インターネットからのマクロは、Office では既定でブロックされます

VBA マクロは、悪意のあるアクターがマルウェアやランサムウェアを展開するための一般的な方法です。 そのため、Office のセキュリティを向上させるために、インターネットからファイル内のマクロをブロックするように Office アプリケーションの既定の動作を変更しています。

この変更により、ユーザーがインターネットから送信されたファイル (電子メールの添付ファイルなど) を開き、そのファイルにマクロが含まれている場合、次のメッセージが表示されます。

[詳細情報] ボタンを使用したブロックされたマクロに関するセキュリティ リスク バナー

[ 詳細情報] ボタンは、マクロを使用した悪意のあるアクターのセキュリティ リスク、フィッシングやマルウェアを防ぐための安全なプラクティス、およびこれらのマクロを有効にする方法 (絶対に必要な場合) の手順を含む エンド ユーザーとインフォメーション ワーカー向けの記事 に移動します。

場合によっては、ファイルが信頼されていると識別されていないイントラネット内の場所からのファイルである場合にも、メッセージが表示されます。 たとえば、ユーザーが共有の IP アドレスを使用してネットワーク共有上のファイルにアクセスしている場合です。 詳細については、「 ネットワーク共有または信頼された Web サイト上に一元的に配置されたファイル」を参照してください。

重要

この変更が導入される前でも、組織はインターネット ポリシーから Office ファイルでマクロを実行できないようにブロック マクロ を使用して、ユーザーが誤ってマクロを含むインターネットからファイルを開くのを防ぐことができます。 このポリシーは、Microsoft 365 Apps for enterpriseのセキュリティ ベースラインの一部として有効にすることをお勧めします。 ポリシーを構成した場合、組織はこの既定の変更の影響を受けることはありません。

詳細については、「 ポリシーを使用して Office がマクロを処理する方法を管理する」を参照してください。

この変更に備える

この変更に備えて、イントラネット ネットワーク共有やイントラネット Web サイトなどの場所から開かれた Office ファイルのマクロを使用する組織内の部署と連携することをお勧めします。 これらのマクロを特定し、それらのマクロを引き続き使用 するために実行する手順 を決定します。 また、これらの場所から Office ファイルにマクロを提供する独立系ソフトウェア ベンダー (ISV) と連携することもできます。 たとえば、コードにデジタル署名できるかどうかを確認し、信頼できる発行元として扱うことができます。

また、次の情報も確認してください。

準備アクション 詳細
各更新チャネルのどのバージョンにこの変更が加わるかを理解する この変更の影響を受ける Office のバージョン
ファイルでマクロを実行するかどうかを判断するために Office が実行するプロセスのフローチャートを確認する インターネットからファイルでマクロを実行するかどうかを Office が判断する方法
Readiness Toolkit を使用してブロックされる可能性がある VBA マクロを使用してファイルを識別する Readiness Toolkit を使用して、ブロックされる可能性がある VBA マクロを含むファイルを識別する
VBA マクロの実行を制御するために使用できるポリシーについて説明します ポリシーを使用して Office がマクロを処理する方法を管理する

信頼できるファイルで VBA マクロを実行できるようにするための手順

信頼できるファイルでの VBA マクロの実行を許可する方法は、それらのファイルの場所やファイルの種類によって異なります。

次の表に、VBA マクロのブロックを解除して実行できるようにするためのさまざまな一般的なシナリオと考えられる方法を示します。 特定のシナリオで考えられるすべてのアプローチを実行する必要はありません。 複数のアプローチを一覧表示した場合は、組織に最も適したアプローチを選択します。

シナリオ 考えられる取り組み
個々のファイル
• ファイルの [プロパティ] ダイアログの [全般] タブの [ブロック解除] チェック ボックスをオンにする
• PowerShell で ブロック解除ファイル コマンドレットを使用する

詳細については、「 ファイルから Web のマークを削除する」を参照してください。
ネットワーク共有または信頼できる Web サイトに一元的に配置されたファイル [個々のファイル] に記載されている方法を使用して、ファイルのブロックを解除します。

[ ブロック解除 ] チェック ボックスが表示されず、そのネットワークの場所にあるすべてのファイルを信頼する場合:
• 場所を信頼済みサイトとして指定する
場所をローカル イントラネット ゾーンに追加する

詳細については、「 ネットワーク共有または信頼された Web サイト上に一元的に配置されたファイル」を参照してください。
OneDrive または SharePoint に格納されているファイル (Teams チャネルで使用されるサイトを含む) • [ デスクトップ アプリで開く ] オプションを使用して、ユーザーがファイルを直接開く
•ユーザーがファイルを開く前にローカルにダウンロードした場合は、ファイルのローカルコピーからWebのマークを削除します (「個々のファイル」のアプローチを参照してください)
• 場所を信頼済みサイトとして指定する

詳細については、「 OneDrive または SharePoint 上のファイル」を参照してください。
Word、PowerPoint、Excel 用のマクロ対応テンプレート ファイル テンプレート ファイルがユーザーのデバイスに格納されている場合:
• テンプレート ファイルから Web のマークを削除します (「個々のファイル」のアプローチを参照してください)
• テンプレート ファイルを信頼できる場所に保存する

テンプレート ファイルがネットワーク上の場所に格納されている場合:
• デジタル署名を使用し、発行元を信頼する
• テンプレート ファイルを信頼する (「ネットワーク共有または信頼された Web サイトに一元的に配置されたファイル」のアプローチを参照してください)

詳細については、「Word、 PowerPoint、Excel のマクロ対応テンプレート ファイル」を参照してください。
PowerPoint 用のマクロ対応アドイン ファイル • アドイン ファイルから Web のマークを削除する
• デジタル署名を使用し、発行元を信頼する
• アドイン ファイルを信頼できる場所に保存する

詳細については、「 PowerPoint と Excel 用のマクロ対応アドイン ファイル」を参照してください。
Excel のマクロ対応アドイン ファイル • アドイン ファイルから Web のマークを削除する
• アドイン ファイルを信頼できる場所に保存する

詳細については、「 PowerPoint と Excel 用のマクロ対応アドイン ファイル」を参照してください。
信頼された発行元によって署名されたマクロ [推奨] 信頼された発行元のパブリック コード署名証明書をユーザーに展開し、ユーザーが信頼された発行元自体を追加できないようにします。
• ファイルから Web のマークを削除し、ユーザーにマクロの発行元を信頼された発行元として追加させます。

詳細については、「 信頼された発行元によって署名されたマクロ」を参照してください。
ユーザーのデバイス上のフォルダーに保存されたファイルのグループ フォルダーを信頼できる場所に指定する

詳細については、「 信頼できる場所」を参照してください。

この変更の影響を受ける Office のバージョン

この変更は、Windows を実行しているデバイス上の Office にのみ影響し、Access、Excel、PowerPoint、Visio、Word の各アプリケーションにのみ影響します。

次の表は、この変更が各更新チャネルで使用可能になったタイミングを示しています。

更新プログラム チャネル バージョン 日付
最新機能提供チャネル (プレビュー) バージョン 2203 2022 年 4 月 12 日にロールアウトを開始しました
最新チャネル バージョン 2206 2022 年 7 月 27 日にロールアウトを開始しました
月次エンタープライズ チャネル バージョン 2208 2022 年 10 月 11 日
半期エンタープライズ チャネル (プレビュー) バージョン 2208 2022 年 10 月 11 日
半期エンタープライズ チャネル バージョン 2208 2023 年 1 月 10 日

この変更は、Mac の Office、Android または iOS デバイス上の Office、またはOffice on the webには影響しません。

インターネットからファイルでマクロを実行するかどうかを Office が判断する方法

次のフローチャート図は、Office がインターネットからファイル内でマクロを実行するかどうかを決定する方法を示しています。

インターネットからファイルでマクロを実行するかどうかを Office が判断する方法を示すフローチャート

次の手順では、Excel アドイン ファイルを除くフローチャート グラフィックの情報について説明します。 これらのファイルの詳細については、「 PowerPoint と Excel 用のマクロ対応アドイン ファイル」を参照してください。 また、ローカル イントラネット ゾーンに存在しない、または信頼されたサイトではないネットワーク共有上にファイルがある場合、そのファイル内のマクロはブロックされます。

  1. ユーザーは、インターネットから取得したマクロを含む Office ファイルを開きます。 たとえば、電子メールの添付ファイルなどです。 ファイルには Mark of the Web (MOTW) があります。

注:

  • Web のマークは、インターネットや制限付きゾーンなどの信頼されていない場所のファイルに Windows によって追加されます。 たとえば、ブラウザーのダウンロードや電子メールの添付ファイルなどです。 詳細については、「 Web とゾーンのマーク」を参照してください。
  • Web のマークは NTFS ファイル システムに保存されたファイルにのみ適用され、FAT32 形式のデバイスに保存されたファイルには適用されません。
  1. ファイルが信頼できる場所からのファイルの場合は、マクロが有効になっている状態でファイルが開きます。 ファイルが信頼できる場所からでない場合、評価は続行されます。

  2. マクロがデジタル署名されていて、一致する信頼された発行元証明書がデバイスにインストールされている場合、マクロが有効になっている状態でファイルが開きます。 そうでない場合は、評価が続行されます。

  3. マクロが許可されているかブロックされているかを確認するために、ポリシーがチェックされます。 ポリシーが [未構成] に設定されている場合、評価は手順 6 に進みます。

  4. (a) マクロがポリシーによってブロックされている場合、マクロはブロックされます。
    (b) マクロがポリシーによって有効になっている場合は、マクロが有効になります。

  5. 既定の動作でこの変更が行われる前に、ユーザーが以前にファイルを開き、[信頼バーから コンテンツを有効にする] を 選択していた場合、ファイルが信頼されていると見なされるため、マクロが有効になります。

注:

  1. この手順では、Office の既定の動作に対する変更が有効になります。 この変更により、インターネットからファイル内のマクロがブロックされ、ファイルを開くとユーザーに セキュリティ リスク バナーが表示されます。

注:

以前は、既定の動作でこの変更が行われる前に、 アプリは VBA マクロ通知設定 ポリシーが有効になっているかどうかと、その構成方法を確認していました。

ポリシーが [無効] または [未構成] に設定されている場合、アプリは [ファイル>オプション>セキュリティ センターのセキュリティ センター>の設定]の下の設定を確認します。>マクロ設定。 既定値は "通知を使用してすべてのマクロを無効にする" に設定されています。これにより、ユーザーはトラスト バーのコンテンツを有効にすることができます。

信頼できるファイルで VBA マクロを実行できるようにする方法に関するガイダンス

ファイルから Web のマークを削除する

インターネットの場所からダウンロードしたファイルや、ユーザーがローカル デバイスに保存した電子メールの添付ファイルなど、個々のファイルの場合、マクロのブロックを解除する最も簡単な方法は、Web のマークを削除することです。 削除するには、ファイルを右クリックし、[プロパティ] を選択し、[全般] タブの [ブロック解除] チェック ボックスをオンにします。

ブロック解除の選択を示す [ファイルのプロパティ] ダイアログ

注:

  • 通常、ネットワーク共有上のファイルの場合、マクロがブロックされているファイルの [ブロック解除 ] チェック ボックスがユーザーに表示されない場合があります。 このような場合は、「 ネットワーク共有または信頼できる Web サイト上に一元的に配置されたファイル」を参照してください。
  • ネットワーク共有上のファイルに対して [ブロック解除 ] チェック ボックスを使用できる場合でも、共有が インターネット ゾーンにあると見なされた場合、このチェック ボックスをオンにしても効果はありません。 詳細については、「 Web とゾーンのマーク」を参照してください。

PowerShell の ブロック解除ファイル コマンドレットを使用して、ファイルから ZoneId 値を削除することもできます。 ZoneId 値を削除すると、VBA マクロを既定で実行できます。 コマンドレットを使用すると、ファイルの [プロパティ] ダイアログの [全般] タブの [ブロック解除] チェック ボックスをオンにした場合と同じ処理が実行されます。 ZoneId 値の詳細については、「 Web とゾーンのマーク」を参照してください。

ネットワーク共有または信頼できる Web サイトに一元的に配置されたファイル

ユーザーが信頼できる Web サイトまたは内部ファイル サーバーからファイルにアクセスする場合は、次のいずれかの手順を実行して、それらの場所のマクロがブロックされないようにすることができます。

  • 場所を信頼済みサイトとして指定する
  • ネットワークの場所がイントラネット上にある場合は、 ローカル イントラネット ゾーンに場所を追加します

注:

  • 信頼できるサイトとして何かを追加すると、Office に関連しないシナリオに対してサイト全体に昇格されたアクセス許可も付与されます。
  • ローカル イントラネット ゾーンのアプローチでは、そのゾーンに新しい場所を追加するのではなく、ローカル イントラネット ゾーンの一部と見なされている場所にファイルを保存することをお勧めします。
  • 一般に、信頼されたサイトは 、ローカル イントラネット ゾーンと比較してセキュリティが強化されているため、使用することをお勧めします。

たとえば、ユーザーが IP アドレスを使用してネットワーク共有にアクセスしている場合、ファイル共有が 信頼済みサイト または ローカル イントラネット ゾーンに存在しない限り、それらのファイル内のマクロはブロックされます。

ヒント

  • 信頼済みサイトの一覧またはローカル イントラネット ゾーンの内容を表示するには、[コントロール パネル>Internet オプション] [Windows デバイスのセキュリティ設定を変更する] > の順に移動します。
  • 個々のファイルが信頼されたサイトまたはローカル イントラネットの場所からのファイルであるかどうかを確認するには、「 Web とゾーンのマーク」を参照してください。

