IntuneでChromeの拡張機能インストールをブロック

こんにちは、酒井です。

Chromeの拡張機能インストールをIntune構成プロファイルで制限することができます。

拡張機能は便利ですが、まれに意図せずインストールされた拡張機能がある種マルウェアのような挙動をすることがあります。

私が過去受けた相談だと、あるアプリのインストーラに目立たない形で拡張機能がしくまれており、アプリインストールと同時に画面右下へ広告が常時表示されるという事象がありました。

そういったことを防ぎたいという管理者様で、すでにIntuneが導入されている組織であれば、本手順の制限がおすすめです。

構成プロファイルを作成する


まずは構成プロファイルを作成します。

①管理権限を持ったユーザーにて、[エンドポイントマネージャー管理センター]へアクセスする。

②左のメニューから[デバイス]をクリックする。

③表示されたメニューから[構成プロファイル]をクリックする。

④[+プロファイルの作成]をクリックする。

⑤右にプロファイルの作成画面が表示されるので、

  • プラットフォーム:Windows 10 移行
  • プロファイルの種類:テンプレート

をプルダウンから選択する。

⑥テンプレートの一覧から[管理用テンプレート]をクリックし、[作成]をクリックする。テンプレートの数が多いので、検索欄を活用するのがおすすめ。

⑦基本の設定画面で、任意の名前を入力して[次へ]をクリック。本手順では「Chrome拡張機能ブロック」というテンプレート名で設定。

⑧構成設定の設定画面で、検索欄に

  • 拡張機能インストールの拒否リストを設定する

と入力し、表示された設定名をクリックする。

なお、2022年8月現在時点では同名の設定項目があります。片方はサポートが終了している非推奨ポリシーですので、非推奨の設定項目は選択しないようにしてください。

見分ける方法として、下のバーで右へスクロールするとパスが「\Google\Google Chrome\非推奨ポリシー」と表示されていることがわかります。

⑨右へ設定ウィンドウが表示されるので、

  • [有効]へチェック
  • [ユーザーに対してインストールを禁止する拡張機能 ID]:へ 「*」

をそれぞれ設定して[OK]をクリックする。

なお、「*(ワイルドカード)」を指定することですべてのChrome拡張機能がインストール拒否リストへ追加されます。

⑩[状態]が有効になっていることを確認したら、[次へ]をクリックする。

⑪スコープタグの設定画面では特に何も行わず、[次へ]をクリックする。

⑫割り当ての設定画面で、本構成プロファイルを割り当てたい対象指定する。

本手順では[すべてのユーザー]を指定し、[次へをクリックする。]

なお、各割り当て設定はそれぞれ以下の通り。

  • グループを追加する:任意のグループのメンバーまたはデバイスのみ割り当て
  • すべてのユーザーを追加:テナントすべてのユーザーへ割り当て
  • すべてのデバイスを追加:テナントすべてのデバイスへ割り当て

なお、[すべてのユーザー]と[すべてのデバイス]を両方同時に指定することは避けてください。うまく構成プロファイルが割り当たらない事象が確認されています。

⑬確認および作成の画面で、[作成]をクリックする。

⑭一覧に、作成した構成プロファイルが表示されていることを確認する。

Intune管理 Windows 10 デバイスの同期を実施


作成した構成プロファイルをIntune管理のWindows 10 デバイスへ反映させるため、

  • エンドポイントマネージャー管理センター
  • Intune 管理Windows 10 デバイス

のどちらか(あるいは両方)で同期を行います。

なお、同期自体はIntuneから一定間隔ごとに自動で行われます。設定が反映されたことを即時確認するために本手順では同期を管理者から能動的に実施します。

エンドポイントマネージャー管理センターで同期を実施

[エンドポイントマネージャー管理センター]のメニューより、[デバイス]をクリックする。

②表示されたメニューから、[Windows]をクリックする。

③一覧から、同期対象のデバイスをクリックする。

④[同期]をクリックする。

⑤ポップアップが表示されるので、[はい]をクリックする。

⑥画面右上に、「同期が開始されました」と表示されることを確認する。

Intune 管理Windows 10 デバイスで同期を実施

①Intune 管理されているWindows 10 デバイスにて、[Windowsボタン]をクリックする。

②歯車マークをクリックする。

③設定の画面より、[アカウント]をクリックする。

④左のメニューより、[職場または学校にアクセスする]をクリックする。

⑤[<組織名>MDMに接続済み]をクリックする。

⑥[情報]をクリックする。

⑦[同期]をクリックする。

⑧同期が正しく実行されたことを確認する。

Chrome拡張機能が制限されていることを確認する


①Intune 管理されているWindows 10 デバイスにて、Google Chromeを起動する。

②アドレスバーへ”https://chrome.google.com/webstore/category/extensions”を入力し、chromeウェブストアへアクセスする。

③任意の拡張機能をクリックする。本手順では[Google 翻訳]を選択。

④「管理者によるブロック済み」が表示され拡張機能のインストールできないことを確認する。

同期を実施してもお気に入りバーへの設定が反映されない場合は

  • Windowsアップデートが実施されているか
  • デバイスが準拠済みになっているか
  • インターネットに接続されているか

などをご確認ください。

まとめ


IntuneでのChrome拡張機能ブロックは、構成プロファイルから設定することができます。

設定手順においてはサポート終了のポリシーが表示される場面がありますので、その点だけ気を付けて頂ければ手順自体は非常に簡単です。

ぜひ、ご活用ください!


その他Microsoft 365やAzureに関するお悩み、ご相談がありましたらお気軽にWITHWITまでご相談ください!
提案実績100社以上、Microsoft 365やAzureなどMicrosoftクラウドサービスに特化したエンジニアが要件定義から構築まで対応させて頂きます!

関連記事

  1. Office 365 基本認証廃止の影響を確認する

  2. Microsoft 365 ユーザーによるグループ作成をブロック

  3. 【Exchange Online】IPスロットリング回避方法

  4. Exchange Online ユーザーメールボックス送受信制限

  5. 無料版Teamsアカウントを組織へ招待する方法

  6. 管理者権限割り当て状況を確認する

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。