Office 2010 のグループ ポリシーを計画する
適用先: Office 2010
トピックの最終更新日: 2016-11-29
業務要件、セキュリティ、ネットワーク、IT の要件、および組織の現在の Office アプリケーション管理の慣行を把握すると、Office アプリケーションを管理するための適切なポリシー設定を特定できます。グループ ポリシーを使用して Microsoft Office 2010 アプリケーションを管理することを考えている IT 管理者は、この記事のガイダンスを参考にして計画できます。グループ ポリシーおよび Office 2010 についてよく寄せられる質問への回答については、「FAQ: グループ ポリシー (Office 2010)」を参照してください。
この記事の内容
グループ ポリシーを計画する
業務目標とセキュリティ要件を定義する
現在の環境を評価する
業務要件とセキュリティ要件に基づいて管理された構成を設計する
適用範囲を決定する
グループ ポリシー展開をテストおよびステージングする
主要な関係者を参加させる
グループ ポリシーを計画する
グループ ポリシーを使用することにより、IT 管理者は Active Directory ディレクトリ サービス環境内でユーザーとコンピューターに構成やポリシー設定を適用できます。構成は Office 2010 に限定して行えます。詳細については、「Office 2010 のグループ ポリシーの概要」を参照してください。
グループ ポリシー ベースのソリューションを展開するための計画には、次の手順が含まれます。
業務目標とセキュリティ要件を定義する。
現在の環境を評価する。
業務要件とセキュリティ要件に基づいて管理された構成を設計する。
ソリューションの適用範囲を決定する。
グループ ポリシー ソリューションのテスト、ステージング、および展開を計画する。
ソリューションの計画および展開に主要な関係者を参加させる。
業務目標とセキュリティ要件を定義する
業務要件やセキュリティ要件を明確にし、Office 2010 アプリケーションの標準構成をグループ ポリシーでどのように管理できるのかを判断します。グループ ポリシーを使用して管理する Office 設定の対象リソース (ユーザーやコンピューターのグループ) を特定し、プロジェクトの適用範囲を定義します。
現在の環境を評価する
Microsoft Office アプリケーションの構成に関連する管理タスクの現在の実施方法を調べて、使用する Office のポリシー設定の種類を決定できるようにします。現在の社内慣例や要件をドキュメント化します。この情報を使用すると、管理された構成を次の手順で設計する際に役立ちます。必要な項目を以下に示します。
企業の既存のセキュリティ ポリシーや他のセキュリティ要件。セキュリティ上安全であると見なされる場所や発行元を特定します。Internet Explorer 機能の制御設定、ドキュメント保護、プライバシー オプション、およびファイル形式のブロックの設定を管理するための要件を評価します。
組織のメッセージングの要件。グループ ポリシーを使用して Office Outlook 2007 のユーザー インターフェイス設定、ウイルス対策などのセキュリティ設定を構成するための要件を評価します。たとえば、グループ ポリシーには .pst ファイルのサイズを制限するための設定があり、これによってワークステーションのパフォーマンスを高めることができます。
さまざまな種類のユーザーの役割に対応する Office アプリケーションのユーザー要件。これはユーザーの業務要件と組織のセキュリティ要件に大きく依存します。
Microsoft Access 2010、Microsoft Excel 2010、Microsoft PowerPoint 2010、および Microsoft Word 2010 で使用する既定のファイル保存オプション。
Office 2010 ユーザー インターフェイス項目に対して設定するアクセス制限。たとえば、コマンド、メニュー項目、およびショートカット キーの無効化。
ソフトウェアのインストールに関する問題 (この展開方法を検討している場合)。グループ ポリシーを使用して Active Directory がインストールされた小規模組織にソフトウェア アプリケーションをインストールできますが、制約があるため、展開の要件に適したソリューションであるかどうかを判断する必要があります。詳細については、「グループ ポリシーの計画および展開ガイド」(https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x411) の「ソフトウェア インストールに関連する問題の解決」を参照してください。
