Office でインターネットから入手したマクロが既定でブロックされる

VBA マクロは、悪意のあるアクターがマルウェアやランサムウェアを展開するためのアクセス権を取得するための一般的な方法です。 そのため、Office のセキュリティを強化するために、Office アプリケーションの既定の動作を変更して、インターネットから入手したファイル内のマクロをブロックしています。

この変更により、ユーザーがメールの添付ファイルなど、インターネットから送信されたファイルを開き、そのファイルにマクロが含まれていると、次のメッセージが表示されます。

[詳細情報] ボタン付きの、ブロックされたマクロに関する [セキュリティ リスク] バナー

[詳細情報] ボタンは、エンド ユーザーとインフォメーション ワーカー向けの記事に移動します。この記事には、マクロを使用する不正なアクターのセキュリティ リスクに関する情報、フィッシングやマルウェアを防ぐための安全なプラクティス、これらのマクロを有効にする方法 (絶対に必要な場合) に関する説明が含まれています。

場合によっては、ファイルが信頼されていないイントラネット内の場所からのファイルである場合にも、メッセージが表示されます。 たとえば、ユーザーが共有の IP アドレスを使用してネットワーク共有上のファイルにアクセスしている場合などです。 詳細については、「ネットワーク共有または信頼された Web サイトに一元的に配置されたファイル」を参照してください。

重要

組織は、「インターネットから入手した Office ファイルでマクロの実行をブロックする」ポリシーを使用して、ユーザーがインターネットから取得したマクロを含むファイルを誤って開かないようにすることができます。 Microsoft 365 Apps for Enterprise の セキュリティ ベースライン の一部として、このポリシーを有効にすることをお勧めします。 ポリシーを有効にした場合、組織はこの既定の変更の影響を受けることはありません。

詳細については、「ポリシーを使用して Office がマクロを処理する方法を管理する」を参照してください。

この変更の準備

この変更に備えるために、イントラネット ネットワーク共有やイントラネット Web サイトなどの場所から開かれた Office ファイル内のマクロを使用する組織内の部署と連携することをお勧めします。 これらのマクロを特定し、マクロを使用し続けるために必要な手順を決定します。 また、それらの場所から Office ファイルにマクロを提供する独立系ソフトウェア ベンダー (ISV) と連携することもできます。 たとえば、コードにデジタル署名できるかどうかを確認し、信頼できる発行元として扱うことができます。

また、次の情報を確認します。

準備アクション More information
この変更を適用するバージョンと更新チャネルを理解する (この変更をロールアウトする場合) この変更の影響を受ける Office のバージョン
ファイルでマクロを実行するかどうかを確認するために Office が実行するプロセスのフローチャートを参照してください Office がインターネットから入手したファイル内のマクロを実行するかどうかを決定する方法
準備ツールキットを使用して、ブロックされる可能性がある VBA マクロを使用してファイルを識別する 準備ツールキットを使用して、ブロックされる可能性がある VBA マクロを使用してファイルを識別する
VBA マクロの実行を制御するために使用できるポリシーについて説明します ポリシーを使用して Office がマクロを処理する方法を管理する

信頼できるファイルで VBA マクロを実行できるようにする手順

信頼できるファイルで VBA マクロを実行する方法は、それらのファイルの場所やファイルの種類によって異なります。

次の表に、VBA マクロのブロックを解除して実行できるようにするさまざまな一般的なシナリオと考えられる方法を示します。 特定のシナリオで考えられるすべての方法を実行する必要はありません。 複数のアプローチを示している場合は、組織に最適なものを選択します。

シナリオ 考えられる取り組み方法
個々のファイル
• ファイルの [プロパティ] ダイアログの [全般] タブで [ブロック解除] チェック ボックスをオンにする
• PowerShell で Unblock-File コマンドレットを使用する

詳細については、「ファイルから Mark of the Web を削除する」を参照してください。
ネットワーク共有または信頼された Web サイトに一元的に配置されたファイル [個々のファイル] に一覧表示されている方法を使用して、ファイルのブロックを解除します。

[ブロック解除] チェック ボックスがなく、そのネットワークの場所にあるすべてのファイルを信頼する場合は、次の手順を実行します。
• 場所を信頼済みサイトとして指定する
[ローカル イントラネット] ゾーンに場所を追加する

詳細については、「ネットワーク共有または信頼された Web サイトに一元的に配置されたファイル」を参照してください。
OneDrive または SharePoint に格納されているファイル (Teams チャネルで使用されるサイトを含む) • ブラウザーでファイルを開くか、[デスクトップ アプリで開く] オプションを使用してファイルを開きます
• ユーザーがファイルを開く前にローカルにダウンロードする場合は、ファイルのローカル コピーから Mark of the Web を削除します (「個々のファイル」の方法を参照してください)
• 場所を信頼済みサイトとして指定する

