BitLocker CSP

提示

此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則

SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段

企業會使用 BitLocker 設定服務提供者 (CSP) 來管理計算機和裝置的加密。 此 CSP 已在 Windows 10 1703 版中新增。 從 Windows 10 版本 1809 開始,Windows 10 專業版 中也支援此功能。

注意

若要透過 CSP 管理 BitLocker,除了使用原則啟用和停用 RequireDeviceEncryption BitLocker 之外,不論您的管理平台為何,都必須將下列其中一個授權指派給您的使用者:

  • Microsoft 365 F3、E3 和 E5) 中包含 Windows 10/11 企業版 E3 或 E5 (。
  • Windows 10/11 Microsoft 365 A3 和 A5) 中包含的企業 A3 或 A5 (。

除了 GetRequireStorageCardEncryption之外,任何設定RequireDeviceEncryption的作業都會傳回系統管理員所設定的設定。

針對 RequireDeviceEncryption 和 RequireStorageCardEncryption,Get 作業會將強制執行的實際狀態傳回給系統管理員,例如,如果需要信賴平臺模組 (TPM) 保護,以及是否需要加密。 如果裝置已啟用 BitLocker,但已啟用密碼保護裝置,則回報的狀態為 0。 在 RequireDeviceEncryption 上取得作業不會確認已在 SystemDrivesMinimumPINLength) (強制執行 PIN 長度下限。

注意

  • 設定只會在加密啟動時強制執行。 加密不會在設定變更時重新啟動。
  • 您必須在單一 SyncML 中一起傳送所有設定,才能生效。

下列清單顯示 BitLocker 設定服務提供者節點:

AllowStandardUserEncryption

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption

允許 管理員 針對目前登入的使用者為非系統管理員/標準使用者時推送原則的情況,強制執行 「RequireDeviceEncryption」 原則。

“AllowStandardUserEncryption” 原則會繫結至 “AllowWarningForOtherDiskEncryption” 原則設定為 “0”,也就是強制執行無訊息加密。

如果 「AllowWarningForOtherDiskEncryption」 未設定,或設定為 “1”,如果標準使用者是系統中目前登入的使用者,則“RequireDeviceEncryption” 原則將不會嘗試加密磁碟驅動器 () 。

此原則的預期值為:

1 = 即使目前登入的用戶是標準使用者,「RequireDeviceEncryption」原則仍會嘗試在所有固定磁碟驅動器上啟用加密。

0 = 這是未設定原則時的預設值。 如果目前登入的使用者是標準使用者,則「RequireDeviceEncryption」原則不會嘗試在任何磁碟驅動器上啟用加密。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0
相依性 [AllowWarningForOtherDiskEncryptionDependency] 相依性類型: DependsOn
相依性 URI: Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption
相依性允許的值: [0]
相依性允許的值類型: Range

允許的值:

描述
0 (預設值) 這是未設定原則時的預設值。 如果目前登入的使用者是標準使用者,則「RequireDeviceEncryption」原則不會嘗試在任何磁碟驅動器上啟用加密。
1 即使目前登入的用戶是標準使用者,「RequireDeviceEncryption」原則仍會嘗試在所有固定磁碟驅動器上啟用加密。

範例

若要停用此原則,請使用下列 SyncML:

<Replace>
 <CmdID>111</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">int</Format>
     </Meta>
     <Data>0</Data>
   </Item>
 </Replace>

AllowWarningForOtherDiskEncryption

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption

允許 管理員 針對其他磁碟加密) 的加密和警告提示停用所有 UI (通知,並在使用者電腦上以無訊息模式開啟加密。

警告

當您在具有第三方加密的裝置上啟用 BitLocker 時,可能會使裝置無法使用,而且需要重新安裝 Windows。

注意

只有當 “RequireDeviceEncryption” 原則設定為 1 時,此原則才會生效。

此原則的預期值為:

1 = 這是未設定原則時的預設值。 允許警告提示和加密通知。

0 = 停用警告提示和加密通知。 從 Windows 10 開始,下次重大更新時,值 0 只會在已加入 Microsoft Entra 裝置上生效。

Windows 會嘗試以無訊息方式啟用值 0 的 BitLocker。

注意

當您停用警告提示時,OS 磁碟驅動器的修復金鑰會備份至使用者的 Microsoft Entra 帳戶。 當您允許警告提示時,收到提示的使用者可以選取要備份 OS 磁碟驅動器修復密鑰的位置。

固定資料磁碟驅動器備份的端點會以下列順序選擇:

  1. 使用者的 Windows Server Active Directory Domain Services 帳戶。
  2. 使用者的 Microsoft Entra 帳戶。
  3. 用戶的個人 OneDrive (MDM/MAM 僅) 。

加密會等到這三個位置的其中一個成功備份為止。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 1

允許的值:

說明
0 停用警告提示。 從 Windows 10 1803 版開始,只能針對已加入 Microsoft Entra 裝置設定值 0。 Windows 會嘗試以無訊息方式啟用值 0 的 BitLocker。
1 (預設) 允許警告提示。

範例

<Replace>
    <CmdID>110</CmdID>
    <Item>
        <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
        </Target>
        <Meta>
            <Format xmlns="syncml:metinf">int</Format>
        <Data>0</Data>
    </Item>
</Replace>

ConfigureRecoveryPasswordRotation

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1909 [10.0.18363] 和更新版本
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

允許 管理員 在 Microsoft Entra ID 和已加入混合式網域的裝置上,針對 OS 和固定磁碟驅動器使用時設定 Numeric Recovery 密碼輪替。

未設定時,預設只會針對混合式開啟和關閉 Microsoft Entra ID 旋轉。 只有當 Active Directory 備份的修復密碼設定為必要時,原則才會生效。

針對 OS 磁碟驅動器:開啟 [在操作系統磁碟驅動器的復原資訊儲存至 AD DS 之前,請勿啟用 BitLocker]。

針對固定磁碟驅動器:開啟 [在修復資訊儲存至固定數據磁碟驅動器的 AD DS 之前,請勿啟用 BitLocker]。

支援的值:0 - 數值修復密碼輪替關閉。

1 - 針對已加入 Microsoft Entra 裝置使用 ON 時的數值修復密碼輪替。 預設值 2 - Microsoft Entra ID 和混合式裝置使用 ON 時的數值修復密碼輪替。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 重新整理預設) (。
1 重新整理已加入 Microsoft Entra 裝置。
2 針對已加入 Microsoft Entra和混合式加入裝置重新整理。

