BitLocker e TPM: altri problemi noti

Questo articolo descrive i problemi comuni relativi direttamente al modulo TPM (Trusted Platform Module) e fornisce indicazioni per risolvere questi problemi.

Microsoft Entra ID: Windows Hello for Business e Single Sign-On non funzionano

Prendi in considerazione lo scenario seguente:

Un computer client aggiunto a Microsoft Entra non riesce a eseguire correttamente l'autenticazione. Il computer riscontra uno o più dei sintomi seguenti:

• Windows Hello for Business non funziona
• L'accesso condizionale non riesce
• Single Sign-On (SSO) non funziona

Inoltre, in Visualizzatore eventi, il computer registra l'evento 1026 seguente in Sistema registri>di Windows:

Nome registro: sistema
Origine: Microsoft-Windows-TPM-WMI
Data: <data e ora>
ID evento: 1026
Categoria attività: nessuna
Livello: Informazioni
Parole chiave:
Utente: SISTEMA
Computer: <Nome computer>
Descrizione:
Non è possibile eseguire automaticamente il provisioning dell'hardware TPM (Trusted Platform Module) in questo computer. Per configurare il TPM in modo interattivo, usare la console di gestione TPM (Start-tpm.msc>) e usare l'azione per preparare il TPM.
Errore: il TPM si sta difendendo dagli attacchi di dizionario ed è in un periodo di timeout.
Informazioni aggiuntive: 0x840000

Causa dell'ID Microsoft Entra: Windows Hello for Business e Single Sign-On non funzionano

Questo evento indica che il TPM non è pronto o ha un'impostazione che impedisce l'accesso alle chiavi TPM.

Inoltre, il comportamento indica che il computer client non può ottenere un token di aggiornamento primario (PRT).

Risoluzione per Microsoft Entra ID: Windows Hello for Business e Single Sign-On non funzionano

Per verificare lo stato del token di aggiornamento primario, usare il comando dsregcmd.exe /status per raccogliere informazioni. Nell'output dello strumento verificare che lo stato utente o SSO contenga l'attributo AzureAdPrt. Se il valore di questo attributo è No, il token di aggiornamento primario non è stato emesso. Se il valore dell'attributo è No, può indicare che il computer non è riuscito a presentare il certificato per l'autenticazione.

Per risolvere questo problema, seguire questa procedura per risolvere il problema TPM:

1. Aprire la console di gestione TPM (tpm.msc) selezionando Avvia e immettendo tpm.msc nella casella Di ricerca.

2. Se viene visualizzato un avviso per sbloccare il TPM o reimpostare il blocco, contattare il fornitore dell'hardware per determinare se è presente una correzione nota per il problema.

3. Se il problema non viene ancora risolto dopo aver contattato il fornitore dell'hardware, cancellare e reinizializzare il TPM seguendo le istruzioni riportate nell'articolo Risolvere i problemi relativi al TPM: Cancellare tutte le chiavi dal TPM.

   Avviso

   La cancellazione del TPM può causare la perdita di dati.

Se nel passaggio 2 non viene visualizzato alcun avviso per sbloccare il TPM o reimpostare il blocco, esaminare le impostazioni ueFI firmware/BIOS del computer per qualsiasi impostazione che può essere usata per reimpostare o disabilitare il blocco.

Errore TPM 1.2: il caricamento della console di gestione non è riuscito. Il dispositivo richiesto dal provider di crittografia non è pronto per l'uso

Prendi in considerazione lo scenario seguente:

Quando si tenta di aprire la console di gestione TPM in un computer Windows che usa TPM versione 1.2, viene visualizzato il messaggio seguente:

Impossibile caricare la console di gestione. Il dispositivo richiesto dal provider di crittografia non è pronto per l'uso.
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
Il dispositivo richiesto da questo provider di crittografia non è pronto per l'uso.
Versione specifica TPM: TPM v1.2

In un dispositivo diverso che esegue la stessa versione di Windows, è possibile aprire la console di gestione TPM.

Causa (sospetta) di TPM 1.2 Errore: il caricamento della console di gestione non è riuscito. Il dispositivo richiesto dal provider di crittografia non è pronto per l'uso

Questi sintomi indicano che il TPM presenta problemi hardware o firmware.

Risoluzione per TPM 1.2 Errore: il caricamento della console di gestione non è riuscito. Il dispositivo richiesto dal provider di crittografia non è pronto per l'uso

Per risolvere il problema:

• Impostare la modalità operativa TPM dalla versione 1.2 alla versione 2.0 se il dispositivo dispone di questa opzione disponibile.

• Se il passaggio del TPM dalla versione 1.2 alla versione 2.0 non risolve il problema o se il dispositivo non dispone di TPM versione 2.0 disponibile, contattare il fornitore dell'hardware per determinare se è presente un aggiornamento del firmware UEFI/aggiornamento BIOS/TPM per il dispositivo. Se è disponibile un aggiornamento, installare l'aggiornamento per verificare se risolve il problema.

• Se l'aggiornamento del firmware UEFI/BIOS non risolve il problema o se non è disponibile alcun aggiornamento, prendere in considerazione la possibilità di sostituire la scheda madre del dispositivo contattando il fornitore dell'hardware. Dopo la sostituzione della scheda madre, impostare la modalità operativa TPM dalla versione 1.2 alla versione 2.0, se questa opzione è disponibile.

  Avviso

  La sostituzione della scheda madre causerà la perdita dei dati nel TPM.

I dispositivi non aggiungono l'ID Microsoft Entra ibrido a causa di un problema di TPM

Quando si tenta di aggiungere un dispositivo a un ID Microsoft Entra ibrido, l'operazione di join sembra non riuscire.

Per verificare che il join sia riuscito, usare il comando dsregcmd /status. Nell'output dello strumento, gli attributi seguenti indicano che il join è riuscito:

• AzureAdJoined: SÌ
• DomainName: <nome di dominio locale>

Se il valore di AzureADJoined è No, l'operazione di join non è riuscita.

Cause e risoluzioni per i dispositivi non aggiungono l'ID Microsoft Entra ibrido a causa di un problema di TPM

Questo problema può verificarsi quando il sistema operativo Windows non è il proprietario del TPM. La correzione specifica per questo problema dipende dagli errori o dagli eventi visualizzati, come illustrato nella tabella seguente:

Message	Motivo	Risoluzione
NTE_BAD_KEYSET (0x80090016/-2146893802)	Operazione TPM non riuscita o non valida	Questo problema è stato probabilmente causato da un'immagine sysprep danneggiata. Quando si crea un'immagine sysprep, assicurarsi di usare un computer a cui non è stato aggiunto o registrato in Microsoft Entra ID o nell'ID Microsoft Entra ibrido.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641)	Errore TPM generico.	Se il dispositivo restituisce questo errore, disabilitarne il TPM. Windows 10, versione 1809 e versioni successive, rilevano automaticamente gli errori di TPM e completano il join ibrido di Microsoft Entra senza usare il TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154)	La modalità FIPS del TPM non è attualmente supportata.	Se il dispositivo restituisce questo errore, disabilitarne il TPM. Windows 10, versione 1809 e versioni successive, rilevano automaticamente gli errori di TPM e completano il join ibrido di Microsoft Entra senza usare il TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775)	Il TPM è bloccato.	Questo errore è temporaneo. Attendere il periodo di raffreddamento e quindi ripetere l'operazione di join.

Per altre informazioni sui problemi di TPM, vedere gli articoli seguenti:

• Nozioni fondamentali sul TPM: anti-martellamento
• Risoluzione dei problemi relativi ai dispositivi aggiunti a Microsoft Entra ibrido
• Risolvere i problemi relativi al TPM