トラステッド プラットフォーム モジュール(TPM)は、暗号化関連のデータをより安全に保存および処理するために、ほとんどの企業用パソコンに組み込まれている標準のハードウェア コンポーネントです。
TPM は、一部の ChromeOS Flex 認定デバイスでのみ利用できます。
ChromeOS Flex は、TPM 1.2 と TPM 2.0 の特定のチップセットのみをサポートしています。Google は、デバイス上の TPM チップセットのサポートを継続的に拡大していきます。
TPM が必要となるケース
ハードウェア ベースの証明書を使用する場合、サポート対象の TPM チップセットが搭載されたデバイスに ChromeOS Flex をインストールする必要があります。ハードウェア ベースの証明書は、ユニーク ユーザーまたはデバイスのペア設定にバインドされています。これによって、証明書が未承認デバイスに移動されたり、権限のないユーザーに乗っ取られたりすることを防止します。
ハードウェア ベースの証明書は、次のことに使用できます。
- EAP-TLS およびその他の WPA2 エンタープライズ ワイヤレス認証
- マネージドまたは保護された VPN 構成
- Chrome の設定の [証明書の管理] で [インポートしてバインド] を使用する場合
ChromeOS Flex の一部の機能(ユーザー、デバイス、一部のシステムデータの暗号化など)では、サポート対象の有効な TPM チップセットが搭載されたデバイスで、必要に応じて TPM が使用されます。サポート対象の TPM ハードウェアが搭載されていないデバイスでも機能は想定どおりに動作しますが、ハードウェアではなくソフトウェアによって処理されます。ChromeOS Flex で TPM がどのように使用されるかについては、Chromium の設計ドキュメントをご覧ください。
TPM の管理
ChromeOS Flex をデバイスにインストールする前に、BIOS または UEFI の設定メニューで、TPM がクリアされ有効な状態で表示されていることを必要に応じて確認します。
TPM をクリアして有効にする
- デバイスを BIOS または UEFI で起動して設定メニューを開きます。使用するキーが不明な場合は、下記の起動キーをご覧ください。
- TPM の設定を見つけます。[Security]、[Device Configuration]、[Advanced Settings] などにあります。
注: オプション名は OEM によって異なります。たとえば、HP デバイスの場合は [Embedded security device] と表示されます。- TPM の設定が見つからない場合は、管理者パスワードを設定します。
- 保存して終了し、もう一度試します。
- TPM をクリアして、所有者情報と以前の利用に関するデータを消去します。
- TPM をクリアまたはリセットするオプションをクリックします。オプションが表示されているのに利用できない場合、TPM はすでにクリアされています。手順 4 に進みます。
注: オプション名は OEM によって異なります。たとえば、HP デバイスの場合は [Reset to factory defaults] をクリックします。 - 変更を保存します。
- BIOS または UEFI の設定を終了します。
- デバイスを BIOS または UEFI で再起動し、設定メニューを開きます。
- 画面上の指示に沿って、TPM のクリアを確定します。
- TPM をクリアまたはリセットするオプションをクリックします。オプションが表示されているのに利用できない場合、TPM はすでにクリアされています。手順 4 に進みます。
- TPM を有効にします。
- BIOS または UEFI の設定メニューで、TPM の設定を見つけます(上記の手順 2 を参照)。
- TPM の設定が [Visible]、[Active]、[Enabled] のいずれかになっていることを確認します。
- TPM のステータスに影響する可能性のある設定が正しいことを確認します。
- 変更を保存します。
- BIOS または UEFI の設定を終了します。
TPM がクリアされ、[TPM status] が [Active] になったので、ChromeOS Flex をデバイスにインストールできます。ChromeOS Flex のインストールに関する注意事項や、その他の BIOS の設定については、認定モデルの一覧を確認してください。
TPM の情報の確認 - 管理コンソール
-
-
管理コンソールのホームページから、メニュー アイコン [デバイス] [Chrome] [デバイス] に移動します。
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- TPM の情報を表示するデバイスを見つけてクリックします。
- ChromeOS Flex がデバイスの TPM をサポートしており、所有者となっているかどうかを確認します。[TPM が所有] と [TPM の許可リスト登録済み] が [True] に設定されている場合、ChromeOS Flex が TPM を使用しています。