EncryptionMethodByDriveType

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType

此原則設定會設定計算機是否需要 BitLocker 保護,才能將數據寫入抽取式數據磁碟驅動器。

  • 如果您啟用此原則設定,所有不受 BitLocker 保護的卸載式數據磁碟驅動器都會掛接為唯讀。 如果磁碟驅動器受到 BitLocker 保護,則會掛接具有讀取和寫入存取權的磁碟驅動器。

如果選取 [拒絕對另一個組織中設定的裝置進行寫入存取] 選項,則只有標識符字段符合計算機識別字段的磁碟驅動器才會獲得寫入許可權。 存取卸除式數據磁碟驅動器時,系統會檢查它是否有有效的識別欄位和允許的識別欄位。 這些欄位是由[為您的組織提供唯一標識符] 原則設定所定義。

  • 如果您停用或未設定此原則設定,計算機上的所有卸載式數據磁碟驅動器都會掛接讀取和寫入存取權。

注意

用戶設定\系統管理範本\System\抽取式記憶體存取下的原則設定可以覆寫此原則設定。 如果啟用 [卸除式磁碟: 拒絕寫入存取] 原則設定,則會忽略此原則設定。

注意

當您啟用 EncryptionMethodByDriveType 時,必須 (操作系統、固定數據和卸載式數據) 指定所有三個磁碟驅動器的值,否則會失敗 (500 傳回狀態) 。 例如,如果您只設定 OS 和卸載式磁碟驅動器的加密方法,您會得到 500 個傳回狀態。

資料識別碼元素:

  • EncryptionMethodWithXtsOsDropDown_Name = 選取作業系統磁碟驅動器的加密方法。
  • EncryptionMethodWithXtsFdvDropDown_Name = 選取固定資料磁碟驅動器的加密方法。
  • EncryptionMethodWithXtsRdvDropDown_Name = 選取抽取式數據磁碟驅動器的加密方法。

這個節點啟用此原則並設定加密方法的範例值為:

 <enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>

'xx' 的可能值為:

  • 3 = AES-CBC 128
  • 4 = AES-CBC 256
  • 6 = XTS-AES 128
  • 7 = XTS-AES 256

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 RDVDenyWriteAccess_Name
易記名稱 拒絕寫入存取不受 BitLocker 保護的抽取式磁碟機
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 抽取式數據磁碟驅動器
登錄機碼名稱 System\CurrentControlSet\Policies\Microsoft\FVE
登錄值名稱 RDVDenyWriteAccess
ADMX 檔案名稱 VolumeEncryption.admx

範例

若要停用此原則,請使用下列 SyncML:

<Replace>
  <CmdID>$CmdID$</CmdID>
    <Item>
      <Target>
          <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
      </Target>
      <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
      </Meta>
      <Data><disabled/></Data>
    </Item>
</Replace>

FixedDrivesEncryptionType

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10,版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType

此原則設定可讓您設定 BitLocker 磁碟驅動器加密所使用的加密類型。 當您開啟 BitLocker 時,會套用此原則設定。 如果磁碟驅動器已加密或加密正在進行中,變更加密類型將沒有任何作用。 選擇 [完整加密],要求在開啟 BitLocker 時加密整個磁碟驅動器。 選擇僅限使用的空間加密,以要求在 BitLocker 開啟時,只會加密用來儲存數據的磁碟驅動器部分。

  • 如果您啟用此原則設定,BitLocker 將用來加密磁碟驅動器的加密類型是由此原則所定義,而且 BitLocker 安裝精靈不會顯示加密類型選項。

  • 如果您停用或未設定此原則設定,BitLocker 安裝精靈會要求用戶在開啟 BitLocker 之前選取加密類型。

開啟此原則之此節點的範例值為:

<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>

可能的值:

  • 0:允許用戶選擇。
  • 1:完整加密。
  • 2:僅使用空間加密。

注意

當您壓縮或擴充磁碟區,且 BitLocker 驅動程式使用目前的加密方法時,會忽略此原則。 例如,當使用「僅使用空間加密」的磁碟驅動器展開時,不會抹除新的可用空間,就像使用完整加密的磁碟驅動器一樣。 使用者可以使用下列命令抹除「僅使用空間」磁碟驅動器上的可用空間: manage-bde -w。 如果磁碟區已壓縮,則不會對新的可用空間採取任何動作。

如需管理 BitLocker 之工具的詳細資訊,請參閱 manage-bde

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 FDVEncryptionType_Name
易記名稱 在固定數據磁碟驅動器上強制執行磁碟驅動器加密類型
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 固定數據磁碟驅動器
登錄機碼名稱 SOFTWARE\Policies\Microsoft\FVE
登錄值名稱 FDVEncryptionType
ADMX 檔案名稱 VolumeEncryption.admx

FixedDrivesRecoveryOptions

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions

此原則設定可讓您控制在沒有必要認證的情況下,如何復原受 BitLocker 保護的固定數據磁碟驅動器。 當您開啟 BitLocker 時,會套用此原則設定。

[允許數據復原代理程式] 複選框可用來指定數據復原代理程式是否可以與受 BitLocker 保護的固定數據磁碟驅動器搭配使用。 您必須先從 群組原則 管理控制台或本機 群組原則 編輯器 中的 [公鑰原則] 專案新增數據復原代理程式,才能使用數據復原代理程式。 如需新增數據復原代理程式的詳細資訊,請參閱 Microsoft TechNet 上的 BitLocker 磁碟驅動器加密部署指南。

在 [設定 BitLocker 修復資訊的使用者記憶體] 中,選取是否允許、必要或不允許用戶產生 48 位數的修復密碼或 256 位修復密鑰。

選取 [從 BitLocker 安裝精靈省略復原選項],以防止使用者在磁碟驅動器上開啟 BitLocker 時指定復原選項。 這表示當您開啟 BitLocker 時,將無法指定要使用的復原選項,而是由原則設定來決定磁碟驅動器的 BitLocker 復原選項。

在 [將 BitLocker 修復資訊儲存至 Active Directory 網域服務] 中,選擇要在 AD DS 中儲存的固定數據磁碟驅動器 BitLocker 修復資訊。 如果您選取 [備份修復密碼和密鑰套件],BitLocker 修復密碼和金鑰套件都會儲存在 AD DS 中。 儲存金鑰套件支援從實際損毀的磁碟驅動器復原數據。 如果您選取 [僅備份修復密碼],則只有修復密碼會儲存在 AD DS 中。

如果您想要防止使用者啟用 BitLocker,除非電腦連線到網域,並將 BitLocker 修復資訊備份至 AD DS 成功,請選取 [在修復資訊儲存在固定數據磁碟驅動器的 AD DS 之前不要啟用 BitLocker] 複選框。

注意

如果選取 [在固定數據磁碟驅動器的 AD DS 中儲存修復資訊之前不要啟用 BitLocker] 複選框,則會自動產生修復密碼。

  • 如果啟用此原則設定,您可以控制可供使用者從受 BitLocker 保護的固定數據磁碟驅動器復原數據的方法。

  • 如果未設定或停用此原則設定,則 BitLocker 復原支援預設復原選項。 根據預設,允許 DRA,使用者可以指定復原選項,包括修復密碼和修復密鑰,且復原資訊不會備份至 AD DS。

資料識別碼元素:

  • FDVAllowDRA_Name:允許數據復原代理程式
  • FDVRecoveryPasswordUsageDropDown_Name和FDVRecoveryKeyUsageDropDown_Name:設定 BitLocker 復原資訊的用戶記憶體
  • FDVHideRecoveryPage_Name:從 BitLocker 安裝精靈省略復原選項
  • FDVActiveDirectoryBackup_Name:儲存 BitLocker 修復資訊以 Active Directory 網域服務
  • FDVActiveDirectoryBackupDropDown_Name:將 BitLocker 復原資訊的記憶體設定為 AD DS
  • FDVRequireActiveDirectoryBackup_Name:在固定數據磁碟驅動器的 AD DS 中儲存復原資訊之前,請勿啟用 BitLocker

開啟此原則之此節點的範例值為:

<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>

'xx' 的可能值為:

  • true = 明確允許
  • false = 未設定原則

'yy' 的可能值為:

  • 0 = 不允許
  • 1 = 必要
  • 2 = 允許

'zz' 的可能值為:

  • 1 = 儲存修復密碼和金鑰套件
  • 2 = 僅限市集修復密碼

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 FDVRecoveryUsage_Name
易記名稱 選擇如何復原受 BitLocker 保護的固定磁碟驅動器
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 固定數據磁碟驅動器
登錄機碼名稱 SOFTWARE\Policies\Microsoft\FVE
登錄值名稱 FDVRecovery
ADMX 檔案名稱 VolumeEncryption.admx

範例

若要停用此原則,請使用下列 SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

FixedDrivesRequireEncryption

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption

此原則設定可決定計算機上固定數據磁碟驅動器是否需要 BitLocker 保護。

  • 如果您啟用此原則設定,所有未受 BitLocker 保護的固定數據磁碟驅動器都會掛接為唯讀。 如果磁碟驅動器受到 BitLocker 保護,則會掛接具有讀取和寫入存取權的磁碟驅動器。

  • 如果您停用或未設定此原則設定,計算機上的所有固定數據磁碟驅動器都會掛接讀取和寫入存取權。

開啟此原則之此節點的範例值為: <enabled/>

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 FDVDenyWriteAccess_Name
易記名稱 拒絕寫入存取不受 BitLocker 保護的固定式磁碟機
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 固定數據磁碟驅動器
登錄機碼名稱 System\CurrentControlSet\Policies\Microsoft\FVE
登錄值名稱 FDVDenyWriteAccess
ADMX 檔案名稱 VolumeEncryption.admx

範例

若要停用此原則,請使用下列 SyncML:

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

IdentificationField

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10,版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10,版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/BitLocker/IdentificationField

此原則設定可讓您將唯一組織標識碼與使用 BitLocker 啟用的新磁碟驅動器建立關聯。 這些標識碼會儲存為識別欄位和允許的識別欄位。 識別欄位可讓您將唯一組織標識碼與受 BitLocker 保護的磁碟驅動器建立關聯。 此標識碼會自動新增至受 BitLocker 保護的新磁碟驅動器,並可在現有的受 BitLocker 保護的磁碟驅動器上使用 manage-bde 命令行工具進行更新。 需要識別欄位,才能在受 BitLocker 保護的磁碟驅動器上管理憑證型數據復原代理程式,以及可能更新 BitLocker To Go 讀取器。 只有當磁碟驅動器上的識別字段符合識別欄位中設定的值時,BitLocker 才會管理和更新數據復原代理程式。 同樣地,BitLocker 只會在磁碟驅動器上的識別欄位符合為識別欄位設定的值時,才更新 BitLocker To Go Reader。

允許的識別欄位會與 [拒絕寫入不受 BitLocker 保護的抽取式磁碟驅動器的寫入存取權] 原則設定搭配使用,以協助控制組織中卸載式磁碟驅動器的使用。 這是以逗號分隔的識別字段清單,來自您的組織或其他外部組織。

您可以使用 manage-bde.exe,在現有的磁碟驅動器上設定識別欄位。

  • 如果啟用此原則設定,您可以在受 BitLocker 保護的磁碟驅動器上設定識別欄位,以及組織所使用的任何允許識別欄位。

當受 BitLocker 保護的磁碟驅動器掛接在另一部已啟用 BitLocker 的電腦上時,會使用識別字段和允許的識別欄位來判斷磁碟驅動器是否來自組織外部。

  • 如果您停用或未設定此原則設定,則不需要標識符字段。

注意

需要識別欄位,才能在受 BitLocker 保護的磁碟驅動器上管理憑證型數據復原代理程式。 BitLocker 只會在磁碟驅動器上存在識別欄位且與電腦上設定的值相同時,才管理和更新憑證型數據復原代理程式。 識別欄位可以是任何 260 個字元或更少的值。

資料識別碼元素:

  • IdentificationField:這是 BitLocker 識別字段。
  • SecIdentificationField:這是允許的 BitLocker 識別字段。

開啟此原則之此節點的範例值為:

<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 IdentificationField_Name
易記名稱 為您的組織提供唯一標識碼
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密
登錄機碼名稱 Software\Policies\Microsoft\FVE
登錄值名稱 IdentificationField
ADMX 檔案名稱 VolumeEncryption.admx

RemovableDrivesConfigureBDE

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10,版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE

此原則設定可控制在抽取式數據磁碟驅動器上使用 BitLocker。 當您開啟 BitLocker 時,會套用此原則設定。

啟用此原則設定時,您可以選取可控制使用者如何設定 BitLocker 的屬性設定。 選擇 [允許使用者在抽取式數據磁碟驅動器上套用 BitLocker 保護],以允許使用者在卸載式數據磁碟驅動器上執行 BitLocker 安裝精靈。 選擇 [允許使用者在卸除式數據磁碟驅動器上暫停和解密 BitLocker],以允許使用者從磁碟驅動器移除 BitLocker 磁碟驅動器加密,或在執行維護時暫停加密。 如需暫停 BitLocker 保護的資訊,請參閱 BitLocker 基本部署

  • 如果您未設定此原則設定,用戶可以在抽取式磁碟驅動器上使用 BitLocker。

  • 如果您停用此原則設定,用戶就無法在抽取式磁碟驅動器上使用 BitLocker。

資料識別碼元素:

  • RDVAllowBDE_Name:允許使用者在卸載式數據磁碟驅動器上套用 BitLocker 保護。
  • RDVDisableBDE_Name:允許使用者在卸載式數據磁碟驅動器上暫停及解密 BitLocker。

開啟此原則之此節點的範例值為:

<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 RDVConfigureBDE
易記名稱 控制卸除式磁碟驅動器上的 BitLocker 使用
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 抽取式數據磁碟驅動器
登錄機碼名稱 Software\Policies\Microsoft\FVE
登錄值名稱 RDVConfigureBDE
ADMX 檔案名稱 VolumeEncryption.admx

RemovableDrivesEncryptionType

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10,版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType

此原則設定可讓您設定 BitLocker 磁碟驅動器加密所使用的加密類型。 當您開啟 BitLocker 時,會套用此原則設定。 如果磁碟驅動器已加密或加密正在進行中,變更加密類型將沒有任何作用。 選擇 [完整加密],要求在開啟 BitLocker 時加密整個磁碟驅動器。 選擇僅限使用的空間加密,以要求在 BitLocker 開啟時,只會加密用來儲存數據的磁碟驅動器部分。

  • 如果您啟用此原則設定,BitLocker 將用來加密磁碟驅動器的加密類型是由此原則所定義,而且 BitLocker 安裝精靈不會顯示加密類型選項。

  • 如果您停用或未設定此原則設定,BitLocker 安裝精靈會要求用戶在開啟 BitLocker 之前選取加密類型。

開啟此原則之此節點的範例值為:

<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>

可能的值:

  • 0:允許用戶選擇。
  • 1:完整加密。
  • 2:僅使用空間加密。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代
相依性 [BDEAllowed] 相依性類型: DependsOn
相依性 URI: Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE
相依性允許的值類型: ADMX

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 RDVEncryptionType_Name
易記名稱 在抽取式數據磁碟驅動器上強制執行磁碟驅動器加密類型
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 抽取式數據磁碟驅動器
登錄機碼名稱 SOFTWARE\Policies\Microsoft\FVE
登錄值名稱 RDVEncryptionType
ADMX 檔案名稱 VolumeEncryption.admx

RemovableDrivesExcludedFromEncryption

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption

啟用時,可讓您從 BitLocker 裝置加密中排除透過 USB 介面連線的卸載式磁碟驅動器和裝置。 排除的裝置甚至無法手動加密。 此外,如果已設定「拒絕對不受 BitLocker 保護的卸載式磁碟驅動器進行寫入存取」,系統將不會提示使用者進行加密,且磁碟驅動器會掛接在讀取/寫入模式中。 使用磁碟裝置的硬體識別碼,提供排除的卸載式磁碟驅動器\裝置的逗號分隔清單。 範例 USBSTOR\SEAGATE_ST39102LW_______0004。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代
允許的值 列出 (分隔符: ,)

RemovableDrivesRequireEncryption

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption

此原則設定會設定計算機是否需要 BitLocker 保護,才能將數據寫入抽取式數據磁碟驅動器。

  • 如果您啟用此原則設定,所有不受 BitLocker 保護的卸載式數據磁碟驅動器都會掛接為唯讀。 如果磁碟驅動器受到 BitLocker 保護,則會掛接具有讀取和寫入存取權的磁碟驅動器。

如果選取 [拒絕對另一個組織中設定的裝置進行寫入存取] 選項,則只有標識符字段符合計算機識別字段的磁碟驅動器才會獲得寫入許可權。 存取卸除式數據磁碟驅動器時,系統會檢查它是否有有效的識別欄位和允許的識別欄位。 這些欄位是由[為您的組織提供唯一標識符] 原則設定所定義。

  • 如果您停用或未設定此原則設定,計算機上的所有卸載式數據磁碟驅動器都會掛接讀取和寫入存取權。

注意

用戶設定\系統管理範本\System\抽取式記憶體存取下的原則設定可以覆寫此原則設定。 如果啟用 [卸除式磁碟: 拒絕寫入存取] 原則設定,則會忽略此原則設定。

資料識別碼元素:

  • RDVCrossOrg:拒絕對另一個組織中設定的裝置進行寫入存取

開啟此原則之此節點的範例值為:

 <enabled/><data id="RDVCrossOrg" value="xx"/>

'xx' 的可能值為:

  • true = 明確允許
  • false = 未設定原則

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 RDVDenyWriteAccess_Name
易記名稱 拒絕寫入存取不受 BitLocker 保護的抽取式磁碟機
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 抽取式數據磁碟驅動器
登錄機碼名稱 System\CurrentControlSet\Policies\Microsoft\FVE
登錄值名稱 RDVDenyWriteAccess
ADMX 檔案名稱 VolumeEncryption.admx

範例

若要停用此原則,請使用下列 SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

RequireDeviceEncryption

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

允許 管理員 使用 BitLocker\Device Encryption 開啟加密。

開啟此原則之此節點的範例值:

1

停用原則不會關閉系統磁碟驅動器上的加密。 但會停止提示用戶開啟它。

注意

使用此 CSP 進行無訊息加密時,目前僅支援完整磁碟加密。 針對非無訊息加密,加密類型會相依於 SystemDrivesEncryptionType 裝置並 FixedDrivesEncryptionType 設定。

系統會使用取得作業來檢查 OS 磁碟區和可加密固定數據磁碟區的狀態。 一般而言,BitLocker/裝置加密會遵循 EncryptionMethodByDriveType 原則設定為的任何值。 不過,對於自我加密固定磁碟驅動器和自我加密 OS 磁碟驅動器,將會忽略此原則設定。

可加密的固定數據磁碟區會被視為類似OS磁碟區。 不過,固定數據磁碟區必須符合其他準則,才能視為可加密:

  • 它不能是動態磁碟區。
  • 它不能是復原分割區。
  • 它不能是隱藏的磁碟區。
  • 它不能是系統分割區。
  • 它不能由虛擬記憶體支援。
  • BCD 存放區中不能有參考。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 停用: 如果原則設定未設定或設定為 0,則不會檢查裝置的強制狀態。 此原則不會強制執行加密,也不會解密加密的磁碟區。
1 啟用: 系統會檢查裝置的強制狀態。 根據 AllowWarningForOtherDiskEncryption 原則) ,將此原則設定為 1 會觸發所有磁碟驅動器的加密, (以無訊息或非無訊息方式加密。

範例

若要停用 RequireDeviceEncryption:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
    </SyncBody>
</SyncML>

RequireStorageCardEncryption

注意

此原則已被取代,並可能在未來的版本中移除。

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption

允許 管理員 在裝置上要求記憶體卡片加密。

此原則僅適用於行動 SKU。

開啟此原則之此節點的範例值:

1

停用原則不會關閉記憶體卡片上的加密。 但會停止提示用戶開啟它。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 記憶體卡片不需要加密。
1 需要加密記憶體卡片。

RotateRecoveryPasswords

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1909 [10.0.18363] 和更新版本
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords

可讓系統管理員在 Microsoft Entra ID 或已加入混合式的裝置上,針對OS和固定數據磁碟驅動器,推送所有數值修復密碼的一次性輪替。

此原則是「執行類型」,而且會在從 MDM 工具發出時輪替所有數值密碼。

只有在修復密碼的 Active Directory 備份設定為「必要」時,原則才會生效。

  • 針對操作系統磁碟驅動器,請啟用「在復原資訊儲存至作業系統磁碟驅動器的 Active Directory 網域服務 之前,請勿啟用 BitLocker」。

  • 針對固定磁碟驅動器,請啟用「在復原資訊儲存至固定數據磁碟驅動器的 Active Directory 網域服務 之前,請勿啟用 BitLocker」。

用戶端會傳回狀態DM_S_ACCEPTED_FOR_PROCESSING,以指出旋轉已啟動。 伺服器可以使用下列狀態節點來查詢狀態:

  • status\RotateRecoveryPasswordsStatus
  • status\RotateRecoveryPasswordsRequestID。

支援的值:要求標識符的字串形式。 要求標識碼的範例格式為 GUID。 伺服器可以根據管理工具,視需要選擇格式。

注意

只有這些註冊類型才支援金鑰輪替。 如需詳細資訊,請 參閱 deviceEnrollmentType 列舉

  • windowsAzureADJoin。
  • windowsBulkAzureDomainJoin。
  • windowsAzureADJoinUsingDeviceAuth。
  • windowsCoManagement。

提示

只有在下列情況時,金鑰輪替功能才能運作:

  • 針對作業系統磁碟驅動器:

    • OSRequireActiveDirectoryBackup_Name設為 1 (“Required”) 。
    • OSActiveDirectoryBackup_Name設為 true。
  • 針對固定資料磁碟驅動器:

    • FDVRequireActiveDirectoryBackup_Name設為 1 = (“Required”) 。
    • FDVActiveDirectoryBackup_Name設為 true。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 Exec

狀態

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1903 [10.0.18362] 和更新版本
./Device/Vendor/MSFT/BitLocker/Status

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]

Status/DeviceEncryptionStatus

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1903 [10.0.18362] 和更新版本
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus

此節點會報告系統上裝置加密的合規性狀態。

值 『0』 表示裝置符合規範。 任何其他值都代表不符合規範的裝置。

此值代表每個位的位掩碼,以及下表所述的對應錯誤碼:

錯誤碼
0 BitLocker 原則需要使用者同意啟動 BitLocker 磁碟驅動器加密精靈,才能開始加密 OS 磁碟區,但使用者未同意。
1 OS 磁碟區的加密方法不符合 BitLocker 原則。
2 OS 磁碟區未受保護。
3 BitLocker 原則需要操作系統磁碟區的僅限 TPM 保護裝置,但不會使用 TPM 保護。
4 BitLocker 原則需要 OS 磁碟區的 TPM+PIN 保護,但不會使用 TPM+PIN 保護裝置。
5 BitLocker 原則需要 OS 磁碟區的 TPM+啟動金鑰保護,但不會使用 TPM+啟動密鑰保護裝置。
6 BitLocker 原則需要 OS 磁碟區的 TPM+PIN+啟動密鑰保護,但不會使用 TPM+PIN+啟動金鑰保護裝置。
7 BitLocker 原則需要 TPM 保護裝置來保護 OS 磁碟區,但不會使用 TPM。
8 修復金鑰備份失敗。
9 固定磁碟驅動器未受保護。
10 固定磁碟驅動器的加密方法不符合 BitLocker 原則。
11 若要加密磁碟驅動器,BitLocker 原則會要求使用者以系統管理員身分登入,或如果裝置已加入 Microsoft Entra ID,AllowStandardUserEncryption 原則必須設定為 1。
12 未設定 Windows Recovery Environment (WinRE) 。
13 TPM 不適用於 BitLocker,可能是因為 TPM 不存在、已在登錄中無法使用,或操作系統位於卸載式磁碟驅動器上。
14 TPM 尚未準備好用於 BitLocker。
15 無法使用網路,這是復原密鑰備份的必要專案。
16 完整磁碟的 OS 磁碟區加密類型與僅限使用的空間加密不符合 BitLocker 原則。
17 完整磁碟的固定磁碟驅動器加密類型與僅使用的空間加密不符合 BitLocker 原則。
18-31 供日後使用。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

Status/RemovableDrivesEncryptionStatus

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus

此節點會報告移除磁碟驅動器加密的合規性狀態。 “0” 值表示移除磁碟驅動器會在所有設定的移除磁碟驅動器設定之後加密。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

Status/RotateRecoveryPasswordsRequestID

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1909 [10.0.18363] 和更新版本
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID

此節點會報告對應至 RotateRecoveryPasswordsStatus 的 RequestID。

此節點必須在與 RotateRecoveryPasswordsStatus 同步處理時進行查詢,以確保狀態與要求標識符正確相符。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 [取得]

Status/RotateRecoveryPasswordsStatus

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1909 [10.0.18363] 和更新版本
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus

此節點會報告 RotateRecoveryPasswords 要求的狀態。

狀態代碼可以是下列其中一項:

NotStarted (2) 、Pending (1) 、Pass (0) 、失敗時的其他錯誤碼。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

SystemDrivesDisallowStandardUsersCanChangePIN

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN

此原則設定可讓您設定是否允許標準用戶變更 BitLocker 磁碟區 PIN,前提是他們可以先提供現有的 PIN。

當您開啟 BitLocker 時,會套用此原則設定。

  • 如果啟用此原則設定,則不允許標準用戶變更 BitLocker PIN 或密碼。

  • 如果您停用或未設定此原則設定,則會允許標準用戶變更 BitLocker PIN 和密碼。

注意

若要變更 PIN 或密碼,用戶必須能夠提供目前的 PIN 或密碼。

此節點停用此原則的範例值為: <disabled/>

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DisallowStandardUsersCanChangePIN_Name
易記名稱 不允許標準使用者變更 PIN 或密碼
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 作業系統磁碟驅動器
登錄機碼名稱 Software\Policies\Microsoft\FVE
登錄值名稱 DisallowStandardUserPINReset
ADMX 檔案名稱 VolumeEncryption.admx

SystemDrivesEnablePrebootInputProtectorsOnSlates

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10,版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10,版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates

此原則設定可讓用戶開啟需要使用者從開機前環境輸入的驗證選項,即使平臺缺少開機前輸入功能也一般。

在 BitLocker 需要其他資訊的開機前環境中,無法在 BitLocker 需要 PIN 或密碼等其他資訊的開機前環境中使用像是) 計算機所使用的 Windows 觸控式鍵盤 (。

  • 如果您啟用此原則設定,裝置必須有開機前輸入 (的替代方法,例如連結的 USB 鍵盤) 。

  • 如果未啟用此原則,則必須在Tablet上啟用 Windows 復原環境,以支援 BitLocker 修復密碼的輸入。 當 Windows 修復環境未啟用且未啟用此原則時,您就無法在使用 Windows 觸控式鍵盤的裝置上開啟 BitLocker。

請注意,如果您未啟用此原則設定,則這類裝置上可能無法使用[在啟動時需要額外的驗證] 原則中的選項。 這些選項包括:

  • 設定 TPM 啟動 PIN:必要/允許
  • 設定 TPM 啟動金鑰和 PIN:必要/允許
  • 設定作業系統磁碟驅動器的密碼使用。

開啟此原則之此節點的範例值為: <enabled/>

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 EnablePrebootInputProtectorsOnSlates_Name
易記名稱 啟用需要在平板上預先啟動鍵盤輸入的 BitLocker 驗證
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 作業系統磁碟驅動器
登錄機碼名稱 Software\Policies\Microsoft\FVE
登錄值名稱 OSEnablePrebootInputProtectorsOnSlates
ADMX 檔案名稱 VolumeEncryption.admx

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10,版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10,版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

此原則設定可讓裝置上符合 InstantGo 或 Microsoft 硬體安全性測試介面 (HSTI) 的使用者沒有 PIN 進行開機前驗證。 這會覆寫相容硬體上[在啟動時需要額外的驗證] 原則的 [需要啟動 PIN 搭配 TPM] 和 [需要啟動密鑰和 PIN 搭配 TPM] 選項。

  • 如果啟用此原則設定,則 InstantGo 和 HSTI 相容裝置上的使用者可以選擇開啟 BitLocker,而不需要開機前驗證。

  • 如果未啟用此原則,則會套用[啟動時需要額外的驗證] 原則的選項。

開啟此原則之此節點的範例值為: <enabled/>

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 EnablePreBootPinExceptionOnDECapableDevice_Name
易記名稱 允許符合 InstantGo 或 HSTI 規範的裝置退出開機前 PIN。
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 作業系統磁碟驅動器
登錄機碼名稱 Software\Policies\Microsoft\FVE
登錄值名稱 OSEnablePreBootPinExceptionOnDECapableDevice
ADMX 檔案名稱 VolumeEncryption.admx

SystemDrivesEncryptionType

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType

此原則設定可讓您設定 BitLocker 磁碟驅動器加密所使用的加密類型。 當您開啟 BitLocker 時,會套用此原則設定。 如果磁碟驅動器已加密或加密正在進行中,變更加密類型將沒有任何作用。 選擇 [完整加密],要求在開啟 BitLocker 時加密整個磁碟驅動器。 選擇僅限使用的空間加密,以要求在 BitLocker 開啟時,只會加密用來儲存數據的磁碟驅動器部分。

  • 如果您啟用此原則設定,BitLocker 將用來加密磁碟驅動器的加密類型是由此原則所定義,而且 BitLocker 安裝精靈不會顯示加密類型選項。

  • 如果您停用或未設定此原則設定,BitLocker 安裝精靈會要求用戶在開啟 BitLocker 之前選取加密類型。

開啟此原則之此節點的範例值為:

<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>

可能的值:

  • 0:允許用戶選擇。
  • 1:完整加密。
  • 2:僅使用空間加密。

注意

壓縮或擴充磁碟區時會忽略此原則,而 BitLocker 驅動程式會使用目前的加密方法。 例如,當使用「僅使用空間加密」的磁碟驅動器展開時,不會抹除新的可用空間,就像使用完整加密的磁碟驅動器一樣。 使用者可以使用下列命令抹除「僅使用空間」磁碟驅動器上的可用空間: manage-bde -w。 如果磁碟區已壓縮,則不會對新的可用空間採取任何動作。

如需管理 BitLocker 之工具的詳細資訊,請參閱 manage-bde

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 OSEncryptionType_Name
易記名稱 在作業系統磁碟驅動器上強制執行磁碟驅動器加密類型
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 作業系統磁碟驅動器
登錄機碼名稱 SOFTWARE\Policies\Microsoft\FVE
登錄值名稱 OSEncryptionType
ADMX 檔案名稱 VolumeEncryption.admx

SystemDrivesEnhancedPIN

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN

此原則設定可讓您設定是否要搭配 BitLocker 使用增強型啟動 PIN。

增強的啟動 PIN 允許使用字元,包括大寫和小寫字母、符號、數位和空格。 當您開啟 BitLocker 時,會套用此原則設定。

  • 如果您啟用此原則設定,所有新的 BitLocker 啟動 PIN 集都會增強 PIN。

注意

並非所有計算機都可在開機前環境中支持增強型 PIN。 強烈建議使用者在 BitLocker 安裝期間執行系統檢查。

  • 如果您停用或未設定此原則設定,則不會使用增強型 PIN。

開啟此原則之此節點的範例值為: <enabled/>

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 EnhancedPIN_Name
易記名稱 允許增強型 PIN 以啟動
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 作業系統磁碟驅動器
登錄機碼名稱 Software\Policies\Microsoft\FVE
登錄值名稱 UseEnhancedPin
ADMX 檔案名稱 VolumeEncryption.admx

SystemDrivesMinimumPINLength

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength

此原則設定可讓您設定信賴平臺模組的最小長度 (TPM) 啟動 PIN。 當您開啟 BitLocker 時,會套用此原則設定。 啟動 PIN 的最小長度必須為 4 位數,且長度上限為 20 位數。

  • 如果您啟用此原則設定,則在設定啟動 PIN 時,可能需要使用最少位數的數位。

  • 如果您停用或未設定此原則設定,用戶可以設定長度介於 6 到 20 位數之間的啟動 PIN。

注意

如果 PIN 長度下限設定為低於 6 位數,Windows 會嘗試將 TPM 2.0 鎖定期間更新為大於 PIN 變更時的預設值。 如果成功,如果 TPM 重設,Windows 只會將 TPM 鎖定期間重設回預設值。

注意

在 Windows 10 版本 1703 版本 B 中,您可以使用 4 位數的最小 PIN 長度。

開啟此原則之此節點的範例值為:

<enabled/><data id="MinPINLength" value="xx"/>

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 MinimumPINLength_Name
易記名稱 設定啟動的最小 PIN 長度
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 作業系統磁碟驅動器
登錄機碼名稱 Software\Policies\Microsoft\FVE
ADMX 檔案名稱 VolumeEncryption.admx

範例

若要停用此原則,請使用下列 SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryMessage

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage

此原則設定可讓您設定整個復原訊息,或取代 OS 磁碟驅動器鎖定時,開機前密鑰修復畫面上顯示的現有 URL。

如果您選取 [使用預設修復訊息和 URL] 選項,預設的 BitLocker 修復訊息和 URL 會顯示在開機前密鑰修復畫面中。 如果您先前已設定自定義修復訊息或 URL,而且想要還原為預設訊息,則必須保持啟用原則,並選取 [使用預設復原訊息和 URL] 選項。

如果您選取 [使用自定義修復訊息] 選項,您在 [自定義修復訊息選項] 文字框中輸入的訊息將會顯示在開機前密鑰修復畫面中。 如果有可用的復原 URL,請將其包含在訊息中。

如果您選取 [使用自定義復原 URL] 選項,您在 [自定義修復 URL 選項] 文本框中輸入的 URL 將會取代預設復原訊息中的預設 URL,這將會顯示在開機前密鑰復原畫面中。

注意

開機前不支援所有字元和語言。 強烈建議您測試用於自定義訊息或 URL 的字元是否正確出現在開機前復原畫面上。

資料識別碼元素:

  • PrebootRecoveryInfoDropDown_Name:選取開機前復原訊息的選項。
  • RecoveryMessage_Input:自定義復原訊息
  • RecoveryUrl_Input:自定義復原 URL

開啟此原則之此節點的範例值為:

<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>

'xx' 的可能值為:

  • 0 = 空白
  • 1 = 使用預設復原訊息和 URL (在此情況下,您不需要指定 「RecoveryMessage_Input」 或 「RecoveryUrl_Input」 ) 的值。
  • 2 = 已設定自定義復原訊息。
  • 3 = 已設定自定義復原 URL。

'yy' 和 'zz' 的可能值分別是最大長度 900 和 500 的字串。

注意

  • 當您啟用 SystemDrivesRecoveryMessage 時,您必須在開機前復原畫面、修復訊息和復原 URL) (指定這三個設定的值,否則會 (500 傳回狀態) 失敗。 例如,如果您只指定訊息和 URL 的值,您會得到 500 個傳回狀態。
  • 開機前不支援所有字元和語言。 強烈建議您測試用於自定義訊息或 URL 的字元是否正確出現在開機前復原畫面上。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 PrebootRecoveryInfo_Name
易記名稱 設定開機前復原訊息和URL
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 作業系統磁碟驅動器
登錄機碼名稱 Software\Policies\Microsoft\FVE
ADMX 檔案名稱 VolumeEncryption.admx

範例

若要停用此原則,請使用下列 SyncML:

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryOptions

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions

此原則設定可讓您控制在不需要啟動密鑰資訊的情況下,如何復原受 BitLocker 保護的作業系統磁碟驅動器。 當您開啟 BitLocker 時,會套用此原則設定。

[允許憑證式數據復原代理程式] 複選框可用來指定數據復原代理程式是否可以與受 BitLocker 保護的操作系統磁碟驅動器搭配使用。 數據復原代理程式必須先從 群組原則 管理主控台或本機 群組原則 編輯器 中的 [公鑰原則] 專案新增,才能使用數據復原代理程式。 如需新增數據復原代理程式的詳細資訊,請參閱 Microsoft TechNet 上的 BitLocker 磁碟驅動器加密部署指南。

在 [設定 BitLocker 修復資訊的使用者記憶體] 中,選取是否允許、必要或不允許用戶產生 48 位數的修復密碼或 256 位修復密鑰。

選取 [從 BitLocker 安裝精靈省略復原選項],以防止使用者在磁碟驅動器上開啟 BitLocker 時指定復原選項。 這表示當您開啟 BitLocker 時,將無法指定要使用的復原選項,而是由原則設定來決定磁碟驅動器的 BitLocker 復原選項。

在 [將 BitLocker 修復資訊儲存至 Active Directory 網域服務] 中,選擇要在操作系統磁碟驅動器的 AD DS 中儲存的 BitLocker 修復資訊。 如果您選取 [備份修復密碼和密鑰套件],BitLocker 修復密碼和金鑰套件都會儲存在 AD DS 中。 儲存金鑰套件支援從實際損毀的磁碟驅動器復原數據。 如果您選取 [僅備份修復密碼],則只有修復密碼會儲存在 AD DS 中。

如果您想要防止使用者啟用 BitLocker,除非電腦連線到網域,並將 BitLocker 修復資訊備份至 AD DS 成功,請選取 [在操作系統磁碟驅動器的 AD DS 中儲存修復資訊之前不要啟用 BitLocker] 複選框。

注意

如果選取 [在作業系統磁碟驅動器的 AD DS 中儲存修復資訊之前不要啟用 BitLocker] 複選框,則會自動產生修復密碼。

  • 如果啟用此原則設定,您可以控制可供使用者從受 BitLocker 保護的作業系統磁碟驅動器復原數據的方法。

  • 如果停用或未設定此原則設定,BitLocker 復原會支援預設復原選項。 根據預設,允許 DRA,使用者可以指定復原選項,包括修復密碼和修復密鑰,且復原資訊不會備份至 AD DS。

資料識別碼元素:

  • OSAllowDRA_Name:允許憑證式數據復原代理程式
  • OSRecoveryPasswordUsageDropDown_Name和OSRecoveryKeyUsageDropDown_Name:設定 BitLocker 復原資訊的用戶記憶體
  • OSHideRecoveryPage_Name:從 BitLocker 安裝精靈省略復原選項
  • OSActiveDirectoryBackup_Name和OSActiveDirectoryBackupDropDown_Name:儲存 BitLocker 修復資訊以 Active Directory 網域服務
  • OSRequireActiveDirectoryBackup_Name:在操作系統磁碟驅動器的 AD DS 中儲存復原資訊之前,請勿啟用 BitLocker

開啟此原則之此節點的範例值為:

<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>

'xx' 的可能值為:

  • true = 明確允許
  • false = 未設定原則

'yy' 的可能值為:

  • 0 = 不允許
  • 1 = 必要
  • 2 = 允許

'zz' 的可能值為:

  • 1 = 儲存修復密碼和金鑰套件。
  • 2 = 僅儲存修復密碼。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 OSRecoveryUsage_Name
易記名稱 選擇如何復原受 BitLocker 保護的作業系統磁碟驅動器
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 作業系統磁碟驅動器
登錄機碼名稱 SOFTWARE\Policies\Microsoft\FVE
登錄值名稱 OSRecovery
ADMX 檔案名稱 VolumeEncryption.admx

範例

若要停用此原則,請使用下列 SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRequireStartupAuthentication

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1703 [10.0.15063] 和更新版本
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication

此原則設定可讓您設定每次電腦啟動時,BitLocker 是否需要額外的驗證,以及是否使用具有或不含信賴平臺模組的 BitLocker (TPM) 。 當您開啟 BitLocker 時,會套用此原則設定。

注意

啟動時只需要一個額外的驗證選項,否則會發生原則錯誤。

如果您想要在沒有 TPM 的電腦上使用 BitLocker,請選取 [允許沒有相容 TPM 的 BitLocker] 複選框。 在此模式中,啟動需要密碼或USB磁碟驅動器。 使用啟動金鑰時,用來加密磁碟驅動器的金鑰資訊會儲存在 USB 磁碟驅動器上,以建立 USB 金鑰。 插入 USB 金鑰時,會驗證磁碟驅動器的存取權,且可存取磁碟驅動器。 如果USB金鑰遺失或無法使用,或您忘記密碼,則必須使用其中一個 BitLocker 修復選項來存取磁碟驅動器。

在具有相容 TPM 的計算機上,四種驗證方法可以在啟動時用來為加密數據提供額外的保護。 當計算機啟動時,它只能使用 TPM 進行驗證,或也需要插入包含啟動密鑰的 USB 快閃磁碟驅動器、6 位數到 20 位數的個人識別碼專案 (PIN) 或兩者。

  • 如果您啟用此原則設定,用戶可以在 BitLocker 安裝精靈中設定進階啟動選項。

  • 如果您停用或未設定此原則設定,使用者只能在具有 TPM 的電腦上設定基本選項。

注意

如果您想要要求使用啟動 PIN 和 USB 快閃磁碟驅動器,您必須使用命令行工具 manage-bde 而不是 BitLocker 磁碟驅動器加密安裝精靈來設定 BitLocker 設定。

注意

  • 在 Windows 10 1703 版 B 版中,您可以使用至少 4 位數的 PIN 碼。 SystemDrivesMinimumPINLength 原則必須設定為允許 6 位數以下的 PIN。
  • 通過硬體安全性測試規格 (HSTI) 驗證或新式待命裝置的裝置將無法使用此 CSP 設定啟動 PIN。 用戶必須手動設定 PIN。 資料識別碼元素:
  • ConfigureNonTPMStartupKeyUsage_Name = 允許 BitLocker 不含相容的 TPM (需要 USB 快閃磁碟驅動器上的密碼或啟動金鑰) 。
  • ConfigureTPMStartupKeyUsageDropDown_Name = 使用 TPM) 設定 TPM 啟動金鑰的電腦 (。
  • ConfigurePINUsageDropDown_Name = 具有 TPM) 設定 TPM 啟動 PIN 的電腦 (。
  • ConfigureTPMPINKeyUsageDropDown_Name = 使用 TPM) 設定 TPM 啟動金鑰和 PIN 的電腦 (。
  • ConfigureTPMUsageDropDown_Name = 使用 TPM) 設定 TPM 啟動的電腦 (。

開啟此原則之此節點的範例值為:

<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>

'xx' 的可能值為:

  • true = 明確允許
  • false = 未設定原則

'yy' 的可能值為:

  • 2 = 選擇性
  • 1 = 必要
  • 0 = 不允許

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 ConfigureAdvancedStartup_Name
易記名稱 啟動時需要額外的驗證
位置 [電腦設定]
路徑 Windows 元件 > BitLocker 磁碟驅動器加密 > 作業系統磁碟驅動器
登錄機碼名稱 SOFTWARE\Policies\Microsoft\FVE
登錄值名稱 UseAdvancedStartup
ADMX 檔案名稱 VolumeEncryption.admx

範例

若要停用此原則,請使用下列 SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SyncML 範例

下列範例是為了顯示適當的格式而提供,不應該做為建議。

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>

      <!-- Phone only policy -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <!-- All of the following policies are only supported on desktop SKU -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
            <data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
            <data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
            <data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigurePINUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMUsageDropDown_Name" value="2"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="MinPINLength" value="6"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RecoveryMessage_Input" value="blablablabla"/>
            <data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
            <data id="RecoveryUrl_Input" value="blablabla"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="OSAllowDRA_Name" value="true"/>
            <data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="OSHideRecoveryPage_Name" value="true"/>
            <data id="OSActiveDirectoryBackup_Name" value="true"/>
            <data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="FDVAllowDRA_Name" value="true"/>
            <data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="FDVHideRecoveryPage_Name" value="true"/>
            <data id="FDVActiveDirectoryBackup_Name" value="true"/>
            <data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RDVCrossOrg" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Final/>
    </SyncBody>
</SyncML>

設定服務提供者參考