TPM の所有権の初期化と構成
IT 担当者向けのこのトピックでは、トラステッド プラットフォーム モジュール (TPM) の所有権の初期化と設定の方法、TPM を有効または無効にする方法、TPM キーをクリアする方法について説明します。また、これらの手順を使った結果発生する可能性のある問題をトラブルシューティングする方法についても説明します。
TPM の初期化と所有権について
コンピューターを保護するために TPM を使えるようにするには、TPM を初期化して所有権を取得する必要があります。TPM の所有者は、所有者パスワードを所有し、所有者パスワードの設定と変更ができるユーザーです。所有者パスワードは TPM ごとに 1 つだけ存在します。TPM の所有者は、TPM のすべての機能を利用できます。TPM の所有権の取得は、初期化プロセスの一部として実行できます。
TPM Microsoft 管理コンソール (MMC) からアクセスする TPM 初期化ウィザードを起動すると、コンピューターの TPM が初期化されているかどうかを判断することができます。TPM プロパティを表示することもできます。
このトピックでは、次のタスクの手順を説明します。
TPM を初期化して所有権を設定する
TPM の初期化のトラブルシューティングを行う
TPM を有効または無効にする
TPM のすべてのキーをクリアする
TPM コマンドレットを使う
TPM を初期化して所有権を設定する
この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のメンバーシップが必要です。また、コンピューターには Trusted Computing Group 準拠の BIOS が備えられている必要があります。
TPM 初期化ウィザードを開始するには
TPM 管理コンソールを開きます (tpm.msc)。[ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示されている操作が目的の操作であることを確認して、[はい] をクリックします。
[操作] メニューで、[TPM を初期化] をクリックして TPM 初期化ウィザードを開始します。
TPM が初期化されていない場合、または無効になっている場合は、TPM 初期化ウィザードに [TPM セキュリティ ハードウェアを有効にします] ダイアログ ボックスが表示されます。このダイアログ ボックスには、TPM の初期化または有効化についてのガイダンスが示されます。ウィザードの指示に従います。
注
TPM が既に有効になっている場合、TPM 初期化ウィザードに [TPM 所有者パスワードを作成します] ダイアログ ボックスが表示されます。この手順の残りの部分を省略し、続いて「TPM の所有権を設定するには」の手順を行います。
注
TPM 初期化ウィザードが互換性のある BIOS がないことを検出した場合、TPM 初期化ウィザードを続行することはできません。TPM を初期化するための手順についてはコンピューターの製造元のマニュアルを参照するよう知らされます。
[再起動] をクリックします。
BIOS 画面の指示に従ってください。ユーザーがコンピューターに物理的にアクセスしていて、悪意のあるソフトウェアが TPM を有効にしようとしていないことを確認するメッセージが表示されます。
注
BIOS 画面の指示と必要なキーボード操作は、コンピューターの製造元によって異なります。
コンピューターの再起動後に、この手順を開始するために使ったのと同じ管理者資格情報でコンピューターにサインインします。
TPM 初期化ウィザードが自動的に再起動します。[ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示されている操作が目的の操作であることを確認して、[はい] をクリックします。
TPM の所有権を取得するには、次の手順に進みます。
使う TPM の初期化を完了するには、TPM の所有者を設定する必要があります。所有権の取得のプロセスには、TPM の所有者パスワードの作成が含まれます。
TPM の所有権を設定するには
最後の手順からすぐに続行していない場合には、TPM 初期化ウィザードを起動します。これを行う手順を確認する必要がある場合は、前の手順「TPM 初期化ウィザードを開始するには」をご覧ください。
[TPM 所有者パスワードを作成します] ダイアログ ボックスで、[パスワードを自動的に作成します (推奨)] をクリックします。
[TPM 所有者パスワードを保存する] ダイアログ ボックスで、[パスワードを保存する] をクリックします。
[名前を付けて保存] ダイアログ ボックスで、パスワードを保存する場所を選択し、[保存] をクリックします。パスワード ファイルが computer_name.tpm として保存されます。
重要
TPM 所有者パスワードはリムーバブル記憶装置に保存し、安全な場所に保管することを強くお勧めします。
パスワードのコピーを印刷する場合は、[パスワードを印刷する] をクリックします。
重要
TPM 所有者パスワードのコピーを印刷して、安全な場所に保管することを強くお勧めします。
[初期化] をクリックします。
注
TPM の初期化プロセスは、完了するまでに数分間かかる場合があります。
[閉じる] をクリックします。
注意
パスワードを紛失しないでください。紛失した場合、TPM をクリアしない限り管理上の変更を行うことができなくなります。TPM をクリアするとデータが失われる可能性があります。
