TPM エラー 80090016 について

Last Update: feedback 共有

こんにちは、Azure Identity の鶴巻です。
今回は定期的にお問い合わせをいただく Trusted Platform Module (トラステッド プラットフォーム モジュール、TPM) のエラー 80090016 の説明と対処手順を紹介します。

Trusted Platform Module のエラー

いきなりですが、Office 製品などを利用している際に下記のような TPM のエラー 80090016 に遭遇したことはありますか。

このエラーは、Windows デバイスが Azure AD に登録されている場合に、何らかの理由により Windows デバイス上の Trusted Platform Module (TPM) と呼ばれるハードウェアに問題が生じている場合に発生します。

Azure AD に Windows デバイスが登録されている場合、Azure AD との認証にプライマリー リフレッシュ トークン (PRT) と呼ばれるトークンが利用されますが、このトークンの利用に TPM が活用されています。
上記のエラーは、Azure AD 認証を行うために TPM にアクセスしたものの、必要な情報を TPM から取得できなかったことを示しています。

このエラーが発生している場合、後述の方法により事象が改善するかどうかお試しください。

なお、下記のような TPM エラー 80090030 が発生するとの報告もいただいています。
いずれも TPM の利用に何らかの問題が発生している可能性があるため、後述の内容が参考になればうれしいです。

Trusted Platform Module とは何か

Trusted Platform Module (TPM) とは、セキュリティ関連の機能を提供するために特別に設計されたハードウェアで、エンタープライズの環境で利用される Windows デバイス に搭載されていることの多いハードウェアです。
Windows の機能の一つとして BitLocker という言葉を耳にされたことがあるかもしれませんが、BitLocker のような Windows で利用されているセキュリティ関連の機能を実現するために TPM が利用されています。

トラステッド プラットフォーム モジュール

Azure AD と TPM

Azure AD と TPM はどのような関係があるのでしょうか。
実は、Azure AD にデバイスを登録した際に発行される「プライマリー リフレッシュ トークン (PRT)」をデバイス側で保持するために TPM が利用されています。
具体的には、Azure AD にデバイスを登録する際に、Windows デバイスは自身の TPM を利用して暗号キーを作成し保存します。
そして、この暗号キー情報を使用して Azure AD にアクセスするために使用する PRT を取得します。

プライマリ更新トークンとは

TPM のエラーの対処方法について

TPM は OS とは独立した専用のハードウェアのため、Office 365 ProPlus などの製品を修復インストールしても TPM に生じている問題は回復しません。
TPM に生じている問題を回復するには、下記のステップにて TPM をリセットする必要があります。
冒頭に記載したようなエラーが発生した場合、本ステップを順次実行し事象が改善するかどうかご確認ください。

1) TPM をリセットする
2) Azure AD からデバイス登録を解除し再度デバイス登録する

1) TPM をリセットする

下記参考サイトを参照いただき TPM をリセット可能かご確認ください。
TPM をクリアする方法 | Ask CORE

3-1. それぞれの機能、アプリケーションごとに確認した ”TPM をクリアする前に実施する手順” を行います。
3-2. [ファイル名を指定して実行] で “tpm.msc” を入力し TPM 管理コンソール画面を起動します。
3-3. “TPM をクリア” ボタンをクリックします。
3-4. 画面に従ってコンピューターを再起動します。
3-5. 次回起動時にハードウェア側の画面が表示されますので、画面に従って TPM クリアを実行します。
3-6. それぞれの機能、アプリケーションごとに確認した “TPM をクリアした後に実施する手順” を行います。

TPM のリセットは、BitLocker や Windows Hello など、TPM を利用している機能やアプリケーションに影響をおよぼす可能性があります。弊社製品につきましては、上記参考サイトに、それぞれ TPM のクリア前後に行うべきこと、影響範囲についてまとめています。

※※※ ご注意ポイント ※※※
ドメインからの離脱やアカウントを削除する手順も含まれていますため、必要なファイルやフォルダーなどの情報をユーザーに依存しないドライブやファイル サーバー上などへバックアップいただくよう何卒お願いいたします
他社製品への TPM リセットの影響につきましては弊社では判断がいたしかねますため、開発ベンダー様へ TPM リセットの影響について別途ご確認をお願いいたします。

2) Azure AD からデバイス登録を解除し再度デバイス登録する

「Azure AD 参加」、「ハイブリッド Azure AD 参加」、「Azure AD 登録」のそれぞれのパターンについて上記の資料内に手順が記載されていますが、念のためそれぞれの手順をご確認ください。
なお、Windows 10 v2004 でのスクリーン ショットも掲載していますため、お手元でお試しいただく際の参考となりましたら幸いです。

