Office 2016 のファイルのパスワードの削除またはリセット

概要: Office 2016 DocRecrypt ツールを使って、パスワード保護された OOXML フォーマットの Word、Excel、および PowerPoint のファイルをアンロックする方法を説明します。

グループ ポリシーを使用して、パスワードで保護されたドキュメントを証明書と関連付けるレジストリを変更します。 この証明書の情報は、ファイル ヘッダーに埋め込まれます。 その後、パスワードを忘れた、または失くした場合、DocRecrypt コマンド ライン ツール および 秘密キーを使ってファイルをアンロックし、任意で新しいパスワードを割り当てます。

注:

  • Office 2016 の個人用コピーにパスワードに関する情報が必要な場合は、「 パスワードを使用してドキュメントを保護 する」または 「Excel ファイルを保護する」を参照してください。
  • IT プロフェッショナルが、organization内の Office 2016 ファイルのパスワードを削除またはリセットしようとしている場合 (たとえば、従業員がorganizationを離れ、パスワードがわからない場合は、適切な場所にいるので、読み続けてください。 |

概要: 削除するか、DocRecrypt ツールを使用して Office 2016 でのファイルのパスワードをリセットします

ユーザーがWord、Excel、または PowerPoint ドキュメントをパスワードで保護する必要がある理由は多数あります。 例:

  • 即時organization複数のユーザーがグループ予算に取り組みたいと考えていますが、完了するまで、それらの数値を大きなorganizationに表示しないようにします。

  • コンサルタントは、サービス レベル契約に基づき、重要なデータが管理から外れる際にそのデータの保護を要求するクライアントに応じます。

  • 教師は、Wordで作成されたテストが侵害されないようにしたいと考えています。

  • メディアの専門家や、分野の主要な研究者へのプレゼンテーションに取り組む科学者は、大きな発表の前にブレークスルーが一般に漏れないようにしたいと考えています。

以前であれば、ファイル パスワードの元の作成者がパスワードを忘れたり、または組織を去った場合、そのファイルは回復不能になっていました。 IT 管理者は、Office 2016 とエスクロー キーを使用してユーザーのファイルのロックを解除できます。 このキーは、会社またはorganizationの秘密キー証明書ストアから取得されます。 ロック解除後、管理者はパスワード保護を削除するか、ファイルの新しいパスワードを設定できます。 IT 管理者は、会社またはorganizationの秘密キー証明書ストアから生成されるエスクロー キーのキーパーです。 手動またはグループ ポリシー スクリプトを通して作成できるレジストリ キー 設定で、公開キー情報を静かにクライアント コンピューターに一度プッシュすることができます。 その後、ユーザーがパスワード保護された Word、Excel、または PowerPoint ファイルを作成すると、この公開キーはファイル ヘッダーに含まれます。 そうすると、IT 担当者は Office DocRecrypt ツールを使用してファイルに付けられたパスワードを削除し、任意により、新しいパスワードでそのファイルを保護することができます。 IT 担当者は、パスワードを削除するには、次 のすべてを 持っている必要があります。

  • 新しい Office DocRecrypt tool

  • 公開キーが埋め込まれた Word、Excel、またはPowerPoint

  • アクセス許可とは、証明書に関連付けられている公開キーと秘密キーへのアクセス

秘密キーを安全に保つ

この機能では、秘密キーを処理および配布するための企業プロセスは制御されません。 また、キーを格納する場所、パスワード リセット要求に必要なアクセス許可、復元後のファイルの場所も定義しません。 organizationの標準とプロセスは、これらの決定を導く必要があります

パスワードで保護されたファイルに対して高いレベルのセキュリティを維持するには、次のポリシーを採用することをお勧めします。

  • 決して秘密キーをクライアント コンピューターにプッシュしないでください! この推奨事項が最も重要です。

  • 秘密キー、およびエスクロー キーと公開キーの作成に使用した証明書がある証明書ストアをロックします。

  • 1 人のユーザーが公開キー基盤 (PKI) サービス侵害なしかどうかを確認します。 また、組織内でさまざまな人々 の間で証明書の管理の役割を分散することをお勧めします。

これらの推奨事項に一貫して従わないと、すべての新しいパスワードで保護されたファイルのセキュリティが侵害される可能性があります。 企業または組織は、すでに定義済みの Active Directory 証明書サービス (AD CS) の管理モデル、および秘密キーと証明書のオフサイト ストレージなどを含む認証局 (CA) インフラストラクチャの戦略を保有している必要があります。 詳細については、「役割ベースの管理」を参照してください。

注:

DocRecrypt を使用した証明書の目的として正規のユーザー証明書とユーザー認証ができます。 証明書の主な目標は、ドキュメントを暗号化することができます。

正しい証明書のあります。

多くの秘密キー証明書が IT コンピューターに配置されている可能性があるため、正しい証明書がどのように検出されるかを疑問に思うかもしれません。 証明書マネージャー (certmgr.msc) では、 Office 2016 DocRecrypt ツールが、ロジカル ストア、そして現在のユーザーのストアの順に検索します。 これらの各ストアでは、ツールは最初に、Windows システム強制 PIN を必要としない証明書を検索します。 次に、必要な証明書を検索します。

特別な考慮事項

Office XML ファイルのみを開くOffice DocRecrypt ツールは、docx、pptx、および xlsx ファイルといった Office Open XML 形式のドキュメントにのみ動作します。

以前暗号化されたファイルOffice DocRecrypt ツールは、証明書およびエスクロー キーの展開前にパスワード保護されたファイルの復元には使用できません。 証明書とエスクロー キーを展開した後、ユーザーは以前に保護された Office 2016 ファイルを開いて保存できます。 このアクションにより、エスクロー キーがファイルに追加されます。 その時点から、Office DocRecrypt ツールを使用してファイルのパスワードを削除またはリセットできます。

Word、Excel、PowerPoint ファイルを保護するその他の方法 Word、Excel、PowerPoint ファイルを保護する他の方法については、「ドキュメント、ブック、またはプレゼンテーションの保護を追加または削除する」を参照してください。

ユーザーは、これらの保護方法のいずれかを個別に適用できます。 IT 管理者がパスワードを削除した場合、その他のすべての保護設定は保持されます。 パスワードを削除しても、これらの他の設定には影響しません。

ファイルのパスワードを削除する機能に影響を与える可能性のあるいくつかの要因があります。 詳細とアドバイスは、次の表を参照してください。

パスワード ファイルを削除する際の考慮事項

問題 アドバイス
ファイルは読み取り専用または非表示としてマークされます。
Office DocRecrypt ツールは、読み取り専用または非表示としてマークされているファイルでは機能しません。 ただし、設定を削除してファイルを暗号化し、検索後に読み取り専用または非表示に設定することができます。
ファイルは、複数の場所に格納されます。
Office DocRecrypt ツール パスワードによる保護を参照しているファイルの特定のインスタンスが削除されるだけです。 しかし、RAID や他のハード ディスクの構成にも参照されているファイルのパスワード保護を削除する必要があります。
ファイルが共有ブックであります。
Office DocRecrypt ツールは、埋め込みファイルを含む共同編集されたファイルでは機能しません。
ファイルがデジタル署名されています。
デジタル署名されたファイルからパスワード保護を削除する、デジタル署名の有効性を損なわない。
ファイル名の先頭はハイフン ("-") です。
Office DocRecrypt ツールを使用して検索したいファイル名にハイフンが含まれている場合、ファイル名を引用符で囲います。
リクエスターは、ファイルを開くアクセス許可がありません。
IT 管理者は、パスワードが削除または変更されると、ファイルの暗号化を解除するように求めるユーザーがコンテンツにアクセスする権限を持っているかどうかを確認します。 同様に、パスワードで保護されたファイルが、関連付けられているアクセス制御リスト、復号化プロセスには、関連付けを削除します。 その後で再開する必要があります。
ファイルまたはそのコピー先の場所は、読み取り専用です。
パスワードで保護されたファイルとコピー先の両方が可能であるかどうかを確認します。
証明書が失効したか、期限が切れています。
IT 部門は、秘密キー証明書が有効で最新であることを確認する必要があります。 また、Office DocRecrypt ツールでは、秘密キー証明書の失効状態がチェックされません。
パスワードで保護されたファイルは、クラウドがあります。
復号する前にハード ディスクまたは読み取り/書き込みの UNC 共有にファイルをコピーする必要があります。

クライアント コンピューターのパスワード保護の削除を設定します。

IT 部門が、パスワード保護された Word、PowerPoint、Excel ファイルからパスワードを削除できるようにするには、 Office 2016 を組織に展開するとき、まずは公開キー証明書をプッシュして、いくつかのレジストリ 作業をクライアント コンピューターで行う必要があります。 そのための方法は 2 つあります。

