TPM コマンドの管理

  • [アーティクル]

IT 担当者向けのこのトピックでは、ドメイン ユーザーとローカル ユーザーがどのトラステッド プラットフォーム モジュール (TPM) コマンドを利用できるかを管理する方法について説明します。

TPM の所有権をコンピューター ユーザーが取得した後に、TPM 所有者はブロックされる TPM コマンドの一覧を作成することで、どの TPM コマンドを実行できるかを制限することができます。この一覧は、グループ ポリシーを使ってドメイン内のすべてのコンピューターに作成して適用することや、TPM MMC を使って個々のコンピューターに作成することができます。一部のハードウェア ベンダーが追加のコマンドを提供する可能性があり、また、Trusted Computing Group が将来コマンドを追加することを決定する可能性もあるため、TPM MMC は新しいコマンドをブロックするための機能もサポートしています。

ドメイン管理者は、グループ ポリシーを使ってブロックされる TPM コマンドの一覧を構成できます。ローカルの管理者は、グループ ポリシーによってブロックされている TPM コマンドを許可できません。このグループ ポリシー設定について詳しくは、「TPM グループ ポリシー設定」をご覧ください。

ローカルの管理者は TPM MMC を使ってコマンドをブロックすることができ、グループ ポリシー設定が既定の設定から変更されない限り、既定のブロック一覧にあるコマンドも同様にブロックされます。

2 つのポリシー設定が、実行する TPM コマンドを許可する適用を制御します。これらのポリシー設定について詳しくは、「TPM グループ ポリシー設定」をご覧ください。

次の手順では、TPM コマンド一覧を管理する方法について説明します。ローカルの Administrators グループのメンバーである必要があります。

Mt431882.wedge(ja-jp,VS.85).gifローカル グループ ポリシー エディターを使って TPM コマンドをブロックするには

  1. ローカル グループ ポリシー エディター (gpedit.msc) を開きます。[ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示されている操作が目的の操作であることを確認して、[はい] をクリックします。

      

    ドメイン内の適切な権限を持つ管理者は、Active Directory ドメイン サービス (AD DS) から適用できるグループ ポリシー オブジェクト (GPO) を構成できます。

     

  2. コンソール ツリーの [コンピューターの構成] で、[管理用テンプレート] を展開し、[システム] を展開します。

  3. [システム][トラステッド プラットフォーム モジュール サービス] をクリックします。

  4. 詳細ウィンドウで、[ブロックされる TPM コマンドの一覧を構成する] をダブルクリックします。

  5. [有効] をクリックしてから、[表示] をクリックします。

  6. ブロックする各コマンドについて、[追加] をクリックし、コマンド番号を入力してから、[OK] をクリックします。

      

    コマンドの一覧については、トラステッド プラットフォーム モジュール (TPM) の仕様に関するページをご覧ください。

     

  7. ブロックする各コマンドの番号を追加した後、[OK] を 2 回クリックします。

  8. ローカル グループ ポリシー エディターを閉じます。

Mt431882.wedge(ja-jp,VS.85).gifTPM MMC を使って TPM コマンドをブロックまたは許可するには

  1. TPM MMC (tpm.msc) を開きます

  2. [ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示されている操作が目的の操作であることを確認して、[はい] をクリックします。

  3. コンソール ツリーで、[コマンド管理] をクリックします。TPM コマンドの一覧が表示されます。

  4. 一覧で、ブロックまたは許可するコマンドを選択します。

  5. [操作] で必要に応じて [選択したコマンドをブロック] または [選択したコマンドを許可] をクリックします。[選択したコマンドを許可] が利用できない場合、そのコマンドは現在グループ ポリシーによってブロックされています。

Mt431882.wedge(ja-jp,VS.85).gif新しいコマンドをブロックするには

  1. TPM MMC (tpm.msc) を開きます。

    [ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示されている操作が目的の操作であることを確認して、[はい] をクリックします。

  2. コンソール ツリーで、[コマンド管理] をクリックします。TPM コマンドの一覧が表示されます。

  3. [操作] ウィンドウで、[新しいコマンドをブロック] をクリックします。[新しいコマンドをブロック] ダイアログ ボックスが表示されます。

  4. [コマンド番号] テキスト ボックスにブロックする新しいコマンドの番号を入力し、[OK] をクリックします。入力したコマンド番号がブロック一覧に追加されます。

TPM コマンドレットを使う

Windows PowerShell を使ってコンピューターを管理する場合は、Windows PowerShell を使って TPM も管理できます。TPM コマンドレットをインストールするには、次のコマンドを入力します。

dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

個々のコマンドレットについて詳しくは、Windows PowerShell の TPM コマンドレットに関するページをご覧ください。

その他の情報

TPM について詳しくは、「トラステッド プラットフォーム モジュール テクノロジの概要」をご覧ください。