ActiveDirectoryのグループポリシーを用いて、配下PCに対して特定のURLのみChromeからアクセスできるようにする手順をまとめてみた。

０.環境

Windows Server 2025 Standard

1.やりたいこと

・特定のURLのみブラウザでアクセスを許可

・それ以外のURLはすべてブロック

・ADのグループポリシーを使って実現

2.Chromeグループポリシーテンプレートのダウンロード

https://enterprise.google.com/chrome/chrome-browser/#downloadからADMXテンプレートをダウンロードし任意の場所に解凍

3.テンプレートの追加

＜下準備＞

下図のとおり、管理用テンプレートがセントラルストアになっていない場合は、事前にC:\Windows\PolicyDefinitionsをC:\Windows\SYSVOL\domain\Policiesにコピーしてセントラルストア化しておく。セントラルストアにすることで、各ADごとに管理用テンプレートの設定を行わずに済む。

1.先の手順で解凍したadmxフォルダ内の「ja-JP」と「chrome.admx」をC:\Windows\SYSVOL\domain\Policiesフォルダ下にコピー

2.ADのグループポリシー管理エディターを開く

3.適当なGPOを作成

4.[コンピュータの構成] – [ポリシー] – [管理用テンプレート]をクリックし、「Google Chrome」が存在することを確認

4.アクセス許可

ChromeブラウザからアクセスできるURLを設定する。

1.[コンピューターの構成] – [ポリシー] – [管理用テンプレート] – [Google Chrome] – [URLのリストへのアクセスを許可する] を開く

2.「有効」にチェックを入れ、アクセス許可

5.ブロック設定

許可リストに入っていないURLはすべてブロックするようにする。

1.[コンピューターの構成] – [ポリシー] – [管理用テンプレート] – [Google Chrome] – [URLのリストへのアクセスをブロックする] を開く

2.ブロックするURLリストを列挙する。

・http://*

・https://*

以上で、アクセス許可をしたURLのみChromeから接続できるようになる。Edgeも同様にテンプレートを落として設定すれば対応可能。

6．はまりどころ

ブロックの設定で「*」を入れると不具合が出まくった…

この設定を入れるとChromeの各機能が呼び出せなくなり、例えば印刷プレビューが起動しなくなる。これを回避するために許可リストのほうに「Chrome://*」を追加すると、印刷プレビューは起動するようになるも、肝心のプレビュー画面が表示されない状態。おそらく、「Javascript」か「custom_scheme」あたりが影響していると思われるが（未検証）、いずれにせよ予期せぬトラブルが発生しがち。

というわけで、単純にURLをブロックしたいだけならhttps縛りにしたほうが事故が発生しなくてよい。