這個原則設定可控制連線到受信任的有線區域網路 (LAN) 且加入網域的受 BitLocker 保護的電腦,是否可以建立和使用啟用 TPM 電腦上的網路金鑰保護裝置,以便在電腦啟動時自動解除作業系統磁碟機的鎖定。
如果您啟用這個原則,設有 BitLocker 網路解除鎖定憑證的用戶端將可建立和使用網路金鑰保護裝置。
若要使用網路金鑰保護裝置解除鎖定電腦,電腦和 BitLocker 磁碟機加密網路解除鎖定伺服器都必須使用網路解除鎖定憑證進行佈建。網路解除鎖定憑證可用來建立網路金鑰保護裝置,以及保護與伺服器交換的資訊以解除鎖定電腦。您可以使用網域控制站上的 [電腦設定\Windows 設定\安全性設定\公開金鑰原則\BitLocker 磁碟機加密網路解除鎖定憑證] 群組原則設定,將這個憑證發佈到組織中電腦。這個解除鎖定方法使用電腦上的 TPM,因此沒有 TPM 的電腦無法建立網路金鑰保護裝置透過網路解除鎖定自動解除鎖定。
如果您停用或未設定這個原則設定,BitLocker 用戶端將無法建立和使用網路金鑰保護裝置。
注意: 為了確保可靠性和安全性,電腦也應具備 TPM 啟動 PIN,以便電腦在啟動時如果與有線網路或伺服器中斷連線時可以使用。
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE |
| Value Name | OSManageNKP |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |