可信平台模块 (TPM) 是大多数企业计算机中包含的标准硬件组件,用于更安全地存储和处理加密数据。
您只能在一定数量的 ChromeOS Flex 认证设备上使用 TPM。
ChromeOS Flex 仅支持某些 TPM 1.2 和 TPM 2.0 芯片组。Google 在不断增加对设备上更多种类的 TPM 芯片组的支持。
为什么可能需要 TPM
如果您想使用由硬件支持的证书,需要在搭载受支持的 TPM 芯片组的设备上安装 ChromeOS Flex。由硬件支持的证书会绑定到唯一身份用户或设备配对,从而确保证书不会移至未经授权的设备或被未经授权的用户盗用。
您可以将由硬件支持的证书用于:
- EAP-TLS 和其他 WPA2 Enterprise 无线身份验证
- 托管或安全的 VPN 配置
- 每当您使用 Chrome 设置的管理证书部分的导入并绑定时
某些 ChromeOS Flex 功能(例如加密用户、设备和部分系统数据)可以选择在具有活跃且受支持的 TPM 芯片组的设备上使用 TPM。对于 TPM 硬件不受支持的设备,这些功能将继续按预期运行,并由软件(而不是硬件)处理。如需了解 ChromeOS Flex 如何使用 TPM,请参阅 Chromium 设计文档。
管理 TPM
在设备上安装 ChromeOS Flex 之前,您可能需要使用 BIOS 或 UEFI 设置菜单,以确保 TPM 已清除、可见且处于有效状态。
清除并激活 TPM
- 将设备启动到 BIOS 或 UEFI 设置菜单。如果您不确定要使用哪个键进行启动,请参阅下文的启动键部分。
- 找到 TPM 设置。您可以在 Security(安全)、Device Configuration(设备配置)或 Advanced Settings(高级设置)中找到这些选项。
注意:此选项的名称可能会因原始设备制造商 (OEM) 而有所不同。例如,如果是惠普设备,您会看到 Embedded security device(嵌入式安全设备)。- 如果您没有看到任何 TPM 设置,请尝试设置管理员密码。
- 保存,退出,然后重试。
- 清除 TPM,清除其在之前使用期间的所有者和数据。
- 点击相应选项以清除或重置 TPM。如果系统显示该选项,但该功能不可用,则说明您的 TPM 已清除。请转到第 4 步。
注意:此选项的名称可能会因原始设备制造商 (OEM) 而有所不同。例如,在惠普设备上,请点击 Reset to factory defaults(恢复出厂设置)。 - 保存更改。
- 退出 BIOS 或 UEFI 设置。
- 重启设备并启动到 BIOS 或 UEFI 设置菜单。
- 完成屏幕上显示的所有提示,以确认您要清除 TPM。
- 点击相应选项以清除或重置 TPM。如果系统显示该选项,但该功能不可用,则说明您的 TPM 已清除。请转到第 4 步。
- 启用 TPM。
- 在 BIOS 或 UEFI 设置菜单中,找到 TPM 设置。与上述第 2 步相同。
- 确保 TPM 设置设为 visible(可见)、active(有效)或 enabled(已启用)。
- 检查并确保可能影响 TPM 状态的设置都已正确配置。
- 保存更改。
- 退出 BIOS 或 UEFI 设置。
现在,您已清除了 TPM,且 TPM 状态为 Active(有效),您可以继续在设备上安装 ChromeOS Flex 了。请务必查看认证型号列表,了解具体的 ChromeOS Flex 安装说明或其他 BIOS 调整。
查看 TPM 信息 - 管理控制台
-
-
在管理控制台首页,依次点击“菜单”图标
设备
Chrome
- 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门。
- 找到并点击您要查看其 TPM 信息的设备。
- 查看 ChromeOS Flex 是否支持并拥有该设备的 TPM。如果 TPM 拥有的设备和列入 TPM 许可名单的设备设置为 True,则表示 ChromeOS Flex 正在使用它。
检查 TPM 状态和现状 - BIOS 或 UEFI
TPM 状态您可以通过 TPM 状态了解 ChromeOS Flex 设备上的 TPM 是否已启用,以及是否可供其他软件或硬件组件使用。默认 TPM 状态因原始设备制造商 (OEM) 和部署方式而异。TPM 状态通常是通过 BIOS 或 UEFI 设置菜单配置的,通常为以下三种情况之一:
| 状态 | 说明 |
|---|---|
|
Active(有效) |
已启用,可供使用 TPM 已启用,可供设备上的软件和硬件组件使用。 |
|
Enabled(已启用) |
TPM 已开启,但设备上的软件和硬件组件无法使用它。 Enabled(已启用)状态仅适用于部分 ChromeOS Flex 设备。 |
|
Inactive(未启用) |
已关闭、已隐藏、已停用 TPM 处于关闭状态,并且对设备上的其他软件和硬件组件完全不可见。 Inactive(未启用)状态等同于设备没有 TPM。 |
您可以通过 TPM 现状了解 TPM 芯片组在加密功能方面,目前与现有设备或用户的关系。如果受支持的 TPM 芯片组可用,ChromeOS Flex 设备会在初始设置期间获得所有权。如果 TPM 不可用,则 ChromeOS Flex 会使用软件备份方法。
| 状态 | 说明 |
|---|---|
|
Owned(已有所有者) |
TPM 在初始互动中创建了控制所有者。之后,TPM 就可按预期用作加密存储空间或身份验证设备。 TPM 所有者不是个人用户或设备,而是创建的一次性身份,用于在初始设置期间启动 TPM 与操作系统直接的关系。 您只能通过 BIOS 或 UEFI 设置清除 TPM,从而更改所有者。 |
|
Unowned(没有所有者) |
TPM 从未使用过或已被清除。它没有存储任何加密信息。 |
停用 TPM
如果您不希望 ChromeOS Flex 设备使用您设备的 TPM 芯片,则应停用 TPM。
- 将设备启动到 BIOS 或 UEFI 设置菜单。如果您不确定要使用哪个键进行启动,请参阅下文的启动键部分。
- 找到 TPM 设置。您可以在 Security(安全)、Device Configuration(设备配置)或 Advanced Settings(高级设置)中找到这些选项。
注意:此选项的名称可能会因原始设备制造商 (OEM) 而有所不同。例如,如果是惠普设备,您会看到 Embedded security device(嵌入式安全设备)。 - 停用 TPM。
- 保存更改。
- 退出 BIOS 或 UEFI 设置。
启动键
| 制造商 | 启动键 |
|---|---|
| 宏碁 | F2 |
| Apple | 按住 Option(在 ⌘ 键旁边) |
| 华硕 | Del |
| 戴尔 | F12 |
| 捷威 | F1 |
| 惠普 | F9 |
| Intel | F2 |
| 联想 | F12 |
| Microsoft Surface | 从 USB 启动 - 按住音量调低按钮 启动到 UEFI 菜单 - 按住音量调高按钮 |
| 东芝 | F2 或 F12 |
| 其他 | 尝试按 Esc、F1 - F12 中的任意键或 Enter |
- 在某些型号上,启动键可能有所不同。
- 认证型号列表会显示所有已认证型号的启动键。请参阅认证型号列表。
- 某些型号会在启动开始时在屏幕上显示其启动键信息。例如,在某些联想型号上,您将看到要中断正常启动,请按 Enter 键。
- 如果您找不到特定型号的启动键,请尝试在线搜索制造商或第三方提供的文档。在搜索字词中添加设备的具体名称和型号,以及启动键或 BIOS 键。
已知的 TPM 错误
| 出错了 | 分辨率 |
|---|---|
| 糟糕!安装时间属性的初始化已超时。请与您的支持代表联系。 |
|
| 注册屏幕一直停留在请稍候。 |
|
| 登录时一直停留在请稍候。 |
|
相关主题
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。