次の方法で共有


ポリシー CSP - ADMX_TPM

ヒント

この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML でデータ型を <Format>chr</Format>として指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。

BlockedCommandsList_Name

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name

このポリシー設定を使用すると、Windows によってブロックされるトラステッド プラットフォーム モジュール (TPM) コマンドのグループ ポリシーの一覧を管理できます。

  • このポリシー設定を有効にすると、指定したコマンドがコンピューター上の TPM に送信されないように Windows によってブロックされます。 TPM コマンドは、コマンド番号によって参照されます。 たとえば、コマンド番号 129 はTPM_OwnerReadInternalPub、コマンド番号 170 はTPM_FieldUpgrade。 TPM 1.2 で各 TPM コマンドに関連付けられているコマンド番号を見つけるには、"tpm.msc" を実行し、[コマンド管理] セクションに移動します。

  • このポリシー設定を無効にした場合、または構成しない場合は、既定またはローカル リストで指定された TPM コマンドのみが Windows によってブロックされる可能性があります。 ブロックされている TPM コマンドの既定の一覧は、Windows によって事前に構成されています。 "tpm.msc" を実行し、[コマンド管理] セクションに移動し、[既定のブロック リスト] 列を表示することで、既定の一覧を表示できます。 ブロックされた TPM コマンドのローカル リストは、"tpm.msc" を実行するか、Win32_Tpm インターフェイスに対するスクリプトを使用して、グループ ポリシーの外部で構成されます。 ブロックされた TPM コマンドの既定の一覧とローカル リストを適用または無視するには、関連するポリシー設定に関するページを参照してください。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 BlockedCommandsList_Name
フレンドリ名 ブロックされている TPM コマンドの一覧を構成する
場所 [コンピューターの構成]
パス システム > トラステッド プラットフォーム モジュール サービス
レジストリ キー名 SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands
レジストリ値の名前 有効
ADMX ファイル名 TPM.admx

ClearTPMIfNotReady_Name

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name

このポリシー設定は、TPM が準備完了以外の状態であることが検出された場合に TPM をクリアするようにユーザーに求めるシステムを構成します。 このポリシーは、システムの TPM が準備完了以外の状態である場合 (TPM が "準備完了、 機能が低下した状態) である場合にのみ有効になります。 TPM をクリアするためのプロンプトは、次回の再起動後、ログインしているユーザーがシステムの Administrators グループに属している場合にのみ発生します。 プロンプトは無視できますが、ポリシーが無効になるか、TPM が準備完了状態になるまで、再起動とログインのたびに再び表示されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 ClearTPMIfNotReady_Name
フレンドリ名 TPM が準備完了状態でない場合は、システムを構成してクリアします。
場所 [コンピューターの構成]
パス システム > トラステッド プラットフォーム モジュール サービス
レジストリ キー名 Software\Policies\Microsoft\TPM
レジストリ値の名前 ClearTPMIfNotReadyGP
ADMX ファイル名 TPM.admx

IgnoreDefaultList_Name

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name

このポリシー設定を使用すると、ブロックされたトラステッド プラットフォーム モジュール (TPM) コマンドのコンピューターの既定の一覧を適用または無視できます。

  • このポリシー設定を有効にすると、Windows はブロックされた TPM コマンドのコンピューターの既定の一覧を無視し、グループ ポリシーまたはローカル リストで指定された TPM コマンドのみをブロックします。

ブロックされている TPM コマンドの既定の一覧は、Windows によって事前に構成されています。 "tpm.msc" を実行し、[コマンド管理] セクションに移動し、[既定のブロック リスト] 列を表示することで、既定の一覧を表示できます。 ブロックされた TPM コマンドのローカル リストは、"tpm.msc" を実行するか、Win32_Tpm インターフェイスに対するスクリプトを使用して、グループ ポリシーの外部で構成されます。 ブロックされた TPM コマンドのグループ ポリシーの一覧を構成するには、関連するポリシー設定を参照してください。

  • このポリシー設定を無効にするか、構成しない場合、Windows は、グループ ポリシー内のコマンドとブロックされた TPM コマンドのローカル リストに加えて、既定の一覧の TPM コマンドをブロックします。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 IgnoreDefaultList_Name
フレンドリ名 ブロックされている TPM コマンドの既定の一覧を無視する
場所 [コンピューターの構成]
パス システム > トラステッド プラットフォーム モジュール サービス
レジストリ キー名 Software\Policies\Microsoft\TPM\BlockedCommands
レジストリ値の名前 IgnoreDefaultList
ADMX ファイル名 TPM.admx

IgnoreLocalList_Name

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name

このポリシー設定を使用すると、ブロックされたトラステッド プラットフォーム モジュール (TPM) コマンドのコンピューターのローカル リストを適用または無視できます。

  • このポリシー設定を有効にすると、Windows はブロックされた TPM コマンドのコンピューターのローカル リストを無視し、グループ ポリシーまたは既定の一覧で指定された TPM コマンドのみをブロックします。

ブロックされた TPM コマンドのローカル リストは、"tpm.msc" を実行するか、Win32_Tpm インターフェイスに対するスクリプトを使用して、グループ ポリシーの外部で構成されます。 ブロックされている TPM コマンドの既定の一覧は、Windows によって事前に構成されています。 ブロックされた TPM コマンドのグループ ポリシーの一覧を構成するには、関連するポリシー設定を参照してください。

  • このポリシー設定を無効にした場合、または構成しなかった場合、Windows は、グループ ポリシー内のコマンドとブロックされた TPM コマンドの既定のリストに加えて、ローカル リストで見つかった TPM コマンドをブロックします。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 IgnoreLocalList_Name
フレンドリ名 ブロックされている TPM コマンドのローカル リストを無視する
場所 [コンピューターの構成]
パス システム > トラステッド プラットフォーム モジュール サービス
レジストリ キー名 Software\Policies\Microsoft\TPM\BlockedCommands
レジストリ値の名前 IgnoreLocalList
ADMX ファイル名 TPM.admx

OptIntoDSHA_Name

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name

このグループ ポリシーにより、サポートされているデバイスで Device Health Attestation Reporting (DHA-report) が有効になります。 これにより、サポートされているデバイスは、デバイスが起動するたびに Device Health Attestation 関連情報 (デバイス ブート ログ、PCR 値、TPM 証明書など) を Device Health Attestation Service (DHA-Service) に送信できます。 Device Health Attestation Service は、デバイスのセキュリティ状態と正常性を検証し、クラウドベースのレポート ポータルを介してエンタープライズ管理者が結果にアクセスできるようにします。 このポリシーは、デバイス管理ソリューション (MDM や SCCM など) によって開始され、ワークフローに干渉しない DHA レポートとは無関係です。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 OptIntoDSHA_Name
フレンドリ名 デバイス正常性構成証明の監視とレポートを有効にする
場所 [コンピューターの構成]
パス System > Device Health 構成証明サービス
レジストリ キー名 Software\Policies\Microsoft\DeviceHealthAttestationService
レジストリ値の名前 EnableDeviceHealthAttestationService
ADMX ファイル名 TPM.admx

OSManagedAuth_Name

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name

このポリシー設定は、ローカル コンピューターのレジストリに格納される TPM 所有者の承認情報の量を構成します。 ローカルに格納されている TPM 所有者の認証情報の量に応じて、オペレーティング システムと TPM ベースのアプリケーションは、ユーザーに TPM 所有者パスワードの入力を要求することなく、TPM 所有者の承認を必要とする特定の TPM アクションを実行できます。

オペレーティング システムには、完全な TPM 所有者承認値、TPM 管理委任 BLOB、TPM ユーザー委任 BLOB のいずれかを格納するか、または何も格納しないかのいずれかを選択できます。

このポリシー設定を有効にすると、選択したオペレーティング システムマネージド TPM 認証設定に従って、Windows によってローカル コンピューターのレジストリに TPM 所有者の承認が格納されます。

オペレーティング システムのマネージド TPM 認証設定 "Full" を選択して、完全な TPM 所有者承認、TPM 管理委任 BLOB、TPM ユーザー委任 BLOB をローカル レジストリに格納します。 この設定を使用すると、TPM 所有者承認値のリモートストレージまたは外部ストレージを必要とせずに TPM を使用できます。 この設定は、TPM のハンマー対策ロジックのリセットの防止や TPM 所有者の承認値の変更に依存しないシナリオに適しています。 TPM ベースのアプリケーションによっては、TPM のハンマリング防止ロジックに依存する機能を使用する前に、この設定を変更する必要がある場合があります。

"Delegated" のオペレーティング システムマネージド TPM 認証設定を選択して、TPM 管理委任 BLOB と TPM ユーザー委任 BLOB のみをローカル レジストリに格納します。 この設定は、TPM のハンマリング防止ロジックに依存する TPM ベースのアプリケーションで使用する場合に適しています。

以前のオペレーティング システムやアプリケーションとの互換性を確保するため、または TPM 所有者の承認を必要とするシナリオでローカルに格納されないシナリオで使用する場合は、オペレーティング システムで管理される TPM 認証設定 "None" を選択します。 この設定を使用すると、一部の TPM ベースのアプリケーションで問題が発生する可能性があります。

オペレーティング システムのマネージド TPM 認証設定が "Full" から "Delegated" に変更された場合、完全な TPM 所有者承認値が再生成され、元の TPM 所有者承認値のコピーはすべて無効になります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 OSManagedAuth_Name
フレンドリ名 オペレーティング システムで使用できる TPM 所有者の承認情報のレベルを構成する
場所 [コンピューターの構成]
パス システム > トラステッド プラットフォーム モジュール サービス
レジストリ キー名 Software\Policies\Microsoft\TPM
ADMX ファイル名 TPM.admx

StandardUserAuthorizationFailureDuration_Name

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name

このポリシー設定を使用すると、承認を必要とするトラステッド プラットフォーム モジュール (TPM) コマンドの標準ユーザー承認エラーをカウントするための期間を分単位で管理できます。 期間内に承認エラーが発生した TPM コマンドの数がしきい値と等しい場合、標準ユーザーは承認を必要とするコマンドを TPM に送信できません。

この設定は、管理者が TPM ハードウェアがロックアウト モードに入らないようにするのに役立ちます。これは、標準ユーザーが TPM に承認を必要とするコマンドを送信できる速度が低下するためです。

承認エラーは、標準ユーザーが TPM にコマンドを送信するたびに発生し、承認エラーが発生したことを示すエラー応答を受け取ります。 この期間より前の承認エラーは無視されます。

標準ユーザーごとに 2 つのしきい値が適用されます。 いずれかのしきい値を超えると、標準ユーザーが承認を必要とするコマンドを TPM に送信できなくなります。

[Standard User Lockout Threshold Individual]\(標準ユーザー ロックアウトしきい値\) は、ユーザーが TPM に承認を必要とするコマンドを送信することが許可されない前に、各標準ユーザーが持つ承認エラーの最大数です。

[Standard User Lockout Total Threshold]\(標準ユーザー ロックアウトの合計しきい値\) の値は、すべての標準ユーザーが TPM に承認を必要とするコマンドを送信することが許可されない前に、すべての標準ユーザーが持つ承認エラーの最大数です。

TPM は、不正な承認値を持つコマンドが多すぎる場合にハードウェア ロックアウト モードに入ることで、パスワード推測攻撃から自身を保護するように設計されています。 TPM がロックアウト モードになると、管理者や BitLocker ドライブ暗号化などの Windows 機能を含むすべてのユーザーがグローバルになります。 TPM で許可される承認エラーの数と、ロックされた状態を維持する期間は、TPM の製造元によって異なります。 一部の TPM は、過去のエラーに応じて、承認エラーが少ない状態で、一定の時間が連続してロックアウト モードになる場合があります。 一部の TPM では、ロックアウト モードを終了するためにシステムの再起動が必要になる場合があります。 他の TPM では、TPM がロックアウト モードを終了する前に十分なクロック サイクルが経過するようにシステムをオンにする必要がある場合があります。

TPM 所有者パスワードを持つ管理者は、TPM 管理コンソール (tpm.msc) を使用して TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、以前の標準ユーザー TPM 承認エラーはすべて無視されます。標準ユーザーが TPM をすぐに再び正常に使用できるようにします。

この値が構成されていない場合は、既定値の 480 分 (8 時間) が使用されます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 StandardUserAuthorizationFailureDuration_Name
フレンドリ名 標準ユーザー ロックアウト期間
場所 [コンピューターの構成]
パス システム > トラステッド プラットフォーム モジュール サービス
レジストリ キー名 Software\Policies\Microsoft\Tpm
レジストリ値の名前 StandardUserAuthorizationFailureDuration
ADMX ファイル名 TPM.admx

StandardUserAuthorizationFailureIndividualThreshold_Name

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name

このポリシー設定を使用すると、トラステッド プラットフォーム モジュール (TPM) の標準ユーザーごとの承認エラーの最大数を管理できます。 標準ユーザー ロックアウト期間の期間内のユーザーの承認エラーの数がこの値と等しい場合、標準ユーザーは承認を必要とするトラステッド プラットフォーム モジュール (TPM) にコマンドを送信できません。

この設定は、管理者が TPM ハードウェアがロックアウト モードに入らないようにするのに役立ちます。これは、標準ユーザーが TPM に承認を必要とするコマンドを送信できる速度が低下するためです。

承認エラーは、標準ユーザーが TPM にコマンドを送信するたびに発生し、承認エラーが発生したことを示すエラー応答を受け取ります。 期間より前の承認エラーは無視されます。

標準ユーザーごとに 2 つのしきい値が適用されます。 いずれかのしきい値を超えると、標準ユーザーが承認を必要とするコマンドを TPM に送信できなくなります。

この値は、ユーザーが TPM に承認を必要とするコマンドを送信することが許可されない前に、各標準ユーザーが持つ承認エラーの最大数です。

[Standard User Lockout Total Threshold]\(標準ユーザー ロックアウトの合計しきい値\) の値は、すべての標準ユーザーが TPM に承認を必要とするコマンドを送信することが許可されない前に、すべての標準ユーザーが持つ承認エラーの最大数です。

TPM は、不正な承認値を持つコマンドが多すぎる場合にハードウェア ロックアウト モードに入ることで、パスワード推測攻撃から自身を保護するように設計されています。 TPM がロックアウト モードになると、管理者や BitLocker ドライブ暗号化などの Windows 機能を含むすべてのユーザーがグローバルになります。 TPM で許可される承認エラーの数と、ロックされた状態を維持する期間は、TPM の製造元によって異なります。 一部の TPM は、過去のエラーに応じて、承認エラーが少ない状態で、一定の時間が連続してロックアウト モードになる場合があります。 一部の TPM では、ロックアウト モードを終了するためにシステムの再起動が必要になる場合があります。 他の TPM では、TPM がロックアウト モードを終了する前に十分なクロック サイクルが経過するようにシステムをオンにする必要がある場合があります。

TPM 所有者パスワードを持つ管理者は、TPM 管理コンソール (tpm.msc) を使用して TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、以前の標準ユーザー TPM 承認エラーはすべて無視されます。標準ユーザーが TPM をすぐに再び正常に使用できるようにします。

この値が構成されていない場合は、既定値の 4 が使用されます。

値が 0 の場合、OS では標準ユーザーが TPM にコマンドを送信できないため、承認エラーが発生する可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 StandardUserAuthorizationFailureIndividualThreshold_Name
フレンドリ名 標準ユーザーの個別ロックアウトしきい値
場所 [コンピューターの構成]
パス システム > トラステッド プラットフォーム モジュール サービス
レジストリ キー名 Software\Policies\Microsoft\Tpm
レジストリ値の名前 StandardUserAuthorizationFailureIndividualThreshold
ADMX ファイル名 TPM.admx

StandardUserAuthorizationFailureTotalThreshold_Name

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name

このポリシー設定を使用すると、トラステッド プラットフォーム モジュール (TPM) のすべての標準ユーザーの承認エラーの最大数を管理できます。 Standard User Lockout Duration の期間内のすべての標準ユーザーに対する承認エラーの合計数がこの値と等しい場合、すべての標準ユーザーは、承認を必要とするトラステッド プラットフォーム モジュール (TPM) にコマンドを送信できなくなります。

この設定は、管理者が TPM ハードウェアがロックアウト モードに入らないようにするのに役立ちます。これは、標準ユーザーが TPM に承認を必要とするコマンドを送信できる速度が低下するためです。

承認エラーは、標準ユーザーが TPM にコマンドを送信するたびに発生し、承認エラーが発生したことを示すエラー応答を受け取ります。 期間より前の承認エラーは無視されます。

標準ユーザーごとに 2 つのしきい値が適用されます。 いずれかのしきい値を超えると、標準ユーザーが承認を必要とするコマンドを TPM に送信できなくなります。

[Standard User Individual Lockout]\(標準ユーザーの個別ロックアウト\) の値は、ユーザーが TPM に承認を必要とするコマンドを送信することが許可されない前に、各標準ユーザーが持つ承認エラーの最大数です。

この値は、すべての標準ユーザーが TPM に承認を必要とするコマンドを送信することが許可されない前に、すべての標準ユーザーが持つ承認エラーの最大数です。

TPM は、不正な承認値を持つコマンドが多すぎる場合にハードウェア ロックアウト モードに入ることで、パスワード推測攻撃から自身を保護するように設計されています。 TPM がロックアウト モードになると、管理者や BitLocker ドライブ暗号化などの Windows 機能を含むすべてのユーザーがグローバルになります。 TPM で許可される承認エラーの数と、ロックされた状態を維持する期間は、TPM の製造元によって異なります。 一部の TPM は、過去のエラーに応じて、承認エラーが少ない状態で、一定の時間が連続してロックアウト モードになる場合があります。 一部の TPM では、ロックアウト モードを終了するためにシステムの再起動が必要になる場合があります。 他の TPM では、TPM がロックアウト モードを終了する前に十分なクロック サイクルが経過するようにシステムをオンにする必要がある場合があります。

TPM 所有者パスワードを持つ管理者は、TPM 管理コンソール (tpm.msc) を使用して TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、以前の標準ユーザー TPM 承認エラーはすべて無視されます。標準ユーザーが TPM をすぐに再び正常に使用できるようにします。

この値が構成されていない場合は、既定値の 9 が使用されます。

値が 0 の場合、OS では標準ユーザーが TPM にコマンドを送信できないため、承認エラーが発生する可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 StandardUserAuthorizationFailureTotalThreshold_Name
フレンドリ名 標準ユーザーのロックアウトの合計しきい値
場所 [コンピューターの構成]
パス システム > トラステッド プラットフォーム モジュール サービス
レジストリ キー名 Software\Policies\Microsoft\Tpm
レジストリ値の名前 StandardUserAuthorizationFailureTotalThreshold
ADMX ファイル名 TPM.admx

UseLegacyDAP_Name

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10 バージョン 2004 と KB5005101 [10.0.19041.1202] 以降
✅ Windows 10 バージョン 20H2 と KB5005101 [10.0.19042.1202] 以降
✅ Windows 10 バージョン 21H1 と KB5005101 [10.0.19043.1202] 以降
✅ Windows 11 バージョン 21H2 [10.0.22000] 以降
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name

このポリシー設定では、Windows 10 バージョン 1607 以降で使用された値に辞書攻撃防止パラメーター (ロックアウトのしきい値と回復時間) を使用するように TPM を構成します。 このポリシーの設定は、a) Windows 10 バージョン 1607 以降のバージョンの Windows を使用して TPM が最初に準備され、b) システムが TPM 2.0 を持っている場合にのみ有効になります。 このポリシーを有効にするのは、TPM メンテナンス タスクの実行後にのみ有効になります (通常はシステムの再起動後に発生します)。 このポリシーがシステムで有効になり、(システムの再起動後に) 有効になると、無効にしても影響はなく、このグループ ポリシーの値に関係なく、従来の辞書攻撃防止パラメーターを使用してシステムの TPM が構成されたままになります。 このポリシーの無効設定を有効にしたシステムで有効にする唯一の方法は、a) グループ ポリシーから無効にし、b)システム上の TPM をクリアすることです。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 UseLegacyDAP_Name
フレンドリ名 TPM 2.0 の従来のディクショナリ攻撃防止パラメーター設定を使用するようにシステムを構成します。
場所 [コンピューターの構成]
パス システム > トラステッド プラットフォーム モジュール サービス
レジストリ キー名 Software\Policies\Microsoft\TPM
レジストリ値の名前 UseLegacyDictionaryAttackParameters
ADMX ファイル名 TPM.admx

ポリシー構成サービス プロバイダー