Office ソリューションのセキュリティ保護
Office ソリューションのセキュリティ モデルは複数のテクノロジが含まれています: Visual Studio Tools for Office Runtime、ClickOnceの Microsoft Office と Internet Explorer の制限付きサイト ゾーンのセキュリティ センター。次のセクションでは、さまざまなセキュリティ機能のしくみについて説明します:
Office ソリューションへの信頼の付与
ドキュメントへの信頼の付与
Windows インストーラー使用時の信頼の付与
Office ソリューションに固有のセキュリティに関する考慮事項
開発時のセキュリティ
Visual Studio Tools for Office ランタイム
対象: このトピックの情報は、Office 2013 および Office 2010 のドキュメント レベルのプロジェクトおよびアプリケーション レベルのプロジェクトに適用されます。詳細については、「Office アプリケーションおよびプロジェクト タイプ別の使用可能な機能」を参照してください。
Office ソリューションへの信頼の付与
Office ソリューションへの信頼の付与とは、以下の証拠に基づいて Office ソリューションを信頼するように各エンド ユーザーのセキュリティ ポリシーを変更することを意味します。
配置マニフェストへの署名に使用する証明書
配置マニフェストの URL
詳細については、「Office ソリューションへの信頼の付与」を参照してください。
ドキュメントへの信頼の付与
ドキュメント レベルのカスタマイズでは、ドキュメントを信頼できる場所として指定されたディレクトリに置く必要があります。詳細については、「ドキュメントへの信頼の付与」を参照してください。
Windows インストーラー使用時の信頼の付与
Windows インストーラーを使用して MSI ファイルを作成すると、Program Files ディレクトリに Office ソリューションをインストールできますが、これには管理者権限が必要です。Program Files ディレクトリ内の Office ソリューションでは、Office ランタイムの Visual Studio 2010 Tools は、これらの Office ソリューションが信頼されていると見なされるため、ClickOnce 信頼プロンプトが表示されません。
Office ソリューションに固有のセキュリティに関する考慮事項
.NET Framework 4、.NET Framework 4.5および Microsoft Office に用意されているセキュリティ機能は、Office ソリューションの、さまざまなセキュリティの脅威に対して保護に役立てることができます。詳細については、「Office ソリューションに固有のセキュリティに関する考慮事項」を参照してください。
開発時のセキュリティ
Visual Studio では、開発プロセスを容易にするために、プロジェクトをビルドするたびにソリューションの実行およびデバッグに必要なセキュリティ ポリシーが設定されます。場合によっては、プロジェクトの開発時に追加のセキュリティ設定が必要になります。
ドキュメント レベルのソリューション
次の種類のプロジェクトを開発する場合は、Microsoft Office アプリケーションの信頼できる場所の一覧にドキュメントの絶対パスを追加する必要があります。
\\servername\sharename などのネットワーク ファイル共有にあるドキュメント レベルのドキュメント
.doc ファイルまたは .docm ファイルを使用する Word 用のドキュメント レベルのソリューション
ドキュメントの場所を信頼できる場所の一覧に追加するときにサブディレクトリを含めるオプションを選択するか、デバッグ用のフォルダーとビルド用のフォルダーそれ自体を追加します。ドキュメントを信頼できる場所の一覧に追加する方法の詳細については、Microsoft Office オンライン ヘルプの「ファイルに対して信頼できる場所を作成、削除、変更する」を参照してください。
一時的な証明書
Visual Studio では、既存の署名証明書がない場合、一時的な証明書が作成されます。一時的な証明書は開発時のみ使用し、配置には正式な証明書を購入する必要があります。
一時的な証明書は、Office プロジェクトを最初にビルドした後に生成されます。証明書を追加すると、プロジェクトが変更ありとマークされるため、次に F5 キーを押したときにはプロジェクトが再ビルドされます。
時間の経過と共に多くの一時的な証明書が生成される可能性があるため、一時的な証明書を随時クリアする必要があります。
Visual Studio Tools for Office ランタイム
Visual Studio Tools for Office Runtime には、発行者の ID とカスタマイズに付与されたアクセス許可を確認する機能があります。アクセス許可を確認するときには、一連のセキュリティ チェックが実行されます。
カスタマイズの読み込み時のセキュリティ
ドキュメント レベルのカスタマイズを読み込むときには、必ず Visual Studio Tools for Office Runtime によってドキュメントが信頼できる場所の一覧に含まれているかどうかがチェックされます。また、ソリューションがアプリケーション マニフェストに FullTrust が必要かどうかをチェックします。カスタマイズの読み込み中に追加のセキュリティ チェックは行われません。
インストール時のセキュリティ チェックの順序
Office ソリューションをインストールまたは更新するときには、Visual Studio Tools for Office Runtime が一連のセキュリティ チェックを所定の順序で実行し、信頼の決定を行います。ソリューションのインストールまたは更新は、ソリューションが信頼されていると確認された場合のみ実行されます。
インストール プロセスを開始するには、セットアップ プログラムの実行、配置マニフェストを開く操作、Microsoft Office アプリケーション ホストを開く操作、VSTOInstaller.exe の実行という 4 つの方法があります。
最初のセキュリティ チェックはドキュメント レベルのソリューションのみが対象となります。ドキュメント レベルのソリューションのドキュメントは、信頼できる場所に置く必要があります。ドキュメントがリモート ネットワーク ファイル共有にあるか、ファイルの拡張子が .doc または .docm である場合は、そのドキュメントの場所を信頼できる場所の一覧に追加する必要があります。詳細については、「ドキュメントへの信頼の付与」を参照してください。
Microsoft Office によるセキュリティ チェック
次に、Visual Studio Tools for Office Runtime と ClickOnce によって一連のセキュリティ チェックが実行されます。これらのチェックに合格するためには、Office ソリューションが FullTrust アクセス許可を要求し、信頼されない発行元の一覧に含まれていない証明書で署名されていて、Internet Explorer の制限付きサイト ゾーン以外の場所にあることが必要です。証明書が信頼された発行者の一覧に含まれている場合、ソリューションは直ちにインストールされます。そうでない場合は、いずれかのチェックで不合格とならなければ、最後のチェックに進みます。
ランタイムと ClickOnce によるセキュリティ チェック
ClickOnce 信頼プロンプトの表示が許可されていて、ソリューションに信頼が付与されていない場合は、エンド ユーザーが信頼の決定を行うことができます。ユーザーがソリューションに信頼を付与すると、そのユーザーの信頼のリストにエントリが追加されます。ユーザーの信頼のリストに追加されたソリューションは、完全に信頼されているため、インストールおよび実行が可能です。
Visual Studio 2010 以降では、Windows インストーラー (MSI) を使用して Office ソリューションを Program Files ディレクトリにインストールすると、信頼のリストがバイパスされます。詳細については、「信頼のリストによる Office ソリューションへの信頼の付与」を参照してください。
ランタイムによる信頼のリストのチェック
参照
処理手順
Office ソリューションのセキュリティのトラブルシューティング
関連項目
Office ソリューション用アプリケーション マニフェスト
概念
信頼のリストによる Office ソリューションへの信頼の付与