BitLocker と TPM: その他の既知の問題

  • [アーティクル]

この記事では、信頼されたプラットフォーム モジュール (TPM) に直接関連する一般的な問題について説明し、これらの問題に対処するためのガイダンスを提供します。

Microsoft Entra ID: Windows Hello for Businessとシングル サインオンが機能しない

次のような状況で問題が発生します。

Microsoft Entra参加しているクライアント コンピューターが正しく認証できません。 コンピューターで次の 1 つ以上の現象が発生しています。

  • Windows Hello for Businessが機能しない
  • 条件付きアクセスが失敗する
  • シングル サインオン (SSO) が機能しない

さらに、イベント ビューアーでは、コンピューターは Windows ログシステムの下に次のイベント ID 1026 イベントを記録>します。

ログ名: システム
ソース: Microsoft-Windows-TPM-WMI
日付: <日付と時刻>
イベント ID : 1026
タスク カテゴリ: なし
レベル: 情報
キーワード:
ユーザー: SYSTEM
コンピューター: <コンピューター名>
説明:
このコンピューター上のトラステッド プラットフォーム モジュール (TPM) ハードウェアは、自動的に使用するためにプロビジョニングできません。 TPM を対話形式で設定するには、TPM 管理コンソール (Start-tpm.msc>) を使用し、アクションを使用して TPM を準備します。
エラー: TPM はディクショナリ攻撃から防御しており、タイムアウト期間です。
追加情報: 0x840000

Microsoft Entra IDの原因: Windows Hello for Businessとシングル サインオンが機能しない

このイベントは、TPM の準備ができていないか、TPM キーへのアクセスを妨げる設定があることを示します。

さらに、この動作は、クライアント コンピューターが プライマリ更新トークン (PRT) を取得できないことを示します。

Microsoft Entra IDの解決策: Windows Hello for Businessとシングル サインオンが機能しない

PRT の状態を確認するには、 dsregcmd.exe /status コマンドを使用して情報を収集します。 ツールの出力で、 ユーザー状態 または SSO 状態AzureAdPrt 属性が含まれていることを確認します。 この属性の値が No の場合、PRT は発行されませんでした。 属性の値が [いいえ] の場合は、コンピューターが認証用の証明書を提示できなかったことを示している可能性があります。

この問題を解決するには、次の手順に従って TPM のトラブルシューティングを行います。

  1. [スタート] を選択し、[検索] ボックスに「tpm.msc」と入力して、TPM 管理コンソール (tpm.msc) を開きます。

  2. TPM のロック解除またはロックアウトのリセットに関する通知が表示される場合は、ハードウェア ベンダーに問い合わせて、問題の既知の修正プログラムがあるかどうかを確認してください。

  3. ハードウェア ベンダーに問い合わせても問題が解決しない場合は、「TPM の トラブルシューティング: TPM からすべてのキーをクリアする」の記事の手順に従って、TPM をクリアして再初期化します。

    警告

    TPM をクリアすると、データが失われる可能性があります。

手順 2 で TPM のロックを解除するか、ロックアウトをリセットする通知がない場合は、コンピューターの UEFI ファームウェア/BIOS 設定で、ロックアウトのリセットまたは無効化に使用できる設定を確認します。

TPM 1.2 エラー: 管理コンソールの読み込みに失敗しました。 暗号化プロバイダーに必要なデバイスを使用する準備ができていない

次のような状況で問題が発生します。

TPM バージョン 1.2 を使用する Windows コンピューターで TPM 管理コンソールを開こうとすると、次のメッセージが表示されます。

管理コンソールの読み込みに失敗しました。 暗号化プロバイダーに必要なデバイスを使用する準備ができていません。
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
この暗号化プロバイダーに必要なデバイスは、使用する準備ができていません。
TPM 仕様バージョン: TPM v1.2

同じバージョンの Windows を実行している別のデバイスで、TPM 管理コンソールを開くことができます。

TPM 1.2 エラーの原因 (疑わしい): 管理コンソールの読み込みに失敗しました。 暗号化プロバイダーに必要なデバイスを使用する準備ができていない

これらの現象は、TPM にハードウェアまたはファームウェアの問題があることを示します。

TPM 1.2 エラーの解決: 管理コンソールの読み込みに失敗しました。 暗号化プロバイダーに必要なデバイスを使用する準備ができていない

この問題を解決するには:

  • デバイスにこのオプションがある場合は、TPM の動作モードをバージョン 1.2 からバージョン 2.0 に切り替えます。

  • TPM をバージョン 1.2 からバージョン 2.0 に切り替えても問題が解決しない場合、またはデバイスに TPM バージョン 2.0 がない場合は、ハードウェア ベンダーに問い合わせて、デバイスの UEFI ファームウェア更新プログラム/BIOS 更新プログラム/TPM 更新プログラムがあるかどうかを確認してください。 利用可能な更新プログラムがある場合は、更新プログラムをインストールして、問題が解決されるかどうかを確認します。

  • UEFI ファームウェア/BIOS を更新しても問題が解決しない場合、または利用可能な更新プログラムがない場合は、ハードウェア ベンダーに問い合わせてデバイス のマザーボードを交換することを検討してください。 マザーボードを交換した後、このオプションを使用できる場合は、TPM の動作モードをバージョン 1.2 からバージョン 2.0 に切り替えます。

    警告

    マザーボードを交換すると、TPM 内のデータが失われます。

TPM の問題のため、デバイスがハイブリッド Microsoft Entra IDに参加しない

デバイスをハイブリッド Microsoft Entra IDに参加しようとすると、結合操作が失敗しているように見えます。

結合が成功したことを確認するには、 dsregcmd /status コマンドを使用します。 ツールの出力では、次の属性は結合が成功したことを示します。

  • AzureAdJoined: YES
  • DomainName: <オンプレミスのドメイン名>

AzureADJoined の値が [いいえ] の場合、結合操作は失敗しました。

TPM の問題のため、デバイスの原因と解決策がハイブリッド Microsoft Entra IDに参加しない

この問題は、Windows オペレーティング システムが TPM の所有者でない場合に発生する可能性があります。 この問題の具体的な修正は、次の表に示すように、表示されるエラーまたはイベントによって異なります。

メッセージ 理由 解決方法
NTE_BAD_KEYSET (0x80090016/-2146893802) TPM 操作が失敗したか、無効でした この問題は、おそらく sysprep イメージが破損していることが原因です。 sysprep イメージを作成するときは、Microsoft Entra IDまたはハイブリッド Microsoft Entra IDに参加または登録されていないコンピューターを使用してください。
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) 一般的な TPM エラー。 デバイスがこのエラーを返す場合は、TPM を無効にします。 Windows 10 Version 1809以降のバージョンでは、TPM エラーを自動的に検出し、TPM を使用せずにMicrosoft Entraハイブリッド結合を完了します。
TPM_E_NOTFIPS (0x80280036/-2144862154) TPM の FIPS モードは現在サポートされていません。 デバイスでこのエラーが発生した場合は、TPM を無効にします。 Windows 10 Version 1809以降のバージョンでは、TPM エラーを自動的に検出し、TPM を使用せずにMicrosoft Entraハイブリッド結合を完了します。
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) TPM がロックアウトされています。 このエラーは一時的なものです。 クールダウン期間を待ってから、結合操作を再試行します。

TPM の問題の詳細については、次の記事を参照してください。