Office 2013 の信頼された発行元設定の計画と構成
適用先: Office 365 ProPlus
トピックの最終更新日: 2016-12-16
概要: Office 2013 で信頼できる発行元の一覧を使用して、信頼できるコンテンツ発行者を指定する方法を説明します。
対象ユーザー: IT 担当者
信頼できる発行元の一覧を使用して信頼できるコンテンツ発行者を指定できます。この方法は、組織で Microsoft ActiveX コントロール、アドイン、Visual Basic for Applications (VBA) マクロなどの発行済みコンテンツが使用されている場合に役に立ちます。
発行者とは、デジタル署名された ActiveX コントロール、アドイン、VBA マクロを作成して配布した開発者、ソフトウェア会社、組織を指します。信頼できる発行元とは、信頼できる発行元の一覧に追加された発行者を指します。ユーザーが、信頼している発行元作成のアクティブ コンテンツを含んだファイルを開くと、そのファイルの潜在的リスクがユーザーに通知されないまま、その発行元のコンテンツが有効になります。
信頼できる発行元の追加方法については、「信頼できる発行元を追加、削除、表示する」を参照してください。
この記事は、Office 2013 のセキュリティのガイドに含まれています。このロードマップは、Office 2013のセキュリティの評価に役立つ記事、ダウンロード、ポスター、ビデオなどを参照する際の出発点として使用します。 個々の Office 2013 アプリケーションのセキュリティ情報をお探しの場合は、Office.com で "2013 セキュリティ" を検索してください。 |
この記事の内容
Office 2013 で信頼できる発行元の設定を計画する
既知の発行者から証明書を入手する
信頼できる発行元の一覧に追加すべき証明書を決定する
Office 2013 の信頼できる発行元に関連した設定
Office 2013 で信頼できる発行元の設定を計画する
発行者を信頼できる発行元として指定するには、その発行者の証明書を信頼できる発行元の一覧に追加する必要があります。この場合の発行者の証明書とは、発行者が発行するコンテンツにデジタル署名するときに使用したデジタル証明書 (.cer ファイル) です。通常、 .cer ファイルは、発行者から入手することも、発行済みコンテンツに関連付けられた .cab、 .dll、 .exe、 .ocx ファイルからエクスポートすることもできます。組織で使用している発行済みコンテンツが不明の場合は、組織の Office 2013 アプリケーションを使用して動作している他の発行済みコンテンツを確認し、その証明書を入手してください。
発行者の証明書を信頼できる発行元の一覧に追加するために、Office カスタマイズ ツール (OCT) とグループ ポリシーという 2 種類の方法を使用できます。OCT の設定は、信頼する発行者の証明書を信頼する発行元の一覧に追加するだけで、他に証明書を管理するための設定はありません。証明書の信頼性を管理したい場合、または、ビジネス シナリオを満たすために特定の信頼関係を築きたい場合は、グループ ポリシーを使用する必要があります。信頼できる発行者を信頼できる発行元の一覧へ追加する方法と、信頼されたルート証明書の管理方法については、「信頼されたルート証明書を管理する」と「信頼された発行元を管理する」を参照してください。
既知の発行者から証明書を入手する
多くの場合、発行済みコンテンツの証明書は発行者に依頼して送付してもらいます。 この方法で証明書を入手できなくても、発行済みコンテンツを含むデジタル署名付きの .cab、 .dll、 .exe、 .ocx ファイルの名前がわかっている場合は、以下の手順に従って証明書ファイルをエクスポートすることができます。
注意
すべての Office 2013 スイート で、マウス、キーボード ショートカット、またはタッチを使用してタスクを実行できます。Office 製品およびサービスでキーボード ショートカットとタッチを使用する方法については、「キーボード ショートカット」と「Office タッチ ガイド」を参照してください。
重要
この手順を使用するには、コンピューターが Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 オペレーティング システムを実行している必要があります。
.dll ファイルから証明書をエクスポートするには
発行者が署名したファイルを選択して、そのショートカット メニュー (右クリック) を開いてから、[プロパティ] を選択します。
[デジタル署名] タブを選択します。
[署名の一覧] で、証明書を選択してから、[詳細] を選択します。
[デジタル署名の詳細] ダイアログ ボックスで、[証明書の表示] を選択します。
[詳細] タブを選択してから、[ファイルへコピー] を選択します。
Certificate Explore Wizard (証明書探索ウィザード) のウェルカム ページで、[次へ] を選択します。
[エクスポート ファイルの形式] ページで、[DER encoded binary X.509 (.CER)] を選択してから、[次へ] を選択します。
