ChromeOS Flex で TPM を使用する

トラステッドプラットフォームモジュール（TPM）は、暗号化関連のデータをより安全に保存および処理するために、ほとんどの企業用パソコンに組み込まれている標準のハードウェアコンポーネントです。

TPM は、一部の ChromeOS Flex 認定デバイスでのみ利用できます。

ChromeOS Flex は、TPM 1.2 と TPM 2.0 の特定のチップセットのみをサポートしています。Google は、デバイス上の TPM チップセットのサポートを継続的に拡大していきます。

TPM が必要となるケース

ハードウェアベースの証明書を使用する場合、サポート対象の TPM チップセットが搭載されたデバイスに ChromeOS Flex をインストールする必要があります。ハードウェアベースの証明書は、ユニークユーザーまたはデバイスのペア設定にバインドされています。これによって、証明書が未承認デバイスに移動されたり、権限のないユーザーに乗っ取られたりすることを防止します。

ハードウェアベースの証明書は、次のことに使用できます。

EAP-TLS およびその他の WPA2 エンタープライズワイヤレス認証
マネージドまたは保護された VPN 構成
Chrome の設定の [証明書の管理] で [インポートしてバインド] を使用する場合

ChromeOS Flex の一部の機能（ユーザー、デバイス、一部のシステムデータの暗号化など）では、サポート対象の有効な TPM チップセットが搭載されたデバイスで、必要に応じて TPM が使用されます。サポート対象の TPM ハードウェアが搭載されていないデバイスでも機能は想定どおりに動作しますが、ハードウェアではなくソフトウェアによって処理されます。ChromeOS Flex で TPM がどのように使用されるかについては、Chromium の設計ドキュメントをご覧ください。

TPM の管理

ChromeOS Flex をデバイスにインストールする前に、BIOS または UEFI の設定メニューで、TPM がクリアされ有効な状態で表示されていることを必要に応じて確認します。

TPM をクリアして有効にする

デバイスを BIOS または UEFI で起動して設定メニューを開きます。使用するキーが不明な場合は、下記の起動キーをご覧ください。
TPM の設定を見つけます。[Security]、[Device Configuration]、[Advanced Settings] などにあります。
注: オプション名は OEM によって異なります。たとえば、HP デバイスの場合は [Embedded security device] と表示されます。
1. TPM の設定が見つからない場合は、管理者パスワードを設定します。
2. 保存して終了し、もう一度試します。
TPM をクリアして、所有者情報と以前の利用に関するデータを消去します。
1. TPM をクリアまたはリセットするオプションをクリックします。オプションが表示されているのに利用できない場合、TPM はすでにクリアされています。手順 4 に進みます。
  注: オプション名は OEM によって異なります。たとえば、HP デバイスの場合は [Reset to factory defaults] をクリックします。
2. 変更を保存します。
3. BIOS または UEFI の設定を終了します。
4. デバイスを BIOS または UEFI で再起動し、設定メニューを開きます。
5. 画面上の指示に沿って、TPM のクリアを確定します。
TPM を有効にします。
1. BIOS または UEFI の設定メニューで、TPM の設定を見つけます（上記の手順 2 を参照）。
2. TPM の設定が [Visible]、[Active]、[Enabled] のいずれかになっていることを確認します。
TPM のステータスに影響する可能性のある設定が正しいことを確認します。
変更を保存します。
BIOS または UEFI の設定を終了します。

TPM がクリアされ、[TPM status] が [Active] になったので、ChromeOS Flex をデバイスにインストールできます。ChromeOS Flex のインストールに関する注意事項や、その他の BIOS の設定については、認定モデルの一覧を確認してください。

TPM の情報の確認 - 管理コンソール

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールのホームページから、メニューアイコン [デバイス] [Chrome] [デバイス] に移動します。
すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
TPM の情報を表示するデバイスを見つけてクリックします。
ChromeOS Flex がデバイスの TPM をサポートしており、所有者となっているかどうかを確認します。[TPM が所有] と [TPM の許可リスト登録済み] が [True] に設定されている場合、ChromeOS Flex が TPM を使用しています。

TPM のステータスと状態の確認 - BIOS または UEFI

TPM のステータス

TPM のステータスでは、TPM が有効になっていて、ChromeOS Flex デバイス上の他のソフトウェアやハードウェアコンポーネントで利用可能かどうかを確認できます。デフォルトの TPM ステータスは、OEM とデプロイ状況によって異なります。通常、TPM のステータスは BIOS または UEFI のメニューで設定され、一般的に次の 3 つのいずれかになります。

ステータス	説明
Active	オン、利用可能 TPM は有効で、ソフトウェアおよびハードウェアコンポーネントによってデバイス上で利用可能です。
Enabled	TPM は有効ですが、ソフトウェアおよびハードウェアコンポーネントによってデバイス上で利用可能な状態ではありません。 [Enabled] ステータスは、一部の ChromeOS Flex デバイスでのみ表示されます。
Inactive	オフ、非表示、無効 TPM は無効で、デバイス上のソフトウェアおよびハードウェアコンポーネントに対して非表示となっています。 [Inactive] ステータスの場合、TPM がないデバイスと同じ状態です。

ステータス

説明

Active

オン、利用可能

TPM は有効で、ソフトウェアおよびハードウェアコンポーネントによってデバイス上で利用可能です。

Enabled

TPM は有効ですが、ソフトウェアおよびハードウェアコンポーネントによってデバイス上で利用可能な状態ではありません。

[Enabled] ステータスは、一部の ChromeOS Flex デバイスでのみ表示されます。

Inactive

オフ、非表示、無効

TPM は無効で、デバイス上のソフトウェアおよびハードウェアコンポーネントに対して非表示となっています。

[Inactive] ステータスの場合、TPM がないデバイスと同じ状態です。

TPM の状態

TPM の状態では、TPM チップセットと既存デバイスまたはユーザーとの、暗号化機能に関する現在の関係を確認できます。サポートされている TPM チップセットが利用可能な場合、ChromeOS Flex デバイスは初期セットアップ時に所有権を取得します。利用可能な TPM がない場合は、ソフトウェアによる代替方法が利用されます。

状態	説明
Owned	初期設定時に所有者による管理が確立されています。この TPM は、暗号化に関する情報のストレージや認証デバイスとして想定どおりに利用できます。 TPM の所有者は、特定のユーザーやデバイスではなく、初期セットアップ時に TPM と OS との関係を開始するために使用される使い捨ての仮 ID です。所有者を変更するには、BIOS または UEFI の設定を使用して TPM をクリアする必要があります。
Unowned	TPM が一度も使用されておらず、クリアも行われていません。暗号化に関する情報は保存されていません。

状態

説明

Owned

初期設定時に所有者による管理が確立されています。この TPM は、暗号化に関する情報のストレージや認証デバイスとして想定どおりに利用できます。

TPM の所有者は、特定のユーザーやデバイスではなく、初期セットアップ時に TPM と OS との関係を開始するために使用される使い捨ての仮 ID です。

所有者を変更するには、BIOS または UEFI の設定を使用して TPM をクリアする必要があります。

Unowned

TPM が一度も使用されておらず、クリアも行われていません。暗号化に関する情報は保存されていません。

TPM を無効にする

ChromeOS Flex デバイスで TPM チップを使用しない場合は、TPM を無効にする必要があります。

デバイスを BIOS または UEFI で起動して設定メニューを開きます。使用するキーが不明な場合は、下記の起動キーをご覧ください。
TPM の設定を見つけます。[Security]、[Device Configuration]、[Advanced Settings] などにあります。
注: オプション名は OEM によって異なります。たとえば、HP デバイスの場合は [Embedded security device] と表示されます。
TPM を無効にします。
変更を保存します。
BIOS または UEFI の設定を終了します。

起動キー

メーカー	起動キー
Acer	F2
Apple	option（⌘ キーの横）を長押し
Asus	Del
Dell	F12
Gateway	F1
HP	F9
Intel	F2
Lenovo	F12
Microsoft Surface	USB からの起動 - 音量小ボタンを長押しします起動して UEFI メニューを開く - 音量大ボタンを長押しします
東芝	F2 または F12
その他	Esc、F1～F12、Enter のいずれかを押してみてください

モデルによっては、起動キーが異なる場合があります。
認定モデルのリストには、すべての認定モデルの起動キーが表示されています。詳しくは、認定モデルリストをご覧ください。
モデルによっては、起動時に起動キー情報が画面に表示されます。たとえば、一部の Lenovo モデルでは [To interrupt normal startup, press Enter] と表示されます。
特定のモデルの起動キーが見つからない場合は、そのメーカーまたはサードパーティのドキュメントをオンラインで検索してみてください。その際は、検索キーワードにデバイスの名前およびモデル番号と、「起動キー」または「BIOS キー」を含めてください。

既知の TPM エラー

エラー	解決策
installation-time 属性の初期化がタイムアウトしました。サポート担当者にお問い合わせください。	認定モデルの一覧で TPM の手順を確認します。手順が説明されていない場合、デバイスで TPM、Trusted Computing Group（TCG）、組み込みのセキュリティに関する設定を見つけます。 TPM をクリアします。 TPM を無効にします。デバイスに ChromeOS Flex を再インストールします。デバイスを再登録します。
登録画面が [お待ちください] で止まってしまう	TPM をクリアします。 TPM のステータスを [Active] のままにします。 TPM、TCG、組み込みのセキュリティの設定をオフにします。
ログイン時に [お待ちください] の読み込み画面で止まってしまう	TPM を無効にします。