TPM をクリアする方法

皆さん、こんにちは。
Windows プラットフォーム サポート チームです。

本日は TPM (Trusted Platform Module) をクリアする方法についてご紹介いたします。

TPM は通常マザーボードに取り付けられているセキュリティチップです。
TPM のロックアウトのリセットや TPM の所有者情報の再設定など、TPM を初期化する場合は TPM をクリアします。

TPM をクリアした場合、TPM を利用している機能やアプリケーションに影響を及ぼす可能性がございます。
そのため、ご利用いただいている機能ごとに TPM をクリアする際に実施する手順があるかどうか確認した上で TPM のクリアをご実施ください。
また、サード パーティー製のアプリケーションをお使いいただいている場合は、アプリケーションの提供元にご確認ください。

■ TPM をクリアする手順
1. お使いのシステムで TPM を利用している機能があるかどうか確認します。

TPM の推奨事項 (※ “TPM と Windows の機能” をご参照ください。)
https://technet.microsoft.com/ja-jp/library/mt604232(v=vs.85).aspx

2. それぞれの機能、アプリケーションごとに TPM をクリアする前後で実施する手順を確認します。
※ 各手順の詳細は本記事内で後述しております。
※ 空欄 (-) は実施すべき手順のない機能です。

機能 TPM をクリアする前に実施する手順 TPM をクリアした後に実施する手順
メジャーブート - -
BitLocker BitLocker の保護を中断します。 BitLocker の保護を再開します。
Windows Hello (For Business) - PIN コードを設定している場合は、PIN コードを再設定します。
Windows Hello For Business and Azure Active Directory(Azure Active Directory に参加) デバイス上にローカル管理者アカウントが存在しない場合は作成します。Microsoft アカウントでサインインしている場合はアカウントを削除します。Azure AD からデバイスの参加を解除します。 Azure Active Directory に再参加します。
Windows Hello For Business and Azure Active Directory(Hybrid Azure Active Directory に参加) Microsoft アカウントでサインインしている場合はアカウントを削除します。 再起動すると Windows が新しいキーを生成し、自動的にデバイスを Azure AD に参加させますが、この処理の間は Microsoft Outlook、OneDrive、および SSO または条件付きアクセス ポリシーを必要とするその他のアプリケーションなどのリソースへのアクセスが制限される可能性があります。
Windows Hello For Business and Azure Active Directory(Azure Active Directory に登録) Azure AD の職場アカウントを削除します。 Azure AD の職場アカウントを再設定します。
Active Directory Certificate Services (AD CS)("Microsoft Platform Crypto Provider" を利用して発行した証明書がある場合) - 証明書を再発行します。
Active Directory Domain Services (AD DS)(証明書を使用したデバイス認証を利用している場合)* 証明書を使用したデバイス認証は、フォレスト/ドメイン機能レベルが 2016 が必要となります。 ドメインから離脱します。 ドメインに再参加します。
デバイスの暗号化 BitLocker の保護を中断します。※ “BitLocker” と同じ手順です。 BitLocker の保護を再開します。※ “BitLocker” と同じ手順です。
Device Guard - -
Credential Guard - 資格情報を再入力します。
デバイスの正常性の認証(Device Health Attestation) - -
UEFI セキュア ブート - -
プラットフォームのキー記憶域プロバイダー - アプリケーションごとにキーを再設定します。再設定の方法はアプリケーションの提供元にご確認ください。
仮想スマート カード - 既存の仮想スマート カードを削除し、再登録します。登録方法はスマート カードの提供元にご確認ください。
証明書ストレージ (TPM バインド) - アプリケーションごとに証明書を再登録します。再登録の方法はアプリケーションの提供元にご確認ください。
Shielded VM - -

3. 手順 2 で確認した内容をもとに下記手順を実施します。

3-1. それぞれの機能、アプリケーションごとに確認した “TPM をクリアする前に実施する手順” を行います。
3-2. [ファイル名を指定して実行] で “tpm.msc” を入力し TPM 管理コンソール画面を起動します。
3-3. “TPM をクリア” ボタンをクリックします。

3-4. 画面に従ってコンピューターを再起動します。
3-5. 次回起動時にハードウェア側の画面が表示されますので、画面に従って TPM クリアを実行します。
3-6. それぞれの機能、アプリケーションごとに確認した ”TPM をクリアした後に実施する手順” を行います。

以下、各機能ごとに実施する手順になります。

======================
BitLocker
デバイスの暗号化
======================
▼ Windows 7、Windows Server 2008 R2 までの OS をお使いいただいている場合

[TPM をクリアする前に実施する操作]
1. コマンド プロンプトを管理者として実行します。
2. Manage-bde コマンドを実行し、BitLocker の保護を中断します。

manage-bde -protectors –disable

[TPM をクリアした後に実施する操作]
1. コマンド プロンプトを管理者として実行します。
2. Manage-bde コマンドを実行し、BitLocker の保護を再開します。

manage-bde -protectors –enable

▼ Windows 8、Windows Server 2012 以降の OS をお使いいただいている場合
TPM 管理画面 (TPM.msc) 上でTPM クリアいただくことにより自動で BitLocker の保護が中断され、
次回起動時に BitLocker の保護が再開されるため、TPM をクリアする前後で操作は必要ございません。

======================
Windows Hello
Windows Hello For Business
(Passport: MSA またはローカル アカウント)
======================
[TPM をクリアする前に実施する操作]
実施する操作はございません。

[TPM をクリアした後に実施する操作]
1. Windows にパスワードを使ってログオンします。
2. [スタート]-[設定]-[アカウント]-[サインイン オプション] の順にクリックします。
3. PIN の項目から [削除] をクリックします。
4. 確認が表示されますので [削除] をクリックします。
5. ログオンしているユーザーのパスワードが要求されますのでパスワードを入力し [OK] をクリックします。
6. PIN の項目から [追加] をクリックします。
7. ログオンしているユーザーのパスワードが要求されますのでパスワードを入力し [OK] をクリックします。
8. 新しい PIN を入力し [OK] をクリックし、PIN コードを再設定します。

======================
Windows Hello For Business and Azure Active Directory
(Passport: ドメイン AAD への参加)
======================
[TPM をクリアする前に実施する操作]
1. Windows にパスワードを使ってログオンします。
2. [スタート]-[設定]-[アカウント]-[職場または学校にアクセスする] の順にクリックします。
3. 接続しているAzure Active Directory を選択し、[切断] をクリックし、Azure Active Directory から離脱します。

[TPM をクリアした後に実施する操作]
1. Windows にパスワードを使ってログオンします。
2. [スタート]-[設定]-[アカウント]-[職場または学校にアクセスする] の順にクリックします。
3. 再度、接続する Azure Active Directory を選択し、[接続] をクリックし、Azure Active Directory に再参加します。

======================
Active Directory Certificate Services (AD CS)
(“Microsoft Platform Crypto Provider” を利用して発行した証明書がある場合)
======================
[TPM をクリアする前に実施する操作]
実施する操作はございません。

[TPM をクリアした後に実施する操作]
証明書を再発行します。
* 証明書の発行は環境によりますので、適宜対応します。

======================
Active Directory Domain Services (AD DS)
(証明書を使用したデバイス認証を利用している場合)
* 証明書を使用したデバイス認証は、フォレスト/ドメイン機能レベルが 2016 が必要となります。
======================
[TPM をクリアする前に実施する操作]
1. ローカルの管理者権限を持ったユーザーでログオンします。
2. Windows + R で [ファイル名を指定して実行] を表示し、control sysdm.cpl と入力して [OK] をクリックします。
3. [コンピューター名] タブから [変更] をクリックします。
4. [所属するグループ] で、ワーク グループを選択し WORKGROUP と入力して [OK] をクリックします。
5. [コンピューター名/ドメイン名の変更] というポップアップにて、操作を続行する場合は [OK] をクリックします。
6. ドメインからこのコンピューターを削除するためのアクセス許可があるアカウントの名前とパスワードを入力して [OK] をクリックします。
7. コンピューターを再起動し、ドメインから離脱します。

[TPM をクリアした後に実施する操作]
1. ローカルの管理者権限を持ったユーザーでログオンします。
2. Windows + R で [ファイル名を指定して実行] を表示し、control sysdm.cpl と入力して [OK] をクリックします。
3. [コンピューター名] タブから [変更] をクリックします。
4. [所属するグループ] で、ドメイン名を指定して [OK] をクリックします。
5. ドメインに参加するためのアクセス許可のあるアカウントの名前とパスワードを入力して [OK] をクリックします。
6. コンピューターを再起動し、ドメインに再参加します。

======================
Credential Guard
======================
[TPM をクリアする前に実施する操作]
実施する操作はございません。

[TPM をクリアした後に実施する操作]
アプリケーション、アクセス先毎に再度資格情報を求められた際に資格情報を入力し、資格情報を再設定します。