Office 2016 のファイルのパスワードの削除あるいはリセット

概要: Office 2016 DocRecrypt ツールを使用して、パスワードで保護された OOXML 形式の Word、Excel、PowerPoint ファイルのロックを解除する方法について説明します。

グループ ポリシーを使用して、証明書をパスワードで保護されたドキュメントに関連付けるレジストリの変更をプッシュします。 この証明書情報は、ファイル ヘッダーに埋め込まれます。 後で、パスワードを忘れた場合や紛失した場合は、DocRecrypt コマンド ライン ツールと秘密キーを使用してファイルのロックを解除し、必要に応じて新しいパスワードを割り当てます。

注意

  • Office 2016 の個人用コピーのパスワードに関する情報が必要な場合は、「パスワードでドキュメントを保護する」または「Excel ファイルを保護する」を参照してください。
  • 組織内のOffice 2016 ファイルのパスワードを削除またはリセットしようとしている IT Professionalの場合(たとえば、従業員が組織を離れ、パスワードがわからない場合)、適切な場所にいるので、読み続けてください。 |

概要: DocRecrypt ツールを使用して Office 2016 でファイル パスワードを削除またはリセットする

ユーザーが Word、Excel、またはPowerPointドキュメントをパスワードで保護する必要がある理由は多数あります。 例:

  • 組織内の複数のユーザーがグループ予算に取り組む必要がありますが、完了するまでそれらの数字を大きな組織に表示しないようにします。

  • コンサルタントは、サービス レベル アグリーメントを通じて、機密データがクライアントの制御を離れたときに保護されたままであることを要求するクライアントと連携します。

  • 教師は、Word で作成されたテストを侵害できないようにしたいと考えています。

  • メディアの専門家や、その分野の主要な研究者へのプレゼンテーションに取り組む科学者は、大きな発表の前に、そのブレークスルーが一般に公開されないようにしたいと考えています。

以前は、ファイル パスワードの元の作成者がパスワードを忘れた場合、または組織を離れた場合、ファイルは回復不能になりました。 Office 2016 と、会社または組織の秘密キー証明書ストアから生成されるエスクロー キーを使用すると、IT 管理者はユーザーのファイルを "ロック解除" し、パスワード保護なしでファイルを残すか、新しいパスワードをファイルに割り当てることができます。 IT 管理者は、会社または組織の秘密キー証明書ストアから生成されるエスクロー キーのキーパーです。 手動で作成できるレジストリ キー設定を使用して、公開キー情報をクライアント コンピューターに 1 回、サイレント モードでプッシュすることも、グループ ポリシー スクリプトを使用して作成することもできます。 ユーザーが後でパスワードで保護された Word、Excel、またはPowerPoint ファイルを作成すると、この公開キーはファイル ヘッダーに含まれます。 その後、IT 担当者は、Office DocRecrypt ツールを使用してファイルに添付されているパスワードを削除し、必要に応じて新しいパスワードを使用してファイルを保護できます。 これを行うには、IT 担当者が次 のすべてを 持っている必要があります。

  • 新しい Office DocRecrypt ツール

  • 埋め込み公開キーを持つ Word、Excel、またはPowerPoint ファイル

  • 証明書に関連付けられている公開キーと秘密キーへのアクセス許可とアクセス権

秘密キーを安全に保管する

この機能は、秘密キーを管理および配布するための企業プロセス、そのキーが格納されている場所、パスワードの解読またはリセットを要求するために必要なアクセス許可と承認、または復元後にファイルを配置する必要がある場所を規定しません。 これらの決定は、組織の標準とプロセスによって導く必要があります。

つまり、パスワードで保護されたファイルの高いレベルのセキュリティを維持するために、組織で次のポリシーを採用することをお勧めします。

  • 秘密キーをクライアント コンピューターにプッシュしないでください。 これが最も重要な推奨事項です。

  • 秘密キーを持つ証明書ストアと、エスクロー キーと公開キーの生成に使用された証明書をロックします。

  • 1 人の個人が公開キー インフラストラクチャ (PKI) サービスを侵害できないようにしてください。 また、組織内のさまざまなユーザーに証明書管理ロールを分散することをお勧めします。

これらの推奨事項に一貫して従わないと、すべての新しいパスワードで保護されたファイルのセキュリティが侵害される可能性があります。 会社または組織には、秘密キーや証明書のオフサイト ストレージなど、明確に定義された Active Directory Certificate Services (AD CS) 管理モデルと証明機関 (CA) インフラストラクチャ戦略が既に存在している必要があります。 詳細については、「 Role-Based管理の実装」を参照してください。

注意

DocRecrypt に使用される証明書は、目的としてユーザー認証を使用する通常のユーザー証明書にすることができます。 証明書の主な目的は、ドキュメントを暗号化できることです。

正しい証明書はどのように配置されていますか?

多くの秘密キー証明書は IT コンピューター上に配置される可能性があるため、正しい証明書を検出する方法を疑問に思うかもしれません。 Certificate Manager (certmgr.msc) では、Office 2016 DocRecrypt ツールが最初に論理ストアを検索し、次に現在のユーザー ストアを検索します。 これらの各ストアで、ツールは最初に、Windowsシステム強制 PIN を必要としない証明書を検索します。 次に、必要なものを検索します。

特殊な考慮事項

Office XML ファイルのみを開く Office DocRecrypt ツールは、docx、pptx、xlsx ファイルなどの XML 形式のドキュメントを開くOfficeでのみ機能します。

以前に暗号化されたファイル Office DocRecrypt ツールを使用して、証明書とエスクロー キーを展開する前にパスワードで保護されたファイルを回復することはできません。 ただし、証明書とエスクロー キーを展開した後、ユーザーが 2016 Officeで以前に保護されたファイルを開いて保存すると、その時点でエスクロー キーがファイルに追加されます。 その時点から、Office DocRecrypt ツールを使用してファイルのパスワードを削除またはリセットできます。

Word、Excel、PowerPoint ファイルを保護するその他 の方法 Word、Excel、PowerPoint ファイルを保護する方法については、「文書、ブック、またはプレゼンテーションで保護を追加または削除する」を参照してください。

ユーザーはこれらの保護方法を個別に適用できることに注意してください。 IT 管理者によってパスワードが削除された場合、その他の保護設定は残ります。 パスワードを削除しても、これらの他の設定には影響しません。

ファイルのパスワードを削除する機能には、いくつかの要因が影響を与える可能性があります。 詳細とアドバイスについては、次の表を参照してください。

ファイルのパスワードを削除するときの考慮事項

問題 アドバイス
ファイルは読み取り専用または非表示としてマークされます。
Office DocRecrypt ツールは、読み取り専用または非表示としてマークされたファイルでは機能しません。 ただし、設定を削除し、ファイルの暗号化を解除してから、検索後に読み取り専用または非表示に戻すことができます。
ファイルは複数の場所に格納されます。
Office DocRecrypt ツールは、参照するファイルの特定のインスタンスに対してのみパスワード保護を削除します。 ただし、RAID またはその他のハード ディスク構成で参照されているファイルのパスワード保護も削除する必要があります。
ファイルは共有ブックにあります。
Office DocRecrypt ツールは、埋め込みファイルを含む共同編集ファイルでは機能しません。
ファイルはデジタル署名されています。
デジタル署名されたファイルからパスワード保護を削除しても、デジタル署名の有効性が損なわれるわけではありません。
ファイル名はハイフン ("-") で始まります。
Office DocRecrypt ツールを使用して検索するファイルの名前にハイフンが含まれている場合は、ファイル名を引用符で囲みます。
Requestor には、ファイルを開くアクセス許可がありません。
IT 管理者は、ファイルの暗号化解除を要求するユーザーが、パスワードの削除または再割り当て時にファイルの内容を表示する権限を実際に持っているかどうかを判断します。 同様に、パスワードで保護されたファイルにアクセス制御リストが関連付けられている場合、復号化プロセスによって関連付けが削除されます。 後で元に戻す必要があります。
ファイルまたはコピー先の場所は読み取り専用です。
パスワードで保護されたファイルとコピー先の場所の両方が読み取り/書き込みであることを確認します。
証明書が取り消されたか、有効期限が切れています。
IT 部門は、秘密キー証明書が有効で最新であることを確認する必要があります。 また、Office DocRecrypt ツールでは秘密キー証明書失効状態がチェックされないことに注意してください。
パスワードで保護されたファイルはクラウドにあります。
ファイルを復号化するには、ハード ディスクまたは読み取り/書き込み UNC 共有にコピーする必要があります。

パスワード保護の削除用にクライアント コンピューターを設定する

IT 部門がパスワードで保護された Word、PowerPoint、またはExcel ファイルからパスワードを削除できるようにするには、組織に Office 2016 を展開するときに、最初に証明書の公開キーをプッシュし、クライアント コンピューターでレジストリ作業を行う必要があります。 これを実現するには、次の 2 つの方法があります。

  • グループ ポリシー管理用テンプレートを使用します。これは、複数のクライアント コンピューターまたはエンタープライズ クライアント コンピューターに最適です。

  • クライアント コンピューターのレジストリを手動で変更することで、1 台のコンピューターまたは少数のクライアント コンピューターに最適です。

グループ ポリシー オブジェクトを使用してパスワード保護用に複数のクライアント コンピューターを設定するには

  1. Microsoft ダウンロード センターからグループ ポリシー管理テンプレート (ADMX/ADML) ファイルをダウンロードします

  2. ローカル グループ ポリシー エディターでテンプレートを開き、エスクロー キーの設定に移動します。 ユーザー構成 ブランチを開き、管理用テンプレートMicrosoft Office 2016セキュリティ 設定Escrow 証明書 の順に選択します。

    20 個のエスクロー キーを構成できます。各名前の Escrow キー#n。

  3. エスクロー キーを選択し、ショートカット メニュー (右クリック) から [編集] を選択してエスクロー キーを構成します。

    Escrow キー#n ダイアログが表示されます。

  4. このキーを設定して有効にするには、[ 有効] ボタンを選択します。 このキーを後で無効にする場合は、[ Escrow キー #n ] ダイアログ ボックスに戻り、[ 無効] ボタンを選択します。

  5. [ 証明書ハッシュ ] ボックスに、証明書の一意識別子として使用される証明書ハッシュ ("拇印" とも呼ばれます) を入力します。 たとえば、証明書の拇印が 9131517191121d94d14317fc126213c1781d21c の場合、証明書ハッシュ値をその番号に設定します。 読みやすくする場合は、このハッシュにスペースを含めることができます。

  6. 必要に応じて、この特定の証明書の詳細を提供するコメントを入力します。 これはオプションです。

  7. [OK] をクリックします。

新しいレジストリ設定を使用してパスワード保護用に単一のクライアント コンピューターを設定するには

Word、PowerPoint、またはExcel ファイルからパスワードを削除できるようにするには、ファイルのパスワード保護に使用できるようにする公開キー証明書を示すレジストリ キーを作成する必要があります。

注意

レジストリ キーを作成する方法の詳細については、レジストリ エディター (regedit.exe) のヘルプ メニューから入手できるヘルプを参照してください。

  • レジストリ エディターで、次のレジストリ パスのクライアント コンピューター レジストリにキーを作成します。

    Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0 \common\Security\Crypto\EscrowCerts

    この新しいキーは、手動で作成するか、.reg バッチ ファイルを使用して作成します。 regedit.exeを使用して .reg ファイルを作成するには、「 .reg ファイルの作成」を参照してください。

    クライアント コンピューター レジストリにキーを作成する

Registry 要素 説明
キー名
これは EscrowCerts である必要があります。
データ型
キー

Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\ common\Security\Crypto\
  • 手順 1 で作成した新しいキーで、次の表に示すように公開キー証明書情報を追加します。 ファイルのパスワード保護に使用できるようにする公開キー証明書ごとに 1 つのエントリを作成します。

    公開キー証明書情報を追加する

Registry 要素 説明
キー名
公開キー証明書を記述する一意のユーザー定義名。 たとえば、EscrowCert01、EscrowCert02 などです。
Type
文字列

[証明書のWindows] ダイアログ ボックスの "拇印" とも呼ばれる 、証明書 の一意識別子として使用されるハッシュ。 たとえば、証明書の拇印が 9131517191121d94d14317fc126213c1781d21c の場合、この値をその数値に設定します。 読みやすくする場合は、このハッシュにスペースを含めることができます。
  • レジストリ エントリが配置されたら、証明書をクライアント コンピューターにプッシュします。 公開キー証明書は、証明書 - 現在のユーザーまたは論理、個人用ストアの証明書マネージャー (certmgr.msc) Windowsに格納する必要があります。 グループ ポリシーを介してクライアント コンピューターに公開キー証明書をプッシュする方法の詳細については、「グループ ポリシーを使用して証明書をクライアント コンピューターに配布する」を参照してください。

    重要

    IT 管理者は、このプロセスに使用された証明書が有効であり、有効期限が切れていないことを確認する必要があります。

ユーザーが 2016 Word、PowerPoint、または Office Excelで作成したファイルをパスワードで保護すると、適切な公開キー情報がファイル ヘッダーに保存されます。 管理者は、パスワード保護の削除を求められた場合、この公開キーと一致する秘密キーを後で使用できます。

キーと DocRecrypt ツールを持つ IT 管理者コンピューターを設定する

IT 管理者コンピューターには、レジストリにキーとサブキーが含まれている必要はなく、公開キー証明書のコピーも必要ありません。 ただし、IT 管理者コンピューターには次のものが必要です。

  • 一致する秘密キーと証明書のペア

  • Office DocRecrypt ツール

キーと DocRecrypt ツールを持つ IT コンピューターを設定するには

  1. 証明書インポート ウィザードを使用して、一致する秘密キーをWindows証明書マネージャーの証明書にインポートします。

  2. Office DocRecrypt ツールをダウンロードしてインストールします。 このツールは、 Microsoft ダウンロード センターで使用できます。

  • Office DocRecrypt ツールを 64 ビット コンピューターにインストールすると、次の場所にインストールされます。

    • %programfiles(x86)%\Microsoft Office\DOCRECRYPT
  • Office DocRecrypt ツールを 32 ビット コンピューターにインストールすると、次の場所にインストールされます。

    • %programfiles%\Microsoft Office\DOCRECRYPT

それです。 すべての部分が配置されており、次回ユーザーから要求された場合に、Word、Excel、またはPowerPoint ファイルのパスワードを削除する準備が整います。

Office DocRecrypt ツールを使用する

IT 管理者コンピューターにインストールされた DocRecrypt ツールを使用して、ファイル パスワードを削除し、新しいパスワードを割り当てます。

DocRecrypt ツールを使用するには

コマンド ラインから DocRecrypt ツールを使用するには、次の手順に従います。 バッチ ファイルまたはスクリプトから DocRecrypt コマンドをサイレント モードで実行することもできます。

  • 次の構文を使用して、Office DocRecrypt ツールのコマンド ラインに移動して開きます。

    DocRecrypt [-p <new_password>] -i <inputfile_or_folder> [-o <outputfile_or_folder>] [-q]

    DocRecrypt ツールのオプションについては、次の表で説明します。

    DocRecrypt ツールオプション

パラメーター 説明
-p <new_password>
(省略可能)これは、入力ファイルに割り当てられる新しいパスワードです。出力ファイル名が指定されている場合は出力ファイルです。
-i <inputfile_or_folder>
これは、パスワードが不明であるためにロックされているファイルを含むファイルまたはフォルダーです。 フォルダーを指定した場合、Office DocRecrypt ツールでは、Open XML 形式Officeされていないファイルは無視されます。
-o <outputfile_or_folder>
(省略可能)これは、入力ファイルから作成されるファイルの新しい出力ファイルまたはフォルダーの名前です。 ここでも、Open XML 形式Officeされていないファイルはすべて無視されます。
-q
(省略可能)通常はスクリプトで、Office DocRecrypt ツールをサイレント モードで実行することを示します。 サイレント モードでは UI が表示されず、証明書で IT 管理者が PIN を入力する必要がある場合は失敗します。 証明書に PIN が必要な場合は、サイレント モードを使用しないでください。

例:

ファイルからパスワードを削除するには、次のコードを使用します。

DocRecrypt -i lockedfile

パスワードを削除し、12345 の新しいパスワードを割り当てるには、次のコードを使用します。

DocRecrypt -p 12345 -i lockedfile

パスワードを削除し、新しいファイルを作成し、そのファイルに 12345 の新しいパスワードを割り当てるには、次のコードを使用します。

DocRecrypt -p 12345 -i lockedfile -o newfile

Office 2016 を使用してファイルがパスワードで保護されると、パスワードは削除されません。

Office 2010 ファイルと 2007 ファイル

組織内のクライアント コンピューターが Office DocRecrypt ツール (個別またはグループ ポリシーを介して) を使用して構成されると、将来のWord 2016、Excel 2016、またはPowerPoint 2016 ファイル (docx、xlsx、pptx ファイル)、および既存のパスワードで保護されたOffice Word 2007、Word 2010、Office Excel 2007、Excel 2010、Office PowerPoint 2007、PowerPoint 2010 ファイル。ユーザーが Office 2016 で編集したファイルのロックを解除したり、DocRecrypt ツールでパスワードをリセットしたりできます。 パスワードで保護されたファイルにエスクロー キーを追加すると、2007 年または 2010 年Office Officeで編集された場合でも、ロックを解除またはリセットできます。