Office ドキュメントでアクティブなコンテンツを管理する
注:
この記事で説明する機能はプレビュー段階であり、すべてのユーザーが利用できるわけではありません。変更される可能性があります。
Office ドキュメントは、 アクティブなコンテンツが含まれているときに自動的に更新、更新、または実行できます。 アクティブなコンテンツの例としては、マクロ、ActiveX コントロール、Office アドインなどがあります。アクティブ なコンテンツは、ユーザーに強力で便利な機能を提供できますが、攻撃者はアクティブなコンテンツを使用してマルウェアを配信することもできます。
管理者は、アクティブなコンテンツの使用を特定のユーザー セットに制限する、またはアクティブなコンテンツを完全に無効にする、organization ポリシー (グループ ポリシーまたはクラウド ポリシー) を作成できます。 ユーザーは、Officeアプリの Office セキュリティ センターのファイル オプションセキュリティ センターで、独自のセキュリティとプライバシーの設定を>>構成できます。
以前は、ユーザーがドキュメントを信頼できるドキュメントとして識別した場合、管理者が Office ドキュメントのアクティブなコンテンツをブロックするようにポリシーを構成した場合でも、その選択によってアクティブなコンテンツの実行が許可されます。 これで、管理者によって設定されたポリシーが、信頼されたドキュメントのユーザー識別よりも優先されます。 この動作の変更により、ユーザーに問題が発生する可能性があります。
更新されたセキュリティ センター ロジックを次の図に示します。
ユーザーは、アクティブなコンテンツを含む Office ドキュメントを開きます。
ドキュメントが信頼できる場所にある場合は、アクティブなコンテンツが有効になっている状態でドキュメントが開きます。 ドキュメントが信頼できる場所からでない場合、評価は続行されます。
ここでは、更新された動作が有効になります。
以前は、次に評価される設定は、ユーザーがこのドキュメントを信頼できるドキュメントとして識別した場合でした。 その場合、アクティブなコンテンツが有効になっている状態でドキュメントが開きます。
これで、ユーザーがドキュメントを信頼済みドキュメントとして識別したかどうかにかかわらず、ここでは考慮されません (手順 8 以降)。
動作の基本的な変更は、信頼されたドキュメントのユーザー指定が考慮される 前に 、クラウド ポリシー (手順 4)、グループ ポリシー (手順 6)、ローカル設定 (手順 7) がチェックされます。 これらのステップのいずれかがアクティブなコンテンツへのアクセスをブロック し、 どのステップもユーザーのオーバーライドを許可しない場合、信頼されたドキュメントとしてのドキュメントのユーザー識別は無関係です。
クラウド ポリシーは、この種類のアクティブなコンテンツが許可またはブロックされているかどうかを確認するためにチェックされます。 アクティブなコンテンツがブロックされていない場合、評価は手順 6 に進みます。
アクティブなコンテンツがポリシーによってブロックされている場合は、手順 5 でエクスペリエンスについて説明します。
ドキュメントの開きがブロックされ、信頼バーに通知が表示されます。 次に何が起こるかは、ポリシーのユーザーオーバーライド設定によって制御されます。 ユーザーオーバーライドが許可されていません: ユーザーはドキュメントを開けず、評価は停止します。 b. ユーザーのオーバーライドが許可されている: ユーザーは、信頼バーのリンクをクリックして、アクティブなコンテンツが有効になっているドキュメントを開くことができます。
グループ ポリシーは、この種類のアクティブなコンテンツが許可またはブロックされているかどうかを確認するためにチェックされます。 アクティブなコンテンツがブロックされていない場合、評価は手順 7 に進みます。
アクティブなコンテンツがポリシーによってブロックされている場合は、手順 5 でエクスペリエンスについて説明します。
この種類のアクティブなコンテンツが許可またはブロックされているかどうかを確認するために、ローカル設定がチェックされます。 アクティブなコンテンツがブロックされている場合は、信頼バーに通知が表示され、ドキュメントの開きがブロックされます。 アクティブなコンテンツがブロックされていない場合、評価は続行されます。
ユーザーが以前にドキュメントを信頼済みドキュメントとして識別した場合、アクティブなコンテンツが有効になっている状態でドキュメントが開かれます。 存在しない場合、ドキュメントの開き方はブロックされます。
信頼できるドキュメントとは
信頼されたドキュメントは、ドキュメント内のマクロ、ActiveX コントロール、およびその他の種類のアクティブ なコンテンツに対するセキュリティ プロンプトなしで開く Office ドキュメントです。 保護されたビューまたはApplication Guardは、ドキュメントを開くために使用されません。 ユーザーが信頼できるドキュメントを開き、すべてのアクティブなコンテンツが有効になっている場合。 ドキュメントに新しいアクティブなコンテンツや既存のアクティブ なコンテンツの更新プログラムが含まれている場合でも、次回ドキュメントを開くと、ユーザーはセキュリティ プロンプトを受け取りません。
