Trusted Platform Module（TPM）によるWindows Device Trustのセキュリティ強化

このドキュメントでは、TPM 1.2または2.0を備えた、ドメインに参加している、Device Trustで保護されたWindowsコンピューターにOkta Device Registration Taskバージョン1.4.1以降をインストールすることにより、Trusted Platform Module（TPM）のセキュリティ上の利点を活用する方法について説明します。このドキュメントは、Windows用のOkta Device Trustの主なドキュメントである、「管理対象のWindowsコンピューター用のOkta Device Trustを実行する」と組み合わせて使用します。

TPMは、ほとんどのWindowsコンピューターに組み込まれているマイクロチップです。主に暗号化鍵を含む、改ざん防止のセキュリティ機能を提供するために設計されています。TPMをWindowsコンピューター用のOkta Device Trustソリューションと併用すると、悪意を持った者がWindowsデバイスから秘密鍵をコピーするのを防ぐことができます。TPMが存在し、デバイスで有効になっている場合、Okta Device Registration Taskバージョン1.4.1以降をインストールすると、Windowsコンピューター用のOkta Device Trustソリューションで使用されるハードウェアベースのキーが生成されます。デバイスにTPMがない場合、またはTPMのサポートをスキップする方法（以下で説明）を使用してRegistration Taskバージョン1.4.1以降をインストールした場合、Registration Taskではソフトウェアベースのキーが生成されます（1.4.1より前の動作）。

前提条件

Okta Device Registration Task 1.4.1以降
Windowsのドメインに参加しているコンピューター
Windows 8および10、32および64ビット
Internet Explorer、Edge、およびChromeのブラウザー
TPMが有効化およびアクティブ化され、所有されている。これらの用語の定義については、Microsoftのドキュメントの「TPM Fundamentals」を参照してください。
v1803ビルド17134.254以前を実行しているWindows 10コンピューターには、累積的な更新プログラムKB4346783が必要です
TPMのセキュリティ上の利点は、証明書が更新されるまで、このDevice Trustソリューションにすでに登録されているWindowsデバイスで有効になりません。
一部のWindowsコンピューターでは、BIOSでTPMを有効にする必要がある場合があります（通常はデフォルトで有効になっています）。TPMが有効になっていない場合は、Okta Device Registration Taskでハードウェアベースのキーではなくソフトウェアベースのキーが生成されます。

ヒント

GPOを使用して、複数のTPMサービスを一元的に構成できます。

手順

Device Registration Taskの取得とインストールのための手順を実行します。実装に適している場合は、その他の手順を実行します。

Device Registration Taskを取得してインストールする

管理コンソールで、［Settings（設定）］>［Downloads（ダウンロード）］に進み、Okta Device Trust Windowsエージェントまでスクロールして、Okta Device Registration Taskバージョン1.4.1以降をダウンロードします。
「管理対象のWindowsコンピューター用のOkta Device Trustを実行する」のセクション2.2の説明に従って、Registration Taskをインストールします。

注

ドキュメント「管理対象のWindowsコンピューター用のOkta Device Trustを実行する」の「ステップ2：ドメインに参加しているWindowsコンピューターにデバイス信頼証明書を登録する」にあるプロキシサーバーおよび証明書処理に関する情報を必ずお読みください。

Windows 10コンピューターでv1803ビルド17134.254以前を実行している場合、累積的な更新プログラムKB4346783をインストールする必要があります。この更新プログラムでは、「秘密鍵がTPM 2.0デバイスに保存されている場合にMicrosoft Edgeまたはその他のUWPアプリケーションでクライアント認証を実行できない問題が対処されます」（Microsoftの記事「KB4346783（OS Build 17134.254）」を参照）。この更新プログラムがないと、信頼できるWindowsコンピューターを使用しているユーザーが、デバイスの信頼で保護されたUWPアプリまたはEdgeにアクセスできません。

TPMのセキュリティ強化なしでDevice Registration Taskをインストールする（オプション）

バージョン1.4.1は、TPMのセキュリティ強化を有効または無効にしてインストールできます。いずれの場合も、バージョン1.4.1では次のことが修正されます。

Device Registration Taskのアンインストール時に、Chromeブラウザーの設定が削除される問題が修正されます。
Device Registration Taskのアンインストール時に、Chromeの証明書の自動選択設定が削除される問題が修正されます。この設定は、デバイスの信頼のフロー中に、エンド・ユーザーがブラウザーから証明書の選択を求められないようにするために設計されています。

Okta Device Registration Taskバージョン1.4.1によって有効化されたTPMのセキュリティ上の利点を活用しない場合は、以下に示すように、引数SkipTPM=trueをインストール・コマンドに含めることができます。

OktaDeviceRegistrationTaskSetup.exe /q2 OktaURL=<URL> SkipTPM=true

TPMのステータスを確認する（オプション）

TPMのステータスを確認することが役立つ場合があります。これを行うには、コマンド・プロンプトか［Start（スタート）］メニューからTPM管理コンソールを開きます。

コマンドプロンプトから、TPM.mscと入力します
［Start（スタート）］ボタンの検索フィールドから、TPMと入力します

既知の問題

Okta Device Registration Task 1.4.1がWindows 7コンピューターにインストールされている場合はTPMのセキュリティが実装されません：バージョン1.4.1はWindows 7コンピューターで動作しますが、TPMのセキュリティ強化はありません。ハードウェアベースのキーの代わりにソフトウェアベースのキーが生成されます。さらに、バージョン1.4.1により、TPMのセキュリティに関係のないその他の修正が提供されます。
v1803ビルド17134.254以前を実行しているWindows 10マシンには更新プログラムが必要です：Windows 10コンピューターでv1803ビルド17134.254以前を実行している場合、累積的な更新プログラムKB4346783をインストールする必要があります。この更新プログラムでは、「秘密鍵がTPM 2.0デバイスに保存されている場合にMicrosoft Edgeまたはその他のUWPアプリケーションでクライアント認証を実行できない問題が対処されます」（Microsoftの記事「KB4346783（OS Build 17134.254）」を参照）。この更新プログラムがないと、信頼できるWindowsコンピューターを使用しているユーザーが、デバイスの信頼で保護されたUWPアプリまたはEdgeにアクセスできません。

Device Registration Task 1.4.0から1.3.1に戻す場合は古い証明書を手動で削除する必要があります：削除しないと、［Invalid provider type specified（無効なプロバイダーの種類が指定されました）］という例外がスローされます。

証明書を手動で削除する

［Start（スタート）］に移動して、検索フィールドにmmcと入力してコンソールを開きます。
［File（ファイル）］に移動して［Add/Remove Snap-in（スナップインの追加と削除）］をクリックします。
［Certificates（証明書）］を選択し、［Add（追加）］をクリックします。
［Certificates snap-in（証明書スナップイン）］ダイアログボックスで、［My user account（マイユーザーアカウント）］を選択します。
［Finish（終了）］をクリックします。
［OK］をクリックします。
［Console Root（コンソールルート）］で、［Certificates - Current User（証明書 - 現在のユーザー）］を展開します。
［Personal（個人）］フォルダを展開して、［Certificates（証明書）］をクリックし、［Okta MTLS certificate（Okta MTLS証明書）］を右クリックして［Delete（削除）］を選択します。