Dela via


BitLocker och TPM: andra kända problem

Den här artikeln beskriver vanliga problem som är direkt relaterade till den betrodda plattformsmodulen (TPM) och ger vägledning för att åtgärda dessa problem.

Microsoft Entra ID: Windows Hello för företag och enkel inloggning fungerar inte

Tänk dig följande situation:

En Microsoft Entra ansluten klientdator kan inte autentiseras korrekt. Datorn upplever ett eller flera av följande symptom:

  • Windows Hello för företag fungerar inte
  • Villkorsstyrd åtkomst misslyckas
  • Enkel inloggning (SSO) fungerar inte

I Loggboken loggar datorn dessutom följande händelse-ID 1026-händelse under Windows Logs>System:

Loggnamn: System
Källa: Microsoft-Windows-TPM-WMI
Datum: <Datum och tid>
Händelse-ID: 1026
Aktivitetskategori: Ingen
Nivå: Information
Sökord:
Användare: SYSTEM
Dator: <Datornamn>
Beskrivning:
TPM-maskinvaran (Trusted Platform Module) på den här datorn kan inte etableras för användning automatiskt. Om du vill konfigurera TPM interaktivt använder du TPM-hanteringskonsolen (Start-tpm.msc>) och använder åtgärden för att göra TPM redo.
Fel: TPM:n skyddar mot ordlisteattacker och är inom en tidsgräns.
Ytterligare information: 0x840000

Orsak till Microsoft Entra ID: Windows Hello för företag och enkel inloggning fungerar inte

Den här händelsen anger att TPM inte är redo eller har en inställning som förhindrar åtkomst till TPM-nycklarna.

Dessutom indikerar beteendet att klientdatorn inte kan hämta en primär uppdateringstoken (PRT).

Lösning för Microsoft Entra ID: Windows Hello för företag och enkel inloggning fungerar inte

Om du vill kontrollera status för PRT använder du kommandot dsregcmd.exe /status för att samla in information. I verktygets utdata kontrollerar du att antingen Användartillstånd eller SSO-tillstånd innehåller attributet AzureAdPrt . Om värdet för det här attributet är Nej utfärdades inte PRT. Om värdet för attributet är Nej kan det tyda på att datorn inte kunde presentera sitt certifikat för autentisering.

Lös problemet genom att följa dessa steg för att felsöka TPM:

  1. Öppna TPM-hanteringskonsolen (tpm.msc) genom att välja Starta och ange tpm.msc i sökrutan .

  2. Om ett meddelande visas för att antingen låsa upp TPM eller återställa utelåsningen kontaktar du maskinvaruleverantören för att avgöra om det finns en känd korrigering för problemet.

  3. Om problemet fortfarande inte har lösts efter att du har kontaktat maskinvaruleverantören rensar du och initierar om TPM genom att följa anvisningarna i artikeln FelsökA TPM: Rensa alla nycklar från TPM.

    Varning

    Om du rensar TPM kan data gå förlorade.

Om det i steg 2 inte finns något meddelande om att antingen låsa upp TPM eller återställa utelåsningen kan du läsa inställningarna för UEFI-inbyggd programvara/BIOS på datorn för att se om det finns någon inställning som kan användas för att återställa eller inaktivera utelåsningen.

TPM 1.2 Fel: Det gick inte att läsa in hanteringskonsolen. Den enhet som krävs av kryptografiprovidern är inte redo att användas

Tänk dig följande situation:

När du försöker öppna TPM-hanteringskonsolen på en Windows-dator som använder TPM version 1.2 visas följande meddelande:

Det gick inte att läsa in hanteringskonsolen. Den enhet som krävs av kryptografiprovidern är inte redo att användas.
HRESULT 0x800900300x80090030 – NTE_DEVICE_NOT_READY
Den enhet som krävs av den här kryptografiska providern är inte redo att användas.
TPM-specifikationsversion: TPM v1.2

På en annan enhet som kör samma version av Windows kan TPM-hanteringskonsolen öppnas.

Orsak (misstänkt) för TPM 1.2-fel: Det gick inte att läsa in hanteringskonsolen. Den enhet som krävs av kryptografiprovidern är inte redo att användas

Dessa symptom tyder på att TPM har problem med maskinvara eller inbyggd programvara.

Lösning för TPM 1.2-fel: Det gick inte att läsa in hanteringskonsolen. Den enhet som krävs av kryptografiprovidern är inte redo att användas

Så här löser du problemet:

  • Växla TPM-driftsläget från version 1.2 till version 2.0 om enheten har det här alternativet tillgängligt.

  • Om växling av TPM från version 1.2 till version 2.0 inte löser problemet, eller om enheten inte har TPM version 2.0 tillgänglig, kontaktar du maskinvaruleverantören för att avgöra om det finns en uppdatering av den inbyggda UEFI-programvaran/BIOS-uppdatering/TPM-uppdatering för enheten. Om det finns en tillgänglig uppdatering installerar du uppdateringen för att se om den löser problemet.

  • Om uppdatering av UEFI-inbyggd programvara/BIOS inte löser problemet, eller om det inte finns någon tillgänglig uppdatering, bör du överväga att ersätta enhetens moderkort genom att kontakta maskinvaruleverantören. När moderkortet har ersatts växlar du TPM-driftsläget från version 1.2 till version 2.0 om det här alternativet är tillgängligt.

    Varning

    Om du ersätter moderkortet går data i TPM förlorade.

Enheter ansluter inte till hybrid Microsoft Entra ID på grund av ett TPM-problem

När du försöker ansluta en enhet till en hybrid Microsoft Entra ID verkar kopplingsåtgärden misslyckas.

Kontrollera att kopplingen lyckades genom att använda kommandot dsregcmd /status. I verktygets utdata anger följande attribut att kopplingen lyckades:

  • AzureAdJoined: JA
  • DomainName: <lokalt domännamn>

Om värdet för AzureADJoined är Nej misslyckades kopplingsåtgärden.

Orsaker och lösningar för enheter ansluter inte till hybrid Microsoft Entra ID på grund av ett TPM-problem

Det här problemet kan inträffa när Windows-operativsystemet inte är ägare till TPM. Den specifika korrigeringen för det här problemet beror på vilka fel eller händelser som visas, enligt följande tabell:

Meddelande Anledning Åtgärd
NTE_BAD_KEYSET (0x80090016/-2146893802) TPM-åtgärden misslyckades eller var ogiltig Det här problemet orsakades förmodligen av en skadad sysprep-avbildning. När du skapar en sysprep-avbildning ska du använda en dator som inte är ansluten till eller registrerad i Microsoft Entra ID eller hybrid Microsoft Entra ID.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Allmänt TPM-fel. Om enheten returnerar det här felet inaktiverar du dess TPM. Windows 10 version 1809 och senare versioner identifierar du automatiskt TPM-fel och slutför Microsoft Entra hybridanslutning utan att använda TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) FIPS-läget för TPM stöds för närvarande inte. Om enheten anger det här felet inaktiverar du dess TPM. Windows 10 version 1809 och senare versioner identifierar du automatiskt TPM-fel och slutför Microsoft Entra hybridanslutning utan att använda TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) TPM är utelåst. Det här felet är tillfälligt. Vänta på nedkylningsperioden och försök sedan ansluta igen.

Mer information om TPM-problem finns i följande artiklar: