Office ファイルの信頼できる発行元

適用対象:Office Long Term Service Channel (LTSC) 2024、Office LTSC 2021、Office 2019、Office 2016 のボリューム ライセンスバージョン (Project と Visio を含む)

発行元は、マクロ、ActiveX コントロール、アドインなどのソフトウェアを発行する個人または会社です。 発行元を信頼する前に、発行元のユーザーと、その資格情報が有効かどうかを確認してください。

ファイル内の安全でない可能性のあるコードについて Office から警告が表示された場合は、コードと発行元のどちらを信頼するかを決定する前に、コードと発行元に関する詳細情報を表示できます。 署名が見つからないか無効であるかに関する警告が表示される場合は、コードが信頼できるソースから取得されていることを確認しない限り、コンテンツを有効にしたり、発行元を信頼したりしないでください。 通常、署名が無効であるというメッセージは、作成者が署名した後にコードが改ざんされたことを意味します。

Office ファイル内のマクロが署名されていて、証明書を検証し、ソースを信頼した場合は、ソースを信頼された発行元としてマークできます。 可能であれば、信頼された発行元を一元的に管理して、ユーザー のプロンプトを減らし、マクロのセキュリティを確保します。

信頼された発行元にするには、マクロの署名に使用されるパブリック コード署名証明書を、デバイス上の信頼された発行元証明書ストアに追加する必要があります。

グループ ポリシーを使用して信頼できる発行元を管理する

グループ ポリシーを使用して、マクロの署名に使用されるパブリック コード署名証明書をorganization内のデバイスに配布できます。 証明書を配布するには、グループ ポリシー管理ツールで次の手順を実行します。

1. コンピューターの構成\ポリシー\Windows 設定\セキュリティ設定\公開キー ポリシーに移動し、[ 信頼された発行元] を右クリックし、[ インポート] を選択します。
2. 証明書の インポート ウィザード を実行し、適切な証明書ファイルを信頼された発行元の証明書ストアにインポートします。

信頼できる発行元によって署名された VBA マクロのみを実行する必要があるユーザーの場合は、 VBA マクロ通知設定 ポリシーを [有効] に設定し、[ オプション] で次の手順を実行する必要があります。

• ドロップダウン リストから [ デジタル署名されたマクロを除くすべてを無効にする] を選択 します。
• [ 信頼された発行元によって署名されるマクロを要求する ] チェック ボックスをオンにします。

さらに制限を指定する場合は、[ オプション] で、[ 現在のユーザー証明書ストアにのみインストールされている信頼された発行元からの証明書をブロック する] チェック ボックスをオンにすることができます。 この設定により、ユーザーがデバイスに管理者権限を持っていない限り、ユーザーは信頼できる発行元を手動でデバイスに追加できなくなります。

コマンド ライン プログラムを使用して、信頼された発行元の証明書を配布する

organizationでグループ ポリシーを使用しない場合は、パブリック コード署名証明書を手動で配布するか、スクリプトで certutil コマンドを使用して配布できます。 -addstore パラメーターを使用して、コード署名証明書をデバイスの TrustedPublisher ストアに追加できます。

ユーザーに信頼された発行元を手動で追加する

信頼できる発行元を設定する必要があるユーザーが少ない場合は、各デバイスで手動で行うことができます。 ユーザーは、パブリッシャーごとに 1 回だけこの操作を行う必要があります。

ユーザーは、 次の手順に従って 、ソースを信頼された発行元として追加できます。 ファイルに Mark of the Web がある場合、ユーザーは信頼できる発行元としてソースを追加する前に、まずファイルから Web のマークを削除する必要があります。 詳細については、 この記事の情報を参照してください。