Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano typowe problemy związane bezpośrednio z modułem TPM (Trusted Platform Module) oraz wskazówki dotyczące rozwiązywania tych problemów.
Microsoft Entra ID: Windows Hello dla firm i logowanie jednokrotne nie działają
Rozważmy następujący scenariusz:
Komputer kliencki przyłączony do firmy Microsoft Entra nie może poprawnie się uwierzytelnić. Na komputerze występuje co najmniej jeden z następujących objawów:
- Windows Hello dla firm nie działa
- Dostęp warunkowy kończy się niepowodzeniem
- Logowanie jednokrotne (SSO) nie działa
Ponadto w Podgląd zdarzeń komputer rejestruje następujące zdarzenie o identyfikatorze zdarzenia 1026 w obszarze System dzienników>systemu Windows:
Nazwa dziennika: System
Źródło: Microsoft-Windows-TPM-WMI
Data: <data i godzina>
Identyfikator zdarzenia: 1026
Kategoria zadania: Brak
Poziom: Informacje
Słowa kluczowe:
Użytkownik: SYSTEM
Komputer: <nazwa komputera>
Opis rozwiązania:
Nie można automatycznie aprowizować sprzętu modułu TPM (Trusted Platform Module) na tym komputerze. Aby skonfigurować moduł TPM interaktywnie, użyj konsoli zarządzania modułu TPM (Start-tpm.msc>) i użyj akcji , aby moduł TPM był gotowy.
Błąd: Moduł TPM broni przed atakami słownika i występuje w okresie przekroczenia limitu czasu.
Dodatkowe informacje: 0x840000
Przyczyna identyfikatora Entra firmy Microsoft: Windows Hello dla firm i logowanie jednokrotne nie działają
To zdarzenie oznacza, że moduł TPM nie jest gotowy lub ma pewne ustawienie, które uniemożliwia dostęp do kluczy modułu TPM.
Ponadto zachowanie wskazuje, że komputer kliencki nie może uzyskać podstawowego tokenu odświeżania (PRT).
Rozwiązanie problemu dla identyfikatora Entra firmy Microsoft: Windows Hello dla firm i logowanie jednokrotne nie działają
Aby sprawdzić stan prT, użyj polecenia dsregcmd.exe /status , aby zebrać informacje. W danych wyjściowych narzędzia sprawdź, czy stan użytkownika lub stan logowania jednokrotnego zawiera atrybut AzureAdPrt. Jeśli wartość tego atrybutu to Nie, żądanie ściągnięcia nie zostało wystawione. Jeśli wartość atrybutu to Nie, może wskazywać, że komputer nie może przedstawić certyfikatu do uwierzytelniania.
Aby rozwiązać ten problem, wykonaj następujące kroki, aby rozwiązać problem z modułem TPM:
Otwórz konsolę zarządzania modułem TPM (tpm.msc), wybierając pozycję Start i wprowadzając plik tpm.msc w polu Wyszukaj.
Jeśli zostanie wyświetlone powiadomienie o odblokowaniu modułu TPM lub zresetowaniu blokady, skontaktuj się z dostawcą sprzętu, aby ustalić, czy istnieje znana poprawka problemu.
Jeśli problem nadal nie został rozwiązany po skontaktowaniu się z dostawcą sprzętu, wyczyść i ponownie zainicjuj moduł TPM, postępując zgodnie z instrukcjami w artykule Rozwiązywanie problemów z modułem TPM: Wyczyść wszystkie klucze z modułu TPM.
Ostrzeżenie
Wyczyszczenie modułu TPM może spowodować utratę danych.
Jeśli w kroku 2 nie ma powiadomienia o odblokowaniu modułu TPM lub zresetowaniu blokady, przejrzyj ustawienia oprogramowania układowego UEFI/BIOS komputera pod kątem dowolnego ustawienia, którego można użyć do zresetowania lub wyłączenia blokady.
Błąd modułu TPM 1.2: Ładowanie konsoli zarządzania nie powiodło się. Urządzenie wymagane przez dostawcę usług kryptograficznych nie jest gotowe do użycia
Rozważmy następujący scenariusz:
Podczas próby otwarcia konsoli zarządzania modułu TPM na komputerze z systemem Windows, który korzysta z modułu TPM w wersji 1.2, zostanie wyświetlony następujący komunikat:
Ładowanie konsoli zarządzania nie powiodło się. Urządzenie wymagane przez dostawcę kryptograficznego nie jest gotowe do użycia.
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
Urządzenie wymagane przez tego dostawcę kryptograficznego nie jest gotowe do użycia.
Wersja specyfikacji modułu TPM: MODUŁ TPM w wersji 1.2
Na innym urządzeniu z tą samą wersją systemu Windows można otworzyć konsolę zarządzania modułem TPM.
Przyczyna (podejrzewana) z modułu TPM 1.2 Błąd: ładowanie konsoli zarządzania nie powiodło się. Urządzenie wymagane przez dostawcę usług kryptograficznych nie jest gotowe do użycia
Te objawy wskazują, że moduł TPM ma problemy ze sprzętem lub oprogramowaniem układowym.
Rozwiązanie problemu dotyczącego modułu TPM 1.2 — błąd: ładowanie konsoli zarządzania nie powiodło się. Urządzenie wymagane przez dostawcę usług kryptograficznych nie jest gotowe do użycia
W celu rozwiązania tego problemu:
Przełącz tryb operacyjny modułu TPM z wersji 1.2 na wersję 2.0, jeśli urządzenie ma tę opcję.
Jeśli przełączenie modułu TPM z wersji 1.2 na wersję 2.0 nie rozwiąże problemu lub jeśli urządzenie nie ma dostępnej wersji 2.0 modułu TPM, skontaktuj się z dostawcą sprzętu, aby ustalić, czy istnieje aktualizacja oprogramowania układowego UEFI/aktualizacja systemu BIOS/aktualizacja modułu TPM dla urządzenia. Jeśli jest dostępna aktualizacja, zainstaluj aktualizację, aby sprawdzić, czy rozwiąże problem.
Jeśli aktualizacja oprogramowania układowego UEFI/systemu BIOS nie rozwiąże problemu lub jeśli nie ma dostępnej aktualizacji, rozważ zastąpienie płyty głównej urządzenia przez skontaktowanie się z dostawcą sprzętu. Po zastąpieniu płyty głównej przełącz tryb operacyjny modułu TPM z wersji 1.2 na wersję 2.0, jeśli ta opcja jest dostępna.
Ostrzeżenie
Wymiana płyty głównej spowoduje utratę danych w module TPM.
Urządzenia nie dołączają hybrydowego identyfikatora firmy Microsoft Entra z powodu problemu z modułem TPM
Podczas próby dołączenia urządzenia do hybrydowego identyfikatora Entra firmy Microsoft operacja sprzężenia wydaje się zakończyć się niepowodzeniem.
Aby sprawdzić, czy sprzężenie zakończyło się pomyślnie, użyj polecenia dsregcmd /status. W danych wyjściowych narzędzia następujące atrybuty wskazują, że sprzężenia zakończyły się pomyślnie:
- AzureAdJoined: TAK
- Nazwadomeny: <lokalna nazwa domeny>
Jeśli wartość parametru AzureADJoined ma wartość Nie, operacja sprzężenia nie powiodła się.
Przyczyny i rozwiązania dotyczące urządzeń nie dołączają hybrydowego identyfikatora firmy Microsoft Entra z powodu problemu z modułem TPM
Ten problem może wystąpić, gdy system operacyjny Windows nie jest właścicielem modułu TPM. Konkretna poprawka tego problemu zależy od tego, które błędy lub zdarzenia są wyświetlane, jak pokazano w poniższej tabeli:
| Komunikat | Przyczyna | Rozwiązanie |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | Operacja modułu TPM nie powiodła się lub była nieprawidłowa | Ten problem był prawdopodobnie spowodowany uszkodzonym obrazem sysprep. Podczas tworzenia obrazu sysprep upewnij się, że używasz komputera, który nie jest przyłączony do ani zarejestrowany w identyfikatorze Entra firmy Microsoft lub hybrydowym identyfikatorze Microsoft Entra. |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Ogólny błąd modułu TPM. | Jeśli urządzenie zwróci ten błąd, wyłącz moduł TPM. System Windows 10 w wersji 1809 lub nowszej automatycznie wykrywa błędy modułu TPM i kończy dołączanie hybrydowe firmy Microsoft Entra bez korzystania z modułu TPM. |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | Tryb FIPS modułu TPM nie jest obecnie obsługiwany. | Jeśli urządzenie wyświetla ten błąd, wyłącz moduł TPM. System Windows 10 w wersji 1809 lub nowszej automatycznie wykrywa błędy modułu TPM i kończy dołączanie hybrydowe firmy Microsoft Entra bez korzystania z modułu TPM. |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | Moduł TPM jest zablokowany. | Ten błąd jest przejściowy. Poczekaj na okres ochładzania, a następnie spróbuj ponownie wykonać operację sprzężenia. |
Aby uzyskać więcej informacji na temat problemów z modułem TPM, zobacz następujące artykuły: