BitLocker e TPM: outros problemas conhecidos

Este artigo descreve problemas comuns relacionados diretamente ao TPM (módulo de plataforma confiável) e fornece diretrizes para resolver esses problemas.

ID do Microsoft Entra: Windows Hello para Empresas e logon único não funcionam

Considere o cenário a seguir.

Um computador cliente ingressado no Microsoft Entra não pode ser autenticado corretamente. O computador está apresentando um ou mais dos seguintes sintomas:

• O Windows Hello para Empresas não funciona
• Falha no acesso condicional
• O logon único (SSO) não funciona

Além disso, no Visualizador de Eventos, o computador registra o seguinte evento de ID de Evento 1026 no Sistema de Logs>do Windows:

Nome do Log: Sistema
Fonte: Microsoft-Windows-TPM-WMI
Data: <Data e hora>
ID do evento: 1026
Categoria de tarefa: nenhum
Nível: Informações
Palavras-chave:
Usuário: SYSTEM
Computador: <Nome do computador>
Descrição:
O hardware TPM (Trusted Platform Module) neste computador não pode ser provisionado para uso automaticamente. Para configurar o TPM interativamente, use o console de gerenciamento do TPM (Start-tpm.msc>) e use a ação para preparar o TPM.
Erro: o TPM está se defendendo contra ataques de dicionário e está em um período de tempo limite.
Informações adicionais: 0x840000

Causa da ID do Microsoft Entra: Windows Hello para Empresas e logon único não funcionam

Esse evento indica que o TPM não está pronto ou tem alguma configuração que impede o acesso às chaves do TPM.

Além disso, o comportamento indica que o computador cliente não pode obter um PRT (Token de Atualização Primária).

Resolução para a ID do Microsoft Entra: Windows Hello para Empresas e logon único não funcionam

Para verificar o status do PRT, use o comando dsregcmd.exe /status para coletar informações. Na saída da ferramenta, verifique se o estado do usuário ou o estado SSO contém o atributo AzureAdPrt. Se o valor desse atributo for Não, o PRT não foi emitido. Se o valor do atributo for Não, isso poderá indicar que o computador não pôde apresentar seu certificado para autenticação.

Para resolver esse problema, siga estas etapas para solucionar problemas do TPM:

1. Abra o console de gerenciamento do TPM (tpm.msc) selecionando Iniciar e inserindo tpm.msc na caixa Pesquisar.

2. Se um aviso for exibido para desbloquear o TPM ou redefinir o bloqueio, entre em contato com o fornecedor de hardware para determinar se há uma correção conhecida para o problema.

3. Se o problema ainda não for resolvido depois de entrar em contato com o fornecedor de hardware, limpe e reinicialize o TPM seguindo as instruções no artigo Solucionar problemas do TPM: limpe todas as chaves do TPM.

   Aviso

   Limpar o TPM pode causar perda de dados.

Se na Etapa 2 não houver nenhum aviso para desbloquear o TPM ou redefinir o bloqueio, examine as configurações de firmware/BIOS UEFI do computador para qualquer configuração que possa ser usada para redefinir ou desabilitar o bloqueio.

Erro do TPM 1.2: falha ao carregar o console de gerenciamento. O dispositivo exigido pelo provedor criptográfico não está pronto para uso

Considere o cenário a seguir.

Ao tentar abrir o console de gerenciamento do TPM em um computador Windows que usa o TPM versão 1.2, a seguinte mensagem é exibida:

Falha ao carregar o console de gerenciamento. O dispositivo exigido pelo provedor criptográfico não está pronto para uso.
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
O dispositivo exigido por esse provedor criptográfico não está pronto para uso.
Versão da especificação do TPM: TPM v1.2

Em um dispositivo diferente que esteja executando a mesma versão do Windows, o console de gerenciamento do TPM pode ser aberto.

Causa (suspeita) do erro TPM 1.2: falha ao carregar o console de gerenciamento. O dispositivo exigido pelo provedor criptográfico não está pronto para uso

Esses sintomas indicam que o TPM tem problemas de hardware ou firmware.

Resolução para o erro TPM 1.2: falha ao carregar o console de gerenciamento. O dispositivo exigido pelo provedor criptográfico não está pronto para uso

Como resolver o problema:

• Alterne o modo de operação do TPM da versão 1.2 para a versão 2.0 se o dispositivo tiver essa opção disponível.

• Se alternar o TPM da versão 1.2 para a versão 2.0 não resolver o problema ou se o dispositivo não tiver o TPM versão 2.0 disponível, entre em contato com o fornecedor de hardware para determinar se há uma atualização de firmware UEFI/atualização de BIOS/atualização de TPM para o dispositivo. Se houver uma atualização disponível, instale-a para ver se ela resolve o problema.

• Se a atualização do firmware/BIOS UEFI não resolver o problema ou se não houver atualização disponível, considere substituir a placa-mãe do dispositivo entrando em contato com o fornecedor do hardware. Depois que a placa-mãe for substituída, alterne o modo de operação do TPM da versão 1.2 para a versão 2.0 se essa opção estiver disponível.

  Aviso

  A substituição da placa-mãe fará com que os dados no TPM sejam perdidos.

Os dispositivos não ingressam na ID híbrida do Microsoft Entra devido a um problema de TPM

Ao tentar ingressar um dispositivo em uma ID híbrida do Microsoft Entra, a operação de junção parece falhar.

Para verificar se a junção foi bem-sucedida, use o comando dsregcmd /status. Na saída da ferramenta, os seguintes atributos indicam que a junção foi bem-sucedida:

• AzureAdJoined: SIM
• Nome de domínio: <no local Nome de domínio>

Se o valor de AzureADJoined for Não, a operação de junção falhou.

Causas e resoluções para dispositivos não ingressam na ID híbrida do Microsoft Entra devido a um problema de TPM

Esse problema pode ocorrer quando o sistema operacional Windows não é o proprietário do TPM. A correção específica para esse problema depende de quais erros ou eventos são exibidos, conforme mostrado na tabela a seguir:

Mensagem	Motivo	Resolução
NTE_BAD_KEYSET (0x80090016/-2146893802)	A operação do TPM falhou ou foi inválida	Esse problema provavelmente foi causado por uma imagem sysprep corrompida. Ao criar uma imagem sysprep, certifique-se de usar um computador que não esteja ingressado ou registrado na ID do Microsoft Entra ou na ID híbrida do Microsoft Entra.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641)	Erro de TPM genérico.	Se o dispositivo retornar esse erro, desabilite seu TPM. Windows 10, versão 1809 e versões posteriores, detectam automaticamente falhas do TPM e concluem o ingresso híbrido do Microsoft Entra sem usar o TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154)	No momento, não há suporte para o modo FIPS do TPM.	Se o dispositivo apresentar esse erro, desative seu TPM. Windows 10, versão 1809 e versões posteriores, detectam automaticamente falhas do TPM e concluem o ingresso híbrido do Microsoft Entra sem usar o TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775)	O TPM está bloqueado.	Esse erro é transitório. Aguarde o período de desaquecimento e repita a operação de junção.

Para obter mais informações sobre problemas de TPM, consulte os seguintes artigos:

• Conceitos básicos do TPM: Anti-hammering
• Solução de problemas de dispositivos ingressados no Microsoft Entra híbrido
• Solucionar problemas do TPM