エクスポート (0) 印刷
すべて展開

Office 2013 の信頼できる場所の設定の計画および構成

 

適用先: Office 365 ProPlus

トピックの最終更新日: 2014-06-05

概要: Office 2013 の信頼できる場所機能を使用して、安全なファイルと問題を起こす可能性のあるファイルを区別する方法について説明します。

対象ユーザー: IT 担当者

安全なファイルと問題を起こす可能性のあるファイルを区別するには、Office 2013 の信頼できる場所機能を使用できます。信頼できる場所機能では、ユーザーのコンピューターのハード ディスク上またはネットワーク共有上の信頼できるファイル ソースを指定できます。フォルダーを信頼できるファイル ソースとして指定すると、そのフォルダーに保存されているファイルはすべて信頼できるファイルであると見なされます。信頼できるファイルを開くと、そのファイル内のすべてのコンテンツが有効でアクティブになり、ファイルに含まれている可能性のあるリスクに関してユーザーには通知されません。このリスクとしては、たとえば、署名されていないアドインや Microsoft Visual Basic for Applications (VBA) マクロ、インターネット上のコンテンツへのリンク、データベース接続などがあります。

重要重要:
この記事は、Office 2013 のセキュリティのためのコンテンツのロードマップに含まれています。このロードマップは、Office 2013のセキュリティの評価に役立つ記事、ダウンロード、ポスター、ビデオなどを参照する際の出発点として使用します。
個々の Office 2013 アプリケーションのセキュリティ情報をお探しの場合は、Office.com で "2013 セキュリティ" を検索してください。

この記事の内容

Office 2013 には、信頼できる場所機能の動作を制御するいくつかの設定が用意されています。これらの設定を構成すると、以下の操作を行うことができます。

  • 信頼できる場所をグローバルに、またはアプリケーション単位で指定する。

  • ネットワーク共有を信頼できる場所にすることを許可する。

  • ユーザーが信頼できる場所を指定できないようにする。

  • 信頼できる場所機能を無効にする。

信頼できる場所機能を使用できるアプリケーションは、Access 2013、Excel 2013、InfoPath 2013、PowerPoint 2013、Visio 2013、および Word 2013 です。

信頼できる場所機能の既定の構成は次のとおりです。

  • 信頼できる場所機能は有効です。

  • ユーザーはネットワーク共有を信頼できる場所として指定することはできませんが、この設定をセキュリティ センターで変更することはできます。信頼できる場所に関するユーザーへの説明とセキュリティ センターの他のユーザー オプションについては、「セキュリティ センターのオプションと設定を表示する」を参照してください。

  • ユーザーは、信頼できる場所の一覧にフォルダーを追加できます。

  • 信頼できる場所の指定には、ユーザー定義とポリシー定義の両方の信頼できる場所を使用できます。

また、Office 2013 の既定のインストールでは、複数のフォルダーが信頼できる場所として指定されています。各アプリケーションの既定のフォルダーを以下の表に示します。(InfoPath 2013 と Visio 2013 には既定の信頼できる場所はありません。)

次の表に、Access 2013 の既定の信頼できる場所を示します。

Access 2013 の既定の信頼できる場所

既定の信頼できる場所 フォルダーの説明 サブフォルダーも信頼できるか

Program Files\Microsoft Office 15\Root\Office15\ACCWIZ

ウィザード データベース

いいえ (許可しない)

次の表に、 Excel 2013 の既定の信頼できる場所を示します。

Excel 2013 の既定の信頼できる場所

既定の信頼できる場所 フォルダーの説明 サブフォルダーも信頼できるか

Program Files\Microsoft Office 15\Root\Templates

アプリケーション テンプレート

はい (許可)

Users\user_name\Appdata\Roaming\Microsoft\Templates

ユーザ テンプレート

いいえ (許可しない)

Program Files\Microsoft Office 15\Root\Office15\XLSTART

Excel スタートアップ

はい (許可)

Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART

ユーザーのスタートアップ

いいえ (許可しない)

Program Files\Microsoft Office 15\Root\Office15\STARTUP

Office スタートアップ

はい (許可)

Program Files\Microsoft Office 15\Root\Office15\Library

アドイン

はい (許可)

次の表に、 PowerPoint 2013 の既定の信頼できる場所を示します。

PowerPoint 2013 の既定の信頼できる場所

既定の信頼できる場所 フォルダーの説明 サブフォルダーも信頼できるか

Program Files\Microsoft Office 15\Root\Templates

アプリケーション テンプレート

はい (許可)

Users\user_name\Appdata\Roaming\Microsoft\Templates

ユーザ テンプレート

はい (許可)

Users\user_name\Appdata\Roaming\Microsoft\Addins

アドイン

いいえ (許可しない)