たとえば、信頼済みサイトの一覧に FQDN または IP アドレスを追加することで、ファイル サーバーまたはネットワーク共有を信頼済みサイトとして追加できます。

[信頼済みサイト] ダイアログ

http:// またはネットワーク共有で始まる URL を追加する場合は、 サーバーの検証が必要 (https:) をクリアします。このゾーンのすべてのサイトの チェックボックスをオンにします。

重要

これらの場所のファイルではマクロがブロックされないため、これらの場所は慎重に管理する必要があります。 これらの場所にファイルを保存できるユーザーを制御してください。

グループ ポリシーポリシーと [サイト間割り当てリスト] ポリシーを使用して、信頼されたサイトとして、または組織内の Windows デバイスのローカル イントラネット ゾーンに場所を追加できます。 このポリシーは、グループ ポリシー管理コンソールの Windows コンポーネント\Internet Explorer\Internet コントロール パネル\Security Page にあります。 コンピューターの構成\ポリシー\管理用テンプレートとユーザー構成\ポリシー\管理用テンプレートの両方で使用できます。

OneDrive または SharePoint 上のファイル

  • ユーザーが Web ブラウザーを使用して OneDrive または SharePoint 上のファイルをダウンロードした場合、Windows インターネット セキュリティ ゾーン (コントロール パネル>Internet Options>Security) の構成によって、ブラウザーが Web のマークを設定するかどうかを決定します。 たとえば、Microsoft Edge では、Web のマークがインターネット ゾーンからのと判断された場合、ファイルに設定されます。

  • ユーザーが OneDrive Web サイトまたは SharePoint サイト (Teams チャネルで使用されるサイトを含む) から開いたファイルで [デスクトップ アプリで開く ] を選択した場合、ファイルには Mark of the Web は含まれません。

  • ユーザーが OneDrive 同期 クライアントを実行していて、同期クライアントがファイルをダウンロードした場合、ファイルに Mark of the Web は含まれません。

  • Windows の既知のフォルダー (デスクトップ、ドキュメント、画像、スクリーンショット、カメラ ロール) にあり、OneDrive に同期されているファイルには、Web のマークがありません。

  • マクロをブロックせずに OneDrive または SharePoint のファイルを使用する必要があるユーザーのグループ (財務部門など) がある場合は、次のようなオプションが考えられます。

    • [ デスクトップ アプリで開く ] オプションを使用してファイルを開いさせる

    • ファイルを信頼できる場所にダウンロードさせる。

    • OneDrive または SharePoint ドメインの Windows インターネット セキュリティ ゾーンの割り当てを信頼済みサイトに設定します。 管理者は、"サイトからゾーンへの割り当てリスト" ポリシーを使用し、(SharePoint の場合) または https://{your-domain-name}-my.sharepoint.com (OneDrive の場合) 信頼済みサイト ゾーンに配置https://{your-domain-name}.sharepoint.comするようにポリシーを構成できます。

      • このポリシーは、グループ ポリシー管理コンソールの Windows コンポーネント\Internet Explorer\Internet コントロール パネル\Security Page にあります。 コンピューターの構成\ポリシー\管理用テンプレートとユーザー構成\ポリシー\管理用テンプレートの両方で使用できます。

      • SharePoint のアクセス許可と OneDrive 共有は、これらの場所を信頼済みサイトに追加することで変更されません。 アクセス制御の維持は重要です。 SharePoint にファイルを追加するアクセス許可を持つユーザーは、マクロなどのアクティブなコンテンツを含むファイルを追加できます。 信頼済みサイト ゾーン内のドメインからファイルをダウンロードするユーザーは、マクロをブロックする既定の設定をバイパスします。

Word、PowerPoint、Excel 用のマクロ対応テンプレート ファイル

インターネットからダウンロードされた Word、PowerPoint、Excel のマクロ対応テンプレート ファイルには、Web のマークが付きます。 たとえば、次の拡張子を持つテンプレート ファイルです。

  • 。ドット
  • .dotm
  • 。ポット
  • .potm
  • .xlt
  • .xltm

ユーザーがマクロが有効なテンプレート ファイルを開くと、ユーザーはテンプレート ファイル内のマクロの実行をブロックされます。 ユーザーがテンプレート ファイルのソースを信頼している場合は、テンプレート ファイルから Web のマークを削除し、Office アプリでテンプレート ファイルをもう一度開くことができます。

マクロがブロックされずにマクロが有効なテンプレートを使用する必要があるユーザーのグループがある場合は、次のいずれかのアクションを実行できます。

  • デジタル署名を使用し、発行元を信頼します。
  • デジタル署名を使用していない場合は、テンプレート ファイルを 信頼できる場所 に保存し、ユーザーにその場所からテンプレート ファイルを取得させることができます。

PowerPoint および Excel 用のマクロ対応アドイン ファイル

インターネットからダウンロードされた PowerPoint と Excel のマクロ対応アドイン ファイルには、Web のマークが付きます。 たとえば、次の拡張子を持つアドイン ファイルです。

  • 。Ppa
  • .ppam
  • 。Xla
  • .xlam

ユーザーがマクロ対応アドインをインストールしようとすると、ファイル>オプション> アドインを使用するか、[開発者] リボンを使用して、アドインが無効な状態で読み込まれ、アドインの使用がブロックされます。 ユーザーがアドイン ファイルのソースを信頼している場合は、アドイン ファイルから Web のマークを削除してから、PowerPoint または Excel を再度開いてアドインを使用できます。

マクロをブロックせずにマクロが有効なアドイン ファイルを使用する必要があるユーザーのグループがある場合は、次のアクションを実行できます。

PowerPoint アドイン ファイルの場合:

  • .ppa または .ppam ファイルから Web のマークを削除します。
  • デジタル署名を使用し、発行元を信頼します。
  • ユーザーが取得する 信頼できる場所 にアドイン ファイルを保存します。

Excel アドイン ファイルの場合:

  • .xla または .xlam ファイルから Web のマークを削除します。
  • ユーザーが取得する 信頼できる場所 にアドイン ファイルを保存します。

注:

デジタル署名を使用して発行元を信頼しても、Mark of the Web を持つ Excel アドイン ファイルでは機能しません。 この動作は、Web のマークを持つ Excel アドイン ファイルでは新しい動作ではありません。 これは、以前のセキュリティ強化作業 (Microsoft セキュリティ情報 MS16-088 に関連) の結果として、2016 年からこのように機能しています。

信頼された発行元によって署名されたマクロ

マクロが署名されていて、証明書を検証し、ソースを信頼している場合は、そのソースを信頼された発行元にすることができます。 可能であれば、ユーザーの信頼できる発行元を管理することをお勧めします。 詳細については、「 Office ファイルの信頼された発行元」を参照してください。

ユーザーの数が少ない場合は、 ファイルから Web のマークを削除 し、 マクロのソースを信頼できる発行元として デバイスに追加できます。

警告

  • 同じ証明書で有効に署名されたすべてのマクロは、信頼された発行元からのマクロとして認識され、実行されます。
  • 信頼された発行元は、Office 固有の設定だけでなく Windows 全体の設定であるため、信頼された発行元を追加すると、Office に関連するもの以外のシナリオに影響する可能性があります。

信頼できる場所

インターネットからユーザーのデバイス上の信頼できる場所にファイルを保存すると、[Web のマーク] チェックが無視され、VBA マクロが有効になっている状態で開きます。 たとえば、基幹業務アプリケーションでは、マクロを含むレポートを定期的に送信できます。 マクロを含むファイルが信頼できる場所に保存されている場合、ユーザーはファイルの [プロパティ ] に移動する必要はありません。マクロの実行を許可するには、[ ブロック解除 ] を選択します。

信頼できる場所に保存されたファイルではマクロがブロックされないため、信頼できる場所を慎重に管理し、慎重に使用する必要があります。 ネットワークの場所は信頼できる場所として設定することもできますが、推奨されません。 詳細については、「 Office ファイルの信頼できる場所」を参照してください。

Web のマークに関する追加情報

Web と信頼されたドキュメントのマーク

Windows を実行しているデバイスにファイルをダウンロードすると、Web のマークがファイルに追加され、そのソースがインターネットからのものとして識別されます。 現時点では、ユーザーが Web のマークを含むファイルを開くと、[コンテンツを有効にする] ボタンを含むセキュリティ警告バナーが表示されます。 ユーザーが [コンテンツの有効化] を選択した場合、ファイルは信頼できるドキュメントと見なされ、マクロの実行が許可されます。 ファイルは信頼できるドキュメントと見なされるため、インターネットからファイル内のマクロをブロックする既定の動作の変更が実装された後でも、マクロは引き続き実行されます。

インターネットからファイル内のマクロをブロックする既定の動作が変更されると、インターネットからマクロを含むファイルを初めて開くと、別のバナーが表示されます。 この セキュリティ リスク バナーには、[ コンテンツを有効にする] オプションはありません。 ただし、ユーザーはファイルの [プロパティ ] ダイアログに移動し、[ ブロック解除] を選択できます。これにより、ポリシーまたはセキュリティ センターの設定がブロックされていない限り、ファイルから Web のマークが削除され、マクロの実行が許可されます。

