この記事では、Windows 10 の正常な展開後にトラステッド プラットフォーム モジュール (TPM) が機能制限モードになる問題の回避策について説明します。
適用対象: Windows 10 - すべてのエディション
元の KB 番号: 4018657
現象
以下のシナリオについて考えてみます。
- Microsoft Deployment Toolkit (MDT) を使用して Windows 10 を展開します。 (Windows 10 をサポートする MDT の任意のバージョンを指定できます)。
- "プレインストール" グループで Windows PE 中に BitLocker を事前プロビジョニングするには、"BitLocker (オフライン) の有効化" ステップ (ZTIBDE.wsf スクリプト) を使用します。
- デプロイが成功しました。
このシナリオでは、トラステッド プラットフォーム モジュール (TPM) が機能制限モードになっていることがわかります。 このような状況では、TPM 管理コンソール (TPM.msc) は、次の問題を報告します。
TPM を使用する準備が整い、機能が制限されています。 情報フラグ: 0x900 TPM 所有者の承認がレジストリに正しく格納されていません。 TPM のストレージ ルート キーに関する Windows のレジストリ情報が TPM ストレージ ルート キーと一致しないか、存在しません。
原因
この問題は、ZTIBDE.wsf スクリプトの TpmValidate 関数が Windows PE から TPM の所有権を不必要に取得するためです。 Windows は、正しいパラメーターを使用してプロビジョニングするために、OOBE の前に TPM の所有権を正しく取得できる必要があります。
Windows PE からの TPM の所有権のこの変更が発生すると、TPM には、Windows で認識されないパラメーターが与えられます。 そのため、TPM のキー階層は無効になり、Windows では完全に使用できなくなります。
回避策
新しいバージョンの MDT が使用可能になるまで新しいデプロイでこの問題を回避するには、"Function Main" セクションの先頭にある ZTIBDE.wsf スクリプトに次のコマンドを追加します。
reg add hklm\system\currentcontrolset\services\tpm\wmi -v UseNullDerivedOwnerAuth -t REG_DWORD -d 0x01 -f
注
TPM が既に機能制限モードになっているデバイスの場合は、この問題を軽減する前に TPM をクリアする必要があります。 この状態の場合は、TPM をリセットすることをお勧めします。
これを行うには、
詳細
この問題が発生しないようにする 1 つのオプションは、BitLocker を事前プロビジョニングし、代わりにシステム全体を有効にするのを待つ方法です。 この方法を使用すると、デプロイの完了に時間がかかることに注意してください。