次の方法で共有

BitLocker がドライブを暗号化できない: 既知の TPM の問題

  • [アーティクル]

この記事では、BitLocker によるドライブの暗号化を妨げる可能性があるトラステッド プラットフォーム モジュール (TPM) に影響する一般的な問題について説明します。 この記事では、これらの問題に対処するためのガイダンスも提供します。

Note

BitLocker の問題に TPM が関係しないと判断された場合は、「 BitLocker でドライブを暗号化できない:既知の問題」を参照してください。

TPM がロックされ、エラー The TPM is defending against dictionary attacks and is in a time-out period が表示される

デバイスで BitLocker ドライブ暗号化を有効にしようとしましたが、次のエラー メッセージのようなエラー メッセージで失敗します。

TPM はディクショナリ攻撃に対する防御を行っており、タイムアウト期間です。

TPM がロックされている原因

TPM がロックアウトされています。

ロックされている TPM の解決

この問題を解決するには、TPM をリセットしてクリアする必要があります。 TPM は、次の手順でリセットおよびクリアできます。

  1. 管理者特権の PowerShell ウィンドウを開き、次のスクリプトを実行します。

    $Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm"
$ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus
if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}

  2. コンピューターを再起動します。 TPM のクリアを確認するプロンプトが表示された場合は、TPM をクリアすることに同意します。

  3. Windows にサインオンし、BitLocker ドライブの暗号化の開始を再試行します。

警告

TPM をリセットしてクリアすると、データが失われる可能性があります。

TPM がエラーで準備に失敗する The TPM is defending against dictionary attacks and is in a time-out period

デバイスで BitLocker ドライブ暗号化を有効にしようとしましたが、失敗します。 トラブルシューティング中に、TPM 管理コンソール (tpm.msc) を使用して、デバイスで TPM を準備します。 操作が失敗し、次のエラー メッセージのようなエラー メッセージが表示されます。

TPM はディクショナリ攻撃に対する防御を行っており、タイムアウト期間です。

TPM の準備に失敗した原因

TPM がロックアウトされています。

TPM の準備に失敗する解決策

この問題を解決するには、次の手順で TPM を無効にして再度有効にします。

  1. デバイスを再起動し、デバイスの起動時に適切なキーの組み合わせを押して、デバイスの UEFI/BIOS 構成画面を入力します。 UEFI/BIOS 構成画面に入るための適切なキーの組み合わせについては、デバイスの製造元に問い合わせてください。

  2. UEFI/BIOS 構成画面で、TPM を無効にします。 UEFI/BIOS 構成画面で TPM を無効にする方法については、デバイスの製造元に問い合わせてください。

  3. TPM を無効にして UEFI/BIOS 構成を保存し、デバイスを再起動して Windows を起動します。

  4. Windows にサインインしたら、TPM 管理コンソールに戻ります。 次のようなエラー メッセージが表示されます。

    互換性のある TPM が見つかりません

    互換性のあるトラステッド プラットフォーム モジュール (TPM) がこのコンピューターで見つかりません。 このコンピューターに 1.2 TPM があり、BIOS で有効になっていることを確認します。

    デバイスの UEFI ファームウェア/BIOS で TPM が現在無効になっているため、このメッセージが表示されます。

  5. デバイスを再起動し、UEFI/BIOS 構成画面をもう一度入力します。

  6. UEFI/BIOS 構成画面で TPM を再びイネーブルにします。

  7. TPM を有効にして UEFI/BIOS 構成を保存し、デバイスを再起動して Windows を起動します。

  8. Windows にサインインしたら、TPM 管理コンソールに戻ります。

TPM をまだ準備できない場合は、「TPM のトラブルシューティング: TPM からすべてのキーをクリアするに関する記事の手順に従って、既存の TPM キーをクリアします。

警告

TPM をクリアすると、データが失われる可能性があります。

BitLocker がエラー Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 または #で有効にできない Insufficient Rights

回復情報が AD DS に格納されるまで BitLocker を有効にしませんポリシーは環境に適用されます。 デバイスで BitLocker ドライブ暗号化を有効にしようとしましたが、 Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 または Insufficient Rightsのエラー メッセージで失敗します。

Access DeniedまたはInsufficient Rights

TPM に、Active Directory ドメイン Services (AD DS) の TPM デバイス コンテナーに対する十分なアクセス許可がありませんでした。 そのため、BitLocker 回復情報を AD DS にバックアップできず、BitLocker ドライブの暗号化を有効にできませんでした。

この問題は、Windows 10 より前のバージョンの Windows を実行するコンピューターに限定されているようです。

Access DeniedまたはInsufficient Rights

この問題が発生することを確認するには、次の 2 つの方法のいずれかを使用します。

  • ポリシーを無効にするか、ドメインからコンピューターを削除してから、BitLocker ドライブの暗号化をもう一度有効にしてください。 操作が成功した場合、問題はポリシーによって発生しました。

  • LDAP およびネットワーク トレース ツールを使用して、クライアントと AD DS ドメイン コントローラー間の LDAP 交換を調べて、 Access Denied または Insufficient Rights エラーの原因を特定します。 この場合、クライアントが CN=TPM Devices,DC=<domain>,DC=com コンテナー内のオブジェクトにアクセスしようとすると、エラーが表示されます。

  1. 影響を受けるコンピューターの TPM 情報を確認するには、管理者特権の Windows PowerShell ウィンドウを開き、次のコマンドを実行します。

    Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputer

    このコマンドでは、 ComputerName は影響を受けるコンピューターの名前です。

  2. この問題を解決するには、dsacls.exe などのツールを使用して、msTPM-TPMInformationForComputer のアクセス制御リストが、NTAUTHORITY/SELF に対する Read および Write アクセス許可の両方を付与していることを確認します。

エラーが発生して TPM の準備に失敗する 0x80072030: There is no such object on the server

ドメイン コントローラーは、Windows Server 2008 R2 から Windows Server 2012 R2 にアップグレードされました。 回復情報が AD DS ポリシーに格納されるまで BitLocker を有効にしないを強制するグループ ポリシー オブジェクト (GPO) が存在します。

デバイスで BitLocker ドライブ暗号化を有効にしようとしましたが、失敗します。 トラブルシューティング中に、TPM 管理コンソール (tpm.msc) を使用して、デバイスで TPM を準備します。 操作が失敗し、次のエラー メッセージのようなエラー メッセージが表示されます。

0x80072030 TPM 情報を Active Directory にバックアップするポリシーが有効になっている場合、サーバーにそのようなオブジェクトはありません

ms-TPM-OwnerInformation および msTPM-TpmInformationForComputer 属性が存在することが確認されました。

0x80072030の原因: サーバーにそのようなオブジェクトがありません

環境のドメインとフォレストの機能レベルは、引き続き Windows 2008 R2 に設定できます。 さらに、AD DS のアクセス許可が正しく設定されていない可能性があります。

0x80072030の解決策: サーバーにそのようなオブジェクトがありません

この問題は、次の手順で解決できます。

  1. ドメインとフォレストの機能レベルを Windows Server 2012 R2 にアップグレードします。

  2. Add-TPMSelfWriteACE.vbs をダウンロードします。

  3. スクリプトで、 strPathToDomain の値を組織のドメイン名に変更します。

  4. 管理者特権の PowerShell ウィンドウを開き、次のコマンドを実行します。

    cscript.exe <Path>\Add-TPMSelfWriteACE.vbs

    このコマンドでは、 <Path> はスクリプト ファイルへのパスです。

詳細については、次の記事をご覧ください。