TPM のステータスと状態の確認 - BIOS または UEFI
TPM のステータスTPM のステータスでは、TPM が有効になっていて、ChromeOS Flex デバイス上の他のソフトウェアやハードウェア コンポーネントで利用可能かどうかを確認できます。デフォルトの TPM ステータスは、OEM とデプロイ状況によって異なります。通常、TPM のステータスは BIOS または UEFI のメニューで設定され、一般的に次の 3 つのいずれかになります。
ステータス | 説明 |
---|---|
Active |
オン、利用可能 TPM は有効で、ソフトウェアおよびハードウェア コンポーネントによってデバイス上で利用可能です。 |
Enabled |
TPM は有効ですが、ソフトウェアおよびハードウェア コンポーネントによってデバイス上で利用可能な状態ではありません。 [Enabled] ステータスは、一部の ChromeOS Flex デバイスでのみ表示されます。 |
Inactive |
オフ、非表示、無効 TPM は無効で、デバイス上のソフトウェアおよびハードウェア コンポーネントに対して非表示となっています。 [Inactive] ステータスの場合、TPM がないデバイスと同じ状態です。 |
TPM の状態では、TPM チップセットと既存デバイスまたはユーザーとの、暗号化機能に関する現在の関係を確認できます。サポートされている TPM チップセットが利用可能な場合、ChromeOS Flex デバイスは初期セットアップ時に所有権を取得します。利用可能な TPM がない場合は、ソフトウェアによる代替方法が利用されます。
状態 | 説明 |
---|---|
Owned |
初期設定時に所有者による管理が確立されています。この TPM は、暗号化に関する情報のストレージや認証デバイスとして想定どおりに利用できます。 TPM の所有者は、特定のユーザーやデバイスではなく、初期セットアップ時に TPM と OS との関係を開始するために使用される使い捨ての仮 ID です。 所有者を変更するには、BIOS または UEFI の設定を使用して TPM をクリアする必要があります。 |
Unowned |
TPM が一度も使用されておらず、クリアも行われていません。暗号化に関する情報は保存されていません。 |
TPM を無効にする
ChromeOS Flex デバイスで TPM チップを使用しない場合は、TPM を無効にする必要があります。
- デバイスを BIOS または UEFI で起動して設定メニューを開きます。使用するキーが不明な場合は、下記の起動キーをご覧ください。
- TPM の設定を見つけます。[Security]、[Device Configuration]、[Advanced Settings] などにあります。
注: オプション名は OEM によって異なります。たとえば、HP デバイスの場合は [Embedded security device] と表示されます。 - TPM を無効にします。
- 変更を保存します。
- BIOS または UEFI の設定を終了します。
起動キー
メーカー | 起動キー |
---|---|
Acer | F2 |
Apple | option(⌘ キーの横)を長押し |
Asus | Del |
Dell | F12 |
Gateway | F1 |
HP | F9 |
Intel | F2 |
Lenovo | F12 |
Microsoft Surface | USB からの起動 - 音量小ボタンを長押しします 起動して UEFI メニューを開く - 音量大ボタンを長押しします |
東芝 | F2 または F12 |
その他 | Esc、F1~F12、Enter のいずれかを押してみてください |
- モデルによっては、起動キーが異なる場合があります。
- 認定モデルのリストには、すべての認定モデルの起動キーが表示されています。詳しくは、認定モデルリストをご覧ください。
- モデルによっては、起動時に起動キー情報が画面に表示されます。たとえば、一部の Lenovo モデルでは [To interrupt normal startup, press Enter] と表示されます。
- 特定のモデルの起動キーが見つからない場合は、そのメーカーまたはサードパーティのドキュメントをオンラインで検索してみてください。その際は、検索キーワードにデバイスの名前およびモデル番号と、「起動キー」または「BIOS キー」を含めてください。
既知の TPM エラー
エラー | 解決策 |
---|---|
installation-time 属性の初期化がタイムアウトしました。サポート担当者にお問い合わせください。 |
|
登録画面が [お待ちください] で止まってしまう |
|
ログイン時に [お待ちください] の読み込み画面で止まってしまう |
|
関連トピック
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。