Office ファイルの信頼できる場所

適用対象:Microsoft 365 Apps、Office LTSC 2021、Office 2019、Office 2016

信頼できる場所は、自分で作成したファイルや信頼できるソースから保存したファイルなど、これらのフォルダーに含まれるファイルが安全であると見なされる Office の機能です。 これらのファイルは脅威保護サービスをバイパスし、ファイル ブロック設定をバイパスし、すべてのアクティブなコンテンツが有効になります。 つまり、信頼できる場所に保存されたファイルは、保護ビューまたはApplication Guardで開かれていないことを意味します。

アクティブなコンテンツ には、署名されていないアドイン、VBA マクロ、外部データへの接続などが含まれます。 ファイルの元のソースを信頼できる場所に保存する場合は、すべてのアクティブなコンテンツが有効になり、潜在的なセキュリティ リスクについてユーザーに通知されないため、ファイルの元のソースを信頼することが重要です。 次の図は、Office ファイルを開くための信頼ワークフローを示しています。

手順 2 に示すように、信頼された場所のファイルは、他のすべてのセキュリティとポリシーのチェックをバイパスします。 したがって、信頼できる場所は、一意の状況や選択したユーザーにのみ使用することはまれです。 Microsoft 365 Apps for enterpriseのセキュリティ ベースラインでは、ネットワーク ベースの信頼された場所を無効にすることがガイダンスです。 その後、必要に応じて、ポリシーを使用して信頼できる場所を一元的に制御し、ユーザーが信頼できる場所自体を設定できないようにします。

信頼できる場所の計画手順

信頼できる場所は、ファイル内の全コンテンツに影響します。 これには、アドイン、ActiveX コントロール、ハイパーリンク、データ ソースやメディアへのリンク、VBA マクロなどが含まれます。 信頼された場所から開かれたファイルは、ファイル検証チェック、ファイル ブロック チェックをスキップし、保護ビューまたはApplication Guardで開かない。 信頼できる場所については、組織で許可できる信頼レベルが異なります。

• エンド ユーザーがデバイスまたはネットワーク自体で信頼できる場所を作成できるようにする
• ポリシーを使用して、ユーザーが信頼できる場所を作成できないようにする
• ポリシーを使用して信頼できる場所を一元管理する
• 信頼できる場所を無効にする

組織に最適なシナリオとそのセキュリティ リスク許容度を選択することが重要です。

信頼できる場所を実装するには、次の項目を決定する必要があります。

• 信頼できる場所を構成する Office アプリ。
• 信頼できる場所として指定するフォルダー
• 信頼できる場所に適用するフォルダーの共有とフォルダーのセキュリティ設定
• 信頼できる場所に適用する制限

信頼できる場所を構成する Office アプリを決定する

信頼できる場所の一覧を表示するには、[ファイル>オプション] [>セキュリティ センターのセキュリティ センター>の設定] の順に移動します。>次の Office アプリの信頼できる場所:

• Access
• Excel
• PowerPoint
• Visio
• Word

ポリシーは、これらの各 Office アプリの信頼できる場所を管理するために使用できます。 詳細については、「 ポリシーを使用して信頼された場所を管理する」を参照してください。

信頼できる場所として指定するフォルダーを決定する

信頼できる場所として使用するフォルダーを決定する際に注意すべき考慮事項を次に示します。

• ポリシーによってブロックされない限り、ユーザーは Office アプリのセキュリティ センターで信頼できる場所を作成および変更できます。 詳細については、「 信頼できる場所を追加、削除、または変更する」を参照してください。

• 既定では、ユーザーのデバイスにローカルの信頼された場所のみが許可されます。 ネットワークの場所は信頼できる場所として設定することもできますが、推奨されません。

• ユーザーがルート フォルダーを信頼できる場所として指定することはお勧めしません。 たとえば、C: ドライブやマイ ドキュメント フォルダーなどです。 代わりに、これらのフォルダー内にサブフォルダーを作成し、そのフォルダーのみを信頼できる場所として指定します。

• 1 つ以上のアプリケーションで同じ信頼された場所を使用できます。

• 信頼できる場所 #1 ポリシーを使用して、ユーザーの信頼できる場所を指定できます。

信頼された場所フォルダーのフォルダー共有とフォルダーのセキュリティ設定を決定する

信頼できる場所として指定するすべてのフォルダーは、悪意のあるユーザーが信頼できる場所にファイルを追加または変更できないように保護する必要があります。

フォルダーを共有する場合は、許可されているユーザーだけが共有フォルダーにアクセスできるように共有アクセス許可を構成します。

最小限の特権の原則を使用して、ユーザーに適したアクセス許可を供与します。 つまり、信頼できる場所のファイルを変更する必要がないユーザーに対して読み取りアクセス許可を付与し、ファイルを編集する必要があるユーザーにフル コントロールアクセス許可を付与します。

ポリシーを使用して信頼できる場所を管理する

組織内の信頼できる場所を管理するために使用できるポリシーがいくつかあります。

• [信頼できる場所 #1]
• ネットワーク上の信頼できる場所を許可する
• [すべての信頼できる場所を無効にする]

クラウド ポリシー、Microsoft Intune管理センター、またはグループ ポリシー管理コンソールを使用して、組織内のユーザーにポリシー設定を構成して展開できます。 詳細については、「 ポリシーを管理するために使用できるツール」を参照してください。

信頼できる場所には、Office アプリケーションごとに個別のポリシーがあります。 次の表は、グループ ポリシー管理コンソールの [ユーザー構成]\[ポリシー]\[管理用テンプレート] の下にある各ポリシーの場所を示しています。

また、[ ポリシーとユーザーの場所の組み合わせを許可する ] ポリシーを構成して、信頼できる場所をユーザーと管理者 (ポリシーなど) で定義できるかどうか、または信頼できる場所をポリシーでのみ定義できるかどうかを制御することもできます。

"信頼できる場所 #1" ポリシー

このポリシーを使用して、組織内のユーザーの信頼できる場所のパスを指定できます。 このポリシーには 20 個のインスタンスがあります。 たとえば、信頼できる場所 #1、信頼できる場所 #2、信頼できる場所 #3 などです。

既定では、これらのポリシーは空白です。 信頼できる場所を追加するには、ポリシーを有効にし、信頼された場所へのパスを指定します。 適切なユーザーのみが Office ファイルをその場所に追加できるようにアクセス許可を設定して、指定した場所がセキュリティで保護されていることを確認します。

このポリシーで指定した信頼できる場所は、[ファイル> オプションセキュリティ センターのセキュリティ センター>の設定]の [ポリシーの場所]> セクションに表示されます。>信頼できる場所。

"ネットワーク上の信頼された場所を許可する" ポリシー

このポリシーは、ネットワーク上の信頼できる場所を使用できるかどうかを制御します。

既定では、ネットワーク上の場所の信頼できる場所は無効になっています。 ただし、ユーザーはこれを変更するには、[ ファイル>オプション] [>セキュリティ センターのセキュリティ センター>の設定] に移動します。>[信頼できる場所 ] を選択し、[ ネットワーク上の信頼できる場所を許可する (推奨されません)] チェック ボックスをオンにします。

ポリシーに対して選択した状態によって、提供する保護のレベルが決まります。 次の表は、各状態で取得する保護のレベルを示しています。

アイコン	保護レベル	ポリシーの状態	説明
	保護済み [推奨]	無効	管理者によって構成されたすべての場所を含む、ネットワーク上の信頼できる場所をブロックします (たとえば、"信頼できる場所 #1" ポリシーを使用)。 セキュリティ センターでユーザーが信頼できる場所として設定したネットワークの場所を無視し、ユーザーが追加できないようにします。
	保護されていません	有効	ネットワークの場所を信頼できる場所として、ユーザーとポリシーの両方で設定できるようにします。
	部分的に保護	Not Configured	既定では、ユーザーはネットワークの場所を信頼できる場所として追加することはブロックされますが、セキュリティ センターの [ネットワーク 上の信頼された場所を許可する (推奨されません)] チェック ボックスをオンにすることで、これを有効にできます