TPM の初期化のトラブルシューティングを行う
トラステッド プラットフォーム モジュール (TPM) の管理は、通常は簡単な手順です。初期化手順を完了できない場合は、次の情報を確認してください。
Windows によって TPM が検出されない場合は、Trusted Computing Group 準拠の BIOS がコンピューター ハードウェアに含まれていることを確認します。オペレーティング システムから TPM を非表示にするために BIOS 設定が使われていないことを確認します。
BitLocker セットアップの一部として TPM の初期化を試みている場合は、コンピューターにどの TPM ドライバーがインストールされているかを確認します。Microsoft から提供され、BitLocker で保護されている TPM ドライバーのいずれかを常に使うことをお勧めします。Microsoft 以外の TPM ドライバーがインストールされている場合、既定の TPM ドライバーが読み込まれず、BitLocker によって TPM がコンピューター上に存在しないと報告される原因となる可能性があります。Microsoft 以外のドライバーがインストールされている場合、そのドライバーを削除してから TPM の初期化を試みます。Microsoft が提供する 3 つの標準 TPM ドライバーを次の表に示します。
ドライバー名 製造元 トラステッド プラットフォーム モジュール 1.2
(標準)
Broadcom Trusted Platform Module (A1)、v1.2
Broadcom
Broadcom Trusted Platform Module (A2)、v1.2
Broadcom
TPM が以前に初期化されていて所有者パスワードがない場合は、TPM をクリアするか、工場出荷時の既定値にリセットする必要がある場合があります。詳しくは、「TPM のすべてのキーをクリアする」をご覧ください。
注意
TPM をクリアすると、データが失われる可能性があります。データが失われることを回避するには、TPM によって保護または暗号化されているデータをバックアップまたは回復する方法があることを確認します。
TPM セキュリティ ハードウェアはコンピューターの物理的部品であるため、コンピューターに付属するマニュアルまたは説明書を読むか、製造元の Web サイトを検索する必要がある場合があります。
ネットワーク接続
次のいずれかの条件で組織のネットワークからコンピューターが切断された場合、トラステッド プラットフォーム モジュール (TPM) の初期化を完了できません。
管理者が、TPM 回復情報が Active Directory ドメイン サービス (AD DS) に保存される必要があるようにコンピューターを構成している。この要件は、グループ ポリシーによって構成できます。
ドメイン コント ローラーに到達できない。これは、現在ネットワークから切断されているコンピューター、ファイアウォールによってドメインから分離されているコンピューター、ネットワーク コンポーネントに (抜けているケーブルやネットワーク アダプターの欠陥などの) 障害が発生しているコンピューターで発生する可能性があります。
どちらの場合も、エラー メッセージが表示され、初期化プロセスを完了することができません。この問題を回避するには、企業ネットワークに接続されていて、ドメイン コントローラーに接続できるときに TPM を初期化します。
複数の TPM があるシステム
一部のシステムには複数の TPM がある場合があり、アクティブな TPM を BIOS で切り替えることができます。 Windows 10 はこの動作をサポートしていません。 TPM を切り替えると、プロビジョニングによってクリアと配置が行われない限り、TPM に依存する機能が新しい TPM で動作しなくなります。 このクリアを実行すると、データ (特に、前の TPM に関連付けられているキーと証明書) が失われる可能性があります。 たとえば、TPM を切り替えると Bitlocker が回復モードに移行する原因となります。2 つの TPM があるシステムでは、1 つの TPM を使うために選択し、その選択を変更しないことを強くお勧めします。
TPM を有効または無効にする
通常、TPM は TPM 初期化プロセスの一部として有効になります。通常は TPM を有効または無効にする必要はありません。ただし、必要な場合には TPM MMC を使ってこれを行うことができます。
TPM を有効にする
TPM が初期化されても使われない場合、または TPM を無効にした後に使う場合には、次の手順を使って TPM を有効にすることができます。
TPM を有効にするには
TPM MMC (tpm.msc) を開きます。
[操作] ウィンドウで、[TPM を有効にする] をクリックして [TPM セキュリティ ハードウェアを有効にします] ページを表示します。このページの指示を読みます。
[シャットダウン] (または [再起動]) をクリックし、BIOS 画面の指示に従います。
コンピューターが再起動した後、Windows にサインインする前に、TPM の再構成に同意が求められます。これにより、ユーザーがコンピューターに物理的にアクセスし、悪意のあるソフトウェアが TPM に変更を加えようとしていないことが確認されます。
TPM を無効にする
