Windows 11 : retrouver Secure Boot et TPM 2.0 sur IPASON IPC P88 (TH310C‑M3) – guide UEFI/BIOS AMI

Après réparation, votre IPASON IPC P88 (TH310C‑M3) n’affiche plus Secure Boot ni TPM 2.0 dans l’UEFI ? Voici une méthode claire et exhaustive pour retrouver ces options, valider la conformité Windows 11 et décider des suites si le BIOS installé les masque.

Problème posé

Après retour de réparation, le PC tout‑en‑un (IPASON IPC P88, carte mère TH310C‑M3, BIOS AMI 5.12 du 22/08/2019) ne propose plus l’option Secure Boot ni l’activation de TPM 2.0 dans l’UEFI. Or Windows 11 requiert ces deux mécanismes pour fonctionner dans des conditions de sécurité optimales.

Constatations effectuées pendant l’échange

Élément	Situation constatée
Mode BIOS	UEFI actif
CSM (Compatibility Support Module)	Passé de activé à désactivé pour tenter de faire apparaître Secure Boot (sans succès)
Onglet Security	Options grisées, aucune entrée « Secure Boot » visible
TPM	Indiqué Not usable dans Windows (« TPM is not usable »), PCR7 non lié
BIOS / carte mère	Référence TH310C‑M3 peu documentée ; impossible de trouver la page fabricant depuis l’interface

Principales hypothèses évoquées

1. BIOS d’origine modifié ou remplacé lors du changement de disque : une version générique pourrait masquer le menu Secure Boot.
2. Version de BIOS trop ancienne (2019) pour exposer Secure Boot / TPM 2.0.
3. Fonctions réellement absentes sur cette déclinaison de carte mère ou verrouillées par l’OEM.

---

Pourquoi Secure Boot et TPM 2.0 comptent pour Windows 11

• Secure Boot vérifie la signature des composants de démarrage (UEFI, bootloader, pilotes Option ROM) afin d’empêcher le chargement de code non autorisé avant Windows.
• TPM 2.0 (ou Intel PTT sur plateformes Intel) fournit des fonctions cryptographiques matérielles : stockage des clés BitLocker, intégrité de la plateforme (mesures PCR), attestation de démarrage, Device Health, etc.
• Windows 11 exige un démarrage UEFI, TPM 2.0 activé et recommande fortement Secure Boot. Sans ces briques, vous perdez l’intégrité de démarrage, des protections contre les bootkits et la conformité requise par certaines politiques d’entreprise.

---

Plan d’action express (≈ 15 min, hors mise à jour BIOS)

1. Désactiver CSM (UEFI pur), enregistrer, redémarrer.
2. Dans Advanced → PCH‑FW Configuration (selon AMI) : Intel PTT = Enabled, enregistrer et redémarrer.
3. Dans Boot : OS Type = Windows UEFI Mode (ou équivalent), enregistrer et redémarrer.
4. Vérifier si Secure Boot apparaît (onglets Boot, Security ou Authentication). Si oui : Enable et Key Management → Install Factory Defaults.
5. Dans Windows : contrôler msinfo32 (état Secure Boot) et tpm.msc (TPM prêt à l’emploi). Si OK : passer à Mises à jour Windows 11.
6. Si menus absents : mettre à jour / reflasher le BIOS avec le microprogramme approprié à la TH310C‑M3 / IPC P88, puis répéter les étapes.

---

Arborescences UEFI typiques (BIOS AMI 5.x)

Les noms exacts varient, mais les chemins suivants sont fréquents :

Fonction	Chemin/menu courant	Valeur attendue	Remarques
Démarrage UEFI pur	Boot → Launch CSM	Disabled	Nécessaire pour révéler Secure Boot sur beaucoup de cartes AMI.
Type d’OS	Boot → OS Type	Windows UEFI Mode	Forcer l’injection des variables Secure Boot et l’onglet dédié.
Secure Boot	Security/Boot/Authentication → Secure Boot	Enabled	Peut rester masqué tant que CSM ≠ Disabled.
Clés Secure Boot	Secure Boot → Key Management	Install Factory Defaults	Installe PK/KEK/DB/DBX d’usine ; requis si « Setup Mode ».
TPM firmware Intel	Advanced → PCH‑FW Configuration → Intel PTT	Enabled	Active le TPM 2.0 interne (remplace une puce TPM dédiée).
Mot de passe superviseur	Security → Administrator/Supervisor Password	Défini (temporairement)	Chez certains OEM, l’onglet Secure Boot se débloque après définition d’un mot de passe admin.

---

Procédures détaillées

Désactiver CSM et redémarrer

1. Ouvrez l’UEFI (touche Del ou F2 à l’allumage).
2. Allez dans Boot → Launch CSM → Disabled.
3. Enregistrez (Save & Exit) et redémarrez. Ce redémarrage intermédiaire est crucial : c’est souvent après ce cycle que l’entrée Secure Boot apparaît.

Attention : si vous utilisez une carte graphique/ROM « legacy », l’affichage peut ne pas fonctionner en UEFI pur. Rebranchez temporairement sur la sortie vidéo de l’iGPU pour la configuration.

Activer Intel PTT (TPM 2.0 firmware)

1. UEFI → Advanced → PCH‑FW Configuration.
2. Intel PTT → Enabled. Enregistrez et redémarrez.

Après redémarrage, Windows devrait indiquer un « Périphérique de sécurité » actif (TPM 2.0) dans Sécurité Windows → Sécurité de l’appareil.

Afficher et activer Secure Boot

1. UEFI → Boot → OS Type = Windows UEFI Mode. Enregistrez et redémarrez.
2. Revenez dans l’UEFI : chercher Secure Boot (onglets Boot, Security, Authentication selon l’OEM).
3. Si l’état est « Setup Mode » : ouvrez Key Management → Install Factory Defaults (PK, KEK, DB, DBX). Revenez et passez Secure Boot à Enabled.

Débloquer des menus grisés

• Définissez un mot de passe superviseur temporaire (Security → Administrator/Supervisor Password). Certains BIOS n’autorisent pas la modification de Secure Boot sans cela.
• Vérifiez que toutes les options CSM sont désactivées (sous‑menus : Video, Storage, Network, etc.). Une seule option « legacy » active peut suffire à cacher Secure Boot.
• Clear CMOS si nécessaire (coupez l’alimentation, retirez la pile CR2032 5 min, remettez‑la) puis reconfigurez l’heure/UEFI et reprenez la procédure.

Mise à jour ou restauration du BIOS

Si aucune entrée Secure Boot/TPM n’apparaît après les étapes ci‑dessus :

1. Identifiez précisément le modèle (étiquette carte mère, identifiant DMI dans l’UEFI, autocollants châssis « IPC P88 »).
2. Récupérez le microprogramme officiel correspondant à la TH310C‑M3 / IPC P88 (ou la révision OEM IPASON) ; bannissez les BIOS « génériques » de modèles voisins.
3. Flashez via l’utilitaire intégré (EZ Flash/Instant Flash selon AMI/OEM) depuis une clé USB FAT32.
4. Après flash : chargez les Optimized Defaults, désactivez CSM, activez PTT, forcez « Windows UEFI Mode », installez les clés Secure Boot, puis redémarrez.

Bonnes pratiques flash : alimentation stable, onduleur recommandé, ne coupez pas pendant la mise à jour, sauvegardez l’actuel (si l’outil le permet). Photographiez tous les onglets UEFI avant l’opération.

Quand suspecter un BIOS OEM modifié

• L’onglet Secure Boot n’existe nulle part, même en UEFI pur + OS Type Windows + redémarrage.
• Des menus standards AMI (Key Management, PCH‑FW) sont absents.
• La version/ID du BIOS ne correspond plus à l’étiquette d’origine après la réparation.

Dans ce cas, la voie la plus sûre est de réinstaller le BIOS officiel du PC ou de la carte mère, issu du support du fabricant ou de l’OEM (IPASON).

---

Validation dans Windows (post‑configuration)

Vérifier l’état de Secure Boot

msinfo32.exe

Dans « Résumé du système » : État de l’amorçage sécurisé = Activé. Si Non pris en charge : UEFI non actif ou clés non installées. Si Désactivé : retournez dans l’UEFI et activez.

Contrôler le TPM

tpm.msc

Attendez « TPM prêt à l’emploi », Version de spécification : 2.0.

Diagnostic rapide en PowerShell

wmic /namespace:\\root\cimv2\security\MicrosoftTpm path Win32_Tpm get IsEnabled_InitialValue,IsActivated_InitialValue,IsOwned_InitialValue
get-tpm

Les champs TpmPresent et TpmReady doivent être True. Si « Not usable » persiste : retournez vérifier Intel PTT et réexécutez get-tpm après redémarrage.

Contrôler PCR7

Dans Paramètres → Mise à jour et sécurité → Sécurité Windows → Sécurité de l’appareil → Détails de l’intégrité de l’appareil, PCR7 devrait indiquer bound/lié si Secure Boot + TPM sont opérationnels et que le disque système est GPT.

---

Cas particuliers et décisions

Symptôme	Cause probable	Actions concrètes	Issue attendue
Secure Boot n’apparaît pas	CSM actif ou BIOS OEM le masque	Désactiver CSM, forcer « Windows UEFI Mode », redémarrer ; si KO : mise à jour/reflash	Menu Secure Boot disponible
TPM « Not usable »	Intel PTT désactivé ou ME firmware non initialisé	Activer PTT, redémarrer, vérifier tpm.msc ; mettre à jour ME/BIOS si nécessaire	get-tpm → TpmPresent/Ready = True
PCR7 non lié	Clés Secure Boot non chargées, disque MBR, démarrage hérité	Installer les clés d’usine, convertir le disque en GPT si besoin (MBR2GPT)	PCR7 bound
Onglets grisés	Absence de privilèges UEFI	Définir un mot de passe superviseur, puis modifier les options	Champs modifiables
Écran noir après CSM = Disabled	Périphérique vidéo legacy	Basculer sur l’iGPU, mettre à jour le firmware GPU, réessayer	Accès UEFI rétabli
Aucune option même après mise à jour	Fonction non implémentée/verrouillée sur la révision OEM	Accepter la limite (contournement W11) ou remplacer la carte mère	Décision matérielle

---

Procédure de mise à jour BIOS (sûre et réversible)

1. Inventaire : notez la version actuelle (Main → BIOS Version/Build Date) et la révision de la carte.
2. Sauvegarde : si l’utilitaire le permet, exportez le BIOS actuel ; sinon, prenez des photos de tous les onglets.
3. Support : préparez une clé USB FAT32 dédiée, sans autres fichiers.
4. Flash : lancez l’outil UEFI intégré (AMI : « Instant/EZ Flash »), pointez le fichier, confirmez.
5. Premier boot : chargez Optimized Defaults, enregistrez, redémarrez.
6. Reconfiguration : CSM = Disabled → OS Type = Windows UEFI → PTT = Enabled → Secure Boot = Enabled → Installer les clés.

Important : ne flashez jamais un BIOS d’un modèle adjacent (même chipset) ; vous risqueriez de perdre des menus (dont Secure Boot) et la compatibilité ventilateurs/panneau.

---

Vérifications système : scripts prêts à l’emploi

État Secure Boot + mode de partition

# Exécuter dans PowerShell (admin)
$msinfo = (Get-CimInstance -ClassName Win32_ComputerSystem).BootupState
$part = (Get-Disk -Number (Get-Partition -DriveLetter (Get-Location).Path.Substring(0,1)).DiskNumber).PartitionStyle
Write-Output "Mode d'amorçage: $msinfo"
Write-Output "Style de partition disque système: $part"

Résumé TPM et BitLocker

Get-Tpm
(Get-BitLockerVolume -MountPoint "C:").ProtectionStatus

Check‑list post‑activation

• msinfo32 → « État de l’amorçage sécurisé : Activé »
• tpm.msc → « Version de spécification : 2.0 », « Prêt à l’emploi »
• Paramètres > Windows Update → à jour
• BitLocker (optionnel) → « Activé » et clé de récupération sauvegardée

---

Bonnes pratiques et précautions

• Sauvegardez vos données et, si possible, faites une image système avant toute opération UEFI/BIOS.
• Photographiez les paramètres actuels ; cela accélère tout retour arrière.
• Débranchez les périphériques non essentiels durant la configuration (adapteurs legacy, clés PXE) qui peuvent forcer le BIOS en mode « legacy ».
• Si vous gérez un parc, consignez le serial et l’UUID (DMI) ; certains outils de déploiement y lient des politiques Secure Boot.

---

Foire aux questions (FAQ)

Le H310 supporte‑t‑il réellement TPM 2.0 ?

Sur plates‑formes Intel de cette génération, le TPM peut être fourni par Intel PTT (firmware) plutôt que par une puce dédiée. Si l’UEFI n’expose pas « Intel PTT », il peut s’agir d’un BIOS OEM restreint ou d’un firmware trop ancien.

Dois‑je convertir mon disque en GPT ?

Oui si vous démarrez encore en mode hérité (MBR). Utilisez MBR2GPT /convert /allowFullOS (après sauvegarde) uniquement lorsque le système est sain. En environnement UEFI pur, GPT est nécessaire pour activer Secure Boot correctement.

Installer Windows 11 sans TPM/Secure Boot est‑il possible ?

Des contournements existent, mais ils réduisent le niveau de sécurité et peuvent affecter la conformité et l’éligibilité au support. Sur un poste de production, privilégiez l’activation de PTT/Secure Boot ou envisagez un remplacement matériel.

Pourquoi mes options sont‑elles grisées ?

Définissez un mot de passe superviseur (à supprimer ensuite) et assurez‑vous que CSM est totalement désactivé. Vérifiez également que OS Type = Windows UEFI Mode et redémarrez entre les changements.

Après flash, Secure Boot n’est toujours pas là

Assurez‑vous d’avoir flashé le bon BIOS spécifique au modèle IPC P88/TH310C‑M3. Si l’onglet manque toujours, il est probable que la variante OEM de la carte ne l’implémente pas ou qu’elle soit verrouillée ; il faudra alors accepter la limite ou changer la carte.

---

Check‑list de résolution (imprimable)

1. UEFI → Load Optimized Defaults (facultatif) → Redémarrage.
2. UEFI → Boot → Launch CSM = Disabled → Redémarrage.
3. UEFI → Boot → OS Type = Windows UEFI Mode → Redémarrage.
4. UEFI → Advanced → PCH‑FW → Intel PTT = Enabled → Redémarrage.
5. UEFI → Security/Boot → Secure Boot = Enabled → Key Management → Install Factory Defaults → Redémarrage.
6. Windows → msinfo32 (Secure Boot = Activé) → tpm.msc (TPM 2.0 prêt) → Windows Update.

---

Ce que nous observons sur ce cas précis (IPC P88 / TH310C‑M3)

• Le BIOS AMI 5.12 (08/2019) est ancien pour Windows 11 : une mise à jour a de bonnes chances de rétablir les menus.
• Le passage de CSM = Enabled à Disabled n’a pas suffit : appliquez le triptyque « CSM Disabled → OS Type Windows UEFI → PTT Enabled », avec redémarrage entre chaque étape.
• Si « TPM is not usable » persiste, c’est fréquemment parce que PTT est désactivé ou non exposé par un BIOS OEM.
• En dernier recours, si la carte OEM ne propose pas ces fonctions, la seule solution pérenne est le remplacement de la carte mère ou le maintien d’un contournement Windows 11 (non recommandé en production).

---

Recommandations supplémentaires

Procédure rapide de diagnostic

wmic /namespace:\\root\cimv2\security\MicrosoftTpm path Win32_Tpm get IsEnabled_InitialValue,IsActivated_InitialValue,IsOwned_InitialValue
msinfo32.exe   # vérifier l'état du Secure Boot

Sauvegarder votre profil de BIOS actuel

Avant tout flash, sauvegardez quand c’est possible et/ou prenez des photos de tous les onglets. Cela permet un retour arrière rapide et évite les oublis (ordre de boot, ventilation, profils XMP, etc.).

Après activation

Exécutez Windows Security → Device Security pour confirmer que le TPM 2.0 actif et Secure Boot sont reconnus ; appliquez ensuite toutes les mises à jour Windows 11.

Si aucune option n’apparaît même après mise à jour

Il est probable que la carte mère (ou sa révision OEM) n’implémente pas des menus Secure Boot/TPM exposables. Les options restantes sont : remplacement matériel ou contournement d’installation Windows 11 (en connaissance des risques).

---

Résumé express

• Pas de menu Secure Boot : souvent causé par CSM activé ou BIOS trop ancien.
• TPM 2.0 sur Intel H310 = Intel PTT à activer dans l’UEFI.
• Actions clés : désactiver CSM → activer Intel PTT → flasher BIOS récent → charger les clés Secure Boot.
• Si aucune de ces étapes ne fait apparaître Secure Boot, le BIOS installé n’est pas le bon ou la carte ne supporte pas la fonction.

---

Matrice de décision finale

Après vos essais, vous constatez…	Conclusion	Étape suivante recommandée
PTT OK, Secure Boot visible et activable	Conforme Windows 11	Installer les clés, activer BitLocker si nécessaire
PTT introuvable, Secure Boot absent	BIOS générique ou ancien	Mettre à jour/reflasher avec le BIOS OEM correct
PTT visible mais « Not usable »	UEFI/ME incomplet, pilotes obsolètes	Réactiver PTT, redémarrer, mettre à jour ME/BIOS
Rien n’apparaît après mise à jour	Limitation matérielle/OEM	Changer la carte mère ou accepter un contournement

---

Conclusion

Sur l’IPASON IPC P88 (TH310C‑M3), l’absence de Secure Boot et de TPM 2.0 après réparation est le plus souvent liée à un BIOS OEM non conforme ou trop ancien. En appliquant la séquence CSM = Disabled → OS Type = Windows UEFI → Intel PTT = Enabled → Install Factory Keys, puis en validant sous Windows, vous rétablirez un état compatible Windows 11. À défaut, un reflash avec le microprogramme officiel — ou le remplacement matériel — constitue la solution durable.