BitLocker e TPM: outros problemas conhecidos

Este artigo descreve problemas comuns que se relacionam diretamente com o TPM (módulo de plataforma confiável) e fornece diretrizes para resolver esses problemas.

Microsoft Entra ID: Windows Hello para Empresas e logon único não funcionam

Considere o seguinte cenário:

Um Microsoft Entra computador cliente ingressado não pode se autenticar corretamente. O computador está experimentando um ou mais dos seguintes sintomas:

• Windows Hello para Empresas não funciona
• Falha no acesso condicional
• O SSO (logon único) não funciona

Além disso, em Visualizador de Eventos, o computador registra o seguinte evento de ID de Evento 1026 no Sistema de Logs>do Windows:

Nome do Log: Sistema
Fonte: Microsoft-Windows-TPM-WMI
Data: <data e hora>
ID do evento: 1026
Categoria da Tarefa: Nenhuma
Nível: Informações
Palavras-chave:
Usuário: SYSTEM
Computador: <Nome do computador>
Descrição:
O hardware do TPM (Trusted Platform Module) neste computador não pode ser provisionado para uso automaticamente. Para configurar o TPM interativamente, use o TPM console de gerenciamento (Start-tpm.msc>) e use a ação para deixar o TPM pronto.
Erro: o TPM está se defendendo contra ataques de dicionário e está em um período de tempo limite.
Informações adicionais: 0x840000

Causa do Microsoft Entra ID: Windows Hello para Empresas e logon único não funcionam

Esse evento indica que o TPM não está pronto ou tem alguma configuração que impede o acesso às chaves TPM.

Além disso, o comportamento indica que o computador cliente não pode obter um PRT (Token de Atualização Primária).

Resolução para Microsoft Entra ID: Windows Hello para Empresas e logon único não funcionam

Para verificar o status do PRT, use o comando dsregcmd.exe /status para coletar informações. Na saída da ferramenta, verifique se o estado do usuário ou o estado SSO contém o atributo AzureAdPrt . Se o valor desse atributo for Não, o PRT não será emitido. Se o valor do atributo for Não, pode indicar que o computador não pôde apresentar seu certificado para autenticação.

Para resolve esse problema, siga estas etapas para solucionar problemas do TPM:

1. Abra o TPM console de gerenciamento (tpm.msc) selecionando Iniciar e inserindo tpm.msc na caixa Pesquisa.

2. Se um aviso for exibido para desbloquear o TPM ou redefinir o bloqueio, entre em contato com o fornecedor de hardware para determinar se há uma correção conhecida para o problema.

3. Se o problema ainda não for resolvido após entrar em contato com o fornecedor de hardware, desmarque e reinitialize o TPM seguindo as instruções no artigo Solucionar problemas do TPM: desmarque todas as chaves do TPM.

   Aviso

   Limpar o TPM pode causar perda de dados.

Se na Etapa 2 não houver nenhum aviso para desbloquear o TPM ou redefinir o bloqueio, examine as configurações de firmware/BIOS UEFI do computador para qualquer configuração que possa ser usada para redefinir ou desabilitar o bloqueio.

Erro do TPM 1.2: o carregamento do console de gerenciamento falhou. O dispositivo exigido pelo provedor de criptografia não está pronto para uso

Considere o seguinte cenário:

Ao tentar abrir o TPM console de gerenciamento em um computador Windows que usa o TPM versão 1.2, a seguinte mensagem é exibida:

O carregamento do console de gerenciamento falhou. O dispositivo exigido pelo provedor criptográfico não está pronto para uso.
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
O dispositivo exigido por esse provedor criptográfico não está pronto para uso.
Versão do TPM Spec: TPM v1.2

Em um dispositivo diferente que está executando a mesma versão do Windows, o TPM console de gerenciamento pode ser aberto.

Causa (suspeita) do erro TPM 1.2: falha no carregamento do console de gerenciamento. O dispositivo exigido pelo provedor de criptografia não está pronto para uso

Esses sintomas indicam que o TPM tem problemas de hardware ou firmware.

Erro de resolução do TPM 1.2: o carregamento do console de gerenciamento falhou. O dispositivo exigido pelo provedor de criptografia não está pronto para uso

Para resolver a questão:

• Alterne o modo operacional TPM da versão 1.2 para a versão 2.0 se o dispositivo tiver essa opção disponível.

• Se alternar o TPM da versão 1.2 para a versão 2.0 não resolve o problema ou se o dispositivo não tiver o TPM versão 2.0 disponível, entre em contato com o fornecedor de hardware para determinar se há uma atualização de firmware UEFI/atualização do BIOS/atualização do TPM para o dispositivo. Se houver uma atualização disponível, instale a atualização para ver se ela resolve o problema.

• Se a atualização do firmware/BIOS da UEFI não resolve o problema ou se não houver nenhuma atualização disponível, considere substituir a placa-mãe do dispositivo entrando em contato com o fornecedor de hardware. Depois que a placa-mãe for substituída, alterne o modo operacional TPM da versão 1.2 para a versão 2.0 se essa opção estiver disponível.

  Aviso

  A substituição da placa-mãe fará com que os dados no TPM sejam perdidos.

Os dispositivos não ingressam em Microsoft Entra ID híbridas devido a um problema de TPM

Ao tentar ingressar um dispositivo em um Microsoft Entra ID híbrido, a operação de junção parece falhar.

Para verificar se a junção foi bem-sucedida, use o comando dsregcmd /status. Na saída da ferramenta, os seguintes atributos indicam que a junção foi bem-sucedida:

• AzureAdJoined: SIM
• DomainName: <nome de domínio on-prem>

Se o valor do AzureADJoined for Não, a operação de junção falhará.

Causas e resoluções para dispositivos não se juntam a Microsoft Entra ID híbridas devido a um problema de TPM

Esse problema pode ocorrer quando o sistema operacional Windows não é o proprietário do TPM. A correção específica para esse problema depende de quais erros ou eventos são exibidos, conforme mostrado na tabela a seguir:

Para obter mais informações sobre problemas de TPM, confira os seguintes artigos:

• Fundamentos do TPM: anti-martelada
• Solução de problemas Microsoft Entra dispositivos híbridos ingressados
• Solucionar problemas do TPM