情報科学屋さんを目指す人のメモ

方法・手順・解説を書き残すブログ。私と同じことを繰り返さずに済むように。

【Windows 11】TPM2.0を有効にするBIOS設定の変更手順メモ(自作PCでWindows 11のシステム要件を満たすために行った設定変更)

Windows (493) Windows 10 (260) Windows 11 (55)

Windows 11 の詳細が発表され、そのシステム要件に「TPM2.0」が含まれていることが分かりました。Windows 11のシステム要件を満たすかどうか判定するツールを自作PCで実行してみると結果は「このPCではWindows 11を実行できません」と非対応であり、TPM2.0が利用できない状態であることも分かりました(確認方法)。

そこで今回、BIOS(UEFI BIOS)の設定を変更し、TPM2.0を利用できる状態に設定変更できた際の手順を紹介します。

利用しているハードウェア(自作PCの場合はマザーボード)に設定の場所や項目は依存してしまうため、直接参考できるケースは限られるかもしれないのですが、「TPMの設定ってどんな感じ?どこにあるの?」であったり、より具体的な「Intel PTTってどこで有効にするの?」などと困ってしまった際の、参考にしてみてください。

※今回の利用PCは、OS:Windows 10 Pro + マザーボード:ASUS ROG STRIX Z390-F GAMING(UEFI BIOS Utility Version 2.20.1271)+ CPU:Intel Core i9-9900K(Coffee Lake-S)です。

※各社のマザーボード/CPUの場合の説明を追記※:今回メインで紹介している「ASUS + Intel CPU」の組み合わせ以外のマザーボード・CPUについても、手順説明を追加しました。追加したのは、「ASUS + AMD(Ryzen) CPU」、「Gigabyte + Intel/AMD CPU」、「ASRock + Intel/AMD CPU」、「MSI + Intel/AMD CPU」です。

※注意※なお、BIOSの設定はPC全体に大きな影響を与える変更を発生させ、場合によってはPCが起動できなくなったりしてしまうこともある設定変更であるため、変更内容をよく理解・確認した上での実行を検討してみてください。特に現時点でTPMが関連する機能(BitLocker)などを利用している/利用を検討している場合はより注意してみてください(よく分からない状態で触るのは危険です)。

※用語を間違えやすいのですが、「TMP」ではなく「TPM」、「Intel TPP」ではなく「Intel PTT」なので、調べる際などは注意してみてください。

Windows 11へのアップデート不可の表示(「このPCではWindows 11を実行できません」)

Windows 11 にアップデートできるかどうかを確認したところ、「このPCではWindows 11を実行できません」と、非対応の表示が出てしまいました。

TPMが利用できない

システム要件を確認すると「TPM2.0」が必要とのことで、TPMの状態を確認してみたのですが、バージョンが古いといったことでもなく、「互換性のあるTPMがみつかりません」TPMが利用できない状態であることが分かりました。

マザーボードのマニュアルを確認してみる

利用している自作PCのマザーボード「ASUS ROG STRIX Z390-F GAMING」のマニュアルを確認してみたところ、マザーボード上に、「TPMコネクター(14-1 ピン TPM)」が搭載されているものの、注意書きとして「TPMは別途お買い求めください」と記載されていることが分かりました(p.1-18)。

14-1 ピンのTPMとは例えば次のような製品のようですが、購入・接続しておらず、確かにこういった専用のTPMは利用できない状態のようだ、ということが分かりました。

Intel PTTを有効にしてみる

しかしTPMの機能を利用する方法として、そういったTPMを利用する以外に、「Intel PTT(Intel Platform Trust Technology)」を利用する方法があり、こちらを有効にして、Windows 11の互換性判定などが変わるかを確認してみることにしました。

TPMに関する設定を開く

TPMに関する設定は、UEFI BIOS(UEFI BIOS Utility)から設定変更することができました。

まず、Windows PCを再起動し、起動直後の画面のロゴが表示されている画面で「F2」キーを何度か押してUEFI BIOSの設定画面に入りました。

そして、ここからどこに設定があるのかの場所を見つけるのに少し手こずってしまったのですが、UEFI BIOS UtilityがAdvance Mode(詳細な表示)になっている状態で、「Advanced」タブの中にある「PCH-FW Configuration」という項目を開いた中の「TPM Device Selection」という設定項目が、TPMに関する設定項目でした。

TPM Device Selection [Discrete TPM]

Selects TPM device: Firmware TPM or Discrete TPM. Firmware TPM - Enables PTT in SkuMgr. Discrete TPM - Disables PTT in SkuMgr. Warning! PTT/Discrete TPM will be disabled and all data saved on it will be lost.

ここでは、デフォルトで「Discrete TPM」となっており、こちらを「Firmware TPM」と切り替えることが可能で、今回「Firmware TPM」へと切り替えました。

「Discrete TPM」が専用の独立したTPMモジュールを利用する方法で、「Firmware TPM」が、Intel PTTを利用する方法、に対応しています。

すると次の注意が表示されたので、内容を確認しつつ「OK」をクリックし、「Exit」からこの設定変更を保存し再起動しました。

Notice

Intel PTT is a hardware TPM 2.0 implementation integrated in Intel ME/CSME/TXE for credential storage and key management. The firmware TPM key will be stored in Intel ME data region once you enable Intel PTT and Windows BitLocker for drive encryption. Please note that when the recovery key is lost or when the BIOS ROM chip is replaced, the system will not boot into the operating system and the data will stay encrypted and cannot be restored.

[OK]

※なお、この部分は日本語での表示にも対応していました(ただし、漢字が所々怪しい感じでした):

Notice

Intel Platform Trust Technology (PTT) は Intel ME / CSME / TXE に統合された TPM 2.0 インプリメンテーションで、證明書の保管と鍵の管理を行います。ドライブ暗號化のために Intel PTT および Windows の BitLocker を有効にした場合、ファームウェア TPM キーはIntel MEのデータ領域に格納されます。なお、回復キーを紛失した場合、または BIOS ROM チップが交換された場合は OS が起動できなくなり、暗號化されたドライブのデータも使用できなくなります。ご注意ください。

[OK]

※Intel ME: Intel Management ENgine。Intel CSME: Intel Converged Security and Management Engine。Intel TXE: Intel Trusted Execution Engine。

付録:その他のマザーボードメーカーやAMD CPUについての調査メモ

ASUS以外のマザーボードメーカーや、AMDの場合の設定変更方法(AMDの場合は、fTPMがキーワードです←→IntelはPTTがキーワードでした)をまとめておきます。ただし、同じメーカーでもどうやら製品によって異なる場合もあるようなので、利用中のマザーボードのマニュアルもよく確認してみてください(探す際の検索キーワードのヒントにはなるかな、と思います)。

Asusのマザーボード(Intel)の場合は前述の通りで、AMDの場合は「Advanced」タブの「AMD fTPM configuration」から設定します。

ASRockのマザーボード(Intel)のUEFI BIOSの場合は、「Security」タブで「Intel(R) Platform Trust Technology」を「Disabled」から「Enabled」に変更、AMDの場合は「Advanced」タブの「CPU Configuration>AMD fTPM switch」を「Disabled」から「Enabled」に変更します。

Gigabyteのマザーボード(Intel)の場合は、「Settings>Miscellaneous」内や「Peripherals」内の「Intel Platform Trust Technology (PTT)」を「Disabled」から「Enabled」に変更、AMDの場合は「SettingsMiscellaneous」内や「Peripherals」内の「AMD CPU fTPM」を「Disabled」から「Enabled」に変更します。

MSIのマザーボード(Intel)の場合は、「Settings>Security>Trusted Computing」内の「Security Device Support」を「Enabled」、「TPM Device Selection」を「PTT」に変更、AMDの場合は「Security Device Support」を「Enabled」にした後「AMD fTPM switch」を「AMD CPU fTPM」に変更します。

TPM2.0が利用可能な状態に

再起動後、改めてTPMの状態を確認してみたところ、表示が切り替わり、TPM2.0が利用できる状態になっていることが分かりました。

結果:Windows 11 へのアップデートが可能の表示に!

また、Windows 11 へのアップデートが可能かを確認できるツールを再度実行してみたところ、次のように「このPCでWindows 11を実行できます」と表示され、Windows 11へのアップデートが利用可能な状態にすることができたことが確認できました。

TPM2.0が有効になっても「このPCではWindows 11を実行できません」になる場合は

なお、Intel PTT(Farmware TPM)を有効にしてTPM2.0が利用できる状態になっても「このPCではWindows 11を実行できません」エラーが改善されない、というユーザーも少なくないようです。

そちらのケースについては、TPM以外の要素が「非対応」扱いされてしまっている可能性があります。特に「プロセッサ-(CPU)」について、対応CPUリストに利用中のCPUが含まれているかをよく確認してみてください。

確認方法についてはこちらを参考にしてみてください:【Windows 11】「このPCではWindows 11を実行できません」の原因を調べるための手順まとめ

CPUに関しては、自作PCで利用されることの多いCPUのラインで言えばCoffee Lakeより新しい世代が主な対象で、Kaby Lake、Skylake、Broadwell、Haswell、など、つまりCore 7000台以前を利用している場合、対応CPUに含まれていない可能性があります(AMDのRyzenの場合もZen+よりも前の場合、含まれていない可能性があります)。対応CPUについて、「かなり新しいCPUじゃないと対応していない」という印象を受けるユーザーが少なくないようなので、注意が必要です。

ブルースクリーン「0xc00000e9」が表示されてしまう場合について

AMD CPU利用者が、マザーボードのTPMの設定でfTPMを選択して以降に、「winload.efi」ファイルについて「0xc00000e9」のエラーコードのブルースクリーンが発生してしまう、という問題が一部ユーザーの間で発生している模様です。このエラーが発生するようになってしまった場合一度BIOS設定に入り直し、TPMの設定を元に戻してみてください。

コメント(0)

新しいコメントを投稿