次の方法で共有


TPM のグループ ポリシー設定

この記事では、グループ ポリシー設定を使用して一元的に制御できるトラステッド プラットフォーム モジュール (TPM) サービスについて説明します。 TPM サービスのグループ ポリシー設定は、 コンピューターの構成>管理用テンプレート>System>Trusted Platform Module Services にあります。

ブロックされている TPM コマンドの一覧を構成する

このポリシー設定を使用すると、Windows によってブロックされるトラステッド プラットフォーム モジュール (TPM) コマンドのグループ ポリシーの一覧を管理できます。

このポリシー設定を有効にすると、Windows は指定したコマンドがコンピューター上の TPM に送信されないようにブロックします。 TPM コマンドは、コマンド番号によって参照されます。 たとえば、コマンド番号 129TPM_OwnerReadInternalPubされ、コマンド番号 170TPM_FieldUpgrade

このポリシー設定を無効にした場合、または構成しない場合は、既定またはローカル リストで指定された TPM コマンドのみが Windows によってブロックされる可能性があります。 ブロックされている TPM コマンドの既定の一覧は、Windows によって事前構成されています。 既定の一覧を表示するには、 tpm.mscを実行し、[コマンド管理] セクションに移動し、[既定のブロック リスト] 列を表示します。 ブロックされた TPM コマンドのローカル リストは、 tpm.msc を実行するか、Win32_Tpm インターフェイスに対するスクリプトを使用して、グループ ポリシーの外部で構成されます。

TPM が準備完了状態でない場合に TPM をクリアするようにシステムを構成する

このポリシー設定は、TPM が準備完了以外の状態であることが検出された場合に TPM をクリアするようにユーザーに求めるシステムを構成します。 このポリシーは、システムの TPM が準備完了以外の状態にある場合 (TPM が "準備完了、 機能が低下した状態) である場合にのみ有効になります。 TPM をクリアするためのプロンプトは、次回の再起動後に、ログインしているユーザーがシステムの Administrators グループに属している場合にのみ、ユーザーサインイン時に発生し始めます。 プロンプトは無視できますが、ポリシーが無効になるか、TPM が準備完了状態になるまで、再起動とサインインのたびに再び表示されます。

ブロックされている TPM コマンドの既定の一覧を無視する

このポリシー設定を使用すると、ブロックされたトラステッド プラットフォーム モジュール (TPM) コマンドのコンピューターのローカル リストを適用または無視できます。

このポリシー設定を有効にすると、Windows はブロックされた TPM コマンドのコンピューターのローカル リストを無視し、グループ ポリシーまたは既定の一覧で指定された TPM コマンドのみをブロックします。

ブロックされた TPM コマンドのローカル リストは、 tpm.msc を実行するか、 Win32_Tpm インターフェイスに対するスクリプトを使用して、グループ ポリシーの外部で構成されます。 ブロックされている TPM コマンドの既定の一覧は、Windows によって事前構成されています。 ブロックされた TPM コマンドのグループ ポリシーの一覧を構成するには、関連するポリシー設定を参照してください。

このポリシー設定を無効にするか、構成しない場合、Windows は、グループ ポリシー内のコマンドとブロックされた TPM コマンドの既定の一覧に加えて、ローカル リストで見つかった TPM コマンドをブロックします。

ブロックされている TPM コマンドのローカル リストを無視する

このポリシー設定は、ローカル コンピューターのレジストリに格納される TPM 所有者の承認情報の量を構成します。 ローカルに格納されている TPM 所有者の認証情報の量に応じて、オペレーティング システムと TPM ベースのアプリケーションは特定の TPM アクションを実行できます。これは、ユーザーが TPM 所有者パスワードを入力しなくても TPM 所有者の承認を必要とします。

オペレーティング システムには、完全な TPM 所有者承認値、TPM 管理委任 BLOB、TPM ユーザー委任 BLOB のいずれかを格納するか、または何も格納しないかのいずれかを選択できます。

このポリシー設定を有効にした場合、Windows は、選択したオペレーティング システム管理 TPM 認証設定に従って、ローカル コンピューターのレジストリに TPM 所有者の承認を格納します。

