Office 2013 のパスワードの複雑さの設定を計画する
適用先: Office 365 ProPlus
トピックの最終更新日: 2016-12-16
概要 Office 2013 のパスワード設定を使用してパスワード要件を施行する方法について説明します。
対象ユーザー: IT 担当者
Excel 2013、PowerPoint 2013、Word 2013 の [パスワードを使用して暗号化] 機能には、パスワードの長さと複雑さに関するルールなど、強力なパスワードを義務付けられるようにする設定が含まれています。このような設定を使用することにより、Office 2013 アプリケーションにローカルのパスワード要件やグループ ポリシー内のパスワード ポリシー設定で指定されたドメイン ベースの要件を義務付けるように指示することができます。
重要
この記事は、IT 担当者向けの 「Office 2013 の ID、認証、承認のロードマップ」に含まれています。このロードマップは、Office 2013 の識別情報の評価に役立つ記事、ダウンロード、ポスター、ビデオなどを参照する際の出発点として使用します。
個々の Office 2013 アプリケーションの情報をお探しの場合は、Office.com を参照してください。
この記事の内容
パスワードの長さと複雑さの設定を計画するにあたって
パスワードの長さと複雑さを義務付ける
関連するパスワードの長さと複雑さの設定
パスワードの長さと複雑さの設定を計画するにあたって
既定では、[パスワードを使用して暗号化] 機能のパスワードの長さまたは複雑さに対する制限はありません。これは、ユーザーがパスワードを指定せずに、文書、プレゼンテーション、ブックを暗号化できることを意味します。しかし、Microsoft では、組織でこの既定の設定を変更し、[パスワードを使用して暗号化] 機能を使って、パスワードの長さと複雑さを義務付け強力なパスワードを必ず使用することを推奨しています。
多くの組織がログオン用の強力なパスワードとドメイン ベースのグループ ポリシーを使用した認証を義務付けています。その場合は、[パスワードを使用して暗号化] 機能に対しても同じパスワードの長さと複雑さに関する要件を使用することをお勧めします。パスワードの長さと複雑さの決定方法に関する推奨事項を含む、強力なパスワードの詳細については、「Windows Server 2003/2003 R2 の削除されたコンテンツ」を参照してください。
ヒント
パスワード ポリシーを設定する際、強力なセキュリティとユーザーが実装しやすいパスワード ポリシーのバランスをとる必要があります。パスワードを忘れた場合や退職した従業員がデータの保存と暗号化に使用していたパスワードがわからない場合は、データを暗号化解除するための正しいパスワードが入手できるまで、データにアクセスすることができません。
パスワードの長さと複雑さを義務付ける
パスワードの長さと複雑さを義務付けるために Office 2013 から提供されているパスワード設定を構成するときに、Office 2013 に付属している設定を使用するか、ドメイン ベースのグループ ポリシー オブジェクトで使用可能なパスワード設定と組み合わせて使用するかを選択できます。すでに、ドメインのログオンと認証に対して強力なパスワードを義務付けている場合は、Office 2013 のパスワードの長さと複雑さの設定をドメインのパスワード ポリシー グループ ポリシー オブジェクト (GPO) に対する設定に合わせることをお勧めします。
次のようなパスワード設定が Office 2013 に付属しています。
パスワードの最小文字数を設定する
パスワード ルールのレベルを設定する
パスワード ルール ドメインのタイムアウトを設定する
Office 2013 のパスワード設定は、Office カスタマイズ ツール (OCT) あるいはローカルまたはドメイン ベースのグループ ポリシー用の Office 2013 管理用テンプレートを使用して構成できます。OCT と Office 2013 管理用テンプレートでのセキュリティ設定の構成方法については、「OCT またはグループ ポリシーを使用した Office 2013 のセキュリティの構成」を参照してください。
次のようなパスワード設定をパスワード ポリシー GPO で使用できます。
パスワードの履歴を記録する
パスワードの有効期間
パスワードの変更禁止期間
パスワードの最小文字数
パスワードは、複雑さの要件を満たす必要がある
暗号化を元に戻せる状態でパスワードを保存する
グループ ポリシーを使用してドメイン ベースのパスワード ポリシー設定を構成できます。詳細については、「Windows と Windows Server のグループ ポリシー設定リファレンス」を参照してください。
Office 2013 の [パスワード ルールのレベルを設定する] 設定は、パスワードの複雑さの要件とドメイン用のパスワード ポリシー グループ ポリシー オブジェクトを使用するかどうかを決定します。
[パスワードを使用して暗号化] 機能のパスワードの長さと複雑さを義務付けるには、以下のことを決定する必要があります。
ローカルに義務付ける最小パスワード長
パスワード ルールのレベル
ドメイン ベースのパスワードを義務付けるパスワード タイムアウト値。これは、オプション タスクです。次のことが両方とも当てはまる場合、パスワード タイムアウトの設定を検討する必要があります。
ドメイン コントローラーにカスタム パスワード フィルターがインストールされている
ドメイン コントローラーに接続するまでに既定の 4 秒より長くかかる
最小パスワード長の要件を決定する
パスワードの長さと複雑さを義務付けるために、まず、ローカルで義務付ける最小パスワード長を決定します。[パスワードの最小文字数を設定する] 設定を使用すれば、これを実現できます。この設定が有効になっている場合は、0 から 255 のパスワード長を指定できます。ただし、最小パスワード長を指定しても、パスワードの長さを義務付けることにはなりません。パスワードの長さまたは複雑さを義務付けるには、後述する [パスワード ルールのレベルを設定する] 設定を変更する必要があります。
ヒント
パスワード ポリシーを設定する際、強力なセキュリティとユーザーが実装しやすいパスワード ポリシーのバランスをとる必要があります。パスワードを忘れた場合や退職した従業員がデータの保存と暗号化に使用していたパスワードがわからない場合は、データを暗号化解除するための正しいパスワードが入手できるまで、データにアクセスすることができません。
パスワード ルールのレベルを決定する
ローカルに義務付ける最小パスワード長を設定したら、パスワードの長さと複雑さを義務付けるルールを決定する必要があります。[パスワード ルールのレベルを設定する] 設定を使用すれば、これを実現できます。この設定が有効になっている場合は、次の 4 つのレベルの中から選択できます。
パスワード チェックなし パスワードの長さと複雑さが義務付けられません。これは、既定の設定と同じです。
ローカルのパスワード文字数のチェック パスワードの長さは義務付けられますが、パスワードの複雑さは義務付けられません。加えて、パスワードの長さが [パスワードの最小文字数を設定する] 設定で指定されたパスワードの長さの要件に従ってローカル ベースでのみ義務付けられます。
ローカルのパスワード文字数と複雑性のチェック パスワードの長さが [パスワードの最小文字数を設定する] 設定で指定されたパスワードの長さの要件に従ってローカル ベースで義務付けられます。また、パスワードの複雑さもローカル ベースで義務付けられます。これは、パスワードに次の文字セットの中から 3 文字以上を含める必要があることを意味します。
小文字の a - z
大文字の A - Z
数字の 0 - 9
アルファベット以外の文字
この設定は、[パスワードの最小文字数を設定する] 設定で 6 文字以上のパスワード長が指定された場合にのみ機能します。
ローカルのパスワード文字数と複雑性、およびドメイン ポリシーのチェック パスワードの長さと複雑さがグループ ポリシーで設定されたドメイン ベースのパスワード ポリシー設定に従って義務付けられます。コンピューターがオフラインの場合、または、ドメイン コントローラーに接続できない場合は、ローカルのパスワードの長さと複雑さに関する要件が [ローカルのパスワード文字数と複雑性のチェック] 設定と全く同じように義務付けられます。
ドメイン ベースの設定を使用してパスワードの長さと複雑さを義務付ける場合は、グループ ポリシーでパスワード ポリシー設定を構成する必要があります。ドメイン ベースの義務付けにはローカルの義務付けを上回るいくつかのメリットがあります。その一部を以下に示します。
パスワードの長さと複雑さに関する要件が [パスワードを使用して暗号化] 機能のログオンと認証向けのものと同じになる。
パスワードの長さと複雑さに関する要件が組織全体で同じ様に義務付けられる。
パスワードの長さと複雑さに関する要件を組織単位、サイト、ドメインごとに別々に義務付けることができる。
ドメイン ベースのグループ ポリシーを使用したパスワードの長さと複雑さの義務付けの詳細については、「組織全体で強力なパスワードの使用を義務付ける」を参照してください。
ドメイン タイムアウト値を決定する
ドメイン ベースのグループ ポリシー設定を使用して [パスワードを使用して暗号化] 機能のパスワードの長さと複雑さを義務付けており、ドメイン コントローラーにカスタム パスワード フィルターがインストールされている場合は、[パスワード ルール ドメインのタイムアウトを設定する] 設定を構成する必要があります。ドメイン タイムアウト値は、Office 2013 アプリケーションがローカルのパスワードの長さと複雑さの設定を義務付ける前に、ドメイン コントローラーからの応答を待つ時間を決定します。[パスワード ルール ドメインのタイムアウトを設定する] 設定を使用して、ドメイン タイムアウト値を変更できます。既定のタイムアウト値は 4,000 ミリ秒 (4 秒) です。これは、ドメイン コントローラーが 4,000 ミリ秒以内に応答しなかった場合、Office 2013 アプリケーションがパスワードの長さと複雑さを義務付ける際にローカルの設定を使うことを意味します。
注意
ドメイン タイムアウト値は、[パスワードの最小文字数を設定する] 設定を有効にし、[パスワード ルールのレベルを設定する] 設定を有効にしてから、[ローカルのパスワード文字数と複雑性、およびドメイン ポリシーのチェック] オプションを選択しないかぎり、機能しません。
関連するパスワードの長さと複雑さの設定
組織でパスワードの長さと複雑さを義務付けるときに、次の設定がよく使用されます。
- 暗号化方式の指定の設定 この設定を使用すれば、文書、プレゼンテーション、ブックの暗号化に使用される暗号化プロバイダーとアルゴリズムを指定できます。
注意
ポリシー設定の最新情報については、TechNet 記事の「Office 2013 のグループ ポリシー管理用テンプレート ファイル (ADMX、ADML) および Office カスタマイズ ツール (OCT) ファイル」を参照してください。
関連項目
Office 2013 の ID、認証、承認のロードマップ
Office 2013 のセキュリティの概要
OCT またはグループ ポリシーを使用した Office 2013 のセキュリティの構成