GPOでIEの各セキュリティゾーンを登録する方法

GPOでIEの各セキュリティゾーンを登録する方法

セキュリティ設定をしていないと正しく動作しないWebサービスは結構多く、全てのサービスをすべてのパソコンに設定するのは大変です。そうした負担を減らし、統一した運用を実現するには、IE(およびEdgeのIEモード)で使われるセキュリティゾーンをGPOで一元管理するのが効果的です。旧来型の社内システムや委託先ポータルを安全に使いつつ、ヘルプデスク対応も抑制できます。

本記事では、Internet Explorerの「信頼済みサイト」「ローカル イントラネット」へ対象URL/ドメインをグループポリシーで一括登録する方法を解説します。

InternetExplorerのセキュリティゾーン

インターネットオプションは「コントロール パネル\ネットワークとインターネット」で開きます

Internet Explorerのセキュリティゾーンは、Webサイトを信頼度に応じて4つのグループに分類し、それぞれに異なるセキュリティ設定(スクリプト実行やActiveXの許可など)を適用するための仕組みです。

インターネットオプションから設定することができますが、Active Directoryのドメイン環境においては、グループポリシーを用いて設定を一元管理するケースがあると思います。続いて、グループポリシーで一括設定する方法を解説します。

グループポリシー(GPO)管理用テンプレートでセキュリティゾーンを適用する方法

サイトとゾーンの割り当て一覧に登録します
  1. グループポリシーエディタを起動して、以下に移動します

    2. ユーザーの構成 > ポリシー > 管理用テンプレート > Windowsコンポーネント > InternetExplorer > インターネットコントロールパネル > セキュリティーページ

    ※コンピュータの構成でも大丈夫

  2. サイトとゾーンの割り当て一覧をダブルクリックします。
  3. 「有効」を選択して、ここにゾーンの割り当てを入力してください「表示」をクリックします。
    4. ヘルプに設定内容の詳細の説明があります
  4. 値の名前に対象のURL(ドメイン、IPアドレス)を入力し、値は以下から選択してください
  • 1:ローカル イントラネット
  • 2:信頼済みサイト
  • 3:インターネット
  • 4:制限付きサイト
例.値の名前:example.co.jp、値:2 複数ある場合は、行を追加して登録します

GPOを「有効」にすると、管理者が定義したリストが絶対となり、ユーザーが各自で設定していた内容は すべて上書き(置換) されます。管理者が設定したポリシーとユーザーの個別に登録した設定を結合することはできません。

そこで、ゾーンの設定を一括で行うことが可能であり、かつ、ユーザーが他のサイトを追加、削除することも可能な方法を紹介します。

レジストリでセキュリティゾーンを適用する方法

レジストリでセキュリティゾーンを適用すると、ユーザーが他のサイトを追加、削除することも可能です。

ドメインで指定する場合

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

  • キー:ドメイン
    • 値の名前:*
    • 値の種類:REG_DWORD
    • 値のデータ:
      • 1:ローカル イントラネット
      • 2:信頼済みサイト
      • 3:インターネット
      • 4:制限付きサイト
キーをドメインで追加して「*」を追加します

レジストリの「サイトとゾーンの割り当て一覧」(ZoneMap)における値の名前「*」(アスタリスク)は、 「すべてのプロトコル」 を意味するワイルドカードです。

同じドメインやIPアドレスであっても、アクセスする方法(プロトコル)ごとに異なるゾーンを割り当てることもできます。

例えば、example.com というキーの下に、

という設定が可能ですが、ほとんど使わないと思いますので、*を使用してすべてのプロトコルに適用しておくのが、最もシンプルで確実な方法です。

IPアドレスで指定する場合

IPアドレスを登録する場合は、レジストリのRangesキー配下に Range1, Range2... とキーを登録します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

  • キー:Range1
    • REG_SZ(文字列値):
      • 値の名前: :Range
      • 値のデータ:IPアドレス
    • REG_DWORD:
      • 値の名前: *
      • 値のデータ:ゾーン番号(1から4)
        • 1:ローカル イントラネット
        • 2:信頼済みサイト
        • 3:インターネット
        • 4:制限付きサイト
こんな感じで「*」と「:Range」を追加します

複数ある場合は、Range2、Range3と続けて登録します。

グループポリシーエディタを使用したレジストリ設定方法

グループポリシーを使用してレジストリの値を一括管理する方法を紹介します。

  1. グループポリシーエディタを起動して、以下に移動します

    2. ユーザーの構成 > 基本設定 > Windows の設定 > レジストリ

    ※コンピュータの構成でも大丈夫

  2. 操作 > 新規作成 > レジストリ項目 をクリック
  3. 上記のレジストリキーを登録

まとめ

本記事では、GPOを用いてIEのセキュリティゾーンへサイトを一括登録する手順を整理し、設定方法、注意点を解説しました。適切に運用すれば、互換性確保とヘルプデスクの負担軽減を同時に実現できます。

環境の差やシステム要件でつまずきやすい箇所もあります。適用前の検証計画づくりやトラブルの相談など、ご不明点があればお気軽にメッセージください。

Author Profile

コウノ(
職歴年のIT技術者です。エクセル・Web制作が得意。

プロフィールの詳細

お困りごとはまずはご相談ください。パソコン・スマホ初期設定 / ツール導入・開発受付中
フォームで質問する LINEで質問する

Back to Top