詳細については、「OneDrive または SharePoint 上のファイル」を参照してください。
Word、PowerPoint、Excel のマクロ有効テンプレート ファイル テンプレート ファイルがユーザーのデバイスに保存されている場合:
• テンプレート ファイルから Mark of the Web を削除する (「個々のファイル」のアプローチを参照)
• テンプレート ファイルを信頼できる場所に保存する

テンプレート ファイルがネットワークの場所に格納されている場合:
• デジタル署名を使用し、発行元を信頼します。
• テンプレート ファイルを信頼する (「ネットワーク共有または信頼された Web サイトに一元的に配置されたファイル」の下のアプローチを参照)

詳細については、「Word、PowerPoint、Excel のマクロ有効テンプレート ファイル」を参照してください。
PowerPoint および Excel 用のマクロ有効アドイン ファイル • アドイン ファイルから Mark of the Web を削除します。
• デジタル署名を使用し、発行元を信頼します。
ユーザーが取得する信頼できる場所にアドイン ファイルを保存します。

これらのファイルの詳細については、「PowerPoint と Excel 用のマクロ対応アドイン ファイル」を参照してください。
PowerPoint および Excel 用のマクロ有効アドイン ファイル • アドイン ファイルから Mark of the Web を削除します。
ユーザーが取得する信頼できる場所にアドイン ファイルを保存します。

これらのファイルの詳細については、「PowerPoint と Excel 用のマクロ対応アドイン ファイル」を参照してください。
ユーザーのデバイス上のフォルダーに保存されたファイルのグループ フォルダーを信頼できる場所として指定する

詳細については、「信頼できる場所」を参照してください。

この変更の影響を受ける Office のバージョン

この変更は、Windows を実行しているデバイス上の Office にのみ影響し、Access、Excel、PowerPoint、Visio、Word の各アプリケーションにのみ影響します。

この変更は、2022 年 4 月初めの最新チャネル (プレビュー版) 以降、バージョン 2203 でロールアウトを開始します。 この変更は、今後、最新チャネルや月次エンタープライズ チャネルなどの他の更新プログラム チャネルで利用できるようになります。

次の表は、この変更が各更新プログラム チャネルで利用可能になる時期の予測スケジュールを示しています。 斜体の情報は変更されることがあります。

更新チャネル バージョン 日付
最新チャネル (プレビュー) バージョン 2203 2022 年 4 月 12 日にロールアウトを開始しました
最新チャネル バージョン 2206 2022 年 7 月 27 日にロールアウト開始
月次エンタープライズ チャネル 未定 未定
半期エンタープライズ チャネル (プレビュー) 未定 未定
半期エンタープライズ チャネル 未定 未定

注意

この変更を今後数週間にわたって最新チャネルに展開するため、すべてのお客様にすぐに変更が表示されるわけではありません。

この変更は、Mac の Office、Android または iOS デバイスの Office、および Office on the web には影響しません。

Office がインターネットから入手したファイル内のマクロを実行するかどうかを決定する方法

次のフローチャート図は、Office がインターネットから入手したファイル内でマクロを実行するかどうかを決定する方法を示しています。

Office がインターネットから入手したファイル内のマクロを実行するかどうかを決定する方法を示すフローチャート

次の手順では、Excel アドイン ファイルを除くフローチャート図の情報について説明します。 これらのファイルの詳細については、「PowerPoint と Excel 用のマクロ対応アドイン ファイル」を参照してください。 また、ファイルが [ローカル イントラネット] ゾーンに存在しない、または信頼できるサイトではないネットワーク共有上にある場合、マクロはそのファイルでブロックされます。

  1. ユーザーは、インターネットから入手したマクロを含む Office ファイルを開きます。 たとえば、メールの添付ファイルなどです。 このファイルには、Mark of the Web (MOTW) があります。

注意

  • Mark of the Web は、インターネットや制限付きゾーンなどの信頼されていない場所から入手したファイルに、Windows によって追加されます。 たとえば、ブラウザーのダウンロードやメールの添付ファイルなどです。 詳細については、「Web とゾーンのマーク」を参照してください。
  • Mark of the Web は、NTFS ファイル システムに保存されたファイルにのみ適用され、FAT32 形式のデバイスに保存されたファイルには適用されません。
  1. ファイルが信頼できる場所にある場合は、マクロを有効にした状態でファイルが開きます。 ファイルが信頼できる場所にない場合、評価は続行されます。

  2. マクロがデジタル署名されていて、一致する信頼された発行元証明書がデバイスにインストールされている場合、マクロが有効な状態でファイルが開きます。 そうでない場合は、評価が続行されます。

  3. マクロが許可されているかブロックされているかを確認するために、ポリシーがチェックされます。 ポリシーが [未構成] に設定されている場合、評価は手順 6 に進みます。

  4. (a) マクロがポリシーによってブロックされている場合、マクロはブロックされます。
    (b) マクロがポリシーによって有効になっている場合、マクロは有効になります。

  5. ユーザーが以前にファイルを開いていた場合、この既定の動作の変更の前に、セキュリティ バーから [コンテンツを有効にする] を選択していた場合は、ファイルが信頼されていると見なされるため、マクロが有効になります。

注意

  1. この手順では、Office の既定の動作への変更が有効になります。 この変更により、インターネットから入手したファイル内のマクロがブロックされ、ユーザーがファイルを開くと [セキュリティ リスク] バナーが表示されます。

注意

以前は、この既定の動作の変更の前に、アプリは VBA マクロ通知設定ポリシーが有効になっているかどうか、および構成方法を確認していました。

ポリシーが [無効] または [未構成] に設定されていた場合、[ファイル] > [オプション] > [トラスト センター] > [トラスト センターの設定...] > [マクロの設定] にある設定を確認します。 既定では [通知を表示してすべてのマクロを無効にする] に設定されています。これにより、ユーザーはセキュリティ バーのコンテンツを有効にできます。

信頼できるファイルで VBA マクロを実行できるようにする方法に関するガイダンス

ファイルから Mark of the Web を削除します。

インターネットの場所からダウンロードしたファイルや、ユーザーがローカル デバイスに保存したメール添付ファイルなど、個々のファイルの場合、マクロのブロックを解除する最も簡単な方法は、Mark of the Web を削除することです。 削除するには、ファイルを右クリックし、[プロパティ] を選択し、[全般] タブの [ブロック解除] チェック ボックスをオンにします。

ブロックを解除する選択を示す [ファイルのプロパティ] ダイアログ

注意

  • 通常、ネットワーク共有上のファイルの場合、マクロがブロックされているファイルの [ブロック解除] チェック ボックスがユーザーに表示されない場合があります。 このような場合は、「ネットワーク共有または信頼された Web サイトに一元的に配置されたファイル」を参照してください。
  • ネットワーク共有上のファイルで [ブロック解除] チェックボックスを使用できる場合でも、共有が [インターネット] ゾーンにあると見なされる場合は、チェックボックスを選択しても効果はありません。 詳細については、「Web とゾーンのマーク」を参照してください。

PowerShell の Unblock-File コマンドレットを使用して、ファイルから ZoneId 値を削除することもできます。 ZoneId 値を削除すると、VBA マクロを既定で実行できます。 コマンドレットの使用は、ファイルの [プロパティ] ダイアログの [全般] タブで [ブロック解除] チェック ボックスをオンにした場合と同じ処理を行います。 ZoneId 値の詳細については、「Web とゾーンのマーク」を参照してください。

ネットワーク共有または信頼された Web サイトに一元的に配置されたファイル

信頼された Web サイトまたは内部ファイル サーバーからユーザーがファイルにアクセスしている場合は、これらの場所のマクロがブロックされないように、次のいずれかの手順を実行できます。

  • 場所を信頼済みサイトとして指定する
  • ネットワークの場所がイントラネット上にある場合は、[ローカル イントラネット] ゾーンに場所を追加します

注意

  • 信頼済みサイトとして何かを追加する場合は、Office に関連しないシナリオに対してサイト全体に昇格されたアクセス許可も付与されます。
  • [ローカル イントラネット] ゾーン アプローチでは、新しい場所をそのゾーンに追加するのではなく、[ローカル イントラネット] ゾーンの一部と既に考えられている場所にファイルを保存することをお勧めします。
  • 一般に、信頼済みサイトは [ローカル イントラネット] ゾーンと比較してセキュリティが強化されているため、使用することをお勧めします。

たとえば、ユーザーが IP アドレスを使用してネットワーク共有にアクセスしている場合、ファイル共有が 信頼済みサイト または [ローカル イントラネット] ゾーンにある場合を除き、それらのファイル内のマクロはブロックされます。

ヒント

  • 信頼済みサイトの一覧または [ローカル イントラネット] ゾーンの一覧を表示するには、[Windows デバイス] で [コントロール パネル] > [インターネット オプション] > [セキュリティ設定の変更] の順に移動します。
  • 個々のファイルが信頼されたサイトまたは[ローカル イントラネット]の場所にあるかどうかを確認するには、「Web とゾーンのマーク」を参照してください。

たとえば、ファイル サーバーまたはネットワーク共有を信頼済みサイトとして追加するには、その FQDN または IP アドレスを信頼済みサイトの一覧に追加します。

[信頼済みサイト] ダイアログ

http:// またはネットワーク共有で始まる URL を追加する場合は、[このゾーン内のすべてのサイトにサーバー検証 (https:) を要求する] チェックボックスをオフにします。

重要

これらの場所のファイルではマクロがブロックされないため、これらの場所は慎重に管理する必要があります。 これらの場所にファイルを保存できるユーザーを制御してください。

グループ ポリシーポリシーと "サイトからゾーンへの割り当てリスト" ポリシーを使用して、信頼済みサイトとして、または組織内の Windows デバイスの [ローカル イントラネット] ゾーンに場所を追加できます。 このポリシーは、グループ ポリシー管理コンソールの Windows コンポーネント\Internet Explorer\インターネット コントロール パネル\セキュリティ ページにあります。 コンピューターの構成\ポリシー\管理用テンプレートとユーザーの構成\ポリシー\管理用テンプレートの両方で使用できます。

OneDrive または SharePoint 上のファイル

  • ユーザーが Web ブラウザーを使用して OneDrive または SharePoint にファイルをダウンロードした場合、Windows インターネット セキュリティ ゾーン ([コントロール パネル] > [インターネット オプション] > [セキュリティ]) の構成によって、ブラウザーが Mark of the Web を設定するかどうかを決定します。 たとえば、Microsoft Edge は、ファイルがインターネット ゾーンから入手したものと判断された場合は、そのファイルに Mark of the Web を設定します。

  • OneDrive Web サイトまたは SharePoint サイト (Teams チャネルで使用されるサイトを含む) から開いたファイルで、ユーザーが [デスクトップ アプリで開く] を選択した場合、ファイルには Mark of the Web がありません。

  • ユーザーが OneDrive 同期クライアントを実行していて、同期クライアントがファイルをダウンロードする場合、ファイルには Mark of the Web がありません。

  • Windows の既知のフォルダー (デスクトップ、ドキュメント、画像、スクリーンショット、カメラ ロール) 内にあり、OneDrive に同期されるファイルには、Mark of the Web がありません。

  • マクロをブロックせずに OneDrive または SharePoint のファイルを使用する必要がある、財務部門などのユーザーのグループがある場合は、次のオプションを使用できます。

    • ブラウザーでファイルを開くか、[デスクトップ アプリで開く] オプションを使用してファイルを開きます

    • 信頼できる場所にファイルをダウンロードします。

    • OneDrive または SharePoint ドメインの Windows インターネット セキュリティ ゾーンの割り当てを信頼済みサイトに設定します。 管理者は、"サイトからゾーンへの割り当てリスト" ポリシーを使用し、 https://{your-domain-name}.sharepoint.com (SharePoint の場合) または https://{your-domain-name}-my.sharepoint.com (OneDrive の場合) を信頼済みサイト ゾーンに配置するようにポリシーを構成できます。

      • このポリシーは、グループ ポリシー管理コンソールの Windows コンポーネント\Internet Explorer\インターネット コントロール パネル\セキュリティ ページにあります。 コンピューターの構成\ポリシー\管理用テンプレートとユーザーの構成\ポリシー\管理用テンプレートの両方で使用できます。

      • SharePoint のアクセス許可と OneDrive の共有は、これらの場所を信頼済みサイトに追加しても変更されません。 アクセス制御の維持は重要です。 SharePoint にファイルを追加するアクセス許可を持つすべてのユーザーが、マクロなどのアクティブなコンテンツを含むファイルを追加できます。 信頼済みサイト ゾーンのドメインからファイルをダウンロードするユーザーは、マクロをブロックする既定値をバイパスします。

Word、PowerPoint、Excel のマクロ有効テンプレート ファイル

インターネットからダウンロードされた Word、PowerPoint、Excel 用のマクロ有効テンプレート ファイルには、Mark of the Web があります。 たとえば、次の拡張子を持つテンプレート ファイルです。

  • .dot
  • .dotm
  • .pot
  • .potm
  • .xlt
  • .xltm

ユーザーがマクロ有効テンプレート ファイルを開くと、ユーザーはテンプレート ファイルでマクロの実行がブロックされます。 ユーザーがテンプレート ファイルのソースを信頼している場合は、テンプレート ファイルから Mark of the Web を削除し、Office アプリでテンプレート ファイルを再度開くことができます。