オペレーティング システムのマネージド TPM 認証設定 "Full" を選択して、完全な TPM 所有者承認、TPM 管理委任 BLOB、TPM ユーザー委任 BLOB をローカル レジストリに格納します。 この設定を使用すると、TPM 所有者承認値のリモートストレージまたは外部ストレージを必要とせずに TPM を使用できます。 この設定は、TPM のハンマー対策ロジックのリセットの防止や TPM 所有者の承認値の変更に依存しないシナリオに適しています。 一部の TPM ベースのアプリケーションでは、TPM のハンマリング防止ロジックを使用する機能に依存する機能を使用する前に、この設定を変更する必要がある場合があります。

"Delegated" のオペレーティング システムマネージド TPM 認証設定を選択して、TPM 管理委任 BLOB と TPM ユーザー委任 BLOB のみをローカル レジストリに格納します。 この設定は、TPM のハンマリング防止ロジックに依存する TPM ベースのアプリケーションで使用する場合に適しています。

以前のオペレーティング システムやアプリケーションとの互換性を確保するため、または TPM 所有者の承認を必要とするシナリオでローカルに格納されないシナリオで使用する場合は、オペレーティング システムで管理される TPM 認証設定 "None" を選択します。 この設定を使用すると、一部の TPM ベースのアプリケーションで問題が発生する可能性があります。

オペレーティング システムのマネージド TPM 認証設定が "Full" から "Delegated" に変更された場合、完全な TPM 所有者承認値が再生成され、元の TPM 所有者承認値のコピーはすべて無効になります。

オペレーティング システムで使用できる TPM 所有者の承認情報のレベルを構成する

重要

Windows 10 バージョン 1703 以降の既定値は 5 です。 この値はプロビジョニング中に実装され、システム構成に応じて別の Windows コンポーネントが削除したり、所有権を取得したりできます。 TPM 2.0 の場合、値 5 はロックアウト承認を保持します。 TPM 1.2 の場合は、完全な TPM 所有者の承認を破棄し、委任された承認のみを保持します。

このポリシー設定は、ローカル コンピューターのレジストリに格納される TPM 承認値を構成します。 Windows が特定のアクションを実行できるようにするには、特定の承認値が必要です。

TPM 1.2 値 TPM 2.0 値 目的 レベル 0 に保持されますか? レベル 2 に保持されますか? レベル 4 に保持されますか?
OwnerAuthAdmin StorageOwnerAuth SRK の作成 なし はい
OwnerAuthEndorsement 保証認証 EK の作成または使用 (1.2 のみ: AIK の作成) なし はい
OwnerAuthFull LockoutAuth 辞書攻撃保護をリセット/変更する なし なし はい

Windows オペレーティング システムによって管理される TPM 所有者認証設定は 3 つあります。 [Full]、[デリゲート]、または [なし] の値を選択できます。

  • Full: この設定では、TPM 所有者の完全な承認、TPM 管理委任 BLOB、および TPM ユーザー委任 BLOB がローカル レジストリに格納されます。 この設定では、TPM 所有者の承認値のリモートストレージまたは外部ストレージを必要とせずに TPM を使用できます。 この設定は、TPM のハンマー対策ロジックをリセットしたり、TPM 所有者の承認値を変更したりする必要のないシナリオに適しています。 一部の TPM ベースのアプリケーションでは、TPM のハンマリング防止ロジックに依存する機能を使用する前に、この設定を変更することが必要になる場合があります。 TPM 1.2 の完全な所有者承認は、TPM 2.0 のロックアウト承認に似ています。 所有者の承認は、TPM 2.0 の意味が異なります。

  • 委任: この設定では、TPM 管理委任 BLOB と TPM ユーザー委任 BLOB のみがローカル レジストリに格納されます。 この設定は、TPM アンチハンマー ロジックに依存する TPM ベースのアプリケーションで使用する場合に適しています。 これは、バージョン 1703 より前の Windows の既定の設定です。

  • なし: この設定は、以前のオペレーティング システムとアプリケーションとの互換性を提供します。 また、TPM 所有者の承認をローカルに格納できないシナリオにも使用できます。 この設定を使用すると、一部の TPM ベースのアプリケーションで問題が発生する可能性があります。

オペレーティング システムのマネージド TPM 認証設定が Full から Delegated に変更された場合、完全な TPM 所有者承認値が再生成され、以前に設定した TPM 所有者承認値のコピーはすべて無効になります。

レジストリ情報

レジストリ キー: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel

次の表は、レジストリの TPM 所有者の承認値を示しています。

値データ 設定
0 なし
2 委任
4 完全

このポリシー設定を有効にした場合、Windows オペレーティング システムは、選択した TPM 認証設定に従って、ローカル コンピューターのレジストリに TPM 所有者の承認を格納します。

バージョン 1607 より前の Windows 10 で、このポリシー設定を無効にするか、または構成していない場合、[ Active Directory Domain Services への TPM バックアップを有効にする ] ポリシー設定も無効または未構成の場合、既定の設定では、完全な TPM 承認値をローカル レジストリに格納します。 このポリシーが無効になっているか、構成されていない場合、[ Active Directory Domain Services への TPM バックアップを有効にする ] ポリシー設定が有効になっている場合は、管理委任とユーザー委任 BLOB のみがローカル レジストリに格納されます。

標準ユーザー ロックアウト期間

このポリシー設定を使用すると、承認を必要とするトラステッド プラットフォーム モジュール (TPM) コマンドの標準ユーザー承認エラーをカウントするための期間を分単位で管理できます。 承認エラーは、標準ユーザーが TPM にコマンドを送信し、承認エラーが発生したことを示すエラー応答を受け取るたびに発生します。 設定した期間より古い承認エラーは無視されます。 ロックアウト期間内に承認エラーが発生した TPM コマンドの数がしきい値と等しい場合、標準ユーザーは、承認を必要とするコマンドを TPM に送信できません。

TPM は、不正な承認値を持つコマンドが多すぎる場合にハードウェア ロックアウト モードに入ることで、パスワード推測攻撃から自身を保護するように設計されています。 TPM がロックアウト モードになると、すべてのユーザー (管理者を含む) と BitLocker ドライブ暗号化などの Windows 機能がグローバルになります。

この設定を使用すると、管理者は、標準ユーザーが承認を必要とするコマンドを TPM に送信できる速度を遅くすることで、TPM ハードウェアがロックアウト モードに入らないようにすることができます。

標準ユーザーごとに、2 つのしきい値が適用されます。 いずれかのしきい値を超えると、ユーザーは TPM への承認を必要とするコマンドを送信できなくなります。 ロックアウト期間を設定するには、次のポリシー設定を使用します。

TPM 所有者パスワードを持つ管理者は、Windows Defender セキュリティ センターを使用して TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、以前の標準ユーザー TPM 承認エラーはすべて無視されます。 これにより、標準ユーザーは TPM をすぐに正常に使用できます。

このポリシー設定を構成しない場合は、既定値の 480 分 (8 時間) が使用されます。

標準ユーザーの個別ロックアウトしきい値

このポリシー設定を使用すると、トラステッド プラットフォーム モジュール (TPM) の標準ユーザーごとの承認エラーの最大数を管理できます。 この値は、ユーザーが TPM への承認を必要とするコマンドの送信を許可されない前に、各標準ユーザーが保持できる承認エラーの最大数です。 標準ユーザー ロックアウト期間ポリシー設定に設定されている期間内のユーザーの承認エラーの数がこの値と等しい場合、標準ユーザーは、承認を必要とするコマンドをトラステッド プラットフォーム モジュール (TPM) に送信できません。

この設定を使用すると、管理者は、標準ユーザーが承認を必要とするコマンドを TPM に送信できる速度を遅くすることで、TPM ハードウェアがロックアウト モードに入らないようにすることができます。

承認エラーは、標準ユーザーが TPM にコマンドを送信するたびに発生し、承認エラーが発生したことを示すエラー応答を受け取ります。 期間より前の承認エラーは無視されます。

TPM 所有者パスワードを持つ管理者は、Windows Defender セキュリティ センターを使用して TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、以前の標準ユーザー TPM 承認エラーはすべて無視されます。 これにより、標準ユーザーは TPM をすぐに正常に使用できます。

このポリシー設定を構成しない場合は、既定値の 4 が使用されます。 値が 0 の場合、オペレーティング システムでは標準ユーザーが TPM にコマンドを送信できないため、承認エラーが発生する可能性があります。

標準ユーザーのロックアウトの合計しきい値

このポリシー設定を使用すると、トラステッド プラットフォーム モジュール (TPM) のすべての標準ユーザーの承認エラーの最大数を管理できます。 Standard User Lockout Duration ポリシーに設定されている期間内のすべての標準ユーザーの承認エラーの合計数がこの値と等しい場合、すべての標準ユーザーは、承認を必要とするコマンドをトラステッド プラットフォーム モジュール (TPM) に送信できなくなります。

この設定は、管理者が TPM ハードウェアがロックアウト モードに入らないようにするのに役立ちます。これは、標準ユーザーが TPM に承認を必要とするコマンドを送信できる速度が低下するためです。

承認エラーは、標準ユーザーが TPM にコマンドを送信するたびに発生し、承認エラーが発生したことを示すエラー応答を受け取ります。 期間より前の承認エラーは無視されます。

TPM 所有者パスワードを持つ管理者は、Windows Defender セキュリティ センターを使用して TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、以前の標準ユーザー TPM 承認エラーはすべて無視されます。 これにより、標準ユーザーは TPM をすぐに正常に使用できます。

このポリシー設定を構成しない場合は、既定値の 9 が使用されます。 値が 0 の場合、オペレーティング システムでは標準ユーザーが TPM にコマンドを送信できないため、承認エラーが発生する可能性があります。

TPM 2.0 の従来のディクショナリ攻撃防止パラメーター設定を使用するようにシステムを構成する

Windows 10 バージョン 1703 で導入されたこのポリシー設定は、Windows 10 バージョン 1607 以降で使用された値に辞書攻撃防止パラメーター (ロックアウトしきい値と回復時間) を使用するように TPM を構成します。

重要

このポリシーの設定は、次の場合にのみ有効になります。

  • TPM は、もともと Windows 10 バージョン 1607 以降のバージョンの Windows を使用して準備されていました
  • システムには TPM 2.0 があります。

このポリシーの有効化は、TPM メンテナンス タスクの実行後にのみ有効になります (通常はシステムの再起動後に発生します)。 このポリシーがシステムで有効になり、(システムの再起動後に) 有効になると、無効にしても影響はなく、このグループ ポリシーの値に関係なく、従来の辞書攻撃防止パラメーターを使用してシステムの TPM が構成されたままになります。 このポリシーの無効な設定を、一度有効にしたシステムに対して有効にする唯一の方法は、次のいずれかです。

  • グループ ポリシーから無効にする
  • システムで TPM をクリアする

Windows セキュリティの TPM グループ ポリシー設定

Windows セキュリティで TPM に関してユーザーに表示される内容を変更できます。 Windows セキュリティの TPM 領域のグループ ポリシー設定は、コンピューターの構成>管理用テンプレート>Windows コンポーネント>Windows セキュリティ>Device セキュリティにあります。

[TPM のクリア] ボタンを無効にする

ユーザーが Windows セキュリティ[TPM のクリア] ボタンを選択できないようにする場合は、このグループ ポリシー設定で無効にすることができます。 [ 有効] を選択 して、[ TPM のクリア ] ボタンを使用できないようにします。

TPM ファームウェア更新プログラムの推奨事項を非表示にする

TPM ファームウェアを更新するための推奨事項をユーザーに表示しない場合は、この設定で無効にすることができます。 [ 有効] を 選択すると、脆弱なファームウェアが検出されたときに TPM ファームウェアを更新するための推奨事項がユーザーに表示されなくなります。