Office ファイルの信頼できる場所

適用対象:Microsoft 365 Apps、Office LTSC 2021、Office 2019、Office 2016

信頼できる場所は、自分で作成したファイルや信頼できるソースから保存したファイルなど、これらのフォルダーに含まれるファイルが安全であると見なされる Office の機能です。 これらのファイルは脅威保護サービスをバイパスし、ファイル ブロック設定をバイパスし、すべてのアクティブなコンテンツが有効になります。 つまり、信頼できる場所に保存されたファイルは 、保護ビュー または Application Guard で開かれていないことを意味します。

アクティブなコンテンツ には、署名されていないアドイン、VBA マクロ、外部データへの接続などが含まれます。 信頼できる場所に保存する前に、ファイルの元のソースを信頼してください。 すべてのアクティブなコンテンツが有効になっており、ユーザーが潜在的なセキュリティ リスクに関する通知を受け取らないので、重要です。 次の図は、Office ファイルを開くための信頼ワークフローを示しています。

手順 2 に示すように、信頼された場所のファイルは、他のすべてのセキュリティとポリシーのチェックをバイパスします。 したがって、信頼できる場所は、一意の状況や選択したユーザーにのみ使用することはまれです。 Microsoft 365 Apps for enterprise の セキュリティ ベースライン では、ネットワーク ベースの信頼できる場所を無効にすることをお勧めします。 その後、必要に応じて、ポリシーを使用して信頼された場所を一元的に制御し、ユーザーが信頼できる場所自体を設定できないようにします。

信頼できる場所の計画手順

信頼できる場所を使用すると、アドイン、ActiveX コントロール、ハイパーリンク、データ ソースとメディアへのリンク、VBA マクロなど、ファイル内のすべてのコンテンツが有効になります。 信頼された場所から開かれたファイルは、ファイル検証チェック、ファイル ブロック チェックをスキップし、保護ビューまたは Application Guard で開かない。 信頼できる場所については、組織で許可できる信頼レベルが異なります。

• エンド ユーザーがデバイスまたはネットワーク自体で信頼できる場所を作成できるようにする
• ポリシーを使用して、ユーザーが信頼できる場所を作成できないようにする
• ポリシーを使用して信頼できる場所を一元管理する
• 信頼できる場所を無効にする

組織に最適なシナリオとそのセキュリティ リスク許容度を選択することが重要です。

注:

一部の信頼できる場所は、Office のインストール時に既定で作成されます。 これらの信頼できる場所の一覧については、「 Office アプリの既定の信頼された場所」を参照してください。

信頼できる場所を実装するには、次を決定する必要があります。

• 信頼できる場所を構成する Office アプリ。
• 信頼できる場所として指定するフォルダー
• 信頼できる場所に適用するフォルダーの共有とフォルダーのセキュリティ設定
• 信頼できる場所に適用する制限

信頼できる場所を構成する Office アプリを決定する

信頼できる場所の一覧を表示するには、[ファイル>オプション>Trust Center>Trust Center の設定...>次の Office アプリの信頼できる場所:

• Access
• Excel
• PowerPoint
• Visio
• Word

ポリシーは、これらの各 Office アプリの信頼できる場所を管理するために使用できます。 詳細については、「 ポリシーを使用して信頼された場所を管理する」を参照してください。

注:

ポリシーは Project でも使用できますが、Project には信頼 できる場所 の設定がありません。

信頼できる場所として指定するフォルダーを決定する

信頼できる場所として使用するフォルダーを決定する際に注意すべき考慮事項を次に示します。

• ポリシーによってブロックされない限り、ユーザーは Office アプリのセキュリティ センターで信頼できる場所を作成および変更できます。 詳細については、「 信頼できる場所を追加、削除、または変更する」を参照してください。

• 既定では、ユーザーのデバイスにローカルの信頼された場所のみが許可されます。 ネットワークの場所は信頼できる場所として設定することもできますが、推奨されません。

