BitLocker と TPM: その他の既知の問題
この記事では、トラステッド プラットフォーム モジュール (TPM) に直接関連する一般的な問題について説明し、これらの問題に対処するためのガイダンスを提供します。
Microsoft Entra ID: Windows Hello for Business とシングル サインオンが機能しない
以下のシナリオについて考えてみます。
Microsoft Entra に参加しているクライアント コンピューターは、正しく認証できません。 コンピューターで次の 1 つ以上の症状が発生しています。
- Windows Hello for Business が機能しない
- 条件付きアクセスが失敗する
- シングル サインオン (SSO) が機能しない
さらに、イベント ビューアーでは、コンピューターは次のイベント ID 1026 イベントを Windows Logs>System に記録します。
ログ名: システム
ソース: Microsoft-Windows-TPM-WMI
日付: <日付と時刻>
イベント ID: 1026
タスク カテゴリ: なし
レベル: Information
キーワード:
ユーザー: SYSTEM
コンピューター: <コンピューター名>
説明:
このコンピューター上のトラステッド プラットフォーム モジュール (TPM) ハードウェアを自動的にプロビジョニングすることはできません。 TPM を対話形式で設定するには、TPM 管理コンソール (Start->tpm.msc) を使用し、アクションを使用して TPM を準備します。
エラー: TPM はディクショナリ攻撃から防御しており、タイムアウト期間です。
追加情報: 0x840000
Microsoft Entra ID の原因: Windows Hello for Business とシングル サインオンが機能しない
このイベントは、TPM の準備ができていないか、TPM キーへのアクセスを妨げる設定があることを示します。
さらに、この動作は、クライアント コンピューターが Primary 更新トークン (PRT) を取得できないことを示します。
Microsoft Entra ID の解決策: Windows Hello for Business とシングル サインオンが機能しない
PRT の状態を確認するには、 dsregcmd.exe /status コマンドを使用して情報を収集します。 ツールの出力で、 User state または SSO state に AzureAdPrt 属性が含まれていることを確認します。 この属性の値が No の場合、PRT は発行されませんでした。 属性の値が No の場合、コンピューターが認証用の証明書を提示できなかったことを示している可能性があります。
この問題を解決するには、次の手順に従って TPM のトラブルシューティングを行います。
tpm 管理コンソール (tpm.msc) を開きます。Startを選択し、Search ボックスに「tpm.msc」と入力します。
TPM のロック解除またはロックアウトのリセットに関する通知が表示された場合は、ハードウェア ベンダーに連絡して、問題の既知の修正プログラムがあるかどうかを確認してください。
ハードウェア ベンダーに問い合わせても問題が解決しない場合は、「TPM のトラブルシューティング: TPM からすべてのキーをクリアするに関する記事の手順に従って、TPM をクリアして再初期化します。
警告
TPM をクリアすると、データが失われる可能性があります。
手順 2 で TPM のロックを解除するか、ロックアウトをリセットする通知がない場合は、コンピューターの UEFI ファームウェア/BIOS 設定で、ロックアウトのリセットまたは無効化に使用できる設定を確認します。
TPM 1.2 エラー: 管理コンソールの読み込みに失敗しました。 暗号化プロバイダーに必要なデバイスを使用する準備ができていない
以下のシナリオについて考えてみます。
TPM バージョン 1.2 を使用する Windows コンピューターで TPM 管理コンソールを開こうとすると、次のメッセージが表示されます。
管理コンソールの読み込みに失敗しました。 暗号化プロバイダーに必要なデバイスを使用する準備ができていません。
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
この暗号化プロバイダーに必要なデバイスは、使用する準備ができていません。
TPM 仕様バージョン: TPM v1.2
同じバージョンの Windows を実行している別のデバイスで、TPM 管理コンソールを開くことができます。
TPM 1.2 エラーの原因 (疑いあり): 管理コンソールの読み込みに失敗しました。 暗号化プロバイダーに必要なデバイスを使用する準備ができていない
これらの現象は、TPM にハードウェアまたはファームウェアの問題があることを示しています。
TPM 1.2 エラーの解決: 管理コンソールの読み込みに失敗しました。 暗号化プロバイダーに必要なデバイスを使用する準備ができていない
この問題を解決するには:
デバイスにこのオプションが使用可能な場合は、TPM オペレーティング モードをバージョン 1.2 からバージョン 2.0 に切り替えます。
TPM をバージョン 1.2 からバージョン 2.0 に切り替えても問題が解決しない場合、またはデバイスに TPM バージョン 2.0 が使用できない場合は、ハードウェア ベンダーに問い合わせて、デバイスの UEFI ファームウェア更新プログラム/BIOS 更新プログラム/TPM 更新プログラムがあるかどうかを確認してください。 利用可能な更新プログラムがある場合は、更新プログラムをインストールして、問題が解決されるかどうかを確認します。
UEFI ファームウェア/BIOS を更新しても問題が解決しない場合、または利用可能な更新プログラムがない場合は、ハードウェア ベンダーに問い合わせてデバイスのマザーボードを交換することを検討してください。 マザーボードを交換した後、このオプションが使用可能な場合は、TPM 動作モードをバージョン 1.2 からバージョン 2.0 に切り替えます。
警告
マザーボードを交換すると、TPM のデータが失われます。
TPM の問題のため、デバイスがハイブリッド Microsoft Entra ID に参加しない
ハイブリッド Microsoft Entra ID にデバイスを参加させようとすると、参加操作は失敗しているように見えます。
結合が成功したことを確認するには、 dsregcmd /status コマンドを使用します。 ツールの出力では、次の属性は結合が成功したことを示します。
- AzureAdJoined: YES
- DomainName: <on-prem ドメイン名>
AzureADJoined の値が No の場合、結合操作は失敗します。
TPM の問題のため、デバイスの原因と解決策がハイブリッド Microsoft Entra ID に参加しない
この問題は、Windows オペレーティング システムが TPM の所有者でない場合に発生する可能性があります。 この問題の具体的な修正は、次の表に示すように、表示されるエラーまたはイベントによって異なります。
| メッセージ | 理由 | 解像度 |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | TPM 操作が失敗したか、または無効でした。 | この問題は、sysprep イメージが破損していることが原因である可能性があります。 sysprep イメージを作成するときは、Microsoft Entra ID またはハイブリッド Microsoft Entra ID に参加していない、または登録されていないコンピューターを使用してください。 |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | 一般的な TPM エラー。 | デバイスがこのエラーを返す場合は、その TPM を無効にします。 Windows 10 バージョン 1809 以降のバージョンでは、TPM エラーが自動的に検出され、TPM を使用せずに Microsoft Entra ハイブリッド参加が完了します。 |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | TPM の FIPS モードは現在サポートされていません。 | デバイスでこのエラーが発生した場合は、その TPM を無効にします。 Windows 10 バージョン 1809 以降のバージョンでは、TPM エラーが自動的に検出され、TPM を使用せずに Microsoft Entra ハイブリッド参加が完了します。 |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | TPM がロックアウトされています。 | このエラーは一時的なものです。 クールダウン期間を待ってから、結合操作を再試行します。 |
TPM の問題の詳細については、次の記事を参照してください。