[エクスポートするファイル] ページで、 .cer ファイルのパス名と名前を入力して、[次へ] を選択してから、[完了] を選択します。
インストール時に、クライアント コンピューターからアクセス可能なネットワーク共有にすべての .cer ファイルが保存されたことを確認します。
信頼できる発行元の一覧に追加すべき証明書を決定する
組織で発行済みコンテンツが使用されているかどうかがわからない場合や信頼できる発行元の一覧に追加すべき発行済みコンテンツがわからない場合があります。これは、環境が厳しく制限されており、すべての発行済みコンテンツに署名が必要な場合にのみ適用されます。以下の手順を使用して、Office 2013 アプリケーションのデジタル署名されたコンテンツを調べることができます。
発行済みコンテンツを特定して、コンテンツ発行者を信頼できる発行元の一覧に追加するには
テスト コンピューター、または、組織の標準構成 (ユーザーに必要なアドインを含む) を実行しているクライアント コンピューターで、次のようにして、セキュリティ センターの [アプリケーション アドインに対し、信頼できる発行元の署名を必須にする] 設定を有効にします。
[ファイル] タブをクリックします。
[オプション] を選択します。
[セキュリティ センター] を選択します。
[セキュリティ センターの設定] を選択します。
[アドイン] を選択します。
[アプリケーション アドインに対し、信頼できる発行元の署名を必須にする] を選択します。
[OK] を選択します。
Office アプリケーションを終了して再起動します。アドインがインストールされている場合は、メッセージ バーに、[セキュリティ警告 一部のアクティブ コンテンツが無効にされました。クリックすると詳細が表示されます] というメッセージが表示されます。
メッセージ バーで、[一部のアクティブ コンテンツが無効にされました。クリックすると詳細が表示されます] を選択します。
[ファイル] タブを選択して、バックスペース ビューで、[コンテンツの有効化] を選択してから、[詳細オプション] を選択します。
[セキュリティの警告 - 複数の問題] ダイアログ ボックスで、有効なデジタル署名を表示するアドインごとに以下の手順を使って証明書を信頼できる発行元の一覧にインストールします。
[署名の詳細を表示] を選択します。
[デジタル署名の詳細] ウィンドウで、[証明書の表示] を選択します。
[証明書] ウィンドウで、[証明書のインストール] を選択します。
証明書のインポート ウィザードで、[次へ]、[証明書をすべて次のストアに配置する]、[参照]、[信頼できる発行元]、[OK]、[次へ]、[完了] の順に選択します。
配布用の証明書ファイルを次のように準備します。
[ファイル] タブを選択して、[オプション]、[セキュリティ センター]、[セキュリティ センターの設定]、[信頼できる発行元] の順に選択します。
証明書を 1 つずつ選択し、 [表示] を選択してから次の手順に従ってください。
[証明書] ウィンドウの [詳細] タブで、[ファイルへコピー] を選択します。
証明書のエクスポート ウィザードで、[次へ] を選択してから、もう一度 [次へ] を選択して既定のファイル形式を受け入れ、ファイル名を入力して、ファイルの保存場所を選択してから、[完了] を選択します。
Office 2013 の信頼できる発行元に関連した設定
多くの場合、以下のグループ ポリシーとセキュリティ センターの設定が信頼できる発行元の設定と一緒に使用されます。
- アプリケーション アドインには信頼できる発行元による署名が必要
この設定は、アドインを信頼できる発行元が署名したものだけに制限します。これはアプリケーションごとに設定します。
- 署名されていないアプリケーション アドインに関するセキュリティ バーの通知を無効にして、ブロックする
この設定は、信頼できる発行元が署名していないアドインに関するメッセージ バー警告を表示しないようにします。これはアプリケーションごとに設定します。
- VBA マクロ通知設定
この設定は、VBA マクロを信頼できる発行元が署名したものだけに制限します。これはアプリケーションごとに設定します。
- すべての ActiveX を無効にする
この設定は、ActiveX コントロールを信頼できる発行元が署名したものだけに制限します。これはアプリケーション単位ではなく、グローバルに設定します。
注意
ポリシー設定に関する最新情報については、Office 2013 管理用テンプレート ファイルに含まれている Excel 2013 ブックの Office2013GroupPolicyAndOCTSettings_Reference.xlsx を参照してください。詳細については、「Office 2013 のグループ ポリシー管理用テンプレート ファイル (ADMX/ADML) および Office カスタマイズ ツール (OCT) ファイル」の TechNet の記事を参照してください。
関連項目
Office 2013 のセキュリティのガイド
Office 2013 のセキュリティの概要
OCT またはグループ ポリシーを使用した Office 2013 のセキュリティの構成
セキュリティの脅威と Office 2013 のセキュリティ対策を理解する
Office 2013 の信頼できる場所の設定の計画および構成