• ユーザーがルート フォルダーを信頼できる場所として指定することはお勧めしません。 たとえば、C: ドライブやマイ ドキュメント フォルダーなどです。 代わりに、これらのフォルダー内にサブフォルダーを作成し、そのフォルダーのみを信頼できる場所として指定します。

• 1 つ以上のアプリケーションで同じ信頼された場所を使用できます。

• 信頼できる場所 #1 ポリシーを使用して、ユーザーの信頼できる場所を指定できます。

信頼された場所フォルダーのフォルダー共有とフォルダーのセキュリティ設定を決定する

信頼できる場所として指定するすべてのフォルダーは、悪意のあるユーザーが信頼できる場所にファイルを追加または変更できないように保護する必要があります。

フォルダーを共有する場合は、許可されているユーザーだけが共有フォルダーにアクセスできるように共有アクセス許可を構成します。

最小限の特権の原則を使用して、ユーザーに適したアクセス許可を供与します。 信頼できる場所のファイルを変更する必要のないユーザーに読み取りアクセス許可を付与します。 ファイルを編集する必要があるユーザーにフル コントロール権限を付与します。

ポリシーを使用して信頼できる場所を管理する

組織内の信頼できる場所を管理するために使用できるポリシーがいくつかあります。

• [信頼できる場所 #1]
• ネットワーク上の信頼できる場所を許可する
• [すべての信頼できる場所を無効にする]

クラウド ポリシー、Microsoft Intune 管理センター、またはグループ ポリシー管理コンソールを使用して、組織内のユーザーにポリシー設定を構成して展開できます。 詳細については、「 ポリシーを管理するために使用できるツール」を参照してください。

注:

Office Professional Plus 2016 などの Office 2016 のボリューム ライセンスバージョンの場合は、Office カスタマイズ ツール (OCT) を使用して信頼できる場所を構成できます。 詳細については、「 Office カスタマイズ ツール (OCT) 2016 ヘルプ: Office セキュリティ設定」を参照してください。

信頼できる場所には、Office アプリケーションごとに個別のポリシーがあります。 次の表は、グループ ポリシー管理コンソールの [ユーザー構成]\[ポリシー]\[管理用テンプレート] の下の各ポリシーの場所を示しています。

アプリケーション	ポリシーの場所
Access	Microsoft Access 2016\Application Settings\Security\Trust Center\Trusted Locations
Excel	Microsoft Excel 2016\Excel オプション\セキュリティ\セキュリティ センター\信頼できる場所
PowerPoint	Microsoft PowerPoint 2016\PowerPoint オプション\セキュリティ\セキュリティ センター\信頼できる場所
Project	Microsoft Project 2016\Project Options\Security\Trust Center
Visio	Microsoft Visio 2016\Visio オプション\セキュリティ\セキュリティ センター
Word	Microsoft Word 2016\Word のオプション\セキュリティ\セキュリティ センター\信頼できる場所

[ポリシーとユーザーの場所の組み合わせを許可する] ポリシーを構成して、ユーザーと管理者の両方、または管理者のみが信頼できる場所を定義できるかどうかを判断します。

"信頼できる場所 #1" ポリシー

このポリシーを使用して、組織内のユーザーの信頼できる場所のパスを指定できます。 このポリシーには 20 個のインスタンスがあります。 たとえば、信頼できる場所 #1、信頼できる場所 #2、信頼できる場所 #3 などです。

既定では、これらのポリシーは空白です。 信頼できる場所を追加するには、ポリシーを有効にし、信頼された場所へのパスを指定します。 適切なユーザーのみが Office ファイルをその場所に追加できるようにアクセス許可を設定して、指定した場所がセキュリティで保護されていることを確認します。

このポリシーで指定した信頼できる場所は、[ファイル>オプション>トラスト センター>トラスト センターの設定]の [ポリシーの場所] セクションに表示されます。..>信頼できる場所。

