Share via

  • [アーティクル]

Configuration Manager での管理対象ブラウザー ポリシーを使用したインターネット アクセスの管理

 

適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager SP1

System Center 2012 Configuration Manager SP2 以降 では、Intune 管理対象ブラウザーという Web 閲覧アプリケーションを展開し、アプリケーションを管理対象ブラウザー ポリシーに関連付けることができます。 管理対象ブラウザー ポリシーは、管理対象ブラウザーのユーザーがアクセスできる Web サイトを制限する許可リストまたはブロック リストを構成するものです。

このアプリは管理対象アプリであるため、切り取り、コピー、貼り付けの使用の制御、画面のキャプチャの防止、ユーザーがクリックしたコンテンツへのリンクのみが他の管理対象アプリで開かれるようにすることなど、さまざまなモバイル アプリケーション管理ポリシーをこのアプリにも適用できます。 詳細については、「Configuration Manager のモバイル アプリケーション管理ポリシーを使用してアプリを制御する方法」を参照してください。

System_CAPS_important重要

ユーザーが Managed Browser を自分でインストールした場合、指定されたポリシーで管理されなくなります。 ブラウザーを確実に Configuration Manager で管理するには、ユーザーにアプリをアンインストールしてもらってから、管理対象アプリとして展開する必要があります。

次の種類のデバイス用に Managed Browser のポリシーを作成することができます。

  • Android 4 以降が実行されているデバイス

  • iOS 7 以降を実行するデバイス

[!メモ]

Intune 管理対象ブラウザー アプリの詳細については、iTunes (iOS の場合)、および Google Play (Android の場合) を参照してください。

Managed Browser のポリシーを作成する

  1. Configuration Manager コンソールで、[ソフトウェア ライブラリ] をクリックします。

  2. [ソフトウェア ライブラリ] ワークスペースで、[アプリケーション管理] を展開し、[アプリケーション管理ポリシー] をクリックします。

  3. [ホーム] タブの [作成] グループで、[アプリケーション管理ポリシーの作成] をクリックします。

  4. [全般] ページで、ポリシーの名前と説明を入力してから、[次へ] をクリックします。

  5. [ポリシーの種類] ページで、プラットフォームを選択し、ポリシーの種類で [管理対象ブラウザー] を選択してから、[次へ] をクリックします。

    [管理対象ブラウザー] ページで、次のオプションのいずれかを選択します。

    - **Managed Browser が以下に示す URL のみを開けるようにする**: Managed Browser で開くことができる URL の一覧を指定します。

- **Managed Browser が以下に示す URL を開けないようにする**: Managed Browser で開けないようにブロックする URL の一覧を指定します。

    [!メモ]

    同じ Managed Browser ポリシーに、許可される URL とブロックされる URL の両方を含めることはできません。

    指定できる URL の形式の詳細については、このトピックの「許可される URL とブロックされる URL の形式」を参照してください。

    [!メモ]

    [全般] ポリシーの種類を使用すると、会社のコンプライアンス ポリシーとセキュリティ ポリシーに合わせて、展開するアプリの機能を変更することができます。 たとえば、切り取り、コピーと貼り付けの各操作を制限付きのアプリ内で制限することができます。 [全般] ポリシーの種類の詳細については、「Configuration Manager のモバイル アプリケーション管理ポリシーを使用してアプリを制御する方法」を参照してください。

  6. ウィザードを完了します。

新しいポリシーが、[ソフトウェア ライブラリ] ワークスペースの [アプリケーション管理ポリシー] ノードに表示されます。

Managed Browser アプリ向けにソフトウェアの展開を作成する

管理対象ブラウザー ポリシーを作成した後、管理対象ブラウザー アプリ向けにソフトウェア展開の種類を作成できます。 管理対象ブラウザー アプリには、全般ポリシーと管理対象ブラウザー ポリシーの両方を関連付ける必要があります。

詳細については、「Configuration Manager でモバイル デバイス用アプリケーションを作成して展開する方法」をご覧ください。

Managed Browser のセキュリティとプライバシー

  • iOS デバイスでは、証明書の有効期限が切れている Web サイトや証明書が信頼されていない Web サイトにユーザーがアクセスしても、開くことができません。

  • ユーザーが自分のデバイスの組み込みブラウザーに対して構成した設定は、Managed Browser では使用されません。 これは、Managed Browser がこれらの設定にアクセスできないためです。

  • Managed Browser に関連付けられているモバイル アプリケーション管理ポリシーで [アクセスの際にシンプルな PIN を要求する] オプションか [アクセスの際に会社の資格情報を要求する] オプションが構成されている場合は、ユーザーが認証ページのヘルプ リンクをクリックすると、Managed Browser ポリシーのブロック リストに追加されているかどうかに関係なく、ユーザーはすべてのインターネット サイトを参照することができます。

  • Managed Browser では、直接アクセスされたときのみ、サイトへのアクセスをブロックできます。 サイトへのアクセスに中間サービス (翻訳サービスなど) が使用されている場合は、アクセスをブロックすることができません。

参照情報

許可される URL とブロックされる URL の形式

許可リストとブロック リストで URL を指定するときに使用できる形式とワイルドカードについて説明します。

  • ワイルドカード記号 "*" は、以下の許可されているパターン リストの規則に従って使用できます。

  • リストに入力するときは、すべての URL の先頭に必ず http または https を付けてください。

  • アドレスにはポート番号を指定できます。 ポート番号を指定しない場合は、次の値が使用されます。

    • http の場合はポート 80

    • https の場合はポート 443

    https://www.contoso.com:\* や https://www.contoso.com:/\* のように、ポート番号にワイルドカードを使用することはできません。

  • URL を指定するときに使用できるパターンの詳細については、次の表を参照してください。

    [URL]

    説明

    [一致する]

    [次の値に一致しない]

    https://www.contoso.com

    単一のページと一致する

    www.contoso.com

    host.contoso.com

    www.contoso.com/images

    contoso.com/

    https://contoso.com

    単一のページと一致する

    contoso.com/

    host.contoso.com

    www.contoso.com/images

    www.contoso.com

    https://www.contoso.com/*

    www.contoso.com で始まるすべての URL と一致する

    www.contoso.com

    www.contoso.com/images

    www.contoso.com/videos/tvshows

    host.contoso.com

    host.contoso.com/images

    http://*.contoso.com/*

    contoso.com の下のすべてのサブドメインに一致する

    developer.contoso.com/resources

    news.contoso.com/images

    news.contoso.com/videos

    contoso.host.com

    https://www.contoso.com/images

    単一のフォルダーと一致する

    www.contoso.com/images

    www.contoso.com/images/dogs

    https://www.contoso.com:80

    ポート番号を使用し、単一のページと一致する

    https://www.contoso.com:80

    https://www.contoso.com

    セキュリティで保護された単一のページと一致する

    https://www.contoso.com

    https://www.contoso.com

    https://www.contoso.com/images/*

    1 つのフォルダーおよびすべてのサブフォルダーと一致する

    www.contoso.com/images/dogs

    www.contoso.com/images/cats

    www.contoso.com/videos

  • 指定することができない入力例を次に示します。

[!メモ]

*.microsoft.com は常に許可されます。つまり、常に許可として扱われます。

許可リストとブロック リストの競合を解決する方法

複数の Managed Browser ポリシーがデバイスに展開され、設定が競合する場合、モード (許可またはブロック) と URL の一覧の両方が競合していると判断されます。 競合が発生した場合は、次の動作が適用されます。

  • 各ポリシーのモードは同じで、URL の一覧が異なる場合、URL はデバイスに適用されません。

  • 各ポリシーのモードが異なり、URL の一覧は同じである場合、URL はデバイスに適用されません。

  • デバイスが初めて Managed Browser ポリシーを受信するときに、2 つのポリシーが競合する場合、URL はデバイスに適用されません。[ポリシー] ワークスペースの [ポリシーの競合] ノードを使用して、競合を表示します。

  • デバイスが Managed Browser ポリシーを既に受信していて、2 番目のポリシーが競合する設定で展開される場合、元の設定がデバイスに残ります。[ポリシー] ワークスペースの [ポリシーの競合] ノードを使用して、競合を表示します。