Microsoft Edge は、2023年の Edge for Business リブランド以降、企業向けブラウザとしての管理機能が急速に拡充されている。Chrome ベースでありながら、Intune・Entra ID・Purview との深い統合により、「従業員の私的利用と業務利用を同一ブラウザで安全に分離」できる唯一の選択肢になりつつある。

一方で、Edge のグループポリシーは 1,000項目を超えるため、情シス部門が優先度をつけて設定しないと、重要なセキュリティ設定の抜け漏れが発生する。本記事では、従業員 100〜500名規模の企業を想定し、最優先で設定すべき50項目を機能カテゴリ別に整理した。

対象読者は、Microsoft 365 を導入済みで、Edge をブラウザ標準にしている/しようとしている情シス・セキュリティ担当者だ。

目次

  1. Edge for Business の全体像
  2. 設定展開の3つのルート
  3. 必須ポリシー50選(カテゴリ別)
  4. ワークプロファイル分離の活用
  5. 展開時のよくある落とし穴
  6. FAQ

Edge for Business の全体像

Edge for Business は、個人用 Edge と同じアプリ・UI を使いながら、企業アカウント(Entra ID)でサインインしたときだけ企業側の管理が効く仕組みだ。

特徴:

  • Chromium ベース のため Chrome 拡張機能をそのまま利用可能
  • Microsoft 365 統合(Entra ID / Intune / Purview)
  • ワークプロファイル / パーソナルプロファイル の明示的分離
  • Application Guard(古い世代の機能だが特定バージョンで利用可)や Microsoft Defender SmartScreen の連携

国内企業で Edge を選ぶ主な理由:

  1. Microsoft 365 との統合性:SharePoint / Teams / Outlook Web へのシングルサインオンが最適化
  2. グループポリシー/Intune対応の成熟:1,000+ 項目の設定制御
  3. Chromium互換:Chrome拡張機能の大半がそのまま動作
  4. Windows 標準搭載:追加インストール不要で全端末に存在

セクションまとめ: Edge for Business は「個人用と同じUIに企業管理を載せる」方式。Microsoft 365中心のIT基盤を持つ企業で最も費用対効果が高い。

設定展開の3つのルート

Edge のポリシー展開には3つの主要ルートがある。自社の管理基盤に合わせて選ぶ

ルート1:Active Directory グループポリシー(ADMX)

  • オンプレAD + 社内DNS の環境で最も一般的
  • ADMX / ADML ファイルをドメインコントローラーに配置
  • GPO で設定を配布

向いている企業: オンプレAD中心の情シス運用、Intune 未導入

ルート2:Intune 構成プロファイル

  • クラウド中心の端末管理
  • Entra ID参加デバイスに対してポリシー配布
  • Administrative Templates(ADMXベース)または設定カタログで管理

向いている企業: Microsoft 365 E3/E5 を持ち、Intune で Windows 11 端末を管理している組織

ルート3:Microsoft Edge 管理サービス(Edge Management Service)

  • クラウドネイティブな Edge 専用の管理コンソール
  • Microsoft 365 管理センターから直接 Edge ポリシーを設定
  • Intune 未導入でも利用可能

向いている企業: 中堅規模でMDM に本格投資していないが Edge ポリシー管理は必要な組織

セクションまとめ: 3ルートの使い分けは「オンプレAD中心 → ADMX」「Intune 中心 → 構成プロファイル」「最小構成 → Edge Management Service」。

必須ポリシー50選(カテゴリ別)

カテゴリA:認証・サインイン(8項目)

  1. BrowserSignin を強制有効化(企業アカウントでのサインインを必須化)
  2. RestrictSigninToPattern で特定ドメインのみサインイン許可
  3. EnableSyncForWorkOrSchool を有効化(ワーク用プロファイルの同期)
  4. SyncDisabled は個人用では無効、ワーク用では有効検討
  5. RoamingProfileSupport を有効化(ローミング対応)
  6. EdgeSignInAccountLockdown でサインインアカウントの制限
  7. HideFirstRunExperience を有効化(初回起動UIスキップ)
  8. NonRemovableProfileEnabled で企業プロファイルの削除禁止

カテゴリB:プライバシー・トラッキング(7項目)

  1. TrackingPrevention を Strict に設定
  2. BlockThirdPartyCookies を業務利用で有効化
  3. PasswordManagerEnabled を業務プロファイルでは無効(Entra ID依存)
  4. AutofillAddressEnabled を無効化
  5. AutofillCreditCardEnabled を無効化
  6. BrowserHistorySaved の保持期間を統制
  7. ClearBrowsingDataOnExit で業務端末からブラウザデータ消去

カテゴリC:セキュリティ・マルウェア対策(10項目)

  1. SmartScreenEnabled を有効化(Defender SmartScreen)
  2. SmartScreenPuaEnabled でPUA(望ましくないアプリ)ブロック
  3. PreventSmartScreenPromptOverride で警告のバイパス禁止
  4. InsecureContentAllowedForUrls は空で固定(HTTP強制ブロック)
  5. SSLVersionMintls1.2 以上に統制
  6. DefaultPluginsSetting で不要プラグイン無効化
  7. DefaultInsecureContentSetting を block
  8. CertificateTransparencyEnforcementDisabledForUrls は空に
  9. DownloadRestrictions で危険なダウンロードのブロック
  10. URLBlocklist で既知の悪質ドメインをブロック

カテゴリD:拡張機能管理(6項目)

  1. ExtensionInstallAllowlist で許可リスト運用
  2. ExtensionInstallBlocklist で禁止リスト運用(`*` 全拒否推奨)
  3. ExtensionInstallForcelist で必須拡張機能の自動導入
  4. BlockExternalExtensions を有効化(社外からの拡張機能導入禁止)
  5. ExtensionSettings で拡張機能ごとの詳細制御
  6. DeveloperToolsAvailability を業務端末では制限

カテゴリE:ダウンロード・アップロード統制(5項目)

  1. DefaultDownloadDirectory を組織指定パスに統制
  2. DownloadRestrictions で.exe/.bat等の直接実行ブロック
  3. PromptForDownloadLocation を有効化
  4. AllowFileSelectionDialogs を統制(業務端末のみ)
  5. FileSystemWriteAskForUrls で書き込み許可URLを限定

カテゴリF:印刷・PDF(4項目)

  1. DefaultPrinterSelection で既定プリンタ指定
  2. PrintHeaderFooter を有効(監査用)
  3. PrintingEnabled を業務要件に応じて制御
  4. PDFAutoSaveLocation で保存先統制

カテゴリG:ネットワーク・プロキシ(5項目)

  1. ProxyServerMode で組織プロキシ強制
  2. ProxyPacUrl で PAC ファイル統制
  3. QuicAllowed を組織方針に応じて(監査要件で制限あり)
  4. WebRtcIPHandling で内部IPアドレス漏えい防止
  5. AlwaysOpenPdfExternally でPDF処理を統制

カテゴリH:更新・バージョン管理(5項目)

  1. EdgeUpdateDefault で自動更新ポリシー
  2. DeviceOrganizationIdValue で組織紐付け
  3. TargetVersionOverride で特定バージョン固定(検証後に変更)
  4. RollbackToTargetVersionEnabled で緊急時の戻し機能
  5. UpdatesSuppressedStartTime / DurationMin で業務時間中の更新抑止

展開の優先順位:

  • Day 1 で必ず設定:A4(企業アカウント強制)、C16-20(セキュリティ基本)、D26-28(拡張機能制限)
  • 1週間以内:B9-13、E33、G41
  • 1ヶ月以内に見直し:残り全項目

セクションまとめ: 50項目を一度に全部設定するのではなく、優先度別に3段階で展開する。Day 1 の11項目だけでもセキュリティ事故の大半を防げる。

Edge for Business のポリシー展開をGXOにご相談ください

50項目の優先度設計、Intune/ADMX 選定、展開テスト、ヘルプデスク負荷の最小化までワンストップで支援します。既存Chromeからの移行計画もご相談に対応。

Edgeエンタープライズ運用の無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

ワークプロファイル分離の活用

Edge for Business の目玉機能は 「ワークプロファイル vs パーソナルプロファイル」の明示的分離だ。

機能ワークプロファイルパーソナルプロファイル
サインインアカウントEntra ID(組織アカウント)Microsoft個人アカウント / ローカル
同期データEntra ID同期個人クラウド同期
ポリシー適用組織のポリシー全適用適用されない(個人設定優先)
視覚的な区別色付きバッジ・フレーム標準UI
起動時の既定管理者指定可能個人選択
運用のベストプラクティス:
  1. BYOD端末ではワークプロファイル前提で展開
  2. 業務支給端末ではパーソナルプロファイル利用の可否を方針決定
  3. 同期データのクロスオーバー禁止をポリシーで強制
  4. 従業員教育で「業務URLはワークプロファイルで開く」を徹底

