Tpmvscmgr
Warning
Windows Hello for Businessおよび FIDO2 セキュリティ キーは、Windows 用の最新の 2 要素認証方法です。 仮想スマート カードを使用しているお客様は、Windows Hello for Businessまたは FIDO2 に移行することをお勧めします。 新しい Windows インストールの場合は、Windows Hello for Businessまたは FIDO2 セキュリティ キーをお勧めします。
Tpmvscmgr コマンド ライン ツールを使用すると、管理者資格情報を持つユーザーは、コンピューター上の TPM 仮想スマート カードを作成および削除できます。 このコマンドの使用方法の例については、「 例」を参照してください。
構文
Tpmvscmgr create [/quiet] /name <name> /AdminKey {DEFAULT | PROMPT | RANDOM} [/PIN {DEFAULT | PROMPT}] [/PUK {DEFAULT | PROMPT}] [/generate] [/machine <machine name>] [/pinpolicy [policy options]] [/attestation {AIK_AND_CERT | AIK_ONLY}] [/?]
Tpmvscmgr destroy [/quiet] [/instance <device instance ID>] [/machine <machine name>] [/?]
[作成] コマンドのパラメーター
Create コマンドは、ユーザーのシステムに新しい仮想スマート カードを設定します。 削除が必要な場合は、後で参照できるように、新しく作成されたカードのインスタンス ID を返します。 インスタンス ID は、n が 0 から始まり、新しい仮想スマート カードを作成するたびに 1 ずつ増やす形式ROOT\SMARTCARDREADER\000nです。
| パラメーター | 説明 |
|---|---|
| /名前 | 必須。 新しい仮想スマート カードの名前を示します。 |
| /AdminKey | ユーザーが PIN を忘れた場合にカードの PIN をリセットするために使用できる目的の管理者キーを示します。 既定 010203040506070801020304050607080102030405060708の既定値を指定します。 プロンプト 管理者キーの値を入力するようにユーザーに求めます。 ランダム結果として、ユーザーに返されないカードの管理者キーに対してランダムに設定されます。 これにより、スマート カード管理ツールを使用して管理できない可能性があるカードが作成されます。 RANDOM で生成された場合、管理者キーは 48 の 16 進文字として設定されます。 |
| /ピン | 目的のユーザー PIN 値を示します。 既定 12345678の既定の PIN を指定します。 プロンプト コマンド ラインで PIN を入力するようにユーザーに求めます。 PIN は 8 文字以上である必要があり、数字、文字、特殊文字を含めることができます。 |
| /Puk | 目的の PIN ロック解除キー (PUK) 値を示します。 PUK 値は 8 文字以上である必要があり、数字、文字、特殊文字を含めることができます。 パラメーターを省略すると、PUK なしでカードが作成されます。 既定 12345678の既定の PUK を指定します。 プロンプト コマンド ラインで PUK を入力するようにユーザーに求めます。 |
| /生成 | 仮想スマート カードが機能するために必要なストレージ内のファイルを生成します。 /generate パラメーターを省略すると、このファイル システムを使用せずにカードを作成する場合と同じです。 ファイル システムのないカードは、Microsoft Configuration Managerなどのスマート カード管理システムでのみ管理できます。 |
| /machine | 仮想スマート カードを作成できるリモート コンピューターの名前を指定できます。 これはドメイン環境でのみ使用でき、DCOM に依存します。 コマンドが別のコンピューターで仮想スマート カードの作成に成功するには、このコマンドを実行しているユーザーがリモート コンピューターのローカル管理者グループのメンバーである必要があります。 |
| /pinpolicy | /pin プロンプトを使用する場合、/pinpolicy を使用すると、次の PIN ポリシー オプションを指定できます。 minlen<PIN の最小長> 指定しない場合、既定値は 8 です。 下限は 4 です。 Maxlen<PIN の最大長> 指定しない場合、既定値は 127 です。 上限は 127 です。 大文字許可、許可されていない、または必須にすることができます。既定値は ALLOWED です。 小文字許可、許可されていない、または必須にすることができます。既定値は ALLOWED です。 桁許可、許可されていない、または必須にすることができます。既定値は ALLOWED です。 specialchars許可、許可されていない、または必須にすることができます。既定値は ALLOWED です。 /pinpolicy を使用する場合、PIN 文字は印刷可能な ASCII 文字である必要があります。 |
| /認証 | 構成証明を構成します (サブジェクトのみ)。 この構成証明では、構成証明 ID キー (AIK) 証明書をトラスト アンカーとして使用して、仮想スマート カード キーと証明書が本当にハードウェアバインドされていることを保証します。 構成証明メソッドは次のとおりです。 AIK_AND_CERT AIK を作成し、Microsoft クラウド証明機関 (CA) から AIK 証明書を取得します。 これには、デバイスに EK 証明書を含む TPM が必要です。 このオプションを指定し、ネットワーク接続がない場合、仮想スマート カードの作成が失敗する可能性があります。 AIK_ONLY AIK を作成しますが、AIK 証明書は取得しません。 |
| /? | このコマンドのヘルプを表示します。 |
Destroy コマンドのパラメーター
Destroy コマンドは、コンピューターから仮想スマート カードを安全に削除します。
Warning
仮想スマート カードが削除されると、復元できません。
| パラメーター | 説明 |
|---|---|
| /インスタンス | 削除する仮想スマート カードのインスタンス ID を指定します。 instanceID は、カードが作成されたときに Tpmvscmgr.exe によって出力として生成されました。 /instance パラメーターは、Destroy コマンドの必須フィールドです。 |
| /machine | 仮想スマート カードを削除するリモート コンピューターの名前を指定できます。 これはドメイン環境でのみ使用でき、DCOM に依存します。 コマンドが別のコンピューター上の仮想スマート カードの削除に成功するには、このコマンドを実行しているユーザーがリモート コンピューターのローカル管理者グループのメンバーである必要があります。 |
| /? | このコマンドのヘルプを表示します。 |
注釈
このコマンドのすべてのパラメーターを実行するには、ターゲット コンピューターの Administrators グループ (またはそれと同等) のメンバーシップが最低限必要です。
英数字入力の場合は、完全な 127 文字の ASCII セットを使用できます。
例
次のコマンドは、後で別のコンピューターから起動されたスマート カード管理ツールによって管理できる仮想スマート カードを作成する方法を示しています。
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey DEFAULT /PIN PROMPT
または、既定の管理者キーを使用する代わりに、コマンド ラインで管理者キーを作成することもできます。 次のコマンドは、管理者キーを作成する方法を示しています。
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey PROMPT /PIN PROMPT
次のコマンドは、証明書の登録に使用できるアンマネージド仮想スマート カードを作成します。
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey RANDOM /PIN PROMPT /generate
上記のコマンドでは、ランダム化された管理者キーを使用して仮想スマート カードを作成します。 キーは、カードの作成後に自動的に破棄されます。 つまり、ユーザーが PIN を忘れた場合、または PIN を変更する場合は、カードを削除してもう一度作成する必要があります。 カードを削除するには、次のコマンドを実行します。
tpmvscmgr.exe destroy /instance <instance ID>
ここで、<インスタンス ID> は、ユーザーがカードを作成したときに画面に出力される値です。 具体的には、最初に作成されたカードのインスタンス ID は ROOT\SMARTCARDREADER\0000 です。
次のコマンドは、管理者キーの既定値と指定された PIN ポリシーと構成証明メソッドを使用して TPM 仮想スマート カードを作成します。
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /PIN PROMPT /pinpolicy minlen 4 maxlen 8 /AdminKey DEFAULT /attestation AIK_AND_CERT /generate
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示