Salta al contenuto
Guida

TPM 2.0 e Windows 11: come abilitarlo + cosa fare sui PC della flotta non compatibili

TPM 2.0 è il requisito hardware più scivoloso per la migrazione a Windows 11: come verificarlo, abilitarlo in BIOS, e cosa fare sui PC della flotta dove il modulo non c'è proprio. Guida pratica per IT PMI.

SynSphere Italia 9 min di lettura

TPM 2.0 (Trusted Platform Module) è il requisito hardware che ha messo più in difficoltà le PMI italiane durante la migrazione da Windows 10 a Windows 11. Microsoft lo richiede obbligatoriamente, ma molti PC business comprati fra 2018 e 2020 hanno TPM ma in versione 1.2 (non 2.0), oppure ce l’hanno disabilitato in BIOS di default.

Con Windows 10 EOL già passato (ottobre 2025) e gli utenti che pagano l’ESU (Extended Security Updates) salatissimo a partire da gennaio 2026 (vedi Windows 10 EOL — stato allarme PMI), capire come fare l’audit TPM della propria flotta + come abilitarlo dove c’è ma è spento è fondamentale.

Cos’è TPM 2.0 e perché Microsoft lo richiede

Il TPM è un chip dedicato (oppure un firmware integrato in CPU) che:

  • Genera e custodisce chiavi crittografiche in un’enclave isolata.
  • Verifica l’integrità del boot (Secure Boot).
  • Abilita feature di sicurezza moderne: BitLocker (cifratura disco), Windows Hello for Business (biometria), Credential Guard, Device Guard, Measured Boot.

Microsoft richiede TPM 2.0 specificamente per Windows 11 perché supporta algoritmi crittografici moderni (SHA-256, RSA-2048+, ECC) — il TPM 1.2 era limitato a SHA-1, deprecato.

Verificare se il PC ha TPM 2.0

Tre metodi, dal più semplice al più definitivo.

Metodo 1 — App “Sicurezza Windows” (singolo PC)

  1. Start → cerca Sicurezza dispositivo → apri.
  2. Sezione Processore di sicurezza → click su Dettagli del processore di sicurezza.
  3. Vedi Versione specifica: deve essere 2.0. Se vedi 1.2 → TPM presente ma in versione non sufficiente.

Se non vedi nessuna sezione “Processore di sicurezza”: TPM non rilevato (assente o disabilitato in BIOS).

Metodo 2 — Tool tpm.msc

  1. Win+R → digita tpm.msc → Invio.
  2. Si apre Gestione TPM.
  3. Sezione Informazioni produttore TPM → vedi versione specifica (cerca 2.0).

Se vedi “Impossibile trovare un TPM compatibile”: TPM disabilitato in BIOS o assente.

Metodo 3 — Audit di flotta via PowerShell

Per inventario di 30-200 PC: script PowerShell remoto.

# Esegue su tutti i PC del dominio AD, raccoglie TPM info
$pcs = Get-ADComputer -Filter * | Select-Object -ExpandProperty Name
$report = foreach ($pc in $pcs) {
    if (Test-Connection -ComputerName $pc -Count 1 -Quiet) {
        $tpm = Get-WmiObject -ComputerName $pc -Namespace 'root\cimv2\security\microsofttpm' -Class 'Win32_Tpm' -ErrorAction SilentlyContinue
        [PSCustomObject]@{
            PC = $pc
            TPM_Presente = if ($tpm) { 'Si' } else { 'No' }
            TPM_Versione = if ($tpm) { $tpm.SpecVersion } else { 'N/D' }
            TPM_Attivo = if ($tpm) { $tpm.IsActivated_InitialValue } else { $false }
            TPM_Abilitato = if ($tpm) { $tpm.IsEnabled_InitialValue } else { $false }
        }
    }
}
$report | Export-Csv -Path "C:\report-tpm-flotta.csv" -NoTypeInformation

Output: CSV con ogni PC + stato TPM. Da consolidare in una tabella tipo:

Stato# PCAzione
TPM 2.0 abilitato45✅ Ready per Windows 11
TPM 2.0 presente ma disabilitato18🟠 Abilitare in BIOS
TPM 1.2 presente12🟠 Verificare aggiornamento firmware
Nessun TPM8🔴 PC da sostituire

Abilitare TPM 2.0 in BIOS/UEFI (la procedura più comune)

Se il PC ha TPM ma è disabilitato, la procedura per abilitarlo dipende dal produttore.

Procedura generica

  1. Riavvia il PC.
  2. Premi il tasto di accesso al BIOS/UEFI durante il boot:
    • Dell: F2 o F12
    • HP: F10 o ESC
    • Lenovo: F1 o F2 o Enter
    • ASUS: F2 o DEL
    • Acer: F2
    • Microsoft Surface: tieni premuto Volume Up + Power
  3. Cerca nella UI BIOS le voci correlate al TPM. Nomi diversi per produttore:
    • Dell: Security → TPM 2.0 Security → TPM On/Off + Activate
    • HP: Security → TPM Embedded Security → Hidden/Available + Activate
    • Lenovo: Security → Security Chip → TPM 2.0 → Active
    • ASUS: Advanced → Trusted Computing → Security Device Support → Enable
    • Le CPU AMD usano fTPM (firmware TPM) — cercare fTPM in BIOS.
    • Le CPU Intel usano PTT (Platform Trust Technology) — cercare Intel PTT.
  4. Abilita.
  5. Salva e riavvia.

Verifica dopo abilitazione

  1. Apri Gestione TPM (tpm.msc) → ora dovrebbe mostrare versione 2.0 + stato “Pronto per l’uso”.
  2. Esegui PC Health Check ufficiale Microsoft (scaricabile da aka.ms/pchealthcheck) → dichiara compatibilità Windows 11.

TPM 1.2 → 2.0: si può fare l’upgrade?

Dipende. Tre casi:

Caso A — Firmware TPM upgrade disponibile

Alcuni PC business (Dell OptiPlex 7050+, HP EliteDesk 800 G3+, Lenovo ThinkCentre M910+) supportano upgrade firmware del chip TPM da 1.2 a 2.0. Verifica:

  • Vai sul sito del produttore (Dell Support, HP Support Assistant, Lenovo Vantage).
  • Cerca il modello del PC.
  • Cerca BIOS/Firmware updates → eventuale voce “TPM Firmware Update”.

Procedura tipica: scaricare l’aggiornatore + lanciarlo → BIOS riavvia + aggiorna il firmware TPM (5-10 minuti). Attenzione: l’upgrade firmware TPM cancella le chiavi esistenti, quindi BitLocker va sospeso prima e ripristinato dopo.

Caso B — Chip TPM discrete sostituibile

Su alcuni PC desktop business, il TPM è una scheda fisica installata su connector dedicato sulla motherboard. Si può sostituire con un modulo TPM 2.0 compatibile (€20-40, su Amazon o presso distributore IT).

Compatibilità: verificare modello esatto del proprio PC su forum/community (es. Dell Community per i Dell OptiPlex). Non tutti i connettori sono uguali (alcuni 14-pin, alcuni 20-pin).

Caso C — Solo sostituzione PC

Se il chip TPM è integrato in CPU e la CPU è pre-2017 (Intel < 8a gen o AMD < Ryzen 2000), non c’è upgrade possibile. Il PC va sostituito.

I PC non compatibili: le opzioni

Sulla flotta inventariata, ci sono alcuni PC che non possono fare Windows 11. Tre strade.

Strada 1 — Continuare con Windows 10 + ESU (Extended Security Updates)

Costi ESU 2026 (Volume Licensing Microsoft):

AnnoCosto per device
1° anno (gen 2026 - ott 2026)$61
2° anno (ott 2026 - ott 2027)$122
3° anno (ott 2027 - ott 2028)$244

Totale 3 anni: ~427$ per device. Su 8 PC: 3.400$. Costo crescente esponenziale: dopo il 3° anno fine completa supporto Windows 10.

Strada 2 — Sostituire i PC

Refresh hardware con PC business Windows 11-ready. Per 8 PC con configurazione standard PMI (Intel Core i5 13a gen, 16 GB RAM, 512 GB SSD): ~700-900€/cad = 5.600-7.200€.

Sembra di più ma è investimento una-tantum + 4-5 anni di garanzia + maggior produttività utente.

Strada 3 — Modalità DaaS (Device as a Service)

Noleggio operativo PC business con refresh ogni 36 mesi, ~25-35€/mese per PC. Su 8 PC: 200-280€/mese, totale 36 mesi: 7.200-10.000€.

Sembra il più costoso ma include: warranty estesa, sostituzione PC guasti, helpdesk, dismissione PC vecchi.

Confronto strutturato: Acquisto vs DaaS hardware PMI.

Quando è il momento di un audit completo della flotta

Se hai più di 30 PC e non sai esattamente quanti sono Windows 11-ready, è il momento di un audit strutturato:

  • Inventario hardware completo (CPU, RAM, disco, TPM, secure boot status).
  • Mapping per ruolo dipendente (chi ha quale PC).
  • Roadmap di refresh per scaglioni (PC più vecchi prima).

Per le PMI italiane offriamo discovery + roadmap refresh hardware Windows 11 (vedi Assistenza Hardware & Postazioni). Parla con un nostro consulente per discovery gratuita.

Tag

Prodotti SynSphere correlati

I prodotti del catalogo SynSphere richiamati in questo articolo.

Potrebbe interessarti anche

Articoli correlati per argomento e categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci