Intuneを使ってChromeに拡張機能を自動追加する

2022/1/10 Active Directory, Microsoft Azure, Microsoft Intune

皆さんこんにちは。国井です。
Azure ADでSSOを実現するために利用するMy Apps(マイアプリ)ポータルですが、パスワードベースのSSOの場合、最初にMy Apps Secure Sign-in Extensionを追加しなければなりません。もちろん最初に一度だけ入れればいい話なので「各自で追加しといてね☆」っていうのも良いんだけど、その手間のおかげで使う人が少なくなったらもったいないと思うんです。そこで、My Apps Secure Sign-in Extensionを自動で追加する方法を考えてみました。

と思ったら既にEdgeでの追加方法はこちらで紹介されていました。

Qiita
 
Edge(Chromium版)の拡張機能をIntuneで管理する - Qiita
https://qiita.com/hisaho/items/65e188304cd84edf534e
はじめにこの記事では、新しいEdge (Chromium版) の拡張機能を Microsoft Intune で管理する方法について解説します。 Google Chrome をお使いの方であれば、ブラウザに拡張機能を追加するこ...

ということで、ここではChromeを使う場合を想定し自動追加する方法を見てみたいと思います。
2022年1月10日追記
タイトル変えました。My Apps Secure Sign-in ExtensionというChrome拡張機能をレジストリ設定変更で追加する方法、Intuneを通じてChrome拡張機能を追加する方法という順番で紹介していますので、最後までご覧いただければ嬉しいです。

Chromeに拡張機能を追加する方法

手動だとchromeウェブストアにアクセスし、追加するって方法を採りますが

image

そうではなくレジストリにHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelistというキーを作ってあげて

名前:1
種類:文字列値(REG_SZ)
データ:<拡張子ID>;https://clients2.google.com/service/update2/crx

となるように値を設定してあげると次回Chromeを起動したときに強制的に拡張機能が実装されます。これをスクリプトにしてIntuneから配ってあげればよいのです。

image

ちなみに複数の拡張機能を実装したい場合は名前を1,2,3… と順番に振ってそれぞれの拡張機能を指定します。

拡張子IDってなに?

Chromeの拡張機能はそれぞれに拡張子IDと呼ばれる文字列が設定されています。
拡張機能を実装するときにはこのIDを指定することが必要になるので、実装したい拡張機能の拡張子IDを調べておきましょう。

例えばMy Apps Secure Sign-in Extensionの拡張機能を追加する画面にアクセスすると、そのURLが次のようになっています。

https://chrome.google.com/webstore/detail/my-apps-secure-sign-in-ex/ggjhpefgjjfobnfoldnjipclpcfbgbhl?hl=ja&gl=US

このときのggjhpefgjjfobnfoldnjipclpcfbgbhl部分がその拡張機能の拡張子IDとなります。

レジストリ設定のスクリプト化

以上を踏まえてレジストリを設定するスクリプトを作ります。
レジストリ設定をスクリプト化する方法は色々ありますが、ここでは.regファイルを作ってみます。.regファイルの中身はこんな感じになります。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist]
“1”=”ggjhpefgjjfobnfoldnjipclpcfbgbhl;https://clients2.google.com/service/update2/crx”

これをメモ帳に書いて、拡張子を.regにして保存しておきます。

.regファイルをIntuneから展開する

これはQiitaに.regファイルをIntunewin形式のファイルにする方法が紹介されているので、これを利用しましょう。

Qiita
 
IntuneでWindows10にいろいろなものを配ってみる - Qiita
https://qiita.com/ShinichiroKosugi/items/c69764daa18d212eeee2
はじめに最近の案件で、IntuneをiOSやAndroidだけでなく、Windows10の管理にも使うケースが増えています。これによりActive Directoryや、SCCM、WSUSといったオンプレの資産を持たなくても...

以上の設定が完了し、Intunewinファイルがクライアントに展開されると
Chromeの次回起動時にMy Apps Secure Sign-in Extensionが自動的に追加されます。

image

参考になれば幸いです。

Suguru KUNII

コメント

  1. アドミン より:
    2022年1月4日 6:08 PM

    こちらのページを拝見し参考にさせて頂いております。
    レジストリを変更する際には管理者権限がないと出来ないと思いますが、本ガイドユーザーに管理者権限を付与している想定でしょうか?
    Intuneにて管理者権限がないユーザーでもレジストリを変更できる手順がありましたらご教授頂きたいです。よろしくお願いします。

    返信
  2. Suguru KUNII より:
    2022年1月8日 2:23 PM

    アドミンさん、こんにちは!ご連絡が遅くなってすみません。
    レジストリ設定を含んだ.intunewin形式のファイルを展開する場合、クライアント側にあるIntune Management Extension(IME)と呼ばれるエージェントを利用して展開します。
    このとき、IMEは管理者権限で動作するため、レジストリの設定も管理者権限で行うことになります。
    手動での設定だと、どうやって管理者権限を使って設定しようか?と悩むところですが、
    Intuneだと管理者権限のことを考えなくても良いというのがいいですね!

    返信
    • アドミン より:
      2022年1月11日 3:37 PM

      国井様 ご回答ありがとうございます。
      大変勉強になりました。おっしゃる通りレジストリ配布は「手動での設定だと、どうやって管理者権限を使って設定しようか?」となり困っておりました。
      実査にご紹介されております「.regファイルをIntuneから展開する」を拝見して配布してみましたが「インストールが正常に完了したにもかかわらず、アプリケーションが検出されませんでした (0x87D1041C)」とエラーになり手探り状態です。
      知見がございましたら度々申し訳ございませんが、ご教授いただければ幸いです。

      返信

コメントをどうぞ

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください