ユーティリティ スポットライトInternet Explorer 管理者キット
Lance Whitney
この記事で使用しているコードのダウンロード: ユーティリティ スポットライト: Internet Explorer 管理者キット 7 (KB)
CIO から組織全体に Internet Explorer 7 の最新バージョンをインストールするように命じられました。期日も予算も厳しい一方で、要件は多数あります。すべてのユーザーに同じ機能と設定を適用するカスタマイズ パッケージが必要です。また、必要に応じて適用した設定を変更できる必要があります。
さらに、Internet Explorer® を制限し、ユーザー側では設定を変更できないようにする必要もあります。このような Internet Explorer のインストールを迅速かつ簡単に作成し、供給するには、どうすればよいでしょうか。
マイクロソフトでは、Internet Explorer 管理者キット (IEAK) を用意しています。この無償構成ツールは Internet Explorer のカスタマイズされたインストール パッケージを作成する IT 管理者、開発者、ISP、および他のユーザーの支援を目的として作成されました。Yahoo! では実際に IEAK 7 のベータ バージョンを使用して、Yahoo! Web サイトからのダウンロード用にカスタマイズされた Internet Explorer 7 のパッケージを作成しました。
IEAK を使用して作成される Internet Explorer 7 のビルドには、ユーザーが指定する機能とオプション以外は含まれません。個別のセキュリティ設定を使用して、各種コントロールへのユーザー アクセスを制限できます。
Internet Explorer の展開後、Active Directory® を導入している環境であれば、グループ ポリシーを使用してブラウザの設定を制御、および更新することもできます。あるいは、必要に応じて、IEAK を使用し多様な Internet Explorer の設定を管理することもできます。
IEAK 7 は Internet Explorer のパッケージを作成するためのシンプルなグラフィカル インターフェイスを備え、旧バージョンよりさらにユーザー フレンドリーな仕様になっています。ユーザーは、ステップごとの画面に従い、ビルドに組み込む機能やオプションを選択します。
IEAK の新規リリースでは旧バージョンへの変更に加え、一部のオプションが追加、または削除されています。このバージョンより、Internet Explorer のビルドに既定の RSS Web フィードを追加したり、1 つ以上のホーム ページ、検索ページをポイントしたりできるようになりました。また、フィッシング対策フィルタのサポートも追加できます。さらに、Microsoft® Windows® 悪意のあるソフトウェアの削除ツールを実行、更新するように設定することもできます。ただし、Outlook® Express および Windows Media® Player は、Internet Explorer 7 に同梱されなくなったため、IEAK ではカスタマイズできません。
32 ビットまたは 64 ビット プラットフォームの Windows XP Service Pack 2 (SP2)、Windows Server® 2003 SP1、または x86 ベース、x64 ベース、あるいは Itanium ベースの Windows Vista™ 用の Internet Explorer パッケージを作成できます。IEAK 7 を実行するには、あらかじめ、パッケージを作成するコンピュータに Internet Explorer 7 をインストールしておく必要があります。互換性の観点から、ビルドを適用するコンピュータと同じ OS がインストールされているコンピュータで IEAK を実行してください。
このコラムでは Internet Explorer 7 インストール ビルドを作成するための IEAK の使用方法と、ブラウザの設定を管理、または更新する方法について解説します。
IEAK 7 の入手方法
https://www.microsoft.com/technet/prodtechnol/ie/ieak/ja/default.mspx から最新バージョンの IEAK 7 を無償でダウンロードできます。また、このページでは IEAK に関する文書、リリース ノートも入手できます。
ダウンロードした ieak.msi ファイルを使用して IEAK 7 をインストールすると、[ISP として外部配布]、[コンテンツ プロバイダまたは開発者として外部配布]、[企業イントラネットを介した内部配布]の、どのライセンス モードを使用するかを確認する画面が表示されます。その後に続く画面とビルドされるパッケージは、この画面で選択するモードによって異なります。ビジネス環境向けのビルドを作成する場合は、[企業イントラネットを介した内部配布] のライセンス モードを選択してください。IEAK がインストールされると、[スタート] メニューに「Microsoft IEAK 7」というプログラム グループが作成され、その中には [IEAK ヘルプ]、[IEAK プロファイル マネージャ]、[Internet Explorer カスタマイズ ウィザード] の 3 つの項目が含まれています。
