Dela via

BitLocker och TPM: andra kända problem

  • Artikel

Den här artikeln beskriver vanliga problem som är direkt relaterade till den betrodda plattformsmodulen (TPM) och ger vägledning för att lösa dessa problem.

Microsoft Entra-ID: Windows Hello för företag och enkel inloggning fungerar inte

Föreställ dig följande scenario:

En Microsoft Entra-ansluten klientdator kan inte autentiseras korrekt. Datorn upplever ett eller flera av följande symtom:

  • Windows Hello för företag fungerar inte
  • Villkorsstyrd åtkomst misslyckas
  • Enkel inloggning (SSO) fungerar inte

I Loggboken loggar datorn dessutom följande händelse-ID 1026-händelse under Windows Logs>System:

Loggnamn: System
Källa: Microsoft-Windows-TPM-WMI
Datum: <Datum och tid>
Händelse-ID: 1026
Aktivitetskategori: Ingen
Nivå: Information
Nyckelord:
Användare: SYSTEM
Dator: <Datornamn>
Beskrivning:
TPM-maskinvaran (Trusted Platform Module) på den här datorn kan inte etableras för användning automatiskt. Om du vill konfigurera TPM interaktivt använder du TPM-hanteringskonsolen (Start-tpm.msc>) och använder åtgärden för att göra TPM redo.
Fel: TPM försvarar mot ordlisteattacker och är inom en tidsgräns.
Ytterligare information: 0x840000

Orsak till Microsoft Entra-ID: Windows Hello för företag och enkel inloggning fungerar inte

Den här händelsen anger att TPM inte är redo eller har en inställning som förhindrar åtkomst till TPM-nycklarna.

Dessutom indikerar beteendet att klientdatorn inte kan hämta en primär uppdateringstoken (PRT).

Lösning för Microsoft Entra-ID: Windows Hello för företag och enkel inloggning fungerar inte

Om du vill verifiera prt-statusen använder du kommandot dsregcmd.exe /status för att samla in information. I verktygets utdata kontrollerar du att antingen Användartillstånd eller SSO-tillstånd innehåller attributet AzureAdPrt. Om värdet för det här attributet är Nej utfärdades inte PRT. Om värdet för attributet är Nej kan det tyda på att datorn inte kunde visa sitt certifikat för autentisering.

Lös problemet genom att följa dessa steg för att felsöka TPM:

  1. Öppna TPM-hanteringskonsolen (tpm.msc) genom att välja Starta och ange tpm.msc i sökrutan .

  2. Om ett meddelande visas för att antingen låsa upp TPM eller återställa utelåsningen kontaktar du maskinvaruleverantören för att avgöra om det finns en känd korrigering för problemet.

  3. Om problemet fortfarande inte har lösts efter att du har kontaktat maskinvaruleverantören rensar du och initierar om TPM genom att följa anvisningarna i artikeln Felsöka TPM: Rensa alla nycklar från TPM.

    Varning

    Om du rensar TPM kan data gå förlorade.

Om det i steg 2 inte finns något meddelande om att antingen låsa upp TPM eller återställa utelåsningen läser du inställningarna för UEFI-inbyggd programvara/BIOS på datorn för alla inställningar som kan användas för att återställa eller inaktivera utelåsningen.

TPM 1.2 Fel: Inläsningen av hanteringskonsolen misslyckades. Den enhet som krävs av kryptografiprovidern är inte redo att användas

Föreställ dig följande scenario:

När du försöker öppna TPM-hanteringskonsolen på en Windows-dator som använder TPM version 1.2 visas följande meddelande:

Det gick inte att läsa in hanteringskonsolen. Den enhet som krävs av kryptografiprovidern är inte redo att användas.
HRESULT 0x800900300x80090030 – NTE_DEVICE_NOT_READY
Den enhet som krävs av den här kryptografiska providern är inte redo att användas.
TPM Spec-version: TPM v1.2

På en annan enhet som kör samma version av Windows kan TPM-hanteringskonsolen öppnas.

Orsak (misstänkt) för TPM 1.2-fel: Inläsningen av hanteringskonsolen misslyckades. Den enhet som krävs av kryptografiprovidern är inte redo att användas

Dessa symtom tyder på att TPM har problem med maskinvara eller inbyggd programvara.

Lösning för TPM 1.2-fel: Inläsningen av hanteringskonsolen misslyckades. Den enhet som krävs av kryptografiprovidern är inte redo att användas

Så här löser du problemet:

  • Växla TPM-driftläget från version 1.2 till version 2.0 om enheten har det här alternativet tillgängligt.

  • Om du inte löser problemet genom att byta TPM från version 1.2 till version 2.0, eller om enheten inte har TPM version 2.0 tillgänglig, kontaktar du maskinvaruleverantören för att avgöra om det finns en uppdatering av UEFI-inbyggd programvara/BIOS-uppdatering/TPM-uppdatering för enheten. Om det finns en tillgänglig uppdatering installerar du uppdateringen för att se om den löser problemet.

  • Om uppdateringen av UEFI:s inbyggda programvara/BIOS inte löser problemet, eller om det inte finns någon tillgänglig uppdatering, bör du överväga att ersätta enhetens moderkort genom att kontakta maskinvaruleverantören. När moderkortet har ersatts växlar du TPM-driftläget från version 1.2 till version 2.0 om det här alternativet är tillgängligt.

    Varning

    Om moderkortet byts ut går data i TPM förlorade.

Enheter ansluter inte microsoft entra-hybrid-ID på grund av ett TPM-problem

När du försöker ansluta en enhet till ett Microsoft Entra-hybrid-ID verkar kopplingsåtgärden misslyckas.

Kontrollera att kopplingen lyckades genom att använda kommandot dsregcmd /status. I verktygets utdata anger följande attribut att kopplingen lyckades:

  • AzureAdJoined: JA
  • DomainName: <lokalt domännamn>

Om värdet för AzureADJoined är Nej misslyckades kopplingsåtgärden.

Orsaker och lösningar för enheter ansluter inte till Microsoft Entra-hybrid-ID på grund av ett TPM-problem

Det här problemet kan uppstå när Windows-operativsystemet inte är ägare till TPM. Den specifika korrigeringen för det här problemet beror på vilka fel eller händelser som visas, enligt följande tabell:

Meddelande Orsak Åtgärd
NTE_BAD_KEYSET (0x80090016/-2146893802) TPM-åtgärden misslyckades eller var ogiltig Det här problemet orsakades förmodligen av en skadad sysprep-avbildning. När du skapar en sysprep-avbildning ska du använda en dator som inte är ansluten till eller registrerad i Microsoft Entra-ID eller Microsoft Entra-hybrid-ID.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Allmänt TPM-fel. Om enheten returnerar det här felet inaktiverar du dess TPM. Windows 10, version 1809 och senare versioner, identifierar automatiskt TPM-fel och slutför Microsoft Entra-hybridanslutningen utan att använda TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) FIPS-läget för TPM stöds för närvarande inte. Om enheten ger det här felet inaktiverar du dess TPM. Windows 10, version 1809 och senare versioner, identifierar automatiskt TPM-fel och slutför Microsoft Entra-hybridanslutningen utan att använda TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) TPM är utelåst. Det här felet är tillfälligt. Vänta på nedkylningsperioden och försök sedan ansluta igen.

Mer information om TPM-problem finns i följande artiklar: