2007 Office system 管理用テンプレート ファイル (ADM、ADMX、ADML) および Office カスタマイズ ツールの更新
適用先: Office 2010
トピックの最終更新日: 2016-11-29
Microsoft Office 2010 には、Microsoft Excel 2010、Microsoft PowerPoint 2010、および Microsoft Word 2010 の [パスワードを使用して暗号化] 機能を使用するときに、パスワードの長さと複雑さのルールなど、強力なパスワードを適用できる設定があります。これらの設定を使用すると、ローカルのパスワードの要件や、グループ ポリシーのパスワードのポリシー設定で指定されているドメイン ベースの要件を Office 2010 アプリケーションで適用できます。
この記事の内容
パスワードの長さと複雑さの設定の計画について
パスワードの長さと複雑さを適用する
パスワードの長さと複雑さの関連設定
パスワードの長さと複雑さの設定の計画について
既定では、[パスワードを使用して暗号化] 機能にパスワードの長さや複雑さに関する制限はありません。このため、ユーザーはパスワードを指定しなくても、文書、プレゼンテーション、またはブックを暗号化できます。しかし、組織ではこの既定の設定を変更し、パスワードの長さと複雑さを適用して、[パスワードを使用して暗号化] 機能で強力なパスワードが使用されるようにすることをお勧めします。
多くの組織では、ドメイン ベースのグループ ポリシーを使用してログオンと認証に強力なパスワードを適用しています。このような場合は、[パスワードを使用して暗号化] 機能にも同じパスワードの長さと複雑さの要件を使用することをお勧めします。パスワードの長さと複雑さを決める場合の推奨事項を含めて、強力なパスワードの詳細については、「Creating a Strong Password Policy (英語)」(https://go.microsoft.com/fwlink/?linkid=166269\&clcid=0x411) (英語) を参照してください。
警告
パスワードのポリシーを定義するときは、強力なセキュリティの必要性と、パスワードのポリシーをユーザーが実装しやすいものにする必要性とのバランスを考慮する必要があります。パスワードを忘れたり、従業員がデータの保存と暗号化に使用したパスワードを伝えずに退職したりした場合、データを解読する正しいパスワードが判明するまでデータにアクセスできなくなります。
パスワードの長さと複雑さを適用する
Office 2010 のパスワード設定を構成してパスワードの長さと複雑さを適用する場合、Office 2010 に備わっている設定を使用するか、ドメイン ベースのグループ ポリシー オブジェクトで利用できるパスワード設定と組み合わせて使用するかを選択できます。既にドメインのログオンと認証に強力なパスワードを適用している場合は、Office 2010 のパスワードの長さと複雑さの設定を、ドメインのパスワードのポリシー グループ ポリシー オブジェクトに構成されている設定と同じに構成することをお勧めします。
Office 2010 に備わっているパスワード設定は次のとおりです。
[パスワードの最小文字数を設定する]
[パスワード ルールのレベルを設定する]
[パスワード ルール ドメインのタイムアウトを設定する]
Office 2010 のパスワード設定は、Office カスタマイズ ツール (OCT) を使用するか、ローカルまたはドメイン ベースのグループ ポリシーの Office 2010 管理用テンプレートを使用して構成できます。OCT および Office 2010 管理用テンプレートでセキュリティ設定を構成する方法については、「Office 2010 のセキュリティを構成する」を参照してください。
ドメインのパスワードのポリシー グループ ポリシー オブジェクトで利用できるパスワード設定は次のとおりです。
[パスワードの履歴を記録する]
[パスワードの有効期間]
[パスワードの変更禁止期間]
[パスワードの長さ]
[パスワードは、複雑さの要件を満たす必要がある]
[暗号化を元に戻せる状態でパスワードを保存する]
グループ ポリシー オブジェクト エディターを使用して、ドメイン ベースのパスワードのポリシー設定を構成できます ([GPO] | [コンピューターの構成] | [ポリシー] | [Windows の設定] | [セキュリティの設定] | [アカウント ポリシー] | [パスワードのポリシー])。詳細については、「Group Policy Object Editor Technical Reference (英語)」(https://go.microsoft.com/fwlink/?linkid=188682\&clcid=0x411) (英語) を参照してください。
Office 2010 の [パスワード ルールのレベルを設定する] 設定によって、パスワードの複雑さの要件、およびドメインのパスワードのポリシー グループ ポリシー オブジェクトを使用するかどうかが決まります。
[パスワードを使用して暗号化] 機能にパスワードの長さと複雑さを適用するには、次の作業を行う必要があります。
ローカルで適用するパスワードの最小文字数を決定します。
パスワード ルールのレベルを決定します。
ドメイン ベースのパスワード適用時のパスワードのタイムアウト値を決定します (この作業は必須ではありません。ドメイン コントローラーにカスタム パスワード フィルターがインストールされていて、ドメイン コントローラーに接続するときの既定の待機時間である 4 秒では不十分な場合に、この値の構成が必要になることがあります)。
パスワードの最小文字数の要件を決定する
パスワードの長さと複雑さを適用するには、最初にローカルで適用するパスワードの最小文字数を決定する必要があります。これを行うには、[パスワードの最小文字数を設定する] 設定を使用します。この設定を有効にすると、パスワードの長さを 0 ~ 255 文字の範囲で指定できます。ただし、パスワードの最小文字数を指定しただけでは、パスワードの長さは適用されません。パスワードの長さや複雑さを適用するには、次のセクションで説明する [パスワード ルールのレベルを設定する] 設定を変更する必要があります。
警告
パスワードのポリシーを定義するときは、強力なセキュリティの必要性と、パスワードのポリシーをユーザーが実装しやすいものにする必要性とのバランスを考慮する必要があります。パスワードを忘れたり、従業員がデータの保存と暗号化に使用したパスワードを伝えずに退職したりした場合、データを解読する正しいパスワードが判明するまでデータにアクセスできなくなります。
パスワード ルールのレベルを決定する
ローカルで適用するパスワードの最小文字数を設定した後は、パスワードの長さと複雑さを適用するためのルールを決定する必要があります。これを行うには、[パスワード ルールのレベルを設定する] 設定を使用します。この設定を有効にすると、次の 4 つのいずれかのレベルを選択できます。
[パスワード チェックなし] パスワードの長さと複雑さは適用されません。これは既定の構成と同じです。
[ローカルのパスワード文字数のチェック] パスワードの長さは適用されますが、パスワードの複雑さは適用されません。また、パスワードの長さは、[パスワードの最小文字数を設定する] 設定で指定したパスワードの長さの要件に従ってローカル ベースでのみ適用されます。
[ローカルのパスワード文字数と複雑性のチェック] パスワードの長さは、[パスワードの最小文字数を設定する] 設定で指定したパスワードの長さの要件に従ってローカル ベースで適用されます。パスワードの複雑さもローカル ベースで適用されます。つまり、パスワードには次の文字セットの少なくとも 3 つに該当する文字が含まれている必要があります。
小文字の a ~ z
大文字の A ~ Z
数字の 0 ~ 9
アルファベット以外の文字
この設定は、[パスワードの最小文字数を設定する] 設定でパスワードの長さを 6 文字以上に指定した場合にのみ機能します。
[ローカルのパスワード文字数と複雑性、およびドメイン ポリシーのチェック] グループ ポリシーで設定されているドメイン ベースのパスワードのポリシー設定に従って、パスワードの長さと複雑さが適用されます。コンピューターがオフラインの場合や、ドメイン コントローラーに接続できない場合は、ローカルのパスワードの長さと複雑さの要件が、[ローカルのパスワード文字数と複雑性のチェック] 設定で説明したとおりに適用されます。
ドメイン ベースの設定を使用してパスワードの長さと複雑さを適用する場合は、グループ ポリシーのパスワードのポリシー設定を構成する必要があります。ドメイン ベースでの適用には、ローカルでの適用に比べていくつかの利点があります。たとえば、次のような利点があります。
ログオンと認証に適用されるパスワードの長さと複雑さの要件が、[パスワードを使用して暗号化] 機能に適用される要件と同じになります。
パスワードの長さと複雑さの要件が、組織全体を通じて同じ方法で適用されます。
パスワードの長さと複雑さの要件を、組織単位、サイト、およびドメインに応じて別々に適用できます。
ドメイン ベースのグループ ポリシーを使用してパスワードの長さと複雑さを適用する方法の詳細については、「Enforcing strong password usage throughout your organization (英語)」(https://go.microsoft.com/fwlink/?linkid=166262\&clcid=0x411) (英語) を参照してください。
ドメインのタイムアウト値を決定する
ドメイン ベースのグループ ポリシーの設定を使用して [パスワードを使用して暗号化] 機能にパスワードの長さと複雑さを適用する場合で、ドメイン コントローラーにカスタム パスワード フィルターがインストールされている場合は、[パスワード ルール ドメインのタイムアウトを設定する] 設定の構成が必要になることがあります。ドメインのタイムアウト値によって、Office 2010 アプリケーションがドメイン コントローラーからの応答を待機する時間が決まります。この時間を過ぎると、アプリケーションはローカルのパスワードの長さと複雑さの設定を使用して適用します。[パスワード ルール ドメインのタイムアウトを設定する] 設定を使用すると、ドメインのタイムアウト値を変更できます。既定では、タイムアウト値は 4,000 ミリ秒 (4 秒) です。つまり、ドメイン コントローラーが 4,000 ミリ秒以内に応答しない場合、Office 2010 アプリケーションはローカルのパスワードの長さと複雑さの設定を使用して適用します。
注意
ドメインのタイムアウト値は、[パスワードの最小文字数を設定する] 設定を有効にし、[パスワード ルールのレベルを設定する] 設定を有効にして、[ローカルのパスワード文字数と複雑性、およびドメイン ポリシーのチェック] オプションを選択した場合以外は無効です。
パスワードの長さと複雑さの関連設定
組織でパスワードの長さと複雑さを適用するときは、多くの場合、次の設定が使用されます。
暗号化方式の指定の設定 これらの設定では、文書、プレゼンテーション、およびブックの暗号化に使用される暗号化プロバイダーとアルゴリズムを指定できます。
注意
ポリシー設定に関する最新情報については、Microsoft Excel 2010 ブック Office2010GroupPolicyAndOCTSettings_Reference.xls を参照してください。このブックは、「Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (英語)」(https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x411) (英語) ダウンロード ページの [Files in this Download] セクションで入手できます。