インストール パッケージをビルドする場合は、[Internet Explorer カスタマイズ ウィザード] を使用します。使用方法は簡単で、ウィザードの各画面に従って操作するだけでパッケージのデザインを進められます。もう少し具体的に説明します。各オプションの構成方法を知るには、Internet Explorer の各種機能とコントロールを十分に理解している必要があります。さいわいなことに、EAK 7 ではこの点も考慮されています。ツールの組み込みヘルプは旧バージョンに比べ、さらに詳しく、分かりやすくなりました。カスタマイズ ウィザードの各画面に表示される [ヘルプ] ボタンから、画面の設定やオプションなどの情報にアクセスできます。IEAK のヘルプ ファイルにアクセスするには [IEAK ヘルプ] をクリックするか、「C:\Program Files\Microsoft IEAK 7」の「IEAKHelp.chm」をダブルクリックします。各コンポーネントを理解し、必要なオプションを計画するために、ビルドを作成する前にこのドキュメントを参照することをお勧めします。
カスタマイズ ウィザードでは次の 5 段階でパッケージの作成を実行します。
- 情報の収集
- セットアップ パラメータのカスタマイズ
- インストール方法のカスタマイズ
- ブラウザのカスタマイズ
- 追加のカスタマイズ
IEAK 7 では数々の画面が能率化され、プロセスは旧バージョンに比べ操作しやすくなっています。操作性は向上していますが、カスタマイズ ウィザードではパッケージのオプションを選択するため、多数の画面を操作する必要があります。画面の多くには個別の説明が付与されていますし、より込み入った内容については前述のヘルプを参照していただくこととして、このコラムではすべての画面を取り上げることは割愛します。その代わりとして、各段階で実行する操作を要約し、一部の特に重要な画面について解説します。
段階 1 情報の収集: ここではインストール パッケージの配置場所、ビルドを実行する OS およびプラットフォーム、Internet Explorer の配布方法、カスタマイズするオプションなどを決定します。この段階では Internet Explorer 7 の配布方法を、図 1 に示す 3 つの方法から選択できます。1) ファイル インストール。この方法ではビルドに含まれるファイルが均一なディレクトリ構造で配置されます。2) CD-ROM。この方法ではインストール ディスクが作成されます (リモートのユーザーをサポートする場合は便利です)。3) 構成のみのパッケージ。この方法では既存の Internet Explorer 7 のインストールにカスタマイズした設定を適用できます。Windows Vista のように Internet Explorer 7 が既にインストールされ、カスタマイズした設定のみを適用する場合は、最後のオプションを使用します。
図 1** 配布方法の指定 **(画像を拡大するには、ここをクリックします)
この段階ではビルドに使用する言語も指定できます。サポートする必要がある言語ごとに、ローカライズされたバージョンの Internet Explorer 7 を作成できます。
段階 2 セットアップ パラメータのカスタマイズ: ここではパッケージをビルドするために使用する Internet Explorer の最新のコンポーネントと更新プログラムをダウンロードします。
段階 3 インストール方法のカスタマイズ: この段階ではユーザーが実際に使用するインストール方法を選択します。インタラクティブ (インストール中にユーザー自身が操作を進め、選択します)、ハンドフリー (実行中のインストールは表示されますが、ユーザーは操作できません)、完全サイレント (インストールはバックグラウンドで実行され、ユーザーには表示されません) のいずれかを選択します。CD-ROM を作成する場合は、この段階で CD 用のスタート ページと他の要素を作成するよう求めるメッセージが表示されます。
段階 4 ブラウザのカスタマイズ: ここでは Internet Explorer の外観をカスタマイズします。ホーム ページ、サポート ページ、お気に入りの URL を設定し、プロキシの設定を構成します。また、ブラウザのプライバシーとセキュリティの設定を行います。この段階では自動構成ファイル、またはインターネット設定 (INS) ファイルの名前と場所も指定できます。これらのファイルはグループ ポリシーを使用しない場合に、ブラウザの設定を管理する場合に役立ちます。
INS ファイルは単純なテキスト ファイルで、一般的なブラウザのホーム ページやお気に入りの設定、セキュリティの各種オプション、プロキシ構成などの各種設定が含まれています。この INS ファイルは内部の Web サーバーに配置します。各コンピュータはこのファイルをポイントし、ブラウザの各種設定を取得します。後日、設定を変更する必要が発生したときは、単にこの INS ファイルを編集するだけで、変更は自動的に各コンピュータに反映されます。設定を更新、および適用する頻度は指定することができます。
また、この段階でプロキシ サーバーを設定することもできます。IP アドレスとポート番号を手動で入力する方法と、プロキシ情報を指定した JScript® (JS)、JavaScript (JVS)、または PAC (Proxy Auto-Configuration) ファイルを作成し、その名前を指定する方法のいずれかを選択します。IEAK ヘルプにはこれらのファイルの作成に使用できるコードの例が掲載されています。
また、Windows Vista を使用して、Windows Vista 用の Internet Explorer 7 パッケージを作成する場合は、保護モードを使用することもできます。参照元のコンピュータで Internet Explorer 7 を保護モードに変更し、設定を IEAK にインポートするだけです。
段階 5 追加のカスタマイズ: この段階では、ビルドに適用するユーザー ポリシーとセキュリティの制限を設定します。非表示の設定、またはユーザーが変更できないようにする設定については、個別に選択して制限できます。図 2 の [追加の設定] 画面には有効、または無効にできる各種コントロールが 5 つのカテゴリ別に表示されます。これらの画面の各種設定は Internet Explorer 7 に設けられた 5 種類のテンプレートから作成されています。この設定はウィザードの段階 2 で最新のブラウザ コンポーネントをダウンロードした後にインストールされたものです。グループ ポリシーを使用する場合は、この段階をバイパスできます。グループ ポリシーを使用しない場合は、5 種類のカテゴリに分類されたオプションを構成できます。これらのカテゴリは ADM テンプレートから直接取得されるため、各 ADM ファイルをテキスト エディタで編集し、カスタマイズした独自のコントロールを追加することも可能です。ADM ファイルは Windows の オペレーティング システムおよびプラットフォームごとに、「C:\Program Files\Microsoft IEAK 7\pol-icies」の下にある各サブディレクトリに配置されています。図 3 には、5 種類のカテゴリが簡単な解説と共に表示されます。
Figure 3 [追加の設定] 画面のカテゴリ
| カテゴリ | 説明 |
| Control Management (コントロール マネージメント) | このカテゴリでは特定の ActiveX コントロールを有効、または無効にできます。このカテゴリの設定は Windows Vista には適用されません。適用されるのは Windows XP および Windows Server 2003 のみです。 |
| Custom Settings (カスタム設定) | このカテゴリにはセキュリティの設定が表示されます。特定のコントロールやアクションをゾーン (インターネット、イントラネット、信頼済みサイト、制限付きサイト) ごとに有効、または無効にできます。 |
| Corporate Settings (企業用の設定) | このカテゴリではブラウザ キャッシュのサイズとパラメータを設定できます。 |
| Corporate Restrictions (企業の制限) | ここでは Internet Explorer の特定のコントロールおよび画面を制限できるので、ユーザーはそれらを参照できなくなります。これらの設定は Windows Vista には適用されません。適用されるのは Windows XP および Windows Server 2003 のみです。 |
| Internet Settings (インターネットの設定) | このカテゴリではオートコンプリートのオプション、表示サイズのほか、Internet Explorer のインターネット オプションに表示される詳細設定を構成できます。 |
図 2** Internet Explorer の各種機能のカスタマイズ **(画像を拡大するには、ここをクリックします)
ビルドの確認
カスタマイズ ウィザードで各画面の設定操作を終えると、段階 1 で指定した場所、または既定の c:\builds にパッケージが作成されます。この際、IEAK は作成先ディレクトリ名にその日の日付を使用します。たとえば、2007 年 1 月 1 日であれば、ディレクトリ名は「01012007」になります。このディレクトリの下には「INS」の他に、選択した配布方法に応じて「FLAT」、「CD」、「BrndOnly」のサブディレクトリが作成されます。サブディレクトリの数は選択した配布方法の数により異なります。
「INS」ディレクトリはパッケージを作成する場合にカスタマイズした内容を保持するためのワークスペース、またはリポジトリの役割を果たします。このディレクトリには install.ins というテキスト ファイルが格納され、作成した設定内容がすべて含まれています。カスタマイズ ウィザードを再実行すると、前回の選択内容がこのファイルから自動的に読み込まれます。