  • 複数の最良の選択、組織内のクライアント コンピューターは、グループ ポリシーの管理、テンプレートを使用または

  • 1 台のコンピューターまたは少数のクライアント コンピューターにとって最良の選択である、クライアント コンピューターのレジストリを手動で変更することです。

グループ ポリシー オブジェクトを使用してパスワードを保護するために複数のクライアント コンピューターをセットアップするには

  1. Microsoft ダウンロード センターからグループ ポリシー管理用テンプレート (ADMX/ADML) ファイルをダウンロードします。

  2. ローカル グループ ポリシー エディターでテンプレートを開き、エスクロー キー設定に移動します。 ユーザーの構成 ブランチを開き、 管理用テンプレートMicrosoft Office 2016セキュリティ設定エスクロー証明書 の順に選択します。

    20 エスクロー キーは各名前付きのエスクロー キー #n を構成にすることができます。

  3. エスクロー キーを選択し、ショートカット メニュー (右クリック)、選択して 編集 、エスクロー キーを構成します。

    エスクロー キー #n ダイアログが表示されます。

  4. このキーを設定して有効にするには、 有効 ボタンを選択します。 後からこのキーを無効にしたい場合は、[ エスクロー キー #n] ダイアログ ボックスに戻り、 [ 無効 ] ボタンを選択します。

  5. [ 証明書ハッシュ ] ボックスに、証明書の一意識別子として使用される証明書ハッシュ ("拇印" とも呼ばれます) を入力します。たとえば、証明書の拇印が 9131517191121d94d143117fc126213c1781d21c の場合は、証明書ハッシュ値をその番号に設定します。 このハッシュは読みやすくする場合は、スペースを含めることができます。

  6. 必要に応じて、この特定の証明書の詳細を提供するコメントを入力します。 これは省略可能です。

  7. その後で、[OK] を選択します。

新しいレジストリ設定でパスワード保護のための 1 つのクライアント コンピューターを設定するには

Word、 PowerPoint、または Excel ファイルからのパスワードを削除するには、このコードを使用します。 パスワード保護ファイルに使用する公開キー証明書を示すためのレジストリ キーを作成する必要があります。

注:

レジストリ キーの作成方法についての具体的な指示については、レジストリ エディター (regedit.exe) のヘルプ メニューから利用できるヘルプを参照してください。

  • レジストリ エディターで、次のレジストリ パスには、クライアント コンピューターのレジストリ内のキーを作成します。

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0 \common\Security\Crypto\EscrowCerts

    手動または .reg のバッチ ファイルでこの新しいキーを作成します。 regedit.exe を使って .reg ファイルを作成するには、「Creating a .reg File」を参照してください。

    クライアント コンピューターのレジストリにキーを作成します。

レジストリの要素 説明
キーの名前
これは EscrowCerts する必要があります。
データ型
キー

Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\ common\Security\Crypto\
  • ステップ 1 で作成した新しいキーに、次の表に示されている公開キー証明書情報を追加します。 各公開キー証明書ファイルを保護するパスワードを使用できるようにする 1 つのエントリを作成します。

    公開キー証明書の情報を追加します。

レジストリの要素 説明
キーの名前
公開キー証明書を説明する一意なユーザー定義の名前。 たとえば、EscrowCert01、EscrowCert02 など。
種類
STRING

一意な識別子として使用されるハッシュは、[ Windows 証明書] ダイアログ ボックスの「拇印」でもあります。 証明書の拇印が 9131517191121d94d143117fc126213c1781d21c の場合、この値をその数値に設定します。 このハッシュは読みやすくする場合は、スペースを含めることができます。
  • レジストリ エントリが存在する場合、証明書をクライアント コンピューターにプッシュします。 公開キー証明書は、Windows Certificate Manager (certmgr.msc) の [証明書 - 現在のユーザー] ストアまたは [論理] ストアに格納する必要があります。 グループ ポリシーを介してクライアント コンピューターに公開キー証明書をプッシュする方法の詳細については、「グループ ポリシーを使用してクライアント コンピューターに証明書を配布する」を参照してください。

    重要

    IT 管理者は、このプロセスに使用した証明書が、有効かつ期限切れでないことを確認する必要があります。

Office 2016Word、PowerPoint、または Excel で作成したファイルにパスワード保護をかける場合、適切な公開キー情報はファイル ヘッダーに保存されます。 管理者は、パスワード保護の解除を求められた後、この公開キーと一致する秘密キーを使用できます。

