このポリシー設定では ローカル コンピューターのレジストリに保存する TPM 所有者認証情報の量を構成します ローカルに保存する TPM 所有者認証情報の量に応じて オペレーティング システムや TPM ベースのアプリケーションで TPM 所有者認証が必要な特定の ...

このポリシー設定では、ローカル コンピューターのレジストリに保存する TPM 所有者認証情報の量を構成します。ローカルに保存する TPM 所有者認証情報の量に応じて、オペレーティング システムや TPM ベースのアプリケーションで TPM 所有者認証が必要な特定の TPM 操作を実行するときに、ユーザーが TPM 所有者パスワードを入力しなくても実行できるかどうかが決まります。

オペレーティング システムに完全な TPM 所有者認証値を保存するか、TPM 管理委任 BLOB と TPM ユーザー委任 BLOB だけを保存するか、またはどちらも保存しないかを選択することができます。

このポリシー設定を有効にした場合、オペレーティング システムで管理する TPM 認証の設定で選択した値に応じて、TPM 所有者認証がローカル コンピューターのレジストリに保存されます。

TPM 管理委任 BLOB と TPM ユーザー委任 BLOB を含む完全な TPM 所有者認証をローカル レジストリに保存するには、オペレーティング システムで管理する TPM 認証の設定で [フル] を選択します。この設定を使用すると、リモートまたは外部の記憶域に TPM 所有者認証値が保存されていなくても TPM を使用することができます。この設定は、TPM ハンマリング対策ロジックのリセットを防止したり TPM 所有者認証値を変更したりする必要がないシナリオに適しています。TPM ベースのアプリケーションには、この設定を変更しないと TPM ハンマリング対策ロジックに依存する機能を使用できないものもあります。

TPM 管理委任 BLOB と TPM ユーザー委任 BLOB だけをローカル レジストリに保存するには、オペレーティング システムで管理する TPM 認証の設定で [委任] を選択します。この設定は、TPM ハンマリング対策ロジックに依存する TPM ベースのアプリケーションを使用する場合に適しています。この設定を使用する場合は、完全な TPM 所有者認証値を外部またはリモートの記憶域に保存する (Active Directory ドメイン サービス (AD DS) にバックアップするなど) ことをお勧めします。

以前のオペレーティング システムやアプリケーションとの互換性を維持したり、ローカルに保存されていない TPM 所有者認証を必要とするシナリオで使用したりするには、オペレーティング システムで管理する TPM 認証の設定で [なし] を選択します。 この設定を使用すると、TPM ベースの一部のアプリケーションで問題が発生することがあります。

このポリシー設定が無効または未構成で、[Active Directory ドメイン サービスへの TPM バックアップを有効にする] ポリシー設定も無効または未構成の場合、既定の設定では、完全な TPM 認証値がローカル レジストリに保存されます。このポリシー設定が無効または未構成で、[Active Directory ドメイン サービスへの TPM バックアップを有効にする] グループ ポリシー設定が有効な場合は、管理委任 BLOB とユーザー委任 BLOB だけがローカル レジストリに保存されます。

注: オペレーティング システムで管理する TPM 認証の設定を [フル] から [委任] に変更すると、完全な TPM 所有者認証値が再生成され、元の TPM 所有者認証値のコピーはすべて無効になります。TPM 所有者認証値を AD DS にバックアップしている場合は、所有者認証値を変更したときに自動的に新しい値が AD DS にバックアップされます。