表示名をここに入力する 説明をここに入力する このポリシー設定を使うと、Windows によってブロックされたトラステッド プラットフォーム モジュール (TPM) コマンドのグループ ポリシー一覧を管理できます。 このポリシー設定を有効にした場合、Windows は指定されたコマンドがコンピューター上の TPM に送信されるのをブロックします。TPM コマンドはコマンド番号により参照されます。たとえば、コマンド番号 129 は TPM_OwnerReadInternalPub であり、コマンド番号 170 は TPM_FieldUpgrade です。TPM 1.2 の各 TPM コマンドに関連付けられたコマンド番号を確認するには、"tpm.msc" を実行して、"コマンド管理" セクションに移動します。 このポリシー設定を無効にした場合、または構成しなかった場合は、既定またはローカルの一覧で指定された TPM コマンドのみが Windows によってブロックされます。ブロックされる TPM コマンドの既定の一覧は、Windows によってあらかじめ構成されています。既定の一覧を表示するには、"tpm.msc" を実行して、[コマンド管理] セクションに移動し、[既定のブロック一覧上] 列を表示します。ブロックされる TPM コマンドのローカルの一覧は、"tpm.msc" を実行するか、Win32_Tpm インターフェイスに対するスクリプトを介して、グループ ポリシー外で構成されます。ブロックされる TPM コマンドの既定およびローカルの一覧を強制的に使用するか無視するには、関連するポリシー設定を参照してください。 ブロックされる TPM コマンドの一覧を構成する このポリシー設定を使用すると、ブロックされるトラステッド プラットフォーム モジュール (TPM) コマンドの、コンピューターにある既定の一覧を強制的に使用するか無視することができます。 このポリシー設定を有効にした場合は、Windows はブロックされる TPM コマンドのコンピューターにある既定の一覧を無視し、グループ ポリシーまたはローカルの一覧で指定された TPM コマンドのみをブロックします。 ブロックされる TPM コマンドの既定の一覧は、Windows によってあらかじめ構成されています。既定の一覧を表示するには、"tpm.msc" を実行して、[コマンド管理] セクションに移動し、[既定のブロック一覧上] 列を表示します。ブロックされる TPM コマンドのローカルの一覧は、"tpm.msc" を実行するか、Win32_Tpm インターフェイスに対するスクリプトを介して、グループ ポリシー外で構成されます。ブロックされる TPM コマンドのグループ ポリシー一覧を構成するには、関連するポリシー設定を参照してください。 このポリシー設定を無効にするか構成しなかった場合、Windows は、ブロックされる TPM コマンドのグループ ポリシー一覧およびローカル一覧に含まれたコマンドに加えて、既定の一覧内の TPM コマンドをブロックします。 ブロックされる TPM コマンドの既定の一覧を無視する このポリシー設定を使用すると、ブロックされるトラステッド プラットフォーム モジュール (TPM) コマンドの、コンピューターにあるローカル一覧を強制的に使用するか無視することができます。 このポリシー設定を有効にした場合は、Windows はブロックされる TPM コマンドのコンピューターにあるローカル一覧を無視し、グループ ポリシーまたは既定の一覧で指定された TPM コマンドのみをブロックします。 ブロックされる TPM コマンドのローカルの一覧は、"tpm.msc" を実行するか、Win32_Tpm インターフェイスに対するスクリプトを介して、グループ ポリシー外で構成されます。ブロックされる TPM コマンドの既定の一覧は、Windows によってあらかじめ構成されています。ブロックされる TPM コマンドのグループ ポリシー一覧を構成するには、関連するポリシー設定を参照してください。 このポリシー設定を無効にするか構成しなかった場合、Windows は、ブロックされる TPM コマンドのグループ ポリシー一覧および既定の一覧に含まれたコマンドに加えて、ローカルの一覧内の TPM コマンドをブロックします。 ブロックされる TPM コマンドのローカルの一覧を無視する トラステッド プラットフォーム モジュール サービス オペレーティング システムで使用できる TPM 所有者認証情報のレベルを構成する このポリシー設定では、ローカル コンピューターのレジストリに保存する TPM 所有者認証情報の量を構成します。ローカルに保存する TPM 所有者認証情報の量に応じて、オペレーティング システムや TPM ベースのアプリケーションで TPM 所有者認証が必要な特定の TPM 操作を実行するときに、ユーザーが TPM 所有者パスワードを入力しなくても実行できるかどうかが決まります。 