このポリシー設定では、ローカル コンピューターのレジストリに保存する TPM 所有者認証情報の量を構成します。ローカルに保存する TPM 所有者認証情報の量に応じて、オペレーティング システムや TPM ベースのアプリケーションで TPM 所有者認証が必要な特定の TPM 操作を実行するときに、ユーザーが TPM 所有者パスワードを入力しなくても実行できるかどうかが決まります。
オペレーティング システムに完全な TPM 所有者認証値を保存するか、TPM 管理委任 BLOB と TPM ユーザー委任 BLOB だけを保存するか、またはどちらも保存しないかを選択することができます。
このポリシー設定を有効にした場合、オペレーティング システムで管理する TPM 認証の設定で選択した値に応じて、TPM 所有者認証がローカル コンピューターのレジストリに保存されます。
TPM 管理委任 BLOB と TPM ユーザー委任 BLOB を含む完全な TPM 所有者認証をローカル レジストリに保存するには、オペレーティング システムで管理する TPM 認証の設定で [フル] を選択します。この設定を使用すると、リモートまたは外部の記憶域に TPM 所有者認証値が保存されていなくても TPM を使用することができます。この設定は、TPM ハンマリング対策ロジックのリセットを防止したり TPM 所有者認証値を変更したりする必要がないシナリオに適しています。TPM ベースのアプリケーションには、この設定を変更しないと TPM ハンマリング対策ロジックに依存する機能を使用できないものもあります。
TPM 管理委任 BLOB と TPM ユーザー委任 BLOB だけをローカル レジストリに保存するには、オペレーティング システムで管理する TPM 認証の設定で [委任] を選択します。この設定は、TPM ハンマリング対策ロジックに依存する TPM ベースのアプリケーションを使用する場合に適しています。
以前のオペレーティング システムやアプリケーションとの互換性を維持したり、ローカルに保存されていない TPM 所有者認証を必要とするシナリオで使用したりするには、オペレーティング システムで管理する TPM 認証の設定で [なし] を選択します。この設定を使用すると、TPM ベースの一部のアプリケーションで問題が発生することがあります。
注: オペレーティング システムで管理する TPM 認証の設定を [フル] から [委任] に変更すると、完全な TPM 所有者認証値が再生成され、元の TPM 所有者認証値のコピーはすべて無効になります。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\TPM |
Value Name | OSManagedAuthLevel |
Value Type | REG_DWORD |
Value | 4 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\TPM |
Value Name | OSManagedAuthLevel |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\TPM |
Value Name | OSManagedAuthLevel |
Value Type | REG_DWORD |
Value | 0 |