Outlook 電子メール セキュリティ更新プログラム (2000 年 6 月 7 日) の管理者向け情報

この資料では、IT 担当者および管理者向けに、2000 年 6 月 7 日にリリースされた Microsoft Outlook 電子メール セキュリティ更新プログラム (アップデート) について説明します。

重要 : この資料には、セキュリティ更新プログラムに関する一般的な情報は含まれていません。この資料を読む前に、以下のサポート技術情報 (Microsoft Knowledge Base) の資料を参照することをお勧めします。

概要

Microsoft Outlook 電子メール セキュリティ更新プログラムによって提供される多くのセキュリティ機能は、悪質な添付ファイルやカスタム コードの拡散を防止するように設計されています。Microsoft Exchange Server を使用している場合は、管理者がこの新しい機能の動作を制御できます。ただし、管理者が設定をカスタマイズするには、ユーザーのメールが Exchange Server のメールボックスに配信される必要があります。着信メールが個人用フォルダ (.pst) ファイルに配信されるように構成されている場合、カスタマイズした設定は使用されません (インターネット メールのみ (IMO) モードで Outlook を使用している場合など)。

この資料で説明するツールを使用すると、セキュリティ更新プログラムを個々の組織のニーズに合わせてカスタマイズすることができます。たとえば、Outlook でブロックする添付ファイルの種類の指定、Outlook オブジェクト モデルの警告通知の変更、ユーザーやグループのセキュリティ レベルの設定などが可能です。

管理者がすべての設定を制御するため、ユーザーは、カスタマイズ可能な設定を制御できません。設定は Exchange Server コンピュータのパブリック フォルダに格納されており、管理者のみにそのフォルダに対するフル コントロールのアクセス許可があります。その他すべてのユーザーには、読み取り専用のアクセス許可のみが与えられています。ユーザーが Outlook を起動すると、Outlook では、Windows レジストリ キーが検索され、カスタマイズされた設定をユーザーが使用できるように指定されているかどうかが確認されます。レジストリ キーが見つからない場合、またはカスタマイズされた設定がレジストリ キーで有効にされていない場合、Outlook ではデフォルトの最高のセキュリティ設定が使用され、セキュリティ更新プログラムのすべての機能が有効になります。ただし、レジストリ キーが存在し、カスタム設定が有効に設定されている場合、Outlook では Exchange Server コンピュータのパブリック フォルダからユーザーの設定を取得します。

ユーザー セキュリティ設定が反映され、正常に機能すると、ユーザーがオフライン フォルダ ファイル (.ost) を使用してオフラインで操作する場合にも、ユーザー セキュリティ設定を自動的に同期することができます。そのためには、Outlook Security Settings パブリック フォルダを [お気に入り] フォルダに追加してから、これらのフォルダを同期させる必要があります。[お気に入り] フォルダに追加したフォルダは表示されませんが、正しく機能しています。

オフライン フォルダとその使用方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

管理者用の情報とツールの入手方法

Microsoft Office リソース キット (ORK) Web サイトには、管理者がダウンロードできる情報やファイルが含まれています。セキュリティ更新プログラムの管理方法に関する一般的な情報については、以下のマイクロソフト Web サイトを参照してください。 また、以下のマイクロソフト Web サイトで 2 つのファイルをダウンロードできます。 Admpack.exe ファイルには、以下のファイルが含まれています。

• 管理者向けのマニュアルが記載されている Readme.txt ファイル
• Outlook セキュリティ フォーム テンプレート (OutlookSecurity.oft)
• システム ポリシーが定義されているコンピュータ用のポリシー ファイル (Outlk9.adm)

O2ksec_a.exe ファイルには、OQFE7117_Admin.msp ファイルが含まれており、これを使用すると、Microsoft Office の管理者用インストールを更新できます。

Outlook Security Settings フォルダの設定方法

注 : Outlook 電子メール セキュリティ更新プログラムとカスタム設定の併用は、Microsoft Exchange Server 5.0 以降でのみサポートされており、Microsoft Exchange Server 4.x ではサポートされていません。

組織の Outlook セキュリティ設定は Outlook Security Settings フォルダに保存されます。管理者がセキュリティ設定を完了すると、個々のクライアント コンピュータで Outlook を起動するたびに、このフォルダからセキュリティ設定を取得することができます。Outlook Security Settings フォルダは、クライアント コンピュータから常にアクセス可能な状態にしておく必要があります。Outlook Security Settings フォルダが使用できない場合、ユーザー セキュリティ設定を使用しているプログラムはデフォルトのセキュリティ設定に戻ることがあります。