複雑または変化の速い環境で多数のクライアントを管理する場合は、中規模および大規模の組織で Office 2010 をインストールおよび保守する方法として、Microsoft System Center Configuration Manager 2007 を使用することをお勧めします。System Center Configuration Manager 2007 には、目録の作成、スケジュール、レポートなどの追加機能が用意されています。
Active Directory 環境で Office 2010 を展開するもう 1 つの方法は、グループ ポリシーのコンピューター スタートアップ スクリプトを使用することです。
グループ ポリシーと OCT のどちらを使用するか。グループ ポリシーでも OCT でも Office 2010 のユーザー構成をカスタマイズできますが、両者の間には次のような重要な違いがあります。
グループ ポリシーは、管理用テンプレートに含まれる Office 2010 のポリシー設定を構成するために使用されます。これらのポリシー設定は、オペレーティング システムによって適用されます。これらの設定には、管理者以外のユーザーによる設定の変更を防ぐためのアクセス制御リスト (ACL) の制限があります。強制的に行う必要がある設定を構成するには、グループ ポリシーを使用します。
OCT は、セットアップ カスタマイズ ファイル (.msp ファイル) を作成するために使用されます。管理者は、OCT を使用して、機能をカスタマイズし、ユーザー設定を構成できます。ユーザーはインストール後に大部分の設定を変更できます。OCT は、優先する設定や既定の設定のみに使用することをお勧めします。
詳細については、「Office カスタマイズ ツールとグループ ポリシー」を参照してください。
Office の設定の構成にローカル グループ ポリシーを使用するかどうか。ローカル グループ ポリシーを使用すると、Active Directory ドメインに属さないスタンドアロン コンピューターが含まれる環境での設定を制御できます。詳細については、「Office 2010 のグループ ポリシーの概要」を参照してください。
業務要件とセキュリティ要件に基づいて管理された構成を設計する
業務要件、セキュリティ、ネットワーク、IT の要件、および組織の現在の Office アプリケーション管理の慣行を把握すると、組織内のユーザーに対して Office アプリケーションを管理するための適切なポリシー設定を特定できます。現在の環境を評価する過程で集めた情報は、目的のグループ ポリシーを設計するために役立ちます。
グループ ポリシーを使用して Office アプリケーションの構成を管理する目的を定義する際には、次の項目を決定します。
各グループ ポリシー オブジェクト (GPO) の目的。
各 GPO の所有者 (GPO を管理する責任者)。
使用する GPO の数。コンピューターに適用する GPO の数はコンピューターの起動時間に影響し、ユーザーに適用する GPO の数はネットワークへのログオンに必要な時間に影響することに注意してください。ユーザーにリンクされる GPO の数が多いほど (特に、それらの GPO 内の設定の数が多いほど)、ユーザーのログオン時に GPO の処理に要する時間が長くなります。ログオン処理中に、ユーザーのサイト、ドメイン、および組織単位 (OU) の各階層にあるそれぞれの GPO が適用され、読み取り権限とグループ ポリシーの適用権限の両方がユーザーに設定されます。
各 GPO をリンクする適切な Active Directory コンテナー (サイト、ドメイン、または OU)。
Office アプリケーションをインストールする場所 (グループ ポリシーのソフトウェアのインストールを使用して Office 2010 を展開する場合)。
コンピューター スタートアップ スクリプトを実行する場所 (グループ ポリシーのコンピューター スタートアップ スクリプトを割り当てて Office 2010 を展開する場合)。
各 GPO に含まれるポリシー設定の種類。これは、業務要件やセキュリティ要件、および Office アプリケーション設定の現在の管理方法によって異なります。安定性やセキュリティにとって重要であると考えられる設定だけを構成し、構成を最小限にしておくことをお勧めします。また、Outlook の .pst ファイル サイズの制御など、ワークステーションのパフォーマンスを改善できるポリシー設定の使用についても検討してください。
グループ ポリシーの既定の処理順序に対する例外を設定する必要があるかどうか。
特定のユーザーやコンピューターを対象とするグループ ポリシーのフィルター オプションを設定する必要があるかどうか。
GPO の継続的な管理の計画に役立つように、GPO を追跡して管理するための管理手順を確立することをお勧めします。これにより、すべての変更が前もって指示された方法で実施されるようになります。
適用範囲を決定する
会社のすべてのユーザーに該当する Office 2010 ポリシー設定 (組織のセキュリティにとって重要であると考えられるすべてのアプリケーションのセキュリティ設定など) を特定します。ユーザーの役割に応じたユーザー グループに該当するポリシー設定も特定します。特定した要件に従って構成を計画します。
Active Directory 環境では、サイト、ドメイン、または OU に GPO をリンクしてグループ ポリシー設定を割り当てます。ほとんどの GPO は、通常は組織単位レベルで割り当てられるため、Office 2010 のグループ ポリシー ベースの管理戦略を OU 構造がサポートしていることを確認します。ドメイン内のすべてのユーザーに適用する必要があるセキュリティ関連のポリシー設定、Outlook の設定など、一部のグループ ポリシー設定はドメイン レベルで適用することもできます。
グループ ポリシー展開をテストおよびステージングする
テストとステージングの計画は、すべてのグループ ポリシー展開プロセスの重要な部分です。この手順には、Office 2010 アプリケーションの標準グループ ポリシー構成の作成と、組織内のユーザーへの展開前に行う非稼働環境での GPO 構成のテストが含まれます。必要に応じて、GPO の適用範囲をフィルターしたり、グループ ポリシーの継承に対して例外を定義したりできます。管理者は、グループ ポリシー管理コンソールの [グループ ポリシーのモデル作成] を使用して、特定の GPO によってどのポリシー設定が適用されるかを評価できます。また、グループ ポリシー管理コンソールの [グループ ポリシーの結果] を使用して、どのポリシー設定が有効であるかを評価できます。
グループ ポリシーは、組織内の数百および数千ものコンピューターの構成に影響を与える機能を備えています。そのため、変更管理の手順を使用し、稼働環境に新しいグループ ポリシーを移動する前に、非稼働環境ですべての新しいグループ ポリシーの構成と展開を厳密にテストすることが重要です。この手順を実行すると、GPO に含まれるポリシー設定により、Active Directory 環境内の対象のユーザーやコンピューターで期待する結果が確実に得られるようになります。
グループ ポリシーの実装を管理するベスト プラクティスとして、次に示す展開前の手順を実行して、グループ ポリシーの展開をステージングすることをお勧めします。
できるだけ稼働環境に一致させたテスト環境で、新しい GPO を展開します。
[グループ ポリシーのモデル作成] を使用して、新しい GPO がユーザーにどのように影響を与え、既存の GPO とどのように相互に作用するかを評価します。
[グループ ポリシーの結果] を使用して、テスト環境でどの GPO 設定が適用されるかを評価します。
詳細については、「グループ ポリシーの計画および展開ガイド」(https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x411) の「グループ ポリシーのモデル作成およびグループ ポリシーの結果を使用した、グループ ポリシー設定の評価」を参照してください。
主要な関係者を参加させる
企業内でのグループ ポリシーの展開には、通常、業務間の壁が存在します。展開の準備の一環として、組織内のさまざまな業務チームの主要な関係者に意見を求めて、分析、設計、テスト、および実行の各フェーズの間、必要に応じて彼らを参加させることが重要です。
Office 2010 アプリケーションの管理のために展開を計画しているポリシー設定のレビューを、必ず組織のセキュリティ チームや IT 運用チームと共に実施してください。それによって、その構成が組織に適合することを確認すると共に、ネットワーク リソースの保護に必要となる精度で一連のポリシー設定が適用されるようにしてください。