Office 檔案受信任的發行者

適用于：Microsoft 365 Apps、Office LTSC 2021、Office 2019 和 Office 2016

發行者是擁有宏、ActiveX 控制項或增益集等軟體的人員或公司。 在您決定發行者可靠且可以信任之前，您應該先知道發行者的身分識別，以及該發行者的認證是否有效。

如果 Office 警告您檔案中可能不安全的程式碼，您可以在決定是否信任程式碼或發行者之前，先檢視程式碼和發行者詳細資訊。 如果您收到警告，指出沒有簽章，或簽章無效，您不應該啟用內容或信任發行者，除非您確定程式碼來自可靠的來源。 通常，簽章不正確訊息表示在作者簽署後該代碼遭到竄改。

如果已簽署 Office 檔案中使用的宏，而且您已驗證憑證並信任來源，您可以將該來源設為信任的發行者。 如果可能，建議您為使用者管理信任的發行者。

注意事項

如果貴組織在 Office 檔案中開發和散佈宏，或發佈給內部使用者或外部客戶，則您的宏開發人員應以最佳做法簽署其 VBA 程式碼。 代碼通常會以商業憑證授權單位單位 (CA) 的數位憑證簽署，然後再散播宏。

若要成為信任的發行者，用來簽署宏的公用程式代碼簽署憑證必須新增至裝置上的「信任的發行者」憑證存放區。

警告

• 所有使用相同憑證有效簽署的宏，都會辨識為來自受信任的發行者，並且會執行。
• 新增信任的發行者可能會影響 Office 以外的案例，因為受信任的發行者是全 Windows 的設定，而不只是 Office 特定的設定。

使用 群組原則 管理受信任的發行者

您可以使用群組原則，將用來簽署宏的公用代碼簽署憑證發佈到貴組織的裝置。 若要散發憑證，您可以在群組原則管理工具中執行下列步驟：

1. 前往電腦設定\原則\Windows 設定\安全性設定\公開金鑰原則，以滑鼠右鍵按一下 [信任的發行者]，然後選擇 [ 匯入]。
2. 執行 憑證匯入精靈 ，並將適當的憑證檔案匯入到信任的 Publishers 憑證存放區。

對於只應執行由信任發行者簽署的 VBA 宏的使用者，您應將 VBA 宏通知設定 原則設定為 [啟用 ]，並執行 [ 選項] 底下的下列步驟：

• 選 取 [停用] 下拉式清單中的數位簽章宏以外的所有 功能。
• 選取 [需要由信任的發行者簽署宏 ] 核取方塊。

注意事項

如果您為 Excel 選擇這些設定，會封鎖 Excel 4.0 宏。

如果您想要提供更多限制，您可以在 [ 選項 ] 底下，選取 [封鎖僅安裝在目前使用者憑證存放區中之受信任發行者的憑證 ] 核取方塊。 除非使用者在其裝置上擁有系統管理員許可權，否則該設定可防止使用者在其裝置上手動新增信任的發行者。

使用命令列程式發佈受信任發行者憑證

如果您無法在貴組織中使用或不使用群組原則，您也可以使用腳本中的certutil命令或在裝置上手動發佈公用程式代碼簽署憑證。 您可以使用 -addtore 參數 ，將代碼簽署憑證新增至裝置上的 TrustedPublisher 存放區。

讓使用者手動新增信任的發行者

如果您只有少數幾個使用者需要設定信任的發行者，您可以在每部裝置上手動設定。 每個發行者只需要執行此動作一次。

使用者可以 依照下列指示 ，將來源新增為信任的發行者。 如果檔案具有 Web 標記，使用者必須先從檔案中移除 Web 標記，才能將來源新增為信任的發行者。 如需詳細資訊， 請參閱本文中的資訊。