ネイティブ UEFI ファームウェア構成の TPM のプラットフォーム検証プロファイルを構成する
このポリシー設定を使用すると、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアで、BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。コンピューターに互換性のある TPM が装備されていない場合、または、BitLocker の TPM 保護が既に有効になっている場合、このポリシー設定は適用されません。
重要: このグループ ポリシーは、ネイティブ UEFI ファームウェア構成のコンピューターにのみ適用されます。BIOS 構成、または、Compatibility Service Module (CSM) が有効にされた UEFI ファームウェアのコンピューターは、プラットフォーム構成レジスター (PCR) にさまざまな値を格納します。BIOS 構成のコンピューター、または、CSM が有効にされた UEFI ファームウェアのコンピューターの TPM PCR プロファイルを構成するには、[BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] グループ ポリシー設定を使用します。
nBitLocker を有効にする前にこのポリシー設定を有効にすると、BitLocker の暗号化オペレーティング システム ドライブへのアクセスのロックを解除する前に TPM が検証するブート コンポーネントを構成できます。BitLocker の保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM は、ドライブのロックを解除するための暗号化キーを解放せず、コンピューターは、BitLocker 回復コンソールを表示し、ドライブのロックを解除するための回復パスワードか回復キーを指定するように要求します。
このポリシー設定を無効にするか、構成しない場合、BitLocker では、既定のプラットフォーム検証プロファイルか、セットアップ スクリプトで指定されたプラットフォーム検証プロファイルを使用します。プラットフォーム検証プロファイルは、0 ~ 23 の範囲のプラットフォーム構成レジスター (PCR) のインデックス セットで構成されます。既定のプラットフォーム検証プロファイルは、コア システム ファームウェア実行コード (PCR 0)、拡張またはプラグ可能実行コード (PCR 2)、ブート マネージャー (PCR 4)、BitLocker アクセス コントロール (PCR 11) に対する変更から暗号化キーを保護します。
警告: 既定のプラットフォーム検証プロファイルを変更すると、コンピューターのセキュリティと管理性に影響します。プラットフォームの (悪意があるまたは認可された) 変更に対する BitLocker の感度は、PCR が含まれているか含まれていないかに応じて、それぞれ高くなったり低くなったりします。特に、PCR 7 を省略してこのポリシーを設定すると、[整合性の確認でセキュア ブートを許可する] グループ ポリシーよりも優先され、BitLocker で、プラットフォームのセキュア ブート、または、ブート構成データ (BCD) の整合性の確認が使用されません。
サポートされるバージョン: Windows 8 以降
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | Enabled |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
プラットフォーム検証プロファイルは、一連のプラットフォーム構成レジスター (PCR) インデックスで構成されます。各 PCR インデックスは、Windows が起動したときに実行されるコンポーネントと関連付けられています。
以下で、プロファイルに含める PCR インデックスのチェック ボックスをオンにします。
この設定の変更は、慎重に行ってください。
PCR の既定値 0、2、4、11 を推奨します。
BitLocker による保護が有効になるようにするには、PCR 11 を含める必要があります。
TPM の既定のプラットフォーム検証プロファイルを変更することの長所とリスクについては、オンライン ドキュメントを参照してください。
PCR 0: コア システム ファームウェア実行コード| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 0 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 1: コア システム ファームウェア データ| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 1 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 2: 拡張またはプラグ可能実行コード| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 2 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 3: 拡張またはプラグ可能ファームウェア データ| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 3 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 4: ブート マネージャー| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 4 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 5: GPT / パーティション テーブル| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 5 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 6: S4 および S5 電源状態イベントからの再開| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 6 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 7: セキュア ブートの状態| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 7 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 8: 拡張なしの 0 への初期化 (今後の使用のために予約済み)| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 8 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 9: 拡張なしの 0 への初期化 (今後の使用のために予約済み)| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 9 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 10: 拡張なしの 0 への初期化 (今後の使用のために予約済み)| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 10 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 11: BitLocker アクセス制御| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 11 |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
PCR 12: データ イベントおよび揮発性の高いイベント| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 12 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 13: ブート モジュールの詳細| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 13 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 14: ブート権限| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 14 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 15: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 15 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 16: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 16 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 17: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 17 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 18: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 18 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 19: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 19 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 20: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 20 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 21: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 21 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 22: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 22 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
PCR 23: 今後の使用のために予約済み| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\OSPlatformValidation_UEFI |
| Value Name | 23 |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
bitlockermanagement.admx
- Windows コンポーネント
- MDOP MBAM (BitLocker Management)
- オペレーティング システム ドライブ
- BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する
- BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する
- BitLocker 回復後にプラットフォーム検証データをリセットする
- TPM のプラットフォーム検証プロファイルを構成する
- オペレーティング システム ドライブのパスワードの使用を構成する
- オペレーティング システム ドライブの暗号化設定
- スタートアップ用拡張 PIN の使用を許可する
- ネイティブ UEFI ファームウェア構成の TPM のプラットフォーム検証プロファイルを構成する
- プリブート回復メッセージと URL を構成する
- 拡張ブート構成データ検証プロファイルを使用する
- 暗号化ポリシーの実施設定
- クライアントの管理
- リムーバブル ドライブ
- 固定ドライブ
- スマート カード証明書の使用規則の準拠を検証する
- ドライブの暗号化方法と暗号強度を選択してください (Windows 10 [Version 1511] 以降)
- ドライブの暗号化方法と暗号強度を選択する
- 再起動時にメモリを上書きしない
- 組織固有の識別子を使用する
- オペレーティング システム ドライブ
- Microsoft User Experience Virtualization
- Windows アプリ
- アプリケーション
- Access 2013 のバックアップのみ
- Excel 2013 のバックアップのみ
- InfoPath 2013 のバックアップのみ
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer の共通設定
- Lync 2013 のバックアップのみ
- Microsoft Access 2010
- Microsoft Access 2013
- Microsoft Excel 2010
- Microsoft Excel 2013
- Microsoft InfoPath 2010
- Microsoft InfoPath 2013
- Microsoft Lync 2010
- Microsoft Lync 2013
- Microsoft Office 365 Access 2013
- Microsoft Office 365 Excel 2013
- Microsoft Office 365 InfoPath 2013
- Microsoft Office 365 Lync 2013
- Microsoft Office 365 OneNote 2013
- Microsoft Office 365 Outlook 2013
- Microsoft Office 365 PowerPoint 2013
- Microsoft Office 365 Project 2013
- Microsoft Office 365 Publisher 2013
- Microsoft Office 365 Visio 2013
- Microsoft Office 365 Word 2013
- Microsoft Office 365 共通 2013
- Microsoft Office 2010 の共通設定
- Microsoft Office 2013 の共通設定
- Microsoft Office 2013 アップロード センター
- Microsoft OneDrive for Business 2013
- Microsoft OneNote 2010
- Microsoft OneNote 2013
- Microsoft Outlook 2010
- Microsoft Outlook 2013
- Microsoft PowerPoint 2010
- Microsoft PowerPoint 2013
- Microsoft Project 2010
- Microsoft Project 2013
- Microsoft Publisher 2010
- Microsoft Publisher 2013
- Microsoft Visio 2010
- Microsoft Visio 2013
- Microsoft Word 2010
- Microsoft Word 2013
- OneNote 2013 のバックアップのみ
- Outlook 2013 のバックアップのみ
- PowerPoint 2013 のバックアップのみ
- Project 2013 のバックアップのみ
- Publisher 2013 のバックアップのみ
- Visio 2013 のバックアップのみ
- Word 2013 のバックアップのみ
- メモ帳
- ワードパッド
- 共通 2013 のバックアップのみ
- 電卓
- User Experience Virtualization (UE-V) を使用する
- VDI の構成
- Windows アプリを同期しない
- Windows 設定の同期
- [IT に問い合わせる] の URL
- [IT に問い合わせる] のリンク テキスト
- トレイ アイコン
- ローミング時でも従量課金接続で設定を同期する
- 一覧にない Windows アプリの同期
- 初回使用の通知
- 同期のタイムアウト
- 同期前に設定の保存場所に Ping を送信
- 同期方法の構成
- 従量課金接続で設定を同期する
- 設定の保存パス
- 設定テンプレート カタログのパス
- 設定パッケージ サイズの警告しきい値
- MDOP MBAM (BitLocker Management)
- システム
- App-V
- CEIP
- クライアントの共存
- スクリプト
- ストリーミング
- レポート
- 仮想化
- 公開
- 統合
- App-V
- Windows コンポーネント
- MDOP MBAM (BitLocker Management)
- Microsoft User Experience Virtualization
- Windows アプリ
- アプリケーション
- Access 2013 のバックアップのみ
- Excel 2013 のバックアップのみ
- InfoPath 2013 のバックアップのみ
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer の共通設定
- Lync 2013 のバックアップのみ
- Microsoft Access 2010
- Microsoft Access 2013
- Microsoft Excel 2010
- Microsoft Excel 2013
- Microsoft InfoPath 2010
- Microsoft InfoPath 2013
- Microsoft Lync 2010
- Microsoft Lync 2013
- Microsoft Office 365 Access 2013
- Microsoft Office 365 Excel 2013
- Microsoft Office 365 InfoPath 2013
- Microsoft Office 365 Lync 2013
- Microsoft Office 365 OneNote 2013
- Microsoft Office 365 Outlook 2013
- Microsoft Office 365 PowerPoint 2013
- Microsoft Office 365 Project 2013
- Microsoft Office 365 Publisher 2013
- Microsoft Office 365 Visio 2013
- Microsoft Office 365 Word 2013
- Microsoft Office 365 共通 2013
- Microsoft Office 2010 の共通設定
- Microsoft Office 2013 の共通設定
- Microsoft Office 2013 アップロード センター
- Microsoft OneDrive for Business 2013
- Microsoft OneNote 2010
- Microsoft OneNote 2013
- Microsoft Outlook 2010
- Microsoft Outlook 2013
- Microsoft PowerPoint 2010
- Microsoft PowerPoint 2013
- Microsoft Project 2010
- Microsoft Project 2013
- Microsoft Publisher 2010
- Microsoft Publisher 2013
- Microsoft Visio 2010
- Microsoft Visio 2013
- Microsoft Word 2010
- Microsoft Word 2013
- OneNote 2013 のバックアップのみ
- Outlook 2013 のバックアップのみ
- PowerPoint 2013 のバックアップのみ
- Project 2013 のバックアップのみ
- Publisher 2013 のバックアップのみ
- Visio 2013 のバックアップのみ
- Word 2013 のバックアップのみ
- メモ帳
- ワードパッド
- 共通 2013 のバックアップのみ
- 電卓
- User Experience Virtualization (UE-V) を使用する
- VDI の構成
- Windows アプリを同期しない
- Windows 設定の同期
- ローミング時でも従量課金接続で設定を同期する
- 同期のタイムアウト
- 同期前に設定の保存場所に Ping を送信
- 同期方法の構成
- 従量課金接続で設定を同期する
- 設定の保存パス
- 設定パッケージ サイズの警告しきい値