Microsoft 365 Apps for enterpriseのセキュリティ ベースラインの一部として、このポリシーを [無効] に設定することをお勧めします。 ほとんどのユーザーに対してこのポリシーを無効にし、必要に応じて特定のユーザーに対してのみ例外を作成する必要があります。

Web フォルダーは信頼できる場所として指定できます。 ただし、Web 分散作成とバージョン管理 (WebDAV) または FrontPage Server 拡張機能リモート プロシージャ コール (FPRPC) プロトコルをサポートする Web フォルダーのみが信頼できる場所として認識されます。

"信頼できる場所をすべて無効にする" ポリシー

このポリシーを使用すると、すべての信頼できる場所を無効にすることができます。

既定では、[信頼された場所] が使用でき、ユーザーは任意の場所を信頼できる場所として指定でき、デバイスはユーザーが作成した信頼できる場所と管理者が構成した信頼された場所の任意の組み合わせを持つことができます。

ポリシーに対して選択した状態によって、提供する保護のレベルが決まります。 次の表は、各状態で取得する保護のレベルを示しています。

アイコン	保護レベル	ポリシーの状態	説明
	Protected	Enabled	信頼できる場所はすべてブロックされます。
	保護されていません	無効	ユーザーまたはデバイスには、ユーザーによって作成された信頼できる場所、または管理者によって構成された信頼できる場所の組み合わせ (ポリシーなど) を使用できます。
	保護されていません	Not Configured	これは Office の既定値です。 Disabled と同じ動作を提供 します。

制限の厳しいセキュリティ環境を持つ組織では、通常、このポリシーを [有効] に設定します。

"ポリシーとユーザーの場所の組み合わせを許可する" ポリシー

このポリシーは、信頼できる場所をユーザーと管理者 (ポリシーなど) で定義できるかどうか、または信頼できる場所をポリシーによってのみ定義できるかどうかを制御します。

このポリシーは、グループ ポリシー管理コンソールのユーザー構成\ポリシー\管理用テンプレート\Microsoft Office 2016\セキュリティ設定\セキュリティ センターにあります。

ポリシーに対して選択した状態によって、提供する保護のレベルが決まります。 次の表は、各状態で取得する保護のレベルを示しています。

アイコン	保護レベル	ポリシーの状態	説明
	保護済み [推奨]	無効	ポリシーによって定義された信頼できる場所のみが許可されます。
	保護されていません	Enabled	ユーザーまたはデバイスには、ユーザーによって作成された信頼できる場所、または管理者によって構成された信頼できる場所の組み合わせ (ポリシーなど) を使用できます。
	保護されていません	Not Configured	これは Office の既定値です。 Enabled と同じ動作を提供 します。

Microsoft 365 Apps for enterpriseのセキュリティ ベースラインの一部として、このポリシーを [無効] に設定することをお勧めします。 ほとんどのユーザーに対してこのポリシーを無効にし、必要に応じて特定のユーザーに対してのみ例外を作成する必要があります。

Office アプリの既定の信頼できる場所

Office のインストールでは、いくつかのフォルダーが既定の信頼できる場所として指定されます。 既定の信頼された場所は、次のアプリケーションのテーブルに一覧表示されます。

• Access
• Excel
• PowerPoint
• Word

Project または Visio の既定の信頼できる場所はありません。

これらのフォルダーは、[ファイル>オプション]>[セキュリティ センターのセキュリティ センター>の設定] の順に移動して確認できます。>信頼できる場所。

アクセスの既定の信頼された場所

次の表に、アクセスの既定の信頼された場所と、サブフォルダーも信頼されているかどうかを示します。

Excel の既定の信頼できる場所

次の表は、Excel の既定の信頼された場所であるフォルダーと、サブフォルダーも信頼されているかどうかを示しています。

PowerPoint の既定の信頼できる場所

次の表に、PowerPoint の既定の信頼できる場所と、サブフォルダーも信頼されているかどうかを示します。

Word の既定の信頼できる場所

次の表に、Word の既定の信頼できる場所と、サブフォルダーも信頼されているかどうかを示します。