Web とゾーンのマーク

既定では、Web のマークは 、インターネット または 制限付きサイト ゾーンからのファイルにのみ追加されます。

ヒント

Windows デバイスでこれらのゾーンを表示するには、[コントロール パネル>][インターネット オプション][セキュリティ設定の変更] の順に移動します>。

コマンド プロンプトで次のコマンドを実行し、 {name of file} をファイル名に置き換えることで、ファイルの ZoneId 値を表示できます。

notepad {name of file}:Zone.Identifier

このコマンドを実行すると、メモ帳が開き、[ZoneTransfer] セクションの下に ZoneId が表示されます。

ZoneId 値と、それらがマップするゾーンの一覧を次に示します。

  • 0 = マイ コンピューター
  • 1 = ローカル イントラネット
  • 2 = 信頼済みサイト
  • 3 = インターネット
  • 4 = 制限付きサイト

たとえば、ZoneId が 2 の場合、そのファイル内の VBA マクロは既定ではブロックされません。 ただし、ZoneId が 3 の場合、そのファイル内のマクロは既定でブロックされます。

PowerShell の Unblock-File コマンドレットを使用して、ファイルから ZoneId 値を削除できます。 ZoneId 値を削除すると、VBA マクロを既定で実行できます。 コマンドレットを使用すると、ファイルの [プロパティ] ダイアログの [全般] タブの [ブロック解除] チェック ボックスをオンにした場合と同じ処理が実行されます。

Readiness Toolkit を使用して、ブロックされる可能性がある VBA マクロを含むファイルを識別する

実行がブロックされる可能性のある VBA マクロを持つファイルを特定するには、Microsoft から無料でダウンロードできる Readiness Toolkit for Office アドインと VBA を使用できます。

Readiness Toolkit には、コマンド ラインまたはスクリプト内から実行できるスタンドアロン実行可能ファイルが含まれています。 ユーザーのデバイスで Readiness Toolkit を実行して、ユーザーのデバイス上のファイルを確認できます。 または、デバイスから実行して、ネットワーク共有上のファイルを確認することもできます。

Readiness Toolkit のスタンドアロン実行可能バージョンを実行すると、収集された情報を含む JSON ファイルが作成されます。 JSON ファイルは、ネットワーク共有などの中央の場所に保存する必要があります。 次に、準備レポート作成者を実行します。これは、準備ツールキットの UI ウィザード バージョンです。 このウィザードでは、別の JSON ファイル内の情報が Excel ファイルの形式で 1 つのレポートに統合されます。

Readiness Toolkit を使用して影響を受ける可能性があるファイルを特定するには、次の基本的な手順に従います。

  1. 最新バージョンの Readiness Toolkit を Microsoft ダウンロード センターからダウンロードします。 2022 年 6 月 14 日にリリースされたバージョン 1.2.22161 以上を使用していることを確認します。

  2. 準備ツールキットをインストールします。

  3. コマンド プロンプトから、Readiness Toolkit をインストールしたフォルダーに移動し、blockinternetscan オプションを使用して ReadinessReportCreator.exe コマンドを実行します。

    たとえば、デバイス上の c:\officefiles フォルダー (およびそのすべてのサブフォルダー) 内のファイルをスキャンし、結果を含む JSON ファイルを Server01 の Finance 共有に保存する場合は、次のコマンドを実行できます。

ReadinessReportCreator.exe -blockinternetscan -p c:\officefiles\ -r -output \\server01\finance -silent
  1. すべてのスキャンを完了したら、準備レポート作成者を実行します。
  2. [準備レポートの作成] ページで、[以前の準備結果をローカル フォルダーまたはネットワーク共有にまとめて保存] を選択し、スキャンのすべてのファイルを保存した場所を指定します。
  3. [ レポートの設定 ] ページ で、[Excel レポート] を選択し、レポートを保存する場所を指定します。
  4. Excel でレポートを開いたら、[ VBA 結果 ] ワークシートに移動します。
  5. [ ガイドライン ] 列で、 インターネットからのブロックされた VBA ファイルを探します。

Readiness Toolkit の使用の詳細については、「準備ツールキットを使用して、Microsoft 365 Appsのアプリケーションの互換性を評価する」を参照してください。

ポリシーを使用して Office がマクロを処理する方法を管理する

ポリシーを使用して、Office がマクロを処理する方法を管理できます。 インターネット ポリシーの Office ファイルでの実行をブロックするマクロを 使用することをお勧めします。 ただし、そのポリシーが組織に適していない場合、もう 1 つのオプションは VBA マクロ通知設定 ポリシーです。

これらのポリシーを展開する方法の詳細については、「ポリシーを 管理するために使用できるツール」を参照してください。

重要

ポリシーは、Microsoft 365 Apps for enterpriseを使用している場合にのみ使用できます。 ポリシーは、Microsoft 365 Apps for businessでは使用できません。

インターネットからの Office ファイルでのマクロの実行をブロックする

このポリシーは、ユーザーがインターネットからマクロを含むファイルを誤って開くのを防ぎます。 Windows を実行しているデバイスにファイルをダウンロードするか、ネットワーク共有の場所から開くと、Web のマークがインターネットから提供されたことを示すファイルに追加されます。

このポリシーは、Microsoft 365 Apps for enterpriseのセキュリティ ベースラインの一部として有効にすることをお勧めします。 ほとんどのユーザーに対してこのポリシーを有効にし、必要に応じて特定のユーザーに対してのみ例外を作成する必要があります。

5 つのアプリケーションごとに個別のポリシーがあります。 次の表は、グループ ポリシー管理コンソールの [ユーザー構成]\[ポリシー]\[管理用テンプレート] の下の各ポリシーの場所を示しています。

アプリケーション ポリシーの場所
Access Microsoft Access 2016\Application Settings\Security\Trust Center
Excel Microsoft Excel 2016\Excel のオプション\セキュリティ\セキュリティ センター
PowerPoint Microsoft PowerPoint 2016\PowerPoint オプション\セキュリティ\セキュリティ センター
Visio Microsoft Visio 2016\Visio オプション\セキュリティ\セキュリティ センター
Word Microsoft Word 2016\Word Options\Security\Trust Center

ポリシーに対して選択した状態によって、提供する保護のレベルが決まります。 次の表は、既定の動作の変更が実装される前に、各状態で取得する現在の保護レベルを示しています。

アイコン 保護レベル ポリシーの状態 説明
白いチェック マークが付いた緑の円 保護済み [推奨] Enabled ユーザーは、インターネットから取得したファイル内のマクロの実行をブロックされます。

Microsoft が推奨するセキュリティ ベースラインの一部。
白い X の赤い円 保護されていません 無効 [ファイル>オプション>セキュリティ センターのセキュリティ センター>の設定]..で構成された設定を考慮します。>マクロ設定
白い X の赤い円 保護されていません Not Configured [ファイル>オプション>セキュリティ センターのセキュリティ センター>の設定]..で構成された設定を考慮します。>マクロ設定

注:

  • このポリシーを [無効] に設定すると、マクロを使用してファイルを開くと、既定でセキュリティ警告が表示されます。 この警告は、マクロが無効になっていることをユーザーに知らせますが、[ コンテンツを有効にする] ボタンを選択してマクロを実行できるようになります。
  • この警告は、マクロをブロックするために実装しているこの最近の変更の前に、ユーザーが以前に示した警告と同じです。
  • このポリシーを [永続的に無効] に設定することはお勧めしません。 ただし、場合によっては、新しいマクロ ブロック動作が組織にどのように影響するかをテストしたり、マクロの安全な使用を許可するためのソリューションを開発したりするときに、一時的に実行することが実用的な場合があります。

既定の動作に対する変更を実装すると、ポリシーが [未構成] に設定されると、保護レベルが変更されます。

アイコン 保護レベル ポリシーの状態 説明
白いチェック マークが付いた緑の円 Protected Not Configured ユーザーは、インターネットから取得したファイル内のマクロの実行をブロックされます。

[詳細情報] ボタンが表示された [セキュリティ リスク] バナーが表示されます

VBA マクロ通知の設定

"インターネットから Office ファイルでのマクロの実行をブロックする" ポリシーを使用しない場合は、"VBA マクロ通知設定" ポリシーを使用して、Office によるマクロの処理方法を管理できます。

このポリシーは、ユーザーが悪意のあるマクロを有効にすることを防ぎます。 既定では、VBA マクロを含むファイルをブロックし、マクロが存在し、無効になっていることを警告するトラスト バーを表示するように Office が構成されています。 ユーザーは、必要に応じてファイルを検査および編集できますが、信頼バーで [コンテンツを有効にする] を選択するまで無効な機能を使用することはできません。 ユーザーが [コンテンツの有効化] を選択した場合、ファイルは信頼されたドキュメントとして追加され、マクロの実行が許可されます。

5 つのアプリケーションごとに個別のポリシーがあります。 次の表は、グループ ポリシー管理コンソールの [ユーザー構成]\[ポリシー]\[管理用テンプレート] の下の各ポリシーの場所を示しています。

アプリケーション ポリシーの場所
Access Microsoft Access 2016\Application Settings\Security\Trust Center
Excel [1] Microsoft Excel 2016\Excel のオプション\セキュリティ\セキュリティ センター
PowerPoint Microsoft PowerPoint 2016\PowerPoint オプション\セキュリティ\セキュリティ センター
Visio Microsoft Visio 2016\Visio オプション\セキュリティ\セキュリティ センター
Word Microsoft Word 2016\Word Options\Security\Trust Center

注:

  • [1] Excel の 場合、ポリシーの名前は [マクロ通知設定] です。
  • "VBA マクロ通知設定" ポリシーは、Project と Publisher でも使用できます。

ポリシーに対して選択した状態によって、提供する保護のレベルが決まります。 次の表は、各状態で取得する保護のレベルを示しています。

アイコン 保護レベル ポリシーの状態 ポリシー値
白いチェック マークが付いた緑の円 保護済み [推奨] Enabled デジタル署名マクロを除くすべてのマクロを無効にします ([信頼された発行元が署名するマクロを要求する] を選択します)。
白いチェック マークが付いた緑の円 Protected 有効 通知なしですべてを無効にする
白いチェック マークが付いたオレンジ色の円 部分的に保護 Enabled 通知ですべてを無効にする
白いチェック マークが付いたオレンジ色の円 部分的に保護 無効 ("通知ですべて無効にする" と同じ動作)
白い X の赤い円 保護されていません Enabled すべてのマクロを有効にする (推奨されません)

重要

マクロのセキュリティ保護は重要です。 マクロを必要としないユーザーの場合は、[通知なしですべて無効にする] を選択して、すべてのマクロをオフにします。

セキュリティ ベースラインの推奨事項は、次の操作を行う必要があるということです。

  • "VBA マクロ通知設定" ポリシーを有効にします。
  • マクロが必要なユーザーの場合は、[デジタル署名されたマクロを除くすべてのマクロを無効にする] を選択し、[信頼できる発行元によってマクロを署名する必要がある] を選択します。証明書は、ユーザーのデバイスに信頼できる発行元としてインストールする必要があります。

ポリシーを構成しない場合、ユーザーは [ファイル>オプション>] [セキュリティ センターのセキュリティ センター>の設定] でマクロ保護設定を構成できます。>マクロ設定

次の表は、[ マクロ設定] でユーザーが行うことができる選択肢と、各設定が提供する保護のレベルを示しています。

アイコン 保護レベル 選択した設定
白いチェック マークが付いた緑の円 Protected [デジタル署名されたマクロを除き、すべてのマクロを無効にする]
白いチェック マークが付いた緑の円 Protected [警告を表示せずにすべてのマクロを無効にする]
白いチェック マークが付いたオレンジ色の円 部分的に保護 通知を使用してすべてのマクロを無効にする (既定)
白い X の赤い円 保護されていません [すべてのマクロを有効にする (推奨しません。危険なコードが実行される可能性があります)]

注:

Excel のポリシー設定の値と製品 UI では、"all" という単語が "VBA" に置き換えられます。たとえば、"通知なしで VBA マクロを無効にする" などです。

ポリシーを管理するために使用できるツール

組織内のユーザーに対してポリシー設定を構成および展開するために使用できるツールがいくつかあります。

クラウド ポリシー

Cloud Policy を使用すると、デバイスがドメインに参加していない場合でも、組織内のデバイスにポリシー設定を構成して展開できます。 Cloud Policy は Web ベースのツールであり、Microsoft 365 Apps管理センターにあります。

Cloud Policy では、ポリシー構成を作成し、グループに割り当ててから、ポリシー構成に含めるポリシーを選択します。 含めるポリシーを選択するには、ポリシーの名前で検索できます。 クラウド ポリシーには、Microsoft 推奨セキュリティ ベースラインの一部であるポリシーも表示されます。 Cloud Policy で使用できるポリシーは、グループ ポリシー管理コンソールで使用できるのと同じユーザー構成ポリシーです。

詳細については、「 Microsoft 365 向けクラウド ポリシー サービスの概要」を参照してください。

Microsoft エンドポイント マネージャー管理センター

Microsoft エンドポイント マネージャー管理センターでは、設定カタログ (プレビュー) または管理用テンプレートを使用して、Windows 10 以降を実行しているデバイスのポリシー設定をユーザーに構成して展開できます。

作業を開始するには、[デバイス>の構成プロファイル] [プロファイル>の作成] の順に移動します。 [プラットフォーム] で、[Windows 10以降] を選択し、プロファイルの種類を選択します。

詳細については、次の記事を参照してください。

グループ ポリシー管理コンソール

Windows Server と Active Directory Domain Services (AD DS) が組織に展開されている場合は、グループ ポリシーを使用してポリシーを構成できます。 グループ ポリシーを使用するには、Office 用の最新の管理用テンプレート ファイル (ADMX/ADML) をダウンロードします。これには、Microsoft 365 Apps for enterpriseのポリシー設定が含まれています。 管理テンプレート ファイルを AD DS にコピーした後、グループ ポリシー管理コンソールを使用して、ユーザーとドメイン参加済みデバイスのポリシー設定を含むグループ ポリシー オブジェクト (GPO) を作成できます。