ポリシー CSP - ADMX_TPM
ヒント
この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML のデータ型を として <Format>chr</Format>指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
BlockedCommandsList_Name
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/BlockedCommandsList_Name
このポリシー設定を使用すると、Windows によってブロックされるトラステッド プラットフォーム モジュール (TPM) コマンドのグループ ポリシー一覧を管理できます。
このポリシー設定を有効にすると、指定したコマンドがコンピューター上の TPM に送信されないように Windows によってブロックされます。 TPM コマンドは、コマンド番号によって参照されます。 たとえば、コマンド番号 129 はTPM_OwnerReadInternalPub、コマンド番号 170 はTPM_FieldUpgrade。 TPM 1.2 で各 TPM コマンドに関連付けられているコマンド番号を見つけるには、"tpm.msc" を実行し、[コマンド管理] セクションに移動します。
このポリシー設定を無効にした場合、または構成しない場合は、既定またはローカル リストで指定された TPM コマンドのみが Windows によってブロックされる可能性があります。 ブロックされている TPM コマンドの既定の一覧は、Windows によって事前に構成されています。 "tpm.msc" を実行し、[コマンド管理] セクションに移動し、[既定のブロック リスト] 列を表示することで、既定の一覧を表示できます。 ブロックされた TPM コマンドのローカル リストは、"tpm.msc" を実行するか、Win32_Tpm インターフェイスに対するスクリプトを使用して、グループ ポリシーの外部で構成されます。 ブロックされた TPM コマンドの既定の一覧とローカル リストを適用または無視するには、関連するポリシー設定に関するページを参照してください。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | BlockedCommandsList_Name |
| フレンドリ名 | ブロックされている TPM コマンドの一覧を構成する |
| 場所 | [コンピューターの構成] |
| パス | システム > トラステッド プラットフォーム モジュール サービス |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\Tpm\BlockedCommands |
| レジストリ値の名前 | 有効 |
| ADMX ファイル名 | TPM.admx |
ClearTPMIfNotReady_Name
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/ClearTPMIfNotReady_Name
このポリシー設定は、TPM が準備完了以外の状態であることが検出された場合に TPM をクリアするようにユーザーに求めるシステムを構成します。 このポリシーは、システムの TPM が準備完了以外の状態である場合 (TPM が "準備完了、 機能が低下した状態) である場合にのみ有効になります。 TPM をクリアするためのプロンプトは、次回の再起動後、ログインしているユーザーがシステムの Administrators グループに属している場合にのみ発生します。 プロンプトは無視できますが、ポリシーが無効になるか、TPM が準備完了状態になるまで、再起動とログインのたびに再び表示されます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ClearTPMIfNotReady_Name |
| フレンドリ名 | TPM が準備完了状態でない場合は、システムを構成してクリアします。 |
| 場所 | [コンピューターの構成] |
| パス | システム > トラステッド プラットフォーム モジュール サービス |
| レジストリ キー名 | Software\Policies\Microsoft\TPM |
| レジストリ値の名前 | ClearTPMIfNotReadyGP |
| ADMX ファイル名 | TPM.admx |
IgnoreDefaultList_Name
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreDefaultList_Name
このポリシー設定を使用すると、ブロックされたトラステッド プラットフォーム モジュール (TPM) コマンドのコンピューターの既定の一覧を適用または無視できます。
- このポリシー設定を有効にすると、Windows はブロックされた TPM コマンドのコンピューターの既定の一覧を無視し、グループ ポリシーまたはローカル リストで指定された TPM コマンドのみをブロックします。
ブロックされている TPM コマンドの既定の一覧は、Windows によって事前に構成されています。 "tpm.msc" を実行し、[コマンド管理] セクションに移動し、[既定のブロック リスト] 列を表示することで、既定の一覧を表示できます。 ブロックされた TPM コマンドのローカル リストは、"tpm.msc" を実行するか、Win32_Tpm インターフェイスに対するスクリプトを使用して、グループ ポリシーの外部で構成されます。 関連するポリシー設定を参照して、ブロックされている TPM コマンドのグループ ポリシー一覧を構成します。
- このポリシー設定を無効にした場合、または構成しなかった場合、Windows は、グループ ポリシーのコマンドとブロックされた TPM コマンドのローカル リストのコマンドに加えて、既定の一覧の TPM コマンドをブロックします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | IgnoreDefaultList_Name |
| フレンドリ名 | ブロックされている TPM コマンドの既定の一覧を無視する |
| 場所 | [コンピューターの構成] |
| パス | システム > トラステッド プラットフォーム モジュール サービス |
| レジストリ キー名 | Software\Policies\Microsoft\TPM\BlockedCommands |
| レジストリ値の名前 | IgnoreDefaultList |
| ADMX ファイル名 | TPM.admx |
IgnoreLocalList_Name
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/IgnoreLocalList_Name
このポリシー設定を使用すると、ブロックされたトラステッド プラットフォーム モジュール (TPM) コマンドのコンピューターのローカル リストを適用または無視できます。
- このポリシー設定を有効にすると、Windows はブロックされた TPM コマンドのコンピューターのローカル リストを無視し、グループ ポリシーまたは既定の一覧で指定された TPM コマンドのみをブロックします。
ブロックされた TPM コマンドのローカル リストは、"tpm.msc" を実行するか、Win32_Tpm インターフェイスに対するスクリプトを使用して、グループ ポリシーの外部で構成されます。 ブロックされている TPM コマンドの既定の一覧は、Windows によって事前に構成されています。 関連するポリシー設定を参照して、ブロックされている TPM コマンドのグループ ポリシー一覧を構成します。
- このポリシー設定を無効にした場合、または構成しなかった場合、Windows は、グループ ポリシーのコマンドとブロックされた TPM コマンドの既定のリストに加えて、ローカル リストで見つかった TPM コマンドをブロックします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | IgnoreLocalList_Name |
| フレンドリ名 | ブロックされている TPM コマンドのローカル リストを無視する |
| 場所 | [コンピューターの構成] |
| パス | システム > トラステッド プラットフォーム モジュール サービス |
| レジストリ キー名 | Software\Policies\Microsoft\TPM\BlockedCommands |
| レジストリ値の名前 | IgnoreLocalList |
| ADMX ファイル名 | TPM.admx |
OptIntoDSHA_Name
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OptIntoDSHA_Name
このグループ ポリシーにより、サポートされているデバイスで Device Health Attestation Reporting (DHA-report) が有効になります。 これにより、サポートされているデバイスは、デバイスが起動するたびに Device Health Attestation 関連情報 (デバイス ブート ログ、PCR 値、TPM 証明書など) を Device Health Attestation Service (DHA-Service) に送信できます。 Device Health Attestation Service は、デバイスのセキュリティ状態と正常性を検証し、クラウドベースのレポート ポータルを介してエンタープライズ管理者が結果にアクセスできるようにします。 このポリシーは、デバイス管理ソリューション (MDM やSCCMなど) によって開始され、ワークフローに干渉しない DHA レポートとは無関係です。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | OptIntoDSHA_Name |
| フレンドリ名 | デバイス正常性構成証明の監視とレポートを有効にする |
| 場所 | [コンピューターの構成] |
| パス | システム > デバイス正常性構成証明サービス |
| レジストリ キー名 | Software\Policies\Microsoft\DeviceHealthAttestationService |
| レジストリ値の名前 | EnableDeviceHealthAttestationService |
| ADMX ファイル名 | TPM.admx |
OSManagedAuth_Name
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/OSManagedAuth_Name
このポリシー設定は、ローカル コンピューターのレジストリに格納される TPM 所有者の承認情報の量を構成します。 ローカルに格納されている TPM 所有者の認証情報の量に応じて、オペレーティング システムと TPM ベースのアプリケーションは、ユーザーに TPM 所有者パスワードの入力を要求することなく、TPM 所有者の承認を必要とする特定の TPM アクションを実行できます。