セクションまとめ: ワークプロファイルは「個人/業務を1ブラウザで分離」する要。BYOD運用では特に重要。

展開時のよくある落とし穴

落とし穴1:ADMX更新の遅延

Edge は約1ヶ月サイクルでバージョンが上がり、新しいポリシー項目が追加される。ADMXテンプレートを更新しないとGPOエディタに項目が出ない。四半期ごとに ADMX を更新する運用を組み込む。

落とし穴2:拡張機能ブロックで業務停止

Extension Install Blocklist = `*` で全拒否にした瞬間、業務で使っているLastPass等も止まる。Allowlist で明示的に許可するか、段階的な展開が必要。

落とし穴3:プロキシ設定とWi-Fi網の相性

社内Wi-Fi+モバイルネットワークを混在利用する端末では、プロキシPACファイルの動作が環境依存になり、接続不具合の原因になる。テスト環境で十分に検証する。

落とし穴4:Sync機能の個人/業務混在

Sync設定を誤ると、個人アカウントでサインインした履歴が業務クラウドに同期される事故が発生する。SyncTypesListDisabled で同期対象を制御する。

落とし穴5:アプリケーション互換性の検証不足

業務で使う独自Webアプリが、Chromium系 Edge で想定通り動作しない場合がある。IE モードApplication Guard の活用可能性を事前評価する。

セクションまとめ: 展開失敗の9割は「ADMX更新」「拡張機能一括ブロック」「プロキシ」「Sync混在」「アプリ互換」の5点。事前検証で回避できる。

展開前チェックリスト

  • [ ] Day 1 必須設定(認証強制・基本セキュリティ・拡張機能制限)を決定した
  • [ ] 展開ルート(ADMX / Intune / Edge Management Service)を決定した
  • [ ] パイロット部門(10〜50名)での試験展開計画がある
  • [ ] ヘルプデスクへの事前周知と FAQ を準備した
  • [ ] 拡張機能の Allowlist を業務要件から棚卸しした
  • [ ] プロキシ設定の検証環境で動作確認した
  • [ ] BYOD 端末のワークプロファイル運用方針を決めた
  • [ ] ADMX更新の四半期運用を情シスの年間タスクに組み込んだ

FAQ

Q1. Chrome から Edge への全社移行はどれくらい時間がかかりますか?

パイロット部門 2〜4週間、全社展開 2〜3ヶ月が一般的です。最大の課題は拡張機能と業務Webアプリの互換検証で、これに1〜2ヶ月かかります。

Q2. Edge for Business は有償ですか?

Edge 自体は無償です。Microsoft 365 E3/E5 などのライセンスに紐付くポリシー管理機能(Intune等)が別途必要になります。

Q3. IE モードはいつまで使えますか?

Microsoft は IE モードのサポートを 2029年までと発表しています。ただし社内レガシーWebアプリの改修は早めに計画してください。

Q4. Chrome拡張機能は全部そのまま動きますか?

大半は動きますが、Chromeのマニフェスト(V3移行)に対応していない古い拡張機能は動かないケースがあります。拡張機能の棚卸しを事前に。

Q5. Application Guard は使うべきですか?

Edge for Business の機能ポリシーは時期により変化します。代替として Windows 365 クラウドPCIntune コンプライアンス基盤を組み合わせる選択が主流になりつつあります。

Q6. サインインを必須化すると個人利用ができなくなります。BYODで困りませんか?

ワークプロファイルを使えば、同一ブラウザで個人/業務を分離できます。個人利用はパーソナルプロファイル、業務はワークプロファイルで完全に切り分けられます。

参考情報

  • Microsoft 公式「Microsoft Edge Enterprise」ドキュメント
  • Microsoft Learn「Edge Policy Reference」
  • IPA「情報セキュリティ10大脅威 2026」
  • 総務省「サイバーセキュリティ戦略」

関連記事

Edge for Business の全社展開・運用設計はGXOにご相談ください

「Chrome からの移行でどの拡張機能が動かないか」「50項目のポリシーをどこから設定するか」「Intune 導入なしで運用する選択肢」——情シス部門の意思決定を具体的にご支援します。オンラインを中心に全国対応可能です。

Edgeエンタープライズ運用の無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK