クライアント ブートストラップ ポリシーの構成

概要: グループ ポリシーを管理する方法。

グループ ポリシー管理コンソール (GPMC) とグループ ポリシー オブジェクト エディターは、グループ ポリシーを管理するために使用するツールです。 Office グループ ポリシー 管理テンプレートには、lync16.admx (ADMX) と .adml (ADML) 管理用テンプレートが含まれています。これには、ドメイン内のグループ ポリシー オブジェクトに対して構成するSkype for Businessのレジストリ ベースのポリシー設定が含まれています。 ADML ファイルは、ADMX ファイルに対する言語固有の補完ファイルです。 それぞれの ADMX および ADML ファイルには、単一の Office アプリケーションに関するポリシー設定が含まれています。 Office 2016 管理テンプレート ファイル (ADMX/ADML) は、Microsoft ダウンロード センターから無料でダウンロードできます。

Skype for Businessクライアントの場合、ユーザーが初めてサーバーにサインインする前に構成することを検討する必要があるクライアント ブートストラップ ポリシーがいくつかあります。 たとえば、サインインが完了するまでクライアントが使用する既定のサーバーとセキュリティ モードです。 グループ ポリシーを使用して、ユーザーがサインインし、サーバーからのインバンド プロビジョニング設定の受信を開始する前に、ユーザーのコンピューター レジストリでこれらの設定を確立できます。 次の表に、Skype for Businessで使用できるグループ ポリシー設定の一覧を示します。

Skype for Businessのグループ ポリシー設定

グループ ポリシー設定 説明
サーバーを指定する (ConfigurationMode)
サインイン時に使用するトランスポートとサーバー Skype for Business識別する方法を指定します。 この設定では、次の値を指定します。
ServerAddressExternal: 外部ファイアウォールの外側からの接続時に、フェデレーションからの連絡先とクライアントで使用されるサーバー名または IP アドレスを指定します。
ServerAddressInternal: クライアントがorganizationのファイアウォール内から接続するときに使用されるサーバー名または IP アドレスを指定します。
Transport: 伝送制御プロトコル (TCP) またはトランスポート層セキュリティ (TLS) のいずれかを指定します。
サポートされる追加のサーバー バージョン (ConfiguredServerCheckValues)
既定でサポートされているサーバー バージョンに加えて、ログオンSkype for Business Serverセミコロンで区切られたサーバー バージョン名の一覧を指定します。
サインイン失敗ログの自動アップロードを無効にする (DisableAutomaticSendTracing)
分析のためにサインインエラー ログをSkype for Business Serverに自動的にアップロードします。 サインインが成功した場合は、ログは自動的にアップロードされません。 このポリシーが構成されていない場合は、次のように動作します。
Skype for Business Online ユーザーの場合: サインインエラー ログが自動的にアップロードされます。 Skype for Businessオンプレミス ユーザーの場合: アップロード前に確認ダイアログ ボックスがユーザーに表示されます。 この設定を無効にすると、Skype for BusinessオンプレミスユーザーとSkype for Businessオンライン ユーザーの両方に対して、サインイン ログがSkype for Business Serverに自動的にアップロードされます。 この設定を有効にすると、サインイン ログは自動的にアップロードされることはありません。
SIP 接続の HTTP フォールバックを無効にする (DisableHttpConnect)
TLS または TCP が使用できない場合、Skype for Business Serverが HTTP を使用してサーバーへの接続を試みないようにします。 既定では、Skype for Business最初に TLS または TCP を使用してサーバーへの接続を試行し、どちらのトランスポート方法も成功しない場合は、HTTP を使用して接続を試Skype for Business。 このポリシーを使用して、フォールバック HTTP 接続試行を無効にします。
ログオン資格情報を必要とする (DisableNTCredentials)
ユーザーは、SIP サーバーへのサインイン時に Windows 資格情報を自動的に使用するのではなく、Skype for Businessのログオン資格情報を指定する必要があります。
サーバーのバージョン チェックを無効にする (DisableServerCheck)
このポリシーを 1 に設定すると、サインイン前にSkype for Businessがサーバー名とバージョンを確認できなくなります。 既定では、Skype for Businessはサインイン前にこれらのチェックを行います。
アドレス帳サービス ファイルをダウンロードするために BITS の使用を有効にする (EnableBitsForGalDownload)
Skype for Businessがバックグラウンド インテリジェント転送サービス (BITS) を使用してアドレス帳サービス ファイルをダウンロードできるようにします。
SIP セキュリティ モードを構成する (EnableSIPHighSecurityMode)
Skype for Businessがインスタント メッセージをより安全に送受信できるようにします。 このポリシーは、Windows .NET または Microsoft Exchange Server サービスに対して無効です。
このポリシー設定を構成しない場合、Skype for Businessは任意のトランスポートを使用できます。 ただし、TLS を使用せず、サーバーがユーザーを認証する場合は、NTLM 認証または Kerberos 認証を使用Skype for Business必要があります。
グローバル アドレス帳のダウンロード開始遅延 (GalDownloadInitialDelay)
グローバル・アドレス・リスト (GAL) のダウンロードが行われる前の期間を指定します。 既定値は 60 分です。つまり、サーバーは 0 から 60 分のランダムな期間、GAL ファイルのダウンロードを遅延させます。
ユーザーがSkype for Businessを実行できないようにする (PreventRun)
ユーザーがSkype for Businessを実行できないようにします。 このポリシー設定は、コンピューターの構成とユーザーの構成の両方で構成できますが、コンピューターの構成のポリシー設定が優先されます。
ユーザー パスワードの保存を許可する (SavePassword)
Skype for Businessがパスワードを格納できるようにします。
SIP 圧縮モードを構成する (SipCompression)
SIP 圧縮をオンにするときを定義します。 既定では、アダプターのスピードに基づいて SIP 圧縮が有効化されます。 このポリシーを設定すると、サインインの時間が長くなる可能性があることに注意してください。
信頼されたドメインの一覧 (TrustModelData)
ユーザーの SIP ドメインのプレフィックスに一致しない信頼されたドメインをリストします。

サーバー上で構成されたポリシーは、ユーザーによって構成されたグループ ポリシー設定やクライアント オプションよりも優先されます。 次の表に、競合が発生した場合の設定の優先順位をまとめます。

グループ ポリシーの優先順位

優先順位 設定の場所と方法
1
Skype for Business Serverインバンド プロビジョニング
2
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Office\16.0\Lync
3
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Lync
4
Skype for Businessの [オプション] ダイアログ ボックス

Skype for Business管理テンプレート ファイルを使用してグループ ポリシー設定を定義するには

  1. 言語に依存しないすべての ADMX ファイルを含めるルートレベル フォルダーを作成します。 たとえば、ドメイン コントローラーの次の場所で、中央ストア用のルート フォルダーを作成します。

    %systemroot%\sysvol\domain\policies\PolicyDefinitions

    注意

    この手順では、ドメインで複数のコンピューターを管理することを想定しています。 この場合、テンプレートをプライマリ ドメイン コントローラーの Sysvol フォルダーにある中央ストアに保存します。 これにより、ドメインの管理用テンプレート用のレプリケートされた中央の保存場所が提供されます。

  2. 使用する言語ごとにサブフォルダーを作成します。 これらのサブフォルダーには、言語固有の ADML リソース ファイルが含められます。 たとえば、米国英語 (EN-US) 用のサブフォルダーを次の場所で作成します。

    %systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US