BitLocker y TPM: otros problemas conocidos
En este artículo se describen problemas comunes relacionados directamente con el módulo de plataforma de confianza (TPM) y se proporcionan instrucciones para solucionar estos problemas.
Microsoft Entra ID: Windows Hello para empresas y el inicio de sesión único no funcionan
Imagine la siguiente situación:
Un Microsoft Entra equipo cliente unido no se puede autenticar correctamente. El equipo está experimentando uno o varios de los siguientes síntomas:
- Windows Hello para empresas no funciona
- Error en el acceso condicional
- El inicio de sesión único (SSO) no funciona
Además, en Visor de eventos, el equipo registra el siguiente evento de identificador de evento 1026 en Sistema de registros>de Windows:
Nombre de registro: Sistema
Origen: Microsoft-Windows-TPM-WMI
Fecha: <fecha y hora>
Identificador de evento: 1026
Categoría de tarea: Ninguno
Nivel: Información
Palabras clave:
Usuario: SISTEMA
Equipo: <Nombre del equipo>
Descripción:
El hardware del módulo de plataforma segura (TPM) de este equipo no se puede aprovisionar para su uso automáticamente. Para configurar el TPM de forma interactiva, use la consola de administración de TPM (Start-tpm.msc>) y use la acción para preparar el TPM.
Error: El TPM se está defendiendo frente a ataques de diccionario y está en un período de tiempo de espera.
Información adicional: 0x840000
Causa de Microsoft Entra ID: Windows Hello para empresas y el inicio de sesión único no funcionan
Este evento indica que el TPM no está listo o que tiene alguna configuración que impide el acceso a las claves de TPM.
Además, el comportamiento indica que el equipo cliente no puede obtener un token de actualización principal (PRT).
Resolución de Microsoft Entra ID: Windows Hello para empresas y el inicio de sesión único no funcionan
Para comprobar el estado del PRT, use el comando dsregcmd.exe /status para recopilar información. En la salida de la herramienta, compruebe que estado de usuario o de inicio de sesión único contiene el atributo AzureAdPrt . Si el valor de este atributo es No, no se emitió el PRT. Si el valor del atributo es No, puede indicar que el equipo no pudo presentar su certificado para la autenticación.
Para resolver este problema, siga estos pasos para solucionar problemas del TPM:
Para abrir la consola de administración de TPM (tpm.msc), seleccione Iniciar y escriba tpm.msc en el cuadro De búsqueda .
Si se muestra un aviso para desbloquear el TPM o restablecer el bloqueo, póngase en contacto con el proveedor de hardware para determinar si hay una corrección conocida para el problema.
Si el problema sigue sin resolverse después de ponerse en contacto con el proveedor de hardware, borre y reinicialice el TPM siguiendo las instrucciones del artículo Solución de problemas del TPM: Borrar todas las claves del TPM.
Advertencia
Borrar el TPM puede provocar la pérdida de datos.
Si en el paso 2 no hay ningún aviso para desbloquear el TPM o restablecer el bloqueo, revise la configuración de firmware o BIOS de UEFI del equipo para ver cualquier configuración que se pueda usar para restablecer o deshabilitar el bloqueo.
TPM 1.2 Error: Error al cargar la consola de administración. El dispositivo requerido por el proveedor criptográfico no está listo para su uso
Imagine la siguiente situación:
Al intentar abrir la consola de administración de TPM en un equipo Windows que usa tpm versión 1.2, se muestra el siguiente mensaje:
Error al cargar la consola de administración. El dispositivo requerido por el proveedor criptográfico no está listo para su uso.
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
El dispositivo que requiere este proveedor criptográfico no está listo para su uso.
Versión de especificación de TPM: TPM v1.2
En otro dispositivo que ejecuta la misma versión de Windows, se puede abrir la consola de administración de TPM.
Causa (sospecha) de TPM 1.2 Error: Error al cargar la consola de administración. El dispositivo requerido por el proveedor criptográfico no está listo para su uso
Estos síntomas indican que el TPM tiene problemas de hardware o firmware.
Resolución de TPM 1.2 Error: Error al cargar la consola de administración. El dispositivo requerido por el proveedor criptográfico no está listo para su uso
Para resolver el problema:
Cambie el modo de funcionamiento de TPM de la versión 1.2 a la versión 2.0 si el dispositivo tiene esta opción disponible.
Si el cambio del TPM de la versión 1.2 a la versión 2.0 no resuelve el problema o si el dispositivo no tiene disponible la versión 2.0 de TPM, póngase en contacto con el proveedor de hardware para determinar si hay una actualización de firmware UEFI, actualización del BIOS o actualización de TPM para el dispositivo. Si hay una actualización disponible, instale la actualización para ver si resuelve el problema.
Si la actualización del firmware o bios de UEFI no resuelve el problema, o si no hay ninguna actualización disponible, considere la posibilidad de reemplazar la placa base del dispositivo poniéndose en contacto con el proveedor de hardware. Una vez reemplazada la placa base, cambie el modo de funcionamiento del TPM de la versión 1.2 a la versión 2.0 si esta opción está disponible.
Advertencia
La sustitución de la placa base hará que se pierdan los datos del TPM.
Los dispositivos no se unen a Microsoft Entra ID híbridas debido a un problema de TPM
Al intentar unir un dispositivo a un Microsoft Entra ID híbrido, parece que se produce un error en la operación de unión.
Para comprobar que la combinación se realizó correctamente, use el comando dsregcmd /status. En la salida de la herramienta, los atributos siguientes indican que la combinación se realizó correctamente:
- AzureAdJoined: SÍ
- DomainName: <nombre de dominio local>
Si el valor de AzureADJoined es No, se produjo un error en la operación de combinación.
Las causas y las resoluciones de los dispositivos no se unen a Microsoft Entra ID híbridas debido a un problema de TPM
Este problema puede producirse cuando el sistema operativo Windows no es el propietario del TPM. La corrección específica para este problema depende de los errores o eventos que se muestren, como se muestra en la tabla siguiente:
| Mensaje | Reason | Solución |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | Error en la operación tpm o no era válida | Este problema probablemente se debe a una imagen de sysprep dañada. Al crear una imagen sysprep, asegúrese de usar un equipo que no esté unido o registrado en Microsoft Entra ID o Microsoft Entra ID híbrido. |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Error de TPM genérico. | Si el dispositivo devuelve este error, deshabilite su TPM. Windows 10, versión 1809 y versiones posteriores, detecte automáticamente errores de TPM y finalice la Microsoft Entra unión híbrida sin usar el TPM. |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | Actualmente no se admite el modo FIPS del TPM. | Si el dispositivo produce este error, deshabilite su TPM. Windows 10, versión 1809 y versiones posteriores, detecte automáticamente errores de TPM y finalice la Microsoft Entra unión híbrida sin usar el TPM. |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | El TPM está bloqueado. | Este error es transitorio. Espere el período de recuperación y vuelva a intentar la operación de unión. |
Para obtener más información sobre los problemas de TPM, consulte los artículos siguientes:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de