Readme.txt ファイルの「2.2 Outlook Security Settings フォルダ」には、パブリック フォルダの設定方法が記載されています。フォルダの名前は "Outlook Security Settings" (二重引用符は含みません) にし、[すべてのパブリック フォルダ] フォルダに格納する必要があります。

フォルダの作成方法

Outlook Security Settings フォルダを作成するには、以下の手順を実行します。

1. [フォルダ一覧] ウィンドウで、[すべてのパブリック フォルダ] を右クリックし、[フォルダの作成] をクリックします。
   
   [フォルダ一覧] ウィンドウが表示されていない場合は、[表示] メニューの [フォルダ一覧] をクリックします。
2. フォルダの名前として Outlook Security Settings と入力します。
3. [プロパティ] ダイアログ ボックスの設定をデフォルトのままにして、[OK] をクリックします。

Outlook Security Settings フォルダのアクセス許可の設定方法

Outlook Security Settings フォルダの作成後、フォルダに適切なアクセス許可を設定する必要があります。フォルダを作成したユーザーには、自動的にそのフォルダの所有者のアクセス許可が与えられます。他のユーザーに Outlook のセキュリティ設定の設定を許可する場合は、他のユーザーにそのフォルダの所有者のアクセス許可を与えます。他のユーザーに所有者のアクセス許可を与える場合は、十分な注意が必要です。フォルダのアクセス許可を変更するには、以下の手順を実行します。

1. [フォルダ一覧] ウィンドウで [Outlook Security Settings] フォルダを右クリックし、[プロパティ] をクリックし、[アクセス権] タブをクリックします。
2. アクセス権の一覧で [既定] をクリックし、[役割] を [参照者] に変更します。これは、ユーザーが必要とするのはそのフォルダに対する基本的な読み取りアクセス権のみであるためです。
3. 他のユーザーにこのフォルダの管理を許可する場合は、[追加] をクリックし、ユーザーの名前を追加します。追加したユーザーに [所有者] アクセス権を割り当てます。
4. [OK] をクリックします。

どのユーザーの場合も、パブリック フォルダの一覧には Outlook Security Settings フォルダが表示されます。また、設定が格納されているアイテムを開くことができるため、他のすべてのユーザーの設定を参照できます。

注 : Winnt/Windows 2000 を実行しているユーザー コンピュータ上の管理者用セキュリティ更新プログラムにレジストリの変更を適用するためには、ユーザーの読み取りアクセス許可がオンに設定されている必要があります。Winnt/Windows 2000 でこのようなアクセス許可があるかどうかを確認するには、以下の手順を実行します。

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
2. regedt32 と入力し、[OK] をクリックします。
3. HKEY_USERS に移動し、[セキュリティ] メニューをクリックして、[アクセス許可] をクリックします。
4. Everyone グループが表示されています (このグループが存在しない場合は新たに作成してください)。このグループの [読み取り] アクセス許可の [許可] チェック ボックスがオンになっていることを確認してください。
5. また、[詳細] をクリックすると表示される [HKEY_USERS のアクセス制御の設定] ダイアログ ボックスでも、Everyone グループに読み取りアクセス許可が設定されていることを確認してください。
6. さらに、[継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオンにします。
7. [OK] をクリックし、regedt32 を閉じて変更内容を保存します。

これで、ユーザーは管理者としてログオンしなくても、この「サポート技術情報」 (Microsoft Knowledge Base) で説明するレジストリ キーを追加することができます。

Outlook セキュリティ フォームの使用方法

Outlook セキュリティ フォームを使用することにより、Outlook ユーザーのセキュリティ設定を変更できます。Readme.txt ファイルの「2.3 セキュリティ設定の作成」には、フォームのインストール方法の詳細な手順が記載されています。フォームをインストールすると、そのフォームが Outlook Security Settings フォルダのデフォルトのフォームになります。[新規作成] をクリックすると、フォームが開き、新しいセキュリティ設定を作成できます。

Outlook セキュリティ フォームを使用することにより、ユーザーのデフォルトのセキュリティ設定を格納するフォルダにアイテムを作成できます。また、このフォームを使用して、そのフォルダ内に新たなアイテムを作成できます。各アイテムは、デフォルトのセキュリティ設定の例外になります。たとえば、そのフォルダに "Power Users" というアイテムを作成し、そのグループのメンバーの一覧と、メンバーに対するカスタム設定を含めることができます。フォームの [メンバー] ボックスにユーザー名が格納され、設定はアイテムのさまざまな Outlook ユーザー定義フィールドに格納されます。構成可能な設定は、添付ファイル、Outlook オブジェクト モデル、シンプル MAPI (Messaging Application Programming Interface)、CDO (Collaboration Data Objects)、およびレベル 1 またはレベル 2 に含まれているファイル拡張子の種類などです。Readme.txt ファイルには、個々の設定に関する詳細情報が記載されています。

フォームの [メンバー] ボックスを使用する場合は、リスト全体が解決されるように、電子メール メッセージの [宛先] ボックスにテキストを入力するのと同様に、解決可能な電子メール アドレスをセミコロンで区切って入力します。実際には、[メンバー] ボックスのデータは、アイテムの "宛先" フィールドに格納されます。

フォームにファイル拡張子を入力する場合は、Readme.txt ファイルに記載されているように、ファイル拡張子の前にピリオド (.) を含めず、各拡張子をセミコロン (;) で区切るようにします。また、ファイル拡張子の間にスペースを含めないようにします。以下に例を示します。 注 : フォームには CDO オブジェクト モデルの設定が含まれていますが、これらの設定は、CDO 電子メール セキュリティ更新プログラムがインストールされている場合にのみ機能します。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。 フォルダでは、"最も新しく作成されたアイテム" を基に処理が実行されます。あるユーザーを複数のグループに追加すると、Outlook の起動時に、そのユーザーを含む最も新しく作成されたアイテムが検索され、使用されます。Outlook ではフォルダ内のすべてのアイテムが取得されるわけではなく、フォルダの履歴を通じてユーザーに対して付与されたすべてのアクセス許可が評価されるわけではありません。そのため、セキュリティ設定グループと、どのユーザーを各グループのメンバーにするかを入念に計画することが重要です。

管理者インストール ポイントの更新方法

組織内のユーザーがサーバー上の場所から Outlook または Microsoft Office を実行している場合、サーバー ベースのインストールに Outlook 電子メール セキュリティ更新プログラムを適用する方法 ("setup /a" コマンド) の詳細については ORK を参照してください。

Outlook 2000 の管理者インストール ポイントを更新する方法の詳細については、次のマイクロソフト Web サイトを参照してください。

Windows レジストリ キーに関する情報

ユーザーが Outlook を起動すると、Outlook によりレジストリ キーが設定されているかどうか、およびユーザー セキュリティ設定を使用するように構成されているかどうかの確認が行われます。設定および構成が行われている場合、Outlook では Outlook Security Settings パブリック フォルダからユーザーの設定を取得します。

レジストリ キーは DWORD 値を保持し、次の場所に配置されています。

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Security\CheckAdminSettings

次に、このレジストリ キーの値によって Outlook の動作がどのように変わるかについて説明します。

• キーなし : Outlook はロックダウン モードで動作します。
• 値 0 (ゼロ) : Outlook はロックダウン モードで動作します。
• 値 1 : Outlook はカスタムの管理設定を検索します。

重要 : ここで説明した動作は、Readme.txt ファイルの「2.4 Outlk9.adm ファイルを使ったポリシー レジストリ キーのロール アウト」に記載されている動作とは異なります。Readme.txt ファイルには、キーが存在しないかキーに値 0 が設定されている場合、Outlook ではサーバー上の設定が確認されると記載されていますが、Readme.exe の記載は適切ではありません。Outlook ではパブリック フォルダ内の Default Security Settings フォルダに格納されている設定ではなく、デフォルトの Outlook "ロックダウン" 設定が使用されます。

Readme.txt ファイルの「2.4 Outlk9.adm ファイルを使ったポリシー レジストリ キーのロール アウト」には、ユーザーのコンピュータにレジストリを展開する方法が記載されていますが、レジストリ値を展開する方法は、構成およびポリシーが有効かどうかによって異なります。

レジストリ キーを手動で作成する方法

レジストリ キーを作成する方法の詳細については、Readme.txt ファイルの「2.4.3 クライアント コンピュータに配布するレジストリ キーの新規作成」を参照してください。

サードパーティのメール サーバーでのセキュリティ更新プログラムの実装方法

サードパーティのメール サーバーにセキュリティ更新プログラムを実装する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

Outlook 電子メール セキュリティ更新プログラムの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。