為什麼需要這個設定?
- 有些 Windows 10 Pro/Enterprise 裝置沒有 TPM(Trusted Platform Module),預設無法使用 BitLocker 系統磁碟加密。
- 修改群組原則後,可改用開機密碼或 USB 啟動金鑰取代 TPM 完成加密驗證。
步驟 1:修改群組原則允許無 TPM 使用 BitLocker
- 按
Win + R,輸入 gpedit.msc → 按 Enter 開啟 本機群組原則編輯器 (Local Group Policy Editor)
- 路徑導航:
電腦設定 > 系統管理範本 > Windows 元件 (Windows Components) > BitLocker 磁碟加密 (BitLocker Drive Encryption) > 作業系統磁碟 (Operating System Drives)
- 找到
啟動時要求其他驗證 (Require additional authentication at startup)
- 設定為 已啟用
- 勾選:在不含相容 TPM 的情形下允許使用 BitLocker (Allow BitLocker without a compatible TPM)
- 點選 套用 → 確定 → 關閉編輯器
- 這將允許使用開機密碼或 USB 金鑰做為 BitLocker 驗證方式
步驟 2:重新開機並啟用 BitLocker
- 重新啟動 電腦以套用原則設定
- 開啟 控制台 > BitLocker 磁碟加密,或在 C:\ 系統磁碟 → 右鍵 → 開啟 BitLocker
- 按照精靈進行設定:
- 選擇開機驗證方式:輸入密碼或插入 USB 金鑰
- 備份恢復金鑰:可選儲存至 USB、列印或另存為檔案(建議保管多份)
- 選擇加密範圍:整個磁碟或僅加密已使用部分
- 選擇加密模式:建議使用新版 XTS‑AES 模式
- BitLocker 會進行「系統檢查」,並要求重新開機
- 重新開機後,依所選方式輸入密碼或插入金鑰完成加密啟用
小提醒
- ✅ 備份重要資料:建議使用系統映像、雲端或外接硬碟
- ⚠️ 開機驗證方式注意事項:
- 密碼模式:每次開機需輸入密碼
- USB 模式:每次開機需插入 USB 金鑰
- 💾 恢復金鑰儲存:建議列印並備份,遇鎖定情形可救回資料
補充
- 修改「Require additional authentication at startup」可細部設定開機時是否允許 TPM、PIN、金鑰等驗證方式
- 即使沒有 TPM,BitLocker 也可使用「USB 金鑰」或「開機密碼」,只要原則勾選「Allow BitLocker without TPM」即可使用