De acordo com o arquivo Readme.html, incluído no arquivo spP2407.exe SoftPaq:
Windows 10 ® Version 1607 and later
The owner authorization is no longer stored on the local system. To update the firmware you need to clear the TPM and take ownership again with modified Windows setting so that owner authorization is stored on the local system.The following steps are needed to update the firmware:
- Set registry key 'HKLM\Software\Policies\Microsoft\TPM\OSManagedAuthLevel' to 4 [REG_DWORD].
- Start tpm.msc and click on 'Clear TPM...'. Restart the computer.
- Start tpm.msc and click on 'Prepare the TPM...'.
- Run the TPM Firmware Update tool and update the firmware. Restart the computer.
- Restore the registry key to its previous value.
- Start tpm.msc and click on 'Clear TPM...'. Restart the computer.
- Start tpm.msc and click on 'Prepare the TPM...'.
Sobre como exatamente isso funciona, usei o nome da chave do Registro para encontrar . Explica o que os vários valores significam e como eles se comportam:
If you enable this policy setting, the Windows operating system will store the TPM owner authorization in the registry of the local computer according to the TPM authentication setting you choose.
0 = None, 2 = Delegated, 4 = Full. Beginning with Windows 10 version 1703, the default value is 5 (dummy).
Também encontrei uma Senha do proprietário do TPM no blog da Microsoft que entra em detalhes sobre onde e como a senha é armazenada e como usá-la.
For never operating systems (Windows 8.1/10) TPM is auto-provisioned – that means TPM is automatically activated. Windows uses the randomly-generated Lockout Auth to provision the TPM, then destroys the Lockout Auth without ever revealing it to the user. However, depending on GPO settings, TPM Owner Password can be stored additionally in the registry.
Então o truque é definir OSManagedAuthLevel como Full e reinicializar. Ainda não há uma chave de backup para a interface do usuário, mas a presença da chave do registro fará com que a chave do TPM seja salva no registro. De acordo com o leia-me, o atualizador deve poder buscar a chave automaticamente. Se não, a chave pode ser extraída do registro.