設定作業系統可用的 TPM 擁有者授權資訊的層級

此原則設定會設定有多少 TPM 擁有者授權資訊,儲存在本機電腦的登錄中。視本機儲存的 TPM 擁有者授權資訊數量之不同,在無須使用者輸入 TPM 擁有者密碼的情況下,作業系統與 TPM 應用程式可執行需要 TPM 擁有者授權的特定 TPM 動作。

您可以選擇讓作業系統儲存完整的 TPM 擁有者授權值、TPM 系統管理委派 Blob 加上 TPM 使用者委派 Blob,或者都不儲存。

若啟用此原則設定,Windows 將會依據您選擇的作業系統管理之 TPM 驗證設定,在本機電腦的登錄中,儲存 TPM 擁有者授權。

選擇作業系統管理的 TPM 驗證設定為「完整」,表示在本機登錄中儲存完整的 TPM 擁有者授權、TPM 系統管理委派 Blob 與 TPM 使用者委派 Blob。此設定可以在不需要遠端或外部儲存體 TPM 擁有者授權值,即可使用 TPM。此設定的適用情況為,無須仰賴避免重設 TPM Anti-Hammering 邏輯或變更 TPM 擁有者授權值的情況。可能會需要變更此項設定,某些 TPM 應用程式才可使用仰賴 TPM Anti-Hammering 邏輯的功能。

選擇作業系統管理的 TPM 驗證設定「委派」,只會在本機登錄中儲存 TPM 系統管理委派 Blob 以及 TPM 使用者委派 Blob。此設定適用於搭配仰賴 TPM Anti-Hammering 邏輯的 TPM 應用程式使用。

若要與舊版作業系統及應用程式相容,或是要在要求不可在本機儲存 TPM 擁有者授權的情況下使用,請為作業系統管理的 TPM 驗證設定選擇「無」。使用此設定對於某些 TPM 應用程式來說,可能會造成問題。

注意: 若作業系統管理的 TPM 驗證設定,從「完整」變更為「委派」,將會重新產生完整的 TPM 擁有者授權值,且任何原始 TPM 擁有者授權值的複本都將失效。

支援的作業系統: 至少需要 Windows Server 2012、Windows 8 或 Windows RT

作業系統管理 TPM 授權層級:


  1. 完整
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\TPM
    Value NameOSManagedAuthLevel
    Value TypeREG_DWORD
    Value4
  2. 委派
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\TPM
    Value NameOSManagedAuthLevel
    Value TypeREG_DWORD
    Value2

  3. Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\TPM
    Value NameOSManagedAuthLevel
    Value TypeREG_DWORD
    Value0


tpm.admx

系統管理範本 (電腦)

系統管理範本 (使用者)