マクロをブロックせずにマクロ有効テンプレートを使用する必要があるユーザーのグループがある場合は、次のいずれかの操作を実行できます。

  • デジタル署名を使用し、発行元を信頼します。
  • デジタル署名を使用していない場合は、テンプレート ファイルを信頼できる場所に保存し、ユーザーにその場所からテンプレート ファイルを取得させることができます。

PowerPoint および Excel 用のマクロ有効アドイン ファイル

インターネットからダウンロードされた PowerPoint および Excel 用のマクロ有効アドイン ファイルには、Mark of the Web があります。 たとえば、次の拡張子を持つアドイン ファイルです。

  • .ppa
  • .ppam
  • .xla
  • .xlam

ユーザーが、[ファイル] > [オプション] > [アドイン] を使用するか、開発者 リボンを使用してマクロ有効なアドインをインストールしようとすると、アドインが無効な状態で読み込まれ、ユーザーはアドインの使用をブロックされます。 ユーザーがアドイン ファイルのソースを信頼している場合は、アドイン ファイルから Mark of the Webを削除し、PowerPoint または Excel を再度開いてアドインを使用できます。

マクロをブロックせずにマクロ有効アドインを使用する必要があるユーザーのグループがある場合は、次のいずれかの操作を実行できます。

PowerPoint アドイン ファイルの場合:

  • .ppa または .ppam ファイルから Mark of the Web を削除します。
  • デジタル署名を使用し、発行元を信頼します。
  • ユーザーが取得する信頼できる場所にアドイン ファイルを保存します。

Excel アドイン ファイルの場合:

  • .xla または .xlam ファイルから Mark of the Web を削除します。
  • ユーザーが取得する信頼できる場所にアドイン ファイルを保存します。

注意

デジタル署名を使用して発行元を信頼しても、Mark of the Web を持つ Excel アドイン ファイルでは機能しません。 この動作は、Mark of the Web のある Excel アドイン ファイルにとっては新しい動作ではありません。 これは、以前のセキュリティ強化作業 (Microsoft セキュリティ情報 MS16-088 に関連) の結果として、2016 年からこの方法で動作しています。

信頼できる場所

インターネットから入手したファイルをユーザーのデバイス上の信頼できる場所に保存すると、Mark of the Web のチェックが無視され、VBA マクロが有効な状態で開きます。 たとえば、基幹業務アプリケーションでは、定期的にマクロを含むレポートを送信できます。 マクロを含むファイルが信頼できる場所に保存されている場合、ユーザーはファイルの [プロパティ] に移動し [ブロック解除] を選択してマクロの実行を許可する必要はありません。

マクロは信頼できる場所に保存されたファイルではブロックされないため、信頼できる場所は慎重に管理し、慎重に使用する必要があります。 ネットワークの場所は信頼できる場所として設定することもできますが、推奨されません。 詳細については、「Office ファイルの信頼できる場所」を参照してください。

Mark of the Web に関する追加情報

Mark of the Web と信頼済みドキュメント

ファイルが Windows を実行しているデバイスにダウンロードされると、ソースがインターネットからのものであることを示す Mark of the Web がファイルに追加されます。 現時点では、ユーザーが Mark of the Web を持つファイルを開くと、[セキュリティの警告] バナーが表示され、[コンテンツを有効にする] ボタンが表示されます。 ユーザーが [コンテンツを有効にする] を選択した場合、ファイルは信頼済みドキュメントと見なされ、マクロの実行が許可されます。 ファイルは信頼済みドキュメントと見なされるため、インターネットから入手したファイル内のマクロをブロックする既定の動作が変更された後でも、マクロは引き続き実行されます。

インターネットから入手したファイル内のマクロをブロックするように既定の動作を変更した後、ユーザーがインターネットから入手したマクロを含むファイルを初めて開くと、別のバナーが表示されます。 この [セキュリティ リスク] バナーには、[コンテンツを有効にする] オプションはありません。 ただし、ユーザーはファイルの [プロパティ] ダイアログに移動し、[ブロック解除] を選択できます。これにより、ポリシーまたはトラスト センターの設定がブロックされていない限り、ファイルから Mark of the Web が削除され、マクロの実行が許可されます。

Mark of the Web とゾーン

既定では、Mark of the Web は 、インターネット または 制限付きサイト ゾーンからのみファイルに追加されます。

ヒント

Windows デバイスでこれらのゾーンを表示するには、[コントロール パネル] > [インターネット オプション] > [セキュリティ設定の変更] の順に移動します。

コマンド プロンプトで次のコマンドを実行し、 {name of file} をファイル名に置き換えることで、ファイルの ZoneId 値を表示できます。

notepad {name of file}:Zone.Identifier

このコマンドを実行すると、メモ帳が開き、[ZoneTransfer] セクションの下に ZoneId が表示されます。

ZoneId 値と、それらがマップするゾーンの一覧を次に示します。

  • 0 = マイ コンピューター
  • 1 = ローカル イントラネット
  • 2 = 信頼済みサイト
  • 3 = インターネット
  • 4 = 制限付きサイト

