設定作業系統可用的 TPM 擁有者授權資訊的層級

這個原則設定會設定有多少 TPM 擁有者授權資訊儲存在本機電腦的登錄中。根據在本機儲存的 TPM 擁有者授權資訊數量而定,作業系統及 TPM 應用程式可執行需要 TPM 擁有者授權的特定 TPM 動作,而不需要使用者輸入 TPM 擁有者密碼。

您可以選擇讓作業系統儲存完整的 TPM 擁有者授權值、TPM 系統管理委派 blob 加上 TPM 使用者委派 blob,或者都不儲存。

如果您啟用這個原則設定,Windows 將依據您選擇的作業系統管理 TPM 授權設定,在本機電腦的登錄中儲存 TPM 擁有者授權。

選擇作業系統管理 TPM 授權設定為「完整」,在本機登錄中儲存完整的 TPM 擁有者授權、TPM 系統管理委派 blob 以及 TPM 使用者委派 blob。這個設定允許使用 TPM 而不需要遠端或外部儲存 TPM 擁有者授權值。這個設定適用不依存於防止重設 TPM Anti-Hammering 邏輯或變更 TPM 擁有者授權值的狀況。有些 TPM 應用程式在使用依存於 TPM Anti-Hammering 邏輯的功能之前,可能會需要變更這個設定。

選擇作業系統管理 TPM 授權設定為「委派」,只在本機登錄中儲存 TPM 系統管理委派 blob 以及 TPM 使用者委派 blob。這個設定適用搭配依存於 TPM Anti-Hammering 邏輯的 TPM 應用程式使用。使用這個設定時,建議使用外部或遠端儲存完整 TPM 擁有者授權值,例如將這個值備份到 Active Directory 網域服務 (AD DS)。

若要相容於舊版作業系統及應用程式,或是要求不可在本機儲存 TPM 擁有者授權的狀況下使用,請選擇作業系統管理 TPM 授權設定為「無」。 使用這個設定對某些 TPM 應用程式可能會造成問題。

如果您停用或未設定這個原則設定,而且也停用或未設定「開啟 TPM 備份到 Active Directory 網域服務」原則設定,則預設設定為在本機登錄儲存完整的 TPM 授權值。如果停用或未設定這個原則,而且啟用「開啟 TPM 備份到 Active Directory 網域服務」群組原則設定,則只會在本機登錄儲存系統管理委派及使用者委派 blob。

注意: 如果作業系統管理 TPM 授權設定從「完整」變更為「委派」,則將會重新產生完整的 TPM 擁有者授權值,任何原始的 TPM 擁有者授權值都會失效。如果您正在將 TPM 擁有者授權值備份到 AD DS,會在變更時自動將新的擁有者授權值備份到 AD DS。

支援的作業系統: 至少需要 Windows Server 2012、Windows 8 或 Windows RT

作業系統管理 TPM 授權層級:


  1. 完整
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\TPM
    Value NameOSManagedAuthLevel
    Value TypeREG_DWORD
    Value4
  2. 委派
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\TPM
    Value NameOSManagedAuthLevel
    Value TypeREG_DWORD
    Value2

  3. Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\TPM
    Value NameOSManagedAuthLevel
    Value TypeREG_DWORD
    Value0


tpm.admx

系統管理範本 (電腦)

系統管理範本 (使用者)