Le déploiement d’appareils Windows via Windows Autopilot repose sur plusieurs mécanismes de sécurité, dont l’attestation Trusted Platform Module (TPM). Cette attestation permet de vérifier l’authenticité et l’intégrité d’un appareil avant son inscription automatique dans Microsoft Endpoint Manager (Intune). Cependant, il arrive que ce processus échoue, entraînant l’erreur “Échec de l’attestation TPM”, qui bloque le déploiement et complique l’intégration des appareils.
Par exemple, on peut rencontrer les problèmes suivants notamment lors de la configuration d’Autopilot Windows au démarrage du PC ou lors du paramètrage à l’installation de Windows :
- Echec de l’attestation TPM. Erreur 0x8028009
- HResult
0x80070490et HResult0x80070491dans l’observateur d’évènements - Échec du pilote automatique en raison d’une erreur d’attestation TPM (0x81039001)
- Le code 0x800705b4 indique une erreur pour joindre l’organisation
Cet article explore les causes possibles de cette erreur, qu’il s’agisse de configurations TPM incorrectes, de problèmes de connectivité ou encore de restrictions liées aux politiques de sécurité. Je vous guide à travers les solutions et les meilleures pratiques pour corriger ce problème et assurer un déploiement fluide de vos appareils Windows avec Autopilot.
Qu’est-ce que l’erreur d’échec de l’attestation TPM dans Autopilot et quelles sont les sources
L’erreur “Échec de l’attestation TPM dans Autopilot” survient lors du déploiement d’un appareil Windows via Windows Autopilot. Elle indique que le processus d’attestation TPM (Trusted Platform Module) n’a pas réussi à prouver l’identité du périphérique auprès des services Microsoft. Cette attestation est essentielle pour le déploiement en mode Self-deploying (Autonome) ou Pre-provisioned (White Glove), car elle permet une authentification sécurisée et sans intervention manuelle.
Voici les principales sources de ce problème :
- Version et état du TPM non compatibles
- Le TPM doit être en version 2.0. Les versions antérieures ne prennent pas en charge l’attestation.
- Le TPM doit être activé et prêt à l’usage dans Windows (via tpm.msc).
- Un TPM “désactivé” ou “désactivé et masqué” dans le BIOS empêche l’attestation.
- Firmware du TPM obsolète :
- Certains firmwares de TPM contiennent des bugs affectant l’attestation. Une mise à jour peut être nécessaire, en particulier pour les TPM Infineon ou STMicroelectronics.
- Vérifiez et mettez à jour le firmware via le site du fabricant (Dell, HP, Lenovo, etc.).
- Paramètres du BIOS/UEFI incorrects Secure Boot et TPM doivent être activés : Certains systèmes ont une option TPM définie sur “Intel PTT” ou “AMD fTPM” au lieu de TPM 2.0, ce qui peut poser problème.
- Problèmes de connectivité réseau :
Comment résoudre l’erreur “Echec de l’attestation TPM dans Autopilot”
Mettre à jour le BIOS de votre PC
Une mauvaise implémentation de TPM peut conduire à des erreurs et problèmes dans Windows 11 ou Windows 10.
De plus, certaines versions de TPM ont des vulnérabilités qui peuvent empêcher l’attestation et nécessitent une mise à jour.
Vous pouvez vérifier si une version correctrice du BIOS est disponible pour corriger ce problème.
Consultez le site du fabricant de l’ordinateur pour télécharger et installer les dernières mises à jour du firmware TPM et du BIOS.
Vous pouvez aussi vous aider de ce guide complet :
Paramètres du BIOS/UEFI incorrects
Le fonctionnement de TPM et de Windows 11 requiert que certains mécanismes de sécurité soient actifs et répondent aux exigeances de Microsoft.
Vérifiez les éléments suivants :
- Secure Boot et TPM doivent être activés dans le BIOS de votre PC :
- Certains systèmes ont une option TPM définie sur “Intel PTT” ou “AMD fTPM” au lieu de TPM 2.0, ce qui peut poser problème
Vérifier les logs de l’Attestation TPM et versions
Un problème de fonctionnement du firmware TPM peut aussi être la source de cette erreur.
Consultez les journaux d’événements dans l’observateur d’évènements sous Système > Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin.
Puis effectuez les vérifications suivantes :
- Appuyez sur le raccourci clavier + X ou cliquez avec le bouton droit de la souris sur le menu Démarrer puis sélectionnez “Terminal Windows (admin)“. Plus d’informations : Comment ouvrir Windows Terminal
- Exécutez la commande suivante pour générer un rapport TPM détaillé :
get-tpmou :
tpmtool get deviceinformation- Les éléments suivants doivent être vérifiés :
- Le TPM doit être activé et prêt à l’usage dans Windows. Dans le cas contraire, activez le depuis le BIOS de votre PC. Pour vous aider : Activer/désactiver TPM sur Windows 10, 11 et dans le BIOS de son PC
- Le TPM doit être en version 2.0. Les versions antérieures ne prennent pas en charge l’attestation.
Utiliser un script PowerShell pour vérifier l’état de TPM et du système
Un script gratuit en PowerShell existe qui effectue différentes vérifications et réparations du système si une anomalie est détectée.
La source du script : https://call4cloud.nl/test-tpm-attestation-script/
Ce dernier se charge de vérifier les éléments suivants :
- Le script vérifie l’existence d’une connexion Internet.