この動作により、ユーザーはドキュメント ソースを信頼する場合にのみ、ドキュメントを明確に信頼する必要があります。
管理者がポリシーを使用してアクティブなコンテンツをブロックする場合、またはユーザーがアクティブなコンテンツをブロックするセキュリティ センター設定を設定した場合、アクティブなコンテンツはブロックされたままになります。
詳細については、次の記事を参照してください。
Office ポリシーで信頼できるドキュメント設定を構成する
管理者は、organizationで Office を構成するさまざまな方法があります。 例:
- Office クラウド ポリシー サービス: Microsoft Entra アカウントを使用して Office アプリ内のファイルにアクセスするすべてのデバイスのユーザーに適用されるユーザー ベースのポリシーを設定します。 Office クラウド ポリシー サービスで Office クラウド ポリシー構成を作成する手順を参照してください。
- Intune の Office ポリシー: Intune 設定カタログまたは管理用テンプレートを使用して、PC をWindows 10する HKCU ポリシーを展開します。Intune 管理センターの [デバイス>構成プロファイル] の下にあります。
- グループ ポリシー: オンプレミスの Active Directoryを使用して、グループ ポリシー オブジェクト (GPO) をユーザーとコンピューターに展開します。 この設定の GPO を作成するには、Microsoft 365 Apps for enterprise、Office 2019、Office 2016 用の最新の管理用テンプレート ファイル (ADMX/ADML) と Office カスタマイズ ツールをダウンロードします。
既知の問題
- ポリシー VBA マクロ通知 (Access、PowerPoint、Visio、Word) またはマクロ通知 (Excel) の値 [デジタル署名されたマクロを除くすべて無効にする] に設定されている場合、想定される信頼バーは表示されず、バックステージのセキュリティ情報には、設定が期待どおりに機能していても、ブロックされているマクロの詳細は一覧表示されません。 Office チームはこの問題の解決に取り組んでいます。
アクティブなコンテンツを制限するための管理 オプション
内部で作成されたコンテンツに対する信頼のレベルと、ユーザーがインターネットからダウンロードするコンテンツには大きな違いがあります。 内部ドキュメントでアクティブなコンテンツを許可し、インターネットからのドキュメント内のアクティブ なコンテンツをグローバルに許可しないことを検討してください。
ユーザーが特定の種類のアクティブ なコンテンツを必要としない場合、最も安全なオプションは、ポリシーを使用して、そのアクティブなコンテンツへのユーザー アクセスをオフにし、必要に応じて例外を許可することです。
次のポリシーを使用できます。
- 信頼できる場所: 使用可能なグループの例外をオフにします。
- 信頼できるドキュメントをオフにする: 使用可能なグループの例外。
- アクティブなコンテンツをすべてオフにする: 個人の例外。
次のセクションの表では、アクティブなコンテンツを制御する設定について説明します。 これらのポリシーは、ユーザーに適用されている場合、信頼されたドキュメントに適用され、以前のエンド ユーザー エクスペリエンスが同じでない可能性があります。 テーブルには、推奨されるセキュリティ ベースライン設定も含まれており、オーバーライドするユーザー プロンプトが使用できるその他の設定を特定します (ユーザーがアクティブなコンテンツを有効にすることができます)。
HKEY_CURRENT_USER設定
| カテゴリ | アプリ | ポリシー名 | セキュリティ ベースライン 設定 (推奨) |
ユーザー プロンプトを使用した設定 と オーバーライドが可能ですか? |
|---|---|---|---|---|
| Activex | 事業所 | ActiveX コントロールの初期化 | 6 | 次の値は [はい] です。
|
| Activex | 事業所 | Active X One Off フォームを許可する | [Outlook のコントロールのみ読み込む] | いいえ |
| Activex | 事業所 | [ActiveX オブジェクトをチェックする] | セキュリティ ベースライン設定ではありません。 | いいえ |
| Activex | 事業所 | すべての ActiveX を無効にする | セキュリティ ベースライン設定ではありません。 | 次の値は [はい] です。
|
| Activex | 事業所 | Forms3 でコントロールを読み込む | 1 | 次の値は [はい] です。
|
| 拡張 & アドイン | Excel PowerPoint Project Publisher Visio Word |
署名されていないアプリケーション アドインの信頼バー通知を無効にしてブロックする | Enabled (有効) | [無効] の値は [はい] です。 |
| 拡張 & アドイン | Excel PowerPoint Project Publisher Visio Word |
アプリケーション アドインには信頼できる発行元による署名が必要 | Enabled (有効) | いいえ |
| 拡張 & アドイン | Excel | 自動再発行警告アラートを表示しない | Disabled | いいえ |
| 拡張 & アドイン | Excel | WEBSERVICE 関数の通知設定 | 通知ですべてを無効にする | 次の値は [はい] です。
|
| 拡張 & アドイン | 事業所 | 発行済みリンクの SharePoint Server のポーリングから Office クライアントを無効にする | Disabled | いいえ |
| 拡張 & アドイン | 事業所 | ドキュメントおよびテンプレートによる UI の拡張を無効にする | Word で許可しない = True Project で許可しない = False Excel で許可しない = True Visio で許可しない = False PowerPoint で許可しない = True Access で許可しない = True Outlook で許可しない = True Publisher で許可しない = True InfoPath で許可しない = True |
いいえ |
| 拡張 & アドイン | Outlook | [アドレス帳にアクセスするときの Outlook オブジェクト モデルに関する確認について構成する] | 自動的に拒否する | 次の値は [はい] です。
|
| 拡張 & アドイン | Outlook | Outlook オブジェクト モデルの構成プロンプト UserProperty オブジェクトの Formula プロパティにアクセスする場合 | 自動的に拒否する | 次の値は [はい] です。
|
| 拡張 & アドイン | Outlook | [[名前を付けて保存] を実行するときの Outlook オブジェクト モデルに関する確認について構成する] | 自動的に拒否する | 次の値は [はい] です。
|
| 拡張 & アドイン | Outlook | [アドレス情報を読み込むときの Outlook オブジェクト モデルに関する確認について構成する] | 自動的に拒否する | 次の値は [はい] です。
|
| 拡張 & アドイン | Outlook | [会議出席依頼および仕事の依頼に返信するときの Outlook オブジェクト モデルに関する確認について構成する] | 自動的に拒否する | 次の値は [はい] です。
|
| 拡張 & アドイン | Outlook | [メール送信時の Outlook オブジェクト モデルに関する確認について構成する] | 自動的に拒否する | 次の値は [はい] です。
|
| 拡張 & アドイン | Outlook | Outlook オブジェクト モデルのカスタム アクションの実行プロンプトを設定する | 自動的に拒否する | 次の値は [はい] です。
|
| 拡張 & アドイン | PowerPoint | プログラムの実行 | disable (プログラムを実行しない) | [有効] の値は [はい] (実行前にユーザーにプロンプトを表示) |
| 拡張 & アドイン | Word Excel |
スマート ドキュメントによるマニフェストの使用を無効にする | Enabled (有効) | いいえ |
| Dde | Excel | Excel で動的 Data Exchange (DDE) サーバーの起動を許可しない | Enabled (有効) | [未構成] の値は [はい] です。 |
| Dde | Excel | Excel で動的データ交換 (DDE) サーバー参照を許可しない | Enabled (有効) | 次の値は [はい] です。
|
| Dde | Word | 動的データ交換 | Disabled | いいえ |
| Jscript & VBScript | Outlook | [1 回限りの Outlook フォームでのスクリプトの使用を許可する] | Disabled | いいえ |
| Jscript & VBScript | Outlook | パブリック フォルダーに対して Outlook オブジェクト モデル スクリプトの実行を許可しない | Enabled (有効) | いいえ |
| Jscript & VBScript | Outlook | 共有フォルダーに対して Outlook オブジェクト モデル スクリプトの実行を許可しない | Enabled (有効) | いいえ |
| マクロ | Excel | マクロ通知 | デジタル署名マクロを除くすべてを無効にする | 次の値は [はい] です。
|
| マクロ | Access PowerPoint Project Publisher Visio Word |
VBA マクロ通知の設定 | デジタル署名マクロを除くすべてを無効にする and 信頼できる発行元がマクロに署名することを要求する |
次の値は [はい] です。
|
| マクロ | Access Excel PowerPoint Visio Word |
インターネットからの Office ファイルでのマクロの実行をブロックする | Enabled (有効) | 次の値は [はい] です。
|
| マクロ | Excel | Excel Open XML ブックで暗号化されたマクロをスキャンする | 暗号化されたマクロをスキャンする (既定値) | いいえ |
| マクロ | 事業所 | 信頼されていないイントラネットの場所からパスによって VBA が typelib 参照を読み込むのを許可する | Disabled | いいえ |
| マクロ | 事業所 | Automation Security | [アプリケーションのマクロのセキュリティ レベルを適用する] | いいえ |
| マクロ | 事業所 | ローカル コンピューター上の安全でない場所を参照する可能性がある VBA ライブラリ参照の他のセキュリティ チェックを無効にする | Disabled | いいえ |
| マクロ | 事業所 | マクロ ランタイム スキャン スコープ | すべてのドキュメントに対して有効にする | いいえ |
| マクロ | 事業所 | V3 署名を使用する VBA マクロのみを信頼する | セキュリティ ベースライン設定ではありません。 | いいえ |
| マクロ | Outlook | Outlook セキュリティ モード | Outlook セキュリティ グループ ポリシーを使用する | すべての Outlook GPO 設定を有効にするには必須です。 依存関係として説明されます (このポリシーでは、アクティブなコンテンツ自体はブロックされません)。 |
| マクロ | Outlook | マクロのセキュリティ設定 | 署名済みで警告する、符号なしを無効にする | 次の値は [はい] です。
|
| マクロ | PowerPoint | PowerPoint Open XML プレゼンテーションで暗号化されたマクロをスキャンする | 暗号化されたマクロをスキャンする (既定値) | いいえ |
| マクロ | Publisher | Publisher Automation セキュリティ レベル | 選択 (確認) | いいえ |
| マクロ | Word | open XML ドキュメントで暗号化されたマクロWordスキャンする | 暗号化されたマクロをスキャンする (既定値) | いいえ |
HKEY_LOCAL_MACHINE設定
| カテゴリ | アプリ | ポリシー名 | セキュリティ ベースライン 設定 (推奨) |
ユーザー プロンプトを使用した設定 と オーバーライドが可能ですか? |
|---|---|---|---|---|
| Activex | 事業所 | [ActiveX のインストールを制限する] | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
いいえ |
| 拡張 & アドイン | 事業所 | [アドオンの管理] | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
いいえ |
| 拡張 & アドイン | 事業所 | Office ドキュメントでの Flash ライセンス認証をブロックする | Microsoft 365 アプリで Flash のすべてのライセンス認証をブロックする COM キルビットの一覧については、Microsoft セキュリティ ガイド ADMX/ADML ファイルを参照してください。 エンタープライズ セキュリティ ベースライン用の ADMX/ADML ファイルは、 セキュリティ コンプライアンス ツールキットで入手できます。 | いいえ |
| Jscript & VBScript | 事業所 | Office の従来の JScript 実行を制限する | 有効: アクセス: 69632 Excel: 69632 OneNote: 69632 Outlook: 69632 PowerPoint: 69632 プロジェクト: 69632 パブリッシャー: 69632 Visio: 69632 Word: 69632 |
いいえ |
| Jscript & VBScript | 事業所 | [スクリプト化されたウィンドウのセキュリティ制限] | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
いいえ |