクリックします。正常に設定できるとウェブサイト一覧に登録したURLが表示されます。
URLが登録されたらFile⇒Save to XMLと進み、XMLファイルを任意の場所に保存します。
XMLファイルの名前は何でもよいですが、ここではSiteList.xmlとして保存しています。
なお、ここではインターネット上のウェブサイトとしてこのブログを登録しましたが、同じ手順で社内システムのウェブサイトをIEモードで開くようにすることも可能です。
また、ドメイン名だけでなくIPアドレスの指定も可能です。
SiteList.xmlを共有可能な場所に保存する
作成したSiteList.xmlはクライアントPCからアクセスできる必要があります。
アクセスする方法はWindowsファイル共有や社内ウェブサイトに公開という方法もありますが、ここではファイル共有の方法を使います。
任意のサーバーでフォルダを作成し、共有設定をしましょう。権限は読み取り権限だけあれば問題ありません。
また、共有フォルダを設定するPCはクライアントPCでも可能ですが、できれば24時間稼働するサーバーにしておいた方が無難です。
どのPCからもアクセスできなければいけないのでEveryone読み取り共有をかけます。セキュリティポリシー上、Everyone共有が使えない場合はセキュリティロールやユーザー指定など利用してください。
共有フォルダの準備ができたら、先ほど作成したSiteList.xmlを保存します。
また、保存場所のUNCパス(ここでは\\syanaiseserver\Share\setup\SiteList.xml)をメモ帳などにコピペして控えてください。
Edgeポリシーファイル(ADMX)のインポート
ここからはActiveDirectoryサーバーでの設定になります。
まず、Edgeに関するグループポリシーオブジェクトは既定のActiveDirectoryには入っていません。
そこでEdgeのグループポリシーオブジェクトをActiveDirectoryへインポートします。なお、すでにEdgeポリシーファイルをインポート済みの場合、この手順は必要ありません。
下記URLにアクセスしてWindows 64bit Policyをダウンロードします。
バージョンは基本的に最新版で問題ありませんが、何か不都合が起きた場合はダウンロードサイト下の過去バージョンから古いバージョンを選択してください。
Download Microsoft Edge for business – Microsoft
ダウンロードするとキャビネットファイルが保存されます。
中にはZipファイルがありますので、キャビネットファイルを展開してからZipファイルを解凍しましょう。
解凍したらwindows\admxを開きmsedge.admxをActiveDirectoryサーバーのC:¥Windows¥PolicyDefinitionsに保存します(セントラルストア利用中の場合は\\サーバー名\sysvol\Policies\PolicyDefinitions)。
このままではグルーポリシー設定画面が英語になるので、先ほど解凍したZipファイルの windows\admx\ja-JPにある言語ファイル(msedge.adml)を C:¥Windows¥PolicyDefinitions\ja-JPに保存します(セントラルストア利用中の場合は\\サーバー名\sysvol\Policies\PolicyDefinitions\ja-JP)。
これでActiveDirectoryでEdgeのグループポリシーを使う準備ができました。
グループポリシーで設定を配信
それではActiveDirectoryのドメイングループポリシーを設定します。
グループポリシーの管理を開き、グループポリシーオブジェクトを右クリックして新規作成します。
任意の名前をつけてGPOを作成します。
作成したGPOを右クリックして編集します。
コンピュータの構成>ポリシー>管理用テンプレート>Microsoft Edge と進みます。
ここでMicrosoft Edgeが無い場合は先ほどのADMX登録に失敗していますので設定を見直してください。
また、似たようなディレクトリとして管理用テンプレート>Windowsコンポーネント>Microsoft Edgeもありますが、こちらは別物ですので注意してください。
設定するポリシーは2つです。まずは”Internet Explorer統合を構成する”を有効にして、オプションを”Internet Explorerモード”にします。
次に”エンタープライズモードサイトリストを構成する”を有効にして、オプションに先ほど準備した共有フォルダのUNCパスを入力します。
2つのポリシーを設定したらグループポリシーの設定は完了です。
続いてGPOをドメインにリンクします。
今回はドメイン参加済みPCすべてに設定を流し込むのでドメイン直下にGPOをリンクさせます。
検証のため特定のOUにだけリンクさせたい場合や、特定のPCのみにリンクさせる場合は読み替えてください。
ドメイン名を右クリックして”既存のGPOのリンク”をクリックします。
GPO一覧から先ほど作成したGPOを指定してOKをクリックします。
これでGPOがリンクされてドメイン参加済PCに順次、設定が反映されていきます。
ドメイン参加済みPCで動作確認
ここからはドメイン参加済みユーザーPCで動作確認します。
ドメイングループポリシーの反映は時間が経過すれば自動的に行われますが、今回はすぐ確認したいので強制的にポリシーを適用させます。
コマンドプロンプトを開いて
gpupdate /force
と実行してください。管理者権限は不要です。
更新が正常に完了しました。と表示されたらポリシーの反映は完了です。
続いてMicrosoft Edgeを起動します。
Edgeを起動したらアドレスバーに”Edge://policy”と入力してEnterを押してください。
するとEdgeに適用されているポリシーが表示されます。
ここで上記画像のように"InternetExplorerIntegrationLevel"と"InternetExplorerIntegrationSiteList"のポリシー名と、ポリシーの値としてそれぞれ1とUNCパスが登録されていればOKです。
見当たらない場合はグループポリシーの適用に失敗していますので、先ほどのActiveDirectoryサーバーのグループポリシーオブジェクトがきちんとリンクされているか、ポリシー設定が問題ないか確認してください。
設定に問題なければEMSL Managerで登録したウェブサイトにアクセスしてみます。
下記画像のようにアドレスバーの横にIEのアイコンが表示されていればIEモードでアクセスできています。
なお、同じドメインの別のページにアクセスしてもIEモードは維持されます。
ここでは確認のためにグループポリシーの適用やEdgeで確認を行いましたが、これらの操作は行わなくても機能します。
まとめ
この方法を利用すればユーザーが全く操作しなくともIEモード化できるので情シスにとっては導入管理が非常に簡単になります。
IEモードで表示するウェブサイトを追加したい場合やEdge対応が終わったのでIEモードの表示から除外したい場合は、最初の手順で実施したEMSLMでXMLファイルを作り直してください。
作り直したXMLファイルを共有フォルダに再アップロードすることで対応は終わります。