【Edge】SmartScreenを企業端末でEdge専用に必須化するIntune構成プロファイル設定手順

企業のIT管理者の皆さまは、社内の全端末でMicrosoft EdgeのSmartScreenを強制的に有効化し、ユーザーがオフにできないようにしたいとお考えではないでしょうか。本記事では、Intune(Microsoft Endpoint Manager)を使ってEdgeのSmartScreenを必須化する構成プロファイルの設定手順を詳しく解説します。この手順を実施すれば、組織のセキュリティポリシーを確実に適用でき、フィッシングやマルウェアからの保護を強化できます。

SmartScreenはEdgeの重要なセキュリティ機能ですが、ユーザーが任意で無効化できるとリスクが高まります。Intuneの管理用テンプレートを利用すれば、Edge専用のSmartScreenポリシーを一括で構成し、変更を禁止できます。この記事では、Windows 11およびWindows 10の両方に対応した手順をご紹介します。

IntuneでEdge SmartScreenを必須化する理由と前提条件

Microsoft EdgeのSmartScreenは、フィッシングサイトや悪意のあるダウンロードからユーザーを保護する機能です。企業環境では、この機能が常に有効であることが望ましいですが、ユーザーが設定から簡単にオフにできるため、セキュリティポリシーとして強制する必要があります。

Intuneの構成プロファイルを使用すると、Windows 10/11のEdgeに対してグループポリシーに相当する設定をクラウド経由で配布できます。特に「管理用テンプレート」のプロファイルタイプを利用すれば、EdgeのADMXポリシーを直接設定可能です。この機能を使うには、あらかじめIntuneにEdgeの管理用テンプレートが組み込まれている必要があります。最新のEdgeバージョンでは、Intuneコンソールに最初からテンプレートが用意されています。

Intune構成プロファイルでEdge SmartScreenを強制有効化する手順

ここでは、Intune管理センターからEdgeのSmartScreenポリシーを強制有効にする具体的な手順を説明します。プロファイルの作成から割り当てまでをステップバイステップで進めます。

必要な権限と環境

手順を実行するには、Intune管理者の権限(組み込みロールでは「ポリシーとプロファイル マネージャー」など)が必要です。また、対象の端末はIntuneに登録され、かつAzure AD参加またはハイブリッド参加している必要があります。

1. Intune管理センターにサインインする
   ブラウザで「https://intune.microsoft.com」にアクセスし、管理者アカウントでサインインします。
2. 構成プロファイル作成画面を開く
   左側のメニューから「デバイス」→「構成プロファイル」→「プロファイルの作成」をクリックします。
3. プラットフォームとプロファイルタイプを選択する
   「Windows 10以降」を選び、プロファイルタイプで「テンプレート」を選択し、「管理用テンプレート」を選びます。「作成」をクリックします。
4. プロファイルの基本情報を入力する
   「名前」に「Edge SmartScreen 強制有効」などのわかりやすい名前を入力し、必要に応じて説明を追加します。「次へ」をクリックします。
5. 設定項目を構成する
   「構成設定」タブで「設定ピッカー」を開き、カテゴリから「Microsoft Edge」→「SmartScreen 設定」を展開します。「SmartScreenが有効かどうか」というポリシーを選択し、設定値を「有効」にします。さらに、同じカテゴリ内の「SmartScreen を強制する」というポリシーも「有効」に設定すると、ユーザーによる変更を禁止できます。ただし、このポリシーはEdgeのバージョンによって名称が異なる場合があるため、最新のテンプレートを確認してください。
6. スコープタグと割り当てを設定する
   「スコープタグ」で必要に応じてタグを追加し、「割り当て」で対象グループ(すべてのデバイスや特定のAzure ADグループ)を選択します。
7. プロファイルを確認して作成する
   「確認と作成」で設定を確認し、「作成」をクリックしてプロファイルを保存します。ポリシーはIntuneに登録された端末に非同期で配布されます。

設定が適用されると、対象のEdgeではSmartScreenが常に有効になり、ユーザーはedge://settings/privacyからSmartScreenをオフにできなくなります。適用状況はIntune管理センターの「デバイス構成」から監視できます。

設定時の注意点とよくある誤操作

Intuneの管理用テンプレートを使用する際には、いくつかの注意点があります。これらを理解しておかないと、意図した通りにポリシーが適用されない可能性があります。

ポリシーの競合と優先順位

複数の構成プロファイルやグループポリシーが同じ設定に対して異なる値を指定すると、競合が発生します。Intuneでは、最も優先度の高いプロファイルの設定が適用されます。また、ローカルのグループポリシーやレジストリ設定が上書きされる可能性もあるため、事前に既存のポリシーを確認してください。

Edgeのバージョンによるポリシー名の違い

管理用テンプレートのポリシー名はEdgeのバージョンによって微妙に異なることがあります。例えば、「SmartScreenが有効かどうか」が「SmartScreen を有効にする」と表示される場合もあります。最新のEdge ADMXをIntuneにインポートしているか、常に最新のテンプレートを使用するようにしましょう。インポートが必要な場合は、Microsoftから提供される「Microsoft Edge 管理用テンプレート」をダウンロードし、Intuneの「管理用テンプレート」画面からアップロードできます。

テスト環境での検証

本番環境に適用する前に、少数のテスト端末でプロファイルを試すことを強くお勧めします。意図しない設定が適用されると、業務に影響が出る可能性があります。テスト端末でSmartScreenが強制有効になっていること、ユーザーが無効化できないことを確認してください。

Intune構成プロファイルとローカルグループポリシーの比較

EdgeのSmartScreenを強制する方法として、Intuneの構成プロファイルのほかに、従来のグループポリシー(GPO)を使用する方法もあります。ここでは両者を比較します。

Intuneはクラウド管理に適しており、リモートワーク環境でも一貫したポリシーを適用できます。一方、GPOはオンプレミスのActive Directoryと緊密に統合されているため、既存のインフラに依存する場合に有効です。

まとめ

本記事では、Intuneの構成プロファイルを使用してMicrosoft EdgeのSmartScreenを強制的に有効化する手順を解説しました。管理用テンプレートから適切なポリシーを選択し、割り当てることで、組織全体のEdgeセキュリティを均一に強化できます。設定後は、Edgeの設定画面でSmartScreenがグレーアウトされ、ユーザーによる変更が防止されることを確認してください。次のステップとして、他のEdgeセキュリティポリシー(パスワードマネージャーの無効化や拡張機能の制限など)も併せて構成すると、より強固なセキュリティ基盤を構築できます。