インターネットからのマクロは、Office では既定でブロックされます

VBA マクロは、悪意のあるアクターがマルウェアやランサムウェアをデプロイするためのアクセス権を取得する一般的な方法です。 そのため、Office のセキュリティを向上させるために、Office アプリケーションの既定の動作を変更して、インターネットからファイル内のマクロをブロックしています。

この変更により、ユーザーが電子メールの添付ファイルなど、インターネットから送信されたファイルを開き、そのファイルにマクロが含まれていると、次のメッセージが表示されます。

[詳細情報] ボタンを使用してブロックされたマクロに関するセキュリティ リスク バナー

[ 詳細情報] ボタンは、マクロを使用する悪意のあるアクターのセキュリティ リスクに関する情報、フィッシングやマルウェアを防止するための安全なプラクティス、およびこれらのマクロを有効にする方法 (どうしても必要な場合) に関する手順を含む エンド ユーザーとインフォメーション ワーカーの記事 にアクセスします。

場合によっては、ファイルが信頼されていないイントラネット内の場所からのファイルである場合にも、メッセージが表示されます。 たとえば、ユーザーが共有の IP アドレスを使用してネットワーク共有上のファイルにアクセスしている場合などです。 詳細については、「 ネットワーク共有または信頼された Web サイトに一元的に配置されたファイル」を参照してください。

重要

この変更が導入される前であっても、組織は、マクロを含むインターネットからユーザーが誤ってファイルを開くのを防ぐために、インターネット ポリシーから Office ファイルで実行されるブロック マクロ を使用できます。 Microsoft 365 Apps for enterpriseのセキュリティ ベースラインの一部として、このポリシーを有効にすることをお勧めします。 ポリシーを構成した場合、組織はこの既定の変更の影響を受けなくなります。

詳細については、「 ポリシーを使用して Office がマクロを処理する方法を管理する」を参照してください。

この変更の準備

この変更に備えるために、イントラネット ネットワーク共有やイントラネット Web サイトなどの場所から開かれた Office ファイル内のマクロを使用する組織内の部署と連携することをお勧めします。 これらのマクロを特定し、マクロを使用し続けるために 必要な手順 を決定します。 また、それらの場所から Office ファイルにマクロを提供する独立系ソフトウェア ベンダー (ISV) と連携することもできます。 たとえば、コードにデジタル署名できるかどうかを確認し、信頼できる発行元として扱うことができます。

また、次の情報を確認します。

準備アクション 詳細情報
この変更を適用するバージョンと更新チャネルを理解する (この変更をロールアウトする場合) この変更の影響を受ける Office のバージョン
ファイルでマクロを実行するかどうかを確認するために Office が実行するプロセスのフローチャートを参照してください Office がインターネットからファイル内でマクロを実行するかどうかを決定する方法
Readiness Toolkit を使用してブロックされる可能性がある VBA マクロを使用してファイルを識別する Readiness Toolkit を使用して、ブロックされる可能性がある VBA マクロを使用してファイルを識別する
VBA マクロの実行を制御するために使用できるポリシーについて説明します ポリシーを使用して Office がマクロを処理する方法を管理する

信頼できるファイルで VBA マクロを実行できるようにする手順

信頼できるファイルで VBA マクロを実行する方法は、それらのファイルの場所やファイルの種類によって異なります。

次の表に、VBA マクロのブロックを解除して実行できるようにするさまざまな一般的なシナリオと考えられる方法を示します。 特定のシナリオで考えられるすべての方法を実行する必要はありません。 複数のアプローチを示している場合は、組織に最適なものを選択します。

シナリオ 考えられる取り組み方法
個々のファイル
• ファイルの [プロパティ] ダイアログの [全般] タブで [ブロック解除] チェック ボックスをオンにする
• PowerShell で Blockblock-File コマンドレットを使用する

詳細については、「 ファイルから Web のマークを削除する」を参照してください。
ネットワーク共有または信頼された Web サイトに一元的に配置されたファイル [個々のファイル] に一覧表示されている方法を使用して、ファイルのブロックを解除します。

[ブロック解除] チェック ボックスがなく、そのネットワークの場所にあるすべてのファイルを信頼する場合は、次の手順を実行します。
• 場所を信頼済みサイトとして指定する
ローカル イントラネット ゾーンに場所を追加する

詳細については、「 ネットワーク共有または信頼された Web サイトに一元的に配置されたファイル」を参照してください。
OneDrive または SharePoint に格納されているファイル (Teams チャネルで使用されるサイトを含む) [デスクトップ アプリで 開く] オプションを使用して、ユーザーにファイルを直接開く
• ユーザーがファイルを開く前にローカルにダウンロードする場合は、ファイルのローカル コピーから Web のマークを削除します (「個々のファイル」の方法を参照してください)
• 場所を信頼済みサイトとして指定する

詳細については、「 OneDrive または SharePoint 上のファイル」を参照してください。
Word、PowerPoint、Excel 用のマクロ対応テンプレート ファイル テンプレート ファイルがユーザーのデバイスに保存されている場合:
• テンプレート ファイルから Web のマークを削除する (「個々のファイル」のアプローチを参照)
• テンプレート ファイルを信頼できる場所に保存する

テンプレート ファイルがネットワークの場所に格納されている場合:
• デジタル署名を使用し、発行元を信頼する
• テンプレート ファイルを信頼する (「ネットワーク共有または信頼された Web サイトに一元的に配置されたファイル」の下のアプローチを参照)

詳細については、「Word、 PowerPoint、Excel のマクロ対応テンプレート ファイル」を参照してください。
PowerPoint 用のマクロ対応アドイン ファイル • アドイン ファイルから Web のマークを削除する
• デジタル署名を使用し、発行元を信頼する
• アドイン ファイルを信頼できる場所に保存する

詳細については、「 PowerPoint と Excel 用のマクロ対応アドイン ファイル」を参照してください。
Excel 用のマクロ対応アドイン ファイル • アドイン ファイルから Web のマークを削除する
• アドイン ファイルを信頼できる場所に保存する

詳細については、「 PowerPoint と Excel 用のマクロ対応アドイン ファイル」を参照してください。
信頼された発行元によって署名されたマクロ [推奨] 信頼された発行元の公開コード署名証明書をユーザーにデプロイし、ユーザーが信頼できる発行元自体を追加できないようにします。
• ファイルから Web のマークを削除し、マクロの発行元を信頼できる発行元としてユーザーに追加させます。

詳細については、「信頼された発行元によって署名されたマクロ」を参照してください。
.
ユーザーのデバイス上のフォルダーに保存されたファイルのグループ フォルダーを信頼できる場所として指定する

詳細については、「 信頼できる場所」を参照してください。

この変更の影響を受ける Office のバージョン

この変更は、Windows を実行しているデバイスの Office にのみ影響し、Access、Excel、PowerPoint、Visio、Word の各アプリケーションにのみ影響します。

次の表は、この変更が各更新チャネルでいつ利用可能になるかの予測スケジュールを示しています。 斜体の情報は変更される可能性があります。

更新プログラム チャネル バージョン 日付
最新機能提供チャネル (プレビュー) バージョン 2203 2022 年 4 月 12 日にロールアウトを開始しました
最新チャネル バージョン 2206 2022 年 7 月 27 日にロールアウトを開始しました
月次エンタープライズ チャネル バージョン 2208 2022 年 10 月 11 日
半期エンタープライズ チャネル (プレビュー) バージョン 2208 2022 年 10 月 11 日
半期エンタープライズ チャネル バージョン 2208 2023 年 1 月 10 日

この変更は、Mac 上の Office、Android または iOS デバイスの Office、Office on the webには影響しません。

Office がインターネットからファイル内でマクロを実行するかどうかを決定する方法

次のフローチャート図は、Office がインターネットからファイル内でマクロを実行するかどうかを決定する方法を示しています。

Office がインターネットからファイル内でマクロを実行するかどうかを決定する方法を示すフローチャート

次の手順では、Excel アドイン ファイルを除くフローチャート グラフィックの情報について説明します。 これらのファイルの詳細については、「 PowerPoint と Excel 用のマクロ対応アドイン ファイル」を参照してください。 また、ファイルが ローカル イントラネット ゾーンに存在しない、または信頼できるサイトではないネットワーク共有上にある場合、マクロはそのファイルでブロックされます。

  1. ユーザーが、インターネットから取得したマクロを含む Office ファイルを開きます。 たとえば、電子メールの添付ファイルなどです。 このファイルには、Web のマーク (MOTW) があります。

注意

  • Web のマークは、インターネットや制限付きゾーンなどの信頼されていない場所のファイルに Windows によって追加されます。 たとえば、ブラウザーのダウンロードや電子メールの添付ファイルなどです。 詳細については、「 Web とゾーンのマーク」を参照してください。
  • Web のマークは、NTFS ファイル システムに保存されたファイルにのみ適用され、FAT32 形式のデバイスに保存されたファイルには適用されません。
  1. ファイルが信頼できる場所にある場合は、マクロが有効になっている状態でファイルが開きます。 ファイルが信頼できる場所からでない場合、評価は続行されます。

  2. マクロがデジタル署名され、一致する信頼できる発行元証明書がデバイスにインストールされている場合、マクロが有効になっているファイルが開きます。 そうでない場合は、評価が続行されます。

  3. ポリシーは、マクロが許可されているかブロックされているかを確認するためにチェックされます。 ポリシーが [未構成] に設定されている場合、評価は手順 6 に進みます。

  4. (a) マクロがポリシーによってブロックされている場合、マクロはブロックされます。
    (b) マクロがポリシーによって有効になっている場合、マクロは有効になります。

  5. ユーザーが以前にファイルを開いていた場合、この既定の動作の変更の前に、[信頼バーから コンテンツを有効にする] を選択していた場合、ファイルは信頼されたと見なされるため、マクロが有効になります。

注意

  1. この手順では、Office の既定の動作への変更が有効になります。 この変更により、インターネットからのファイル内のマクロがブロックされ、ユーザーがファイルを開くと 、セキュリティ リスク バナーが表示されます。

注意

以前は、この既定の動作が変更される前に、アプリは VBA マクロ通知設定 ポリシーが有効になっているかどうか、およびどのように構成されたかを確認していました。

ポリシーが [無効] または [未構成] に設定されている場合、アプリは [ファイル > オプション > セキュリティ センター セキュリティ センター > の 設定]..の 設定を確認します。 > マクロ設定。 既定値は "通知を使用してすべてのマクロを無効にする" に設定されています。これにより、ユーザーは信頼バーでコンテンツを有効にすることができます。

信頼できるファイルで VBA マクロを実行できるようにする方法に関するガイダンス

ファイルから Web のマークを削除する

インターネットの場所からダウンロードしたファイルや、ユーザーがローカル デバイスに保存したメール添付ファイルなど、個々のファイルの場合、マクロのブロックを解除する最も簡単な方法は、Web のマークを削除することです。 削除するには、ファイルを右クリックし、[プロパティ] を選択し、[全般] タブの [ブロック解除] チェック ボックスをオンにします。

ブロックを解除する選択を示す [ファイルのプロパティ] ダイアログ

注意

  • 通常、ネットワーク共有上のファイルの場合、マクロがブロックされているファイルの [ブロック解除] チェック ボックスがユーザーに表示されない場合があります。 このような場合は、 ネットワーク共有または信頼された Web サイトに一元的に配置されたファイルに関するページを参照してください。
  • ネットワーク共有上のファイルに対して [ブロック解除] チェック ボックスをオンにしても、共有が インターネット ゾーンにあると見なされても、このチェック ボックスをオンにしても効果はありません。 詳細については、「 Web とゾーンのマーク」を参照してください。

PowerShell の Unblock-File コマンドレットを 使用して、ファイルから ZoneId 値を削除することもできます。 ZoneId 値を削除すると、VBA マクロを既定で実行できます。 コマンドレットの使用は、ファイルの [プロパティ] ダイアログの [全般] タブで [ブロック解除] チェック ボックスをオンにした場合と同じ処理を行います。 ZoneId 値の詳細については、「 Web とゾーンのマーク」を参照してください。

ネットワーク共有または信頼された Web サイトに一元的に配置されたファイル

信頼された Web サイトまたは内部ファイル サーバーからユーザーがファイルにアクセスしている場合は、これらの場所のマクロがブロックされないように、次のいずれかの手順を実行できます。

  • 場所を信頼済みサイトとして指定する
  • ネットワークの場所がイントラネット上にある場合は、 ローカル イントラネット ゾーンに場所を追加します

注意

  • 信頼済みサイトとして何かを追加する場合は、Office に関連しないシナリオに対してサイト全体に昇格されたアクセス許可も付与されます。
  • ローカル イントラネット ゾーン アプローチでは、新しい場所をそのゾーンに追加するのではなく、ローカル イントラネット ゾーンの一部と既に考えられている場所にファイルを保存することをお勧めします。
  • 一般に、信頼済みサイトは ローカル イントラネット ゾーンと比較してセキュリティが強化されているため、使用することをお勧めします。

たとえば、ユーザーが IP アドレスを使用してネットワーク共有にアクセスしている場合、ファイル共有が 信頼済みサイト または ローカル イントラネット ゾーンにある場合を除き、それらのファイル内のマクロはブロックされます。

ヒント

  • 信頼済みサイトの一覧または ローカル イントラネット ゾーンの一覧を表示するには、Windows デバイスの [コントロール パネル > Internet オプション > のセキュリティ設定の変更] に移動します。
  • 個々のファイルが信頼されたサイトまたはローカル イントラネットの場所にあるかどうかを確認するには、「 Web とゾーンのマーク」を参照してください。

たとえば、ファイル サーバーまたはネットワーク共有を信頼済みサイトとして追加するには、その FQDN または IP アドレスを信頼済みサイトの一覧に追加します。

[信頼済みサイト] ダイアログ

http:// またはネットワーク共有で始まる URL を追加する場合は、[ サーバーの確認を要求する (https:) ] をオフにします。このゾーンのすべてのサイトの チェック ボックスをオンにします。

重要

これらの場所のファイルではマクロがブロックされないため、これらの場所は慎重に管理する必要があります。 これらの場所にファイルを保存できるユーザーを制御してください。

グループ ポリシーポリシーと "サイトからゾーンへの割り当てリスト" ポリシーを使用して、信頼済みサイトとして、または組織内の Windows デバイスの ローカル イントラネット ゾーンに場所を追加できます。 このポリシーは、Windows コンポーネント\Internet Explorer\Internet コントロール パネル\グループ ポリシー 管理コンソールの [セキュリティ] ページにあります。 コンピューター構成\ポリシー\管理用テンプレートとユーザー構成\ポリシー\管理用テンプレートの両方で使用できます。

OneDrive または SharePoint 上のファイル

  • ユーザーが Web ブラウザーを使用して OneDrive または SharePoint にファイルをダウンロードした場合、Windows インターネット セキュリティ ゾーン (コントロール パネル > Internet Options > Security) の構成によって、ブラウザーが Web のマークを設定するかどうかを決定します。 たとえば、Microsoft Edge は、インターネット ゾーンからであると判断された場合に、ファイルに対して Web のマークを設定します。

  • ユーザーが OneDrive Web サイトまたは SharePoint サイトから開いたファイル (Teams チャネルで使用されるサイトを含む) で デスクトップ アプリ で開くを選択した場合、ファイルには Web のマークは付きません。

  • ユーザーがOneDrive 同期 クライアントを実行していて、同期クライアントがファイルをダウンロードする場合、ファイルには Web のマークは含まれません。

  • Windows 既知のフォルダー (デスクトップ、ドキュメント、画像、スクリーンショット、カメラ ロール) 内にあり、OneDrive と同期されているファイルには、Web のマークがありません。

  • マクロをブロックせずに OneDrive または SharePoint のファイルを使用する必要があるユーザーのグループ (財務部門など) がある場合は、次のオプションを使用できます。

    • [デスクトップ アプリで 開く] オプションを使用してファイルを開く

    • 信頼できる場所にファイルをダウンロードさせます。

    • OneDrive ドメインまたは SharePoint ドメインの Windows インターネット セキュリティ ゾーンの割り当てを信頼済みサイトに設定します。 管理者は、"サイトからゾーンへの割り当てリスト" ポリシーを使用し、(SharePoint の場合) または https://{your-domain-name}-my.sharepoint.com (OneDrive の場合) 信頼済みサイト ゾーンに配置https://{your-domain-name}.sharepoint.comするポリシーを構成できます。

      • このポリシーは、Windows コンポーネント\Internet Explorer\Internet コントロール パネル\グループ ポリシー 管理コンソールの [セキュリティ] ページにあります。 コンピューター構成\ポリシー\管理用テンプレートとユーザー構成\ポリシー\管理用テンプレートの両方で使用できます。

      • SharePoint のアクセス許可と OneDrive 共有は、これらの場所を信頼済みサイトに追加しても変更されません。 アクセス制御の維持は重要です。 SharePoint にファイルを追加するアクセス許可を持つユーザーは、マクロなどのアクティブなコンテンツを含むファイルを追加できます。 信頼済みサイト ゾーン内のドメインからファイルをダウンロードするユーザーは、マクロをブロックする既定値をバイパスします。

Word、PowerPoint、Excel 用のマクロ対応テンプレート ファイル

インターネットからダウンロードされた Word、PowerPoint、Excel 用のマクロ対応テンプレート ファイルには、Mark of the Web が含まれます。 たとえば、次の拡張子を持つテンプレート ファイルです。

  • 。ドット
  • .dotm
  • 。ポット
  • .potm
  • .xlt
  • .xltm

ユーザーがマクロが有効なテンプレート ファイルを開くと、ユーザーはテンプレート ファイル内でマクロの実行をブロックされます。 ユーザーがテンプレート ファイルのソースを信頼している場合は、テンプレート ファイルから Web のマークを削除し、Office アプリでテンプレート ファイルを再度開くことができます。

マクロをブロックせずにマクロ対応テンプレートを使用する必要があるユーザーのグループがある場合は、次のいずれかの操作を実行できます。

  • デジタル署名を使用し、発行元を信頼します。
  • デジタル署名を使用していない場合は、テンプレート ファイルを 信頼できる場所 に保存し、ユーザーにその場所からテンプレート ファイルを取得させることができます。

PowerPoint と Excel 用のマクロ対応アドイン ファイル

インターネットからダウンロードされた PowerPoint および Excel 用のマクロ対応アドイン ファイルには、Mark of the Web が含まれます。 たとえば、次の拡張子を持つアドイン ファイルです。

  • 。Ppa
  • .ppam
  • 。Xla
  • .xlam

ユーザーがマクロ対応アドインをインストールしようとすると、 ファイル > オプション > アドインを使用 するか、 開発者 リボンを使用してアドインが無効な状態で読み込まれ、ユーザーはアドインの使用をブロックされます。 ユーザーがアドイン ファイルのソースを信頼している場合は、アドイン ファイルから Web のマークを削除し、PowerPoint または Excel を再度開いてアドインを使用できます。

マクロがブロックされていないマクロ対応アドイン ファイルを使用する必要があるユーザーのグループがある場合は、次の操作を実行できます。

PowerPoint アドイン ファイルの場合:

  • .ppa または .ppam ファイルから Web のマークを削除します。
  • デジタル署名を使用し、発行元を信頼します。
  • ユーザーが取得する 信頼できる場所 にアドイン ファイルを保存します。

Excel アドイン ファイルの場合:

  • .xla または .xlam ファイルから Web のマークを削除します。
  • ユーザーが取得する 信頼できる場所 にアドイン ファイルを保存します。

注意

デジタル署名を使用して発行元を信頼しても、Mark of the Web を持つ Excel アドイン ファイルでは機能しません。 この動作は、Web のマークを持つ Excel アドイン ファイルでは新しい動作ではありません。 これは、以前のセキュリティ強化作業 (Microsoft セキュリティ情報 MS16-088 に関連) の結果として、2016 年からこの方法で動作しています。

信頼された発行元によって署名されたマクロ

マクロが署名されていて、証明書を検証し、ソースを信頼している場合は、そのソースを信頼された発行元にすることができます。 可能であれば、ユーザーの信頼できる発行元を管理することをお勧めします。 詳細については、「 Office ファイルの信頼できる発行元」を参照してください。

ユーザーが少数の場合は、 ファイルから Web のマークを削除 し、マクロ のソースを信頼できる発行元として デバイスに追加できます。

警告

  • 同じ証明書で有効に署名されたすべてのマクロは、信頼された発行元からのものとして認識され、実行されます。
  • 信頼された発行元を追加すると、Office に関連するシナリオ以外のシナリオに影響する可能性があります。信頼できる発行元は、Office 固有の設定だけでなく、Windows 全体の設定であるためです。

信頼できる場所

インターネットからユーザーのデバイス上の信頼できる場所にファイルを保存すると、Web のマークのチェックが無視され、VBA マクロが有効になっている状態で開きます。 たとえば、基幹業務アプリケーションでは、定期的にマクロを含むレポートを送信できます。 マクロを含むファイルが信頼できる場所に保存されている場合、ユーザーはファイルの プロパティ に移動し、[ ブロック解除 ] を選択してマクロの実行を許可する必要はありません。

マクロは信頼できる場所に保存されたファイルではブロックされないため、信頼できる場所は慎重に管理し、慎重に使用する必要があります。 ネットワークの場所は信頼できる場所として設定することもできますが、推奨されません。 詳細については、「 Office ファイルの信頼できる場所」を参照してください。

Web のマークに関する追加情報

Web ドキュメントと信頼済みドキュメントのマーク

ファイルが Windows を実行しているデバイスにダウンロードされると、Web のマークがファイルに追加され、そのソースがインターネットからのものとして識別されます。 現在、ユーザーが Mark of the Web でファイルを開くと、[コンテンツを有効にする] ボタンを含む セキュリティ警告 バナーが表示されます。 ユーザーが [コンテンツを 有効にする] を選択した場合、ファイルは信頼済みドキュメントと見なされ、マクロの実行が許可されます。 ファイルは信頼できるドキュメントと見なされるため、インターネットからのファイル内のマクロをブロックする既定の動作が変更された後も、マクロは引き続き実行されます。

インターネットからのファイル内のマクロをブロックする既定の動作が変更されると、ユーザーがインターネットからマクロを含むファイルを初めて開いたときに、別のバナーが表示されます。 この セキュリティ リスク バナーには、[ コンテンツを有効にする] オプションはありません。 ただし、ユーザーはファイルの [プロパティ ] ダイアログに移動し、[ ブロック解除] を選択できます。これにより、ポリシーまたはセキュリティ センターの設定がブロックされていない限り、ファイルから Web のマークが削除され、マクロの実行が許可されます。

Web とゾーンのマーク

既定では、Web のマークは 、インターネット または 制限付きサイト ゾーンからのみファイルに追加されます。

ヒント

Windows デバイスでこれらのゾーンを表示するには、コントロール パネル > Internet オプション > のセキュリティ設定の変更 に移動します。

コマンド プロンプトで次のコマンドを実行し、 {name of file} をファイル名に置き換えることで、ファイルの ZoneId 値を表示できます。

notepad {name of file}:Zone.Identifier

このコマンドを実行すると、メモ帳が開き、[ZoneTransfer] セクションの下に ZoneId が表示されます。

ZoneId 値と、それらがマップするゾーンの一覧を次に示します。

  • 0 = マイ コンピューター
  • 1 = ローカル イントラネット
  • 2 = 信頼済みサイト
  • 3 = インターネット
  • 4 = 制限付きサイト

たとえば、ZoneId が 2 の場合、そのファイル内の VBA マクロは既定ではブロックされません。 ただし、ZoneId が 3 の場合、そのファイル内のマクロは既定でブロックされます。

PowerShell の Unblock-File コマンドレットを 使用して、ファイルから ZoneId 値を削除できます。 ZoneId 値を削除すると、VBA マクロを既定で実行できます。 コマンドレットの使用は、ファイルの [プロパティ] ダイアログの [全般] タブで [ブロック解除] チェック ボックスをオンにした場合と同じ処理を行います。

Readiness Toolkit を使用して、ブロックされる可能性がある VBA マクロを使用してファイルを識別する

VBA マクロの実行がブロックされている可能性があるファイルを特定するには、Office アドイン用の準備ツールキットと VBA を使用できます。これは Microsoft から無料でダウンロードできます。

Readiness Toolkit には、コマンド ラインまたはスクリプト内から実行できるスタンドアロン実行可能ファイルが含まれています。 ユーザーのデバイスで Readiness Toolkit を実行して、ユーザーのデバイス上のファイルを確認できます。 または、デバイスから実行して、ネットワーク共有上のファイルを確認することもできます。

スタンドアロン実行可能バージョンの Readiness Toolkit を実行すると、収集された情報を含む JSON ファイルが作成されます。 ネットワーク共有などの一元的な場所に JSON ファイルを保存します。 次に、準備ツールキットの UI ウィザード バージョンである準備レポート作成者を実行します。 このウィザードでは、個別の JSON ファイル内の情報を Excel ファイルの形式で 1 つのレポートに統合します。

Readiness Toolkit を使用して影響を受ける可能性があるファイルを特定するには、次の基本的な手順に従います。

  1. 最新バージョンの Readiness Toolkit を Microsoft ダウンロード センターからダウンロードします。 2022 年 6 月 14 日にリリースされた少なくともバージョン 1.2.22161 を使用していることを確認します。

  2. 準備ツールキットをインストールします。

  3. コマンド プロンプトから、Readiness Toolkit をインストールしたフォルダーに移動し、blockinternetscan オプションを使用してReadinessReportCreator.exe コマンドを実行します。

    たとえば、デバイス上の c:\officefiles フォルダー (およびそのすべてのサブフォルダー) 内のファイルをスキャンし、結果を含む JSON ファイルを Server01 上の Finance 共有に保存する場合は、次のコマンドを実行できます。

ReadinessReportCreator.exe -blockinternetscan -p c:\officefiles\ -r -output \\server01\finance -silent
  1. すべてのスキャンを完了したら、準備レポート作成者を実行します。
  2. 準備 レポートの作成ページでローカル フォルダーまたはネットワーク共有に一緒に保存された以前の準備結果を 選択し、スキャンのすべてのファイルを保存した場所を指定します。
  3. [ レポートの設定] ページで Excel レポート を選択し、レポートを保存する場所を指定します。
  4. Excel でレポートを開いたら、 VBA 結果 ワークシートに移動します。
  5. [ガイドライン] 列で、[インターネットからブロックされた VBA ファイル] を探します。

Readiness Toolkit の使用の詳細については、「Readiness Toolkit を使用して、Microsoft 365 Appsのアプリケーションの互換性を評価する」を参照してください。

ポリシーを使用して Office がマクロを処理する方法を管理する

ポリシーを使用して、Office がマクロを処理する方法を管理できます。 インターネット ポリシーから Office ファイルでマクロを実行できないようにブロックする方法を使用することをお勧めします。 ただし、そのポリシーが組織に適していない場合は、もう 1 つのオプションは VBA マクロ通知設定 ポリシーです。

これらのポリシーを展開する方法の詳細については、「ポリシー を管理するために使用できるツール」を参照してください。

重要

ポリシーは、Microsoft 365 Apps for enterpriseを使用している場合にのみ使用できます。 ポリシーはMicrosoft 365 Apps for businessでは使用できません。

インターネットから Office ファイルでマクロを実行できないようにする

このポリシーにより、ユーザーがインターネットからマクロを含むファイルを誤って開くのを防ぎます。 ファイルが Windows を実行しているデバイスにダウンロードされるか、ネットワーク共有の場所から開かれると、Web のマークがインターネットからソース化されたことを示すファイルに追加されます。

Microsoft 365 Apps for enterpriseのセキュリティ ベースラインの一部として、このポリシーを有効にすることをお勧めします。 ほとんどのユーザーに対してこのポリシーを有効にし、必要に応じて特定のユーザーに対してのみ例外を作成する必要があります。

5 つのアプリケーションごとに個別のポリシーがあります。 次の表は、ユーザー構成\ポリシー\管理テンプレートのグループ ポリシー管理コンソールで各ポリシーを見つけることができる場所を示しています。

アプリケーション ポリシーの場所
Access Microsoft Access 2016\アプリケーション設定\Security\Trust Center
Excel Microsoft Excel 2016\Excel Options\Security\Trust Center
PowerPoint Microsoft PowerPoint 2016\PowerPoint オプション\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word オプション\Security\Trust Center

ポリシーにどの状態を選択するかによって、提供する保護のレベルが決まります。 次の表は、既定の動作の変更が実装される前に、各状態で取得する保護の現在のレベルを示しています。

アイコン 保護レベル ポリシーの状態 説明
白のチェック マークが付いた緑色の円 保護されている [推奨] 有効 ユーザーは、インターネットから取得したファイルでマクロの実行をブロックされます。

Microsoft 推奨セキュリティ ベースラインの一部。
白い X を持つ赤い円 保護されていない 無効 [ファイル > オプション > セキュリティ センターのセキュリティ センター > の 設定].. で構成された設定を尊重します。 > マクロ設定
白い X を持つ赤い円 保護されていない Not Configured [ファイル > オプション > セキュリティ センターのセキュリティ センター > の 設定].. で構成された設定を尊重します。 > マクロ設定

注意

  • このポリシーを [無効] に設定すると、マクロを使用してファイルを開くと、既定でセキュリティ警告が表示されます。 この警告により、ユーザーはマクロが無効になっていることがわかりますが、[ コンテンツの有効化] ボタンを選択してマクロを実行できます。
  • この警告は、マクロをブロックするために実装するこの最近の変更の前に、ユーザーが以前に示したものと同じ警告です。
  • このポリシーを永続的に無効に設定することはお勧めしません。 ただし、場合によっては、新しいマクロ ブロック動作が組織にどのような影響を与えるかをテストし、マクロを安全に使用できるようにするソリューションを開発するときに、一時的に行うのが実用的な場合があります。

既定の動作への変更を実装すると、ポリシーが [未構成] に設定されると、保護レベルが変更されます。

アイコン 保護レベル ポリシーの状態 説明
白のチェック マークが付いた緑色の円 Protected Not Configured ユーザーは、インターネットから取得したファイルでマクロの実行をブロックされます。

[詳細情報] ボタンが表示された [セキュリティ リスク] バナーがユーザーに表示されます

VBA マクロ通知の設定

"インターネットからの Office ファイルでのマクロの実行をブロックする" ポリシーを使用しない場合は、"VBA マクロ通知設定" ポリシーを使用して、Office によるマクロの処理方法を管理できます。

このポリシーは、ユーザーが悪意のあるマクロを有効にすることを妨げるのを防ぎます。 既定では、VBA マクロを含むファイルをブロックし、マクロが存在し無効になっているという警告を含む信頼バーを表示するように Office が構成されています。 ユーザーは、必要に応じてファイルを検査および編集できますが、信頼バーで [コンテンツを有効にする] を選択するまで、無効な機能を使用することはできません。 ユーザーが [コンテンツを有効にする] を選択した場合、ファイルは信頼済みドキュメントとして追加され、マクロの実行が許可されます。

5 つのアプリケーションごとに個別のポリシーがあります。 次の表は、ユーザー構成\ポリシー\管理テンプレートのグループ ポリシー管理コンソールで各ポリシーを見つけることができる場所を示しています。

アプリケーション ポリシーの場所
Access Microsoft Access 2016\アプリケーション設定\Security\Trust Center
Excel [1] Microsoft Excel 2016\Excel Options\Security\Trust Center
PowerPoint Microsoft PowerPoint 2016\PowerPoint オプション\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word オプション\Security\Trust Center

注意

  • [1] Excel の場合、ポリシーの名前はマクロ通知設定です。
  • "VBA マクロ通知設定" ポリシーは、Project と Publisher でも使用できます。

ポリシーにどの状態を選択するかによって、提供する保護のレベルが決まります。 次の表は、各状態で取得する保護のレベルを示しています。

アイコン 保護レベル ポリシーの状態 ポリシーの値
白のチェック マークが付いた緑色の円 保護されている [推奨] Enabled デジタル署名されたマクロを除くすべてのマクロを無効にする ([信頼された発行元が署名するマクロが必要] を選択)
白のチェック マークが付いた緑色の円 Protected 有効 通知なしですべて無効にする
白いチェック マークが付いたオレンジ色の円 部分的に保護されている Enabled 通知ですべて無効にする
白いチェック マークが付いたオレンジ色の円 部分的に保護されている 無効 ("通知ですべて無効にする" と同じ動作)
白い X を持つ赤い円 保護されていない Enabled すべてのマクロを有効にする (推奨されません)

重要

マクロのセキュリティ保護は重要です。 マクロを必要としないユーザーの場合は、[通知なしですべて無効にする] を選択して、すべてのマクロをオフにします。

セキュリティ ベースラインの推奨事項は、次のことを行う必要があります。

  • "VBA マクロ通知設定" ポリシーを有効にします。
  • マクロが必要なユーザーの場合は、[デジタル署名されたマクロを除くすべて無効にする] を選択し、[信頼された発行元による署名にマクロを要求する] を選択します。 証明書は、ユーザーのデバイスに信頼できる発行元としてインストールする必要があります。

ポリシーを構成しない場合、ユーザーは [ファイル > オプション > セキュリティ センター セキュリティ センター > の設定] でマクロ保護設定を構成できます 。.. > マクロ設定

次の表は、ユーザーが [マクロ設定] で行うことができる選択肢と、各設定で提供される保護レベルを示しています。

アイコン 保護レベル 選択した設定
白のチェック マークが付いた緑色の円 Protected [デジタル署名されたマクロを除き、すべてのマクロを無効にする]
白のチェック マークが付いた緑色の円 Protected [警告を表示せずにすべてのマクロを無効にする]
白いチェック マークが付いたオレンジ色の円 部分的に保護されている 通知を使用してすべてのマクロを無効にする (既定)
白い X を持つ赤い円 保護されていない [すべてのマクロを有効にする (推奨しません。危険なコードが実行される可能性があります)]

注意

ポリシー設定の値と Excel の製品 UI では、"all" という単語が "VBA" に置き換えられます。 たとえば、「通知なしで VBA マクロを無効にする」などです。

ポリシーを管理するために使用できるツール

組織内のユーザーにポリシー設定を構成および展開するためのツールがいくつかあります。

クラウド ポリシー

クラウド ポリシーを使用すると、デバイスがドメインに参加していない場合でも、組織のデバイスにポリシー設定を構成および展開できます。 クラウド ポリシーは Web ベースのツールであり、Microsoft 365 Apps管理センターにあります。

クラウド ポリシーでは、ポリシー構成を作成し、それをグループに割り当て、ポリシー構成に含めるポリシーを選択します。 含めるポリシーを選択するには、ポリシーの名前で検索できます。 クラウド ポリシーには、Microsoft 推奨セキュリティ ベースラインの一部であるポリシーも表示されます。 クラウド ポリシーで使用できるポリシーは、グループ ポリシー管理コンソールで使用できるのと同じユーザー構成ポリシーです。

詳細については、「 Microsoft 365 のクラウド ポリシー サービスの概要」を参照してください。

Microsoft エンドポイント マネージャー管理センター

Microsoft エンドポイント マネージャー 管理センターでは、設定カタログ (プレビュー) または管理用テンプレートのいずれかを使用して、Windows 10以降を実行しているデバイスのポリシー設定をユーザーに構成および展開できます。

開始するには、[デバイス > 構成プロファイルの作成] プロファイル > に移動 します[プラットフォーム] でWindows 10以降を 選択し、プロファイルの種類を選択します。

詳細については、次の記事を参照してください。

グループ ポリシー管理コンソール

組織に Windows Server と Active Directory Domain Services (AD DS) が展開されている場合は、グループ ポリシーを使用してポリシーを構成できます。 グループ ポリシーを使用するには、Office 用の最新の管理用テンプレート ファイル (ADMX/ADML) をダウンロードします。これには、Microsoft 365 Apps for enterpriseのポリシー設定が含まれます。 管理用テンプレート ファイルを AD DS にコピーした後、グループ ポリシー管理コンソールを使用して、ユーザーとドメインに参加しているデバイスのポリシー設定を含む グループ ポリシー オブジェクト (GPO) を作成できます。