BitLocker 和 TPM:其他已知问题
本文介绍与受信任的平台模块(TPM)直接相关的常见问题,并提供解决这些问题的指导。
Microsoft Entra ID:Windows Hello 企业版和单一登录不起作用
假设出现了下面这种情景:
Microsoft已加入 Entra 的客户端计算机无法正确进行身份验证。 计算机遇到以下一个或多个症状:
- Windows Hello 企业版不起作用
- 条件访问失败
- 单一登录 (SSO) 不起作用
此外,在 事件查看器 中,计算机在 Windows 日志>系统下记录以下事件 ID 1026 事件:
日志名称: 系统
源:Microsoft-Windows-TPM-WMI
日期: <日期和时间>
事件 ID:1026
任务类别:无
级别:信息
关键字:
用户: 系统
计算机: <计算机名称>
说明:
无法预配此计算机上的受信任平台模块 (TPM) 硬件以自动使用。 若要以交互方式设置 TPM,请使用 TPM 管理控制台(Start-tpm.msc>),并使用该操作使 TPM 准备就绪。
错误:TPM 正在防御字典攻击,并且处于超时期。
其他信息:0x840000
Microsoft Entra ID 的原因:Windows Hello 企业版和单一登录不起作用
此事件指示 TPM 未就绪或具有阻止访问 TPM 密钥的一些设置。
此外,该行为指示客户端计算机无法获取主刷新令牌(PRT)。
Microsoft Entra ID 的解决方法:Windows Hello 企业版和单一登录不起作用
若要验证 PRT 的状态,请使用 dsregcmd.exe /status 命令来收集信息。 在工具输出中,验证用户状态或 SSO 状态是否包含 AzureAdPrt 属性。 如果此属性的值为 “否”,则未发出 PRT。 如果该属性的值为 “否”,则它可能指示计算机无法显示其证书进行身份验证。
若要解决此问题,请执行以下步骤来排查 TPM 问题:
选择“开始”并在“搜索”框中输入 tpm.msc,打开 TPM 管理控制台(tpm.msc)。
如果显示用于解锁 TPM 或重置锁定的通知,请与硬件供应商联系以确定问题是否存在已知修补程序。
如果与硬件供应商联系后仍无法解决问题,请按照“TPM 故障排除”一文 中的说明清除和重新初始化 TPM:清除 TPM 中的所有密钥。
警告
清除 TPM 可能会导致数据丢失。
如果在步骤 2 中没有通知解锁 TPM 或重置锁定,请查看计算机的 UEFI 固件/BIOS 设置,了解可用于重置或禁用锁定的任何设置。
TPM 1.2 错误:加载管理控制台失败。 加密提供程序所需的设备尚未准备好使用
假设出现了下面这种情景:
尝试在使用 TPM 版本 1.2 的 Windows 计算机上打开 TPM 管理控制台时,将显示以下消息:
加载管理控制台失败。 加密提供程序所需的设备尚未准备好使用。
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
此加密提供程序所需的设备尚未准备好使用。
TPM 规范版本:TPM v1.2
在运行相同版本的 Windows 的其他设备上,可以打开 TPM 管理控制台。
TPM 1.2 错误的原因(疑似):加载管理控制台失败。 加密提供程序所需的设备尚未准备好使用
这些症状表明 TPM 存在硬件或固件问题。
TPM 1.2 错误:加载管理控制台失败。 加密提供程序所需的设备尚未准备好使用
若要解决问题,请执行以下操作:
如果设备具有此选项,请将 TPM 操作模式从版本 1.2 切换到版本 2.0。
如果将 TPM 从版本 1.2 切换到版本 2.0 无法解决问题,或者设备没有可用的 TPM 版本 2.0,请联系硬件供应商以确定设备是否有 UEFI 固件更新/BIOS 更新/TPM 更新。 如果有可用的更新,请安装更新以查看它是否解决了该问题。
如果更新 UEFI 固件/BIOS 无法解决问题,或者没有可用的更新,请考虑通过联系硬件供应商替换设备主板。 更换主板后,如果此选项可用,请将 TPM 操作模式从版本 1.2 切换到版本 2.0。
警告
更换主板将导致 TPM 中的数据丢失。
由于 TPM 问题,设备未加入混合Microsoft Entra ID
尝试将设备加入混合Microsoft Entra ID 时,联接操作似乎失败。
若要验证联接是否成功,请使用 dsregcmd /status 命令。 在工具输出中,以下属性指示联接成功:
- AzureAdJoined:是
- DomainName: <本地域名>
如果 AzureADJoined 的值为 No,则联接操作失败。
由于 TPM 问题,设备的原因和解决方法不会加入混合Microsoft Entra ID
当 Windows 操作系统不是 TPM 的所有者时,可能会出现此问题。 此问题的具体修补程序取决于显示哪些错误或事件,如下表所示:
| 消息 | 原因 | 解决方法 |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | TPM 操作失败或无效 | 此问题可能是由损坏的 sysprep 映像引起的。 创建 sysprep 映像时,请确保使用未加入或注册到 Microsoft Entra ID 或混合Microsoft Entra ID 中的计算机。 |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | 一般 TPM 错误。 | 如果设备返回此错误,请禁用其 TPM。 Windows 10 版本 1809 及更高版本自动检测 TPM 故障,并在不使用 TPM 的情况下完成 Microsoft Entra 混合联接。 |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | 目前不支持 TPM 的 FIPS 模式。 | 如果设备提供此错误,请禁用其 TPM。 Windows 10 版本 1809 及更高版本自动检测 TPM 故障,并在不使用 TPM 的情况下完成 Microsoft Entra 混合联接。 |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | TPM 已锁定。 | 此错误是暂时性的。 等待冷却期,然后重试联接操作。 |
有关 TPM 问题的详细信息,请参阅以下文章: