TPM
のロックアウトのリセットを行うには、TPM のプロビジョニング時に
TPM 所有者パスワードを管理者やユーザーが取得・保存しておく必要が有りますが、Windows 10 1607
以降は既定で TPM
所有者パスワードの取得・保存が出来なくなりました。(Windows 10 1607
以降、TPM 所有者パスワードはランダムで設定された後に破棄されます)
この仕様変更は、TPM
所有者パスワードを用いるとリモートで TPM が操作される恐れがる等の、セキュリティ的な理由からです。
Manage TPM lockout
https://docs.microsoft.com/ja-jp/windows/security/hardware-protection/tpm/manage-tpm-lockout
Change the TPM owner password
https://docs.microsoft.com/ja-jp/windows/security/hardware-protection/tpm/change-the-tpm-owner-password
なお、リンクしたサイトで解説されているグループポリシーやレジストリを設定しておく事で、プロビジョニング時に
TPM 所有者パスワードをユーザーや管理者が取得・保存する事が可能になりますが、上述の通りセキュリティ的な理由からお奨めしません。
では実際に
TPM がロックアウトした場合の対応ですが、TPM 2.0
からはロックアウトの閾値は 32 回となっており、PC
が電源 ON の状態かスリープの状態であれば 2
時間に 1 カウント減る仕様になりました。
TPM 1.2
の場合はロックアウトの閾値やカウントの減少はチップメーカーの仕様に依存しており、中にはカウントが減少しないものも有った為、管理者が手動で TPM
のロックアウトのリセットをする必要が有りましたが、TPM 2.0
の場合は上記の仕様となりましたので、管理者等が手動で TPM
のロックアウトのリセットをする必要性は殆ど無くなりました。
例えば、Bitlocker
を有効にしている環境で TPM のロックアウトが発生した場合は、一旦回復パスワードでログオンし、電源 ON
状態かスリープ状態で 2 時間経過すれば、TPM
のロックアウトが解除されます。(ロックアウトのカウントが 0
になるには 2 時間×ロックカウント数だけ待つ必要が有ります)
