Compartir a través de

BitLocker y TPM: otros problemas conocidos

  • Artículo

En este artículo se describen los problemas comunes relacionados directamente con el módulo de plataforma segura (TPM) y se proporcionan instrucciones para solucionar estos problemas.

Id. de Microsoft Entra: Windows Hello para empresas y el inicio de sesión único no funcionan

Considere el caso siguiente:

Un equipo cliente unido a Microsoft Entra no se puede autenticar correctamente. El equipo está experimentando uno o varios de los síntomas siguientes:

  • Windows Hello para empresas no funciona
  • Se produce un error en el acceso condicional
  • El inicio de sesión único (SSO) no funciona

Además, en Visor de eventos, el equipo registra el siguiente evento id. de evento 1026 en sistema de registros de>Windows:

Nombre de registro: Sistema
Origen: Microsoft-Windows-TPM-WMI
Fecha: <fecha y hora>
Identificador de evento: 1026
Categoría de tarea: None
Nivel: Información
Palabras clave:
Usuario: SISTEMA
Equipo: <Nombre del equipo>
Descripción:
El hardware del módulo de plataforma segura (TPM) de este equipo no se puede aprovisionar para su uso automáticamente. Para configurar el TPM de forma interactiva, use la consola de administración de TPM (Start-tpm.msc>) y use la acción para preparar el TPM.
Error: el TPM está defendiendo contra ataques de diccionario y está en un período de tiempo de espera.
Información adicional: 0x840000

Causa del identificador de Microsoft Entra: Windows Hello para empresas e inicio de sesión único no funcionan

Este evento indica que el TPM no está listo o tiene alguna configuración que impide el acceso a las claves de TPM.

Además, el comportamiento indica que el equipo cliente no puede obtener un token de actualización principal (PRT).

Resolución del identificador de Entra de Microsoft: Windows Hello para empresas y el inicio de sesión único no funcionan

Para comprobar el estado del PRT, use el comando dsregcmd.exe /status para recopilar información. En la salida de la herramienta, compruebe que estado de usuario o estado de SSO contiene el atributo AzureAdPrt . Si el valor de este atributo es No, no se emitió el PRT. Si el valor del atributo es No, puede indicar que el equipo no pudo presentar su certificado para la autenticación.

Para resolver este problema, siga estos pasos para solucionar problemas del TPM:

  1. Abra la consola de administración de TPM (tpm.msc) seleccionando Iniciar y escribiendo tpm.msc en el cuadro Buscar.

  2. Si se muestra un aviso para desbloquear el TPM o restablecer el bloqueo, póngase en contacto con el proveedor de hardware para determinar si hay una corrección conocida para el problema.

  3. Si el problema todavía no se resuelve después de ponerse en contacto con el proveedor de hardware, borre y reinicialice el TPM siguiendo las instrucciones del artículo Solución de problemas del TPM: Borre todas las claves del TPM.

    Advertencia

    Borrar el TPM puede provocar la pérdida de datos.

Si en el paso 2 no hay aviso para desbloquear el TPM o restablecer el bloqueo, revise la configuración de firmware/BIOS de UEFI del equipo para ver cualquier configuración que se pueda usar para restablecer o deshabilitar el bloqueo.

Error de TPM 1.2: error al cargar la consola de administración. El dispositivo que requiere el proveedor de servicios criptográficos no está listo para su uso

Considere el caso siguiente:

Al intentar abrir la consola de administración de TPM en un equipo Windows que usa la versión 1.2 de TPM, se muestra el mensaje siguiente:

Error al cargar la consola de administración. El dispositivo requerido por el proveedor de servicios criptográficos no está listo para su uso.
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
El dispositivo que requiere este proveedor de servicios criptográficos no está listo para su uso.
Versión de especificación de TPM: TPM v1.2

En otro dispositivo que ejecuta la misma versión de Windows, se puede abrir la consola de administración de TPM.

Causa (sospecha) del error TPM 1.2: error al cargar la consola de administración. El dispositivo que requiere el proveedor de servicios criptográficos no está listo para su uso

Estos síntomas indican que el TPM tiene problemas de hardware o firmware.

Resolución del error TPM 1.2: error al cargar la consola de administración. El dispositivo que requiere el proveedor de servicios criptográficos no está listo para su uso

Para resolver el problema:

  • Cambie el modo de funcionamiento de TPM de la versión 1.2 a la versión 2.0 si el dispositivo tiene esta opción disponible.

  • Si el cambio del TPM de la versión 1.2 a la versión 2.0 no resuelve el problema o si el dispositivo no tiene disponible la versión 2.0 de TPM, póngase en contacto con el proveedor de hardware para determinar si hay una actualización de firmware ueFI, actualización de BIOS/actualización de TPM para el dispositivo. Si hay una actualización disponible, instale la actualización para ver si resuelve el problema.

  • Si la actualización del firmware/BIOS ueFI no resuelve el problema o si no hay ninguna actualización disponible, considere la posibilidad de reemplazar la placa base del dispositivo poniéndose en contacto con el proveedor de hardware. Después de reemplazar la placa base, cambie el modo de funcionamiento de TPM de la versión 1.2 a la versión 2.0 si esta opción está disponible.

    Advertencia

    Reemplazar la placa base hará que se pierdan los datos del TPM.

Los dispositivos no se unen al identificador híbrido de Microsoft Entra debido a un problema de TPM

Al intentar unir un dispositivo a un identificador híbrido de Microsoft Entra, parece que se produce un error en la operación de unión.

Para comprobar que la combinación se realizó correctamente, use el comando dsregcmd /status. En la salida de la herramienta, los atributos siguientes indican que la combinación se realizó correctamente:

  • AzureAdJoined: SÍ
  • DomainName: <nombre de dominio local>

Si el valor de AzureADJoined es No, se produjo un error en la operación de unión.

Causas y resoluciones para dispositivos que no se unen al identificador híbrido de Microsoft Entra debido a un problema de TPM

Este problema puede producirse cuando el sistema operativo Windows no es el propietario del TPM. La corrección específica de este problema depende de los errores o eventos que se muestran, como se muestra en la tabla siguiente:

Mensaje Motivo Solución
NTE_BAD_KEYSET (0x80090016/-2146893802) Error en la operación de TPM o esta no es válida. Este problema probablemente se debió a una imagen sysprep dañada. Al crear una imagen sysprep, asegúrese de usar un equipo que no esté unido o registrado en el identificador de Entra de Microsoft o en el identificador híbrido de Microsoft Entra.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Error de TPM genérico. Si el dispositivo devuelve este error, deshabilite su TPM. Windows 10, versión 1809 y versiones posteriores, detecta automáticamente errores de TPM y finaliza la unión híbrida de Microsoft Entra sin usar el TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) Actualmente no se admite el modo FIPS del TPM. Si el dispositivo da este error, deshabilite su TPM. Windows 10, versión 1809 y versiones posteriores, detecta automáticamente errores de TPM y finaliza la unión híbrida de Microsoft Entra sin usar el TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) El TPM está bloqueado. Este error es transitorio. Espere el período de enfriamiento y vuelva a intentar la operación de unión.

Para obtener más información sobre los problemas de TPM, consulte los siguientes artículos: