共用方式為


Outlook 2013 的安全性與保護設定概觀

 

適用版本: Office 365 ProPlus, Outlook 2013

上次修改主題的時間: 2016-12-16

摘要: 了解 Outlook 2013 的安全性設定。

對象: IT 專業人員

系統管理員可以自訂 Outlook 2013 中的多個安全性相關功能。這包含如何強制執行安全性設定、可以執行的 ActiveX 控制項類型、自訂表單安全性及程式設計安全性設定。您也可以自訂附件、資訊版權管理、垃圾郵件及加密的 Outlook 2013 安全性設定 (其涵蓋於本文稍後之<其他設定>所列的其他文章中)。

重要事項重要事項:
本文提供的內容適用於要為組織設定 Outlook 設定的系統管理員。
您要了解桌面上 Outlook 的安全性設定?您可以參閱下列其中一篇文章,協助您確保桌面上 Outlook 的安全。

本文內容:

  • 概觀

  • 指定如何在 Outlook 中強制執行安全性設定

  • 系統管理員與使用者設定在 Outlook 2013 中的互動方式

  • 使用 Outlook COM 增益集

  • 在 Outlook 2010 中自訂 ActiveX 及自訂表單安全性

  • 在 Outlook 2013 中自訂程式設計設定

  • 自訂簡易 MAPI 設定

  • 其他設定

概觀

Outlook 預設是設定成使用高安全性相關設定。高安全性層級可能會限制 Outlook 的功能 (如電子郵件訊息附件檔案類型的限制)。您可能需要降低組織的預設安全性設定。不過,請注意,降低任何預設安全性設定,可能會增加病毒執行或傳播的風險。

在您使用「群組原則」或 Outlook 安全性範本開始設定 Outlook 2013 的安全性設定之前,必須在「群組原則」中設定 Outlook 安全性模式。如果您未設定 Outlook 安全性模式,則 Outlook 2013 會使用預設安全性設定,並忽略任何已進行的 Outlook 2013 安全性設定。

如需關於如何下載 Outlook 2013 系統管理範本及其他 Office 2013 系統管理範本的詳細資訊,請參閱<Office 2013 的群組原則系統管理範本檔案 (ADMX、ADML) 和 Office 自訂工具 (OCT) 檔案>。如需關於群組原則的詳細資訊,請參閱<Office 2013 的群組原則概觀>及<在 Office 2010 中使用群組原則進行設定>。

指定如何在 Outlook 中強制執行安全性設定

與使用 Office Outlook 2007 及 Outlook 2010 相同,您可以使用「群組原則」設定 Outlook 2013 的安全性選項 (建議),或使用 Outlook 安全性範本變更安全性設定,並將設定發行至 Exchange Server 公用資料夾之最上層資料夾中的表單。除非您的環境具有 Office Outlook 2003 或較早版本,否則建議使用「群組原則」設定安全性設定。若要使用任一選項,則必須在「群組原則」中啟用 [Outlook 安全性模式] 設定,並設定 [Outlook 安全性原則] 值。如果您未啟用此設定,則會強制執行產品中的預設安全性設定。[Outlook 安全性模式] 設定位於 [使用者設定\系統管理範本\Microsoft Outlook 2013\安全性\安全性表單設定] 下的 Outlook 2013 群組原則範本 (Outlk15.admx) 中。當您啟用 [Outlook 安全性模式] 設定時,會有四個 [Outlook 安全性原則] 選項 (如下表所述)。

Outlook 安全性原則選項

[Outlook 安全性模式] 選項 描述

Outlook 預設安全性

Outlook 會忽略「群組原則」中所設定的任何安全性相關設定,或在使用 Outlook 安全性範本時進行同樣的處理。這是預設設定。

Outlook 安全性群組原則

Outlook 使用「群組原則」中的安全性設定 (建議)。

「Outlook 安全性設定」公用資料夾的安全性表單

Outlook 會使用指定的公用資料夾中所發佈之安全性表單的設定。

「Outlook 10 安全性設定」公用資料夾的安全性表單

Outlook 會使用指定的公用資料夾中所發佈之安全性表單的設定。

使用群組原則自訂安全性設定

當您使用「群組原則」設定 Outlook 2013 的安全性設定時,請考慮下列因素:

  • Outlook 安全性範本中的設定必須手動移至「群組原則」。   如果您先前使用 Outlook 安全性範本管理安全性設定,而現在選擇使用「群組原則」強制執行 Outlook 2013 中的設定,則必須將先前設定的設定手動移轉成 Outlook 2013 的對應「群組原則」設定。

  • 使用「群組原則」所設定的自訂設定可能不會立即作用。   您可以設定在使用者登入時,依您決定的頻率 (在背景中) 自動重新整理使用者電腦上的「群組原則」。若要確保新的「群組原則」設定能立即作用,使用者必須登出後再重新登入其電腦。

  • Outlook 只會在啟動時檢查安全性設定。   如果在執行 Outlook 時重新整理安全性設定,則在使用者關閉並重新整理 Outlook 之前不會使用新的設定。

  • 僅個人資訊管理員 (PIM) 模式中不會套用自訂設定。   在 PIM 模式中,Outlook 會使用預設安全性設定。在此模式中,不需要或不會使用系統管理員設定。

特殊環境

當您使用「群組原則」設定 Outlook 2013 的安全性設定時,請考慮環境是否包含下表所顯示的一或多個案例。

特殊環境案例

案例 問題

使用託管 Exchange Server 存取其信箱的使用者

如果使用者使用託管 Exchange Server 存取信箱,則您可以使用 Outlook 安全性範本設定安全性設定,或使用預設 Outlook 安全性設定。在託管的環境中,使用者會遠端存取其信箱。例如,他們可以使用虛擬私人網路 (VPN) 連線或使用 Outlook 無所不在 (RPC over HTTP),在遠端存取其信箱。因為「群組原則」是使用 Active Directory 進行部署,而在此案例中,使用者的本機電腦不是網域的成員,所以無法套用「群組原則」安全性設定。

此外,透過使用 Outlook 安全性範本設定安全性設定,使用者即可自動收到安全性設定的更新。除非使用者的電腦位於 Active Directory 網域中,否則使用者無法接收「群組原則」安全性設定的更新。

具有其電腦之系統管理權限的使用者

當使用者使用系統管理認證登入時,即不會強制執行針對「群組原則」設定的限制。具有系統管理權限的使用者也可以變更其電腦上的 Outlook 安全性設定,而且可以移除或改變所設定的限制。這不僅適用於 Outlook 安全性設定,也適用於所有「群組原則」設定。

雖然這在組織想要所有使用者都具有標準化設定時會造成問題,但是具有減輕問題的因素:

  • 「群組原則」會在下次登入時覆寫本機變更。而 Outlook 安全性設定的變更會在使用者登入時回復為「群組原則」設定。

  • 只有本機電腦會受到覆寫「群組原則」設定影響。而具有系統管理權限的使用者,只會影響其電腦上的安全性設定,並不會影響其他電腦上使用者的安全性設定。

  • 沒有系統管理權限的使用者,無法變更原則。在此案例中,「群組原則」安全性設定與使用 Outlook 安全性範本所設定的設定同樣安全。

使用 Outlook Web App 存取 Exchange 信箱的使用者

Outlook 和 Outlook Web App 不會使用相同的安全性模型。Outlook Web App 會在 Exchange Server 電腦上儲存不同的安全性設定。如需詳細資訊,請參閱<瞭解 Outlook Web App 的安全性>。

系統管理員與使用者設定在 Outlook 2013 中的互動方式

Outlook 2013 中使用者所定義的安全性設定,其運作方式就像它們包含在您以系統管理員身分定義的「群組原則」設定中一樣。兩者衝突時,較高安全性層級的設定會覆寫較低安全性層級的設定。

例如,如果您使用「群組原則」附件安全性設定 [新增要封鎖為層級 1 的副檔名] 建立要封鎖的層級 1 副檔名清單,則您的清單會覆寫 Outlook 2013 所提供的預設清單,還會覆寫要封鎖之層級 1 副檔名的使用者設定。使用者只能夠從 Outlook 2013 所提供的預設清單移除副檔名。使用者無法移除您新增至 [新增要封鎖為層級 1 的副檔名] 清單的檔案類型。例如,如果使用者想要移除層級 1 群組中的副檔名 .exe 和 .reg,但您使用 [新增要封鎖為層級 1 的副檔名] 群組原則設定將 .exe 新增為層級 1 檔案類型,則使用者只能在 Outlook 中移除層級 1 群組中的 .reg 檔案。

使用 Outlook COM 增益集

COM 增益集也應該進行編碼,如此一來即可利用 Outlook 信任模型執行,而不會在 Outlook 2013 中發出警告訊息。使用者在存取使用增益集的 Outlook 功能時可能還是會看到警告 (如同步處理掌上型裝置與其桌上型電腦上的 Outlook 2013 時)。

不過,與 Office Outlook 2003 或較早版本相較,使用者較不太會在 Outlook 2013 中看到警告。協助防止利用 Outlook 通訊錄傳播病毒的「物件模型 (OM) 保護」在 Office Outlook 2007、Outlook 2010 和 Outlook 2013 中已更新。Outlook 2013 會檢查最新的防毒軟體,協助決定何時顯示通訊錄存取警告和其他的 Outlook 安全性警告。

您無法使用 Outlook 安全性表單或「群組原則」變更「OM 保護」。但是,若使用預設的 Outlook 2013 安全性設定,則預設會信任安裝於 Outlook 2013 中的所有 COM 增益集。若您使用「群組原則」自訂安全性設定,即可指定受信任且執行時不會發生 Outlook 物件模型封鎖的 COM 增益集。

但是,Outlook 2013 的 [受管理的增益集清單] 和 [封鎖所有未受管理的增益集 ] 這兩項新組態設定,可讓您建立永遠啟用或永遠封鎖的增益集清單。這些設定會覆寫信任中心設定。如果增益集位於 [封鎖所有未受管理的增益集 ] 清單中並已新增至 [設定信任的增益集] 設定,則會封鎖此增益集。您可以在 [使用者設定\系統管理範本\Microsoft Outlook 2013\其他] 下的 Outlook 群組原則範本中找到 [受管理的增益集清單] 和 [封鎖所有未受管理的增益集 ] 設定。

若要信任 COM 增益集,您可以將增益集的檔案名稱併入具有檔案之計算雜湊值的「群組原則」設定中。在您可以指定 Outlook 所信任的增益集之前,必須安裝用來計算雜湊值的程式。如需關於如何執行此作業的詳細資訊,請參閱<管理 Outlook 2010 之信任的增益集>。

若您透過 Exchange Server 公用資料夾中所發行的 Microsoft Exchange Server 安全性表單,強制執行自訂的 Outlook 安全性設定,即可了解如何信任 COM 增益集。請向下捲動至 Microsoft Office 2003 Resource Kit 文章<Outlook 安全性範本設定>中的<信任的程式碼索引標籤>一節。

如果使用者在將增益集併入信任的增益集清單後仍然看到安全性提示,則您必須與 COM 增益集開發人員合作解決問題。如需關於編碼信任之增益集的詳細資訊,請參閱<Microsoft Outlook COM 增益集開發人員的重要安全性提示>。

在 Outlook 2013 中自訂 ActiveX 及自訂表單安全性

您可以指定 Outlook 2013 使用者的 ActiveX 及自訂表單安全性設定。自訂表單安全性設定包含用來變更 Outlook 2013 如何限制指令碼、自訂控制項及自訂動作的選項。

自訂 ActiveX 控制項在 One-off 表單中的行為方式

Outlook 接收到含有表單定義的訊息時,此項目是 One-off 表單。為了協助防止在 One-off 表單中執行不想要的指令碼及控制項,Outlook 預設不會在 One-off 表單中載入 ActiveX 控制項。

您可以使用群組原則 Outlook 2013 範本 (Outlk15.admx) 鎖定用於自訂 ActiveX 控制項的設定。或者,可以使用 Office 自訂工具 (OCT) 來設定預設設定,在此情況下,使用者可以變更設定。在群組原則中,使用 [使用者設定\系統管理範本\Microsoft Outlook 2013\安全性] 下的 [允許 ActiveX One Off 表單] 設定。在 OCT 中,[允許 ActiveX One Off 表單] 設定位於 OCT 之 [修改使用者設定] 頁面上對應的位置。如需關於 OCT 的詳細資訊,請參閱<Office 2013 的 Office 自訂工具 (OCT) 參考>。

當您啟用 [允許 ActiveX One Off 表單] 設定時,會有下表所述的三個選項。

允許 Active X One Off 表單設定選項

選項 描述

允許所有 ActiveX 控制項

允許所有 ActiveX 控制項在沒有限制的情況下執行。

只允許安全的控制項

只允許安全的 ActiveX 控制項執行。如果 ActiveX 控制項是使用 Authenticode 進行簽署,而且簽署者列在信任的發行者清單中,則 ActiveX 控制項是安全的。

只載入 Outlook 控制項

Outlook 只會載入下列控制項,而這些是唯一可用於 One-off 表單的控制項。

  • fm20.dll 中的控制項

  • Microsoft Office Outlook 豐富格式控制項

  • Microsoft Office Outlook 收件者控制項

  • Microsoft Office Outlook 檢視控制項

如果您未設定其中任何選項,預設只會載入 Outlook 控制項。

對自訂表單自訂安全性設定

您可以使用群組原則 Outlook 2013 範本 (Outlk15.admx) 鎖定用於設定自訂表單安全性的設定。在群組原則中,這些設定位於 [使用者設定\系統管理範本\Microsoft Outlook 2013\安全性\安全性表單設定\自訂表單安全性] 下。

下表顯示您可以針對指令碼、自訂控制項及自訂動作所設定的設定:

指令碼、自訂控制項及自訂動作設定

設定名稱 登錄路徑與值名稱 描述

允許 One-off Outlook 表單中的指令碼

群組原則登錄路徑: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!enableoneoffformscripts

在郵件中含有指令碼及版面配置的表單中執行指令碼。如果使用者接收到含有指令碼的 One-off 表單,則系統會提示使用者,詢問他們是否要執行指令碼。

設定 Outlook 物件模型自訂動作執行提示

群組原則登錄路徑: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomcustomaction

指定程式嘗試使用 Outlook 物件模型執行自訂動作時要如何因應。您可以建立自訂動作來回覆郵件,以及規避程式設計傳送保護。請選取下列任一動作:

  • [提示使用者] 可讓使用者接收訊息,並決定是否允許進行程式設計傳送存取。

  • [自動核准] 一律會允許進行程式設計傳送存取,而不顯示訊息。

  • [自動拒絕] 一律會拒絕進行程式設計傳送存取,而不顯示訊息。

  • [根據電腦安全性提示使用者] 會強制執行 Outlook 2013 中的預設設定。

在 Outlook 2013 中自訂程式設計設定

Outlook 2013 系統管理員可以設定程式設計安全性設定,以管理 Outlook 物件模型的限制。Outlook 物件模型可讓您透過程式設計方式操作 Outlook 資料夾中所儲存的資料。

注意事項附註:
Exchange Server 安全性範本包含 Collaboration Data Objects (CDO) 的設定。不過,不支援搭配使用 CDO 與 Outlook 2013。

您可以使用「群組原則」來設定 Outlook 物件模型的程式設計安全性設定。在群組原則中,載入 Outlook 2013 範本 (Outlk15.admx)。「群組原則」設定位於 [使用者設定\系統管理範本\Microsoft Outlook 2013\安全性\安全性表單設定\程式設計安全性] 之下。使用 Office 自訂工具無法設定這些設定。

下列是程式設計設定之「群組原則」選項的描述。您可以針對每個項目選擇下列其中一個設定:

  • 提示使用者   使用者會收到訊息,以選擇要允許或拒絕作業。針對部分提示,使用者可以選擇允許還是拒絕作業,且長達 10 分鐘不出現提示。

  • 自動核准   Outlook 會自動授與來自任何程式的程式設計存取要求。此選項可能會產生重大的弱點,因此不建議使用它。

  • 自動拒絕   Outlook 會自動拒絕來自任何程式的程式設計存取要求。使用者不會收到提示。

  • 根據電腦安全性提示使用者   Outlook 會依賴信任中心之 [以程式設計方式存取] 區段中的設定。這是預設行為。

下表顯示您可以針對 Outlook 物件模型之程式設計安全性設定所設定的設定。

程式設計安全性設定

設定名稱 登錄路徑與值名稱 描述

設定 Outlook 物件模型在存取通訊錄時提示

群組原則登錄路徑: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomaddressbookaccess

指定程式嘗試使用 Outlook 物件模型存取通訊錄時要如何因應。

設定 Outlook 物件模型在存取 UserProperty 物件的 Formula 屬性時提示

群組原則登錄路徑: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomformulaaccess

指定當使用者將 [組合] 或 [公式] 自訂欄位新增至自訂表單,並將它繫結至 [地址資訊] 欄位時會有什麼影響。這樣做之後,就可以透過取得欄位的 [值] 屬性,以使用程式碼間接擷取 [地址資訊] 欄位的值。

設定 Outlook 物件模型在執行 [另存新檔] 時提示

群組原則登錄路徑: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomsaveas

指定程式嘗試使用 [另存新檔] 命令以程式設計方式儲存項目時要如何因應。儲存項目時,惡意程式可以搜尋檔案中的電子郵件地址。

設定 Outlook 物件模型在讀取地址資訊時提示

群組原則登錄路徑: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomaddressinformationaccess

指定程式嘗試使用 Outlook 物件模型以存取收件者欄位 (如 [收件者] 欄位) 時要如何因應。

設定 Outlook 物件模型在回應會議與工作要求時提示

群組原則登錄路徑: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoommeetingtaskrequestresponse

指定程式嘗試對工作要求或會議邀請使用 [回覆] 方法,以程式設計方式傳送郵件時要如何因應。此方法與郵件訊息上的 [傳送] 方法類似。

設定 Outlook 物件模型在傳送郵件時提示

群組原則登錄路徑: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomsend

指定程式嘗試使用 Outlook 物件模型以程式設計方式傳送電子郵件時會有什麼影響。

自訂簡易 MAPI 設定

您可以使用「群組原則」來設定 Outlook 物件模型的簡易 MAPI 設定。在群組原則中,載入 Outlook 2013 範本 (Outlk15.admx)。「群組原則」設定位於 [使用者設定\系統管理範本\Microsoft Outlook 2013\安全性\安全性表單設定\程式設計安全性] 之下。使用 Office 自訂工具無法設定這些設定。

簡易 MAPI 設定

設定名稱 登錄路徑與值名稱 描述

設定簡易 MAPI 傳送提示

群組原則登錄路徑: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapisend

可讓您指定當程式嘗試使用簡易 MAPI 以程式控制方式傳送郵件時要如何因應。

設定簡易 MAPI 名稱解析提示

群組原則登錄路徑: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapinameresolve

可讓您指定當程式嘗試使用簡易 MAPI 存取通訊錄時要如何因應。

設定簡易 MAPI 郵件開啟提示

群組原則登錄路徑: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapiopenmessage

可讓您指定當程式嘗試使用簡易 MAPI 存取收件者欄位 (例如 [收件者] 欄位) 時要如何因應。

其他設定

下表列出涵蓋本文未含之其他安全性設定的文章。

其他安全性文章

功能 相關資源

ActiveX 控制項

為 Office 2013 規劃 ActiveX 控制項的安全性設定

附件

規劃 Outlook 2013 附件設定

密碼編譯

規劃 Outlook 2010 的電子郵件訊息密碼編譯

數位簽章

規劃 Office 2013 的數位簽章設定

垃圾電子郵件

規劃 Outlook 2010 中垃圾郵件的限制

資訊版權管理

規劃 Office 2013 的資訊版權管理

受保護的檢視

規劃 Office 2013 受保護的檢視設定

另請參閱

Office 2013 安全性概觀