注:

• 信頼できる場所を指定するときに環境変数を使用できます。
• これらの 20 のポリシーは、ユーザー構成\ポリシー\管理用テンプレート\Microsoft Office 2016\セキュリティ設定\セキュリティ センターでも使用できます。 このバージョンのポリシーを使用する場合、ポリシーは信頼された場所をサポートするすべてのアプリに適用されます。

"ネットワーク上の信頼された場所を許可する" ポリシー

このポリシーは、ネットワーク上の信頼できる場所を使用できるかどうかを制御します。

既定では、ネットワーク上の場所の信頼できる場所は無効になっています。 ただし、ユーザーはこの設定を変更するには、[ファイル][オプション>>トラスト センター>トラスト センターの設定...>[信頼できる場所] を選択し、[ネットワーク上の信頼できる場所を許可する (推奨されません)] チェック ボックスをオンにします。

ポリシーに対して選択した状態によって、提供する保護のレベルが決まります。 次の表は、各状態で取得する保護のレベルを示しています。

アイコン	保護レベル	ポリシーの状態	説明
	保護済み [推奨]	無効	管理者によって構成されたすべての場所 (たとえば、"信頼された場所 #1" ポリシーを使用) を含む、ネットワーク上の信頼できる場所をブロックします。 セキュリティ センターでユーザーが信頼できる場所として設定したネットワークの場所を無視し、ユーザーが追加できないようにします。
	保護されていません	有効	ネットワークの場所を信頼できる場所として、ユーザーとポリシーの両方で設定できるようにします。
	部分的に保護	Not Configured	既定では、ユーザーはネットワークの場所を信頼できる場所として追加することはブロックされますが、セキュリティ センターの [ネットワーク 上の信頼された場所を許可する (推奨されていません)] チェック ボックスをオンにすることで、この設定を有効にできます

Microsoft 365 Apps for enterprise のセキュリティ ベースラインの一部として、このポリシーを [無効] に設定することをお勧めします。 ほとんどのユーザーに対してこのポリシーを無効にし、必要に応じて特定のユーザーに対してのみ例外を作成する必要があります。

Web フォルダーは信頼できる場所として指定できます。 ただし、Web 分散作成とバージョン管理 (WebDAV) または FrontPage Server 拡張機能リモート プロシージャ コール (FPRPC) プロトコルをサポートする Web フォルダーのみが信頼できる場所として認識されます。

"信頼できる場所をすべて無効にする" ポリシー

このポリシーを使用すると、すべての信頼できる場所を無効にすることができます。

既定では、[信頼された場所] が使用でき、ユーザーは任意の場所を信頼できる場所として指定でき、デバイスはユーザーが作成した信頼できる場所と管理者が構成した信頼された場所の任意の組み合わせを持つことができます。

ポリシーに対して選択した状態によって、提供する保護のレベルが決まります。 次の表は、各状態で取得する保護のレベルを示しています。

アイコン	保護レベル	ポリシーの状態	説明
	Protected	有効	信頼できる場所はすべてブロックされます。
	保護されていません	無効	ユーザーまたはデバイスには、ユーザーによって作成または管理者によって構成された信頼できる場所の組み合わせ (ポリシーなど) を使用できます。
	保護されていません	Not Configured	この設定は Office の既定値です。 Disabled と同じ動作を提供 します。

制限の厳しいセキュリティ環境を持つ組織では、通常、このポリシーを [有効] に設定します。

"ポリシーとユーザーの場所の組み合わせを許可する" ポリシー

このポリシーは、信頼できる場所をユーザーと管理者 (ポリシーなど) で定義できるかどうか、または信頼できる場所をポリシーによってのみ定義できるかどうかを制御します。

このポリシーは、グループ ポリシー管理コンソールのユーザー構成\ポリシー\管理用テンプレート\Microsoft Office 2016\セキュリティ設定\セキュリティ センターにあります。