たとえば、ZoneId が 2 の場合、そのファイル内の VBA マクロは既定ではブロックされません。 ただし、ZoneId が 3 の場合、そのファイル内のマクロは既定でブロックされます。

PowerShell の Unblock-File コマンドレットを使用して、ファイルから ZoneId 値を削除できます。 ZoneId 値を削除すると、VBA マクロを既定で実行できます。 コマンドレットの使用は、ファイルの [プロパティ] ダイアログの [全般] タブで [ブロック解除] チェック ボックスをオンにした場合と同じ処理を行います。

準備ツールキットを使用して、ブロックされる可能性がある VBA マクロを使用してファイルを識別する

VBA マクロの実行がブロックされている可能性があるファイルを特定するには、Readiness Toolkit for Office add-ins and VBA を使用できます。これは Microsoft から無料でダウンロードできます。

準備ツールキットには、コマンド ラインまたはスクリプト内から実行できるスタンドアロン実行可能ファイルが含まれています。 ユーザーのデバイスで 準備ツールキットを実行して、ユーザーのデバイス上のファイルを確認できます。 または、デバイスから実行して、ネットワーク共有上のファイルを確認することもできます。

スタンドアロン実行可能バージョンの 準備ツールキットを実行すると、収集された情報を含む JSON ファイルが作成されます。 ネットワーク共有などの一元的な場所に JSON ファイルを保存します。 次に、準備ツールキットの UI ウィザード バージョンである準備レポート作成者を実行します。 このウィザードでは、個別の JSON ファイル内の情報を Excel ファイルの形式で 1 つのレポートに統合します。

準備ツールキットを使用して影響を受ける可能性があるファイルを特定するには、次の基本的な手順に従います。

  1. 展開するには、Microsoft ダウンロード センターから Office 展開ツールの 最新バージョンをダウンロードします。 2022 年 6 月 14 日にリリースされた少なくともバージョン 1.2.22161 を使用していることを確認します。

  2. 準備ツールキットをインストールします。

  3. コマンド プロンプトから、準備ツールキットをインストールしたフォルダーに移動し、blockinternetscan オプションを使用してReadinessReportCreator.exe コマンドを実行します。

    たとえば、デバイス上の c:\officefiles フォルダー (およびそのすべてのサブフォルダー) 内のファイルをスキャンし、結果を含む JSON ファイルを Server01 上の Finance 共有に保存する場合は、次のコマンドを実行できます。

ReadinessReportCreator.exe -blockinternetscan -p c:\officefiles\ -r -output \\server01\finance -silent
  1. すべてのスキャンを完了したら、準備レポート作成者を実行します。
  2. 準備レポートの作成ページ で、[ローカル フォルダーまたはネットワーク共有に一緒に保存された以前の準備結果] を選択し、スキャンのすべてのファイルを保存した場所を指定します。
  3. [レポートの設定] ページで [Excel レポート] を選択し、レポートを保存する場所を指定します。
  4. Excel でレポートを開いたら、[VBA 結果] ワークシートに移動します。
  5. [ガイドライン] 列で、[インターネットからブロックされた VBA ファイル] を探します。

準備ツールキットの使用に関する詳細については、「準備ツールキットを使用して Microsoft 365 アプリでのアプリケーションの互換性を評価する」を参照してください。

ポリシーを使用して Office がマクロを処理する方法を管理する

ポリシーを使用して Office がマクロを処理する方法を管理できます。 インターネットから入手した Office ファイルでマクロの実行をブロックする ポリシーを使用することをお勧めします。 ただし、そのポリシーが組織に適していない場合、もう 1 つのオプションは、VBA マクロ通知設定ポリシーです。

これらのポリシーを展開する方法の詳細については、「ポリシーを管理するために使用できるツール」を参照してください。

重要

ポリシーは、Microsoft 365 Apps for enterprise を使用している場合にのみ使用できます。 Microsoft 365 Apps for business ではポリシーを使用できません。

インターネットから入手した Office ファイルでマクロの実行をブロックする

このポリシーは、ユーザーがインターネットから入手したマクロを含むファイルを誤って開くのを防ぎます。 ファイルが Windows を実行しているデバイスにダウンロードされるか、ネットワーク共有の場所から開かれると、インターネットから供給されたことを示す Mark of the Web がファイルに追加されます。

Microsoft 365 Apps for Enterprise の セキュリティ ベースライン の一部として、このポリシーを有効にすることをお勧めします。 ほとんどのユーザーに対してこのポリシーを有効にし、必要に応じて特定のユーザーに対してのみ例外を作成する必要があります。

5 つのアプリケーションごとに個別のポリシーがあります。 次の表は、ユーザーの構成\ポリシー\管理用テンプレートのグループ ポリシー管理コンソールで各ポリシーが見つかる場所を示しています。

アプリケーション ポリシーの場所
Access Microsoft Access 2016\アプリケーション設定\セキュリティ\トラスト センター
Excel Microsoft Excel 2016\Excel のオプション\セキュリティ\トラスト センター
PowerPoint Microsoft PowerPoint 2016\PowerPoint のオプション\セキュリティ\トラスト センター
Visio Microsoft Visio 2016\Visio のオプション\セキュリティ\トラスト センター
Word Microsoft Word 2016\Word のオプション\セキュリティ\トラスト センター

ポリシーにどの状態を選択するかによって、提供する保護のレベルが決まります。 次の表は、既定の動作の変更が実装される前に、各状態で取得する保護の現在のレベルを示しています。

アイコン 保護レベル ポリシーの状態 説明
白のチェック マーク付きの緑の丸 保護された [推奨] Enabled ユーザーは、インターネットから入手したファイルでマクロを実行できなくなります。

Microsoft 推奨セキュリティ ベースラインの一部。
白の X マーク付きの赤の丸 保護なし 無効 [ファイル] > [オプション] > [トラスト センター] > [トラスト センターの設定...] > [マクロの設定] で構成されている設定を優先します。
白の X マーク付きの赤の丸 保護なし 未構成 [ファイル] > [オプション] > [トラスト センター] > [トラスト センターの設定...] > [マクロの設定] で構成されている設定を優先します。

注意

  • このポリシーを [無効] に設定すると、マクロを使用してファイルを開くと、既定でセキュリティ警告が表示されます。 この警告により、ユーザーはマクロが無効になっていることがわかりますが、[コンテンツの有効化] ボタンを選択してマクロを実行できます。
  • この警告は、マクロをブロックするために実装するこの最近の変更の前に、ユーザーが以前に示したものと同じ警告です。
  • このポリシーを永続的に無効に設定することはお勧めしません。 ただし、場合によっては、新しいマクロ ブロック動作が組織にどのような影響を与えるかをテストし、マクロを安全に使用できるようにするソリューションを開発するときに、一時的に行うのが実用的な場合があります。

既定の動作への変更を実装した後、ポリシーを [未構成] に設定すると、保護レベルが変更されます。

アイコン 保護レベル ポリシーの状態 説明
白のチェック マーク付きの緑の丸 Protected 未構成 ユーザーは、インターネットから入手したファイルでマクロを実行できなくなります。

[詳細情報] ボタン付きの[セキュリティ リスク] バナーがユーザーに表示されます

VBA マクロ通知設定

"インターネットから入手した Office ファイルでマクロの実行をブロックする" ポリシーを使用しない場合は、"VBA マクロ通知の設定" ポリシーを使用して、Office によるマクロの処理方法を管理できます。

このポリシーは、ユーザーが悪意のあるマクロを有効にすることを防ぎます。 既定では、Office は VBA マクロを含むファイルをブロックし、マクロが存在し無効になっていることを警告するセキュリティ バーを表示するように構成されています。 ユーザーは必要に応じてファイルを検査および編集できますが、セキュリティ バーで [コンテンツを有効にする] を選択するまで無効な機能を使用することはできません。 ユーザーが [コンテンツ有効にする] を選択した場合、ファイルは信頼済みドキュメントとして追加され、マクロの実行が許可されます。

5 つのアプリケーションごとに個別のポリシーがあります。 次の表は、ユーザーの構成\ポリシー\管理用テンプレートのグループ ポリシー管理コンソールで各ポリシーが見つかる場所を示しています。

アプリケーション ポリシーの場所
Access Microsoft Access 2016\アプリケーション設定\セキュリティ\トラスト センター
Excel [1] Microsoft Excel 2016\Excel のオプション\セキュリティ\トラスト センター
PowerPoint Microsoft PowerPoint 2016\PowerPoint のオプション\セキュリティ\トラスト センター
Visio Microsoft Visio 2016\Visio のオプション\セキュリティ\トラスト センター
Word Microsoft Word 2016\Word のオプション\セキュリティ\トラスト センター

注意

  • [1] Excel の場合、ポリシーの名前はマクロ通知設定です。
  • "VBA マクロ通知設定" ポリシーは、Project と Publisher でも使用できます。

