皆さんこんにちは。国井です。
Azure ADでSSOを実現するために利用するMy Apps(マイアプリ)ポータルですが、パスワードベースのSSOの場合、最初にMy Apps Secure Sign-in Extensionを追加しなければなりません。もちろん最初に一度だけ入れればいい話なので「各自で追加しといてね☆」っていうのも良いんだけど、その手間のおかげで使う人が少なくなったらもったいないと思うんです。そこで、My Apps Secure Sign-in Extensionを自動で追加する方法を考えてみました。
と思ったら既にEdgeでの追加方法はこちらで紹介されていました。
ということで、ここではChromeを使う場合を想定し自動追加する方法を見てみたいと思います。
2022年1月10日追記
タイトル変えました。My Apps Secure Sign-in ExtensionというChrome拡張機能をレジストリ設定変更で追加する方法、Intuneを通じてChrome拡張機能を追加する方法という順番で紹介していますので、最後までご覧いただければ嬉しいです。
Chromeに拡張機能を追加する方法
手動だとchromeウェブストアにアクセスし、追加するって方法を採りますが
そうではなくレジストリにHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelistというキーを作ってあげて
名前:1
種類:文字列値(REG_SZ)
データ:<拡張子ID>;https://clients2.google.com/service/update2/crx
となるように値を設定してあげると次回Chromeを起動したときに強制的に拡張機能が実装されます。これをスクリプトにしてIntuneから配ってあげればよいのです。
ちなみに複数の拡張機能を実装したい場合は名前を1,2,3… と順番に振ってそれぞれの拡張機能を指定します。
拡張子IDってなに?
Chromeの拡張機能はそれぞれに拡張子IDと呼ばれる文字列が設定されています。
拡張機能を実装するときにはこのIDを指定することが必要になるので、実装したい拡張機能の拡張子IDを調べておきましょう。
例えばMy Apps Secure Sign-in Extensionの拡張機能を追加する画面にアクセスすると、そのURLが次のようになっています。
このときのggjhpefgjjfobnfoldnjipclpcfbgbhl部分がその拡張機能の拡張子IDとなります。
レジストリ設定のスクリプト化
以上を踏まえてレジストリを設定するスクリプトを作ります。
レジストリ設定をスクリプト化する方法は色々ありますが、ここでは.regファイルを作ってみます。.regファイルの中身はこんな感じになります。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist]
“1”=”ggjhpefgjjfobnfoldnjipclpcfbgbhl;https://clients2.google.com/service/update2/crx”
これをメモ帳に書いて、拡張子を.regにして保存しておきます。
.regファイルをIntuneから展開する
これはQiitaに.regファイルをIntunewin形式のファイルにする方法が紹介されているので、これを利用しましょう。
以上の設定が完了し、Intunewinファイルがクライアントに展開されると
Chromeの次回起動時にMy Apps Secure Sign-in Extensionが自動的に追加されます。
参考になれば幸いです。
コメント
こちらのページを拝見し参考にさせて頂いております。
レジストリを変更する際には管理者権限がないと出来ないと思いますが、本ガイドユーザーに管理者権限を付与している想定でしょうか?
Intuneにて管理者権限がないユーザーでもレジストリを変更できる手順がありましたらご教授頂きたいです。よろしくお願いします。
アドミンさん、こんにちは!ご連絡が遅くなってすみません。
レジストリ設定を含んだ.intunewin形式のファイルを展開する場合、クライアント側にあるIntune Management Extension(IME)と呼ばれるエージェントを利用して展開します。
このとき、IMEは管理者権限で動作するため、レジストリの設定も管理者権限で行うことになります。
手動での設定だと、どうやって管理者権限を使って設定しようか?と悩むところですが、
Intuneだと管理者権限のことを考えなくても良いというのがいいですね!
国井様 ご回答ありがとうございます。
大変勉強になりました。おっしゃる通りレジストリ配布は「手動での設定だと、どうやって管理者権限を使って設定しようか?」となり困っておりました。
実査にご紹介されております「.regファイルをIntuneから展開する」を拝見して配布してみましたが「インストールが正常に完了したにもかかわらず、アプリケーションが検出されませんでした (0x87D1041C)」とエラーになり手探り状態です。
知見がございましたら度々申し訳ございませんが、ご教授いただければ幸いです。