タグ付けされた質問 「tpm」

すべてのオプションが設定され、回復キーがActive Directoryに格納されるように、グループポリシーでBitLockerとTPMの設定を構成しました。すべてのマシンでWindows 7を標準の企業イメージで実行しており、TPMチップが有効になっていてBIOSでアクティブになっています。 私の目標は、ユーザーがしなければならないすべてが[BitLockerを有効にする]をクリックするだけで済むようにすることです。マイクロソフトは、スクリプトを介して展開できる自動化サンプルも提供しています。しかし、これをスムーズなプロセスにするための小さな問題があります。 GUIでは、ユーザーがBitLockerを有効にすると、自動的に生成される所有者パスワードでTPMを初期化する必要があります。ただし、回復パスワードはユーザーに表示され、テキストファイルに保存するように求められます。このダイアログを抑制できないようで、ステップをスキップできません。キーがADに正常にバックアップされるため、これは不要な（そして不要な）プロンプトです。 展開をスクリプト化する場合、TPMを初期化するときにスクリプトで所有者パスワードを指定する必要があり、GUIのようにランダムに生成されるようにします。 BitLockerの展開を本当に希望どおりにゼロタッチする方法はありますか？

10 windows  active-directory  group-policy  bitlocker  tpm 

どういうわけか、ユーザーのマシンはTPMチップからビットロッカーパスワードを読み取ることができず、アクセスするために（ADに保存されている）回復キーを入力する必要がありました。回復ドキュメントごとにビットロッカーを一時停止しようとしましたが、TPMが初期化されていないというエラーメッセージが表示されました。TPMがオンになっていてBIOSでアクティブ化されていることはわかっていましたが、WindowsでTPMチップを再初期化しても、その過程で新しい TPM所有者パスワードが作成されました。 このパスワードを保存するか印刷するように促されたため（そうすることはできませんでした）、奇妙なことに気付きましたが、回復パスワードを参照せず、このパスワードをADまでバックアップしませんでした。 ユーザーがラップトップを持って出て行った後、TPMパスワードが変更された場合、回復パスワードも変更されるのではないかと考え始めました。その場合、その新しい回復パスワードをADにアップロードする必要がありますが、MSのドキュメントではそのことが明確にされておらず、グループポリシーで新しい回復キー（存在する場合）が自動的にADにバックアップされません。ネットワークの観点から、ADにアクセスできる必要があります。

8 bitlocker  tpm