Outlook 2013 のセキュリティと保護の設定の概要
適用先: Office 365 ProPlus, Outlook 2013
トピックの最終更新日: 2016-12-16
概要: Outlook 2013 のセキュリティ設定について説明します。
対象ユーザー: IT 担当者
管理者は、Outlook 2013 の多くのセキュリティ関連機能をカスタマイズできます。たとえば、セキュリティ設定を適用する方法、実行を許可する ActiveX コントロールの種類、ユーザー設定フォームのセキュリティ、プログラムによるセキュリティ設定などをカスタマイズできます。さらに、添付ファイル、Information Rights Management、迷惑メール、および暗号化に関する Outlook 2013 のセキュリティ設定もカスタマイズできますが、これらの設定については、この記事の末尾の「その他の設定」に示してある記事で説明します。
重要
この記事の内容は、それぞれの組織に合わせて Outlook の設定を構成する管理者を対象としています。
デスクトップ上の Outlook でのセキュリティ設定に関する有用な情報 デスクトップの Outlook をセキュリティで保護するときは、以下の記事が役に立つでしょう。
この記事の内容
概要
Outlook にセキュリティ設定を適用する方法を指定する
Outlook 2013 での管理者設定とユーザー設定の連携
Outlook COM アドインを操作する
Outlook 2010 で ActiveX およびユーザー設定フォームのセキュリティをカスタマイズする
Outlook 2013 でプログラムによる設定をカスタマイズする
簡易 MAPI 設定をカスタマイズする
その他の設定
概要
Outlook は、既定で高いセキュリティ関連設定を使用するように構成されています。セキュリティ レベルが高いと、電子メール メッセージに添付できるファイルの種類が制限されるなど、Outlook の機能に制限が課されます。組織によっては、既定のセキュリティ設定を低くすることが必要になる場合もあります。ただし、既定のセキュリティ設定のレベルを下げると、ウイルスが実行されたり感染が広がるリスクが高まる可能性があることに注意してください。
グループ ポリシーや Outlook セキュリティ テンプレートを使用して Outlook 2013 のセキュリティ設定を構成する前に、グループ ポリシーで Outlook セキュリティ モードを構成する必要があります。Outlook セキュリティ モードを設定しないと、Outlook 2013 では既定のセキュリティ設定が使用され、Outlook 2013 セキュリティ設定への変更は無視されます。
Outlook 2013 管理用テンプレートをダウンロードする方法について、およびその他の Office 2013 管理用テンプレートについては、「Office 2013 のグループ ポリシー管理用テンプレート ファイル (ADMX、ADML) および Office カスタマイズ ツール (OCT) ファイル」を参照してください。グループ ポリシーの詳細については、「Office 2013 のグループ ポリシーの概要」および「Office 2010 でグループ ポリシーを使用して設定を適用する」を参照してください。
Outlook にセキュリティ設定を適用する方法を指定する
Office Outlook 2007 および Outlook 2010 と同様に、Outlook 2013 でも、グループ ポリシーを使用してセキュリティ オプションを構成するという方法 (推奨) と、Outlook セキュリティ テンプレートを使用してセキュリティ設定を変更し、それらの設定を Exchange Server パブリック フォルダーのトップレベル フォルダー内のフォームに公開するという方法があります。Office Outlook 2003 またはそれ以前のバージョンが環境にある場合を除き、グループ ポリシーを使用してセキュリティ設定を構成することをお勧めします。どちらの方法を使用する場合も、グループ ポリシーで Outlook セキュリティ モード設定を有効にし、Outlook セキュリティ ポリシー値を設定する必要があります。この設定を有効にしないと、既定のセキュリティ設定が適用されます。Outlook セキュリティ モード設定は、[ユーザーの構成\管理用テンプレート\Microsoft Outlook 2013\セキュリティ\セキュリティ フォーム設定] 下の Outlook 2013 グループ ポリシー テンプレート (Outlk15.admx) にあります。[Outlook セキュリティ モード] 設定を有効にすると、次の表で説明する 4 つの Outlook セキュリティ ポリシー オプションを使用できます。
Outlook セキュリティ ポリシー オプション
| Outlook セキュリティ モードのオプション | 説明 |
|---|---|
[Outlook の既定のセキュリティ] |
Outlook では、グループ ポリシーで構成されたり、Outlook セキュリティ テンプレートを使用して構成されたセキュリティ関連設定は無視されます。これが既定の設定です。 |
[Outlook セキュリティのグループ ポリシーを使用する] |
Outlook では、グループ ポリシーのセキュリティ設定が使用されます (推奨)。 |
[[Outlook Security Settings] パブリック フォルダーのセキュリティ フォームを使用する] |
Outlook では、指定のパブリック フォルダーに発行されたセキュリティ フォームの設定が使用されます。 |
[[Outlook 10 Security Settings] パブリック フォルダーのセキュリティ フォームを使用する] |
Outlook では、指定のパブリック フォルダーに発行されたセキュリティ フォームの設定が使用されます。 |
グループ ポリシーを使用してセキュリティ設定をカスタマイズする
グループ ポリシーを使用して Outlook 2013 のセキュリティ設定を構成する場合は、次の点に注意してください。
Outlook セキュリティ テンプレートの設定をグループ ポリシーに手動で移行する必要がある セキュリティ設定を管理するために以前は Outlook セキュリティ テンプレートを使用していたが、Outlook 2013 に設定を適用するためにグループ ポリシーを使用する場合は、以前に構成した設定を手動で Outlook 2013 用のグループ ポリシー設定に正しく移行する必要があります。
グループ ポリシーでカスタマイズした設定がすぐに適用されない可能性がある ユーザーのコンピューターでは、ユーザーがログオンしている間に一定の間隔でグループ ポリシーが自動的に (バックグラウンドで) 更新されるように構成できます。新しいグループ ポリシー設定をすぐに適用するには、ユーザーがログオフし、再びログオンする必要があります。
セキュリティ設定は Outlook の起動時にのみ行われる Outlook が動作している間にセキュリティ設定が更新された場合、新しい構成は Outlook が終了し、再起動するまで使用されません。
個人情報マネージャー (PIM) 専用モードでは設定の変更が適用されない PIM モードの Outlook では、既定のセキュリティ設定が使用されます。このモードでは、管理者の設定は必要ないか、使用されません。
特別な環境
グループ ポリシーで Outlook 2013 のセキュリティ設定を構成する場合は、次の表に示す 1 つ以上のシナリオが環境内に成立するかどうかを確認してください。
特別な環境のシナリオ
| シナリオ | 問題 |
|---|---|
ホストされた Exchange Server を使用してメールボックスにアクセスする |
ユーザーが、ホストされた Exchange Server を使用してメールボックスにアクセスする場合は、Outlook セキュリティ テンプレートを使用してセキュリティ設定を構成するか、Outlook の既定のセキュリティ設定を使用できます。ホストされた環境では、ユーザーはリモートからメールボックスにアクセスします。たとえば、アクセスには仮想プライベート ネットワーク (VPN) 接続や Outlook Anywhere (RPC over HTTP) が使用されます。グループ ポリシーは Active Directory を使用して展開されますが、このシナリオではユーザーのローカル コントロールはドメインのメンバーではないため、グループ ポリシーのセキュリティ設定は適用できません。 また、Outlook セキュリティ テンプレートでセキュリティ設定を構成すると、セキュリティ設定の更新は自動的に提供されます。グループ ポリシーのセキュリティ設定の更新は、ユーザーのコンピューターが Active Directory ドメインに含まれない限り、自動的に提供されません。 |
ユーザーがコンピューターの管理者権限を持つ |
ユーザーが管理者の資格情報を使用してログオンした場合、グループ ポリシー設定への制限は適用されません。また、管理者権限を持つユーザーは、ローカル コンピューターの Outlook セキュリティ設定を変更したり、構成されていた制限を削除または変更することもできます。これは Outlook セキュリティ設定に限らず、すべてのグループ ポリシー設定に当てはまります。 これが問題となるのは、組織内のすべてのユーザーに同一の設定を適用しようとした場合です。次のような問題点があります。
|
Outlook Web App を使用して Exchange メールボックスにアクセスする |
Outlook と Outlook Web App が使用するセキュリティ モデルは同じではありません。Outlook Web App には、Exchange Server コンピューター上に格納される別のセキュリティ設定があります。詳細については、「Outlook Web App のセキュリティについて」を参照してください。 |
Outlook 2013 での管理者設定とユーザー設定の連携
Outlook 2013 でユーザーによって定義されたセキュリティ設定は、管理者が定義したグループ ポリシー設定の一部であるかのように機能します。両者が競合する場合は、セキュリティ レベルの高い設定が低い設定に優先して適用されます。
たとえば、グループ ポリシーの添付ファイル セキュリティ設定の [レベル 1 としてブロックするファイル拡張子を追加する] を使用して、レベル 1 でブロックするファイル名拡張子のリストを作成した場合、このリストは Outlook 2013 に付属の既定のリストに優先します。また、ユーザーによるレベル 1 でブロックするファイル名拡張子の設定にも優先します。ユーザーは Outlook 2013 の既定のリストからファイル名拡張子を削除することはできます。しかし、[レベル 1 としてブロックするファイル拡張子を追加する] リストに追加されたファイルの種類を削除することはできません。たとえば、ユーザーがファイル名拡張子の .exe と .reg をレベル 1 のグループから削除しようとしても、[レベル 1 としてブロックするファイル拡張子を追加する] グループ ポリシー設定で .exe がレベル 1 のファイルの種類として追加されていれば、ユーザーが Outlook のレベル 1 のグループから削除できるのは .reg ファイルだけです。
Outlook COM アドインを操作する
COM アドインは、Outlook の信頼モデルを使用して動作するようにコードが作成されているので、Outlook 2013 では警告メッセージを生成せずに実行されます。ただし、ハンドヘルド デバイスをデスクトップ コンピューターの Outlook 2013 と同期する場合など、このアドインを使用する Outlook 機能にアクセスしたときに警告が表示されることがあります。
ただし、Office Outlook 2003 またはそれ以前のバージョンと比べると、Outlook 2013 で警告が表示される頻度は低くなります。ウイルスが Outlook アドレス帳を使用して感染を広げることを防止するオブジェクト モデル (OM) ガードは、Office Outlook 2007、Outlook 2010、および Outlook 2013 で更新されました。Outlook 2013 では、最新のウイルス対策ソフトウェアをチェックして、アドレス帳アクセスの警告やその他の Outlook セキュリティ警告をいつ表示するかが決定されます。
OM ガードは、Outlook セキュリティ フォームまたはグループ ポリシーでは変更できません。ただし、既定の Outlook 2013 セキュリティ設定を使用すると、Outlook 2013 にインストールされているすべての COM アドインが既定で信頼されます。グループ ポリシーを使用してセキュリティ設定をカスタマイズする場合、信頼できる COM アドインを指定すれば、そのアドインの実行は Outlook オブジェクト モデルによってブロックされません。
ただし、Outlook 2013 には、[管理対象アドインの一覧] と [非管理対象のアドインをすべてブロックする] という 2 つの新しい構成設定があります。これらの設定を使用すると、常に有効化されるアドインまたは常にブロックされるアドインのリストを作成できます。これらの設定はセキュリティ センターの設定に優先します。あるアドインが [非管理対象のアドインをすべてブロックする] リストに登録されていて、[信頼できるアドインを構成する] 設定にも追加されている場合、そのアドインはブロックされます。[管理対象アドインの一覧] および [非管理対象のアドインをすべてブロックする] の設定は、[ユーザーの構成\管理用テンプレート\Microsoft Outlook 2013\その他] の下の Outlook グループ ポリシー テンプレートにあります。
信頼できる COM アドインを指定するには、ファイルのハッシュ値を計算してグループ ポリシー設定に追加することで、アドインのファイル名を指定します。Outlook で信頼されるアドインを指定するには、その前にハッシュ値を計算するプログラムをインストールする必要があります。詳細については、「信頼できる Outlook 2010 アドインの管理」を参照してください。
カスタマイズした Outlook セキュリティ設定を Exchange Server のパブリック フォルダーに発行された Microsoft Exchange Server セキュリティ フォームを使用して適用する場合は、信頼できる COM アドインを指定する方法があります。Outlook セキュリティ テンプレートの設定に関する Microsoft Office 2003 リソース キットの記事の [信頼されたコード] タブを参照してください。
信頼できるアドインの一覧にアドインを追加した後もセキュリティの確認メッセージが表示される場合は、COM アドイン開発者の協力を得て問題を解決する必要があります。信頼できるアドインのコーディングの詳細については、「Microsoft Outlook COM アドイン開発者にとって重要なセキュリティに関する注意」を参照してください。
Outlook 2013 で ActiveX およびユーザー設定フォームのセキュリティをカスタマイズする
Outlook 2013 ユーザーのために ActiveX およびユーザー設定フォームのセキュリティ設定を指定できます。ユーザー設定フォームのセキュリティ設定には、スクリプト、カスタム コントロール、およびカスタム アクションに対する Outlook 2013 の制限を変更するオプションなどがあります。
1 回限りのフォームでの ActiveX コントロールの動作をカスタマイズする
フォーム定義を含むメッセージが Outlook に受信された場合、このアイテムは 1 回限りのフォームです。不要なスクリプトやコントロールが 1 回限りのフォームで実行されるのを防ぐため、Outlook では既定で 1 回限りのフォーム内の ActiveX コントロールは読み込まれません。
グループ ポリシー Outlook 2013 テンプレート (Outlk15.admx) を使用すると、ActiveX コントロールをカスタマイズする設定をロックできます。または、Office カスタマイズ ツール (OCT) を使用して、既定の設定を構成することもできます。その場合はユーザーが設定を変更できます。グループ ポリシーでは、[ユーザーの構成\管理用テンプレート\Microsoft Outlook 2013\セキュリティ] の下の [ActiveX の 1 回限りのフォームを許可する] 設定を使用します。OCT では、[ActiveX の 1 回限りのフォームを許可する] 設定は、OCT の [ユーザー設定の変更] ページの対応する場所にあります。OCT の詳細については、「Office 2013 の Office カスタマイズ ツール (OCT) リファレンス」を参照してください。
[ActiveX の 1 回限りのフォームを許可する] 設定を有効にする場合、次の表に説明する 3 つのオプションを使用できます。
[ActiveX の 1 回限りのフォームを許可する] 設定のオプション
| オプション | 説明 |
|---|---|
[すべての ActiveX コントロールを許可する] |
すべての ActiveX コントロールを制限なしで実行することを許可します。 |
[安全なコントロールのみ許可する] |
安全な ActiveX コントロールの実行のみを許可します。ActiveX コントロールが Authenticode によって署名され、署名者が信頼できる発行元の一覧に含まれる場合に、その ActiveX コントロールは安全と認められます。 |
[Outlook のコントロールのみ読み込む] |
Outlook は、次のコントロールのみを読み込みます。1 回限りのフォームでは、これらのコントロールのみを使用できます。
|
これらのオプションのいずれも構成しない場合、既定で Outlook コントロールのみが読み込まれます。
ユーザー設定フォームのセキュリティ設定をカスタマイズする
グループ ポリシー Outlook 2013 テンプレート (Outlk15.admx) を使用すると、ユーザー設定フォームのセキュリティを構成する設定をロックできます。グループ ポリシーでは、これらの設定は [ユーザーの構成\管理用テンプレート\Microsoft Outlook 2013\セキュリティ\セキュリティ フォーム設定\ユーザー設定フォームのセキュリティ] の下にあります。
次の表は、構成できるスクリプト、カスタム コントロール、およびカスタム アクションの設定を示しています。
スクリプト、カスタム コントロール、およびカスタム アクションの設定
| 設定名 | レジストリのパスおよび値の名前 | 説明 |
