管理和操作 BitLocker 有不同的工具和選項：

BitLocker 磁碟驅動器加密工具和 BitLocker PowerShell 模組可用來執行任何可透過 BitLocker 控制面板完成的工作。 它們適合用於自動化部署和其他腳本案例。 BitLocker 控制面板小程式可讓使用者執行基本工作，例如在磁碟驅動器上開啟 BitLocker，以及指定解除鎖定方法和驗證方法。 BitLocker 控制面板小程式適合用於基本的 BitLocker 工作。

本文說明 BitLocker 管理工具及其使用方式，並提供實用的範例。

BitLocker PowerShell 模組可讓系統管理員輕鬆地將 BitLocker 選項整合到現有的腳本中。 如需模組中包含的 Cmdlet 清單、其描述和語法，請參閱 BitLocker PowerShell 參考文章。

BitLocker 磁碟驅動器加密工具包含兩個命令行工具：

使用 BitLocker 控制面板加密磁碟區 (選取 [開始]，輸入 BitLocker，選取 [ 管理 BitLocker ]，) 是有多少使用者將使用 BitLocker。 BitLocker 控制面板小程式的名稱是 BitLocker 磁碟驅動器加密。 Applet 支援加密作業系統、固定數據和抽取式數據磁碟區。 BitLocker 控制面板會根據裝置向 Windows 報告本身的方式，組織適當類別中的可用磁碟驅動器。 只有具有指派驅動器號的格式化磁碟區才會在 BitLocker 控制面板小程式中正確顯示。

Windows 檔案總管可讓使用者以滑鼠右鍵按兩下磁碟區，然後選取 [開啟 BitLocker]，以啟動 BitLocker 磁碟驅動器加密精靈。 根據預設，此選項可在用戶端計算機上使用。 在伺服器上，必須先安裝 BitLocker 功能和 Desktop-Experience 功能，才能使用此選項。 選取 [ 開啟 BitLocker] 之後，精靈的運作方式就如同使用 BitLocker 控制面板啟動時一樣。

若要檢查特定磁碟區的 BitLocker 狀態，系統管理員可以在 BitLocker 控制面板小程式、Windows 檔案總管、 manage-bde.exe 命令行工具或 Windows PowerShell Cmdlet 中查看磁碟驅動器的狀態。 每個選項都提供不同層級的詳細數據和易用性。

請依照下列指示確認 BitLocker 的狀態，選取您選擇的工具。

若要判斷磁碟區的目前狀態，您可以使用 Get-BitLockerVolume Cmdlet，以提供磁碟區類型、保護裝置、保護狀態和其他詳細數據的相關信息。 例如：

您可以 manage-bde.exe 使用 來判斷目標系統上的磁碟區狀態，例如：

此命令會傳回目標上的磁碟區、目前的加密狀態、加密方法，以及每個磁碟區 (操作系統或數據) 的磁碟區類型。

使用 [控制面板] 檢查 BitLocker 狀態是大部分使用者常用的方法。 開啟之後，每個磁碟區的狀態會顯示在磁碟區描述和驅動器號旁邊。 具有 applet 的可用狀態傳回值包括：

如果已使用 BitLocker 預先布建磁碟驅動器，磁碟區上會顯示 [ 正在等候啟用 ] 狀態，並顯示黃色驚嘆號圖示。 此狀態表示在加密磁碟區時，只會使用明確的保護裝置。 在此情況下，磁碟區不是處於受保護狀態，而且必須先將安全密鑰新增至磁碟區，磁碟驅動器才會受到完整保護。 系統管理員可以使用控制面板、PowerShell 或 manage-bde.exe 新增適當的密鑰保護裝置。 完成後，控制面板會更新以反映新狀態。

下列範例示範如何只使用 TPM 保護裝置和無修復金鑰，在作業系統磁碟驅動器上啟用 BitLocker：

從 BitLocker 磁碟驅動器加密 控制面板小程式：

展開 OS 磁碟驅動器，然後選取 [開啟 BitLocker] 選項

出現提示時，選取 [讓 BitLocker 自動解除鎖定磁碟驅動器] 選項

使用下列其中一種方法來備份 修復金鑰 ：

選取 [下一步]

選擇其中一個僅加密 已使用磁碟空間 或 加密整個磁碟驅動器 的選項，然後選取 [ 下一步]

在下列案例中，建議使用每個方法：

只加密已使用的磁碟空間：

將整個磁碟驅動器加密 (完整磁碟加密) ：

重要

已刪除的檔案會顯示為檔案系統的可用空間，而該文件系統不會 僅由已使用的磁碟空間加密。 在抹除或覆寫檔案之前，已刪除的檔案會保存可使用一般數據鑑識工具復原的資訊。

選取加密模式，然後選取 [ 下一步]

注意

通常應該選擇 新的加密模式 ，但如果磁碟驅動器可能移至具有舊版 Windows 作業系統的另一部裝置，請選取 [ 相容模式]

選取 [立即繼續>重新啟動]

重新啟動之後，OS 會執行 BitLocker 系統檢查並開始加密

使用者可以使用 BitLocker 控制面板小程式來檢查加密狀態。

注意

建立修復金鑰之後，可以使用 BitLocker 控制面板來建立修復密鑰的其他複本。

下列範例示範如何使用 TPM 和 啟動金鑰 保護裝置，在作業系統磁碟驅動器上啟用 BitLocker。

假設 OS 驅動器號是 C: ，而 USB 快閃磁碟驅動器是驅動器號 E:，以下是命令：

如果您選擇略過 BitLocker 硬體測試，加密會立即開始，而不需要重新啟動。

如果出現提示，請重新啟動計算機以完成加密程式。

注意

加密完成之後，必須先插入USB啟動金鑰，才能啟動作業系統。

控制面板小程式不允許同時啟用 BitLocker 和新增啟動金鑰保護裝置。 若要新增啟動金鑰保護裝置，請遵循下列步驟：

重新啟動之後，BitLocker 預先啟動畫面隨即顯示，且必須先插入 USB 啟動金鑰，才能啟動作業系統：

數據磁碟區使用與操作系統磁碟區類似的加密程式，但不需要保護裝置即可完成作業。

在加密磁碟區之前，請先新增所需的保護裝置。 下列範例會使用 變數作為密碼，將密碼保護裝置新增至 E: 磁碟 $pw 區。 變數 $pw 會保留為 SecureString 值，以儲存使用者定義的密碼：

注意

BitLocker Cmdlet 需要以引弧括住的密鑰保護裝置 GUID 才能執行。 請確定命令中包含具有大括號的整個 GUID。

範例：使用 PowerShell 啟用具有 TPM 保護裝置的 BitLocker

範例：使用 PowerShell 以 TPM+PIN 保護裝置啟用 BitLocker，在此案例中，PIN 設定為 123456：

您可以使用基底命令來加密資料磁碟區：

或額外的保護裝置可以先新增至磁碟區。 建議您至少將一個主要保護裝置加上復原保護裝置新增至數據磁碟區。

使用 BitLocker 控制面板加密資料磁碟區的方式類似於作業系統磁碟區的加密。 用戶選取 [BitLocker 控制面板] 內的 [ 開啟 BitLocker ]，以開始 [BitLocker 磁碟驅動器加密精靈]。

BitLocker 保護裝置的管理包含新增、移除及備份保護裝置。

使用下列指示選取最符合您需求的選項，以受控 BitLocker 保護裝置。

您可以執行下列命令來列出範例) 中磁碟區 (C: 可用的保護裝置清單：

此資訊無法在 [控制面板] 中取得。

從 BitLocker 磁碟驅動器加密 控制面板小程式中，選取您要新增保護裝置的磁碟區，然後選取 [ 備份修復金鑰] 選項。

數據磁碟區的常見保護裝置是密碼保護裝置。 在下一個範例中，密碼保護裝置會新增至磁碟區。

從 [BitLocker 磁碟驅動器加密 控制面板] 小程式中，展開您要新增密碼保護裝置的磁碟驅動器，然後選取 [ 新增密碼] 選項。 出現提示時，輸入並確認密碼以解除鎖定磁碟驅動器。 選 取 [完成 ] 以完成程式。

Active Directory 保護裝置是 SID 型保護裝置，可同時新增至作業系統和數據磁碟區，但不會解除鎖定啟動前環境中的操作系統磁碟區。 保護裝置需要網域帳戶或群組的 SID 才能與保護裝置連結。 BitLocker 可以藉由新增叢集名稱物件的 SID 型保護裝置來保護叢集感知磁碟 (CNO) ，讓磁碟能夠正確故障轉移並解除鎖定至叢集的任何成員計算機。

重要

在操作系統磁碟區上使用 SID 型保護裝置時，需要使用額外的保護裝置，例如 TPM、PIN、修復密鑰等。

注意

Microsoft加入 Entra 的裝置無法使用此選項。

在此範例中，網域 SID 型保護裝置會新增至先前加密的磁碟區。 使用者知道他們想要新增之使用者帳戶或群組的 SID，並使用下列命令：

若要將保護裝置新增至磁碟區，需要網域 SID 或前面加上網域的組名和反斜杠。 在下列範例中， CONTOSO\Administrator 帳戶會新增為數據磁碟區 G 的保護裝置。

若要使用帳戶或群組的 SID，第一個步驟是判斷與安全性主體相關聯的 SID。 若要在 Windows PowerShell 中取得使用者帳戶的特定 SID，請使用下列命令：

注意

使用此命令需要 RSAT-AD-PowerShell 功能。

提示

您可以使用下列方式找到本機登入使用者和群組成員資格的相關信息： whoami.exe /all。

此選項無法在 [控制面板] 中使用。

若要移除磁碟區上現有的保護裝置，請使用 Remove-BitLockerKeyProtector Cmdlet。 必須提供與要移除之保護裝置相關聯的 GUID。

下列命令會傳回金鑰保護裝置和 GUIDS 的清單：

藉由使用這項資訊，可以使用 命令來移除特定磁碟區的金鑰保護裝置：

注意

BitLocker Cmdlet 需要以引弧括住的密鑰保護裝置 GUID 才能執行。 請確定命令中包含具有大括號的整個 GUID。

下列命令會傳回金鑰保護裝置的清單：

下列命令會移除特定類型的金鑰保護裝置：

從 [BitLocker 磁碟驅動器加密 控制面板] 小程式中，展開您要移除保護裝置的磁碟驅動器，並在可用時選取要移除它的選項。

注意

對於任何 BitLocker 加密的磁碟驅動器，您必須至少有一個解除鎖定方法。

某些設定變更可能需要暫停 BitLocker，然後在套用變更之後繼續進行。

使用下列指示，選取最符合您需求的選項，暫停並繼續 BitLocker。

使用 [控制面板] 時，您只能暫停 OS 磁碟驅動器的 BitLocker 保護。

從 [BitLocker 磁碟驅動器加密 控制面板] 小程式中，選取 OS 磁碟驅動器，然後選取 [ 暫停保護] 選項。

從 BitLocker 磁碟驅動器加密 控制面板小程式中，選取 OS 磁碟驅動器，然後選取 [ 繼續保護] 選項。

建議您在使用修復密碼之後使其失效。 在此範例中，系統會從OS磁碟驅動器移除修復密碼保護裝置、新增新的保護裝置，並備份至 Microsoft Entra ID 或 Active Directory。

從 OS 磁碟區移除所有修復密碼：

為 OS 磁碟區新增 BitLocker 修復密碼保護裝置：

取得新修復密碼的識別碼：

注意

如果原則設定 [ 選擇如何復原受 BitLocker 保護的作業系統磁碟驅動器 ] 設定為 [需要將 BitLocker 備份至 AD DS]，則不需要執行下一個步驟。

從輸出複製修復密碼的識別碼。

使用上一個步驟中的 GUID，取代 {ID} 下列命令中的 ，並使用下列命令來備份修復密碼以Microsoft Entra ID：

或者，使用下列命令將修復密碼備份至 Active Directory：

注意

大括弧 {} 必須包含在標識符字串中。

從 OS 磁碟區移除所有修復密碼：

為 OS 磁碟區新增 BitLocker 修復密碼保護裝置：

取得新修復密碼的識別碼：

注意

如果 [ 選擇如何復原受 BitLocker 保護的操作系統磁碟驅動器 ] 原則設定為 [需要將 BitLocker 備份至 AD DS]，則不需要執行下列步驟。

使用上一個步驟中的 GUID，取代 {ID} 下列命令中的 ，並使用下列命令來備份修復密碼以Microsoft Entra ID：

或者，使用下列命令將修復密碼備份至 Active Directory：

注意

大括弧 {} 必須包含在標識符字串中。

無法使用 [控制面板] 來完成此程式。 請改用其中一個其他選項。

停用 BitLocker 會解密並移除磁碟區中任何相關聯的保護裝置。 當不再需要保護時，應該進行解密，而不是作為疑難解答步驟。

使用下列指示，選取最符合您需求的選項來停用 BitLocker。

Windows PowerShell 提供一次解密多個磁碟驅動器的能力。 在下列範例中，使用者有三個想要解密的加密磁碟區。

使用 Disable-BitLocker 命令，他們可以同時移除所有保護裝置和加密，而不需要更多命令。 這個指令的範例為：

若要避免個別指定每個裝入點，請在陣列中使用 -MountPoint 參數，將相同的命令排序成一行，而不需要額外的用戶輸入。 範例：

使用 解密 manage-bde.exe 可提供不需要使用者確認即可啟動程式的優點。 Manage-bde 會使用 -off 命令來啟動解密程式。 解密的範例命令如下：

此命令會在解密磁碟區時停用保護裝置，並在解密完成時移除所有保護裝置。

使用 [控制面板] 的 BitLocker 解密是使用精靈來完成。 開啟 BitLocker 控制面板小程式之後，請選 取 [關閉 BitLocker ] 選項以開始程式。 若要繼續，請選取確認對話方塊。 確認 關閉 BitLocker 之後 ，磁碟驅動器解密程式就會開始。

解密完成後，磁碟驅動器會在 [控制面板] 中更新其狀態，並可供加密。

如果您將磁碟驅動器作為次要磁碟驅動器連線到裝置，而且您有 BitLocker 修復金鑰，您可以使用下列指示解除鎖定已啟用 BitLocker 的磁碟驅動器。

在下一個範例中 D ，磁碟驅動器是要解除鎖定的磁碟驅動器。 選取最符合您需求的選項。

如需詳細資訊，請參閱 Unlock-BitLocker

如需詳細資訊，請 參閱 manage-bde unlock

您可以從 [控制面板] 或 [總管] 解除鎖定磁碟驅動器。 開啟 BitLocker 控制面板小程式之後，請選取 [ 解除鎖定磁碟驅動器 ] 選項以開始程式。 出現提示時，輸入 48 位數的修復金鑰。