オペレーティング システムに完全な TPM 所有者認証値を保存するか、TPM 管理委任 BLOB と TPM ユーザー委任 BLOB だけを保存するか、またはどちらも保存しないかを選択することができます。 このポリシー設定を有効にした場合、オペレーティング システムで管理する TPM 認証の設定で選択した値に応じて、TPM 所有者認証がローカル コンピューターのレジストリに保存されます。 TPM 管理委任 BLOB と TPM ユーザー委任 BLOB を含む完全な TPM 所有者認証をローカル レジストリに保存するには、オペレーティング システムで管理する TPM 認証の設定で [フル] を選択します。この設定を使用すると、リモートまたは外部の記憶域に TPM 所有者認証値が保存されていなくても TPM を使用することができます。この設定は、TPM ハンマリング対策ロジックのリセットを防止したり TPM 所有者認証値を変更したりする必要がないシナリオに適しています。TPM ベースのアプリケーションには、この設定を変更しないと TPM ハンマリング対策ロジックに依存する機能を使用できないものもあります。 TPM 管理委任 BLOB と TPM ユーザー委任 BLOB だけをローカル レジストリに保存するには、オペレーティング システムで管理する TPM 認証の設定で [委任] を選択します。この設定は、TPM ハンマリング対策ロジックに依存する TPM ベースのアプリケーションを使用する場合に適しています。 以前のオペレーティング システムやアプリケーションとの互換性を維持したり、ローカルに保存されていない TPM 所有者認証を必要とするシナリオで使用したりするには、オペレーティング システムで管理する TPM 認証の設定で [なし] を選択します。この設定を使用すると、TPM ベースの一部のアプリケーションで問題が発生することがあります。 注: オペレーティング システムで管理する TPM 認証の設定を [フル] から [委任] に変更すると、完全な TPM 所有者認証値が再生成され、元の TPM 所有者認証値のコピーはすべて無効になります。 フル 委任 なし 標準ユーザーのロックアウト期間 このポリシー設定では、認証が必要なトラステッド プラットフォーム モジュール (TPM) コマンドで標準ユーザーの認証に失敗した回数を数える期間 (分) を管理できます。この期間内に TPM コマンドの認証に失敗した回数がしきい値に達すると、標準ユーザーは認証が必要なコマンドを TPM に送信できなくなります。 この設定により、TPM ハードウェアがロックアウト モードになることによって、標準ユーザーによる認証が必要なコマンドの TPM への送信が低速になるのを防ぐことができます。 標準ユーザーが TPM にコマンドを送信し、認証に失敗したことを示すエラー応答を受け取るたびに、認証の失敗としてカウントされます。この期間よりも前に発生した認証の失敗は無視されます。 しきい値は、各標準ユーザーに対して 2 つ適用されます。どちらかのしきい値を超えると、その標準ユーザーは認証が必要なコマンドを TPM に送信できなくなります。 [標準ユーザーごとのロックアウトしきい値] の値は、各標準ユーザーが認証を試行できる最大回数です。ユーザーによる認証の失敗回数がこの値を超えると、そのユーザーは認証が必要なコマンドを TPM に送信できなくなります。 [標準ユーザー全体のロックアウトしきい値] の値は、標準ユーザー全体で認証を試行できる合計最大回数です。すべての標準ユーザーによる認証の失敗回数の合計がこの値を超えると、どの標準ユーザーも認証が必要なコマンドを TPM に送信できなくなります。 TPM は、認証値が正しくないコマンドを多数受け取ったときにハードウェアをロックアウト モードにすることによって、パスワード推測攻撃から保護するように設計されています。TPM がロックアウト モードになると、管理者を含むすべてのユーザー、および BitLocker ドライブ暗号化などの Windows のすべての機能に影響します。TPM で許容される認証の失敗回数やロックアウトされる期間は、TPM の製造元ごとに異なります。一部の TPM では、過去の認証の失敗に基づいて、以前よりも少ない失敗回数で以前よりも長い期間ロックアウト モードが継続される場合があります。また、ロックアウト モードを終了するためにシステムの再起動が必要なものや、十分なクロック サイクルが経過してからでないとロックアウト モードが終了しないものもあります。 TPM 所有者パスワードがあれば、管理者は TPM 管理コンソール (tpm.msc) を使用して、TPM のハードウェア ロックアウト ロジックを完全にリセットできます。管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、標準ユーザーによる以前の TPM 認証の失敗はすべて無視され、TPM をすぐに通常どおり使用できるようになります。 この値を構成しなかった場合、既定値の 480 分 (8 時間) が使用されます。 標準ユーザーごとのロックアウトしきい値 このポリシー設定では、各標準ユーザーがトラステッド プラットフォーム モジュール (TPM) の認証を試行できる最大回数を管理できます。[標準ユーザーのロックアウト時間] で指定した期間内にユーザーによる認証の失敗回数がこの値に達すると、その標準ユーザーは認証が必要なコマンドをトラステッド プラットフォーム モジュール (TPM) に送信できなくなります。 この設定により、TPM ハードウェアがロックアウト モードになることによって、標準ユーザーによる認証が必要なコマンドの TPM への送信が低速になるのを防ぐことができます。 標準ユーザーが TPM にコマンドを送信し、認証に失敗したことを示すエラー応答を受け取るたびに、認証の失敗としてカウントされます。その期間よりも前に発生した認証の失敗は無視されます。 しきい値は、各標準ユーザーに対して 2 つ適用されます。どちらかのしきい値を超えると、その標準ユーザーは認証が必要なコマンドを TPM に送信できなくなります。 この値は、各標準ユーザーが認証を試行できる最大回数です。ユーザーによる認証の失敗回数がこの値を超えると、そのユーザーは認証が必要なコマンドを TPM に送信できなくなります。 [標準ユーザー全体のロックアウトしきい値] の値は、標準ユーザー全体で認証を試行できる合計最大回数です。すべての標準ユーザーによる認証の失敗回数の合計がこの値を超えると、どの標準ユーザーも認証が必要なコマンドを TPM に送信できなくなります。 TPM は、認証値が正しくないコマンドを多数受け取ったときにハードウェアをロックアウト モードにすることによって、パスワード推測攻撃から保護するように設計されています。TPM がロックアウト モードになると、管理者を含むすべてのユーザー、および BitLocker ドライブ暗号化などの Windows のすべての機能に影響します。TPM で許容される認証の失敗回数やロックアウトされる期間は、TPM の製造元ごとに異なります。一部の TPM では、過去の認証の失敗に基づいて、以前よりも少ない失敗回数で以前よりも長い期間ロックアウト モードが継続される場合があります。また、ロックアウト モードを終了するためにシステムの再起動が必要なものや、十分なクロック サイクルが経過してからでないとロックアウト モードが終了しないものもあります。 TPM 所有者パスワードがあれば、管理者は TPM 管理コンソール (tpm.msc) を使用して、TPM のハードウェア ロックアウト ロジックを完全にリセットできます。管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、標準ユーザーによる以前の TPM 認証の失敗はすべて無視され、TPM をすぐに通常どおり使用できるようになります。 この値を構成しなかった場合、既定値の 4 が使用されます。 この値が 0 の場合は、標準ユーザーに対して、認証に失敗する可能性があるコマンドの TPM への送信が許可されません。 標準ユーザー全体のロックアウトしきい値 このポリシー設定では、標準ユーザー全体でトラステッド プラットフォーム モジュール (TPM) の認証を試行できる最大回数を管理できます。[標準ユーザーのロックアウト時間] で指定した期間内にすべての標準ユーザーによる認証の失敗回数の合計がこの値に達すると、どの標準ユーザーも認証が必要なコマンドをトラステッド プラットフォーム モジュール (TPM) に送信できなくなります。 この設定により、TPM ハードウェアがロックアウト モードになることによって、標準ユーザーによる認証が必要なコマンドの TPM への送信が低速になるのを防ぐことができます。 標準ユーザーが TPM にコマンドを送信し、認証に失敗したことを示すエラー応答を受け取るたびに、認証の失敗としてカウントされます。その期間よりも前に発生した認証の失敗は無視されます。 しきい値は、各標準ユーザーに対して 2 つ適用されます。どちらかのしきい値を超えると、その標準ユーザーは認証が必要なコマンドを TPM に送信できなくなります。 [標準ユーザーごとのロックアウトしきい値] の値は、各標準ユーザーが認証を試行できる最大回数です。ユーザーによる認証の失敗回数がこの値を超えると、そのユーザーは認証が必要なコマンドを TPM に送信できなくなります。 この値は、標準ユーザー全体で認証を試行できる合計最大回数です。すべての標準ユーザーによる認証の失敗回数の合計がこの値を超えると、どの標準ユーザーも認証が必要なコマンドを TPM に送信できなくなります。 