BitLocker e TPM: altri problemi noti

Questo articolo descrive i problemi comuni correlati direttamente al modulo TPM (Trusted Platform Module) e fornisce indicazioni per risolvere questi problemi.

Microsoft Entra ID: Windows Hello for Business e Single Sign-On non funzionano

Considerare lo scenario descritto di seguito:

Un Microsoft Entra computer client aggiunto non può eseguire correttamente l'autenticazione. Il computer sta riscontrando uno o più dei sintomi seguenti:

• Windows Hello for Business non funziona
• L'accesso condizionale non riesce
• Single Sign-On (SSO) non funziona

Inoltre, in Visualizzatore eventi, il computer registra il seguente evento ID evento 1026 in Windows Logs>System:

              Nome registro: sistema
Origine: Microsoft-Windows-TPM-WMI
Data: <Data e ora>
ID evento: 1026
Categoria attività: nessuna
Livello: Informazioni
Parole chiavi:
Utente: SISTEMA
Computer: <Nome computer>
Descrizione:
L'hardware TPM (Trusted Platform Module) in questo computer non può essere sottoposto a provisioning per l'uso automatico. Per configurare il TPM in modo interattivo, usare la console di gestione TPM (Start-tpm.msc>) e usare l'azione per preparare il TPM.
Errore: il TPM si difende dagli attacchi con dizionario ed è in un periodo di timeout.
Informazioni aggiuntive: 0x840000

Causa di Microsoft Entra ID: Windows Hello for Business e Single Sign-On non funzionano

Questo evento indica che il TPM non è pronto o ha alcune impostazioni che impediscono l'accesso alle chiavi TPM.

Inoltre, il comportamento indica che il computer client non può ottenere un token di aggiornamento primario (PRT).

Risoluzione per Microsoft Entra ID: Windows Hello for Business e Single Sign-On non funzionano

Per verificare lo stato del token di aggiornamento primario, usare il comando dsregcmd.exe /status per raccogliere informazioni. Nell'output dello strumento verificare che lo stato Utente o SSO contenga l'attributo AzureAdPrt . Se il valore di questo attributo è No, il PRT non è stato emesso. Se il valore dell'attributo è No, potrebbe indicare che il computer non è riuscito a presentare il certificato per l'autenticazione.

Per risolvere questo problema, seguire questa procedura per risolvere il problema del TPM:

1. Aprire la console di gestione TPM (tpm.msc) selezionando Avvia e immettendo tpm.msc nella casella Di ricerca .

2. Se viene visualizzato un avviso per sbloccare il TPM o reimpostare il blocco, contattare il fornitore dell'hardware per determinare se è presente una correzione nota per il problema.

3. Se il problema non viene ancora risolto dopo aver contattato il fornitore dell'hardware, cancellare e reinizializzare il TPM seguendo le istruzioni riportate nell'articolo Risolvere i problemi relativi al TPM: Cancellare tutte le chiavi dal TPM.

   Avviso

   La cancellazione del TPM può causare la perdita di dati.

Se nel passaggio 2 non viene visualizzato alcun avviso per sbloccare il TPM o reimpostare il blocco, esaminare le impostazioni del firmware/BIOS UEFI del computer per qualsiasi impostazione che possa essere usata per reimpostare o disabilitare il blocco.

Errore di TPM 1.2: caricamento della console di gestione non riuscito. Il dispositivo richiesto dal provider di crittografia non è pronto per l'uso

Considerare lo scenario descritto di seguito:

Quando si tenta di aprire la console di gestione TPM in un computer Windows che usa TPM versione 1.2, viene visualizzato il messaggio seguente:

Caricamento della console di gestione non riuscito. Il dispositivo richiesto dal provider di crittografia non è pronto per l'uso.
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
Il dispositivo richiesto da questo provider di crittografia non è pronto per l'uso.
Versione della specifica TPM: TPM v1.2

In un dispositivo diverso che esegue la stessa versione di Windows, è possibile aprire la console di gestione TPM.

Causa (sospetta) dell'errore TPM 1.2: caricamento della console di gestione non riuscito. Il dispositivo richiesto dal provider di crittografia non è pronto per l'uso

Questi sintomi indicano che il TPM presenta problemi hardware o firmware.

Risoluzione per TPM 1.2 Errore: caricamento della console di gestione non riuscito. Il dispositivo richiesto dal provider di crittografia non è pronto per l'uso

Per risolvere il problema:

• Se il dispositivo dispone di questa opzione, passare dalla modalità operativa TPM dalla versione 1.2 alla versione 2.0.

• Se il passaggio del TPM dalla versione 1.2 alla versione 2.0 non risolve il problema o se il dispositivo non dispone di TPM versione 2.0, contattare il fornitore dell'hardware per determinare se è disponibile un aggiornamento del firmware UEFI/aggiornamento del BIOS/TPM per il dispositivo. Se è disponibile un aggiornamento, installare l'aggiornamento per verificare se risolve il problema.

• Se l'aggiornamento del firmware/BIOS UEFI non risolve il problema o se non è disponibile alcun aggiornamento, provare a sostituire la scheda madre del dispositivo contattando il fornitore dell'hardware. Dopo aver sostituito la scheda madre, se questa opzione è disponibile, passare dalla modalità operativa TPM dalla versione 1.2 alla versione 2.0.

  Avviso

  Se si sostituisce la scheda madre, i dati nel TPM andranno persi.

I dispositivi non si uniscono ai Microsoft Entra ID ibridi a causa di un problema di TPM

Quando si tenta di aggiungere un dispositivo a un Microsoft Entra ID ibrido, l'operazione di join sembra non riuscire.

Per verificare che il join sia riuscito, usare il comando dsregcmd /status. Nell'output dello strumento, gli attributi seguenti indicano che il join è riuscito:

• AzureAdJoined: SÌ
• DomainName: <nome di dominio locale>

Se il valore di AzureADJoined è No, l'operazione di join non è riuscita.

Le cause e le risoluzioni per i dispositivi non si uniscono a Microsoft Entra ID ibride a causa di un problema di TPM

Questo problema può verificarsi quando il sistema operativo Windows non è il proprietario del TPM. La correzione specifica per questo problema dipende dagli errori o dagli eventi visualizzati, come illustrato nella tabella seguente:

Messaggio	Motivo	Risoluzione
NTE_BAD_KEYSET (0x80090016/-2146893802)	Operazione TPM non riuscita o non valida	Questo problema è stato probabilmente causato da un'immagine sysprep danneggiata. Quando si crea un'immagine sysprep, assicurarsi di usare un computer non aggiunto o registrato in Microsoft Entra ID o Microsoft Entra ID ibrido.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641)	Errore TPM generico.	Se il dispositivo restituisce questo errore, disabilitarne il TPM. Windows 10, versione 1809 e versioni successive, rilevare automaticamente gli errori di TPM e completare il Microsoft Entra join ibrido senza usare il TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154)	La modalità FIPS del TPM non è attualmente supportata.	Se il dispositivo restituisce questo errore, disabilitarne il TPM. Windows 10, versione 1809 e versioni successive, rilevare automaticamente gli errori di TPM e completare il Microsoft Entra join ibrido senza usare il TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775)	Il TPM è bloccato.	Questo errore è temporaneo. Attendere il periodo di recupero e quindi ritentare l'operazione di join.

Per altre informazioni sui problemi di TPM, vedere gli articoli seguenti:

• Nozioni fondamentali sul TPM: anti-martellamento
• Risoluzione dei problemi Microsoft Entra dispositivi aggiunti ibridi
• Risolvere i problemi relativi al TPM