グループポリシーを用いて Internet Explorer 11 の各ゾーンのサイト設定を行う

Internet Explorer には、「インターネット」、「イントラネット」、「信頼済みサイト」、「制限付きサイト」の 4 つのゾーンに分かれており、そのゾーンに対してセキュリティ設定 (セキュリティレベル) を構成することができます。

各ゾーンにサイトの設定は、社内ポータルの追加や、以下のサイトに記載があるように Office 365 などクラウドサービスを使用する際にアクセスできるように行うことがありますが、Active Directory ドメイン環境においては、グループポリシーを用いて設定を一元管理するケースがあると思います。

Web ブラウザーで Office 365、Azure、Intune などの組織アカウントからサインアウトする際に発生する問題
https://support.microsoft.com/ja-jp/kb/2507767
Office 365、Azure、Intune へのアクセスに関する Internet Explorer のトラブルシューティングガイド
https://support.microsoft.com/ja-jp/kb/2437121
Azure AD Connect: 前提条件とハードウェア |Microsoft Azure
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-prerequisites/

IEAK で設定、配布するケースもありますが、グループポリシーで設定する場合においては、以下の 4 パターンでしょうか (ログオンスクリプトなどで設定するケースもあるかと思いますが)。

[ユーザーの構成] の [サイトとゾーンの割り当て一覧] から設定する方法
[ユーザーの構成] の [レジストリ] から設定する方法
[コンピューターの構成] の [サイトとゾーンの割り当て一覧] から設定する方法
[コンピューターの構成] の [レジストリ] から設定する方法

[ユーザーの構成] の [サイトとゾーンの割り当て一覧] から設定する方法
[ユーザーの構成] の [レジストリ] から設定する方法
[コンピューターの構成] の [サイトとゾーンの割り当て一覧] から設定する方法
[コンピューターの構成] の [レジストリ] から設定する方法
補足 - ポリシーが複数設定されていた場合の優先順位について
補足 - [コンピューターの構成] で HKEY_CURRENT_USER (HKCU) の設定が可能か
参考

[ユーザーの構成] の [サイトとゾーンの割り当て一覧] から設定する方法

[ユーザーの構成] – [ポリシー] – [管理用テンプレート] – [Windows コンポーネント] – [Internet Explorer] – [インターネットコントロールパネル] – [セキュリティページ] – [サイトとゾーンの割り当て一覧] から設定する方法です。

ここでは、KB2507767 に記載されている URL を入力しています。

なお、入力する値に対応するゾーンは以下となります。

1 : イントラネットゾーン
2 : 信頼済みサイトゾーン
3 : インターネットゾーン
4 : 制限付きゾーン

設定したポリシーの内容が反映されると、IE の [インターネットオプション] – [セキュリティ] タブの各ゾーン設定から確認することができます。

この方法は、各ゾーンの設定を一括で行うことは可能ですが、ユーザーからは他のサイトを追加、削除することはできません。

なお、設定した内容は HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains キー配下に格納されます。

[ユーザーの構成] の [レジストリ] から設定する方法

[ユーザーの構成] -[基本設定] – [Windows の設定] – [レジストリ] から設定する方法です。

ここでは、KB2507767 に記載されている URL を入力しています。

レジストリ項目を追加する際、[アクション] の値は「更新」で問題ないかと思いますが、その他の値については、以下のとおりとなります。

ハイブ : HKEY_CURRENT_USER
キーのパス : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\＜トップレベルドメイン＞\＜サブドメイン＞
- 例 : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftonline.com\*
値の名前 : http もしくは https
値の種類 : REG_DWORD
値のデータ :
- 1 : イントラネットゾーン
- 2 : 信頼済みサイトゾーン
- 3 : インターネットゾーン
- 4 : 制限付きゾーン

この方法は、各ゾーンの設定を一括で行うことは可能であり、ユーザーが他のサイトを追加、削除することも可能です。

なお、設定した内容は HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains キー配下 (ユーザーが手動で追加した場合に書き込まれる場所) に格納されます。

[コンピューターの構成] の [サイトとゾーンの割り当て一覧] から設定する方法

[コンピューターの構成] – [ポリシー] – [管理用テンプレート] – [Windows コンポーネント] – [Internet Explorer] – [インターネットコントロールパネル] – [セキュリティページ] – [サイトとゾーンの割り当て一覧] から設定する方法です。

ここでは、KB2507767 に記載されている URL を入力しています。

なお、入力する値に対応するゾーンは以下となります。

1 : イントラネットゾーン
2 : 信頼済みサイトゾーン
3 : インターネットゾーン
4 : 制限付きゾーン

設定したポリシーの内容が反映されると、IE の [インターネットオプション] – [セキュリティ] タブの各ゾーン設定から確認することができます。

この方法は、各ゾーンの設定を一括で行うことは可能ですが、ユーザーからは他のサイトを追加、削除することはできません。

なお、設定した内容は HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains キー配下に格納されます。

[コンピューターの構成] の [レジストリ] から設定する方法

[コンピューターの構成] -[基本設定] – [Windows の設定] – [レジストリ] から設定する方法です。

ここでは、KB2507767 に記載されている URL を入力しています。

レジストリ項目を追加する際、[アクション] の値は「更新」で問題ないかと思いますが、その他の値については、以下のとおりとなります。

ハイブ : HKEY_LOCAL_MACHINE
キーのパス : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\＜トップレベルドメイン＞\＜サブドメイン＞
- 例 : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftonline.com\*
値の名前 : http もしくは https
値の種類 : REG_DWORD
値のデータ :
- 1 : イントラネットゾーン
- 2 : 信頼済みサイトゾーン
- 3 : インターネットゾーン
- 4 : 制限付きゾーン

この方法の場合、事前に [セキュリティゾーン : コンピューターの設定のみ使用する] を有効にする必要がある (ユーザーから [ゾーンのセキュリティのレベル] は変更できません) ので注意が必要です。

また、この方法の場合、各ゾーンの設定を一括で行うことは可能であり、ユーザーが他のサイトを追加、削除することも可能です。

なお、設定した内容は HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains キー配下に格納されます。

補足 – ポリシーが複数設定されていた場合の優先順位について

「Internet Explorer のカスタマイズ～ Internet Explorer のメンテナンスポリシー part 2 （Internet Explorer のメンテナンスポリシーと管理用テンプレート配下のポリシー項目の違い）～」にも記載がありますが、ゾーンに登録されている設定に重複する項目がある場合、[コンピューターの構成] (HKEY_LOCAL_MACHINE) よりも [ユーザーの構成] (HKEY_CURRENT USER) が優先されます。

また、[サイトとゾーンの割り当て一覧] ポリシーを利用した場合、Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains キー配下のみが利用されるため、管理や問題が発生した際の切り分けを簡略化するために上記の方法を複数用いて設定するのは控えたほうがよいかもしれません。

補足 – Internet Explorer セキュリティ強化の構成 (IE ESC) について

「“Internet Explorer のメンテナンス”廃止に伴う代替案の紹介 – Part2.基本設定でのレジストリ（セキュリティゾーン）配布」にも記載がありますが、Windows Server OS に搭載されている IE ESC の状態により、登録、参照するセキュリティゾーンのレジストリが異なります (既定では有効)。

有効 :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains
無効 :
- KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

グループポリシーを設定する Windows Server の IE ESC 設定が有効の場合、クライアント OS にはゾーンに登録したサイト設定が反映されません (クライアント OS には IE ESC の機能が搭載されていない (無効) のため)。

そのため、グループポリシーで設定を行う際、以下のように [無効] に設定するのが望ましいと思います。

補足 – [コンピューターの構成] で HKEY_CURRENT_USER (HKCU) の設定が可能か

[コンピューターの構成] でレジストリの設定を行う場合、HKEY_CURRENT_USER ハイブを指定することは可能ですが、以下のとおり「HKEY_CURRENT_USER (HKU\.DEFAULT)」となります。

ただし「HKU\.DEFAULT」は、ローカルシステムアカウント (LSA) のプロファイルのため、他のアカウント、ユーザーには反映されません。

参考

上級ユーザー向けの Internet Explorer セキュリティゾーン関連のレジストリエントリ
https://support.microsoft.com/ja-jp/kb/182569
Internet Explorer のカスタマイズ～ Internet Explorer のメンテナンスポリシー part 2
（Internet Explorer のメンテナンスポリシーと管理用テンプレート配下のポリシー項目の違い）～ | Japan IE Support Team Blog
https://blogs.technet.microsoft.com/jpieblog/2012/05/09/internet-explorer-internet-explorer-part-2/
“Internet Explorer のメンテナンス”廃止に伴う代替案の紹介 –
Part2.基本設定でのレジストリ（セキュリティゾーン）配布 | Japan IE Support Team Blog
https://blogs.technet.microsoft.com/jpieblog/2014/09/18/internet-explorer-part2/
Internet Explorer 管理者キット – IEAK11、IEAK10、IEAK9 | TechNet
https://technet.microsoft.com/ja-jp/browser/bb219517.aspx

日	月	火	水	木	金	土
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31