Если после успешного развертывания Windows 10 вы заметили, что доверенный платформенный модуль (TPM) находится в режиме ограниченной функциональности, этот пост призван вам помочь. В этом посте мы определим некоторые потенциальные известные причины такого поведения, а затем предложим обходной путь для этой проблемы, а также меры, которые вы можете предпринять, чтобы предотвратить возникновение проблемы во время развертывания Windows 10 .

Вы можете столкнуться с этой проблемой в следующем сценарии.

Вы используете Microsoft Deployment Toolkit (это может быть любая версия MDT , поддерживающая Windows 10 ) для развертывания Windows 10 с помощью шага « Включить BitLocker (в автономном режиме)^{(Enable BitLocker (offline))} » (сценарий ZTIBDE.wsf)^{((ZTIBDE.wsf script))} для предварительной подготовки BitLocker во время Windows PE в « Preinstall » и развертывание прошло успешно.

Однако в этом сценарии вы заметили, что доверенный платформенный модуль^{(Trusted Platform Module)} ( TPM ) находится в режиме ограниченной функциональности. В этом случае консоль управления TPM ( ^{(TPM Management)}TPM.msc ) сообщает о следующей проблеме:

Модуль TPM готов к использованию с ограниченной функциональностью.
Информационные флаги : 0x900 Авторизация владельца TPM неправильно хранится в реестре.
Информация реестра Windows о корневом ключе^{(Storage Root Key)} хранилища TPM не соответствует корневому ключу хранилища TPM^{(TPM Storage Root Key)} или отсутствует.

Модуль TPM готов к использованию с ограниченной функциональностью.

Модуль TPM готов к использованию с ограниченной функциональностью .

Если вы столкнулись с проблемой ограниченной функциональности TPM^{(TPM reduced functionality )} , вы можете обойти эту проблему для новых развертываний, пока не будет доступна новая версия MDT — добавьте приведенную ниже команду в сценарий ZTIBDE.wsf в начале раздела « Основная функция^{(Function Main)} ». :

reg add hklm\system\currentcontrolset\services\tpm\wmi -v UseNullDerivedOwnerAuth -t REG_DWORD -d 0x01 -f

Стоит отметить, что устройства, в которых TPM уже находится в режиме ограниченной функциональности, необходимо очистить TPM,^{(TPM must be cleared)} прежде чем вы сможете устранить эту проблему.

Чтобы предотвратить возникновение этой проблемы, вам нужно не выполнять предварительную подготовку BitLocker , а дождаться включения всей системы. Имейте в виду, что при использовании этого метода развертывание займет больше времени.

Согласно Microsoft, проблема ограниченной функциональности TPM^{(TPM reduced functionality )} возникает из-за того , что функция TpmValidate в сценарии^{(TpmValidate)} ZTIBDE.wsf без необходимости берет на себя управление TPM ^(ZTIBDE.wsf)из^(TPM) Windows PE^{(Windows PE)} . Windows должна иметь возможность правильно стать владельцем доверенного^(TPM) платформенного модуля до запуска при первом включении (OOBE)^{(Out-of-Box Experience (OOBE))} , чтобы подготовить его с использованием правильных параметров.

Когда происходит смена владельца TPM из Windows PE , TPM получает параметры, которые Windows не понимает. Поэтому ключевые иерархии в TPM отключены и навсегда недоступны для Windows .

The TPM is ready for use, with reduced functionality

If after а suсcessful deployment of Windows 10 and you notice that thе Trusted Platform Module (TPM) is in reduced functionality mode, then this post is intended to help you. In this post, we will identify ѕome potential known causes for this behаvior and then provide the workаround for this issue as well as the measure you can take to prevent the issυe from occurring during the deplоyment of Windows 10.

You might encounter this issue based on the following scenario.

You use Microsoft Deployment Toolkit (This can be any version of MDT that supports Windows 10) to deploy Windows 10 by using the “Enable BitLocker (offline)” step (ZTIBDE.wsf script) to pre-provision BitLocker during Windows PE in the “Preinstall” group and the deployment is successful.

However, in this scenario, you notice that the Trusted Platform Module (TPM) is in reduced functionality mode. In this situation, the TPM Management console (TPM.msc) reports the following issue:

The TPM is ready for use, with reduced functionality. Information Flags: 0x900
The TPM owner authorization is not properly stored in the registry.
Windows’s registry information about the TPM’s Storage Root Key does not match the TPM Storage Root Key or is missing.

The TPM is ready for use, with reduced functionality

If you’re faced with the TPM reduced functionality issue, you can work around this issue for new deployments until a new version of MDT is available – add the command below to the ZTIBDE.wsf script at the start of the “Function Main” section:

reg add hklm\system\currentcontrolset\services\tpm\wmi -v UseNullDerivedOwnerAuth -t REG_DWORD -d 0x01 -f

It is worth noting that devices in which the TPM is already in reduced functionality mode, the TPM must be cleared before you can mitigate this issue.

To prevent this issue from occurring, you’ll need to not pre-provision BitLocker, instead wait to enable the full system. Be aware that the deployment will take longer to complete by using this method.

According to Microsoft, the TPM reduced functionality issue occurs because the TpmValidate function in the ZTIBDE.wsf script takes ownership of the TPM from Windows PE unnecessarily. Windows should be able to correctly take ownership of the TPM before Out-of-Box Experience (OOBE) to provision it by using the correct parameters.

When this change in ownership of the TPM from Windows PE occurs, the TPM is given parameters that Windows does not understand. Therefore, the key hierarchies in the TPM are disabled and made permanently unavailable to Windows.

Елена Булгакова

About the author

Я инженер-программист и эксперт по Windows 10. У меня более двух лет опыта работы со смартфонами, Windows 10 и Microsoft Edge. Моя основная задача — сделать так, чтобы ваши устройства работали лучше и быстрее. Я работал над различными проектами для таких компаний, как Verizon, IMac, HP, Comcast и многих других. Я также являюсь сертифицированным инструктором по обучению работе с облачными технологиями Microsoft Azure.

Модуль TPM готов к использованию с ограниченной функциональностью.

Модуль TPM готов к использованию с ограниченной функциональностью .

The TPM is ready for use, with reduced functionality