「FLAT」、「CD」、「BrndOnly」の各ディレクトリには実際のインストール ファイルが格納されます。これら 3 種類のパスの下には、Windows XP や Windows Vista などの 32 ビット環境であれば、「Win32」のように、OS およびプラットフォーム別の名前が付いたサブディレクトリが作られます。最下位のサブディレクトリには、パッケージ用に使用した言語の名前が付きます。日本語を使用すると、このサブディレクトリの名前は「JA」になります。たとえば、2007 年 1 月 1 日に日本語で 32 ビット Windows 用に、「ファイル配布」を使用してビルドを作成すると、ビルドのディレクトリ パスは「c:\builds\01012007\FLAT\WIN32\JA」になります。
「ファイル配布」で作成したインストールは「FLAT」ディレクトリにあるサブディレクトリをさらに下へと移動し、言語名のサブディレクトリの下にある IE7Setup.exe ファイルになります。これは自己展開型の実行可能ファイルで、ビルドを作成するバイナリ ファイルと構成ファイルがすべて含まれます。Internet Explorer 7 パッケージを展開するために必要なのは、このファイルだけです (インストールには「INS」ディレクトリに含まれるファイルは不要です)。この 1 つのファイルを配布用サーバーにコピーし、パッケージをテストした後、各ユーザーにファイルを配布できるようになります。
配布方法として CD-ROM を選択した場合は、「CD」ディレクトリの内容をすべて CD にコピーする必要があります。このディレクトリには自動的に生成された「autorun.inf」ファイルのほか、CD から Internet Explorer をインストールするための実行可能ファイルを含むディレクトリが格納されています。
「構成のみのパッケージ」を使用した場合は、「BrndOnly」のディレクトリ構造を下へと移動し、言語のサブディレクトリにある「Setup.exe」が生成されたビルドになります。これは自己展開型の実行可能ファイルで、このファイルを配布用サーバーにコピーして展開できます。
設定の管理
Internet Explorer 7 パッケージには最初に必要になる機能と設定のすべてが含まれています。しかし、オプションを変更する必要がある場合はどうすればよいでしょう?方法は 2 つあります。Active Directory を使用する環境であれば、グループ ポリシーを通じて、ブラウザの設定を更新できます。Active Directory での更新が不可能な場合は、IEAK に含まれる「プロファイル マネージャ」というツールを使用して設定を変更できます。まず、グループ ポリシーを使用した更新方法について概説します。
グループ ポリシーを使用した場合: グループ ポリシーは、ブラウザ設定のすべてをサポートするため、Internet Explorer の管理に最も適した方法です。旧バージョンの IEAK と Internet Explorer を使用している場合は、グループ ポリシー コンソールに ADM ファイルと IEM (Internet Explorer Maintenance) ファイルを追加し、Internet Explorer 用のすべての設定を組み込む必要があります。ただし、Internet Explorer 7 の場合は、Windows XP SP2 および Windows Vista に、ブラウザを管理、更新するために必要なグループ ポリシーの設定がすべて含まれています。
グループ ポリシー エディタ (gpedit.msc) を開き、[管理用テンプレート]、[Windows コンポーネント]、[Internet Explorer] の順にクリックすると、Internet Explorer 7 に必要なすべての設定を参照できます。
IEAK プロファイル マネージャを使用した場合: IEAK プロファイル マネージャを使用して、Internet Explorer 7 用の設定を格納する自動構成または INS ファイルを作成します。プロファイル マネージャでは、最初に新しい INS ファイルをロードするか、作成するよう求めるメッセージが表示されます。カスタマイズ ウィザードで構成した内容と同じ設定で、新しい INS ファイルを最初から作ることができます。しかし、それでは同じ作業の繰り返しになります。パッケージを作成したとき、ブラウザ設定を格納するための既定の install.ins ファイルが IEAK により作成されました。プロファイル マネージャで INS ファイルを新たに作成する代わりに、install.ins ファイルを使用しましょう。このファイルをロードするには、ビルドのディレクトリにある INS のパスを参照します。たとえば、c:\builds\01012007\INS を参照します。ファイルに到達するまで、残りのサブディレクトリを展開します。
プロファイル マネージャの設定は 図 4 に示すように、2 つのセクションで構成されています。ウィザードの設定はホーム ページ、プロキシ設定、セキュリティ ゾーンなどの各種ブラウザ オプションが対象になります。これらはカスタマイズ ウィザードの 3 ~ 5 の段階に相当します。ポリシーと制限のセクションはユーザーの制限を制御するためのもので、カスタマイズ ウィザードの段階 5 のポリシーと制限で表示される 5 つのカテゴリに相当します。
図 4** プロファイル マネージャを使用した Internet Explorer の構成 **(画像を拡大するには、ここをクリックします)