オペレーティング システムには、完全な TPM 所有者承認値、TPM 管理委任 BLOB、TPM ユーザー委任 BLOB のいずれかを格納するか、または何も格納しないかのいずれかを選択できます。
このポリシー設定を有効にすると、選択したオペレーティング システムマネージド TPM 認証設定に従って、Windows によってローカル コンピューターのレジストリに TPM 所有者の承認が格納されます。
オペレーティング システムのマネージド TPM 認証設定 "Full" を選択して、完全な TPM 所有者承認、TPM 管理委任 BLOB、TPM ユーザー委任 BLOB をローカル レジストリに格納します。 この設定を使用すると、TPM 所有者承認値のリモートストレージまたは外部ストレージを必要とせずに TPM を使用できます。 この設定は、TPM のハンマー対策ロジックのリセットの防止や TPM 所有者の承認値の変更に依存しないシナリオに適しています。 TPM ベースのアプリケーションによっては、TPM のハンマリング防止ロジックに依存する機能を使用する前に、この設定を変更する必要がある場合があります。
"Delegated" のオペレーティング システムマネージド TPM 認証設定を選択して、TPM 管理委任 BLOB と TPM ユーザー委任 BLOB のみをローカル レジストリに格納します。 この設定は、TPM のハンマリング防止ロジックに依存する TPM ベースのアプリケーションで使用する場合に適しています。
以前のオペレーティング システムやアプリケーションとの互換性を確保するため、または TPM 所有者の承認を必要とするシナリオでローカルに格納されないシナリオで使用する場合は、オペレーティング システムで管理される TPM 認証設定 "None" を選択します。 この設定を使用すると、一部の TPM ベースのアプリケーションで問題が発生する可能性があります。
注
オペレーティング システムのマネージド TPM 認証設定が "Full" から "Delegated" に変更された場合、完全な TPM 所有者承認値が再生成され、元の TPM 所有者承認値のコピーはすべて無効になります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | OSManagedAuth_Name |
| フレンドリ名 | オペレーティング システムで使用できる TPM 所有者の承認情報のレベルを構成する |
| 場所 | [コンピューターの構成] |
| パス | システム > トラステッド プラットフォーム モジュール サービス |
| レジストリ キー名 | Software\Policies\Microsoft\TPM |
| ADMX ファイル名 | TPM.admx |
StandardUserAuthorizationFailureDuration_Name
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureDuration_Name
このポリシー設定を使用すると、承認を必要とするトラステッド プラットフォーム モジュール (TPM) コマンドの標準ユーザー承認エラーをカウントするための期間を分単位で管理できます。 期間内に承認エラーが発生した TPM コマンドの数がしきい値と等しい場合、標準ユーザーは承認を必要とするコマンドを TPM に送信できません。
この設定は、管理者が TPM ハードウェアがロックアウト モードに入らないようにするのに役立ちます。これは、標準ユーザーが TPM に承認を必要とするコマンドを送信できる速度が低下するためです。
承認エラーは、標準ユーザーが TPM にコマンドを送信するたびに発生し、承認エラーが発生したことを示すエラー応答を受け取ります。 この期間より前の承認エラーは無視されます。
標準ユーザーごとに 2 つのしきい値が適用されます。 いずれかのしきい値を超えると、標準ユーザーが承認を必要とするコマンドを TPM に送信できなくなります。
[Standard User Lockout Threshold Individual]\(標準ユーザー ロックアウトしきい値\) は、ユーザーが TPM に承認を必要とするコマンドを送信することが許可されない前に、各標準ユーザーが持つ承認エラーの最大数です。
[Standard User Lockout Total Threshold]\(標準ユーザー ロックアウトの合計しきい値\) の値は、すべての標準ユーザーが TPM に承認を必要とするコマンドを送信することが許可されない前に、すべての標準ユーザーが持つ承認エラーの最大数です。
TPM は、不正な承認値を持つコマンドが多すぎる場合にハードウェア ロックアウト モードに入ることで、パスワード推測攻撃から自身を保護するように設計されています。 TPM がロックアウト モードになると、管理者や BitLocker ドライブ暗号化などの Windows 機能を含むすべてのユーザーがグローバルになります。 TPM で許可される承認エラーの数と、ロックされた状態を維持する期間は、TPM の製造元によって異なります。 一部の TPM は、過去のエラーに応じて、承認エラーが少ない状態で、一定の時間が連続してロックアウト モードになる場合があります。 一部の TPM では、ロックアウト モードを終了するためにシステムの再起動が必要になる場合があります。 他の TPM では、TPM がロックアウト モードを終了する前に十分なクロック サイクルが経過するようにシステムをオンにする必要がある場合があります。
TPM 所有者パスワードを持つ管理者は、TPM 管理コンソール (tpm.msc) を使用して TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、以前の標準ユーザー TPM 承認エラーはすべて無視されます。標準ユーザーが TPM をすぐに再び正常に使用できるようにします。
この値が構成されていない場合は、既定値の 480 分 (8 時間) が使用されます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | StandardUserAuthorizationFailureDuration_Name |
| フレンドリ名 | 標準ユーザー ロックアウト期間 |
| 場所 | [コンピューターの構成] |
| パス | システム > トラステッド プラットフォーム モジュール サービス |
| レジストリ キー名 | Software\Policies\Microsoft\Tpm |
| レジストリ値の名前 | StandardUserAuthorizationFailureDuration |
| ADMX ファイル名 | TPM.admx |
StandardUserAuthorizationFailureIndividualThreshold_Name
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureIndividualThreshold_Name
このポリシー設定を使用すると、トラステッド プラットフォーム モジュール (TPM) の標準ユーザーごとの承認エラーの最大数を管理できます。 標準ユーザー ロックアウト期間の期間内のユーザーの承認エラーの数がこの値と等しい場合、標準ユーザーは承認を必要とするトラステッド プラットフォーム モジュール (TPM) にコマンドを送信できません。
この設定は、管理者が TPM ハードウェアがロックアウト モードに入らないようにするのに役立ちます。これは、標準ユーザーが TPM に承認を必要とするコマンドを送信できる速度が低下するためです。
承認エラーは、標準ユーザーが TPM にコマンドを送信するたびに発生し、承認エラーが発生したことを示すエラー応答を受け取ります。 期間より前の承認エラーは無視されます。
標準ユーザーごとに 2 つのしきい値が適用されます。 いずれかのしきい値を超えると、標準ユーザーが承認を必要とするコマンドを TPM に送信できなくなります。
この値は、ユーザーが TPM に承認を必要とするコマンドを送信することが許可されない前に、各標準ユーザーが持つ承認エラーの最大数です。
[Standard User Lockout Total Threshold]\(標準ユーザー ロックアウトの合計しきい値\) の値は、すべての標準ユーザーが TPM に承認を必要とするコマンドを送信することが許可されない前に、すべての標準ユーザーが持つ承認エラーの最大数です。
TPM は、不正な承認値を持つコマンドが多すぎる場合にハードウェア ロックアウト モードに入ることで、パスワード推測攻撃から自身を保護するように設計されています。 TPM がロックアウト モードになると、管理者や BitLocker ドライブ暗号化などの Windows 機能を含むすべてのユーザーがグローバルになります。 TPM で許可される承認エラーの数と、ロックされた状態を維持する期間は、TPM の製造元によって異なります。 一部の TPM は、過去のエラーに応じて、承認エラーが少ない状態で、一定の時間が連続してロックアウト モードになる場合があります。 一部の TPM では、ロックアウト モードを終了するためにシステムの再起動が必要になる場合があります。 他の TPM では、TPM がロックアウト モードを終了する前に十分なクロック サイクルが経過するようにシステムをオンにする必要がある場合があります。
TPM 所有者パスワードを持つ管理者は、TPM 管理コンソール (tpm.msc) を使用して TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、以前の標準ユーザー TPM 承認エラーはすべて無視されます。標準ユーザーが TPM をすぐに再び正常に使用できるようにします。
この値が構成されていない場合は、既定値の 4 が使用されます。
値が 0 の場合、OS では標準ユーザーが TPM にコマンドを送信できないため、承認エラーが発生する可能性があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | StandardUserAuthorizationFailureIndividualThreshold_Name |
| フレンドリ名 | 標準ユーザーの個別ロックアウトしきい値 |
| 場所 | [コンピューターの構成] |
| パス | システム > トラステッド プラットフォーム モジュール サービス |
| レジストリ キー名 | Software\Policies\Microsoft\Tpm |
| レジストリ値の名前 | StandardUserAuthorizationFailureIndividualThreshold |
| ADMX ファイル名 | TPM.admx |
StandardUserAuthorizationFailureTotalThreshold_Name
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/StandardUserAuthorizationFailureTotalThreshold_Name
このポリシー設定を使用すると、トラステッド プラットフォーム モジュール (TPM) のすべての標準ユーザーの承認エラーの最大数を管理できます。 Standard User Lockout Duration の期間内のすべての標準ユーザーに対する承認エラーの合計数がこの値と等しい場合、すべての標準ユーザーは、承認を必要とするトラステッド プラットフォーム モジュール (TPM) にコマンドを送信できなくなります。
この設定は、管理者が TPM ハードウェアがロックアウト モードに入らないようにするのに役立ちます。これは、標準ユーザーが TPM に承認を必要とするコマンドを送信できる速度が低下するためです。
承認エラーは、標準ユーザーが TPM にコマンドを送信するたびに発生し、承認エラーが発生したことを示すエラー応答を受け取ります。 期間より前の承認エラーは無視されます。
標準ユーザーごとに 2 つのしきい値が適用されます。 いずれかのしきい値を超えると、標準ユーザーが承認を必要とするコマンドを TPM に送信できなくなります。
[Standard User Individual Lockout]\(標準ユーザーの個別ロックアウト\) の値は、ユーザーが TPM に承認を必要とするコマンドを送信することが許可されない前に、各標準ユーザーが持つ承認エラーの最大数です。
この値は、すべての標準ユーザーが TPM に承認を必要とするコマンドを送信することが許可されない前に、すべての標準ユーザーが持つ承認エラーの最大数です。
TPM は、不正な承認値を持つコマンドが多すぎる場合にハードウェア ロックアウト モードに入ることで、パスワード推測攻撃から自身を保護するように設計されています。 TPM がロックアウト モードになると、管理者や BitLocker ドライブ暗号化などの Windows 機能を含むすべてのユーザーがグローバルになります。 TPM で許可される承認エラーの数と、ロックされた状態を維持する期間は、TPM の製造元によって異なります。 一部の TPM は、過去のエラーに応じて、承認エラーが少ない状態で、一定の時間が連続してロックアウト モードになる場合があります。 一部の TPM では、ロックアウト モードを終了するためにシステムの再起動が必要になる場合があります。 他の TPM では、TPM がロックアウト モードを終了する前に十分なクロック サイクルが経過するようにシステムをオンにする必要がある場合があります。
TPM 所有者パスワードを持つ管理者は、TPM 管理コンソール (tpm.msc) を使用して TPM のハードウェア ロックアウト ロジックを完全にリセットできます。 管理者が TPM のハードウェア ロックアウト ロジックをリセットするたびに、以前の標準ユーザー TPM 承認エラーはすべて無視されます。標準ユーザーが TPM をすぐに再び正常に使用できるようにします。
この値が構成されていない場合は、既定値の 9 が使用されます。
値が 0 の場合、OS では標準ユーザーが TPM にコマンドを送信できないため、承認エラーが発生する可能性があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | StandardUserAuthorizationFailureTotalThreshold_Name |
| フレンドリ名 | 標準ユーザーのロックアウトの合計しきい値 |
| 場所 | [コンピューターの構成] |
| パス | システム > トラステッド プラットフォーム モジュール サービス |
| レジストリ キー名 | Software\Policies\Microsoft\Tpm |
| レジストリ値の名前 | StandardUserAuthorizationFailureTotalThreshold |
| ADMX ファイル名 | TPM.admx |
UseLegacyDAP_Name
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/Policy/Config/ADMX_TPM/UseLegacyDAP_Name
このポリシー設定では、バージョン 1607 以降で使用された値に対してディクショナリ攻撃防止パラメーター (ロックアウトのしきい値と回復時間) を使用するように TPM Windows 10構成します。 このポリシーの設定は、a) バージョン 1607 Windows 10 以降に TPM が最初に Windows のバージョンを使用して準備され、b) システムが TPM 2.0 を持っている場合にのみ有効になります。 このポリシーを有効にするのは、TPM メンテナンス タスクの実行後にのみ有効になります (通常はシステムの再起動後に発生します)。 このポリシーがシステムで有効になり、(システムの再起動後に) 有効になると、無効にしても影響はなく、このグループ ポリシーの値に関係なく、従来の辞書攻撃防止パラメーターを使用してシステムの TPM が構成されたままになります。 このポリシーの無効設定を有効にしたシステムで有効にする唯一の方法は、a) グループ ポリシーから無効にし、b)システム上の TPM をクリアすることです。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | UseLegacyDAP_Name |
| フレンドリ名 | TPM 2.0 の従来のディクショナリ攻撃防止パラメーター設定を使用するようにシステムを構成します。 |
| 場所 | [コンピューターの構成] |
| パス | システム > トラステッド プラットフォーム モジュール サービス |
| レジストリ キー名 | Software\Policies\Microsoft\TPM |
| レジストリ値の名前 | UseLegacyDictionaryAttackParameters |
| ADMX ファイル名 | TPM.admx |
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示