Partager via

BitLocker et TPM : autres problèmes connus

  • Article

Cet article décrit les problèmes courants liés directement au module de plateforme sécurisée (TPM) et fournit des conseils pour résoudre ces problèmes.

ID Microsoft Entra : Windows Hello Entreprise et l’authentification unique ne fonctionnent pas

Examinez le cas suivant :

Un ordinateur client joint à Microsoft Entra ne peut pas s’authentifier correctement. L’ordinateur rencontre un ou plusieurs des symptômes suivants :

  • Windows Hello Entreprise ne fonctionne pas
  • Échec de l’accès conditionnel
  • L’authentification unique (SSO) ne fonctionne pas

En outre, dans l’Observateur d’événements, l’ordinateur enregistre l’événement d’ID d’événement 1026 suivant sous Système de journaux>Windows :

Nom du journal : système
Source : Microsoft-Windows-TPM-WMI
Date : <date et heure>
ID d’événement : 1026
Catégorie de tâche : None
Niveau : Information
Mots clés :
Utilisateur : SYSTÈME
Ordinateur : <Nom de l’ordinateur>
Description :
Le matériel TPM (Trusted Platform Module) sur cet ordinateur ne peut pas être configuré automatiquement. Pour configurer le module TPM de manière interactive, utilisez le module de plateforme sécurisée console de gestion (Start-tpm.msc>) et utilisez l’action pour préparer le module TPM.
Erreur : le module de plateforme sécurisée défend les attaques par dictionnaire et se trouve dans un délai d’attente.
Informations supplémentaires : 0x840000

Cause de l’ID Microsoft Entra : Windows Hello Entreprise et l’authentification unique ne fonctionnent pas

Cet événement indique que le module de plateforme sécurisée n’est pas prêt ou a un paramètre qui empêche l’accès aux clés TPM.

En outre, le comportement indique que l’ordinateur client ne peut pas obtenir de jeton d’actualisation principal (PRT).

Résolution de l’ID Microsoft Entra : Windows Hello Entreprise et l’authentification unique ne fonctionnent pas

Pour vérifier l’état du PRT, utilisez la commande dsregcmd.exe /status pour collecter des informations. Dans la sortie de l’outil, vérifiez que l’état utilisateur ou l’état de l’authentification unique contient l’attribut AzureAdPrt . Si la valeur de cet attribut est Non, le PRT n’a pas été émis. Si la valeur de l’attribut est Non, il peut indiquer que l’ordinateur n’a pas pu présenter son certificat pour l’authentification.

Pour résoudre ce problème, procédez comme suit pour résoudre les problèmes du module de plateforme sécurisée :

  1. Ouvrez le module de plateforme sécurisée console de gestion (tpm.msc) en sélectionnant Démarrer et entrer tpm.msc dans la zone de recherche.

  2. Si une notification s’affiche pour déverrouiller le module de plateforme sécurisée ou réinitialiser le verrouillage, contactez le fournisseur de matériel pour déterminer s’il existe un correctif connu pour le problème.

  3. Si le problème n’est toujours pas résolu après avoir contacté le fournisseur de matériel, effacez et réinitialisez le module de plateforme sécurisée en suivant les instructions de l’article Résoudre les problèmes du module de plateforme sécurisée : effacer toutes les clés du module de plateforme sécurisée.

    Avertissement

    L’effacement du module de plateforme sécurisée peut entraîner une perte de données.

Si, à l’étape 2, il n’existe aucun avis pour déverrouiller le module TPM ou réinitialiser le verrouillage, passez en revue les paramètres ueFI microprogramme/BIOS de l’ordinateur pour tout paramètre qui peut être utilisé pour réinitialiser ou désactiver le verrouillage.

Erreur TPM 1.2 : échec du chargement du console de gestion. L’appareil requis par le fournisseur de chiffrement n’est pas prêt à être utilisé

Examinez le cas suivant :

Lorsque vous essayez d’ouvrir le module de plateforme sécurisée console de gestion sur un ordinateur Windows qui utilise TPM version 1.2, le message suivant s’affiche :

Échec du chargement du console de gestion. L’appareil requis par le fournisseur de chiffrement n’est pas prêt à être utilisé.
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
L’appareil requis par ce fournisseur de chiffrement n’est pas prêt à être utilisé.
Version des spécifications TPM : TPM v1.2

Sur un autre appareil exécutant la même version de Windows, le module de plateforme sécurisée console de gestion peut être ouvert.

Cause (suspecte) de l’erreur TPM 1.2 : échec du chargement du console de gestion. L’appareil requis par le fournisseur de chiffrement n’est pas prêt à être utilisé

Ces symptômes indiquent que le module TPM a des problèmes matériels ou microprogrammes.

Résolution de l’erreur TPM 1.2 : échec du chargement du console de gestion. L’appareil requis par le fournisseur de chiffrement n’est pas prêt à être utilisé

Pour résoudre le problème :

  • Basculez le mode d’exploitation TPM de la version 1.2 vers la version 2.0 si l’appareil dispose de cette option.

  • Si le basculement du module de plateforme sécurisée de la version 1.2 vers la version 2.0 ne résout pas le problème, ou si l’appareil n’a pas de TPM version 2.0 disponible, contactez le fournisseur de matériel pour déterminer s’il existe une mise à jour du microprogramme UEFI/MISE à jour du BIOS/TPM pour l’appareil. S’il existe une mise à jour disponible, installez la mise à jour pour voir si elle résout le problème.

  • Si la mise à jour du microprogramme UEFI/BIOS ne résout pas le problème, ou si aucune mise à jour n’est disponible, envisagez de remplacer la carte mère de l’appareil en contactant le fournisseur de matériel. Une fois la carte mère remplacée, basculez le mode d’exploitation TPM de la version 1.2 vers la version 2.0 si cette option est disponible.

    Avertissement

    Le remplacement de la carte mère entraîne la perte des données dans le module TPM.

Les appareils ne rejoignent pas l’ID Microsoft Entra hybride en raison d’un problème de module de plateforme sécurisée

Lorsque vous essayez de joindre un appareil à un ID Microsoft Entra hybride, l’opération de jointure semble échouer.

Pour vérifier que la jointure a réussi, utilisez la commande dsregcmd /status. Dans la sortie de l’outil, les attributs suivants indiquent que la jointure a réussi :

  • AzureAdJoined : OUI
  • DomainName : <nom de domaine local>

Si la valeur d’AzureADJoined est Non, l’opération de jointure a échoué.

Causes et résolutions pour les appareils ne rejoignent pas l’ID Microsoft Entra hybride en raison d’un problème de module de plateforme sécurisée

Ce problème peut se produire lorsque le système d’exploitation Windows n’est pas le propriétaire du module TPM. Le correctif spécifique pour ce problème dépend des erreurs ou des événements affichés, comme indiqué dans le tableau suivant :

Message Motif Résolution
NTE_BAD_KEYSET (0x80090016/-2146893802) l’opération du module TPM a échoué ou n’était pas valide Ce problème a probablement été dû à une image sysprep endommagée. Lors de la création d’une image sysprep, veillez à utiliser un ordinateur qui n’est pas joint ou inscrit dans l’ID Microsoft Entra ou l’ID Microsoft Entra hybride.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) erreur TPM générique. Si l’appareil retourne cette erreur, désactivez son module TPM. Windows 10, version 1809 et versions ultérieures, détectent automatiquement les échecs de module de plateforme sécurisée et terminent la jointure hybride Microsoft Entra sans utiliser le module TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) Le mode FIPS du module de plateforme sécurisée n’est actuellement pas pris en charge. Si l’appareil génère cette erreur, désactivez son module de plateforme sécurisée. Windows 10, version 1809 et versions ultérieures, détectent automatiquement les échecs de module de plateforme sécurisée et terminent la jointure hybride Microsoft Entra sans utiliser le module TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) Le module TPM est verrouillé. Cette erreur est temporaire. Attendez la période de refroidissement, puis réessayez l’opération de jointure.

Pour plus d’informations sur les problèmes de module de plateforme sécurisée, consultez les articles suivants :