【Edge】SmartScreenを「Edge for Business」専用の独自ポリシーで運用する設定と確認手順

企業のIT管理者の皆様は、従業員がEdgeのSmartScreenを正しく利用できているか、あるいはポリシーで制御したいとお考えかもしれません。SmartScreenはフィッシングやマルウェアから保護しますが、ビジネス環境では組織のセキュリティポリシーに合わせた運用が必要です。Edge for Businessは、法人向けに最適化されたEdgeのプロファイルであり、グループポリシーやMDMを使ってSmartScreenの動作を詳細に管理できます。本記事では、Edge for Business専用の独自ポリシーでSmartScreenを運用するための設定手順と、正しく適用されたかを確認する方法を解説します。

Edge for BusinessとSmartScreenポリシーの概要

Edge for Businessは、Microsoftが法人向けに提供する、組織管理に特化したブラウザ環境です。通常のEdgeとは異なり、仕事用と個人用のプロファイルが自動的に分離され、管理者はポリシーで動作を制御できます。SmartScreenは、ユーザーが危険なサイトやファイルをダウンロードしようとした際に警告を表示するセキュリティ機能です。しかし、イントラネット上の内部サイトや信頼できるファイルについては、ポリシーでSmartScreenをオフにしたり、特定の動作を許可したいケースがあります。Edge for Businessでは、以下のような独自ポリシーを使ってSmartScreenを細かく制御できます。

• SmartScreenの有効/無効
• フィッシング詐欺対策の有効/無効
• ダウンロード時のSmartScreenチェックの有効/無効
• 特定のURLやドメインのSmartScreenチェックの除外

これらのポリシーは、グループポリシー(GPO)またはモバイルデバイス管理(MDM)経由で展開できます。正しいポリシー名と構文を理解し、適切に設定することが重要です。

グループポリシーを使用したSmartScreenポリシーの設定手順

オンプレミスのActive Directory環境では、グループポリシーが最も一般的な管理方法です。以下の手順で、Edge for Business用の管理用テンプレートを追加し、SmartScreenポリシーを構成します。

1. 管理用テンプレートのダウンロードと追加
   Microsoftから最新のEdge管理用テンプレート(.admx/.admlファイル)をダウンロードし、中央ストアまたはローカルのPolicyDefinitionsフォルダにコピーします。グループポリシー管理エディターを開き、「コンピューターの構成」または「ユーザーの構成」から「管理用テンプレート」を右クリックし、「テンプレートの追加と削除」でダウンロードしたテンプレートを追加します。
2. SmartScreenポリシーの構成
   「管理用テンプレート」→「Microsoft Edge」→「SmartScreen」の順に展開します。以下の主要なポリシーをダブルクリックして設定します。
   ・「SmartScreenを有効にする」: 有効または無効を選択(有効推奨)
   ・「SmartScreenからフィッシング詐欺の警告を有効にする」: 有効にする
   ・「ダウンロードするファイルに対してSmartScreenチェックを有効にする」: 有効にする
   ・「SmartScreenの除外ドメインの一覧」: 除外したいドメインを入力(イントラネット等)
3. ポリシーの適用と確認
   グループポリシーをリンクしたいOUに設定し、クライアント端末で「gpupdate /force」を実行してポリシーを適用します。Edgeを起動し、アドレスバーに「edge://policy」と入力してポリシーの一覧を表示し、設定したポリシーが「有効」または「無効」と表示されていることを確認します。

MDM(Intuneなど)を使用したSmartScreenポリシーの設定手順

クラウド管理環境では、Microsoft IntuneなどのMDMを使ってポリシーを展開します。OMA-URIパスを用いて個別のポリシーを設定する方法が一般的です。

1. Intuneでカスタム構成プロファイルを作成
   Intune管理センターで「デバイス」→「構成プロファイル」→「プロファイルの作成」を選択します。プラットフォームに「Windows 10以降」、プロファイルの種類に「カスタム」を選びます。
2. OMA-URI設定を追加
   「構成設定」で「追加」をクリックし、以下のようにOMA-URIを入力します。名前と説明は任意です。
   OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Edge/SmartScreenEnabled
   データ型: 整数
   値: 1(有効)または0(無効)
   同様に、以下のポリシーも必要に応じて追加します。
   ・SmartScreenForFilesDownloaded: ./Vendor/MSFT/Policy/Config/Edge/SmartScreenFilesDownloadedEnabled
   ・SmartScreenPuaEnabled: ./Vendor/MSFT/Policy/Config/Edge/SmartScreenPuaEnabled
   ・SmartScreenExcludedDomains: ./Vendor/MSFT/Policy/Config/Edge/SmartScreenExcludedDomainList(値はJSON配列)
3. プロファイルを割り当てて確認
   プロファイルを作成し、適切なグループに割り当てます。クライアント端末でEdgeを起動し、「edge://policy」でポリシーが適用されていることを確認します。同期が完了するまで数分かかることがあります。

設定時の注意点とよくあるトラブル

ポリシーが正しく適用されない場合

グループポリシーとMDMの両方で同じポリシーが設定されていると、競合が発生する可能性があります。また、Edgeのバージョンによってポリシーの有効範囲が異なる場合があります。必ず最新の管理用テンプレートをダウンロードし、MDMの場合はOMA-URIのパスが正しいことを確認してください。

SmartScreen除外リストの設定ミス

除外ドメインを設定する際は、FQDN形式(例:contoso.com)で入力します。ワイルドカード(*.contoso.com)も使用できますが、リストはJSON形式で正しく記述する必要があります。グループポリシーの場合はテキストボックスに1行ずつ入力し、MDMの場合は配列として設定します。

Edge for Businessプロファイルが正しく認識されない

ポリシーはEdge for Businessプロファイルにのみ適用されます。通常のEdgeプロファイルには影響しません。ユーザーが個人用プロファイルでEdgeを開いている場合は、ポリシーが適用されていないように見えることがあります。そのため、ポリシーが適用されたかどうかを確認する際は、必ずEdge for Businessプロファイル(仕事用プロファイル)で動作していることを確認してください。

グループポリシーとMDMの比較表

まとめ

本記事では、Edge for Business専用の独自ポリシーを使ってSmartScreenを運用するための設定手順と確認方法を解説しました。グループポリシーとMDMの両方で、SmartScreenの有効/無効や除外ドメインを管理できることがわかりました。管理者は、組織のセキュリティ要件に合わせて適切な方法を選択し、ポリシーが正しく適用されているかをedge://policyで定期的に確認するとよいでしょう。また、ポリシーの競合やバージョン依存に注意し、常に最新の管理用テンプレートを利用することで、安定した運用が期待できます。