|---|---|---|
[1 回限りの Outlook フォームでのスクリプトの使用を許可する] |
グループ ポリシーのレジストリ パス: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!enableoneoffformscripts |
メッセージにスクリプトとレイアウトが含まれるフォームのスクリプトを実行します。ユーザーがスクリプトを含む 1 回限りのフォームを受信した場合、スクリプトを実行するかどうかを確認するメッセージが表示されます。 |
[Outlook オブジェクト モデルのユーザー設定のアクションの実行確認について設定する] |
グループ ポリシーのレジストリ パス: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomcustomaction |
プログラムが Outlook オブジェクト モデルを使用してカスタム アクションを実行しようとしたときの処理を指定します。カスタム アクションを作成すると、メッセージの返信時に、プログラムによる送信に対する保護を解除することができます。次のいずれかを選択します。
|
Outlook 2013 でプログラムによる設定をカスタマイズする
Outlook 2013 の管理者は、プログラムによるセキュリティ設定を構成して、Outlook オブジェクト モデルへの制限を管理できます。Outlook オブジェクト モデルを使用すると、Outlook フォルダーに保存されたデータをプログラムによって操作できます。
注意
Exchange Server のセキュリティ テンプレートには、Collaboration Data Objects (CDO) の設定が含まれます。ただし、Outlook 2013 では CDO を使用できません。
グループ ポリシーを使用して、Outlook オブジェクト モデルのプログラムによるセキュリティ設定を構成できます。グループ ポリシーでは、Outlook 2013 テンプレート (Outlk15.admx) を読み込みます。グループ ポリシー設定は、[ユーザーの構成\管理用テンプレート\Microsoft Outlook 2013\セキュリティ\セキュリティ フォーム設定\プログラムによるセキュリティ] の下にあります。これらの設定は、Office カスタマイズ ツールでは構成できません。
プログラムによる設定に使用するグループ ポリシーのオプションについて、以下に説明します。各アイテムに次の設定のいずれかを選択できます。
[ユーザーに確認する] を選択すると、メッセージが表示され、ユーザーは操作の許可または拒否を指定できます。一部の確認メッセージでは、操作の許可または拒否を決断するまで、最大 10 分間の猶予が与えられます。
[自動的に許可する] を選択すると、Outlook ではプログラムによるアクセス要求が自動的に許可されます。このオプションは多大な脆弱性を招くため、推奨しません。
[自動的に拒否する] を選択すると、Outlook ではプログラムによるアクセス要求が自動的に拒否されます。確認メッセージは表示されません。
[コンピューターのセキュリティに基づいてユーザーにメッセージを表示する] Outlook は、セキュリティ センターの "プログラムによるアクセス" セクションの設定に従います。これは、既定の動作です。
次の表は、Outlook オブジェクト モデルのプログラムによるセキュリティ設定として構成できる設定を示しています。
プログラムによるセキュリティ設定
| 設定名 | レジストリのパスおよび値の名前 | 説明 |
|---|---|---|
[アドレス帳にアクセスするときの Outlook オブジェクト モデルに関する確認について構成する] |
グループ ポリシーのレジストリ パス: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomaddressbookaccess |
プログラムが Outlook オブジェクト モデルを使用してアドレス帳にアクセスしようとしたときの処理を指定します。 |
[UserProperty オブジェクトの Formula プロパティにアクセスするときの Outlook オブジェクト モデルに関する確認について構成する] |
グループ ポリシーのレジストリ パス: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomformulaaccess |
ユーザーがユーザー設定フォームに組み合わせフィールドを追加し、このフィールドをアドレス情報フィールドにバインドしたときの処理を指定します。この操作を実行すると、アドレス情報フィールドの Value プロパティを取得することによって、コードを使用してこのフィールドの値を間接的に取得できます。 |
[[名前を付けて保存] を実行するときの Outlook オブジェクト モデルに関する確認について構成する] |
グループ ポリシーのレジストリ パス: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomsaveas |
プログラムが [名前を付けて保存] コマンドを使用してアイテムをプログラムによって保存しようとしたときの処理を指定します。アイテムが保存されるときに、悪意のあるプログラムがファイルを検索して電子メール アドレスを取得する可能性があります。 |
[アドレス情報を読み込むときの Outlook オブジェクト モデルに関する確認について構成する] |
グループ ポリシーのレジストリ パス: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomaddressinformationaccess |
プログラムが Outlook オブジェクト モデルを使用して [宛先] などの受信者フィールドにアクセスしようとしたときの処理を指定します。 |
[会議出席依頼および仕事の依頼に返信するときの Outlook オブジェクト モデルに関する確認について構成する] |
グループ ポリシーのレジストリ パス: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoommeetingtaskrequestresponse |
プログラムが Respond メソッドを使用して仕事の依頼や会議出席依頼のメールをプログラムによって送信しようとしたときの処理を指定します。このメソッドは、メール メッセージの Send メソッドと似ています。 |
[メール送信時の Outlook オブジェクト モデルに関する確認について構成する] |
グループ ポリシーのレジストリ パス: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptoomsend |
プログラムが Outlook オブジェクト モデルを使用してメールをプログラムによって送信しようとしたときの処理を指定します。 |
簡易 MAPI 設定をカスタマイズする
グループ ポリシーを使用して、Outlook オブジェクト モデルの簡易 MAPI 設定を構成できます。グループ ポリシーでは、Outlook 2013 テンプレート (Outlk15.admx) を読み込みます。グループ ポリシー設定は、[ユーザーの構成\管理用テンプレート\Microsoft Outlook 2013\セキュリティ\セキュリティ フォーム設定\プログラムによるセキュリティ] の下にあります。これらの設定は、Office カスタマイズ ツールでは構成できません。
簡易 MAPI 設定
| 設定名 | レジストリのパスおよび値の名前 | 説明 |
|---|---|---|
[簡易 MAPI での送信に関する確認について構成する] |
グループ ポリシーのレジストリ パス: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapisend |
プログラムが簡易 MAPI を使用してメールをプログラムにより送信しようとしたときの処理を指定できます。 |
[簡易 MAPI での名前解決に関する確認について構成する] |
グループ ポリシーのレジストリ パス: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapinameresolve |
プログラムが簡易 MAPI を使用してアドレス帳にアクセスしようとしたときの処理を指定できます。 |
[簡易 MAPI でのメッセージ開封に関する確認について構成する] |
グループ ポリシーのレジストリ パス: HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\outlook\security!promptsimplemapiopenmessage |
プログラムが簡易 MAPI を使用して "宛先" フィールドなどの受信者フィールドにアクセスしようとしたときの処理を指定できます。 |
その他の設定
次の表は、この記事では説明しなかったその他のセキュリティ設定に関する記事の一覧です。
その他のセキュリティ設定に関する記事
| 機能 | 関連リソース |
|---|---|
ActiveX コントロール |
|
添付ファイル |
|
暗号化 |
|
デジタル署名 |
|
迷惑メール |
|
Information Rights Management |
|
保護されたビュー |