TPM のプラットフォーム検証プロファイルを構成する
このポリシー設定を使用すると、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアで、BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。コンピューターに互換性のある TPM が装備されていない場合、または、BitLocker の TPM 保護が既に有効になっている場合、このポリシー設定は適用されません。
BitLocker を有効にする前にこのポリシー設定を有効にすると、BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスのロックを解除する前に TPM が検証するブート コンポーネントを構成できます。BitLocker の保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM は、ドライブのロックを解除するための暗号化キーを解放せず、コンピューターは、BitLocker 回復コンソールを表示し、ドライブのロックを解除するための回復パスワードか回復キーを指定するように要求します。
このポリシー設定を無効にするか、構成しない場合、TPM では、既定のプラットフォーム検証プロファイルか、セットアップ スクリプトで指定されたプラットフォーム検証プロファイルを使用します。プラットフォーム検証プロファイルは、0 ~ 23 の範囲のプラットフォーム構成レジスター (PCR) のインデックス セットで構成されます。既定のプラットフォーム検証プロファイルは、コアの信頼性測定のルート (CRTM)、BIOS、およびプラットフォーム拡張 (PCR 0)、オプション ROM コード (PCR 2)、マスター ブート レコード (MBR) コード (PCR 4)、NTFS ブート セクター (PCR 8)、NTFS ブート ブロック (PCR 9)、ブート マネージャー (PCR 10)、および BitLocker アクセス コントロール (PCR 11) に対する変更から暗号化キーを保護します。拡張ファームウェア インターフェイス (EFI) を使用するコンピューターの PCR 設定の記述は、標準 BIOS を使用するコンピューター用に記述された PCR 設定とは異なります。
警告: 既定のプラットフォーム検証プロファイルを変更すると、コンピューターのセキュリティと管理性に影響します。プラットフォームの (悪意があるまたは認可された) 変更に対する BitLocker の感度は、PCR が含まれているか含まれていないかに応じて、それぞれ高くなったり低くなったりします。
サポートされるバージョン: MicrosoftWindows7
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
プラットフォーム検証プロファイルは、一連のプラットフォーム構成レジスター (PCR) インデックスで構成されます。各 PCR インデックスは、Windows が起動したときに実行されるコンポーネントと関連付けられています。
以下で、プロファイルに含める PCR インデックスのチェック ボックスをオンにします。
この設定の変更は、慎重に行ってください。
PCR の既定値 0、2、4、8、9、10、11 を推奨します。
BitLocker による保護が有効になるようにするには、PCR 11 を含める必要があります。
TPM の既定のプラットフォーム検証プロファイルを変更することの長所とリスクについては、オンライン ドキュメントを参照してください。
PCR 0: 信頼性計測のコア ルート (CRTM)、BIOS、プラットフォーム拡張| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 0 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 1: プラットフォームとマザーボードの構成およびデータ| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 1 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 2: オプション ROM コード| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 2 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 3: オプション ROM 構成とデータ| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 3 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 4: マスター ブート レコード (MBR) コード| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 4 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 5: マスター ブート レコード (MBR) パーティション テーブル| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 5 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 6: 状態の遷移とウェイク イベント| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 6 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 7: コンピューターの製造元特有| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 7 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 8: NTFS ブート セクター| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 8 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 9: NTFS ブート ブロック| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 9 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 10: ブート マネージャー| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 10 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 11: BitLocker アクセス制御| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 11 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 12: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 12 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 13: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 13 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 14: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 14 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 15: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 15 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 16: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 16 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 17: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 17 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 18: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 18 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 19: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 19 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 20: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 20 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 21: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 21 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 22: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 22 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 23: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\PlatformValidation |
| Value Name | 23 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
bitlockermanagement.admx
- Windows コンポーネント
- MDOP MBAM (BitLocker Management)
- オペレーティング システム ドライブ
- BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する
- BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する
- BitLocker 回復後にプラットフォーム検証データをリセットする
- TPM のプラットフォーム検証プロファイルを構成する
- オペレーティング システム ドライブのパスワードの使用を構成する
- オペレーティング システム ドライブの暗号化設定
- スタートアップ用拡張 PIN の使用を許可する
- ネイティブ UEFI ファームウェア構成の TPM のプラットフォーム検証プロファイルを構成する
- プリブート回復メッセージと URL を構成する
- 拡張ブート構成データ検証プロファイルを使用する
- 暗号化ポリシーの実施設定
- クライアントの管理
- リムーバブル ドライブ
- 固定ドライブ
- スマート カード証明書の使用規則の準拠を検証する
- ドライブの暗号化方法と暗号強度を選択してください (Windows 10 [Version 1511] 以降)
- ドライブの暗号化方法と暗号強度を選択する
- 再起動時にメモリを上書きしない
- 組織固有の識別子を使用する
- オペレーティング システム ドライブ
- Microsoft User Experience Virtualization
- Windows アプリ
- アプリケーション
- Access 2013 のバックアップのみ
- Excel 2013 のバックアップのみ
- InfoPath 2013 のバックアップのみ
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer の共通設定
- Lync 2013 のバックアップのみ
- Microsoft Access 2010
- Microsoft Access 2013
- Microsoft Excel 2010
- Microsoft Excel 2013
- Microsoft InfoPath 2010
- Microsoft InfoPath 2013
- Microsoft Lync 2010
- Microsoft Lync 2013
- Microsoft Office 365 Access 2013
- Microsoft Office 365 Excel 2013
- Microsoft Office 365 InfoPath 2013
- Microsoft Office 365 Lync 2013
- Microsoft Office 365 OneNote 2013
- Microsoft Office 365 Outlook 2013
- Microsoft Office 365 PowerPoint 2013
- Microsoft Office 365 Project 2013
- Microsoft Office 365 Publisher 2013
- Microsoft Office 365 Visio 2013
- Microsoft Office 365 Word 2013
- Microsoft Office 365 共通 2013
- Microsoft Office 2010 の共通設定
- Microsoft Office 2013 の共通設定
- Microsoft Office 2013 アップロード センター
- Microsoft OneDrive for Business 2013
- Microsoft OneNote 2010
- Microsoft OneNote 2013
- Microsoft Outlook 2010
- Microsoft Outlook 2013
- Microsoft PowerPoint 2010
- Microsoft PowerPoint 2013
- Microsoft Project 2010
- Microsoft Project 2013
- Microsoft Publisher 2010
- Microsoft Publisher 2013
- Microsoft Visio 2010
- Microsoft Visio 2013
- Microsoft Word 2010
- Microsoft Word 2013
- OneNote 2013 のバックアップのみ
- Outlook 2013 のバックアップのみ
- PowerPoint 2013 のバックアップのみ
- Project 2013 のバックアップのみ
- Publisher 2013 のバックアップのみ
- Visio 2013 のバックアップのみ
- Word 2013 のバックアップのみ
- メモ帳
- ワードパッド
- 共通 2013 のバックアップのみ
- 電卓
- User Experience Virtualization (UE-V) を使用する
- VDI の構成
- Windows アプリを同期しない
- Windows 設定の同期
- [IT に問い合わせる] の URL
- [IT に問い合わせる] のリンク テキスト
- トレイ アイコン
- ローミング時でも従量課金接続で設定を同期する
- 一覧にない Windows アプリの同期
- 初回使用の通知
- 同期のタイムアウト
- 同期前に設定の保存場所に Ping を送信
- 同期方法の構成
- 従量課金接続で設定を同期する
- 設定の保存パス
- 設定テンプレート カタログのパス
- 設定パッケージ サイズの警告しきい値
- MDOP MBAM (BitLocker Management)
- システム
- App-V
- CEIP
- クライアントの共存
- スクリプト
- ストリーミング
- レポート
- 仮想化
- 公開
- 統合
- App-V
- Windows コンポーネント
- MDOP MBAM (BitLocker Management)
- Microsoft User Experience Virtualization
- Windows アプリ
- アプリケーション
- Access 2013 のバックアップのみ
- Excel 2013 のバックアップのみ
- InfoPath 2013 のバックアップのみ
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer の共通設定
- Lync 2013 のバックアップのみ
- Microsoft Access 2010
- Microsoft Access 2013
- Microsoft Excel 2010
- Microsoft Excel 2013
- Microsoft InfoPath 2010
- Microsoft InfoPath 2013
- Microsoft Lync 2010
- Microsoft Lync 2013
- Microsoft Office 365 Access 2013
- Microsoft Office 365 Excel 2013
- Microsoft Office 365 InfoPath 2013
- Microsoft Office 365 Lync 2013
- Microsoft Office 365 OneNote 2013
- Microsoft Office 365 Outlook 2013
- Microsoft Office 365 PowerPoint 2013
- Microsoft Office 365 Project 2013
- Microsoft Office 365 Publisher 2013
- Microsoft Office 365 Visio 2013
- Microsoft Office 365 Word 2013
- Microsoft Office 365 共通 2013
- Microsoft Office 2010 の共通設定
- Microsoft Office 2013 の共通設定
- Microsoft Office 2013 アップロード センター
- Microsoft OneDrive for Business 2013
- Microsoft OneNote 2010
- Microsoft OneNote 2013
- Microsoft Outlook 2010
- Microsoft Outlook 2013
- Microsoft PowerPoint 2010
- Microsoft PowerPoint 2013
- Microsoft Project 2010
- Microsoft Project 2013
- Microsoft Publisher 2010
- Microsoft Publisher 2013
- Microsoft Visio 2010
- Microsoft Visio 2013
- Microsoft Word 2010
- Microsoft Word 2013
- OneNote 2013 のバックアップのみ
- Outlook 2013 のバックアップのみ
- PowerPoint 2013 のバックアップのみ
- Project 2013 のバックアップのみ
- Publisher 2013 のバックアップのみ
- Visio 2013 のバックアップのみ
- Word 2013 のバックアップのみ
- メモ帳
- ワードパッド
- 共通 2013 のバックアップのみ
- 電卓
- User Experience Virtualization (UE-V) を使用する
- VDI の構成
- Windows アプリを同期しない
- Windows 設定の同期
- ローミング時でも従量課金接続で設定を同期する
- 同期のタイムアウト
- 同期前に設定の保存場所に Ping を送信
- 同期方法の構成
- 従量課金接続で設定を同期する
- 設定の保存パス
- 設定パッケージ サイズの警告しきい値