Você está confundindo duas configurações diferentes.
Para impedir a criptografia do BitLocker, a menos que seja feito o backup das informações no Active Directory, é necessário ativar a seguinte configuração de Diretiva de Grupo:
Computador > Políticas > Modelos Administrativos > Componentes do Windows > Criptografia de Unidade de Disco BitLocker > Unidades do sistema operacional
"Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional"
Para ativar a recuperação do TPM, não é necessário atualizar o esquema. Você precisa ativar o acesso de gravação ao atributo ms-TPM-OwnershipInformation para a identidade própria. A Microsoft fornece o script Add-TPMSelfWriteACE.vbs para isso.
Backup de informações de recuperação do BitLocker e do TPM para o AD DS
link
Você também pode fazer backup das informações no Active Directory após o fato. Às vezes, isso é útil para computadores que são reintegrados ao domínio:
manage-bde -protectors -get c:
(obtenha o ID da senha numérica)
manage-bde -protectors -adbackup c: -id {<guid>}