TPM のトラブルシューティング
この記事では、トラステッド プラットフォーム モジュール (TPM) のトラブルシューティング方法について説明します。
TPM コマンドレットの詳細については、「Windows PowerShell の TPM コマンドレット」を参照してください。
TPM の初期化と所有権について
Windows は自動的に初期化され、TPM の所有権を取得します。 TPM を初期化して所有者パスワードを作成する必要はありません。
TPM の初期化
Windows で TPM を自動的に初期化できない場合は、次の情報を確認してください。
- TPM を出荷時の既定値にクリアして、Windows が再初期化できるようにします。 このプロセスの重要な予防策と、それを完了するための手順については、「 TPM からすべてのキーをクリアする」を参照してください。
- TPM が TPM 2.0 で、Windows によって検出されない場合は、コンピューター ハードウェアに、信頼されたコンピューティング グループに準拠した統合拡張ファームウェア インターフェイス (UEFI) が含まれていることを確認します。 また、UEFI 設定で、TPM が無効になっていないか、オペレーティング システムから非表示になっていないことを確認します。
- Windows 11 で TPM 1.2 を使用している場合は、「TPM をオンにする」の説明に従って、TPM がオフになっている可能性があり、もう一度オン にする必要があります。 オンに戻ると、Windows によって再初期化されます。
- TPM で BitLocker を設定しようとしている場合は、コンピューターにインストールされている TPM ドライバーを確認します。 Microsoft によって提供され、BitLocker で保護されている TPM ドライバーのいずれかを常に使用することをお勧めします。 Microsoft 以外の TPM ドライバーがインストールされている場合、既定の TPM ドライバーが読み込まれない可能性があり、TPM がコンピューターに存在しないことを BitLocker に報告する可能性があります。 Microsoft 以外のドライバーがインストールされている場合は、そのドライバーを削除し、オペレーティング システムが TPM を初期化できるようにします。
ドメイン参加済み Windows 11 デバイスのネットワーク接続の問題
Windows 11 がある場合、コンピューターにネットワーク接続の問題があり、次の両方の条件が存在する場合、TPM の初期化を完了できません。
- 管理者が、TPM 回復情報を Active Directory Domain Services (AD DS) に保存するようにコンピューターを構成した場合。 この要件は、グループ ポリシーを使用して構成できます。
- ドメイン コントローラーに到達できません。 このシナリオは、内部ネットワークから現在切断されているデバイス、ファイアウォールによってドメインから分離されているデバイス、またはネットワーク コンポーネントの障害 (ケーブルの取り外しやネットワーク アダプターの障害など) で発生する可能性があります。
これらの問題が発生すると、エラー メッセージが表示され、初期化プロセスを完了できません。 この問題を回避するには、企業ネットワークに接続している間に Windows が TPM を初期化することを許可し、ドメイン コントローラーに問い合わせてください。
複数の TPM を持つシステム
一部のシステムでは、複数の TPM が使用され、UEFI でアクティブな TPM が切り替わる場合があります。 Windows では、この構成はサポートされていません。 TPM を切り替えると、Windows が新しい TPM を正しく検出したり、操作したりできない可能性があります。 TPM を切り替える予定の場合は、新しい TPM に切り替えてクリアし、Windows を再インストールする必要があります。 詳細については、「TPM のすべてのキーをクリアする」を参照してください。
たとえば、TPM を切り替える場合、BitLocker は回復モードになります。 2 つの TPM を持つシステムでは、使用するために 1 つの TPM が選択され、選択内容が変更されていないことを強くお勧めします。
TPM のすべてのキーをクリアする
Windows Defender セキュリティ センター アプリを使用して、トラブルシューティング手順として、または新しいオペレーティング システムをクリーン インストールする前の最終準備として TPM をクリアできます。 この方法でクリーン インストールを準備すると、新しいオペレーティング システムが構成証明などの TPM ベースの機能を完全に展開できるようにすることができます。 ただし、新しいオペレーティング システムをインストールする前に TPM がクリアされていない場合でも、ほとんどの TPM 機能はおそらく正しく動作します。
TPM をクリアすると、所有されていない状態にリセットされます。 TPM をクリアすると、Windows オペレーティング システムによって自動的に再初期化され、所有権が再び取得されます。
Warning
TPM をクリアすると、データが失われる可能性があります。 詳細については、次のセクション「TPM をクリアする前に実行する注意事項」を参照してください。
TPM をクリアする前に実行する注意事項
TPM をクリアすると、データが失われる可能性があります。 このような損失から保護するには、次の注意事項を確認してください。
- TPM をクリアすると、TPM に関連付けられているすべての作成済みキーと、仮想スマート カードやサインイン PIN など、これらのキーによって保護されたデータが失われます。 TPM によって保護または暗号化されているデータに対して、バックアップと回復の方法があることを確認してください。
- IT 管理者から指示を受けることなく、職場や学校の PC など、所有していないデバイスの TPM をクリアしないでください。
- Windows 11 で TPM 操作を一時的に中断する場合は、TPM をオフにすることができます。 詳細については、「TPM を オフにする」を参照してください。
- オペレーティング システム (TPM.msc など) の機能を常に使用して TPM をクリアします。 TPM を UEFI から直接クリアしないでください。
- TPM セキュリティ ハードウェアは、コンピューターの物理的な部分であるため、TPM をクリアする前に、コンピューターに付属のマニュアルまたは手順を読むか、製造元の Web サイトを検索することをお勧めします。
この手順を完了するには、ローカルの Administrators グループのメンバーシップ (またはそれと同等) が最低限必要です。
TPM をクリアするには
- Windows Defender セキュリティ センター アプリを開きます。
- [デバイス セキュリティ] を選択します。
- [セキュリティ プロセッサの詳細] を選択します。
- [セキュリティ プロセッサのトラブルシューティング] を選択します。
-
[TPM のクリア] を選択します。
- コンピューターを再起動するように求められます。 再起動中に、TPM をクリアすることを確認するボタンを押すよう求められる場合があります。
- デバイスの再起動後、TPM は Windows で使用できるように自動的に準備されます。
TPM のオン/オフの切り替え
通常、TPM は TPM 初期化プロセスの一部としてオンになります。 通常、TPM のオンとオフを切り替える必要はありません。 ただし、必要に応じて TPM MMC を使用して切り替えることができます。
TPM をオンにする
TPM をオフにした後で使用する場合は、次の手順に従って TPM を有効にすることができます。
- TPM MMC (tpm.msc) を開きます。
- [操作] ウィンドウで [TPM をオンにする] を選択して、[TPM セキュリティ ハードウェアをオンにする] ページを表示します。 このページの手順をお読みください。
- [シャットダウン] (または [再起動]) を選択し、UEFI の画面の指示に従います。
デバイスが再起動した後、Windows にサインインする前に、TPM の再構成を受け入れるように求められます。 同意すると、ユーザーがコンピューターに物理的にアクセスでき、悪意のあるソフトウェアが TPM に変更を加えようとしていないことを確認できます。
TPM をオフにする
TPM によって提供されるサービスの使用を停止する場合、TPM MMC を使用して TPM をオフにできます。
- TPM MMC (
tpm.msc
) を開きます。 - [操作] ウィンドウで [TPM をオフにする] を選択して、[TPM セキュリティ ハードウェアをオフにする] ページを表示します。
-
[TPM セキュリティ ハードウェアをオフにする] ダイアログ ボックスで、所有者のパスワードを入力して TPM をオフにする方法を選択します。
- TPM の所有者のパスワードをリムーバブル記憶装置に保存した場合、それを挿入し、[所有者のパスワード ファイルを持っています] を選択します。 [ TPM 所有者パスワードを使用してバックアップ ファイルを選択 する] ダイアログ ボックスで、[ 参照 ] を選択して、リムーバブル ストレージ デバイスに保存されている
.tpm
ファイルを探し、[ 開く] を選択し、[ TPM をオフにする] を選択します。 - 保存した TPM 所有者パスワードを持つリムーバブル ストレージ デバイスがない場合 は、[パスワードを入力する] を選択します。 [TPM の所有者のパスワードの入力] ダイアログ ボックスで、パスワード (ハイフンを含む) を入力し、[TPM をオフにする] を選択します。
- TPM 所有者パスワードを保存しなかった場合、または不明になった場合は、[ TPM 所有者パスワードがありません] を選択し、ダイアログ ボックスと後続の UEFI 画面に記載されている指示に従って、パスワードを入力せずに TPM をオフにします。
- TPM の所有者のパスワードをリムーバブル記憶装置に保存した場合、それを挿入し、[所有者のパスワード ファイルを持っています] を選択します。 [ TPM 所有者パスワードを使用してバックアップ ファイルを選択 する] ダイアログ ボックスで、[ 参照 ] を選択して、リムーバブル ストレージ デバイスに保存されている
TPM コマンドレットを使用する
Windows PowerShell を使用して TPM を管理できます。 詳細については、「Windows PowerShell の TPM コマンドレット」を参照してください。