Office ファイルの信頼できる発行元

適用対象:Microsoft 365 Apps、Office LTSC 2021、Office 2019、Office 2016

発行元は、マクロ、ActiveX コントロール、アドインなどのソフトウェアを公開しているユーザーまたは会社です。 発行元が信頼でき、信頼できると判断する前に、発行元の ID と、発行元の資格情報が有効かどうかを確認する必要があります。

ファイル内の安全でない可能性のあるコードについて Office から警告が表示された場合は、コードと発行元のどちらを信頼するかを決定する前に、コードと発行元に関する詳細情報を表示できます。 署名が存在しない、または署名が無効であるという警告を受け取った場合、コードが信頼できるソースからのものである場合を除き、コンテンツを有効にしたり、発行元を信頼したりしないでください。 通常、署名が無効であるというメッセージは、作成者が署名した後にコードが改ざんされたことを意味します。

Office ファイルで使用されるマクロが署名されていて、証明書を検証し、ソースを信頼している場合は、そのソースを信頼された発行元にすることができます。 可能であれば、ユーザーの信頼できる発行元を管理することをお勧めします。

注:

組織が Office ファイル内のマクロを開発し、内部ユーザーまたは外部の顧客に配布する場合、マクロ開発者はベスト プラクティスとして VBA コードに署名する必要があります。 通常、コードは、マクロが配布される前に、商用証明機関 (CA) からのデジタル証明書で署名されます。

信頼された発行元にするには、マクロの署名に使用されるパブリック コード署名証明書を、デバイス上の信頼された発行元証明書ストアに追加する必要があります。

警告

• 同じ証明書で有効に署名されたすべてのマクロは、信頼された発行元からのマクロとして認識され、実行されます。
• 信頼された発行元は、Office 固有の設定だけでなく Windows 全体の設定であるため、信頼された発行元を追加すると、Office に関連するもの以外のシナリオに影響する可能性があります。

グループ ポリシーを使用して信頼された発行元を管理する

グループ ポリシーを使用して、マクロの署名に使用されるパブリック コード署名証明書を組織内のデバイスに配布できます。 証明書を配布するには、グループ ポリシー管理ツールで次の手順を実行します。

1. コンピューターの構成\ポリシー\Windows 設定\セキュリティ設定\公開キー ポリシーに移動し、[ 信頼された発行元] を右クリックし、[ インポート] を選択します。
2. 証明書の インポート ウィザード を実行し、適切な証明書ファイルを信頼された発行元の証明書ストアにインポートします。

信頼できる発行元によって署名された VBA マクロのみを実行する必要があるユーザーの場合は、 VBA マクロ通知設定 ポリシーを [有効] に設定し、[ オプション] で次の手順を実行する必要があります。

• ドロップダウン リストから [ デジタル署名されたマクロを除くすべてを無効にする] を選択 します。
• [ 信頼された発行元によって署名されるマクロを要求する ] チェック ボックスをオンにします。

注:

Excel でこれらの設定を選択すると、Excel 4.0 マクロはブロックされます。

さらに制限を指定する場合は、[ オプション] で、[ 現在のユーザー証明書ストアにのみインストールされている信頼された発行元からの証明書をブロック する] チェック ボックスをオンにすることができます。 この設定により、ユーザーがデバイスに管理者権限を持っていない限り、ユーザーは信頼できる発行元を手動でデバイスに追加できなくなります。

コマンド ライン プログラムを使用して、信頼された発行元の証明書を配布する

組織内のグループ ポリシーを使用できない場合、または使用しない場合は、スクリプトで certutil コマンドを使用するか、デバイスで手動で公開コード署名証明書を配布することもできます。 -addstore パラメーターを使用して、コード署名証明書をデバイスの TrustedPublisher ストアに追加できます。

ユーザーに信頼された発行元を手動で追加する

信頼できる発行元を設定する必要があるユーザーが少ない場合は、各デバイスで手動で行うことができます。 ユーザーは、パブリッシャーごとに 1 回だけこの操作を行う必要があります。

ユーザーは、 次の手順に従って 、信頼された発行元のソースを追加できます。 ファイルに Mark of the Web がある場合、ユーザーは信頼できる発行元としてソースを追加する前に、まずファイルから Web のマークを削除する必要があります。 詳細については、 この記事の情報を参照してください。