Windows 11 で TPM 2.0 (Trusted Platform Module) が必須になる (初期公開の Insider Preview では CPU / TPM の最小要件が緩和されていますが、一般手開始されたタイミングでどうなるかは現時点では不明です) のではという話があり、TPM についての話題が一瞬ですが上がる機会が多くなってきました。
ということで TPM についてのメモを。
手元に Thinkpad T440s (20AQ0094JP) がありましたのでこちらを例にして。
この Thinkpad は、2014年6月3日 に発売され、2020年7月3日 に保守が終了しており、7 年前のラップトップとなりますので機種として古めです。
Contents
TPM の初期設定
T440s は TPM を搭載しているハードウェアとなり、製品仕様書には、次のように記載されています。
Windows 上で、TPM の設定を確認する方法はいくつかありますが、「tpm.msc」をファイル名から指定して実行から実行すると MMC 経由で確認できます。
古めの PC では、TPM は搭載されていても、TPM 1.2 のような古いバージョンを使用している可能性があり、1.2 については、Windows 11 の要件を満たしていないため、Windows 11 のアップグレードへの阻害要因になる可能性があります。
TPM 2.0 を使用できるようにする
T440s は、TPM 1.2 が初期設定ですが、TPM 2.0 が使用できないかというとそういうことはありません。
この環境は「Core i7-4600U」という、第 4 世代の Intel の CPU (Haswell) が使用されています。
Haswell 以降のプロセッサなどには、Intel PTT (Intel Platform Trusted Technology) が CPU レベルで搭載されており、UEFI の設定を変更することで TPM 1.2 から TPM 2.0 に変更をすることができます。
変更する際には TPM の情報がクリアされるため、Bitlocker を使用している場合は、一度 Bitlocker を無効にし、暗号化を完全に解除してから、切り替えた方がよいかと思います。
Bitlocker を無効にした際に、暗号化の解除状況については「manage-bde.exe -status」で確認できます。
T440s の UEFI BIOS であれば、UEFI に入ってから、「Seuciryt -> Security Chip -> Security Chip Selection」から、TPM 2.0 に変更することができます。
T440s については、Security Chip Selection から、次の設定を選ぶことができます。
- Discrete TPM
- Use a discrete TPM chip with TPM 1.2 mode.
- Discrete TPM (ディスクリート TPM : TPM が単体で搭載されている (マザーボードに TPM モジュールを追加して利用するのはこちらのタイプ)
- Intel PTT
- Use Intel(R) Platform Trusted Technology with TPM 2.0 mode
Note:Intel (R) PTT can be used with Microsoft (R) Windows 8 (R) or later operating System.All encryption keys will be cleared in the security chip.
Intel (R) AMT and Intel (R) TXT are disabled when the security chip is set to to Intel (R) PTT.
Do you really want to continune? - CPU のチップセットレベルで搭載されており、マザーボード等に TPM が搭載されていなくても CPU レベルで使用することができ、UEFI で有効化できれば使用可能 (Intel PTT / fTPM / vTPM)
デフォルトが Discrete TPM となっており、TPM 1.2 で動作するようになっていますので、これを Intel PTT に変更することで、TPM 2.0 が使用されるようになります。
Haswell 以降のプロセッサであれば、このような方法で CPU 側の機能を使用して TPM 2.0 を使用するように設定できる可能性があるかと。(AMD の場合は同様の設定が fTPM (Firmware TPM) として設定できるようです)
Hyper-V の 仮想マシンで、TPM を使用したい場合については、Hyper-V マネージャーでの暗号化のサポートの設定 に記載されているような vTPM により、ゲスト OS で TPM が利用できるかと。
First Insider Preview については、Update on Windows 11 minimum system requirements で次のようにアナウンスされています。
Today, we’re releasing the first preview build of Windows 11 to the Windows Insider community. In support of the Windows 11 system requirements, we’ve set the bar for previewing in our Windows Insider Program to match the minimum system requirements for Windows 11, with the exception for TPM 2.0 and CPU family/model. By providing preview builds to the diverse systems in our Windows Insider Program, we will learn how Windows 11 performs across CPU models more comprehensively, informing any adjustments we should make to our minimum system requirements in the future.
この Preview では、TPM と CPU ファミリーの基準を最小システム要件から除かれており、T440s の初期状態のように、TPM 1.2 と、Gen 4 (Haswelll) の CPU でも Windows 11 にアップグレードができるかと思います。(TPM 2.0 の状態でアップグレード実行してしまったようなので、1.2 では試していないのですが…)
Below you will find changes we are making based on that feedback, including ensuring we have the ability for Windows Insiders to install Windows 11 on 7th generation processors to give us more data about performance and security, updating our PC Health check app to provide more clarity, and committing to more technical detail on the principles behind our decisions. With Windows 11, we are focused on increasing security, improving reliability, and ensuring compatibility. This is what drives our decisions.
のアナウンスも行われていますので、Gen 8 Processor (Cofee Lake) 以降の CPU を搭載している環境でなく、Gen 7 Processor (Kabry Lake (実際のは Kaby Lake-R の方?) でも Windows 11 を実行できる可能性がありますが、最終的にどうなるかはリリースタイミングの情報次第ではないでしょうか。
Insider Preview が TPM/CPU の要件を緩和しているのはあくまでも Preview の評価の戸口を開く意味合いであり、最終的な CPU 要件が緩和されたわけではないことも合わせて意識しておく必要があるのではないでしょうか。
[…] https://blog.engineer-memo.com/2021/07/01/windows-11-%e3%81%a7%e5%bf%85%e9%a0%88%e3%81%ab%e3%81%aa%e… […]
【後で読みたい!】Windows 11 で必須になるかもしれない TPM についてのメモ | Tak's Bar
7 7月 21 at 22:58