メインコンテンツへスキップ

Active Directoryを使ってWindowsデバイスに拡張機能をサイレントインストール・アクティベーションする方法(1/2)

更新

はじめに

ユーザー(従業員)を特定(拡張機能との紐づけ)するために、レジストリにテナントとユーザーを特定する文字列を書き込む必要があります。
テナントを特定する文字列はお客様固有の固定値ですが、ユーザーを特定する値はユーザー変数となりますので、貴社の環境にあわせた設定が必要になります。
代表的な設定方法を以下に記載します。貴社AD環境にあわせて以下の方法または、別の適切な方法を選択してください。

A:PC(ドメイン)へのログインID がメールアドレスのローカルパート(@の左側)と異なるが、ADの「電子メール」属性にメールアドレスが登録されている
ステップ1.組織IDをレジストリに書き込む + ステップ2.個人を特定するのA の設定

B:PC(ドメイン)へのログインID がメールアドレスのローカルパート(@の左側)と同じ
ステップ1.組織IDをレジストリに書き込む + ステップ2.個人を特定するのB の設定

C:PC(ドメイン)へのログインID がメールアドレスのローカルパート(@の左側)と異なり、ADの「電子メール」属性にメールアドレスが登録されていない
ステップ1.組織IDをレジストリに書き込む + ステップ2.個人を特定するのC の設定

D:共有PCで個人ごとのIDでPCにログインしていないが、個人を特定したい
  (組織のメールアドレスでブラウザにログインしている必要があります。ブラウザにログインしない プライベートのメールアドレスでブラウザにログインしている場合、検知できません)
ステップ1.組織IDをレジストリに書き込む のみ

[コンピューターの構成]=HKEY_LOCAL_MACHINE でも可能ですが、こちらの記載はユーザー構成=HKEY_CURRENT_USERであることを前提にしております。
 

ステップ1. 組織IDをレジストリに書き込む

  1.  [ユーザーの構成](推奨)もしくは[コンピューターの構成](共有PCがないor共有PCで共通IDで利用)>[基本設定]> [Windows の設定]>[レジストリ]に移動してください。
  1. メニューから右クリック[新規](New)>[レジストリ項目](Registry Item)を選択します。

     
  1. [新しいレジストリのプロパティ]ウィンドウに、以下を入力します。
  • [ハイブ/HIVE] (基本デフォルトのまま)
    • ユーザーの構成の場合:HKEY_CURRENT_USER
    • コンピューターの構成の場合:HKEY_LOCAL_MACHINE
  • [キー パス / Key Path]
    • Chromeの場合:SOFTWARE\Policies\Google\Chrome\3rdparty\extensions\moaklgcgokbgplldonjkoochhlefkbjf\policy
    • Edgeの場合:
      SOFTWARE\Policies\Microsoft\Edge\3rdparty\extensions\hjifncajikcdkhlofdjjlhcjoennmdfc\policy
  • [値の名前 / Value name]OrganizationKey
  • [値のデータ / Value data]: ジョーシス管理画面から取得した組織IDをコピペ

ステップ2. 個人を特定する

A:ADのメールアドレスを、ユーザー変数として設定し、その変数であるメールアドレスを書き込む

ADのUser属性にメールアドレスが含まれている場合(例:mail属性)、LDAPクエリを利用してその属性を環境変数として書き込むことが可能です。

  1. [基本設定(Preferences)] > [環境(Environment)] > [新規作成(New)] > [環境変数(Environment Variable)] をクリックします。
  2. 全般(General)タブにて、下記を設定してください。

    アクション(Action): 更新(Update)
    ユーザー変数(User Variable)を選択
    名前(Name): EMAI
    値(Value): %_EMAIL%

  3. 共通(Common)タブにて、下記を設定(チェック)した後、[対象化(Targeting)]をクリックします。

    ○ログオンしているユーザーのセキュリティコンテキストで実行する(Run in logged-on user’s security context)
    ○項目レベルで対象化する(Item-level targeting)
  4. 左上の[新しい項目(New Item)]から、[LDAPクエリ(LDAP Query)]を選択します。


     

  5. 下記の値を設定してください。

    ○フィルター(Filter): (&(objectClass=user)(sAMAccountName=%USERNAME%))
    ○バインド(Binding): LDAP:
    ○属性(Attribute): mail (mail項目にメールアドレスが入っていることを仮定)
                                      mail に変えてUserPrincipalName なども可
    ○環境変数名(Environment variable name): _EMAIL

     

  6. これで、AD属性を環境変数としてユーザー側に設定することができます。
    (GPOを適用後)GPO対象の端末・ユーザーでログインし、下記をPowershellで実行すると、環境変数にメールアドレスが設定されることが確認できます。

    echo $env:EMAIL
  7. GPOの設定画面から、
    [基本設定(Preferences)] > [Windows の設定]>[Registry(レジストリ)] > 新規作成[New] > レジストリ項目[Registry Item]をクリックします。

     
  8. 全般(General)タブにて、下記の内容を設定してください。

    ○アクション(Action): 更新(Update)
    ○ハイブ(Hive): HKEY_CURRENT_USER
    ○キーのパス(Key Path):
     <Chrome>
     Software\Policies\Google\Chrome\3rdparty\extensions\moaklgcgokbgplldonjkoochhlefkbjf\policy
     <Edge>
     Software\Policies\Microsoft\Edge\3rdparty\extensions\hjifncajikcdkhlofdjjlhcjoennmdfc\policy
    ○値の名前(Name): UserEmail
    ○値のデータ(Value): %EMAIL% (事前に設定した環境変数を参照)
  9. 適用(Apply)をクリックし、OKで画面を閉じます。これで設定は完了です。
    ステップ3:GPOを適用する
    に移動してください。

 

B:USERNAME + @ + ドメイン を書き込む

  1. GPOの設定画面から、[基本設定(Preferences)] > [Windows の設定]>[Registry(レジストリ)] > 新規作成[New] > レジストリ項目[Registry Item]をクリックします。



     

  2. 全般(General)タブにて、下記の内容を設定してください。


    ○アクション(Action): 更新(Update)
    ○ハイブ(Hive): HKEY_CURRENT_USER
    ○キーのパス(Key Path):
     <Chrome>
     Software\Policies\Google\Chrome\3rdparty\extensions\moaklgcgokbgplldonjkoochhlefkbjf\policy
     <Edge>
     Software\Policies\Microsoft\Edge\3rdparty\extensions\hjifncajikcdkhlofdjjlhcjoennmdfc\policy
    ○値の名前(Name): UserEmail
    ○値のデータ(Value): %USERNAME%@testcorp.com 
                                          @以降は貴社メールドメインを指定してください
     

  3. 適用(Apply)をクリックし、OKで画面を閉じます。これで設定は完了です。

    ステップ3:GPOを適用する
    に移動してください。
     

C:USERNAME(COMPUTERNAME)を書き込む

  1. Josysの各メンバー(従業員)の方の情報として、紐づけID(ITデバイスID)として、レジストリに書き込む文字列と同じ文字列を登録してください。(USERNAMEや、COMPUTERNAME)


     
  2. GPOの設定画面から、[基本設定(Preferences)] > [Windows の設定]>[Registry(レジストリ)] > 新規作成[New] > レジストリ項目[Registry Item]をクリックします。

     

  3. 全般(General)タブにて、下記の内容を設定してください。


    ○アクション(Action): 更新(Update)
    ○ハイブ(Hive): HKEY_CURRENT_USER
    ○キーのパス(Key Path):
     <Chrome>
     Software\Policies\Google\Chrome\3rdparty\extensions\moaklgcgokbgplldonjkoochhlefkbjf\policy
     <Edge>
     Software\Policies\Microsoft\Edge\3rdparty\extensions\hjifncajikcdkhlofdjjlhcjoennmdfc\policy
    ○値の名前(Name): DeviceIdentity
    ○値のデータ(Value): コンピュータ(デバイス)名の場合 >%COMPUTERNAME%  
     値のデータ(Value): ユーザー名の場合 >%USERNAME%

     

  4. 適用(Apply)をクリックし、OKで画面を閉じます。これで設定は完了です。
    ステップ3:GPOを適用する
    に移動してください。
     

ステップ3:GPOを適用する

  1. 新しく作成したポリシーをネットワークに適用します。
    💡 初回にテストする場合は、ドメイン全体ではなく、グループ単位で対象デバイス・ユーザーを絞り込むことを推奨いたします。
     
  2. GPOコンソールに戻ります。ポリシーを適用する ドメイン や OU で右クリックして、
    [既存の GPO のリンク…(Link an Existing GPO…)]を選択します
    💡「コンピューターの構成」の場合は、コンピューターオブジェクトが、「ユーザーの構成」の場合は、ユーザーオブジェクトが含まれている必要があります。

  3. 作成したグループポリシーを選択して「OK」をクリックして、終了してください。
     

ここまで完了したら(ポリシーがいきわたったら)、次にサイレントインストールの処理に進んでください。

Active Directoryを使ってWindowsデバイスにChrome用拡張機能をサイレントインストール・アクティベーションする方法(2/2) 
Active Directoryを使ってWindowsデバイスにEdge用拡張機能をサイレントインストール・アクティベーションする方法(2/2) 

 

関連記事