キーと DocRecrypt ツールは、IT 管理者のコンピューターを設定します。

IT 管理者コンピューターは、レジストリにキーとサブキーを含める必要も、公開キー証明書のコピーを持っている必要もありません。 しかし、IT 管理者のコンピューターは、以下を必要とします。

  • 一致する秘密キー/証明書ペア

  • Office DocRecrypt ツール

キーと DocRecrypt ツールのある IT コンピューターをセットアップするには

  1. Windows 証明書マネージャーで、証明書に対応する秘密キーをインポートするには、証明書のインポート ウィザードを使用します。

  2. Office DocRecrypt ツールをダウンロードおよびインストールします。 このツールは「Microsoft ダウンロード センター」にあります。

  • Office DocRecrypt ツールを 64 ビット コンピューターにインストールすると、次の場所にインストールされます。

    • % %programfiles% (x 86) %\Microsoft Office\DOCRECRYPT
  • Office DocRecrypt ツールを 32 ビット コンピューターにインストールすると、次の場所にインストールされます。

    • %programfiles%\Microsoft Office\DOCRECRYPT

これで終わりです。 すべての部分が用意されており、次回ユーザーからパスワードの入力を求められたら、Word、Excel、または PowerPoint ファイルでパスワードを削除する準備が整いました。

Office DocRecrypt ツールを使用してください。

ファイルのパスワードを削除して新しいパスワードを登録するには、IT 管理者のコンピューターにインストールされている Office DocRecrypt ツールを使用します。

DocRecrypt ツールを使用するには

コマンド ラインからの DocRecrypt ツールを使用して、次の手順に従います。 スクリプトまたはバッチ ファイルからサイレント モードで DocRecrypt コマンドを実行できます。

  • 移動し、次の構文を使用して Office DocRecrypt ツールのコマンド ラインを開きます。

    DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]

    DocRecrypt ツールのオプションは、次の表で説明します。

    DocRecrypt ツールのオプション

パラメーター 説明
-p <new_password>
(省略可能)これは、入力ファイルに割り当てられる新しいパスワード、または出力ファイル名が指定されている場合は出力ファイルです。
-i <inputfile_or_folder>
これは、ファイル、または、パスワードが不明のためにロックされているファイルを含むフォルダーです。 フォルダーを指定すると、Office DocRecrypt ツールは Office Open XML 形式ではないファイルを無視します。
-o <outputfile_or_folder>
(省略可能) これは、新しい出力ファイル名または入力ファイルから作成されたファイル用のフォルダー名です。 ここでも、Office Open XML 形式ではないファイルはすべて無視されます。
-q
(省略可能) たいていはスクリプトで Office DocRecrypt ツールを Quiet モードで実行することを示します。 サイレント モードでは UI が表示されないため、証明書で IT 管理者が PIN を入力する必要がある場合は失敗します。 証明書に PIN が必要な場合は、サイレント モードを使用しないでください。

例:

ファイルからのパスワードを削除するには、このコードを使用します。

DocRecrypt -i lockedfile

パスワードを削除するを 12345 の新しいパスワードを割り当てて、このコードを使用します。

DocRecrypt -p 12345 -i lockedfile

パスワードを削除するには、新しいファイルを作成して12345 の新しいパスワードを割り当て、このコードを使用します。

DocRecrypt -p 12345 -i lockedfile -o newfile

Office 2016 を使用してファイルがパスワードで保護されると、パスワードは削除されません。

Office 2010 および 2007 のファイル

組織内のクライアント コンピューターを Office DocRecrypt ツールを使用して (個別に、またはグループ ポリシーにより) 構成した場合、それ以後に作成する Word 2016、Excel 2016、または PowerPoint 2016 ファイル (docx、xlsx、および pptx ファイル) と、パスワード保護された既存の Office Word 2007、Word 2010、Office Excel 2007、Excel 2010、Office PowerPoint 2007、または PowerPoint 2010 ファイルのうちユーザーが Office 2016 で編集したファイルは、DocRecrypt ツールを使用してアンロックまたはパスワードのリセットを実行できます。 ただし、パスワード保護されたファイルにエスクロー キーを追加すると、そのファイルが Office 2007 または Office 2010 で編集されたものであっても、アンロックまたはリセットすることができます。