Program Files\Microsoft Office 15\Root\Document Themes 15

アプリケーション テーマ

はい (許可)

次の表に、 Word 2013 の既定の信頼できる場所を示します。

Word 2013 の既定の信頼できる場所

既定の信頼できる場所 フォルダーの説明 サブフォルダーも信頼できるか

Program Files\Microsoft Office 15\Root\Templates

アプリケーション テンプレート

はい (許可)

Users\user_name\Appdata\Roaming\Microsoft\Templates

ユーザ テンプレート

いいえ (許可しない)

Users\user_name\Appdata\Roaming\Microsoft\Word\Startup

ユーザーのスタートアップ

いいえ (許可しない)

注記メモ:
Office カスタマイズ ツール (OCT) と Office 2013 管理用テンプレートにおけるセキュリティ設定の構成方法についての詳細は、「OCT またはグループ ポリシーを使用した Office 2013 のセキュリティの構成」を参照してください。

信頼できる場所を実装するには、次の項目を決定する必要があります。

  • 信頼できる場所の構成対象となるアプリケーション

  • 信頼できる場所として指定するフォルダー

  • 信頼できる場所に適用するフォルダーの共有とフォルダーのセキュリティ設定

  • 信頼できる場所に適用する制限

信頼できる場所の構成対象となるアプリケーションを決定するには、以下のガイドラインを参考にしてください。

  • 信頼できる場所は、ファイル内の全コンテンツに影響します。これには、アドイン、ActiveX コントロール、ハイパーリンク、データ ソースやメディアへのリンク、VBA マクロなどが含まれます。さらに、信頼できる場所から開いたファイルは、ファイル検証チェックやファイル ブロック チェックの対象にならず、保護されたビューでは開かれません。

  • 各アプリケーションに、信頼できる場所の構成に対して同じ設定が用意されています。これは、それぞれのアプリケーションで、信頼できる場所を個別にカスタマイズできることを意味します。

  • 1 つ以上のアプリケーションで信頼できる場所を無効にし、他のアプリケーションに信頼できる場所を実装することができます。

信頼できる場所として指定するフォルダーを決定するには、以下のガイドラインを参考にしてください。

  • 信頼できる場所は、アプリケーション単位で、またはグローバルに指定できます。

  • 1 つ以上のアプリケーションで、信頼できる場所を共有できます。

  • 悪意のあるユーザーが、信頼できる場所にファイルを追加したり信頼できる場所に保存されているファイルを変更するのを防止するために、信頼できる場所として指定するすべてのフォルダーにオペレーティング システムのセキュリティの設定を適用する必要があります。

  • 既定では、ユーザーのハード ディスクに対してのみ信頼できる場所を指定できます。ネットワーク共有上の信頼できる場所を有効にするには、[プライベート ネットワーク上にある信頼できる場所を許可する (推奨しません)] の設定を有効にする必要があります。

  • C ドライブのようなルート フォルダーや [ドキュメント] フォルダーまたは [マイ ドキュメント] フォルダー全体を信頼できる場所として指定することはお勧めしません。代わりに、これらのフォルダー内にサブフォルダーを作成し、そのサブフォルダーのみを信頼できる場所と指定します。

また、必要に応じ、以下に示すガイドラインに従ってください。

  • 環境変数を使用して信頼できる場所を指定する。

  • Web フォルダー (http:// 形式のパス) を信頼できる場所として指定する。

グループ ポリシーと OCT を使用すると、環境変数で信頼できる場所を指定できます。ただし、OCT で環境変数を使用するときは、環境変数が正しく機能するように、信頼できる場所の格納に使用するレジストリの値の種類を変更する必要があります。環境変数を使用して信頼できる場所を指定してもレジストリに対して必要な変更を加えないと、セキュリティ センターに信頼できる場所は表示されますが、環境変数を含む相対パスとして表示されるので、それは使用できません。レジストリの値の種類を変更すれば、信頼できる場所がセキュリティ センターに絶対パスとして表示され、それを使用できます。

注記メモ:
すべての Office 2013 スイートで、マウス、キーボード ショートカット、またはタッチを使用してタスクを実行できます。Office 製品およびサービスでキーボード ショートカットとタッチを使用する方法については、キーボード ショートカットOffice タッチ ガイド を参照してください。
環境変数を使用して信頼できる場所を指定する
  1. レジストリ エディターを使用して、環境変数で表されている信頼できる場所を見つけます。

    レジストリ エディターを開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「regedit」と入力して、[OK] をクリックします。

    または、Windows 8 と Windows 8.1 のどちらかを使用している場合は、右からスワイプしてチャームを表示し、[検索] チャームを選択して、「regedit」と入力します。

    OCT を使用して構成された信頼できる場所は、次の場所に格納されます。

    HKEY_CURRENT_USER/Software/Microsoft/Office/15.0/application_name/Security/Trusted Locations