TPM は、認証値が正しくないコマンドを多数受け取ったときにハードウェアをロックアウト モードにすることによって、パスワード推測攻撃から保護するように設計されています。TPM がロックアウト モードになると、管理者を含むすべてのユーザー、および BitLocker ドライブ暗号化などの Windows のすべての機能に影響します。TPM で許容される認証の失敗回数やロックアウトされる期間は、TPM の製造元ごとに異なります。一部の TPM では、過去の認証の失敗に基づいて、以前よりも少ない失敗回数で以前よりも長い期間ロックアウト モードが継続される場合があります。また、ロックアウト モードを終了するためにシステムの再起動が必要なものや、十分なクロック サイクルが経過してからでないとロックアウト モードが終了しないものもあります。 TPM 所有者パスワードがあれば、管理者は TPM 管理コンソール (tpm.msc) を使用して、TPM のハードウェア ロックアウト ロジックを完全にリセットできます。管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、標準ユーザーによる以前の TPM 認証の失敗はすべて無視され、TPM をすぐに通常どおり使用できるようになります。 この値を構成しなかった場合、既定値の 9 が使用されます。 この値が 0 の場合は、標準ユーザーに対して、認証に失敗する可能性があるコマンドの TPM への送信が許可されません。 TPM 2.0 にレガシの辞書攻撃防止パラメーター設定を使用するよう、システムを構成します。 このポリシー設定は、辞書攻撃防止パラメーター (ロックアウトのしきい値と回復時間) を、Windows 10 バージョン 1607 以下で使用されていた値で使用するように TPM を構成します。このポリシーの設定は、a) TPM が最初に Windows 10 バージョン 1607 以降のバージョンを使用して準備されていて、b) システムに TPM 2.0 がある場合にのみ反映されます。なお、このポリシーを有効にした場合、その設定は TPM のメンテナンス タスクの実行後 (通常はシステムの再起動後) に反映されます。このポリシーをシステムで有効にし、(システムの再起動後に) 設定が反映された後は、ポリシーを無効にしても設定は変更されず、システムの TPM はレガシの辞書攻撃防止パラメーターを使用して構成された状態のまま維持されます (このグループ ポリシーの値に関係なく)。このポリシーの設定がシステム上でひとたび有効になった後、その設定の無効化を反映させるためには、a) グループ ポリシーから設定を無効化し、b) システムで TPM をクリアする必要があります。 デバイス正常性構成証明サービス デバイス正常性構成証明の監視とレポートの有効化 このグループ ポリシーは、サポートされるデバイスでデバイス正常性構成証明のレポート (DHA レポート) を有効にします。サポートされるデバイスでデバイス正常性構成証明に関連する情報 (デバイスのブート ログ、PCR 値、TPM 証明書など) をデバイスが起動するたびにデバイス正常性構成証明サービス (DHA サービス) に対して送信できるようにします。デバイス正常性構成証明サービスではデバイスのセキュリティ状態と正常性を検証し、クラウド ベース レポート ポータルを通じてエンタープライズの管理者がその結果にアクセスできるようにします。このポリシーは、デバイス管理ソリューション (MDM、SCCM など) で開始される DHA レポートから独立しており、そのワークフローには影響しません。 準備完了状態でない場合には、TPM をクリアするようにシステムを構成します。 このポリシー設定は、TPM が準備完了状態でないことが検出された場合に、ユーザーにTPMをクリアするように指示するようにシステムを構成します。このポリシーは、システムの TPM が Ready状態でない場合や、TPMが "Ready 状態だが、機能が低下" の場合にのみ有効です。TPM をクリアするためのプロンプトは、ログインしたユーザーがシステムの Administrators グループの一部である場合にのみ、次の再起動後に開始されます。プロンプトは却下できますが、ポリシーが無効になるまで、または TPM が Ready 完了状態になるまで、再起動してログインするたびに再表示されます。 コマンド番号を一覧に追加することにより、ブロックするコマンドを指定します。 ブロックされる TPM コマンドの一覧: たとえば、TPM_OwnerReadInternalPub コマンドと TPM_FieldUpgrade コマンドをブロックするには、 129 と 170 を一覧に追加します。 オペレーティング システムで管理する TPM 認証のレベル: TPM 認証に失敗した回数を数える期間 (分): 期間内に認証を試行できる最大回数: 期間内に認証を試行できる最大回数: