Как использовать TPM в ChromeOS Flex

Доверенный платформенный модуль (TPM) – это стандартный аппаратный компонент, который устанавливается на большинстве компьютеров корпоративного класса. Он обеспечивает дополнительную защиту при хранении и обработке криптографических данных.

Модуль TPM можно использовать не на всех сертифицированных устройствах ChromeOS Flex.

ChromeOS Flex поддерживает только определенные чипсеты TPM 1.2 и TPM 2.0, однако мы регулярно расширяем этот список.

Сертифицированные устройства с поддержкой TPM

В дополнение к устройствам с устаревшим модулем TPM 1.2 мы добавили поддержку устройств с TPM 2.0. Ниже приведен список сертифицированных устройств со встроенными модулями TPM 2.0.

Название модели
С какой версии ChromeOS поддерживается
Dell Latitude 3520 124
Dell Latitude 7490 96
Dell Latitude 5420 129
Ноутбук-трансформер HP Elite x360 830 G10 (13 дюймов) 119
HP Elitebook 640 G10 119
HP Elitebook 645 G10 119
HP Elitebook 840 G6 126
Настольный мини-ПК HP ProDesk 400 G5 126
HP t655 124
Мобильная рабочая станция HP ZBook Firefly 14 G7 129
Intel NUC11TNKv5 128
Lenovo ThinkPad X1 Carbon Gen 8 96
Lenovo ThinkPad X1 Carbon Gen 9 96
Lenovo ThinkPad X1 Carbon Gen 8 96

Преимущества TPM

Если вы планируете использовать аппаратные сертификаты, вам потребуется установить ChromeOS Flex на устройства с поддержкой чипсета TPM. Аппаратные сертификаты связываются с уникальными пользователями или устройствами. Это помогает предотвратить несанкционированный доступ.

Аппаратный сертификат можно использовать:

  • при настройке EAP-TLS и других способов беспроводной аутентификации WPA2 Enterprise;
  • в управляемых и защищенных конфигурациях сетей VPN;
  • при каждом использовании команды Импортировать и подключить в разделе Управление сертификатами в настройках Chrome.

Если на устройстве поддерживается чипсет TPM, он может использоваться для работы ряда функций ChromeOS Flex, таких как шифрование некоторых системных данных, а также сведений о пользователях и устройствах. Эти функции также доступны на устройствах без поддерживаемого модуля TPM, но реализуются с помощью программного, а не аппаратного обеспечения. Подробнее о том, как TPM используется в ChromeOS Flex

Как управлять TPM

Прежде чем устанавливать на устройства ChromeOS Flex, вам может потребоваться проверить настройки BIOS или UEFI и убедиться, что TPM очищен, доступен и активен.

Как очистить и активировать TPM

  1. При загрузке войдите в настройки BIOS или UEFI. Ниже приведен список клавиш для разных устройств.
  2. Откройте настройки TPM в разделе Security (Безопасность), Device Configuration (Конфигурация устройства) или Advanced Settings (Расширенные настройки).
    Примечание. Название раздела зависит от модели устройства. Например, на устройствах HP он называется Embedded security device (Встроенное устройство безопасности).
    1. Если вы не можете найти настройки TPM, установите пароль администратора.
    2. Сохраните изменения, выйдите из меню и попробуйте открыть настройки TPM ещё раз.
  3. Очистите TPM, чтобы удалить все данные предыдущего владельца.
    1. Очистите или сбросьте TPM. Если эта команда есть в меню, но недоступна, значит TPM уже очищен. В этом случае перейдите к шагу 4.
      Примечание. Название команды зависит от модели устройства. Например, на устройствах HP она называется Reset to factory defaults (Восстановить заводские настройки).
    2. Сохраните изменения.
    3. Выйдите из настроек BIOS или UEFI.
    4. Перезапустите устройство и при загрузке войдите в настройки BIOS или UEFI.
    5. Следуйте подсказкам на экране, чтобы очистить TPM.
  4. Включите TPM.
    1. Найдите в меню BIOS или UEFI настройки TPM, следуя инструкциям из шага 2.
    2. В настройках TPM должен показываться статус visible (доступен), active (активен) или enabled (включен).
  5. Убедитесь, что настройки, которые могут влиять на статус TPM, заданы верно.
  6. Сохраните изменения.
  7. Выйдите из настроек BIOS или UEFI.

Теперь, когда TPM очищен и активен, можно переходить к установке ChromeOS Flex. В списке сертифицированных моделей устройств вы найдете дополнительную информацию и советы по установке ChromeOS Flex и работе с настройками BIOS.

Как очистить TPM, восстановив заводские настройки

Вы можете очистить TPM устройства, восстановив заводские настройки через BIOS. Это может потребоваться, если нужно полностью очистить устройство в рамках поддержки или процесса его передачи.

Примечание. Восстановление заводских настроек удаляет текущую регистрацию устройства, поэтому устройство потребуется повторно зарегистрировать. Вместо полного сброса настроек устройства мы рекомендуем использовать функцию "Удалить профили".

Чтобы очистить TPM с помощью восстановления заводских настроек, следуйте инструкциям из руководства производителя устройства по настройке интерфейса физического присутствия TPM. Это позволит ОС взаимодействовать с BIOS и передавать управление действиями TPM установленной ОС. Подробнее…

Как получить сведения о TPM в консоли администратора

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемУстройства.
  3. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  4. Выберите устройство, информацию о TPM которого хотите посмотреть.
  5. Проверьте, поддерживается ли модуль TPM на этом устройстве и находится ли он под управлением ChromeOS Flex. Если для параметров Под управлением TPM и В белом списке TPM указано значение True, значит TPM используется системой ChromeOS Flex.

Как проверить статус и состояние TPM в BIOS или UEFI

Статус TPM

Статус TPM позволяет проверить, включен ли TPM и доступен ли он другим программным и аппаратным компонентам на устройстве с ChromeOS Flex. Статус TPM по умолчанию зависит от модели устройства и параметров развертывания. Как правило, его можно настроить в меню BIOS или UEFI. Существует три основных статуса, которые представлены в таблице.

Статус Описание

Active (Активен)

Варианты: On, Available

TPM включен и доступен для программных и аппаратных компонентов.

Enabled (Включен)

TPM включен, но недоступен для программных и аппаратных компонентов.

Статус Enabled доступен не на всех устройствах с ChromeOS Flex.

Inactive (Неактивен)

Варианты: Off, Hidden, Disabled

TPM отключен и недоступен для программных и аппаратных компонентов.

Статус Inactive означает, что устройство будет работать так, будто на нем нет TPM.
Состояние TPM

Состояние TPM описывает, как чипсет TPM связан с текущим устройством или пользователем с точки зрения использования функций криптографии. Если поддерживаемый чипсет TPM доступен, он автоматически переходит под управление устройства с ChromeOS Flex при первоначальной настройке. Если TPM недоступен, то для работы функций ChromeOS Flex используются программные методы.

Статус Описание

Owned (Под управлением)

В ходе первоначального взаимодействия с TPM были установлены права владения. После этого TPM стал доступен в качестве хранилища криптографических данных или устройства аутентификации.

Владелец TPM – это не пользователь и не устройство. Это условная одноразовая роль, которая позволяет установить связь между TPM и операционной системой при первоначальной настройке.

Единственный способ изменить владельца – это очистить TPM в настройках BIOS или UEFI.

Unowned (Не под управлением)

 TPM ещё не использовался или был очищен. В нем не хранятся криптографические данные.

Как отключить TPM

Если вы не хотите, чтобы на устройстве с ChromeOS Flex использовался чип TPM, отключите его.

  1. При загрузке войдите в настройки BIOS или UEFI. Ниже приведен список клавиш для разных устройств.
  2. Откройте настройки TPM в разделе Security (Безопасность), Device Configuration (Конфигурация устройства) или Advanced Settings (Расширенные настройки).
    Примечание. Название раздела зависит от модели устройства. Например, на устройствах HP он называется Embedded security device (Встроенное устройство безопасности).
  3. Отключите TPM.
  4. Сохраните изменения.
  5. Выйдите из настроек BIOS или UEFI.

Клавиши запуска

Производитель Клавиша или сочетание клавиш для вызова меню загрузки
Acer F2
Apple Удерживайте клавишу Option (рядом с клавишей )
Asus Del
Dell F12
Gateway F1
HP F9
Intel F2
Lenovo F12
Microsoft Surface Загрузка с USB-носителя: удерживайте кнопку уменьшения громкости
Загрузка из меню UEFI: удерживайте кнопку увеличения громкости
Toshiba F2 или F12
Другие производители Нажмите клавишу Esc и любую клавишу от F1 до F12 или Ввод
  • Клавиши, которые нужно нажать для вызова меню загрузки, на разных моделях могут различаться.
  • Сведения о том, как вызвать меню загрузки на сертифицированных моделях, вы найдете в этом списке.
  • Иногда информация о том, как вызвать меню загрузки, показывается при запуске устройства. Например, на некоторых моделях Lenovo вы увидите сообщение To interrupt normal startup, press Enter (Чтобы прервать нормальный запуск, нажмите клавишу Ввод).
  • Если вам не удается вызвать меню загрузки на устройстве, найдите онлайн-документацию производителя или сторонних поставщиков. В поисковом запросе укажите название и номер модели устройства, а также словосочетание меню загрузки или меню BIOS.

Известные ошибки TPM

Ошибка Решение
Срок инициализации для атрибутов времени установки истек. Обратитесь в службу поддержки.
  1. Обратитесь к инструкциям в списке сертифицированных моделей.
  2. Если инструкций нет, найдите на устройстве раздел TPM, Trusted Computing Group (TCG) или Embedded Security (Встроенная безопасность).
  3. Очистите TPM.
  4. Отключите TPM.
  5. Переустановите ChromeOS Flex.
  6. Зарегистрируйте устройство повторно.
На экране регистрации показывается надпись Подождите, но ничего не происходит.
  1. Очистите TPM.
  2. Выберите для TPM статус Active (Активен).
  3. Отключите TPM, TCG или встроенное устройство безопасности.
После входа показывается надпись Подождите, но ничего не происходит.
  1. Отключите TPM.

Статьи по теме

Google, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
2545109089958983274
true
Поиск по Справочному центру
true
true
true
false
false