パッケージを作成した時点でこれらの設定は既に定義したので、変更する必要はありません。変更は不要ですが、設定した内容が正しいことを確認する良い機会でもあります。
プロファイル マネージャで設定を確認した後、install.ins ファイルを適切な場所に保存し、内部の Web サーバーにコピーします。ファイルをコピーするためには、サーバーの汎用名前付け規則 (UNC) パスを入力する必要があります。これはカスタマイズ ウィザードの段階 4 の自動構成画面で指定したパスと同一です。さらに、図 5 で示すように、INS ファイルと共に CAB ファイルを保存するよう求めるメッセージが表示されます。なぜでしょう。プロファイル マネージャで Internet Explorer 7 の設定を変更する場合、IEAK ではご使用の Windows クライアントに、レジストリのエントリを頻繁にダウンロードする必要があります。これらのエントリは INF ファイルに格納され、CAB ファイルに保存されます。新たな変更により、INS ファイルのバージョン番号が変わると、ダウンロード用の新しい CAB ファイルが生成されます。この CAB ファイルは INS ファイルと同じ Web サーバーに格納してください。
図 5** 自動構成ファイルの保存 **(画像を拡大するには、ここをクリックします)
INS ファイルと CAB ファイルの両方をコピーし、Web サーバーの別の場所に保存することをお勧めします。このコピーはバックアップとテストのいずれの役割も果たします。今後、プロファイル マネージャを使用して Internet Explorer の設定を変更する場合、テスト用の INS ファイルをロードして編集し、変更内容をテストした後で、稼動中の INS ファイルを変更することができます。
プロファイル マネージャを使用してブラウザの設定またはコントロールを変更することは簡単です。適切なカテゴリを選択するだけで、そのオプションを有効、または無効にすることができます。変更が完了した後、この INS ファイルを再度保存し、サーバーにコピーします。
INS ファイルは単純なテキスト ファイルであることから、次のような使い方も可能です。INS ファイルを開き、その設定内容を参照するためにメモ帳が使用できます。それでは INS ファイルをメモ帳で変更することはできるでしょうか。それも可能です。そして変更した内容は反映されます。ただし、プロファイル マネージャを使用して INS を変更する方法には、いくつかの利点があります。プロファイル マネージャでは、必要に応じて CAB ファイルが自動的に作成されます。さらに、INS が変更されるたびに、新しいバージョン番号と時間が付与されます。そのため、INS ファイルの変更にはプロファイル マネージャを使用してください。
まとめ
IEAK は Internet Explorer 7 のビルドを迅速に、効果的に作成およびカスタマイズするための有効なツールです。最新バージョンの IEAK 7 には、よりわかりやすい画面、さらに使いやすくなったヘルプなど、旧バージョンからの修正点が盛り込まれ、快適にインストール パッケージをデザインできるようになりました。IEAK を理解し、使用することで、信頼性のある Internet Explorer 7 のビルドをユーザーに配布できるようになり、同時に組織への貢献にもつながります。
Internet Explorer 7 の自動配布
マイクロソフトでは Internet Explorer 7 の最終バージョンのリリース後早い時期に、優先度の高い更新プログラムとして、自動更新、および Windows Update と Microsoft Update の各サイトから Internet Explorer 7 を配信する予定です。環境によっては、これが管理者にとって問題になる可能性があります。ユーザーにローカル管理者の権限を付与していない場合は、ユーザーはこの変更を受信しません。Microsoft Systems Management Server (SMS) または Windows Server Update Services (WSUS) を使用する環境でも、ユーザーが受信する更新は既に制御されています。ただし、ユーザーの一部またはすべてにローカル管理者権限が付与されていて、更新を管理するシステムが導入されていない場合は、Internet Explorer 7 の更新をブロックする必要がある場合があります。マイクロソフトでは Internet Explorer 7 Blocker Toolkit を作成しました。このツールキット (Microsoft ダウンロード センターで利用できます) にはグループ ポリシーのテンプレートと Internet Explorer 7 の更新が実行されないようにレジストリを設定するスクリプトの両方が含まれます。
Lance WhitneyIT コンサルタント、トレーナー、テクニカル ライター。Internet Explorer のバージョン 4.0 以降、インストール パッケージの作成とサポートを担当しています。元々はジャーナリストでしたが、15 年前、IT 業界への転向を実現しました。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.