- Il déterminera si les sites web des fournisseurs de TPM sont accessibles, afin de récupérer l’EKCert.
- Il déterminera si le service Microsoft de déploiement sans contact est disponible, car l’appareil s’adressera à ce service Microsoft pour récupérer son profil Autopilot.
- Il vérifie si le service de l’heure est en cours d’exécution, sinon il essaie de le démarrer et de configurer la liste des homologues.
- Après avoir vérifié le service de gestion du temps, il détermine si la licence et le type de produit sont valides pour être utilisés dans une inscription Autopilot.
- Le script interrogera les paramètres TPM avec WMI pour déterminer si l’appareil est capable d’attestation et, si ce n’est pas le cas, il essaiera d’exécuter des commandes supplémentaires.
- Les commandes supplémentaires vérifieront si l’appareil possède les logs EKCert et TCG, si le TPM est possédé, et si le TPM n’a pas de firmware vulnérable.
- Avec cette sortie, il essaiera de démarrer certaines tâches du TPM.
- Si ces tâches ne peuvent pas être démarrées, il effectuera à nouveau des remédiations pour s’assurer que la tâche de maintenance du TPM peut démarrer.
- S’il a effectué les remédiations, il essaiera de réexécuter les tests.
- Si l’appareil est sûr d’avoir obtenu une clé d’endossement, il essaiera de déterminer si les certificats requis ont également été attachés.
- Même si la tâche TPM-Maintenance ne pouvait pas être exécutée, j’ai décidé d’appeler moi-même le fichier tpmcoreprovisioning.dll.
Pour l’utiliser :
- Depuis une fenêtre Windows Terminal en administrateur :
Set-ExecutionPolicy UnRestricted
Install-Module -Name Autopilottestattestation
import-module -Name Autopilottestattestation- Acceptez les avertissements en appuyant sur la touche O et entrée
- Puis une fois installée, utilisez la commande suivante pour effectuer les vérifications :
test-autopilotattestation- Puis vérifiez les erreurs indiquées. Faites une recherche Google ou demander de l’aide sur le forum
- Par exemple, ci-dessous, le certificat EKCert semble manquant et TPM n’est pas adapté pour l’Autopilot car les certificats du fabriquants sont manquants
- Une fois le test terminé, pensez à remettre les restrictions d’exécution de script de PowerShell par défaut avec la commande suivante :
Set-ExecutionPolicy RestrictedVérifier la connexion aux serveurs Microsoft
Un problème de connexion aux sites de Microsoft peut être la source de l’erreur d’attestation TPM.
Pour vérifier cette hypothèse, testez l’accès avec la commande depuis Windows Terminal :
Test-NetConnection login.microsoftonline.com -Port 443- La commande doit retourne TcpTestSucceeded à True indiquant que la connexion au serveur est réussie. Si échec, configurer le proxy ou ouvrir les hôtes dans le pare-feu.
Consultez les erreurs et solutions du site Microsoft
Sur son site technique, Microsoft a publié de nombreux articles sur Autopilot et TPM.
Parmis ces articles, une base de connaissances des problèmes et erreurs.
Vous pouvez jeter un coup d’oeil si votre erreur est référencée pour trouver une solution.
Voici l’adresse : https://learn.microsoft.com/en-us/autopilot/known-issues#tpm-attestation-isnt-working-on-amd-platforms-with-asp-ftpm
Désactiver l’Attestation TPM pour le déploiement Autopilot
Enfin comme solution de contournement, vous pouvez désactiver l’attestation TPM pour Autopilot.
Pour désactiver l’attestation TPM lors du déploiement Windows Autopilot, il faut modifier les paramètres du profil de déploiement dans Microsoft Endpoint Manager (Intune).
Voici comment procéder :
- Connectez-vous à Microsoft Endpoint Manager Admin Center.
- Allez dans Devices → Windows → Windows Enrollment → Deployment Profiles.
- Sélectionnez le profil Autopilot concerné.
- Cliquez sur Edit dans la section Out-of-box experience (OOBE).
- Recherchez l’option “Convert all targeted devices to Autopilot” et assurez-vous qu’elle est bien définie sur Désactivé.
- Pour contourner l’attestation TPM, changez le Mode de déploiement de Self-deploying (Autonomous) ou Pre-provisioned (White Glove) à User-driven (Piloté par l’utilisateur).
- Vérifiez que l’option “Allow pre-provisioning” est désactivée si vous ne souhaitez pas utiliser ce mode.
- Cliquez sur Save pour enregistrer les changements.
- Attendez quelques minutes que la synchronisation s’effectue.
- Réinitialisez l’appareil en utilisant Windows Recovery (Shift + Redémarrer → Réinitialiser ce PC).
- Assurez-vous que le périphérique tente un nouvel enregistrement Autopilot.
Liens
- Qu’est-ce que TPM (Trusted Platform Module) et TPM dans Windows 10, 11
- Activer/désactiver TPM sur Windows et dans le BIOS de son PC
- TPM 1.2 VS TPM 2.0 : les différences
- Vérifier si TPM 2.0 et Secure boot sont activés pour installer Windows 11
- Comment installer Windows 11 sans TPM sur n’importe quel PC
L’article Echec de l’attestation TPM dans Autopilot est apparu en premier sur malekal.com.
0 Commentaires