Utiliser le TPM avec ChromeOS Flex

Le TPM (Trusted Platform Module) est un composant matériel standard inclus dans la plupart des ordinateurs d'entreprise pour stocker et traiter les données cryptographiques de façon plus sécurisée.

Vous pouvez utiliser le TPM sur un nombre limité d'appareils certifiés ChromeOS Flex. 

ChromeOS Flex n'est compatible qu'avec certains chipsets TPM 1.2 et TPM 2.0. Google prend continuellement en charge une plus grande variété de chipsets TPM sur les appareils.

Appareils certifiés avec TPM

En plus des anciens appareils TPM 1.2, nous étendons la compatibilité à davantage d'appareils TPM 2.0. Voici la liste des appareils certifiés avec des modules TPM 2.0 activés.

Nom du modèle
Compatible depuis la version ChromeOS
Dell Latitude 3520 124
Dell Latitude 7490 96
Dell Latitude 5420 129
Ordinateur portable 2-en-1 HP Elite x360 830 13 pouces G10 119
HP Elitebook 640 G10 119
HP Elitebook 645 G10 119
HP Elitebook 840 G6 126
Mini-ordinateur de bureau HP ProDesk 400 G5 126
HP t655 124
Station de travail mobile HP ZBook Firefly 14 G7 129
Intel NUC11TNKv5 128
Lenovo ThinkPad X1 Carbon 8e génération 96
Lenovo ThinkPad X1 Carbon 9e génération 96
Lenovo ThinkPad X1 Carbon 8e génération 96

Pourquoi vous pourriez avoir besoin du TPM

Si vous voulez utiliser des certificats basés sur le matériel, vous devez installer ChromeOS Flex sur des appareils équipés d'un chipset TPM compatible. Ces certificats sont liés à des associations d'utilisateurs ou d'appareils uniques. Ainsi, ils ne peuvent pas être déplacés vers des appareils non autorisés ni piratés par des utilisateurs non autorisés.

Vous pouvez vous servir de ces certificats dans les cas suivants :

  • Authentification aux réseaux sans fil EAP-TLS et WPA2 Enterprise
  • Configurations VPN gérées ou sécurisées
  • Chaque fois que vous utilisez Importer et lier dans la section Gérer les certificats des paramètres de Chrome

Certaines fonctionnalités de ChromeOS Flex (par exemple, le chiffrement des utilisateurs, de l'appareil et de certaines données système) utilisent le TPM de façon facultative sur les appareils équipés d'un chipset TPM actif et compatible. Pour ceux qui ne possèdent pas de chipset TPM compatible, les fonctionnalités continuent de marcher comme prévu et sont gérées par le logiciel plutôt que par le matériel. Pour en savoir plus sur la façon dont ChromeOS Flex utilise le TPM, consultez la documentation sur la conception de Chromium.

Gérer le TPM

Avant d'installer ChromeOS Flex sur des appareils, vous devrez peut-être utiliser le menu des paramètres du BIOS ou de l'UEFI pour vérifier si le TPM est bien effacé, visible et actif.

Effacer et activer le TPM

  1. Démarrez l'appareil dans le menu des paramètres du BIOS ou de l'UEFI. Si vous ne savez pas quelle touche utiliser, consultez la section Touches de démarrage ci-après.
  2. Accédez aux paramètres du TPM. Vous les trouverez dans Sécurité, Configuration de l'appareil ou Paramètres avancés.
    Remarque : Le nom de l'option varie selon l'OEM. Par exemple, sur les appareils HP, vous trouverez Embedded security device (Appareil de sécurité intégré).
    1. Si vous ne voyez aucun paramètre du TPM, essayez de définir un mot de passe administrateur.
    2. Enregistrez, quittez, puis réessayez.
  3. Effacez le TPM pour qu'il n'ait plus de propriétaire ni de données liées à une utilisation précédente.
    1. Cliquez sur l'option permettant d'effacer ou de réinitialiser le TPM. Si l'option est visible, mais pas disponible, le TPM est alors déjà effacé. Allez à l'étape 4.
      Remarque : Le nom de l'option varie selon l'OEM. Par exemple, sur les appareils HP, cliquez sur Reset to factory defaults (Rétablir la configuration d'usine).
    2. Enregistrez les modifications.
    3. Quittez les paramètres du BIOS ou de l'UEFI.
    4. Redémarrez l'appareil et démarrez à partir du menu des paramètres du BIOS ou de l'UEFI.
    5. Suivez les instructions à l'écran pour confirmer que vous voulez effacer le TPM.
  4. Activez le TPM.
    1. Dans le menu des paramètres du BIOS ou de l'UEFI, accédez aux paramètres du TPM (voir l'étape 2 ci-dessus).
    2. Assurez-vous que le TPM est visible, actif ou activé.
  5. Assurez-vous que les paramètres susceptibles d'avoir des répercussions sur l'état du TPM sont configurés correctement.
  6. Enregistrez les modifications.
  7. Quittez les paramètres du BIOS ou de l'UEFI.

Maintenant que vous avez effacé le TPM et que l'état du TPM est actif, vous pouvez installer ChromeOS Flex sur l'appareil. Pensez à consulter la liste des modèles certifiés pour accéder aux notes d'installation spécifiques à ChromeOS Flex ou à d'autres ajustements du BIOS.

Effacer le TPM à l'aide de Powerwash

Vous pouvez effacer le TPM d'un appareil à l'aide de Powerwash, à condition d'activer les paramètres BIOS appropriés. C'est pratique lorsqu'un appareil fait l'objet d'un Powerwash dans le cadre d'une demande d'assistance ou d'une réallocation d'appareil.

Remarque : L'utilisation de Powerwash efface l'enregistrement d'un appareil. Vous devez donc le réenregistrer par la suite. Pour réinitialiser la plupart des appareils, nous vous recommandons d'utiliser l'option "Effacer les profils utilisateur" plutôt que de rétablir la configuration d'usine.

Pour effacer le TPM à l'aide de Powerwash, consultez les instructions du fabricant pour savoir comment configurer l'interface PPI (Physical Presence Interface) de votre TPM. Cela permet à l'OS de coopérer avec le BIOS et de transmettre le contrôle des actions du TPM à l'OS installé. Pour en savoir plus, consultez cet article.

Vérifier les informations liées au TPM (console d'administration)

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Menu puis AppareilspuisChromepuisAppareils.
  3. Pour appliquer ce paramètre à l'ensemble des utilisateurs et des navigateurs enregistrés, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  4. Recherchez l'appareil dont vous voulez afficher les informations liées au TPM, puis cliquez dessus.
  5. Vérifiez si ChromeOS Flex prend en charge et détient ou non le TPM de l'appareil. Si Propriété de TPM et Sur la liste d'autorisation de TPM sont définis sur Vrai, ChromeOS Flex l'utilise activement.

Vérifier l'état et le statut du TPM (BIOS ou UEFI)

État du TPM

L'état du TPM vous indique si le TPM est ou non activé et disponible pour d'autres composants logiciels ou matériels sur l'appareil ChromeOS Flex. L'état par défaut varie selon l'OEM et le déploiement. L'état du TPM est normalement configuré à l'aide du menu des paramètres du BIOS ou de l'UEFI. En règle générale, cet état correspond à l'un des trois suivants :

État Description

Actif

Activé, disponible

Le TPM est activé et utilisable par les composants logiciels et matériels sur l'appareil.

Activé

Le TPM est activé, mais n'est pas utilisable par les composants logiciels et matériels sur l'appareil.

L'état Activé n'est disponible que sur un nombre limité d'appareils ChromeOS Flex.

Inactif

Désactivé, masqué

Le TPM est désactivé et complètement invisible pour les autres composants logiciels et matériels sur l'appareil.

L'état Inactif équivaut à un appareil sans TPM.
Statut du TPM

Le statut du TPM vous indique la relation actuelle du chipset TPM avec un appareil ou un utilisateur existants concernant ses fonctions cryptographiques. Si un chipset TPM compatible est disponible, l'appareil ChromeOS Flex devient propriétaire lors de la configuration initiale. Si aucun TPM n'est disponible, ChromeOS Flex utilise des méthodes de sauvegarde logicielles.

État Description

Avec propriétaire

Le TPM a eu une première interaction qui a établi un propriétaire. Il est alors disponible pour être utilisé comme appareil d'authentification ou de stockage cryptographique, comme prévu.

Le propriétaire du TPM n'est pas un utilisateur ni un appareil individuels. Il s'agit plutôt d'une identité inventée temporaire qui sert à établir la relation entre le TPM et l'OS lors de la configuration initiale.

Vous ne pouvez modifier le propriétaire qu'à l'aide des paramètres du BIOS ou de l'UEFI pour effacer le TPM.

Sans propriétaire

 Le TPM n'a jamais été utilisé ou a été effacé. Il ne contient aucune information cryptographique.

Désactiver le TPM

Si vous ne voulez pas qu'un appareil ChromeOS Flex utilise le chipset TPM de votre appareil, vous devez désactiver le TPM.

  1. Démarrez l'appareil dans le menu des paramètres du BIOS ou de l'UEFI. Si vous ne savez pas quelle touche utiliser, consultez la section Touches de démarrage ci-après.
  2. Accédez aux paramètres du TPM. Vous les trouverez dans Sécurité, Configuration de l'appareil ou Paramètres avancés.
    Remarque : Le nom de l'option varie selon l'OEM. Par exemple, sur les appareils HP, vous trouverez Embedded security device (Appareil de sécurité intégré).
  3. Désactivez le TPM.
  4. Enregistrez les modifications.
  5. Quittez les paramètres du BIOS ou de l'UEFI.

Touches de démarrage

Fabricant Touche de démarrage
Acer F2
Apple Maintenir enfoncée la touche Option (à côté de la touche )
Asus Suppr
Dell F12
Passerelle F1
HP F9
Intel F2
Lenovo F12
Microsoft Surface Démarrer à partir d'une clé USB : appuyez de manière prolongée sur le bouton volume-
Démarrer jusqu'au menu UEFI : appuyez de manière prolongée sur le bouton volume+
Toshiba F2 ou F12
Autre Appuyer sur Échap, sur l'une des touches F1 à F12 ou sur Entrée
  • Les touches de démarrage peuvent varier d'un modèle à l'autre.
  • La touche de démarrage de tous les modèles certifiés est indiquée dans la liste des modèles certifiés.
  • Pour certains modèles, des informations sur la touche de démarrage correspondante sont affichées à l'écran au début du démarrage. Par exemple, sur certains modèles Lenovo, un message indique que le démarrage normal peut être interrompu en appuyant sur Entrée.
  • Si vous ne trouvez pas la touche de démarrage d'un modèle précis, essayez de rechercher en ligne des informations fournies par le fabricant ou le tiers concerné. Dans votre requête de recherche, indiquez le nom et le numéro de modèle de votre appareil, ainsi que la touche de démarrage ou la touche du BIOS.

Erreurs connues liées au TPM

Erreur Solution
Petit problème… Le délai alloué à l'initialisation des attributs de temps d'installation a expiré. Veuillez contacter un agent de l'assistance.
  1. Consultez la liste des modèles certifiés pour obtenir les étapes du TPM.
  2. S'il n'y en a pas, sur l'appareil, recherchez les paramètres du TPM, du TCG (Trusted Computing Group) ou de l'appareil de sécurité intégré.
  3. Effacez le TPM.
  4. Désactivez le TPM.
  5. Réinstallez ChromeOS Flex sur l'appareil.
  6. Réenregistrez l'appareil.
Écran d'inscription bloqué sur Veuillez patienter.
  1. Effacez le TPM.
  2. Laissez l'état du TPM sur Actif.
  3. Désactivez le TPM, le TCG ou l'appareil de sécurité intégré.
Bloqué sur Veuillez patienter lors de la connexion.
  1. Désactivez le TPM.

Articles associés

Google et les marques et logos associés sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits sont des marques des entreprises auxquelles ils sont associés.

true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
10173627895045506137
true
Rechercher dans le centre d'aide
true
true
true
false
false