この記事では、Windows 11/10 で TPM キーをバックアップする方法について説明します。TPM (Trusted Platform Module) は、デスクトップ コンピューターまたはラップトップののマザーボード内に設置されているハードウェア コンポーネント (セキュリティ チップ) です。TPM の主な機能は、認証資格情報、デジタル証明書、暗号化キーなど、システムの機密情報を安全に保存することです。
TPM が搭載されているデバイスには、暗号化キー (特に BitLocker キー) を作成して暗号化できる機能もあります。これらのキーは TPM でしか復号できません。オペレーティング システムは TPM 内でこれらのキーを使用できますが、システム メモリにロードすることはできないため、マルウェアやその他のサイバー攻撃から保護されます。つまり、TPM がインストールされていると、Windows デバイスのプライバシーとセキュリティが大幅に向上します。
Windows 11/10 で TPM キーをバックアップする方法
TPM メカニズムを使用するための基本的な要件は、独自のパスワード (またはキー) を生成することによって TPM の所有権を取得することです。このパスワードは TPM オーナー パスワードと呼ばれ、保存されている他のすべてのパスワードとは完全に独立しています。Windows が初めて起動し、システムにインストールされている TPM チップとの所有権が確立されるときに設定されます。
システム管理者は、ドメインに参加しているコンピューターのTPM オーナー情報を Active Directory ドメイン サービス (AD DS) にバックアップできます。AD DS は、ネットワーク ドメイン上のコンピューターやその他のデバイスを管理する Microsoft の Active Directory が提供するサービスの総称です。TPM オーナー情報は、TPM オーナー パスワードの暗号化ハッシュで構成されます。
このバックアップにより、古いコンピューターを再利用して TPM を工場出荷時のデフォルトにリセットする場合に、システム管理者は AD DS を使用してローカル コンピューター上の TPM をリモートで構成できます。また、所有者が TPM パスワードを忘れた場合の回復状況でも、この保存された情報を使用できます。
TPM オーナー情報を Active Directory ドメイン サービスにバックアップする
グループ ポリシー設定を使用して TPM オーナー情報を AD DS にバックアップする手順は次のとおりです。
- キーボードのWin キーと R キーを押して実行ダイアログ ボックスを開きます。
- gpedit.mscと入力してEnterキーを押します。
- ローカル グループ ポリシー エディター ウィンドウで、次の場所に移動します。
コンピューターの構成\管理用テンプレート\システム\信頼されたプラットフォーム モジュール サービス\ - 右側のペインで、TPM バックアップを Active Directory ドメイン サービスに有効にする設定をダブルクリックします。
- ポリシー設定ウィンドウで、有効オプションを選択してから適用ボタンをクリックします。
- OKボタンをクリックします。
- システムを再起動して変更を適用します。
注意:
- 上記のグループ ポリシー オブジェクトを有効にするには、ローカル管理者グループに属するドメイン アカウントを使用してドメインに参加しているコンピューターにサインインする必要があります。
- バックアップを成功させるために、最初にドメインに適切なスキーマ拡張を設定する必要がある場合があります。
- この設定を有効にすると、コンピューターをネットワーク ドメインに接続しない限り、TPM オーナー パスワードを設定または変更することはできません。
役立つことを願っています。
TPM キーをクリアするとどうなりますか?
TPM をクリアすると、すべての情報が消去され、デフォルト状態にリセットされます。TPM キーをクリアすると、TPM によって作成されたすべての暗号化キーと、それらのキーで保護されたデータ (サインイン PIN、仮想スマート カードなど) へのアクセスが失われます。そのため、TPM によって保護または暗号化されたデータが失われないように、TPM をクリアする前に適切なバックアップと復元メカニズムを用意してください。
コメントする