Outlook クライアントを使用する場合の Teams 会議アドインのセキュリティ

  • [アーティクル]
  • 適用対象:
    Microsoft Teams

Teams 会議アドイン (または TMA) は、Windows 上の Outlook デスクトップ クライアントから Teams で会議をスケジュールするために使用されます。

TMA は Outlook サービスと Teams サービスの間で調整されるため、TMA をセキュリティで保護することが重要です。 セキュリティ対策を講じることは、サイバーセキュリティ攻撃のリスクを下げるのに役立ちます。

この記事で取り上げた Teams 会議アドインをセキュリティで保護する方法を次に示します。

  1. (推奨)信頼された発行元からの証明書で TMA DLL が署名されていない場合に Outlook が TMA を読み込むのを防ぐには、Microsoft Outlook セキュリティ センターを使用します。
    1. ドメインのグループ ポリシーを使用し、特にユーザーが発行元を信頼するように求められるのを防ぐため、 ルート証明書信頼された発行元を更新します。
  2. AppLocker を使用して、信頼されていない発行元からの DLL の読み込みを停止することもできます。

Microsoft Outlook セキュリティ センター グループ ポリシー

アドイン管理には 、セキュリティ センター グループ ポリシー を使用できます。

  • organizationによって信頼されているアドインのみが読み込まれるようにするには
  • 指定されていない場所からのアドインの読み込みを停止するには

この方法は、COM 登録を損なうマルウェアから保護し、DLL を植えた別の場所から読み込むのに役立ちます。

手順を次に示します。

  1. セキュリティで保護されていないアドインから Outlook を保護する
    1. Outlook セキュリティ センター https://www.microsoft.com/en-us/trust-centerの に移動します。
    2. 到着したら、[ファイル オプション セキュリティ センター] を>選択します>
    3. [ Microsoft Outlook セキュリティ センター] を選択します
    4. 左側のメニューの [Microsoft Outlook セキュリティ センター] で、[ セキュリティ センターの設定] を選択します。
    5. [ マクロ設定] で、[ デジタル署名されたマクロの通知] を選択します。その他すべてのマクロは無効になっています
    6. 管理者は、この場合、[ インストールされているアドインにマクロ セキュリティ設定を適用する ] を選択する必要があります。
    7. [ OK ] ボタンを選択してこれらの変更を行い、セキュリティ センターを終了し、もう一度 [OK] を 選択してオプションを閉じます。

選択肢はそこから持続します。

次に、Outlook セキュリティ センターの外部で次の手順を実行します。

  1. クライアントで Outlook を再起動します。

  2. Outlook が再度開くと、アプリケーションは各アドインを読み込むアクセス許可を求め、署名 されていない アドインを自動的に無効にします。

    1. 次の図は、TMA のユーザー エクスペリエンスを示しています。 Outlook のセキュリティに関する通知と、この発行元からのすべてのドキュメントを信頼する方法と、アプリケーション アドインを有効にする方法です。
    2. エンド ユーザーには、Microsoft Office がMicrosoft.Teams.AddinLoader.dllの一覧に関する 潜在的なセキュリティ上の懸念事項を特定した と読み取る可能性がある Microsoft Outlook セキュリティ通知が表示されます。 オプションは次のとおりです。
      1. このパブリッシャーのすべてのドキュメントを信頼します。
        1. このオプションを選択すると、証明書の発行元が信頼され、証明書が変更されるまでユーザーに再度メッセージが表示されません。
      2. 2. アプリケーション アドインを有効にします。
        1. このオプションはケース バイ ケースでのみ有効になるため、このアドインはこの 1 回だけ有効になり、ユーザーに再度メッセージが表示されます。
      3. 3. アプリケーション アドインを無効にします。
        1. アドインを無効にします。
    3. 手順に従って、特定のルート証明機関を自動的に信頼するようにグループ ポリシーを設定します
      1. ドメイン コントローラー (DC) でグループ ポリシー管理コンソールを開きます。
      2. 新しいグループ ポリシー オブジェクト (GPO) を作成するか、設定の構成に使用する既存の GPO を編集します。
      3. 次に、[コンピューターの構成 > ポリシー > ] [Windows 設定] [セキュリティ設定] >> [公開キー ポリシー] の順に移動します。
      4. [信頼されたルート証明機関] を右クリックし、[インポート] を選択します。
      5. 信頼する証明書発行元のルート証明書 Microsoft ルート証明機関 2010 ファイルを参照してインポートします。
      6. GPO を適切な組織単位にリンクして、ポリシーを使用するコンピューターに設定を適用します。 このプロセスの詳細については、「Applocker ポリシーを運用環境にデプロイする」を参照してください。
    4. 次に、パブリッシャーを自動的に信頼するようにグループ ポリシーを設定する手順に従います。
      1. ドメイン コントローラーでグループ ポリシー管理コンソールを開きます。
      2. 新しい GPO を作成するか、設定を構成するために使用する既存の GPO を編集します。
      3. [コンピューターの構成 > ポリシー > ] [Windows 設定] [セキュリティ設定 > ] [公開キー ポリシー] > の順に移動します。
      4. [信頼された発行元] を右クリックし、[インポート] を選択します。
      5. 信頼する証明書発行元のリーフ証明書 Microsoft Corporation ファイルを参照してインポートします。
      6. GPO を適切な組織単位にリンクして、選択したコンピューターに設定を適用します。

  3. グループ ポリシーを使用したアドイン管理

    1. Microsoft 365 Apps for enterprise/Office LTSC 2021/Office 2019/Office 2016 および Office 2016 用 Office カスタマイズ ツール用の管理用テンプレート ファイル (ADMX/ADML) をダウンロードします。
    2. ADMX/ADML テンプレート ファイルを グループ ポリシー Management に追加します。
      1. [ ユーザー構成 > 管理テンプレート > ] [Microsoft Outlook (バージョン番号)] > セキュリティ > セキュリティ セキュリティ センター
        1. マクロのセキュリティ設定をマクロ、アドイン、その他のアクションに適用する: このポリシー設定は、Outlook がインストールされている COM アドインと追加のアクションにもマクロ セキュリティ設定を適用するかどうかを制御します。
          1. に設定します。 有効
        2. マクロのセキュリティ設定: このポリシー設定は、Outlook のマクロのセキュリティ レベルを制御します。
          1. に設定します。 署名済みの警告。符号なしを無効にします。
            1. このオプションは、 デジタル署名されたマクロの通知に対応します。その他のすべてのマクロは セキュリティ センターで無効になっています。 アドインが信頼された発行元によってデジタル署名されている場合は、信頼された発行元によって署名されたアドインを実行できます。
      2. アドインに関する追加のグループ ポリシー。
        1. [ユーザー構成>] [管理用テンプレート] > [Microsoft Outlook 2016 > セキュリティ] の下
          1. アドインの信頼レベルを構成する: インストールされているすべての信頼された COM アドインを信頼できます。 アドインの Exchange 設定が存在する場合でも、このオプションが選択されている場合はオーバーライドされます。
        2. [ユーザー構成>管理テンプレート] > の [Microsoft Outlook 2016>その他]
          1. [すべての非管理対象アドインをブロックする]: このポリシー設定は、[管理対象アドインの一覧] ポリシー設定で管理されていないすべてのアドインをブロックします。
          2. マネージド アドインの一覧: このポリシー設定を使用すると、常に有効にするアドイン、常に無効 (ブロック)、またはユーザーが構成可能なアドインを指定できます。 このポリシー設定で管理されていないアドインをブロックするには、"すべてのアンマネージ アドインをブロックする" ポリシー設定も構成する必要があります。
        3. [ユーザー構成>] [管理用テンプレート>] の [Microsoft Outlook 2016 > セキュリティ セキュリティ > フォームの設定] の [>プログラムによるセキュリティ>の信頼されたアドイン]
          1. 信頼できるアドインの構成: このポリシー設定は、Outlook のセキュリティ対策によって制限されることなく実行できる信頼されたアドインの一覧を指定するために使用されます。

Applocker

AppLocker アプリケーション制御ポリシーは、ユーザーが実行できるアプリとファイルを制御するのに役立ちます。 これらのファイルの種類には、実行可能ファイル、スクリプト、Windows インストーラー ファイル、ダイナミック リンク ライブラリ (DLL)、パッケージ アプリ、およびパッケージ アプリ インストーラーが含まれます。

AppLocker を使用して、信頼された発行元によって署名されていない DLL の読み込みを 停止 することに焦点を当ててみましょう。

AppLocker を使用して、署名されていない DLL の読み込みを停止します。

Applocker を使用して署名されていない DLL の読み込みを停止するには、ローカルまたはグループ ポリシーに新しい DLL 規則を作成する必要があります。

注意

このセクションの前提条件は、education または Windows Server 2012 以降Windows 10 Enterpriseです。

特定の DLL のWindows 10またはWindows 11に AppLocker を設定するには、次の手順に従います。

  1. ポリシー エディターを開きます。
    1. ローカル コンピューター
      1. ローカル セキュリティ ポリシー エディターを開きます。 [実行] ダイアログ ボックスまたは [スタート] メニューの検索バーに「secpol.msc」と入力し、Enter キーを押します。
    2. グループ ポリシー
      1. グループ ポリシーを使用して AppLocker ポリシーを編集する |Microsoft Learn
  2. ローカル セキュリティ ポリシー エディターで、[アプリケーション制御ポリシー > ] AppLocker > DLL 規則に移動します。
    1. サポートされているエディションの Windows を使用していて、DLL ルールがまだ表示されない場合は、AppLocker が有効になっていないか、システムで構成されていない可能性があります。 この場合は、次の手順に従って AppLocker を有効にすることができます。
      1. ローカル セキュリティ ポリシー エディターを開きます。 [実行] ダイアログ ボックスまたは [スタート] メニューの検索バーに「secpol.msc」と入力し、Enter キーを押します。
      2. ローカル セキュリティ ポリシー エディターで、[アプリケーション制御ポリシー > ] AppLocker に移動します。
      3. AppLocker を右クリックし、[プロパティ] を選択します。
      4. [AppLocker のプロパティ] の [適用] タブで、次の手順を実行します。
        1. [規則の適用を構成する] の横にある [構成済み] を選択します。
        2. ルール コレクションなどの追加のポリシーを監査専用モードとして構成します。
        3. これが確認されたら、適用するように更新できます
        4. [OK] を選択して変更を保存します。
        5. Application Identity サービスが 実行されていることを確認します。
  3. 新しい DLL 規則を作成する
    1. ローカル セキュリティ ポリシー エディターから
      1. [DLL 規則] を右クリックし、[新しい規則の作成] を選択します。
      2. [DLL ルールの作成] ウィザードで、[既存のファイルを使用する] を選択し、ルールを作成する DLL ファイルを参照します。
      3. 作成するルールの種類 (許可や拒否など) を選択し、必要なその他のルール条件を構成します。
      4. ウィザードを完了し、新しいルールを保存します。
    2. または PowerShell から:
      1. 新しい DLL 規則を作成するために必要な PowerShell コマンドレットは、一緒にパイプ処理できます。
  4. AppLocker グループ ポリシーを使用したアドイン管理
    1. Get-ChildItem - ファイルのオブジェクトを取得します
    2. Get-AppLockerFileInformation - ファイルの一覧またはイベント ログから AppLocker ルールを作成するために必要なファイル情報を取得します
    3. New-AppLockerPolicy - ファイル情報とその他のルール作成オプションの一覧から新しい AppLocker ポリシーを作成します。
      1. RuleType を発行する必要があり、これによりコード署名が適用されます。
      2. ユーザーは個々のユーザーまたはグループにすることができます。すべての例では Everyone を使用します。
      3. AllowWindows は、AppLocker ポリシーによってすべてのローカル Windows コンポーネントが許可されることを示します。
    4. ファイルごとに DLL 規則を作成するには
      1. TMA ファイルの場所はインストールの種類によって異なります
        1. ユーザーごとのインストール
          1. インストール場所: %localappdata%\Microsoft\TeamsMeetingAddin
        2. マシンごとのインストール
          1. インストール場所: C:\Program Files(x86)\TeamsMeetingAddin
      2. Get-ChildItem <TMAFileLocation>\Microsoft.Teams.AddinLoader.dll | Get-AppLockerFileInformation | New-AppLockerPolicy -RuleType Publisher, Hash -User Everyone -RuleNamePrefix TeamsMeetingAddin -AllowWindows -Xml | Out-File .\TMA.xml
      3. ポリシーを設定します。
        1. ローカル マシン i.Set-AppLockerPolicy -XmlPolicy .\TMA.xml -Merge
        2. グループ ポリシー i. Set-AppLockerPolicy -XMLPolicy .\TMA.xm -LDAP "<LDAP Info for Group Policy>"
      4. 手順 1 と 2 は、TMA の x64 ディレクトリと x86 ディレクトリの DLL ごとに完了する必要があります。
    5. すべての DLL ルールを一度に作成します。
      1. Get-AppLockerFileInformation -Directory .\Microsoft\TeamsMeetingAddin\1.0.23089.2 -Recurse |New-AppLockerPolicy -Verbose -RuleType Publisher, Hash -User Everyone -RuleNamePrefix TeamsMeetingAddin -AllowWindows -Xml |Out-File .\TMA.xml'
      2. Set-AppLockerPolicy -XmlPolicy .\TMA.xml -Merge3. グループ ポリシー更新を実行するには、LDAP 情報が必要です。

知っておくべき重要な事項:

  1. 環境で AppLocker がオンになっている場合、IT 部門は AppLocker に精通していると想定されます。 許可モデルを使用するように設計されており、許可されていないものはブロックされることに注意してください。
  2. パブリッシャー ルールが失敗した場合、フォールバック用のハッシュ 規則が提供されます。 ハッシュ 規則は、TMA が更新されるたびに更新する必要があります。
  3. AppLocker ポリシーを追加するための PowerShell コマンドは、追加 > する DLL の正確なバージョンにのみ一致するように設定され、パブリッシャー ルールの [許可プロパティ] に移動し、スコープの [ファイルバージョン] オプションを一覧のバージョンの上にある と に変更します。
  4. AppLocker でパブリッシャールールの DLL バージョンを幅広く受け入れるようにするには、[パブリッシャールールのプロパティを許可する] に移動し、[ファイルのバージョン] のドロップダウンを [And] \(正確に \) に変更します。 AppLocker に発行元ルールの DLL バージョンの広い範囲を受け入れるようにします。
  5. AppLocker ポリシーがアドインをブロックした場合に有効になると、表示されず、COM アドインの検査が表示されます。 有効にすると、AppLocker ポリシーによってアドインがブロックされると表示されず、COM アドインの検査は使用不可として表示されます。

関連情報

Microsoft 365 ファイルでマクロを有効または無効にする - AppLocker (Windows) Microsoft サポート |Microsoft Learn