Azure AD 参加

TPM のリセット後、下記手順で Azure AD から離脱して、再度 Azure AD 参加を行います。
もしすでに Azure AD から離脱している場合は、手順 7. からご実施ください。

  1. 通常デバイスを利用するユーザーでデバイスにログオンします。
  2. [スタート] - [設定] (歯車のマーク) - [アカウント] - [職場または学校にアクセスする] を開きます。
  3. 以下のように、”〇〇〇 の Azure AD に接続済み” のエントリを選択し、[切断] をクリックします。
  4. 以下のポップアップが表示されたら、内容を確認の上 [はい] および [切断] をクリックします。

  5. 以下のポップアップが表示されたら、Azure AD から切断後にデバイスにサインインするユーザーのアカウントを入力し [OK] をクリックします。
  6. 以下のポップアップが表示されたら、[今すぐ再起動する] をクリックし、デバイスを再起動します。
  7. 職場または学校にアクセスするの画面にて “職場または学校アカウント” の情報が消えていることを確認します。
  8. Azure ポータル上でも、当該デバイスが削除されていることを確認します。もし、削除されていない場合、手動で削除します。
  9. 再度 [職場または学校にアクセスする] で Azure AD に再参加します。

ハイブリッド Azure AD 参加

TPM のリセット後、下記手順でオンプレミス AD から離脱して、再度オンプレミス AD に参加します。
もしすでにオンプレミス AD から離脱している場合は、手順 7. からご実施ください。

  1. 通常デバイスを利用するユーザーでデバイスにログオンします。
  2. PowerShell を [管理者として実行] より起動し、下記のコマンドを実行します。
    dsregcmd.exe /leave
  3. [スタート] - [設定] (歯車のマーク) - [アカウント] - [職場または学校にアクセスする] を開きます。
  4. 以下のように、”〇〇〇 AD ドメインに接続済み” のエントリを選択し、[切断] をクリックします。
  5. 以下のポップアップが表示されたら、内容を確認の上 [はい] および [切断] をクリックします。

  6. 以下のポップアップが表示されたら、オンプレミス AD から切断後にデバイスにサインインするユーザーのアカウントを入力し [OK] をクリックします。
  7. 以下のポップアップが表示されたら、[今すぐ再起動する] をクリックし、デバイスを再起動します。
  8. 職場または学校にアクセスするの画面にて “職場または学校アカウント” の情報が消えていることを確認します。
  9. オンプレミス AD にドメイン管理者アカウントでログオンし、[管理ツール] - [Active Directory ユーザーとコンピューター] から対象のデバイス オブジェクトを削除します。
  10. オンプレミス AD と Azure AD が同期されるまで待機します。(既定では 30 分おきに同期されるため 30 分から 60 分程度待機します)
    もしくは、必要に応じて Azure AD Connect がインストールされた環境にて Start-ADSyncSyncCycle コマンドレットを実行し、Azure AD との同期を強制実行します。
  11. Azure AD 上から対象のデバイスが削除されることを確認します。もし、オンプレミス AD との同期が完了しても削除されていない場合、手動で削除します。
  12. 対象デバイスに戻り、再度 [職場または学校にアクセスする] でオンプレミス AD に再参加します。
  13. オンプレミス AD と Azure AD が同期されるまで待機します。(既定では 30 分おきに同期されるため 30 分から 60 分程度待機します)
    もしくは、必要に応じて Azure AD Connect がインストールされた環境にて Start-ADSyncSyncCycle コマンドレットを実行し、Azure AD との同期を強制実行します。
  14. 対象デバイスを改めて再起動し、Azure ポータル上でハイブリッド Azure AD 参加が再構成されたことを確認します

Azure AD 登録

TPM のリセット後、下記手順で Azure AD 登録デバイスのデバイス登録を解除して、再度登録処理を行います。
もしすでに登録が解除されている場合は、手順 5. からご実施ください。

  1. 通常デバイスを利用するユーザーでデバイスにログオンします。
  2. [スタート] - [設定] (歯車のマーク) - [アカウント] - [職場または学校にアクセスする] を開きます。
  3. 以下のように、”職場または学校アカウント” のエントリを選択し、[切断] をクリックします。
  4. 以下のポップアップが表示されたら、内容を確認の上 [はい] をクリックします。
  5. 職場または学校にアクセスするの画面にて “職場または学校アカウント” の情報が消えていることを確認します。
  6. Azure ポータル上でも、当該デバイスが削除されていることを確認します。もし、削除されていない場合、手動で削除します。
  7. 再度 [職場または学校にアクセスする] で Azure AD にデバイスを再登録します。

今回の記事は以上となります。
TPM に関連していそうなエラーが表示された場合には、環境に合わせて上記の手順をお試しいただければ幸いです。

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。