    ここで、application_name には、Access、Excel、PowerPoint、Visio、または Word を指定できます。

    信頼できる場所は Path という名前のレジストリ エントリに格納され、値の種類は文字列値 (REG_SZ) に設定されます。各 Path エントリを探して、環境変数を使用して信頼できる場所を指定していることを確認してください。

  2. Path の値の種類を変更します。

    Office 2013 のアプリケーションは、値の種類が文字列値 (REG_SZ) として格納されている環境変数を認識できません。アプリケーションが環境変数を認識するには、Path エントリの値の種類を展開可能な文字列値 (REG_EXPAND_SZ) に変更する必要があります。この手順は、次のとおりです。

    1. Path エントリの値をメモするかコピーします。このパスは、1 つ以上の環境変数が含まれた相対パスであることが必要です。

    2. Path エントリを削除します。

    3. 種類が展開可能な文字列値 (REG_EXPAND_SZ) の Path エントリを作成します。

    4. 最初の手順でメモするかコピーしたものと同じ値になるように、新しい Path エントリを変更します。

    環境変数を使用して信頼できる場所を指定している Path エントリごとにこの変更を実行してください。

Web フォルダー (http:// 形式のパス) を信頼できる場所として指定できます。ただし、Web Distributed Authoring and Versioning (WebDAV) プロトコルまたは FrontPage Server Extensions Remote Procedure Call (FPRPC) プロトコルをサポートする Web フォルダーだけが信頼できる場所として認識されます。Web フォルダーが WebDAV プロトコルまたは FPRPC プロトコルをサポートしているかどうかが不明の場合は、以下のガイドラインに従ってください。

  • アプリケーションが Internet Explorer で開かれる場合、最近使用したファイルの一覧を確認します。最近使用したファイルの一覧に、インターネット一時ファイルのフォルダーではなくリモート サーバー上にあるファイルが表示される場合、Web フォルダーはいずれかの形式の WebDAV をサポートしている可能性があります。たとえば、Internet Explorer で参照しているときにドキュメントをクリックし、それが Word 2013 で開く場合、そのドキュメントがローカルのインターネット一時ファイルのフォルダーではなくリモート サーバー上にあることが、最近使用したファイルの一覧に表示されます。

  • [開く] ダイアログ ボックスを使用して Web フォルダーを参照してみます。そのパスが WebDAV をサポートしている場合は、Web フォルダーを参照できるか、資格情報の確認画面が表示されます。Web フォルダーが WebDAV をサポートしていない場合は、そのフォルダーの参照に失敗してダイアログ ボックスが閉じます。

注記メモ:
SharePoint Server 2013 を使用して作成したサイトは、信頼できる場所として指定できます。

信頼できる場所として指定するすべてのフォルダーをセキュリティ保護する必要があります。以下のガイドラインに従って、それぞれの信頼できる場所に適用する必要のある共有の設定とセキュリティの設定を決定します。

  • フォルダーを共有する場合は、許可されているユーザーだけが共有フォルダーにアクセスできるように共有アクセス許可を構成します。最小限の特権の原則を使用して、ユーザーに適したアクセス許可を供与します。つまり、信頼できるファイルを変更する必要のないユーザーには読み取りアクセス許可を与え、信頼できるファイルを変更する必要のあるユーザーにはフル コントロールのアクセス許可を与えます。

  • 許可されているユーザーだけが信頼できる場所にあるファイルを読み取りまたは変更できるようにするには、フォルダーのセキュリティのアクセス許可を適用します。最小限の特権の原則を使用して、ユーザーに適したアクセス許可を供与します。つまり、ファイルを変更する必要のあるユーザーにのみフル コントロールのアクセス許可を与え、ファイルの読み取りのみが必要なユーザーにはより制限の多いアクセス許可を供与します。

Office 2013 には、信頼できる場所の動作を制限または制御するいくつかの設定が用意されています。以下のガイドラインに従って、設定の構成方法を決定してください。

グループ ポリシー設定名: ポリシー定義とユーザー定義の場所の混在を許可する

説明: この設定は、信頼できる場所をユーザー、OCT、およびグループ ポリシーから定義することを許可するか、それともグループ ポリシーだけで定義しなければならないかを制御します。既定では、ユーザーが任意の場所を信頼できる場所として指定でき、コンピューターでユーザー定義、OCT 定義、およびグループ ポリシー定義の信頼できる場所を混在させることができます。

影響: この設定を無効にした場合、グループ ポリシー以外で作成されたすべての信頼できる場所が無効になり、ユーザーはセキュリティ センターで信頼できる場所を新たに作成できなくなります。この設定を無効にすると、ユーザーがセキュリティ センターで信頼できる場所を独自に定義している場合に、混乱を招くことがあります。アプリケーションは、このような場所を他の信頼できない場所と同様に扱うので、ユーザーがファイルを開くとき、メッセージ バーに ActiveX コントロールや VBA マクロなどのコンテンツに関する警告が表示され、ユーザーはコントロールやマクロを有効にするか、それともそれらを無効なままにしておくかを選択する必要があります。これは信頼できる場所の構成対象となるすべてのアプリケーションに適用されるグローバルな設定です。

ガイドライン: セキュリティ環境の制限が厳しい組織では、通常、この設定を無効にします。デスクトップの構成をグループ ポリシーで管理しているような組織では、通常、この設定を無効にします。

グループ ポリシー設定名: ネットワーク上の信頼できる場所を許可する

説明: この設定は、ネットワーク上の信頼できる場所の使用を許可するかどうかを制御します。ネットワーク共有上の信頼できる場所は既定で無効になっています。しかし、ユーザーはセキュリティ センターで [プライベート ネットワーク上にある信頼できる場所を許可する (推奨しません)] チェック ボックスをオンにすれば、ネットワーク共有を信頼できる場所として指定できます。これはグローバルな設定ではありません。この設定は、Access 2013、Excel 2013、PowerPoint 2013、Visio 2013、および Word 2013 の場合は、アプリケーション単位で構成する必要があります。

影響: この設定を無効にすると、ネットワーク共有上のすべての信頼できる場所が無効になり、セキュリティ センターでユーザーが [プライベート ネットワーク上にある信頼できる場所を許可する (推奨しません)] チェック ボックスをオンにできなくなります。この設定を無効にすると、ユーザーがセキュリティ センターで信頼できる場所を独自に定義している場合に、混乱を招くことがあります。この設定を無効にして、ネットワーク共有を信頼できる場所として指定しようとすると、現在のセキュリティ設定ではリモート パスまたはネットワーク パスを使用した信頼できる場所の作成は許可されていないという警告が表示されます。管理者がネットワーク共有をグループ ポリシーまたは OCT を使用して信頼できる場所として指定する場合、この設定を無効にすると、その信頼できる場所は無効になります。アプリケーションは、このような場所を他の信頼できない場所と同様に扱うので、ユーザーがファイルを開くとき、メッセージ バーに ActiveX コントロールや VBA マクロなどのコンテンツに関する警告が表示され、ユーザーはコントロールやマクロを有効にするか、それともそれらを無効なままにしておくかを選択する必要があります。

ガイドライン: セキュリティ環境の制限が厳しい組織では、通常、この設定を無効にします。

注記メモ:
[Office カスタマイズ ツールによって書き込まれた信頼できる場所を、インストール中にすべて削除する] の設定を使用して、OCT で構成して作成したすべての信頼できる場所を削除することもできます。

Office 2013 には、信頼できる場所機能を無効にする設定があります。この設定は、Access 2013、Excel 2013、PowerPoint 2013、Visio 2013、および Word 2013 の場合は、アプリケーション単位で構成する必要があります。この設定を使用するかどうかは、以下のガイドラインに従って判断してください。

グループ ポリシー設定名: すべての信頼できる場所を無効にする

説明: この設定は、信頼できる場所機能をアプリケーション単位で無効にできるようにします。信頼できる場所機能は既定では有効になっており、ユーザーは信頼できる場所を作成できます。

影響: この設定を有効にすると、次のような信頼できる場所がすべて無効になります。

  • セットアップ時に既定で作成された信頼できる場所

  • OCT を使用して作成された信頼できる場所

  • ユーザーがセキュリティ センターで作成した信頼できる場所

  • グループ ポリシーを使用して作成された信頼できる場所

この設定を有効にすると、ユーザーは、セキュリティ センターで信頼できる場所の設定を構成することもできなくなります。この設定を有効にする場合は、信頼できる場所機能が使用できなくなることがユーザーに通知されるようにしてください。ユーザーが信頼できる場所のファイルを開いている場合、この設定を有効にすると、ユーザーのメッセージ バーに警告が表示され、ユーザーはメッセージ バーの警告に応答して ActiveX コントロール、アドイン、VBA マクロなどのコンテンツを有効にする操作が必要になることがあります。

ガイドライン: セキュリティ環境の制限が厳しい組織では、通常、この設定を有効にします。

注記メモ:
ポリシー設定に関する最新情報は、Excel 2013 ブック Office2013GroupPolicyAndOCTSettings_Reference.xlsx を参照してください。このブックは、Office 2013 管理用テンプレート ファイルに含まれています。詳細については、TechNet の記事「Office 2013 管理用テンプレート ファイル (ADMX、ADML) および Office カスタマイズ ツール」を参照してください。

この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました
表示:
© 2014 Microsoft