Chromium版Edge は手動により更新する必要があり手間がかかります。
しかし、Active Directory のソフトウェア自動展開する機能を利用すれば、Chromium版Edgeの自動配信することが可能です。
ADのソフトウェア配布機能を利用する際は、ログインアカウントが管理者権限を有している必要があります。
企業内で、Configuration Manage/Intune/他の配布ソフトウェアなどが無く、ソフトウェア配布する方法が無い場合、ユーザに権限を付与するなどセキュリティが低下して対処に困ります。
しかし、GPOを利用することで、管理者権限なくてもソフトウェア配信は可能です。
スタンドアローン版インストーラーの入手
まずはマイクロソフトのビジネス向けページより、最新のMSIファイルをダウンロードします。
https://www.microsoft.com/ja-jp/edge/business/download
ダウンロードしたMSIファイルは、ファイルサーバやNASなど全ユーザが閲覧できる共有フォルダへ保存しておきます。共有フォルダの権限は「読み取り・実行」権限でよろしいかと。
AD上のセキュリティグループを作成しておく
グループポリシーでのソフトウェアインストールの方法では、「割り当て」「公開」のどちらもローカル管理者の権限が必要になります。
企業のドメインアカウント権限は通常 “Domain Users”権限なので、権限不足を補うために Active Directory のセキュリティグループを作成しておきます。
グループのメンバーは、ソフトウェア配布対象のコンピュータオブジェクトを指定しておきます。
グループポリシー設定
展開用のグループポリシーオブジェクト(GPO)を作成。
今回 “ChromiumEdge-64bit-Install” と長い名称のGPOを作成してみました。
GPO設定するにあたって、次の3つの設定「スコープのセキュリティフィルター処理」「ソフトウェア自動展開」「制限されたグループ」が必要となってきます。
スコープのセキュリティフィルター処理
GPOのスコープタブにセキュリティフィルター処理項目があります。
以下を設定します。
・Authenticated Users 削除
・Domain Computers 読み取り追加
Domain Computers の読み取りを追加したのは、ポリシーの仕様変更のため。
脆弱性などのセキュリティ観点から仕様が変更されたとのことです。
https://support.microsoft.com/ja-jp/help/3159398/ms16-072-description-of-the-security-update-for-group-policy-june-14-2
ソフトウェア自動展開
GPOを編集モードにして、以下の2つのポリシー設定します。
- コンピューターの構成\ポリシー\ソフトウェアの設定\ソフトウェアインストール
- コンピューターの構成\ポリシー\管理用テンプレート\システム\グループ ポリシー\スタートアップポリシー処理時の待機時間を指定する
ソフトウェアインストールポリシーでは、共有フォルダのMSIファイルを指定し「割り当て」を選択します。
「スタートアップ ポリシー処理時の待機時間」は有効にして、180秒程度にしておきます。
制限されたグループ
今回、この設定がカギです。
制限されたグループに先ほど作成したセキュリティグループを指定し、権限をAdministrators にします。
まとめ
ADからのソフトウェアの自動展開では管理者権限が必要でしたが、今回の紹介した方法ですと、ユーザは “Domain Users” 権限の状態でソフトウェア配布ができました。
ログインの前のスタートアップ処理時にソフトウェアのインストールが実行されます。
Edgeの配布設定まではできませんでしたので、別途ログオンスクリプトとかポリシーとかで設定します。
(こちらは別途設定になります)