TPM によって提供されるサービスの使用を中止する場合、TPM MMC を使って TPM を無効にすることができます。TPM 所有者パスワードがある場合、TPM を無効にするためにコンピューターへの物理的アクセスは必須ではありません。TPM 所有者パスワードがない場合、TPM を無効にするためにコンピューターへの物理的アクセスを行う必要があります。
TPM を無効にするには
TPM MMC (tpm.msc) を開きます。
[操作] ウィンドウで、[TPM を無効にする] をクリックして [TPM セキュリティ ハードウェアを無効にします] ページを表示します。
[TPM セキュリティ ハードウェアを無効にします] ダイアログ ボックスで、所有者パスワードを入力する方法を選択し、TPM を無効にします。
リムーバブル記憶装置に TPM 所有者パスワードを保存している場合、リムーバブル記憶装置を挿入して [所有者パスワード ファイルがあります] をクリックします。[TPM 所有者パスワードのバックアップ ファイルを選択します] ダイアログ ボックスで、[参照] をクリックしてリムーバブル記憶装置に保存した .tpm ファイルを探し、[開く] をクリックしてから、[TPM を無効にする] をクリックします。
TPM 所有者パスワードを保存したリムーバブル記憶装置がない場合は、[I want to enter the password] (パスワードを入力します) をクリックします。[TPM 所有者パスワードを入力してください] ダイアログ ボックスで、(ハイフンを含む) パスワードを入力し、[TPM を無効にする] をクリックします。
TPM 所有者パスワードがわからない場合は、[TPM 所有者パスワードを持っていません] をクリックし、ダイアログ ボックスとその後の BIOS 画面に表示される指示に従って、パスワードを入力せずに TPM を無効にします。
TPM のすべてのキーをクリアする
TPM をクリアすると、所有されていない状態にリセットされます。TPM をクリアした後は、BitLocker ドライブ暗号化などの TPM に依存するソフトウェアを使う前に TPM 初期化プロセスを完了する必要があります。既定では、TPM は自動的に初期化されます。
重要
TPM をクリアすると、データが失われる可能性があります。データが失われることを回避するには、TPM によって保護または暗号化されているデータをバックアップまたは回復する方法があることを確認します。
また、TPM はクリアされると無効になります。
TPM の動作を一時的に中断するには、TPM をクリアせずに無効にします。
この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のメンバーシップが必要です。
TPM をクリアするには
TPM MMC (tpm.msc) を開きます。
[ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示されている操作が目的の操作であることを確認して、[はい] をクリックします。
[操作] から、[TPM のクリア] をクリックします。
警告
TPM が無効になっている場合は、クリアする前に再初期化します。
TPM をクリアすると、工場出荷時の既定値にリセットされ、無効になります。作成されたすべてのキーと、それらのキーによって保護されているデータが失われます。
[TPM セキュリティ ハードウェアをクリアします] ダイアログ ボックスで、パスワードを入力するための方法を次のいずれかから選択し、TPM をクリアします。
TPM 所有者パスワードを保存しているリムーバブル記憶装置がある場合、リムーバブル記憶装置を挿入して [所有者パスワード ファイルがあります] をクリックします。[TPM 所有者パスワードのバックアップ ファイルを選択します] ダイアログ ボックスで、[参照] を使ってリムーバブル記憶装置に保存した .tpm ファイルに移動します。[開く] をクリックし、[TPM のクリア] をクリックします。
パスワードを保存したリムーバブル記憶装置がない場合は、[所有者パスワードを入力します] をクリックします。[TPM 所有者パスワードを入力してください] ダイアログ ボックスで、(ハイフンを含む) パスワードを入力し、[TPM のクリア] をクリックします。
TPM 所有者パスワードがわからない場合は、[TPM 所有者パスワードを持っていません] をクリックし、表示される指示に従って、パスワードを入力せずに TPM をクリアします。
注
コンピューターに物理的にアクセスする場合は、TPM 所有者パスワードを入力せずに TPM をクリアし、限られた数の管理タスクを実行することができます。
TPM の状態は TPM MMC の [状態] に表示されます。
TPM コマンドレットを使う
Windows PowerShell を使ってコンピューターを管理する場合は、Windows PowerShell を使って TPM も管理できます。TPM コマンドレットをインストールするには、次のコマンドを入力します。
dism /online /enable-feature /FeatureName:tpm-psh-cmdlets
個々のコマンドレットについて詳しくは、Windows PowerShell の TPM コマンドレットに関するページをご覧ください。
その他の情報
TPM について詳しくは、「トラステッド プラットフォーム モジュール テクノロジの概要」をご覧ください。