Bar

Windows 10をインストールする前にTPMのモードを確認しよう

Windows 10をクリーン インストールする前に気を付ける事はほぼなかったんですが、最近になってTrusted Platform Module(TPM)のモードを確認してからインストールした方がよいことに気がつきました。
今回はWindows 10とTPMについてメモ。

Trusted Platform Module(TPM)とは

TPMとは何?何ができるの?はNECさんのWebページがわかりやすいです。
セキュリティチップ(TPM)について : セキュリティ/マネジメント | ビジネスPC | NEC

Windows 10の一部SKUやWindows Server 2016のHyper-Vでは仮想TPMが搭載されています。

TPM 1.2とTPM 2.0の違い

TPMのモードには1.2と2.0があり、数値からわかる通り2.0の方が新しく、より強化されています。
Monthly Research 「TPM 2.0 の概要と IoT デバイスでの利用例」 │セキュリティ・リサーチのFFRI(エフエフアールアイ)

HP UL labさんのPDFもわかりやすいかな。
from TPM1.2 to TPM2.0 - HP UK lab(PDF)

現在のTPM モードを確認する方法と変更する方法

TPMのモードを確認する方法はいくつかあります。
確認のみ:デバイス マネージャー
デバイス マネージャーの[セキュリティ デバイス]にバージョンが書かれている場合があります。
モードが2.0の場合、スクリーンショットのように2.0の文字が表示されます。

確認と変更:UEFI 設定画面
ThinkPad T440sの場合、UEFI画面のSecurity Chip Selection 項目からTPMのモードを選択できます。
  • Discrete TPM(TPM 1.2)
  • Intel PTT(TPM 2.0)
デフォルト値はDiscrete TPM、購入したThinkPad T440sはWindows 7のダウンロード権が付いたPCなので納得の設定ですね。

TPMのモードをTPM 1.2からTPM 2.0へ変更した場合は、同項目をIntel PTTに変更します。



なお、一部機種によっては「TCG Security Feature」の名前になっている場合があり、Disabled、Activate、Inactivateの3種類から選択できます。

TPM 2.0に変更した理由

TPM 2.0へ変更した理由はいくつかあります。
Windows 10 固有の機能がTPM 2.0のみサポートしている
まずはTechnet Libraryの記事「TPM recommendations (Windows 10)」を見てみましょう。
TPM recommendations (Windows 10)
BitLockerなど旧来の機能はOSやTPMのモードに関係なく利用でますが、Windows 10固有の機能「Credential Guard」や「Device Encryption」などはWindows 10 + TPM 2.0の組み合わせのみ利用できます。

2016/4/6現在、Windows 10 + TPM 2.0でのみ利用できる機能は以下の通りです。

  • Passport: MSA or Local Account
  • Device Encryption
  • Device Health Attestation

これら機能をいざ使おう!と思った時に使えないトラブルの原因の一つにTPMのモードがありそうです。
Windows 10を展開した後に一部機能が使えない原因がTPMのモードだったら・・・恐ろしいですね。
2016/7/28以降のPCはTPM 2.0のみ搭載される=TPM 2.0が主流
同記事「TPM recommendations (Windows 10)」の一文に

TPM 2.0 Compliance for Windows 10 in the future

All shipping devices for Windows 10 across all SKU types must be using TPM 2.0 discrete or firmware from July 28, 2016. This requirement will be enforced through our Windows Hardware Certification program.
と書かれています。
2016/7/28以降に出荷されるWindows 10 PCはTPM 2.0が必要なんだそうです。
また、この要件はWindows ハードウェア認証プログラムを取得するためには強制必須な模様。
後からTPM 2.0へ変更する事=面倒
最大の理由は後からTPMのモードを変更するのは面倒だからです。

TPM 1.2の設定でWindows 10をインストールし、その後UEFI画面からTPM 2.0へ変更したところOSが起動しない問題に直面しました。
結局TPM 2.0に変更した後にもう一度Windows 10をインストールしました。作業コストかけすぎです。

もっと簡単にTPM 1.2からTPM 2.0へ変更できないか調べてみたところ、DELLさんのサポート ページで説明されていました。こちらを見ても後から変更は面倒です・・・
How To Change TPM Modes 1.2 2.0

やってみないと分からない事でしたが、今後Windows 10を使っていくならOSをインストール前にUEFI画面からTPM 2.0かをチェックする事を癖付けたい今日この頃です。