Für den SecureBoot. Vereinfacht ausgedrückt speichert das TPM die Soll-Konfiguration bzgl. UEFI und Windows-Kernel(-Module). Passt die Ist-Konfiguration nicht dazu, etwa weil der Kernel durch Malware verändert wurde, erkennt das Windows und handelt entsprechend der konfigurierten Richtlinie (z. B nur melden, Modul blocken, abgesicherte Modus oder auch kompletter Lockdown).
Bitlocker ist nur eine, wenn auch die haufigst genutzte, Funktion des TPM. Windows Hello/FIDO (2) sind aber auch stark im Kommen.