ポリシーにどの状態を選択するかによって、提供する保護のレベルが決まります。 次の表は、各状態で取得する保護のレベルを示しています。

アイコン 保護レベル ポリシーの状態 ポリシー値
白のチェック マーク付きの緑の丸 保護された [推奨] Enabled デジタル署名されたマクロを除くすべてのマクロを無効にする ("マクロに信頼された発行元による署名を要求する" も選択する)
白のチェック マーク付きの緑の丸 Protected Enabled 通知を表示せずにすべて無効にする
白のチェック マーク付きのオレンジ色の丸 部分的に保護されています Enabled 通知を表示してすべて無効にする
白のチェック マーク付きのオレンジ色の丸 部分的に保護されています 無効 ("通知を表示してすべて無効にする" と同じ動作)
白の X マーク付きの赤の丸 保護なし Enabled すべてのマクロを有効にする (推奨しません)

重要

マクロのセキュリティ保護は重要です。 マクロを必要としないユーザーの場合は、[通知を表示せずにすべて無効にする] を選択して、すべてのマクロをオフにします。

セキュリティ ベースラインの推奨事項としては、次の操作を行う必要があります。

  • "VBA マクロ通知設定" ポリシーを有効にします。
  • マクロが必要なユーザーの場合は、"デジタル署名されたマクロを除くすべてのマクロを無効にする" を選択し、"マクロに信頼された発行元による署名を要求する" を選択します。 証明書は、信頼された発行元としてユーザーのデバイスにインストールする必要があります。

ポリシーを構成しない場合、ユーザーは [ファイル] > [オプション] > [トラスト センター] > [トラスト センターの設定...] > [マクロの設定] でマクロ保護設定を構成できます。

次の表は、[マクロの設定] でユーザーが選択できる選択と、各設定で提供される保護のレベルを示しています。

アイコン 保護レベル 選択した設定
白のチェック マーク付きの緑の丸 Protected デジタル署名されたマクロを除き、すべてのマクロを無効にする
白のチェック マーク付きの緑の丸 Protected 通知を表示せずにすべてのマクロを無効にする
白のチェック マーク付きのオレンジ色の丸 部分的に保護されています 通知を表示してすべてのマクロを無効にする (既定)
白の X マーク付きの赤の丸 保護なし すべてのマクロを有効にする (推奨しません。危険なコードが実行される可能性があります)

注意

ポリシー設定の値と Excel の製品 UI では、"all" という単語は "VBA" に置き換えられます。 たとえば、"通知を表示せずに VBA マクロを無効にする" となります。

ポリシーの管理に使用できるツール

組織内のユーザーにポリシー設定を構成して展開するためのツールがいくつかあります。

クラウド ポリシー

クラウド ポリシーを使用すると、デバイスがドメインに参加していない場合でも、組織のデバイスにポリシー設定を構成および展開できます。 クラウド ポリシーは Web ベースのツールであり、Microsoft 365 Apps管理センターにあります。

クラウド ポリシーでは、ポリシー構成を作成し、それをグループに割り当て、ポリシー構成に含めるポリシーを選択します。 含めるポリシーを選択するには、ポリシーの名前で検索することができます。 クラウド ポリシーには、Microsoft 推奨セキュリティ ベースラインの一部であるポリシーも表示されます。 クラウド ポリシーで使用できるポリシーは、グループ ポリシー管理コンソールで使用できるのと同じユーザー構成ポリシーです。

詳細については、「 Microsoft 365 のクラウド ポリシー サービスの概要」を参照してください。

Microsoft エンドポイント マネージャー管理センター

Microsoft エンドポイント マネージャー管理センターでは、設定カタログ (プレビュー) または管理用テンプレートを使用して、Windows 10 以降を実行しているデバイスのユーザーにポリシー設定を構成して展開できます。

開始するには、[デバイス] > [構成プロファイル] > [プロファイルの作成] の順に移動します。 [プラットフォーム] で、[Windows 10以降] を選択し、プロファイルの種類を選択します。

詳細については、次の記事を参照してください。

グループ ポリシー管理コンソール

Windows Server および Active Directory ドメイン サービス (AD DS) が組織内に展開されている場合、グループ ポリシーを使用してポリシーを構成することができます。 グループ ポリシーを使用するには、最新バージョンの Office の管理用テンプレート ファイル (ADMX/ADML) をダウンロードしてください。このファイルには Microsoft 365 Apps for enterprise のポリシー設定が含まれています。 管理用テンプレート ファイルを AD DS にコピーしたら、グループ ポリシー管理コンソールを使用して、ユーザーとドメインに参加しているデバイスのポリシー設定を含む グループ ポリシー オブジェクト (GPO) を作成することができます。