ポリシーに対して選択した状態によって、提供する保護のレベルが決まります。 次の表は、各状態で取得する保護のレベルを示しています。

アイコン	保護レベル	ポリシーの状態	説明
	保護済み [推奨]	無効	ポリシーによって定義された信頼できる場所のみが許可されます。
	保護されていません	有効	ユーザーまたはデバイスには、ユーザーによって作成または管理者によって構成された信頼できる場所の組み合わせ (ポリシーなど) を使用できます。
	保護されていません	Not Configured	この設定は Office の既定値です。 Enabled と同じ動作を提供 します。

Microsoft 365 Apps for enterprise のセキュリティ ベースラインの一部として、このポリシーを [無効] に設定することをお勧めします。 ほとんどのユーザーに対してこのポリシーを無効にし、必要に応じて特定のユーザーに対してのみ例外を作成する必要があります。

Office アプリの既定の信頼できる場所

Office のインストールでは、いくつかのフォルダーが既定の信頼できる場所として指定されます。 既定の信頼された場所は、次のアプリケーションのテーブルに一覧表示されます。

• Access
• Excel
• PowerPoint
• Word

Project または Visio の既定の信頼できる場所はありません。

これらのフォルダーは、[ファイル>Options>Trust Center>Trust Center Settings...> に移動すると表示されます。信頼できる場所。

アクセスの既定の信頼された場所

次の表に、アクセスの既定の信頼された場所と、サブフォルダーも信頼されているかどうかを示します。

既定の信頼できる場所	フォルダーの説明	サブフォルダーは信頼されていますか?
Program Files\Microsoft Office\Root\Office16\ACCWIZ	ウィザード データベース	いいえ (許可しない)

Excel の既定の信頼できる場所

次の表は、Excel の既定の信頼された場所であるフォルダーと、サブフォルダーも信頼されているかどうかを示しています。

既定の信頼できる場所	フォルダーの説明	サブフォルダーは信頼されていますか?
Program Files\Microsoft Office\Root\Templates	アプリケーション テンプレート	はい (許可)
Users\user_name\Appdata\Roaming\Microsoft\Templates	ユーザ テンプレート	いいえ (許可しない)
Program Files\Microsoft Office\Root\Office16\XLSTART	Excel スタートアップ	はい (許可)
Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART	ユーザーのスタートアップ	いいえ (許可しない)
Program Files\Microsoft Office\Root\Office16\STARTUP	Office スタートアップ	はい (許可)
Program Files\Microsoft Office\Root\Office16\Library	アドイン	はい (許可)

PowerPointの既定の信頼できる場所

次の表に、PowerPointの既定の信頼できる場所と、サブフォルダーも信頼されているかどうかを示します。

既定の信頼できる場所	フォルダーの説明	サブフォルダーは信頼されていますか?
Program Files\Microsoft Office\Root\Templates	アプリケーション テンプレート	はい (許可)
Users\user_name\Appdata\Roaming\Microsoft\Templates	ユーザ テンプレート	はい (許可)
Users\user_name\Appdata\Roaming\Microsoft\Addins	アドイン	いいえ (許可しない)
Program Files\Microsoft Office\Root\Document テーマ 16	アプリケーション テーマ	はい (許可)

Word の既定の信頼できる場所

次の表に、Word の既定の信頼できる場所と、サブフォルダーも信頼されているかどうかを示します。

既定の信頼できる場所	フォルダーの説明	サブフォルダーは信頼されていますか?
Program Files\Microsoft Office\Root\Templates	アプリケーション テンプレート	はい (許可)
Users\user_name\Appdata\Roaming\Microsoft\Templates	ユーザ テンプレート	いいえ (許可しない)
Users\user_name\Appdata\Roaming\Microsoft\Word\Startup	ユーザーのスタートアップ	いいえ (許可しない)